Hallo zusammen.
Ich habe hier eine DS916 mit aktueller DSM Version und einigen Usern. Die User haben unterschiedliche Zugriffsrechte auf Dateien und Verzeichnisse über File Station. Die DS ist via Dyn DNS und Portweiterleitung auf dem Router für den Zugriff von außen eingerichtet.
Bsp:
- User Tom hat Zugriff auf das Verzeichnis DATEN und AUSTAUSCH.
- User Ute hat Zugriff auf das Verzeichnis AUSTAUSCH.
- User Alf hat Zugriff auf das Verzeichnis DATEN, AUSTAUSCH und GEHEIM.
Die Dateien, die im Ordner AUTAUSCH liegen sind nicht sooo wichtig, bspw. Fotos vom letzten Betriebsausflug. Die Dateien in den Ordnern DATEN und GEHEIM sind sensibel, bspw. Rechnungen (Ordner DATEN) oder Mitverträge (GEHEIM).
Nun hätte ich am liebsten, dass alle User sich von extern anmelden können, aber dann nur den Ordner AUSTAUSCH sehen. Wenn sie sich von intern anmelden (also über die lokale IP aus dem internen LAN oder per VPN) sollen sie alle Ordner sehen können. Das wird wohl so nicht gehen, oder? Zumindest habe ich irgendwo hier im Forum gelesen, dass die Syno nicht unterscheiden kann, ob jemand von außen oder von innen "kommt". Ich möchte aber vermeiden, dass die Syno dauerhaft von außen erreichbar ist und somit ja auch alle (sensiblen) Daten...
Also die einzige Möglichkeit, die mir einfällt, ist die, dass man eine Syno hinstellt für sensible Daten und die nur im LAN (bzw. per VPN) erreichbar ist und eine zweite, die nur als Austausch-Plattform fungiert. Aber das kann ja nicht die Lösung sein...
Die drei User oben sind nur beispielhaft, es gibt noch deutlich mehr User.
Den Zugriff von extern ganz und gar abzuschalten und allen Usern VPN einzurichten ist aus verschiedenen Gründen keine Option.
Ich würde das gerne so individuell einstellen können, dass man bspw. auch sagen kann, dass der User, wenn er von außen "kommt" nur Verzeichnisse A, B und C sieht und auch nur die Anwendungen X, Y und Z nutzen kann. Also von innen kann er auf alle Verzeichnisse zugreifen, wo er Berechtigungen hat und auch alle Anwendungen nutzen (bspw. Photostation, Notestation etc.). Von außen aber eben nicht.
Ich bin auf eure Idee gespannt, befürchte aber, dass es so strikt und detailliert nicht machbar ist?!?
PS: Es muss nicht zwingend auf Userebene eingeschränkt werden. Wenn man es auf Datei-/Verzeichnis-/Anwendungsebene einstellen könnte, wäre auch OK.
Vielen Dank schon mal.
Ich habe hier eine DS916 mit aktueller DSM Version und einigen Usern. Die User haben unterschiedliche Zugriffsrechte auf Dateien und Verzeichnisse über File Station. Die DS ist via Dyn DNS und Portweiterleitung auf dem Router für den Zugriff von außen eingerichtet.
Bsp:
- User Tom hat Zugriff auf das Verzeichnis DATEN und AUSTAUSCH.
- User Ute hat Zugriff auf das Verzeichnis AUSTAUSCH.
- User Alf hat Zugriff auf das Verzeichnis DATEN, AUSTAUSCH und GEHEIM.
Die Dateien, die im Ordner AUTAUSCH liegen sind nicht sooo wichtig, bspw. Fotos vom letzten Betriebsausflug. Die Dateien in den Ordnern DATEN und GEHEIM sind sensibel, bspw. Rechnungen (Ordner DATEN) oder Mitverträge (GEHEIM).
Nun hätte ich am liebsten, dass alle User sich von extern anmelden können, aber dann nur den Ordner AUSTAUSCH sehen. Wenn sie sich von intern anmelden (also über die lokale IP aus dem internen LAN oder per VPN) sollen sie alle Ordner sehen können. Das wird wohl so nicht gehen, oder? Zumindest habe ich irgendwo hier im Forum gelesen, dass die Syno nicht unterscheiden kann, ob jemand von außen oder von innen "kommt". Ich möchte aber vermeiden, dass die Syno dauerhaft von außen erreichbar ist und somit ja auch alle (sensiblen) Daten...
Also die einzige Möglichkeit, die mir einfällt, ist die, dass man eine Syno hinstellt für sensible Daten und die nur im LAN (bzw. per VPN) erreichbar ist und eine zweite, die nur als Austausch-Plattform fungiert. Aber das kann ja nicht die Lösung sein...
Die drei User oben sind nur beispielhaft, es gibt noch deutlich mehr User.
Den Zugriff von extern ganz und gar abzuschalten und allen Usern VPN einzurichten ist aus verschiedenen Gründen keine Option.
Ich würde das gerne so individuell einstellen können, dass man bspw. auch sagen kann, dass der User, wenn er von außen "kommt" nur Verzeichnisse A, B und C sieht und auch nur die Anwendungen X, Y und Z nutzen kann. Also von innen kann er auf alle Verzeichnisse zugreifen, wo er Berechtigungen hat und auch alle Anwendungen nutzen (bspw. Photostation, Notestation etc.). Von außen aber eben nicht.
Ich bin auf eure Idee gespannt, befürchte aber, dass es so strikt und detailliert nicht machbar ist?!?
PS: Es muss nicht zwingend auf Userebene eingeschränkt werden. Wenn man es auf Datei-/Verzeichnis-/Anwendungsebene einstellen könnte, wäre auch OK.
Vielen Dank schon mal.
Vielleicht hat hier ja noch jemand eine Idee.
