Zugriff auf anderen Admin einschränken

[Nas19]

Hallo,
ich überlege mir zusammen mit jemand anderem ein NAS anzuschaffen, habe aber noch mehrere Fragen bezüglich der Konfiguration, ob dies wirklich sinnvoll ist.
Ich habe schon einige Seiten gelesen und Videos geschaut, zurzeit ist dies mein Kenntnisstand:

1. Der Standardordner eines Users ist unverschlüsselt.
2. Jeder Admin hat vollen Zugriff auf alle anderen User.
3. Als Admin kann man verschlüsselte Ordner anlegen, aber:
4. Sobald dieser Ordner gemountet ist haben wieder alle Admins Zugriff.

Ist das soweit korrekt? Oder gibt es doch Möglichkeiten, den Zugriff auf die Daten eines anderen Admins einzuschränken?

 

[Frogman]

Nein - alles, was ein admin einschränkt, kann jeder admin auch wieder ändern.

 

[independence2206]

zu 1: Home Verzeichnisse sind unverschlüsselt (sobald diese gemounted sind, sieht den Inhalt aber jeder Admin)
zu 2: Korrekt
zu 3: Korrekt
zu 4: Korrekt

Jeder Admin sieht immer alle Daten/Einstellungen/Home-Verzeichnisse usw. Also wenn du Daten besitzt, die dein Kollegen nicht sehen soll, dann würde ich ein anderes Vorgehen vorschlagen (hab ich glaube ich schon mal irgendjemandem vorgeschlagen):

Du und dein Kollege legt euch normale User-Accounts an (keine SuperUser/Admin Konten). Diesen Usern weißt ihr alle Berechtigungen/Ordner etc zu, sodass alles eingestellt ist und jeder seine "gemeinsamen Ordner" etc hat und die Konfig nicht mehr im Normalbetrieb (sondern nur bei Änderungen) angepackt werden muss. Die ganze Konfig macht ihr gemeinsam (nebeneinandersitzend am PC) mit dem Adminkonto - sodass ihr euch gegenseitig kontrolliert. Damm vergebt ihr ein Passwort für das Adminkonto bei dem beispielsweise du die erste Hälfte des Passworts erstellst und dein Kollege die zweite Hälfte. So kann der Account nur von beiden genutzt werden (wenn Änderungen durchgeführt werden müssen) und normalerweise hat jeder im Tagesbetrieb seinen eigenen User der nur auf das berechtigt ist, was "dir gehört"...
Gibt aber bestimmt noch andere Möglichkeiten. Das wäre aber so der pragmastischste Ansatz aus meiner Sicht.

 

[Nas19]

Danke für die Antworten.
Wie praktikabel ist im Alltag die Idee sich nur zu zweit anmelden zu können? Das müsste dann wohl zum Beispiel bei jedem Update erfolgen?

 

[Kurt-oe1kyw]

Willkommen im Forum. Muss nicht zwingend bei einem Update sein, wenn ihr es auf "automatisches Update" stellt, so sollte auch aktualisiert werden auch wenn gerade kein admin und/oder User mit Adminrechten eingeloggt ist.

Ein User mit Adminrechten hat fast die gleichen Rechte wie der "admin" welcher bei der Systeminstallation DSM automatisch angelegt wird. Du brauchst den User "admin" zB um den User "root" auf der Konsole zu verwenden, oder in der Photostation die Art der Benutzerkontensteuerung umzustellen.
Bitte auch nicht vergessen auf das separat angelegte Synology Accountkonto! Dort wird eure QC Verbindung, DDNS Verbindung und die Registrierung der DS eingetragen.
Siehe dazu https://account.synology.com/de-de

Admin ist eine Vertrauenssache. Ihr könnt aber diverse Protokollfunktionen aktivieren, dann siehst du zB in der Filestation (ist so was ähnliches wie der Explorer für windows) welcher User was gemacht hat.

Hinweis:
Bitte auch den Notfallplan nicht vergessen, an der Rückseite der DS befindet sich ein kleiner Microtaster. Wird dieser länger als 4 Sekunden gedrückt, dann piept die DS und der "kleine Reset" wurde durchgeführt. Dh. der User "admin" ist automatisch aktiviert und sein Kennwort auf Werkseinstellung zurückgesetzt!

 

[NSFH]

Du spielst mit dem zu Zweit anmelden auf das 4-Augen Prinzip an. Das ist kein Sicherheitsfeature für die Technik sondern die Absicherung gegen menschliche Schwächen etwas zB im System tun zu können was man nicht tun darf. Beim 4-Augenprinzip müssten sich schon beide Passwortbesitzer einig sein verbotenes zu machen.
Das Auditing, wie man die Kontrolle der Logdateien nennt ist nicht ganz so trivial, wenn man durch den Server allse mitloggen muss.

Was man machen sollte ist den automatisch zur Verfügung gestellten Admin zu deaktivieren und für diese Funktion einen anderen namen zu wählen. Dazu muss man erst einen 2.Administrator erstellen und unter dessen Anmeldung kann man dann den alten Admin deaktivieren.