Rechtevergabe...ich raffs nicht :-(

[chaos2oo2]

Hi,

ich hab meine Diskstation in Betrieb genommen und verzweifel gerade etwas an den Berechtigungen.

Ich habe den gemeinsamen Ordner 'public' und die User-Homes. Auf den User-Homes darf nur der Administrator und der User selbst zugreifen, das funktioniert soweit.

Allerdings hätte ich es im public gerne so:
- alle User haben nur lesenden Zugriff
- manche User sollen bestimmte Ordner nicht sehen dürfen, andere User wiederum schon (alles lesend)
- es gibt User die können im public lesen und schreiben

Dazu habe ich nun der 'users' Gruppe erst einmal die Schreibrechte entzogen und eine zweite Usergruppe 'usersWrite' angelegt...

Jetzt habe ich als admin einen Ordner Test angelegt und dem UserA zugeordnet, der zur Gruppe users gehört.Diese sollte nur lesen dürfen. Der Order gehört der Gruppe users und dem Benutzer UserA. UserA darf alles in dem Ordner, Lesen/Schreiben/Ausführen. Wenn ich jetzt mit UserA in den Ordner gehe, darf ich dort trotzdem keine Ordner erstellen...was mache ich falsch?


Gruß
Michael

 

[Frogman]

Jetzt habe ich als admin einen Ordner Test angelegt und dem UserA zugeordnet, der zur Gruppe users gehört.Diese sollte nur lesen dürfen. Der Order gehört der Gruppe users und dem Benutzer UserA. UserA darf alles in dem Ordner, Lesen/Schreiben/Ausführen.

UserA (gehört zu users) darf also im Ordner Test nur lesen - aber dennoch soll der Ordner der Gruppe users und UserA "gehören", der dann auf einmal doch wieder alles können soll? Was denn nun?

 

[jan_gagel]

Hallo Michael,

das Thema mit den Zugriffsrechten ist, wie du schon bemerkt hast, ziemlich komplex. Und die Rechte mußt du eigentlich immer anpassen, wenn du einen neuen User anlegst, oder wenn du eine neue Freigabe (und eine USB-Festplatte ist ja auch eine neue Freigabe!!) anlegst.

Ich kann dir bestimmt helfen, denn dein Vorgehen ist genau falsch rum. Der DSM sieht ein Verbot immer höherwertiger als eine Erlaubnis. Wenn du der Gruppe users also eine Berechtigung weg nimmst, kannst du dies in einer anderen Gruppe nicht mehr aufheben.

Da alle User in der Gruppe users sind, habe ich mir einfach eine weitere Gruppe angelegt, der Einfachheit wegen user. Die Gruppe users (die Systemgruppe) hat alle Rechte und die Gruppe user wird beschränkt auf wesentliche Freigaben. Dann hab ich noch eine weitere Gruppe für FTP-Zugriff, einfach benannt ftp. Die User (gibt eigentlich nur einen) haben nur Zugang zu einer einzigen Freigabe, deshalb muß ich jede neue Freigabe (und USB-Festplatten) also immer in dieser "Verbotsgruppe" pflegen. Sonst hat evtl. jemand unverhofft Zugriff via FTP auf mein Backup, wie peinlich. Schön wäre es hier von Synology, wenn sie USB- und eSATA-Datenträger zunächst nicht freigeben.

Also nochmal kurz:

Gruppe users erhält Vollzugriff auf alles Nötige --> Gruppe mit Einschränkungen erhält Verbote

Ich regel alles über Gruppen. Wenn ich jetzt noch anfangen würde, einzelne User spezielle Berechtigungen zu geben, wird es nur unnötig kompliziert. Noch komplizierter werden die ACL-Berechtigungen, also daß innerhalb einer Freigabe was verboten wird. Da kann man Fehler fast nicht mehr finden.

Ciao Jan

 

[chaos2oo2]

ich würde gerne aber selektiv unterordner vom public für bestimmte user sperren bzw. erst gar nicht im windows explorer auflisten. Mache ich das dann auch über eine "Verbotsgruppe"?

ich versteh den Unterschied zur Rechtevergabe für den gemeinsamen Ordner und die einzelnen Unterordner innerhalb des gemeinsamen Ordners nicht. Ich hätte erwartet dass ich die einzelnen angelegten Ordner nocheinmal individuell einschränken kann...

 

[Benares]

Hallo Michael,

"users" ist eine besondere Gruppe, da ist erstmal jeder drin. Ähnliches gilt für den gemeinsamen Ordner "public", der ist eigentlich für den lesenden Zugriff von "users" (also allen) gedacht.

Leg besser eigene Shares an, dann pro Share ein Read- und eine ReadWrite-Gruppe, und verwalte die Rechte nur über Gruppen (administrators Read/Write, R-Gruppe Read, RW-Gruppe Read/Write). Nimm dann die Benutzer in die entsprechenden Gruppen auf. Die Benutzer selbst erhalten keine Rechte. So bleibt die Rechteverwaltung übersichtlich, bleibt wartbar und funktioniert.

Gruß Benares

 

[chaos2oo2]

Der DSM sieht ein Verbot immer höherwertiger als eine Erlaubnis.

Das funktioniert so aber auch nicht...ich habe nun folgendes Szenario ausprobiert:

- gemeinsamer Ordner shared (users darf lesen/schreiben, readOnly darf nur lesen)
- Gruppe users darf lesen/schreiben
- Gruppe readOnly darf nur lesen
- User UserA gehört zur Gruppe users + readOnly

und ich kann trotzdem Ordner auf dem Netzlaufwerk erstellen....

In der Prioritäten steht: NA > RW > RO

das heißt doch wenn ich eine Gruppe mit RW hab und eine mit RO, dann kann der User RW...folglich gilt nicht Verbot vor Erlaubnis?!? Ich bin echt verwirrt...

 

[Ap0phis]

Kleiner Tipp:
Entferne mal in sämtlichen Berechtigungen jegliche Häkchen für die Gruppe "users".

Dann sollte es funktionieren!

 

[chaos2oo2]

das versteh ich jetzt erst recht nicht mehr...kannst du mir das erklären wieso?

 

[Ap0phis]

So halb kann ich dir das erklären, für "ganz" ist der Platz hier zu klein! ;-)

Ohne Häkchen gelten die Standard-Einstellungen "alles erlaubt", die durch weitere Gruppen und deren Berechtigungen "überschrieben" werden können. Setzt du irgend ein Häkchen für die Gruppe "users", dann überschreibt das wiederum jegliche Einstellung für andere Gruppen.
So kann man z.B. zur Not mal eben schnell "alles" über die Berechtigung der Gruppe "users" sperren oder auch freigeben(!), wenn man mal ein Problem hat o.ä.!

 

[chaos2oo2]

ich möchte das über Gruppen abbilden. Eine Gruppe für User die nur manches sehen, eine Gruppe für User die alles sehen aber nur lesend, und eine Gruppe für User die alles sehen und schreiben dürfen. Keine individuellen Userberechtigungen.

 

[Ap0phis]

Ja, das habe ich mitbekommen.
Das machst du genau so, wie von Benares beschrieben. ... nur ohne Häkchen in der Standard-Gruppe "users"!

 

[chaos2oo2]

ok, 2 Gruppe, eine für Lesen und eine für Lesen/Schreiben, aber wie regel ich dann, dass es nur bestimmte ordner für eine Gruppe sichtbar sind?

edit:

ich glaub ich habs...bei den Ordnerrechten einfach unter Genehmigung nur Lesen/Schreiben/Ausführen für Sonstige rausnehmen.

 

[jan_gagel]

Das funktioniert so aber auch nicht...ich habe nun folgendes Szenario ausprobiert:

- gemeinsamer Ordner shared (users darf lesen/schreiben, readOnly darf nur lesen)
- Gruppe users darf lesen/schreiben
- Gruppe readOnly darf nur lesen
- User UserA gehört zur Gruppe users + readOnly

und ich kann trotzdem Ordner auf dem Netzlaufwerk erstellen....

In der Prioritäten steht: NA > RW > RO

das heißt doch wenn ich eine Gruppe mit RW hab und eine mit RO, dann kann der User RW...folglich gilt nicht Verbot vor Erlaubnis?!? Ich bin echt verwirrt...

Kurios. Ich hab einen User "ftpuser" welcher in den Gruppen "users" (Vollzugriff auf alles) und "ftpuser" ist. Der User "ftpuser" hat selbst keine speziellen Berechtigungen, es ziehen also lediglich die Gruppenberechtigungen. Nach deiner Beschreibung hätte er ja Schreibzugriff auf alle Verzeichnisse, da er Mitglied der Gruppe "users" ist und somit Vollzugriff auf alles hat. Praktisch hat er jedoch die Beschränkungen der Gruppe "ftpusers", in der er ja auch Mitglied ist. Diese Gruppe hat R/W-Zugriff auf die Freigabe "ftp" und sonst hat er explizit "keinen Zugriff" auf andere Shares.

Stecke ich jetzt einen USB-Stick an, der noch nicht angeschlossen war, oder ich erstelle ein neues Share, darf die Gruppe ftpuser zwar erstmal zugreifen, da die Rechte die Standard-Rechte (kein Haken gesetzt) ziehen, ich arbeite dann aber die Gruppen nach und sperre den Zugriff für die Gruppe ftpuser. Dann darf diese Gruppe wieder nur auf die einzige Freigabe ftp zugreifen.

Praktisch ist auch noch, daß über den FTP-Server lediglich die zugangsberechtigten Freigaben angezeigt werden. Alle "verbotenen" werden ausgeblendet.

Kann durchaus sein, daß RO hier eine andere Regelung trifft. Ich verwende entweder R/W-Zugriff oder keinen Zugriff.

 

[chaos2oo2]

Hier mal kurz wie ich es gemacht habe:

- Gemeinsamer Ordner erstellt
- es werden drei User benötigt:

* UserA: nur lesen, sieht alles
* UserB: nur lesen, sieht nicht alles
* UserC: Adminuser, sieht alles, darf alles

- sämtliche Berechtigungen der Gruppe 'users' auf den gemeinsamen Ordner entfernen
- eine Gruppe 'folderAdmin' anlegen, diese darf "nur Lesen" auf dem gemeinsamen Ordner
- UserA und UserB dürfen nur Lesen zugreifen
- UserC darf Lesen und Schreiben
- Alle Ordner werden unter dem UserC mit Gruppe 'users' erstellt
- Die Ordner, die ausgeblendet werden sollen, müssen auf Gruppe 'folderAdmin' gestellt

werden
- Unter Genehmigung werden diese nur für Besitzer und Gruppe bearbeitbar
- Sonstige werden komplett deaktiviert




Kann mal jemand drüberlesen und schauen ob das ok ist so? Oder hab ich da Quatsch gemacht?