Verständnisfrage bezüglich Freigabe von Ordner

[Swp2000]

Wenn ich nun einen Ordner anlege, in meinem Fall nun "NAS" und möchte das sich bestimmte Nutzer auf diese Ordner einwählen können, da ich nicht für jeden dieser Nutzer ein getrenntes Home-Konto benötige und ich nun bei der zu sehenden Auswahl bin:

Was passiert nun mit den Benutzern bei denen ich keinen Haken setze? Ist hier der Effekt der gleiche, wie wenn ich den Haken bei "Kein Zugriff" setze?

 

[Frogman]

Nein, etwas ausdrücklich untersagen ist etwas anderes als keine Vorgabe - aber hier solltest Du dann einmal die Zugriffsrechte der Benutzergruppen anschauen (wie zB. administratoren, user usw.).
Ohnehin empfiehlt es sich, Rechteverteilungen über Benutzergruppen einzurichten, nicht über einzelne Benutzerrechte.

 

[Swp2000]

Nein, etwas ausdrücklich untersagen ist etwas anderes als keine Vorgabe

Was bedeutet das in der Praxis?

 

[Aevin]

Was bedeutet das in der Praxis?

Ganz Einfach, Benutzer A und Benutzer B ist in der Gruppe Filme vorhanden, die Gruppe Filme beinhaltet die Ordner Film1 und Film 2.

Es würden jetzt beide Benutzer in beide Ordner reinschauen können. Würdest du Benutzer B den Zugriff auf Ordner Film 2 untersagen... nun dann kann er nur noch auf den Ordner Film 1 zugreifen.

Wie du sicherlich schon erkennen wirst, ist diese ganze Sache richtig sinnvoll bei größeren Nutzeranzahlen. So musst du nicht jedem Nutzer sagen... Hat Zugriff auf Film 1 Film 2 usw... sondern steckst alle in die Gruppe Filme und verbietest bei Einzelnen Usern den Zugriff einzelner Ordner.

Alternativ legst Gruppen an : Familie 1 und Familie 2... In Familie 1 ist der Zugriff auf beide Ordner Film1 und Film2 gestattet und bei Familie 2 nur auf den Ordner Film 1

Dann wird dem Benutzer A die Gruppe Familie 1 und dem Benutzer B die Gruppe Familie 2 zugeordnet... Gleiches Ergebnis wie oben, aber ohne eine "Zugriff verweigert" Option. Nach meiner Vorstellung zu favorisieren.

Gruß Aevin

 

[Swp2000]

D.h. solange ich nichts ankreuze können sie zwar nichts verändern, jedoch in den Ordner reinschauen? So gesehen haben sie bei keiner Hakensetzung Lesezugriff?

 

[Aevin]

D.h. solange ich nichts ankreuze können sie zwar nichts verändern, jedoch in den Ordner reinschauen? So gesehen haben sie bei keiner Hakensetzung Lesezugriff?

wenn du keine Haken setzt bei einem Benutzer, aber den Benutzer in der Gruppe Familie 1 setzt, hat er Zugriff auf die Filme in Familie 1. Du stellst die Berechtigung auch in der Gruppe direkt ein. Also Wenn du Familie 1 -> Film 1 Film 2 usw... nur Leseberechtigung zuteilst, kann der Benutzer auf beide Ordner mit Leseberechtigung zugreifen. Änderst du später mal in der Gruppe Familie 1 den Ordner Film 1 auf Lese- und Schreibberechtigung, können alle Benutzer, die dieser Gruppe (Familie 1) zugeordnet wurden sind, auf den Ordner Film 1 lesend und schreibend zugreifen.

Daran erkennst schon die Logik (hoffe ich)

Du hast 10 Benutzer alle mit der Berechtigung der Gruppe Familie 1 und nur mit Lesezugriff.
Jetzt möchtest du aber allen Benutzern gestatten, in dem Ordner Film 2 schreiben zu können. Du müsstest daher bei jedem Benutzer extra den Haken Lesen/Schreiben setzten (nach deiner alten Variante)... Nach der Gruppenvariante musst du nur einen Haken in der Gruppe Familie 1/Film 2 auf lesen/schreiben setzen und schon können alle 10 Leute in dem Ordner schreiben.

Ich hoffe du blickst da ein bisschen durch, ansonsten bei sehr wenigen Benutzern, gehe erstmal über die Benutzerberechtigung. Also teile jedem separat mit, was er machen kann und was nicht.

Kein Haken bei allen 3 Auswahlboxen bedeutet absolut kein Zugriff auf den Ordner. Da musst nicht direkt den Haken "Zugriff verweigert" setzen

Gruß Aevin

 

[Swp2000]

Kein Haken bei allen 3 Auswahlboxen bedeutet absolut kein Zugriff auf den Ordner. Da musst nicht direkt den Haken "Zugriff verweigert" setzen

Gruß Aevin

Danke das wollte ich wissen. Bei meinem geposteten Screenshot hat nur der durchgestrichene Benutzer Zugriff, die andern (admin,guest) haben keinen Zugriff!?
Da ich bei meinem Netzwerk Zuhause an jedem Rechner nur ein Benutzerkonto habe, ist dies automatisch auch der Administrator, somit reichen mir eigentlich die 2 vorgegebenen Gruppen, da ich die einzelnen Privilegien dann direkt über die Benutzer anlege. Das geht ja so auch oder?

Desweiteren habe ich beim anlegen meiner beiden Benutzer, in meinem Fall Horst und Michi jeweils den HomeOrdner aktiviert. Jedoch brauche ich für die beiden Benutzer keine getrennten Ordner da ich die Daten auf dem Nas allen Benutzer im Netzwerk zur Verfügung stellen möchte.So gesehen möchte ich bei mir im Netzwerk den Ordner "NAS" anlegen, auf den alle Benutzer Zugriff haben (Gemeinsamer Ordner).

Dann kann ich den HomeOrdner Dienst ja auch deaktivieren, oder?Dieser wird ja nur verwendet wenn jeder User separat einen Ordner haben muss. Für mein Vorhaben benötige ich diesen ja nicht!?

 

[Frogman]

Kein Haken bei allen 3 Auswahlboxen bedeutet absolut kein Zugriff auf den Ordner. Da musst nicht direkt den Haken "Zugriff verweigert" setzen

Gruß Aevin

Ich glaube, Du verwirrst mit der Aussage etwas. Daher schrieb ich ja auch oben, dass man neben den direkten Benutzerberechtigungen auch die Gruppenberechtigungen anschauen muss - ein User A hat, wenn er bspw. über die Gruppe "user" Zugriff auf einen Ordner X hat - die entsprechenden Zugriffsrechte, auch wenn kein Haken in seinen individuellen Benutzerrechten gesetzt ist (insofern stimmt also die Aussage oben so pauschal nicht).

 

[Aevin]

Ich glaube, Du verwirrst mit der Aussage etwas. Daher schrieb ich ja auch oben, dass man neben den direkten Benutzerberechtigungen auch die Gruppenberechtigungen anschauen muss - ein User A hat, wenn er bspw. über die Gruppe "user" Zugriff auf einen Ordner X hat - die entsprechenden Zugriffsrechte, auch wenn kein Haken in seinen individuellen Benutzerrechten gesetzt ist (insofern stimmt also die Aussage oben so pauschal nicht).

Ja und ich gehe mal von keiner Zuordnung bei der Gruppenberechtigung aus.


Aber Swp2000 du kannst die Berechtigung ganz einfach für jeden Benutzer überprüfen, hätte ich schon mal eher dran denken können

Einfach im DSM auf Systemsteuerung --> Benutzer --> bearbeiten --> Privilegieneinstellung klicken.
Da siehst sofort auf welchen Ordner wer welche Berechtigung hat.

Gruß Aevin

 

[Swp2000]

Ok das habe ich verstanden. Jedoch wenn ich einen Benutzer anlege der lesen und schreiben darf, so kann ich ihm ja gleich in die Gruppe der Administratoren stecken, da diese ja auch lesen und schreiben dürfen, oder sehe ich das falsch?

 

[Frogman]

Das ist keine gute Idee - die Admins heißen nicht umsonst so, die dürfen gehörig mehr als nur auf Ordner zuzugreifen

 

[Aevin]

Ok das habe ich verstanden. Jedoch wenn ich einen Benutzer anlege der lesen und schreiben darf, so kann ich ihm ja gleich in die Gruppe der Administratoren stecken, da diese ja auch lesen und schreiben dürfen, oder sehe ich das falsch?

Also Admingruppe für "Alle" würde ich tunlichst sein lassen, das ist wirklich die Gruppe, die alles immer darf. Auch verhinderst damit spätere Berechtigungsprobleme, falls weitere Benutzer hinzukommen.

Auch den Benutzer admin und guest habe ich bei mir von vornherein deaktiviert.
Habe mir selber dann die Gruppe Administrator zugeteilt und kann fast alles (außer Rootaufgaben) machen.
Alle anderen Benutzer werden über Gruppenberechtigungen zugeordnet.


Ich glaube du solltest dich nochmal ganz genau zu diesem Thema belesen und auch verstehen, wie die Berechtigungen funktionieren.

An deiner Stelle würde ich auch mit der DS "spielen". Also solange du nicht im I-Net damit bist, probiere einfach mal verschiedenen Zugriffsberechtigungen aus. Teste es dann damit, indem du dich mit dem angelegten Benutzer am DSM anmeldetst. Dann kannst über die Filestation sofort sehen, welche Ordner für dich freigegeben wurden und ob du lesen/schreiben kannst.

Gruß Aevin

 

[Swp2000]

Ich meinte das so, wenn ich beisplw. einen Benutzer anlege Namens Jürgen, dieser ist mein Arbeiskollege, und ich gebe ihm die Lese/Schreibberechtigung für den definierten Ordner, ist er dann nicht automatisch ein Admin?

 

[Frogman]

Nein. Lies einfach mal ab Seite 52 im aktuellen DSM-Handbuch.

 

[Swp2000]

Ich habe nochmal eine Frage bezüglich der Freigaben: Und zwar kommt ja der angelegte Benutzer automatisch in die Gruppe "users" den Haken kann ich daraus ja nicht entfernen egal in welche Gruppe ich ihn schlussendlich stecke, er bleibt auch immer in users.
Den Fall gesetzt ich habe 10 nutzer angelegt die alle einen Zugriff auf "=2_Musik" haben. Nun möchte ich einen Arbeitskollegen anlegen der in diesem Ordner keinen Zugriff haben soll. Wie mache ich das genau.
Ich habe ihn in die Gruppe extern hinzugefügt und dort den Zugriff verweigert. Da er sich aber auch in der Gruppe Users befindet in der alle anderen auch sind hat er aber Zugriff auf den Ordner.

Wie muss ich den Nutzer anlegen (da ich ihn ja aus der Gruppe der Users nicht abwählen kann) das er auf den Ordner Musik keinen Zugriff hat?

 

[Frogman]

Wenn ein Benutzer aus einer Gruppe einen Zugriff explizit nicht haben soll, dann entziehst Du ihm die Rechte, die er eigentlich aus seiner Gruppenzugehörigkeit besitzt. Das machst Du direkt bei den Benutzereinstellungen, die Du in der Systemsteuerung direkt neben den Gruppeneinstellungen findest: Benutzer markieren, bearbeiten und dann in den Privilegieneinstellungen für den Ordner die Zugriffsrechte entziehen.

 

[Swp2000]

Ok, verstanden, demnach bleibt die Gruppenberechtigung für alle anderen Ordner auf die die Gruppe zugriff hat unverändert, bis auf den jeweiligen Nutzer in dieser Gruppe dessen ich das Recht auf diesen verwähre.

 

[jan_gagel]

Du hast dir ein kompliziertes Thema ausgesucht. Vielleicht hilft der Hinweis, daß ein Verbot höher priorisiert ist als eine Erlaubnis. Ich habe neben der Gruppe user eine Gruppe mit dem einfallsreichen Namen users angelegt. Die Gruppe user erlaubt alles, weil ja alle angelegten Benutzer da drin sind und ein Verbot sich nicht mehr aufheben läßt. Dann habe ich die Gruppe users, in der alle zugänglichen Freigaben erlaubt werden und alle Freigaben, die nicht zugänglich sein sollen, verboten werden. Also für normale Benutzer. Ich hab neben der Gruppe noch eine für TimeMachine-Backup und eine für FTP, in der die jeweiligen Benutzer nur Zugriff auf TimeMachine-Backup oder FTP haben, alles andere ist dort verboten.

Lege ich einen neuen "Gemeinsamen Ordner" an, muß ich natürlich die "Verbotsgruppen" überarbeiten, weil default-mäßig erstmal Zugriff erlaubt ist. Wie gesagt, das Thema Zugriffsrechte ist etwas komplex und undurchsichtig. Hat man erstmal die Logik verstanden, kommt man damit schon zurecht.

Administratoren sollten sich nur als solche anmelden, wenn wirklich administrative Tätigkeiten zu erledigen sind. Microsoft suggeriert zwar da was anderes, trotzdem ist es immer nur dann sinnvoll mit administrativen Rechten zu arbeiten, wenn es der Einatz erfordert. Denn sollte man sich mit administrativen Rechten eine Schadsoftware einfangen, kann die auch mit administrativen Rechten laufen. Das ändert auch nix dran, daß ab Vista jetzt ein zusätzliches Popup kommt. Denn das ist schnell mal "weggeklickt".

 

[Swp2000]

Ahh das wusste ich nicht. Ich wollte bei users schonmal auf kein Zugriff klicken. Dementsprechend könnte ich mich dann garnicht mehr anmelden? Da Demnach auch die Admins gesperrt wären?