Verständnisfrage zu Standarduser und Adminuser

[Frank73]

Hallo zusammen,

im Rahmen einer anderen Anfrage in diesem Forum (bzgl. SSH) wurden mir "Schwachstellen" bzgl. Standard- und Adminuser aufgezeigt, welche ich anhand von Tipps von Forumsmitglieder (anfangs) wie folgt umgesetzt habe:

Bisher:
Win-PC-User: "Administrator"
NAS-User: "Administrator"
Auf Grund gleichen Passwortes ist ein mappen beim Starten des Win-PCs gewährleistet, allerdings mit einem User, welcher Adminrechte auf der NAS hat.
Zudem ist die Gruppe "administrators" über die ACL in jedem Ordner auf der NAS mit Schreib- /Leserechte ausgestattet. (Da ich da nichts geändert habe, muss dies Standard sein).

Neu:
Win-PC-User: "Mann"; "Frau" (beide Standarduser)
NAS-User: "Mann"; "Frau" (beide Standarduser)
Auf Grund gleichen Passwortes ist ein mappen beim Starten des Win-PCs gewährleistet, jetzt allerdings mit einem User, der nur noch Standardrechte auf der NAS hat.
Da die User "Mann" und "Frau" aber auch auf alle Ordner auf der NAS Schreib- /Lesererchte benötigen sieht die ACL jetzt so aus, dass die Gruppe "administrators" und die Gruppe "familie" die gleichen Rechte besitzen.
Der einzige Unterschied zwischen beiden besteht im Endeffekt nur darin, dass in der Gruppe "familie" nur Standarduser sind, (was im bisherigen Fall nicht gewährleistet war).
Ein echte Rechteunterschied besteht nur in den einzelen home-Verzeichnissen.

Ist das nicht doppelt gemoppelt oder hab ich mal wieder Mist gebaut oder ist das in meinem Anwendungsfall nun mal so?

Dank für Infos.

Gruss
Frank

 

[ottosykora]

das hast du richtig gemacht. Auch wenn du die Rechte von Hand aufgepumpt hast, ist es immer noch so korrekt. Du kannst die Rechte der Familie jederzeit steuern, die von Admin nicht.
Und Rechte werden damit über Gruppen verteilt und nicht direkt.

 

[tproko]

Ich denke auch, dass das passt. Zusätzlich könnte es ja sein, dass "Familie" zB. nicht alle Anwendungen aufrufen kann, die für den Administrator freigeschalten sind.
Außerdem sind meiner Erinnerung nach bei meinen Standardbenutzern dann auch die ganzen NAS Settings ausgeblendet, wenn ich mit mit <standarduser> im DSM anmelde. Also soweit, denke ich, hast du das jetzt gut und richtig getrennt!

Bei deinen Kids halt aufpassen, ob du da nicht noch 2 Gruppen benötigst, "Eltern" vs. "Kinder", falls die nicht alles sehen dürfen/sollen

 

[NSFH]

Es gibt da noch einen markanten Unterschied zwischen Admin und User. Der Admin kann in der Syno alles konfigurieren, die User haben auf diese Systemfunktionen keinen Zugriff.

 

[Frank73]

Vielen Dank für eure Rückmeldungen.

Das scheint ja mal zu passen.

Sollte sich meine Frau mal im DSM mit ihrem User anmelden, kann da jetzt nichts mehr passieren.

Wenn sich meine Frau jetzt an ihrem PC mit ihrem lokalen Standarduser anmeldet, wird automatisch mit diesem Usernamen eine Netzwekverbindung zur NAS mit dem gleichen Namen (auf der NAS auch als Standarduser angelegt) aufgebaut.

An dieser Stelle sollte ich doch jetzt auch "richtiger" unterwegs sein als vorher mit PC "lokaler Admin" <--> NAS "lokaler Admin" oder?

Gruss
Frank

 

[tproko]

Ja. Hört sich vernünftig an...