Zugriff auf Unterordner erlauben, alles Andere sperren

Status
Für weitere Antworten geschlossen.

spy54514

Benutzer
Mitglied seit
01. Okt 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe eine DS mit der aktuellsten Software-Version.
Auf der DS habe ich drei gemeinsame Ordner. Unterhalb dieser Ordner befindet sich eine tiefergehende Ordnerstruktur.
Es sind mehrere User auf der DS angelegt.
Bisher hatten diese User Zugriff auf alle Inhalte des gemeinsamen Ordners.
Nun soll einer der User nur noch Zugriff auf einen Unterordner eines freigegebenen Ordners erhalten, alles andere soll für ihn nicht einsehbar sein.

Meine Frage: wie kann ich das (notfalls mit ACL) realisieren? Was muss ich wo einstellen?

Vielen Dank vorab für euer Hirn! :)

Gruß aus dem Pott!
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Zugriff auf einen Unterordner eines freigegebenen Ordners erhalten, alles andere soll für ihn nicht einsehbar sein.

Schon alleine der Begriff "alles andere nicht einsehbar" -> Vorhaben leider nicht möglich.
Man kann die Vererbungskette (von Zugriffsrechten) mWn sozusagen brechen und so den einen oder anderen freigeben, aber sie werden nach wie vor alles angezeigt.
 

spy54514

Benutzer
Mitglied seit
01. Okt 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo TeXniXo,

vielen Dank für deine schnelle Antwort!
Richtig, ich habe mich unsauber ausgedrückt. Angezeigt werden dürfen die Ordner, ganz ausgeblendet sein müssen sie nicht.
Wichtig ist nur, dass sie "gesperrt" sind, sprich der Zugriff verweigert wird.
Wie könnte da konkret ein möglicher Lösungsansatz aussehen?
 

FrAntje

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
359
Punkte für Reaktionen
17
Punkte
18
Warum gehst du nicht einfach ein einen Ordner bzw. Unterordner und dann auf Eigenschaften -> Genehmigung -> Erweiterte Optionen.
Dort erklärt sich alles von selbst.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
9.004
Punkte für Reaktionen
1.204
Punkte
308
noch eleganter wäre es eine vernünftige Struktur zu erstellen und sich nicht auf besondere Tweaks zu verlassen die dann unter Umständen auf anderen Betriebsystemen versagen.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Das geht nur mit ACL und ist nicht ganz ohne Tücken. So können nicht alle Protokolle und Applikationen mit ACLs arbeiten und gewähren daher dennoch Zugriff. Du musst also genau nachsehen wie auf die Daten zugegriffen wird und alles andere abschalten ...

MfG Matthieu
 

spy54514

Benutzer
Mitglied seit
01. Okt 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Danke für die Antwort!
Finde es leider nicht so selbsterklärend.
Habe dem Benutzer beim Anlegen Zugriff auf das gesamte Laufwerk gewährt. Nun hat er Zugriff auf das gesamte Laufwerk, auch auf den besagten Unterordner.
Das ist jedoch nicht das, was ich will. Auch kann ich nicht alle Rechte der bestehenden Ordner anpassen, auf die der Zugriff verboten sein soll. --> was würde mit neu angelegten Ordnern geschehen?
Alternative wäre: den Zugriff auf das gesamte Laufwerk verbieten, zum besagten Unterordner navigieren und dort den Zugriff erlauben.
Leider wird mir das beim Zugriff über SMB jedoch dann nicht ermöglicht. Woran könnte das liegen?
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Verbieten und dann selektiv erlauben geht glaube ich nicht. Genau deswegen wird von solchen Konstrukten ja abgeraten ;)
Bei Samba kann man die Mask anpassen die für neue Ordner gelten soll. Die Synology GUI scheint das aber nicht anzubieten. Und von händischen Änderungen über die GUI hinweg würde ich stark abraten weil die gern weg sind ohne dass man es merkt (was bei Berechtigungen fatal ist).
Infos zu ACLs:
https://www.synology.com/en-us/know...w_to_manage_ACL_settings_on_your_Synology_NAS

MfG Matthieu
 

FrAntje

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
359
Punkte für Reaktionen
17
Punkte
18
Der Besagte Nutzer muss auf den Gemeinsamen Ordner mindestens Leserechte haben. Du darfst in deinem Fall nicht mit Verboten arbeiten, denn diese haben immer die höhere Stellung. Bei den Unterordnern gehst du dann über Eigenschaften / Genehmigung.
Dort gibts du dann für die Unter-Ordner (Übernommene Genehmigung ausdrücklich machen) weitere Rechte. In diesem Fall Lesen / Schreiben.
Dort kannst du dann auch einstellen ob eine vererbung stattfinden soll, damit vermeidest du dann, dass du es für alle Ordner erneut einstellen muss.
 
Zuletzt bearbeitet:

spy54514

Benutzer
Mitglied seit
01. Okt 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

offenbar übersteigt die Aktion meine Kenntnisse, dann lasse ich lieber die Finger davon und helfe mir anders bzw. verzichte auf den gesperrten Zugriff für diesen User.
Danke dennoch allen Beteiligten für den Input!
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Ich würde das "einfach" mit getrennten "Gemeinsamen Ordner" lösen. Das sollte für deine Anforderungen ja reichen?
 

spy54514

Benutzer
Mitglied seit
01. Okt 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Das Problem dabei ist, dass ich dir vorhandene Ordnerstruktur umbauen muss - wenn ich mich nicht täusche...
Oder gibt es einen anderen Weg?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Theoretisch brauchst du dafür wohl keine Ordnerstrukturen ändern.
Ob du mit den Rechten aber noch hinkommst, musst du selber probieren. Könnte sein, dass DSM hier dann limitiert. Unter Linux wäre mein Vorschlag aber möglich.
Musst du sonst mal ausprobieren, auch wenn ich davon abrate...!

Die Frage ist, ob nicht der saubere, richtige und für die Zukunft bessere Weg wäre, das jetzt einmal anpassen, und nicht noch ewig lange mitschleifen. Überleg dir dein Konstrukt nochmals.


Falls du eine einfache, quick&dirty Lösung probieren willst, probiers mal in diese Richtung:
1.) Einen neuen gemeinsamen Ordner anlegen, dort hat der neue User der weniger sieht dann die entsprechenden Rechte.
2.) Dort mountest du den einen speziellen Unterordner rein per mount bind, dafür erstellst du 2 gesteuerte Aufgaben beim Hochfahren und Herunterfahren mit entsprechenden Skript-Befehlen. Mount bind wird hier gut erklärt, das sind die entsprechenden Skript-Befehle.
3.) Ob die Berechtigungen dann noch richtig setzbar sind bzw. der eine User dann auf den Unterordner Zugriff hat, musst du dann probieren.
 

FrAntje

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
359
Punkte für Reaktionen
17
Punkte
18
Was veranstaltet ihr hier ein Zirkus :) Die Lösung habe ich oben doch gennant. DSM bringt alles mit um Unterorder eines gemeinsamen Ordners freizugeben ohne dass auf die anderen Ordner Zugriff besteht.

Also entweder bin ich total durch im Kopp und verstehe das Problem nicht, oder halt ihr :)
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
9.004
Punkte für Reaktionen
1.204
Punkte
308
Also entweder bin ich total durch im Kopp und verstehe das Problem nicht, oder halt ihr :)

das mit den ACL ist eben nicht für alles perfekt (und mit unix Rechten geht es nicht), da ist #8 schon richtig.
Vernünftige Struktur ist jedenfalls besser.
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Möchte mich gern auchmal einklinken. Weil ich vor einem ähnlich gelagerten Problem stehe. Es gibt einen gemeinsamem Ordner, er enthält Unterordner mit persönlichen Daten von einzelnen Usern. Was ich bisher mit Syno-Bordmitteln / Rechtevergabe hinbekommen habe, ist, dass die User nur ihren eigenen Ordner Lesen und bearbeiten können. Aber nicht, wie ich es eigentlich will, dass nur ihr eigener Ordner angezeigt wird. Weil die User für den (übergeordneten) gemeinsamen Ordner ja logischerweise zumindest eine Leseberechtigung haben müssen. Nehmen wir also den Fall, es gibt einen gemeinsamen Ordner mit Unterordner für 30 Personen. Wenn ein User per WebDav z.B. auf seinen Ordner zugreifen will, erscheinen natürlich auch die 29 (Nachbar)-Ordner der Kollegen. Was sehr unübersichtlich wird. Liesse sich das irgendwie umgehen?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Erstaunlich, wenn ein Moderator hier von Tücken in den Einstellungen der ACL spricht. Dabei bringt DSM alles mit um sowas problemlos zu realisieren und schwer ist es auch nicht.

1. Schritt: Man muss die Freigabe des Ordners anpassen: Systemsteuerung > Gemeinsamer Ordner den Ordner auswählen
2. Bearbeiten > Allgemein den Haken setzen bei: Unterordner und Dateien vor Benutzern ohne Berechtigung ausblenden
Das war die Grundlage.
Die Vererbung der Zugriffsrechte läuft immer noch ungebremst vom 1. bis zum untersten Ordner in der Freigabe.
Unmöglich ist es die Ordnerverzweigungen zu umgehen, wenn der Zielordner weiter unten verschachtelt ist und alle auf benachbarte Ordner Zugriff haben.
Hier sollte man unbedingt überlegen eine flachere Ordnerstruktur zu wählen, damit überflüssige Ordner erst gar nicht angezeigt werden.
Jetzt kann man ab beliebiger Stelle in der Struktur die Vererbung unterbrechen.
Dazu muss man den passenden Ordner mit FileStation auswählen und mit: Aktion > Eigenschaften > Genehmigung die Vererbung unterbrechen.
Das macht man mit: Erweiterte Optionen > Übernommene Genehmigung ausdrücklich machen.
Jetzt werden auf einmal die bisher ausgegrauten Berechtigungen schwarz und man kann ab dieser Position gänzlich andere Zugriffsrechte vergeben, unerwünschte Zugriffe löschen usw.

Das ist die ganze Hexerei zu dem Thema, nicht knifflig, nicht problematisch, nur simpel und von Synology gut gelöst.
Ein Rat noch wenn viele Nutzer im System sind. Nie Personen Zugriffsrechte geben (nur den Nutzer anlegen und sonst nichts einstellen) sondern die ACL immer mit Gruppen realisieren. Ändert sich die Gruppenzugehörigkeit oder ein Name bleibt alles erhalten. Andernfalls zieht sowas einen Rattenschwanz an Änderungen in den ACL nach sich.
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
9.004
Punkte für Reaktionen
1.204
Punkte
308
dass die User nur ihren eigenen Ordner Lesen und bearbeiten können. Aber nicht, wie ich es eigentlich will, dass nur ihr eigener Ordner angezeigt wird.

also dafür gibt es die /home Ordner für jeden Benutzer
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
9.004
Punkte für Reaktionen
1.204
Punkte
308
@NFSH
ja, das ist klar mit der Unterbrechung der Vererbung, das ergibt aber alleine noch nicht die Freigabe eines einzelnen Unterordners wie davon so viele träumen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Natürlich kann man damit einen einzelnen Unterordner freigeben, aber wie ich es beschrieben habe kann man nicht den Weg dort hin ausblenden.
Hier ist erst mal eine sinnvolle Ordnerstruktur gefragt. Schlüsselt man die Struktur gleich mehrfach im Root der Freigabe auf und hält damit die Struktur möglichst flach bekommen die Nutzer auch fast nichts von den anderen Ordnern zu sehen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat