Die Gruppe User habe ich bei einigen Odnern, die ich selbst auf der Diskstation angelegt habe, aber auch bei den Ordnern "music" und "photo" auf "Nur Lesen" eingeschränkt. Interessanterweise schränkt mich selbst das nicht ein, obwohl ich ja auch in der Gruppe User bin. Weshalb werden hier - anders als oft behauptet - nicht die "Lesen/Schreiben" Rechte, die ich als Admin habe, durch die "Nur Lesen" Rechte von der Gruppe User overrult?
Gruppe admin steht vor users und deswegen "overrult" sie! Aber das ist der Punkt! Wenn ich in einer Gruppe bin, die alles kann, dann brauch ich (bzw. der Benutzer) nicht noch in einer Gruppe sein, die nix mehr dazu ergänzt! Ergo: Benutzer der Gruppe admin, sollten und brauchen in keiner anderen Gruppe mehr zu sein! Des weiteren ist das dann auch überschaubarer!
Hier mal ein Beispiel, wie man Usern durch Gruppenzugehörigkeit Ordner "hinzufügen" kann:
Kinder (die Gruppe mit den kleinsten Berechtigungen) kann die Ordner öffnen
- Spielzeug
- Rezepte
- Kinderlieder
Junioren kann außerdem dazu noch
- Musik
- Filme (U14)
- Spiele
Jugend kann dazu dann noch
- Filme (U21)
- Software
Eltern können dann alles, was heißt dass noch dazu kommen
- Erotik
Zzgl. dazu gibts dann noch die Gruppen user (völlig unangetastet), http und admin (letztere darf neben dem Vollzugriff auch noch das Raumschiff DiskStation fliegen.
D.h. baust Du Dir das Ganze so auf, dann kannst Du bestimmten Usern neue Bereiche hinzufügen, ohne dass sie dabei andere verlieren. Oder aber kannst bestimmte Bereiche über die Gruppen-Richtlinien wie Module an- oder abschalten. Z.B. der Bereich Erotik könnte seine eigene Gruppe bekommen (eigentlich wie http), wo nur dieser Bereich drin vertreten ist - und schlussendlich als Gruppe den entsprechend erwachsenen Benutzern "aufgedrückt" werden kann.
Bei diesen hier aufgezeigten Spielereien, hat nicht einer der Benutzer in einen "Benutzer" Berechtigungen irgendein Haken drin (nicht einen). Das ganze Thema wird ausschließlich über die Gruppen-Berechtigungen erschlagen!
Weiter im Text:
Denn wenn ich es analog mit dem Ordner "web" mache, sperre ich mich selbst aus. Wenn ich in vorangegangenen Posts von Zugriff bzw. Löschen von Dateien betreffend "web" ordner sprach, meinte ich immer den Zugriff über die Netzwerkumgebung, nicht die über das Internet auf meine Homepage. Meine Kinder konnten bis vor kurzem dtheoretisch den gesamten "web" ordner löschen, obwohl sie nach den Gruppenrichtlinien (user) gar keine Rechte haben sollten!
das kann eigentlich nicht sein! Sie mussten über irgendeinen Schalter ja Zugriff auf den Ordner web bekommen haben, damit sie ihn überhaupt gesehen haben! Wir reden hier ja immer davon die Gruppe users "unangetastet" zu lassen! Dort würde ich nicht einen Haken bei irgendwem oder irgendwas setzen! Einfach alles leer lassen und diese Gruppe auch nicht benutzen! Ich würde des weiteren auch nicht danach fragen, wieso Synology diese Gruppe überhaupt erst angelegt hat!
Eines ist mir nun klar geworden: Ich dachte bisher, dass die Gruppe "user" in etwa dem entspricht, was ein eingeschränktes (nicht Admin) Benutzerkonto auf einem Windows Rechner kann und darf. Diese Annahme war falsch. Standardmäßig hat aber offenbar der normale "user" recht viel Rechte, die man dann noch zusätzlich einschränken muss. JEDER angelegte Benutzer ist automatisch in der user-Gruppe und kann daraus gar nicht entfernt werden.
Das ist der Grund wieso Synology diese Gruppe angelegt hat! Vielmehr mussten sie das so machen, damit überhaupt erstmal ein Grundprinzip eines Rechtesystems zustande kommt.
Trotzdem bleibt die für mich oben beschriebene eigenartige Tatsache mit dem für unterschiedliche Ordner uneinheitlichen "overrulen" von Rechten, die ich nicht ganz verstehe.
Theoretisch dürfte das nicht der Fall sein, wenn Du alle Berechtigungen in Gruppen und User gefilzt und ggf. bereinigt hast! Ausnahmen bestätigen aber immer die Regel! Ich kanns in etwa nachvollziehen, da ich ähnliche Fälle in der Vergangenheit bei mir selbst erlebt habe! Allerdings war ich immer zu faul dem Ganzen auf die Spur kommen zu wollen!
