Passwortgeschützten Ordner erstellen?

[feeblebeeble]

Hallo,

eins vorweg, ich benutze Synology (DS220j, DSM 7.2.2-72806 Update 3) erst seit einigen Tagen und kenne mich daher schlecht aus. Ich will einen Ordner einrichten, der passwortgeschützt ist.

Für den "Gesichert" benannten Ordner habe ich die Verschlüsselung aktiviert und damit einen "Schlüssel für Verschlüsselung" vergeben und den Schlüssel (*.key-Datei) heruntergeladen.

Im Windows Explorer unter Netzwerk > Synology sehe ich meine bisherigen Ordner wie home, homes, Fotos und den "Gesichtert"-Ordner.

Jetzt ergeben sich zwei Situationen, die beide unerwünscht sind:

1. Wenn ich bei "Berechtigungen" "Keinen Zugriff" einstelle und im Windows-Explorer den Ordner "Gesichtert" anklicke, erscheint das Fenster "Windows Sicherheit, Netzwerkanmeldeinformationen eingeben". Mein Kontoname "Synology" steht automatisch dort, aber wenn ich das Kennwort (mit dem ich mich bei quickconnect erfolgreich einlogge) eingebe, kommt die Fehlermeldung "Ordner öffen: Auf \\Synology\Gesichert mit Key kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Wenden Sie sich an den Administrator des Servers, um herauszufinden, ob Sie über Berechtigungen verfügen ..."
Auch das Passwort, das als "Schlüssel für die Verschlüsselung" dient, greift nicht. Ich kann daher den Ordner nicht öffnen.

2. Natürlich kann ich im DSM die Berechtigungen so setzen, dass man den Ordner ohne Passwort öffnen kann. Aber genau das will ich ja vermeiden - er soll nur per Passwort zu öffnen sein.

Meine Frage ist jetzt, was mache ich falsch bzw. wie muss ich vorgehen, damit der "Gesichtert"-Ordner im Windows-Explorer nur mit einem Passwort geöffnet werden kann?
Unter Berechtigungen habe ich gefühlt alle Kombinationen durch. Unter "Lokale Gruppen" habe ich administrators / http / users; unter "Lokale Benutzer" admin / guest / Synology angeführt.

Vielen Dank schon mal im Voraus!

 

[*kw*]

Hallo @feeblebeeble,

erst einmal herzlich Willkommen im Forum. Im Anschluss empfehle ich dir grundsätzlich den Link ein meiner Sig.

Zu deinem Problem: der Zugriff wird ausschließlich über die DS geregelt (User/-gruppen). Das betrifft sowohl verschlüsselte als auch "offene" Verzeichnisse. Sprich, du musst mit dem Schlüssel oder der key-Datei den Ordner "öffnen" (Menüpunkt: Verschlüsselung > anhängen). Wenn der nicht offen ist, funktioniert das auch nicht. Du kannst das händisch nach jedem Neustart machen oder lädst den key-File über den Schlüsselmanager (auch im Menü).

Die Zugriff bezieht sich aber auf die angelegten (und notwendigerweise auch berechtigten) User der Diskstation. Du musst unter Windows den Nutzernamen/Passwort des/der DS-User eingeben.

Edit: gramm. Ergängzung

 

[feeblebeeble]

Dankeschön für die Hilfestellung zu so später Stunde. Offenbar war der Ordner schon geöffnet, das Schloss-Symbol ist geöffnet und unter "Verschlüsselung" kann ich nur "Trennen", denn "Anhängen" ist ausgegraut.

In Windows "Netzwerkanmeldeinformationen eingeben" habe ich den Nutzernamen (=Synology) und das PW der DS angegeben, also die Daten, die ich auch im Quickconnect-Anmeldefenster (https://10-0-0-10.*****.direct.quickconnect.to:5001/#/signin) eingebe.

Dennoch kommt dann die Fehlermeldung "Auf \\Synology\Gesichert mit Key kann nicht zugegriffen werden."
Ich vermute, ich habe die falschen Haken bei "Berechtigungen" gesetzt, finde aber richtige Kombination.

Das Problem ist nach wie vor, dass wenn ich unter Berechtigungen bei "Synology" unter "Vorschau" "Lesen/Schreiben" und bei admin und guest "Kein Zugriff" einstelle, ich den Ordner "Gesichert" im Windows-Explorer einfach so öffnen kann, d.h. ohne Passwort.

Und wenn ich die Berechtigung rausnehme, kann ich den Ordner überhaupt nicht öffnen, es steht dann im Fenster "Netzwerkanmeldeinformationen eingeben "Der Zugriff wird verweigert".

 

[*kw*]

Lass uns mal ganz vorn anfangen.

Test im LAN:

1. gewünschter Nutzer (Benutzername/Passwort) ist auf der DS angelegt?
2. hat persönlich oder über Gruppenrechte Zugriff auf den Ordner (Ordner-Eigenschaften)?
3. Ordner Sichtbarkeit im Netzwerk?
4. Im Netzwerk Zugriff auf DS über \\IP-der-DS, bzw. Netzwerkumgebung?
5. Im Eingabefenster LogIn Daten aus "1." eingeben
6. Zugriff...?

 

[Adama]

Du solltest "Kein Zugriff" nur in Ausnahmen verwenden.

Es reicht, wenn ein User nicht Mitglied in der Gruppe für diesen Share ist: Kein Mitglied, keine Rechte.

Da sind wir dann beim nächsten Punkt: Richte eine Gruppe für den Zugriff auf den Share ein. In die Gruppe kommen dann die User, die Rechte auf diesen haben sollen. User direkt Rechte auf den Share zu geben, kann sehr schnell unübersichtlich werden.

Also User Mitglied in Gruppe, Gruppe Rechte auf Share (Nur Lesen oder Lesen/Schreiben)

Außerdem bringt es nichts, dem Admin die Rechte zu entziehen, er kann sie sich jederzeit selber wieder geben, er ist ja der Admin.

 

[feeblebeeble]

Danke, ich versuche das zu beantworten und mache ein paar Screenshots, damit es keine Missverständnisse gibt.

Test im LAN:

1. gewünschter Nutzer (Benutzername/Passwort) ist auf der DS angelegt?

Ja, bin ausschließlich im LAN, und als Benutzer "Synology" und mittlerweile auch zum Testen einen neuen Benutzer angelegt als "SynologyGESICHERT"

1. hat persönlich oder über Gruppenrechte Zugriff auf den Ordner (Ordner-Eigenschaften)?

Ja, die Berechtigungen sind vorhanden:

1. Ordner Sichtbarkeit im Netzwerk?

Ja, alle Ordner sind sichtbar:

1. Im Netzwerk Zugriff auf DS über \\IP-der-DS, bzw. Netzwerkumgebung?

Ja, z.B. wenn ich im Assistant auf die IP-Adresse klicke oder Quickconnect verwende, öffnet sich das DSM

1. Im Eingabefenster LogIn Daten aus "1." eingeben

Ja, für beide Nutzter ausprobiert. Mit den Berechtigungen wie oben angegeben, kann ich den "Gesichert mit Key"-Ordner (wie jeden anderen ungeschützten Order) direkt öffen, ohne Passwort oder sonstiges. Aber Ziel ist es ja, dass der Ordner nur mit Passwort geöffnet werden kann.

1. Zugriff...?

Ja

 

[*kw*]

Aber Ziel ist es ja, dass der Ordner nur mit Passwort geöffnet werden kann.

Das ist meines Wissens so nicht vorgesehen, bzw. nicht der "workflow". Zugriffe basieren auf dem Rollen- und Rechtemanagement und das sieht nutzerseitig entweder einen Zugriff vor...oder auch nicht. Zugriff erlauben und Passwort eingeben müssen ist aus dessen Sicht "sinnfrei". Der User legitimiert doch schon mit seinen Daten.

 

[feeblebeeble]

Du solltest "Kein Zugriff" nur in Ausnahmen verwenden.

Es reicht, wenn ein User nicht Mitglied in der Gruppe für diesen Share ist: Kein Mitglied, keine Rechte.

Da sind wir dann beim nächsten Punkt: Richte eine Gruppe für den Zugriff auf den Share ein. In die Gruppe kommen dann die User, die Rechte auf diesen haben sollen. User direkt Rechte auf den Share zu geben, kann sehr schnell unübersichtlich werden.

Also User Mitglied in Gruppe, Gruppe Rechte auf Share (Nur Lesen oder Lesen/Schreiben)

Außerdem bringt es nichts, dem Admin die Rechte zu entziehen, er kann sie sich jederzeit selber wieder geben, er ist ja der Admin.

Auch Dir ein Dankschön für die Antwort. Ich habe so eine Gruppe eingerichtet und Berechtigungen vergeben.

Auch hier ist das Problem, dass ich den "Gesichert mit Key"-Ordner direkt ohne PW öffen kann, ich will aber eine Lösung, wo man den Ordner nur mit PW öffnen kann.

 

[*kw*]

Was erhoffst du dir von dem Passwort? Wenn sich ein unberechtigter User anmelden will, bekommt er eine Fehlermeldung aufgrund fehlender Berechtigung. Egal, ob über Explorer (Windows) oder DSM (direkt auf NAS).

Zusätzlich blendest du den Ordner in den Einstellungen einfach für unberechtigte user aus und dann weckt keine Begehrlichkeiten, weil er ihn erst gar nicht sieht.

 

[feeblebeeble]

Das ist meines Wissens so nicht vorgesehen, bzw. nicht der "workflow". Zugriffe basieren auf dem Rollen- und Rechtemanagement und das sieht nutzerseitig entweder einen Zugriff vor...oder auch nicht. Zugriff erlauben und Passwort eingeben müssen ist aus dessen Sicht "sinnfrei". Der User legitimiert doch schon mit seinen Daten.

Der User legitimiert mit welchen Daten? Wenn ich oder irgendjemand meinem PC hochfährt, muss ja weder Benutzername oder Kennwort eigengeben werden, es reicht, Netzwerk > Synology anzuklicken, um den vollen Zugriff zu haben.
Das kann ich also wirklich nicht irgendwie beschränken, außer jedes Mal über das DSM die Berechtigungen zu setzen und dann wieder wegzunehmen?

 

[*kw*]

Wenn du nur mit einem User am Windows-PC arbeitest, muss der Anwender deine Windows-Login Daten kennen. Hast du mehrere User, muss jeder für sich erst einmal die Verbindung zum NAS herstellen. Und wenn er mit seinen LogIn-Daten keine Berechtigung hat, kommt er nicht rein.

Wenn du den Ist-Stand sichern willst, muss du den automatisierten LogIn im Netzwerk wieder deaktivieren und jedesmal neue eingeben. Sicherheit ist umständlich. Nein, muss umständlich sein.

Edit: nur nochmal zum Verständnis: die Berechtigungen im NAS regelt das dortige Rollen- und Rechtemanagement. Das ist gleichzusetzen mit dem Login über DSM und hat nichts mit deinem Windows-User zu tun. Auch dein Windows-Client ist nur "Medium" mit eigenen Zugangsdaten, die aber nicht den Zugriff zum NAS regeln.

 

[Adama]

muss ja weder Benutzername oder Kennwort eigengeben werden

Wenn du dein Windows ohne Passwort nutzt und das Passwort für deinen Syno-Zugriff in der Anmeldeinformationsverwaltung abgespeichert hast, dann kommt natürlich jeder, der an deinen Rechner kommt, auch an deine Daten. So sollte man Windows eigentlich nicht mehr betreiben.

 

[metalworker]

Die Jungs haben es ja schon geschrieben. Das geht alles nicht so wie du es aktuell machen kannst.
Bei NAS Geräten hast du erstmal nur diese Freigabe Ebene .

Eigentlich hat wirklich jeder User auch einen eigenen Windows Benutzer . Und dann klappt das auch mit den rechten.

Eine Lösung ist nen Verschlüsselungs tool wie Challenger. Das läuft dann auf dem Rechner.

 

[feeblebeeble]

Danke für die Antworten, ich war krankheitsbedingt am Ende und beschäftige mich erst jetzt wieder mit der Thematik.
Ich habe Windows 10, zwar mit Passwort (bzw. 4-stelligem Pin), aber ich meine vernommen zu haben, der Windows-Passwortschutz wäre zu umgehen oder zumindest für Experten nicht schwer knackbar, dewegen habe ich das jetzt nicht als die große Sicherheit angesehen.

Jedenfalls habe ich die Anmeldedaten aus der von Adama angesprochenen Anmeldeinformationsverwaltung heraugelöscht.
Gut: Man hat jetzt keinen Zugriff ohne Passwort mehr
Schlecht: Ich habe jetzt auch mit Passwort keinen Zugriff mehr

D.h. wenn ich im Explorer unter Netzwerkadressen "mein Synology", also \\Synology Z:, anklicke und Benutzername + PW eingebe, dann kommt die Fehlermeldung "Auf \\Synology kann nicht zugegriffen werden". Oder es kommt "Auf Z:\ kann nicht zugegrifefn werden. Der Benutzername oder das Kennwort ist falsch".
Wie gesagt kann ich mich aber mit den gleichen Anmeldedaten über quickconnect problemlos anmelden, die Daten stimmen also.

Wenn ich in der Anmeldeinformationsverwaltung den Eintrag (für die Netzwerkadresse \\Synology) mit denselben Login-Daten wieder hinzufüge, habe ich wieder problemlos (ohne Passworteingabe) Zugriff.

Aber das Ziel wäre ja gewesen den Eintrag nicht in der Anmeldeinformationsverwaltung zu haben, damit man sich nur mit PW einloggen kann.
Ich verstehe nicht, warum die Anmeldedaten über die Anmeldeinformationsverwaltung akzeptiert werden, ansonsten aber nicht.

@metalworker, Danke, ich schaue mir Challenger mal an. Überlege auch eine SSD mit AES.

 

[synfor]

D.h. wenn ich im Explorer unter Netzwerkadressen "mein Synology", also \\Synology Z:, anklicke und Benutzername + PW eingebe, dann kommt die Fehlermeldung "Auf \\Synology kann nicht zugegriffen werden".

Du musst neben dem Server auch immer ein Share mit angeben, wenn du ein Netzlaufwerk unter einem Laufwerksbuchstaben bereitstellen willst.

 

[feeblebeeble]

@synfor ist ein freigegebener Ordner nicht ein Share?
Unter Netzwerkadressen ist der freigegebene Ordner "Synology Ordner" angegeben, unter Netzwerk landet man auf der "Hauptebene" mit allen Ordnern.

 

[metalworker]

Ja genau das ist am Ende das gleiche