Zugriff auf Unterordner erlauben, alles Andere sperren

[spy54514]

Hallo zusammen,

ich habe eine DS mit der aktuellsten Software-Version.
Auf der DS habe ich drei gemeinsame Ordner. Unterhalb dieser Ordner befindet sich eine tiefergehende Ordnerstruktur.
Es sind mehrere User auf der DS angelegt.
Bisher hatten diese User Zugriff auf alle Inhalte des gemeinsamen Ordners.
Nun soll einer der User nur noch Zugriff auf einen Unterordner eines freigegebenen Ordners erhalten, alles andere soll für ihn nicht einsehbar sein.

Meine Frage: wie kann ich das (notfalls mit ACL) realisieren? Was muss ich wo einstellen?

Vielen Dank vorab für euer Hirn!

Gruß aus dem Pott!

 

[TeXniXo]

Zugriff auf einen Unterordner eines freigegebenen Ordners erhalten, alles andere soll für ihn nicht einsehbar sein.

Schon alleine der Begriff "alles andere nicht einsehbar" -> Vorhaben leider nicht möglich.
Man kann die Vererbungskette (von Zugriffsrechten) mWn sozusagen brechen und so den einen oder anderen freigeben, aber sie werden nach wie vor alles angezeigt.

 

[spy54514]

Hallo TeXniXo,

vielen Dank für deine schnelle Antwort!
Richtig, ich habe mich unsauber ausgedrückt. Angezeigt werden dürfen die Ordner, ganz ausgeblendet sein müssen sie nicht.
Wichtig ist nur, dass sie "gesperrt" sind, sprich der Zugriff verweigert wird.
Wie könnte da konkret ein möglicher Lösungsansatz aussehen?

 

[FrAntje]

Warum gehst du nicht einfach ein einen Ordner bzw. Unterordner und dann auf Eigenschaften -> Genehmigung -> Erweiterte Optionen.
Dort erklärt sich alles von selbst.

 

[ottosykora]

noch eleganter wäre es eine vernünftige Struktur zu erstellen und sich nicht auf besondere Tweaks zu verlassen die dann unter Umständen auf anderen Betriebsystemen versagen.

 

[Matthieu]

Das geht nur mit ACL und ist nicht ganz ohne Tücken. So können nicht alle Protokolle und Applikationen mit ACLs arbeiten und gewähren daher dennoch Zugriff. Du musst also genau nachsehen wie auf die Daten zugegriffen wird und alles andere abschalten ...

MfG Matthieu

 

[spy54514]

Danke für die Antwort!
Finde es leider nicht so selbsterklärend.
Habe dem Benutzer beim Anlegen Zugriff auf das gesamte Laufwerk gewährt. Nun hat er Zugriff auf das gesamte Laufwerk, auch auf den besagten Unterordner.
Das ist jedoch nicht das, was ich will. Auch kann ich nicht alle Rechte der bestehenden Ordner anpassen, auf die der Zugriff verboten sein soll. --> was würde mit neu angelegten Ordnern geschehen?
Alternative wäre: den Zugriff auf das gesamte Laufwerk verbieten, zum besagten Unterordner navigieren und dort den Zugriff erlauben.
Leider wird mir das beim Zugriff über SMB jedoch dann nicht ermöglicht. Woran könnte das liegen?

 

[Matthieu]

Verbieten und dann selektiv erlauben geht glaube ich nicht. Genau deswegen wird von solchen Konstrukten ja abgeraten
Bei Samba kann man die Mask anpassen die für neue Ordner gelten soll. Die Synology GUI scheint das aber nicht anzubieten. Und von händischen Änderungen über die GUI hinweg würde ich stark abraten weil die gern weg sind ohne dass man es merkt (was bei Berechtigungen fatal ist).
Infos zu ACLs:
https://www.synology.com/en-us/know...w_to_manage_ACL_settings_on_your_Synology_NAS

MfG Matthieu

 

[FrAntje]

Der Besagte Nutzer muss auf den Gemeinsamen Ordner mindestens Leserechte haben. Du darfst in deinem Fall nicht mit Verboten arbeiten, denn diese haben immer die höhere Stellung. Bei den Unterordnern gehst du dann über Eigenschaften / Genehmigung.
Dort gibts du dann für die Unter-Ordner (Übernommene Genehmigung ausdrücklich machen) weitere Rechte. In diesem Fall Lesen / Schreiben.
Dort kannst du dann auch einstellen ob eine vererbung stattfinden soll, damit vermeidest du dann, dass du es für alle Ordner erneut einstellen muss.

 

[spy54514]

Hallo zusammen,

offenbar übersteigt die Aktion meine Kenntnisse, dann lasse ich lieber die Finger davon und helfe mir anders bzw. verzichte auf den gesperrten Zugriff für diesen User.
Danke dennoch allen Beteiligten für den Input!

 

[tproko]

Ich würde das "einfach" mit getrennten "Gemeinsamen Ordner" lösen. Das sollte für deine Anforderungen ja reichen?

 

[spy54514]

Das Problem dabei ist, dass ich dir vorhandene Ordnerstruktur umbauen muss - wenn ich mich nicht täusche...
Oder gibt es einen anderen Weg?

 

[tproko]

Theoretisch brauchst du dafür wohl keine Ordnerstrukturen ändern.
Ob du mit den Rechten aber noch hinkommst, musst du selber probieren. Könnte sein, dass DSM hier dann limitiert. Unter Linux wäre mein Vorschlag aber möglich.
Musst du sonst mal ausprobieren, auch wenn ich davon abrate...!

Die Frage ist, ob nicht der saubere, richtige und für die Zukunft bessere Weg wäre, das jetzt einmal anpassen, und nicht noch ewig lange mitschleifen. Überleg dir dein Konstrukt nochmals.


Falls du eine einfache, quick&dirty Lösung probieren willst, probiers mal in diese Richtung:
1.) Einen neuen gemeinsamen Ordner anlegen, dort hat der neue User der weniger sieht dann die entsprechenden Rechte.
2.) Dort mountest du den einen speziellen Unterordner rein per mount bind, dafür erstellst du 2 gesteuerte Aufgaben beim Hochfahren und Herunterfahren mit entsprechenden Skript-Befehlen. Mount bind wird hier gut erklärt, das sind die entsprechenden Skript-Befehle.
3.) Ob die Berechtigungen dann noch richtig setzbar sind bzw. der eine User dann auf den Unterordner Zugriff hat, musst du dann probieren.

 

[FrAntje]

Was veranstaltet ihr hier ein Zirkus Die Lösung habe ich oben doch gennant. DSM bringt alles mit um Unterorder eines gemeinsamen Ordners freizugeben ohne dass auf die anderen Ordner Zugriff besteht.

Also entweder bin ich total durch im Kopp und verstehe das Problem nicht, oder halt ihr

 

[ottosykora]

Also entweder bin ich total durch im Kopp und verstehe das Problem nicht, oder halt ihr

das mit den ACL ist eben nicht für alles perfekt (und mit unix Rechten geht es nicht), da ist #8 schon richtig.
Vernünftige Struktur ist jedenfalls besser.

 

[servilianus]

Möchte mich gern auchmal einklinken. Weil ich vor einem ähnlich gelagerten Problem stehe. Es gibt einen gemeinsamem Ordner, er enthält Unterordner mit persönlichen Daten von einzelnen Usern. Was ich bisher mit Syno-Bordmitteln / Rechtevergabe hinbekommen habe, ist, dass die User nur ihren eigenen Ordner Lesen und bearbeiten können. Aber nicht, wie ich es eigentlich will, dass nur ihr eigener Ordner angezeigt wird. Weil die User für den (übergeordneten) gemeinsamen Ordner ja logischerweise zumindest eine Leseberechtigung haben müssen. Nehmen wir also den Fall, es gibt einen gemeinsamen Ordner mit Unterordner für 30 Personen. Wenn ein User per WebDav z.B. auf seinen Ordner zugreifen will, erscheinen natürlich auch die 29 (Nachbar)-Ordner der Kollegen. Was sehr unübersichtlich wird. Liesse sich das irgendwie umgehen?

 

[NSFH]

Erstaunlich, wenn ein Moderator hier von Tücken in den Einstellungen der ACL spricht. Dabei bringt DSM alles mit um sowas problemlos zu realisieren und schwer ist es auch nicht.

1. Schritt: Man muss die Freigabe des Ordners anpassen: Systemsteuerung > Gemeinsamer Ordner den Ordner auswählen
2. Bearbeiten > Allgemein den Haken setzen bei: Unterordner und Dateien vor Benutzern ohne Berechtigung ausblenden
Das war die Grundlage.
Die Vererbung der Zugriffsrechte läuft immer noch ungebremst vom 1. bis zum untersten Ordner in der Freigabe.
Unmöglich ist es die Ordnerverzweigungen zu umgehen, wenn der Zielordner weiter unten verschachtelt ist und alle auf benachbarte Ordner Zugriff haben.
Hier sollte man unbedingt überlegen eine flachere Ordnerstruktur zu wählen, damit überflüssige Ordner erst gar nicht angezeigt werden.
Jetzt kann man ab beliebiger Stelle in der Struktur die Vererbung unterbrechen.
Dazu muss man den passenden Ordner mit FileStation auswählen und mit: Aktion > Eigenschaften > Genehmigung die Vererbung unterbrechen.
Das macht man mit: Erweiterte Optionen > Übernommene Genehmigung ausdrücklich machen.
Jetzt werden auf einmal die bisher ausgegrauten Berechtigungen schwarz und man kann ab dieser Position gänzlich andere Zugriffsrechte vergeben, unerwünschte Zugriffe löschen usw.

Das ist die ganze Hexerei zu dem Thema, nicht knifflig, nicht problematisch, nur simpel und von Synology gut gelöst.
Ein Rat noch wenn viele Nutzer im System sind. Nie Personen Zugriffsrechte geben (nur den Nutzer anlegen und sonst nichts einstellen) sondern die ACL immer mit Gruppen realisieren. Ändert sich die Gruppenzugehörigkeit oder ein Name bleibt alles erhalten. Andernfalls zieht sowas einen Rattenschwanz an Änderungen in den ACL nach sich.

 

[ottosykora]

dass die User nur ihren eigenen Ordner Lesen und bearbeiten können. Aber nicht, wie ich es eigentlich will, dass nur ihr eigener Ordner angezeigt wird.

also dafür gibt es die /home Ordner für jeden Benutzer

 

[ottosykora]

@NFSH
ja, das ist klar mit der Unterbrechung der Vererbung, das ergibt aber alleine noch nicht die Freigabe eines einzelnen Unterordners wie davon so viele träumen.

 

[NSFH]

Natürlich kann man damit einen einzelnen Unterordner freigeben, aber wie ich es beschrieben habe kann man nicht den Weg dort hin ausblenden.
Hier ist erst mal eine sinnvolle Ordnerstruktur gefragt. Schlüsselt man die Struktur gleich mehrfach im Root der Freigabe auf und hält damit die Struktur möglichst flach bekommen die Nutzer auch fast nichts von den anderen Ordnern zu sehen.