Zugriffsrechte File Station

Status
Für weitere Antworten geschlossen.

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Hallo,
ich habe auf meiner DS-214 den Benutzer-Homedienst aktiviert, bin selbst Admin und meine Kinder sind in der Gruppe "users", die standardmäßig auf der Diskstation angelegt war. Jedes Kind hat wie geplant nur Zugriff auf sein eigenes "Home" Verzeichnis, während ich alle sehe und beschreiben kann. So weit, so gut.

Nun mein Problem: Wenn ich meinen Kindern etwas in deren home-Ordner kopiere, haben sie keinen Zugriff darauf. Egal ob Ordner oder Datei - sie können beides nicht öffnen.
Was mache ich falsch?
Danke für jede Hilfe,
Jens
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Du kopierst etwas als Admin mit deinen Rechten in die Ordner deiner Kinder. Klar, dass sie darauf nicht zugreifen dürfen. Dateien und Ordner nehmen ja nicht auto-magisch die Rechte in von dem Ordner in dem sie liegen.
Also entweder nach dem kopieren die Rechte und Besitzer anpassen, oder z.B. einen neuen Gemeinsamen Ordner anlegen und eine Gruppe "kinder" die darauf Zugriff bekommt, andere Gruppen nicht..
Der Gruppe Kinder werden die Kinder und der admin hinzugefügt. Dann solltet ihr alle Dateien/Ordner in dem Gemeinsamen Ordner bearbeiten können.

An der Gruppe "users" etwas zu ändern sollte man vermeiden, weil man sich da ganz schnell selber aussperrt (admin gehört da auch dazu und ein Verbot sticht eine Erlaubnis immer aus) oder irgendwas nicht mehr so funktioniert wie von Synology geplant. Deshalb immer über eigene Gruppen und Benutzer gehen, um diverse Zugriffs-Szenarien zu regeln.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.846
Punkte für Reaktionen
56
Punkte
74
Jup, wie Fusion schon sagt: Ich habe zwei Gruppen zusätzlich zu Users (Parents und Children oder Eltern und Kinder), welche das Ganze so laufen lassen, wie Fusion schreibt und ohne irgendwelche Probleme zu bekommen!
Irgendwann kommen die Kinder auf die Idee unter sich sein zu wollen und so habe ich noch ne Guppe Familie gemacht, so dass ich ann alles separiert habe:

Eltern - Mutter, Vater
Kinder - Kind1, Kind2 (evt. Freunde)
Familie - Mutter, Vater, Kind1, Kind2

Den admin und die Gruppe Users lasse ich absolut unangetastet!
 

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Danke, ich bin davon ausgegangen, dass die Zugriffsrechte auf Ordner-Ebene vergeben werden und dann wäre es egal, wer da etwas reinkopiert, sobald man Zugriff auf den Ordner hat, hätte man dann auch auf alle Dateien darin Zugriff.
Ich werde es lösen wie empfohlen.
Nun noch eine weitere Frage in diesem Zusammenhang: Beim Testen der Zugriffsrechte habe ich festgestellt, dass der normale Synology "user" (also im konkreten Fall meine Kinder) Schreibrechte auf einige Unterordner im "web" Ordner haben. Also z.B. auf "webaccess" und "webapp". Das bedeutet doch, sie könnten dort alles löschen und ziemlichen Schaden anrichten?! Auf den Ordner "Joomla" haben sie keine Schreibrechte, hier passt es. Finde ich sehr eigenartig, ...
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.846
Punkte für Reaktionen
56
Punkte
74
Ich habe beim Ordner /web alles der Gruppe http und dem User admin zugeordnet! Versuch das auch mal und schau dann, ob die Kinder dann noch etwas verändern können!
Theoretisch ist bei mir der Ordner /web nur vom admin aus sichtbar. Alle anderen User sehen den gar nicht! (haben keinen Zugriff drauf -- Haken ist raus bei allem)
 

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Danke für die Hinweise, die mich aber leider auch nicht weitergebracht haben.
In der Systemsteuerung habe ich unter "Gemeinsame Ordner" beim Ordner "web" keinerlei Berechtigungen drinnen.
Die Gruppe "user" hat keinen Haken in der Zeile "web". Daher finde ich es sehr eigenartig, dass die User trotzdem mache Ordner löschen können.
In der Gruppe http (die Gruppe hat nur auf den web Ordner Schreib/Leserechte) bin nur ich, aber nicht die Kinder. Der Sinn der http Gruppe entzieht sich mir, daher möchte ich da nichts umstellen. Es heisst immer, man solle an den Standard-Synology Gruppen nichts verstellen.
Ist der admin bei Dir auch in allen Gruppen, also auch in der Gruppe "user"? Das verwirrt mich, denn wenn ich der Gruppe user theoretisch den Zugriff auf den Ordner "web" nehmen würde, würde ich ja auch den admin aussperren, oder?
Den admin habe ich deaktiviert, ich bin mit meinem User-Account Admin und sehe daher den Ordner.
Übrigens sehen normale User im Windows Netzwerk auch jene Ordner, auf die sie keinen Zugriff haben, nur der Inhalt der Ordner ist unsichtbar, wenn "Unterordner und Dateien vor Benutzern ohne Berechtigung ausblenden" ankreuzt.
 

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Nachtrag: Wenn ich mir die Berechtigungen meiner Kinder direkt ansehe (die Berechtigungen sind wie gesagt ausnahmslos über die Usergruppen geregelt),
dann sehe ich seltsamerweise für alle Ordner eine eindeutige Berechtigung in Textform, also zB "nur Lesen" für den Ordner "music", "Lesen/Schreiben" für den Ordner, den ich für den gemeinsamen Datenaustauch eingerichtet habe, "Kein Zugriff" auf die Ordner, die ich für mich angelegt habe. Das passt so weit ja auch. ABER: für den Ordner "web" steht sowohl in der Zeile "Vorschau" als auch in der Zeile "Gruppenberechtigungen" in schwarzer Schrift "Anpassen". Das steht ausnahmslos bei diesem Ordner.

Ich nehme an, ich sollte nun der Gruppe "User" die Berechtigungen auf den Ordner "web" entziehen. Das widerspricht aber der häufig hier erwähnten Grundregel, nichts an den Einstellungen der Standard-Gruppen zu verändern. Außerdem würde ich mich selbst ja auch aussperren, da ich in der Gruppe "User" bin. Oder muss ich mich als admin ohnehin aus der Gruppe "user" rausnehmen?
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.846
Punkte für Reaktionen
56
Punkte
74
Also hier mal meine "Haken":

Gruppe admins
administrators.jpg

Gruppe users
users.jpg

Gruppe http
http.jpg

Gruppe music
music.jpg

Dabei ist bei users zu beachten, dass dort keinerlei Haken drin sein sollten/brauchen. Bei Admins habe ich absichtlich Haken entfernt, weil ich diverse Ordner einfach nicht sehen will. Und schlussendlich entspricht die Gruppe music in etwa dem, was Du für Deine Kinder oder Eltern oder was auch immer einstellen solltest!
Keine andere Gruppe (ausser admins und http) sollte für web einen Haken besitzen! AUCH in den Userberechtigungen nicht! Niemand (außer eben http und admins)!!!!

Und unter Benutzer bitte bei allen Usern die Haken komplett raus! Schmeiß die Benutzer in die entsprechenden Gruppen - über die sie dann ihre Berechtigungen bekommen! Fertig!
Fängst Du an bei Benutzern noch separat Haken zu setzen, kommt dann der Kauderwelsch zustande, mit dem Du Dich jetzt scheinbar rumplagen musst!
Das bedeutet für Kind1 zum Beispiel:
Unter Benutzer - Kind1 ist kein Haken gesetzt - ergo es darf erstmal gar nix! Aaaaaber, da Kind1 ja in der Gruppe Kinder ist, darf es auf einmal alles das, was in der Gruppe Kinder berechtigt ist! Fertig!
Genauso bei Mutter - die hat unter Berechtigungen bei Benutzer - Mutter keinerlei Haken und darf nix! Aber da sie in der Gruppe Eltern ist, darf sie auf einmal alles was Eltern dürfen!
 
Zuletzt bearbeitet:

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.846
Punkte für Reaktionen
56
Punkte
74
Und nochwas, was ich gerade erkannt habe:
Du scheinst zu denken, dann irgendwer nen Haken bei web bekommen muss, weil er/sie ja die Webseite sehen soll! Das ist falsch! Jeder da draußen sieht die Webseite, auch wenn er/sie gar keinen User bei Dir hat bzw. keinen Haken in seiner Gruppe/seinem User hat.
Die Sichtbarkeit des Ordners web wird allein durch die Gruppe http bewerkstelligt, welche allen Besuchern quasi "in Vertretung" die Inhalte unter web zugänglich macht!
Den Ordner web auf Deiner DS dürfen Benutzer nur sehen (sollten Benutzer nur sehen), wenn Du das ausdrücklich in den Gruppenberechtigungen mit Haken setzt!
 
Zuletzt bearbeitet:

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Hallo,
zuerst mal vielen Dank für Deine Mühe.
Bei mir hat die Gruppe Admin (da bin ich drinnen) Schreib/Leserechte auf alle Ordner. Das möchte ich so. Die Gruppe http is identisch konfiguriert wie bei Dir.
Die Gruppe User habe ich bei einigen Odnern, die ich selbst auf der Diskstation angelegt habe, aber auch bei den Ordnern "music" und "photo" auf "Nur Lesen" eingeschränkt. Interessanterweise schränkt mich selbst das nicht ein, obwohl ich ja auch in der Gruppe User bin. Weshalb werden hier - anders als oft behauptet - nicht die "Lesen/Schreiben" Rechte, die ich als Admin habe, durch die "Nur Lesen" Rechte von der Gruppe User overrult? Denn wenn ich es analog mit dem Ordner "web" mache, sperre ich mich selbst aus. Wenn ich in vorangegangenen Posts von Zugriff bzw. Löschen von Dateien betreffend "web" ordner sprach, meinte ich immer den Zugriff über die Netzwerkumgebung, nicht die über das Internet auf meine Homepage. Meine Kinder konnten bis vor kurzem dtheoretisch den gesamten "web" ordner löschen, obwohl sie nach den Gruppenrichtlinien (user) gar keine Rechte haben sollten!

Bei den Benutzern hatte ich wie von Dir empfohlen nie Haken gesetzt, alle Rechte sind über die Gruppen definiert. Ich habe nun die Kinder in eine zusätzliche Gruppe "Familie" gegeben, die explizit keine Rechte auf den Ordner "web" hat. Prinzipiell ist nun die Rechteverteilung so, wie ich sie möchte.

Eines ist mir nun klar geworden: Ich dachte bisher, dass die Gruppe "user" in etwa dem entspricht, was ein eingeschränktes (nicht Admin) Benutzerkonto auf einem Windows Rechner kann und darf. Diese Annahme war falsch. Standardmäßig hat aber offenbar der normale "user" recht viel Rechte, die man dann noch zusätzlich einschränken muss. JEDER angelegte Benutzer ist automatisch in der user-Gruppe und kann daraus gar nicht entfernt werden.

Trotzdem bleibt die für mich oben beschriebene eigenartige Tatsache mit dem für unterschiedliche Ordner uneinheitlichen "overrulen" von Rechten, die ich nicht ganz verstehe.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.846
Punkte für Reaktionen
56
Punkte
74
Die Gruppe User habe ich bei einigen Odnern, die ich selbst auf der Diskstation angelegt habe, aber auch bei den Ordnern "music" und "photo" auf "Nur Lesen" eingeschränkt. Interessanterweise schränkt mich selbst das nicht ein, obwohl ich ja auch in der Gruppe User bin. Weshalb werden hier - anders als oft behauptet - nicht die "Lesen/Schreiben" Rechte, die ich als Admin habe, durch die "Nur Lesen" Rechte von der Gruppe User overrult?

Gruppe admin steht vor users und deswegen "overrult" sie! Aber das ist der Punkt! Wenn ich in einer Gruppe bin, die alles kann, dann brauch ich (bzw. der Benutzer) nicht noch in einer Gruppe sein, die nix mehr dazu ergänzt! Ergo: Benutzer der Gruppe admin, sollten und brauchen in keiner anderen Gruppe mehr zu sein! Des weiteren ist das dann auch überschaubarer!

Hier mal ein Beispiel, wie man Usern durch Gruppenzugehörigkeit Ordner "hinzufügen" kann:

Kinder (die Gruppe mit den kleinsten Berechtigungen) kann die Ordner öffnen
- Spielzeug
- Rezepte
- Kinderlieder

Junioren kann außerdem dazu noch
- Musik
- Filme (U14)
- Spiele

Jugend kann dazu dann noch
- Filme (U21)
- Software

Eltern können dann alles, was heißt dass noch dazu kommen
- Erotik

Zzgl. dazu gibts dann noch die Gruppen user (völlig unangetastet), http und admin (letztere darf neben dem Vollzugriff auch noch das Raumschiff DiskStation fliegen.

D.h. baust Du Dir das Ganze so auf, dann kannst Du bestimmten Usern neue Bereiche hinzufügen, ohne dass sie dabei andere verlieren. Oder aber kannst bestimmte Bereiche über die Gruppen-Richtlinien wie Module an- oder abschalten. Z.B. der Bereich Erotik könnte seine eigene Gruppe bekommen (eigentlich wie http), wo nur dieser Bereich drin vertreten ist - und schlussendlich als Gruppe den entsprechend erwachsenen Benutzern "aufgedrückt" werden kann.

Bei diesen hier aufgezeigten Spielereien, hat nicht einer der Benutzer in einen "Benutzer" Berechtigungen irgendein Haken drin (nicht einen). Das ganze Thema wird ausschließlich über die Gruppen-Berechtigungen erschlagen!

Weiter im Text:

Denn wenn ich es analog mit dem Ordner "web" mache, sperre ich mich selbst aus. Wenn ich in vorangegangenen Posts von Zugriff bzw. Löschen von Dateien betreffend "web" ordner sprach, meinte ich immer den Zugriff über die Netzwerkumgebung, nicht die über das Internet auf meine Homepage. Meine Kinder konnten bis vor kurzem dtheoretisch den gesamten "web" ordner löschen, obwohl sie nach den Gruppenrichtlinien (user) gar keine Rechte haben sollten!

das kann eigentlich nicht sein! Sie mussten über irgendeinen Schalter ja Zugriff auf den Ordner web bekommen haben, damit sie ihn überhaupt gesehen haben! Wir reden hier ja immer davon die Gruppe users "unangetastet" zu lassen! Dort würde ich nicht einen Haken bei irgendwem oder irgendwas setzen! Einfach alles leer lassen und diese Gruppe auch nicht benutzen! Ich würde des weiteren auch nicht danach fragen, wieso Synology diese Gruppe überhaupt erst angelegt hat!

Eines ist mir nun klar geworden: Ich dachte bisher, dass die Gruppe "user" in etwa dem entspricht, was ein eingeschränktes (nicht Admin) Benutzerkonto auf einem Windows Rechner kann und darf. Diese Annahme war falsch. Standardmäßig hat aber offenbar der normale "user" recht viel Rechte, die man dann noch zusätzlich einschränken muss. JEDER angelegte Benutzer ist automatisch in der user-Gruppe und kann daraus gar nicht entfernt werden.

Das ist der Grund wieso Synology diese Gruppe angelegt hat! Vielmehr mussten sie das so machen, damit überhaupt erstmal ein Grundprinzip eines Rechtesystems zustande kommt.

Trotzdem bleibt die für mich oben beschriebene eigenartige Tatsache mit dem für unterschiedliche Ordner uneinheitlichen "overrulen" von Rechten, die ich nicht ganz verstehe.

Theoretisch dürfte das nicht der Fall sein, wenn Du alle Berechtigungen in Gruppen und User gefilzt und ggf. bereinigt hast! Ausnahmen bestätigen aber immer die Regel! Ich kanns in etwa nachvollziehen, da ich ähnliche Fälle in der Vergangenheit bei mir selbst erlebt habe! Allerdings war ich immer zu faul dem Ganzen auf die Spur kommen zu wollen!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat