Rechtevergabe - Nutzung eines shares mit Unterordnern etc. ACL OHNE Win-Domäne

scarface40 · 15. Mai 2014

Hallo zusammen,

ich habe wirklich schon zahlreiche Beiträge, Anleitungen, Handbuch und offizielle Synology Hilfen gelesen, bevor ich nun den Mut gefasst habe, doch mal einen eigenen Beitrag zu verfassen. Ich hoffe sehr darauf, nicht direkt von allen Seiten Schelte zu bekommen

Aber ich habe das Synology NAS gekauft, weil sich die Hersteller Artikel alle so lasen, als ob die Integration in eine Windows Umgebung inklusive Rechtesteuerung so einfach wäre.

Also, folgende Voraussetzungen sind gegeben:

- Windows 7 Prof. 64-bit Clients
- Synology 214+ DSM 5.0-4482

Ich möchte folgendes erreichen:

- Zugriff auf gemeinsame Ordner auf dem NAS
Aber, ich möchte gerne die DSM-User in den lokalen Gruppen der Windows Clients verwalten, weil dies meiner Meinung nach viel übersichtlicher ist

- Ich habe keine Domäne! Wir reden über 3 Windows Clients in einem kleinen Betrieb

Ich sehe zwar die DSM-Gruppen , wenn ich mir auf dem share die Berechtigungen anzeigen lassen, habe aber keinerlei Option, die lokalen Windows-User in diese zu integrieren (auf dem NAS) oder auf dem share auf
den Windows Clients die Windows Gruppen bzw. User zu berechtigen.
Es ist für mich eigentlich keine Option, die DSM User im Tresor oder mittels bekannten "net use" Parametern zu hinterlegen.

Mir fehlt ehrlich gesagt irgendwo die Erklärung von Synology, was für sie die Definition von Windows-ACL Unterstützung bedeutet. Von einer Integration kann man ja nicht wirklich reden. Ausser man betreibt eine Windows Domäne.
Hoffe, irgendjemand hat mal DIE Lösung, wie man am einfachsten, sichersten und übersichtlichsten "Gemeinsame Ordner" auf dem NAS für Windows 7 Clients zur Verfügung stellt. Und nochmal: Kennwörter in batch-Dateien oder die Verwendung vom Tresor sind für mich eher ungeeignet.
VIELEN DANK im VORAUS!!!!

Ein paar screenshots:

Anzeige · 15. Mai 2014

Hallo scarface40,

Bücher und Hardware zum Thema gibt es bei Amazon: Rechtevergabe - Nutzung eines shares mit Unterordnern etc. ACL OHNE Win-Domäne

JudgeDredd · 15. Mai 2014

Hallo scarface40,

bevor wir jetzt ins Detail gehen ... sind denn die Windowsbenutzer mit Name/Passwort identisch mit den Profilen auf der DS ?

Gruß,
Andreas

stefan_lx · 15. Mai 2014

so wie du das willst, geht das nicht, was nicht an der syno liegt, sondern am System an sich... Momentan wirst du an vier Benutzerverwaltungen (drei PCs und eine syno) nicht vorbeikommen. An den vier beteiligten Geräten müsstest du alle Benutzer pflegen, die gleichen Benutzer mit den gleichen Passwörtern.. dann brauchst du auch keine Passwörter in Batches oder "Tresoren"(?) zu hinterlegen, der Zugriff geht dann ohne weitere Eingabe eines Passwortes..

Windows-Umgebung bedeutet, dass man nicht nur Windows-Clients, sondern auch Windows-Server nutzt...

Stefan

scarface40 · 16. Mai 2014

Moin!

Vielen lieben Dank für die Antworten!

Ich hab es mir ja schon gedacht.

@JudgeDredd

Na klar. Habe alle User und Passwörter gleich gehalten. Habe mir schon vorher einiges angelesen und bin an die Sache sehr vorsichtig rangegangen. Minimal-Prinzip versuche ich immer grundsätzlich einzuhalten.

Eine Frage noch generell:

Die Optionen "Erweiterte Berechtigungen" und "Genehmigungen" sind mir noch nicht wirklich klar.

Eigentlich sollte es doch ausreichen, wenn ich auf die Unterordner des gemeinsamen Ordners die entsprechenden Gruppen berechtige oder nicht?
Und auf diesen dann einfach nur den Haken setze "...Ordner ausblenden für User ohne Berechtigung"

Wozu dann die erweiterten Berechtigungen bzw. Genehmigungen?

Habe doch noch ein paar generelle Fragen im Kopf:

1)
Macht es aus eurer Sicht Sinn das Mapping vom Windows-Client unter jedem lokalen User einmalig mit seinen Rechten durchzuführen oder für alle, ein Konto "Laufwerksmapping" zu verwenden?
Sprich einen User und eine Gruppe auf dem NAS einzurichten, die dann auf den gemeinsamen Ordner Lesen/Schreib Rechte bekommt, aber nur dafür da ist, das share auf den Windows-Clients zu mappen.
Kann die Syno dann die Rechte der tatsächlich angemeldeten Windows User trotzdem "verwalten"?

Oder einfach direkt mit jedem Win-User das mapping auf das gemeinsame share vornehmen?

2)
Welche Dienste sind unbedingt auf dem NAS zu aktivieren, um den Zugriff von einem Win7-Client zu gewährleisten? MINIMAL!

3)
Welche Dienste sind unbedingt notwendig, um den Zugriff von ausserhalb (Internet) auf das NAS zu gewährleisten? Ich spreche dabei rein von Zugriffen auf die FileStation, sprich Daten.

Viele Grüße und einen schönen letzten Wochentag!

stefan_lx · 16. Mai 2014

das "Ordner ausblenden" gilt nur für die Freigabe an sich..
zu deinen anderen Fragen:
1. Wenn du zum Mappen einen anderen Benutzer nimmst, dann wird auch nur der von der Syno erkannt und nicht der angemeldete Windows-Benutzer => einmal pro Windows-Benutzer mappen (was auch über ein Batch bei Anmelden gehen würde, weil die Benutzer/Passwörter identisch sind).
2. Windows.-Dateidienst
3. Benutzer für Filestation freischalten, am besten den im Anwendungsportal vorgeschlagenen verschlüsselten (7001) nehmen und sich mit https://externeadresse.deindyndns.org:7001 anmelden...

Stefan

JudgeDredd · 16. Mai 2014

Hallo,

Eigentlich sollte es doch ausreichen, wenn ich auf die Unterordner des gemeinsamen Ordners die entsprechenden Gruppen berechtige oder nicht?
Wozu dann die erweiterten Berechtigungen bzw. Genehmigungen?

Gruppen auf Unterverzeichnisse berechtigen machst Du ja bei "Genehmigungen" und die "erweiterten Berechtigungen" haben nur Auswirkung auf FileStation/FTP/WebDAV für Samba/CIFS sind sie ohne Auswirkung. Es könnten also User die lokal im LAN arbeiten, sich in Verzeichnissen bewegen, die sie z.B. remote nicht sehen.

Macht es aus eurer Sicht Sinn das Mapping vom Windows-Client unter jedem lokalen User einmalig mit seinen Rechten durchzuführen oder für alle, ein Konto "Laufwerksmapping" zu verwenden?
Sprich einen User und eine Gruppe auf dem NAS einzurichten, die dann auf den gemeinsamen Ordner Lesen/Schreib Rechte bekommt, aber nur dafür da ist, das share auf den Windows-Clients zu mappen.
Kann die Syno dann die Rechte der tatsächlich angemeldeten Windows User trotzdem "verwalten"?
Oder einfach direkt mit jedem Win-User das mapping auf das gemeinsame share vornehmen?

Mmmh, so ganz sicher was Du meinst bin ich mir gerade nicht. Da Du ja keine Domäne hast, müsstest Du wie "stefan_lx" schon sagt, auf jedem Rechner ein LogOn-Script laufen lassen.
Da Du ja Benutzer/Passwort auf dem Rechner und DS syncron hältst müssen in dieses Script auch keine Benutzer oder Passwörter.
Ich habe hier auch noch den SYNO-LDAP Server im Betrieb und authentifiziere mich mittels pGina dort. Das hat den Vorteil, das Benutzergruppen direkt in das lokale WIN-Profil geschrieben werden und somit lokale Berechtigungen möglich sind.

Welche Dienste sind unbedingt auf dem NAS zu aktivieren, um den Zugriff von einem Win7-Client zu gewährleisten? MINIMAL!

SMB/CIFS (Windows Dateidienst)

Welche Dienste sind unbedingt notwendig, um den Zugriff von ausserhalb (Internet) auf das NAS zu gewährleisten? Ich spreche dabei rein von Zugriffen auf die FileStation, sprich Daten.

Als Dienst muss nur der Admin-Apache laufen. Das tut er aber sowieso (DSM Oberfläche). Mal von Portfreigaben/-weiterleitungen abgesehen, könntest Du höchstens der Filestation einen eigenen Port zuweisen um eine Anmeldung über DSM zu vermeiden.

Gruß;
Andreas

scarface40 · 17. Mai 2014

Als Abschluss noch kurz:

Vielen Dank für Eure Hilfe!

@JudgeDredd

Den LDAP-Server hatte ich auch vor dem letzten RESET der Synoy mal installiert und ein wenig ausprobiert.
Mit dem pGina Client habe ich noch keine Erfahrungen gemacht, denke aber, daß der LDAP-Server des NAS und pGina auf den Windows-Clients wohl meine zukünftige Lösung sein wird.
Ich muss momentan echt abwägen, was am praktikablesten für diese kleine IT-Umgebung ist.

Habe mir auch eben mal "kurz" ein paar Infos auf der Seite von pGina durchgelesen.
Prob ist, ich werde jetzt nicht unbedingt der Admin der IT dort sein. Eigentlich sollte der Chef später alles selber handeln können. Er ist aber halt kein IT-Mensch.
Schwierig....Ich will alles schon so sicher wie möglich haben, übersichtlich soll es auch bleiben, aber halt auch "leicht" zu administrieren.

Ach....wie einfach war meine AD-Struktur mit 800 Clients dagegen zu administrieren.

Gruß
Andreas

blurrrr · 09. Apr 2015

Hi,

mal ganz kurz gefragt... was spricht gegen fixe User/Gruppen (über die die Berechtigungen geregelt werden) auf der DS + lokale Windows-User?

Ich persönlich halte auch nicht viel von irgendwelchen Portfreigaben.... VPN zur Firma und somit zur DS, Netzlaufwerke und für die DS-Anmeldeinformationen benutzt man einfach die "Anmeldeinformationsverwaltung" (s. Systemsteuerung, zur Speicherung von Kennwörtern für z.B. Netzlaufwerke). Somit ist ein lokales und ein entferntes arbeiten (via VPN) jederzeit möglich.

Rechte auf DS-Gruppen, DS-User in DS-Gruppen, dazugehörige Accountdaten bei den jeweiligen Rechnern hinterlegen, fertig!

Da es "minimal" gehalten werden soll, wäre das wohl die einfachste Lösung, ebenso hätte der Chef leicht die Möglichkeit etwaige Berechtigungen zu ändern, da er sie einfach nur auf der DS ändern muss (z.B. durch die Zuweisung einer anderen Benutzergruppe). Dadurch, dass auch jeder seinen eigenen Benutzer hat, kann auch sichergestellt werden, welcher Account (bzw. welcher User) komprimitiert wurde (falls es mal soweit kommt) und diesen entsprechend sperren/abändern. Mit einem einzelnen Account (z.B. für eine ganze Gruppe) wäre es weniger praktikabel. So hat man direkt wen, auf den/die man zugehen kann

Da wir nicht von Netzwerken mit mehr als 10 Usern sprechen, finde ich, dass das eine durchaus praktiable Lösung ist (ausser man wechselt täglich die Passwörter der DS-User

).

Schönen Gruß
blurrrr