Ordner lässt sich umbenennen, trotz verbotener Rechte

[rolf87]

Hallo,

ich habe folgendes Problem:
Ich habe einen Gemeinsamen Ordner (A), wo alle User alles machen dürfen.
In diesem Ordner ist ein Unterordner (B), wo die User nur reinschauen dürfen.

Die entsprechenden Rechte habe ich unter Ordner (B)->Eigenschaften->Genehmigung auf Lesen und Ausführen gesetzt.
Innerhalb dieses Ordners (B) ist das auch so wie gewünscht, dass der User nichts machen kann.
Aber den Ordner (B) selbst kann der User umbenennen, was normalerweise nicht passieren darf.

Gibt es dafür noch eine weitere Einstellung, oder ist das ein Bug?
Vielen Dank.

 

[luddi]

Ich habe einen Gemeinsamen Ordner (A), wo alle User alles machen dürfen.

Somit dürfen die User auch den Unterordner (B) umbenennen und auch löschen wenn sie möchten.
Die Berechtigung wird von dem Verzeichnis (A) in diesem Fall kontrolliert.

Wenn man nicht möchte dass bestehende Verzeichnisse umbenannt werden oder sogar gelöscht werden dürfen dann gibt es natürlich die Möglichkeit die Userberechtigungen der Verzeichnisse über das ACL einzustellen. Es bietet viele Möglichkeiten und Freiheitsgrade in der Konfiguration. Ist aber auch oft recht unübersichtlich. Dennoch ist dein Vorhaben mit ACL möglich.

Gruß
luddi

 

[Benares]

Das ist m.W. halt so. Ordner B liegt ja in Ordner A und in Ordner A dürfen "alle User alles machen". Am Inhalt von Ordner B ändert sich ja nichts.

Edit: luddi war schneller

 

[rolf87]

Vielen Dank,
das geht ja echt schnell hier
Die erklärung ist einleuchtend. Verwirrend ist nur der Text, wenn man die Genehmigung einstellt: "Auf diesen Ordner, die Unterordner und Dateien anwenden". Das kann man anhaken und glauben, dieser Ordner (B) ist auch selbst davon betroffen.

Wie komme ich zu den Userberechtigungen ACL ?
Vielen Dank.

 

[luddi]

Verwendest du DSM 4.x oder DSM 5.0? Bei DSM 5.0 werden alle neuen Freigabeverzeichnisse mit ACL angelegt. Bei DSM 4.x muss man das bei jedem Freigabeverzeichnis explizit einstellen und sozusagen auf ACL Berechtigung umwandeln.
Hat man allerdings Freigaben die schon seit 4.x bestehen und hat ein Upgrade auf DSM 5.0 durchgeführt dann verfügen die alt angelegten Freigaben noch nicht über ACL. Hier muss dann wieder explizit umgewandelt werden.

ACL findet man im DSM Menü unter den Freigabeverzeichnissen selbst. Bzw. wenn man das für den Unterordner (B) machen möchte einfach in der Filestation Eigenschaften auf dem Ordner und dann Berechtigungen. Nun kann für Benutzer, Gruppen individuell eingestellt werden was man möchte.

z.B. für ein Freigabeverzeichnis


und ein Beispiel für ein Unterverzeichnis in dem jeweiligen Freigabeverezichnis

 

[Benares]

Das ist wie bei einer Datei. Selbst wenn der Inhalt schreibgeschützt ist, kann man trotzdem den Namen ändern, wenn man Schreibrechte auf das Verzeichnis hat.
Ich wüsste jetzt auf Anhieb auch nicht, wie man das Problem mit ACLs lösen könnte.
Zu den ACLs kommst du, wie unter Windows auch, über Rechtsklick, Eigenschaften, Sicherheit im Explorer.
Auch im DSM gibt es irgendwo die Möglichkeit - müsste aber selbst suchen.

Edit: luddi war schon wieder schneller - Bin aber mal gespannt, wie er genau dieses Problem löst.

 

[rolf87]

Vielen Dank, jetzt bin ich schon einen Schritt weiter.
Ich benutze DSM 4.1 (Übrigens wird bei einer Update-Überprüfung gesagt, dass ich die aktuellste Version hab).

Die ACLs habe ich aktiviert und bei den entsprechenden Ordner eingestellt. Teilweise wurde das Problem gelöst. So sieht das jetzt aus:

Ordner (A) - User dürfen alles
|- Ordner (B) User dürfen nur lesen. Umbenennen ist auch nicht möglich, was auch so sein soll
|- Ordner (C) User dürfen alles
|--|- Ordner (D) User dürfen nur lesen. Umbenennen ist komischerweise möglich, obwohl die ACLs gleich sind wie bei Ordner (B)



Edit: Ich habe mich vertan. Die Berechtigungen in Ordner (A) waren auch nur auf Lesen, deswegen ging das Umbenennen in Ordner (B) nicht. Ordner (C) konnte man auch nicht umbenennen, was aber sein sollte.
Jedenfalls weiß ich jetzt nicht, ob es dafür überhaupt eine Lösung gibt.

Ich habe mal versucht den Ordner (B) zu löschen, und das hat funktioniert. Das muss man doch irgendwie verhindern können.
Ich möchte nicht für jeden schreibgeschützten Ordner einen root-Ordner anlegen. Dabei hat man keine Ordnerstruktur.

 

[luddi]

Man legt das Unterverzeichnis Verzeichnis (B) an.
Dann erstellt man über Eigenschaften von Verzeichnis (B) folgende ACL Regeln:

1. Exclude inherited permissions --> damit wird genau hier die Kette Unterbrochen, wo Verzeichnis B die Rechte von dem Übergeordenten Verzeichnis erben würde.
2. Ersteleln der ersten Regel: Create ---> Nun erstellt man eine "Deny" Regel und das für die Gruppe "users" (das nur als Beispiel)
Die Regel beinhaltet dann folgendes:
User or group: users
Inherit from: <None>
Type: Deny
Apply to: This folder
...
und bei Write den Haken bei "Delete" setzten. Sonst nichts weiter ankreuzen!



Somit wird sichergestellt dass alle User die der Gruppe "users" angehören dieses verzeichnis weder löschen noch umbenennen können.

Nun möchte man aber dass sich die User in dem Unterverzeichnis B austoben können, d.h. darauf Zugreifen, den Inhatlt sehen können, Ordner anlegen, Dateien anlegen, und auch löschen.

Dazu erstellt man eine weitere Regel und jetzt bleibt es jedem selbst überlassen ob man das für jeden einzlenen User explizit einstellen möchte oder generiert man sich eine weiter Gruppe für Personen die nun hier Zugriff erhalten usw.

3. Erstellen der zweiten Regel:
User or group: username
Inherit from: <None>
Type: Allow
Apply to: All

Unter Permission setzt man folgende Haken:
Read ---> als Beispiel alle (je nachdem was erlaubt sei)
Write ---> alle bis auf "Delete" (dies ist nicht zwingend notwendig wenn der Benutzer zu der gruppe "users" angehört, denn die "Deny" Regeln haben immer Vorrang einem "Allow" gegenüber!)



Somit kann der User mit dem Namen username in dem Verzeichnis (B) machen was er möchte, aber das Verzeichnis (B) kann von ihm weder umbenannt noch gelöscht werden.

Wie man sieht hat man mit ACL viele Freiheitsgrade und kann viele Szenarien konfigurieren. Ich persönlich fide daran kein Gefallen da man schnell den Überblick verlieren kann. Deshalb versuche ich davon weitestgehend Abstand zu halten.

Gruß
luddi

 

[luddi]

Ich benutze DSM 4.1 (Übrigens wird bei einer Update-Überprüfung gesagt, dass ich die aktuellste Version hab).

Was ist auf deinem System unter "Update settings" eingestellt?
Sucht das DSM bei dir nach "Newest DSM and all updates" oder nach "Important updates only"?

 

[rolf87]

Vielen Dank, luddi,
mit dieser Anleitung hat es geklapp, dass der Ordner (B) weder gelöscht, noch umbenannt werden kann.
Eine kleine Lücke habe ich allerdings noch gefunden: Man kann den Ordner (B) verschieben.

Was ist auf deinem System unter "Update settings" eingestellt?
Sucht das DSM bei dir nach "Newest DSM and all updates" oder nach "Important updates only"?

"Update-Settings" gibt es bei mir nicht:

 

[isch83]

zu deiner zweiten Frage nach den Update Settings:

uh Du bis ja vom Release recht weit von einer aktuellen Version entfernt.

Einmal ist der Haken "Regelmäßig nach Update suchen" nicht gesetzt

Eventuell bleibt Du nicht anderes übrig von der Synology Webseite ein aktuelles DSM zu laden und dein System zu aktuallisieren.
Hier ist aber Vorsicht geboten da ich mir nicht sicher bin ob Du ohne Probleme(Zwischenschritte 4.1 --> 4.2 --> 4.3 --> 5.0) von einen DSM 4.1 auf ein DSM 5.0 kommst.
Ebenfalls ist ein vollständiges Backup deiner Daten nur zu empfehlen um einen Datenverlust zu vermeiden.

 

[luddi]

Man kann den Ordner (B) verschieben.

Das ist merkwürdig, bei mir mit DSM 5.0 ist das genau mit den von mir dargestellten Einstellungen nicht möglich den Ordner (B) zu löschen, umbenennen oder auch verschieben. Mich wundert es warum das Löschen verweigert wird aber das Verschieben nicht. Denn mit einem Befehl des Verschiebens (auf Systemebene passiert im Hintergrund ein move Befehl "mv") wird zuerst das Verzeichnis (bzw. die Datei) von der Quelle zum Ziel kopiert und anschließend die Quelle gelöscht. Wenn aber keine Berechtigung für das Löschen vorhanden ist, sollte auch kein Verschieben möglich sein.

Gruß
luddi

 

[rolf87]

Ich muss eine Sache noch ergänzen, die mir vorher nicht aufgefallen ist:

Wenn ein User den Ordner (B) umbennennen will, was er nicht darf, ist das auch so wie gewünscht, wenn er das über die Diskstation-Oberfläche im FileStation macht.
Wenn der User aber im Windows-Explorer die Datei umbenennen will, funktioniert das trotzdem.

Weil alle User über den Windows-Explorer gehen, ist das gewünschte Ergebnis leider nicht da.

 

[luddi]

Hi rolf87,

ich war wohl doch etwas zu schnell mit meiner vorherigen Beschreibung. Jedenfalls habe ich das gleiche auch an meiner Umgebung getestet mit den von mir bereits beschriebenen Einstellungen. Folgende Ergebnisse habe ich erzielt.

a.) DSM FileStation
Der Ordner (B) lässt sich NICHT umbenenen
Der Ordner (B) lässt sich NICHT löschen

b.) Mac OS X --> afp
Der Ordner (B) lässt sich UMBENENNEN
Der Ordner (B) lässt sich LÖSCHEN

c.) Mac OS X --> smb
Der Ordner (B) lässt sich NICHT umbenenen
Der Ordner (B) lässt sich LÖSCHEN

d.) Windows 7 --> CIFS (\\server\freigabe)
Der Ordner (B) lässt sich UMBENENNEN
Der Ordner (B) lässt sich LÖSCHEN

e.) SFTP
Der Ordner (B) lässt sich UMBENENNEN
Der Ordner (B) lässt sich LÖSCHEN

Nun schwirren auch in meinem Kopf zu viele ??? herum....

Gruß
luddi

 

[SchS]

ich bin mir nicht sicher ob das allen weiterhilft, aber bei mir hat es geklappt unter Mac OSX 10.9 zugriffsrechte einzuschränken.

folgende Einstellung.
Systemsteuerung > Dateidienste > Sandard UNIX-Befugnisse aktivieren.
"gemeinsamer Ordner" hat auch von User "X" zulassung für "lesen & schreiben" bekommen.
in diesem "gemeinsamen Ordner" gibt es ein Unterordner der NICHT für den User "X" lesbar/schreibbar/löschbar sein soll.
diesen Ordner habe ich in der File Station ausgewählt und dem User "X" ein komplettes Verbot erteilt.

per afp kann der User zwar den Ordner sehen und umbenennen(!)
aber er kann ihn nicht lesen, nicht löschen und keine Dateien reinkopieren.

Dies hilft mir unter OSX ein paar Unterordner für bestimmte Leute zu sperren

Viele Grüße