Zugriffsrechte nicht setzbar in Ordner "photo"

[FlavaFalk]

Hallo,

für alle Ordner und Unterordner in "audio, web, video, usw." auf meiner Diskstation 211j kann ich Zugriffsrechte auf Benutzer- und Gruppeneben ordentlich vergeben.

Einzig im Ordner "photo" funktioniert dies nicht. Gebe ich einem Benutzer generell Lese Zugriff auf den Photo Ordner, so sind für diesen selbst jene Ordner in photo sichtbar, die eigentlich klar dem Admin gehören und auch nur vom Admin oder einem Nutzer in der Gruppe Admin aufgerufen werden dürften. Sehr misteriös ist darüber hinaus, dass man die Zugriffs-Checkboxes unter Ordnereigenschaften nicht weg klicken kann.

Anbei ein entsprechender Screenshot dazu. Was kann man tun? Ich möchte Nutzern prinzipiell schon Zugriff auf den photo Ordner geben, aber eben nicht auf alle Ordner in photo. Gerade für so etwas gibt es ja die Rechtevergabe, die wie gesagt in allen anderen Ordnern auf der Diskstation einwandfrei funktioniert.

 

[schimi007]

Du kannst die Zugriffsrechte direkt in der Photostation regeln. Einfach umschalten von DSM auf Photo (Rechtevergabe) in der PS.

 

[FlavaFalk]

Die Rechtevergabe in der Photostation selbst funktioniert. Zugangsbefugnisse können individuell eingestellt werden.

Der selbe Nutzer kann aber verbunden über den File Server, die Administrationsoberfläche oder via Explorer im Betriebssystem dann wieder alle Ordner in "photo" sehen. Sehr ärgerlich ...

 

[FlavaFalk]

Hat keiner eine Idee, woran es mit der eingeschränkten Rechtevergabe auf DS Ebene liegen könnte?

 

[night2day]

Der Ordner photo taucht doch unter Systemsteuerung/Gemeinsame Ordner auf.
Dort kannst du im Tabreiter "Privilegeinstellung" die Rechte für die User vergeben.

Gruß
night2day

 

[FlavaFalk]

Richtig! Allerdings kann ich dort nur generelle Rechte für den Gesamtordner "photo" pro User vergeben. Ich möchte jedoch die Zugriffsrechte einzelner Unterordner in "photo" festlegen (S. auch Screenshot). Das geht aber komischer Weise nicht. In der Web basierten Photostation ist es möglich, dass nicht jeder Nutzer alle Foto Ordner sieht, sondern nur die, die für ihn freigeschaltet sind. Wenn der selbe Nutzer dann aber den Explorer aufmacht, hat er Zugriff auf alle Verzeichnisse in "photo". Das kann doch eigentlich nicht im Sinne des (Synology DS) Erfinders sein, oder?

 

[night2day]

Ist meines Wissens nach genau so gedacht.
Du kannst keine Rechte auf Unterordner erteilen. Wenn dann wäre das neu.
Du kannst die User eine Upload-Berechtigung für diverse Unterordner in der Photostation
geben und sie im DSM ausschliessen. So kannst Du fein granulieren wer was darf.
Du kannst auch einstellen, das der Ordner photo im Explorer nicht einmal auftaucht.

night2day

P.S. Im Explorer ist nicht ganz richtig. Ich meinte als SMB-Freigabe.

 

[bohne]

... Du kannst keine Rechte auf Unterordner erteilen. Wenn dann wäre das neu.
...

Um Missverständnissen vorzubeugen, auf Unterordner lassen sich über den Dateibrowser Rechte vergeben, dies ist auch nicht neu.
Das hier geschilderte Problem bezieht sich darauf, dass keine Rechte auf Unterordner des Systemordners "photo" vergeben werden können.

 

[night2day]

Ja, es ging um den Ordner photo, ist evtl. nicht ganz klar ausgedrückt gewesen.

 

[JudgeDredd]

@FlavaFalk
zum Screenshot:
Besitzer & Gruppe ist zwar der Admin, aber bei den Privilegien erlaubst Du ja auch Allen anderen (sonstige) Lesen/Schreiben/Ausführen. Klar das dann auch alle Lesen/Schreiben/Ausführen dürfen. Nimm bei sonstige einfach mal die Häkchen raus und schon können nur noch die unter Benutzer und Gruppe eingetragenen zugreifen.
Generell:
Hatte/Habe ich genau dieses Problem auch Es ist in der Tat nicht möglich, Benutzern die sich über SMB verbinden Rechte für Sub-Verzeichnisse einzuräumen. Ausnahme bildet hier die ACL-Berechtigung ab DSM 3.2. Gilt aber NICHT! für Systemverzeichnisse und genau ein solches ist eben das Photo Verzeichnis.
Eine denkbare alternative (welche ich selbst bisher nicht umsetzen konnte) wäre dem Verzeichniss Photo trotzdem die ACL Berechtigungen zu geben (ab diesem Moment funktioniert aber die Photostation nicht mehr) und im WWW eine (Bilder-)Plattform suchen, welche sich ggü. der DS mit SMB authentifiziert. Dann sollte es theoretisch machbar sein.
Gruß Andreas

 

[bohne]

@ Judge Dredd

@FlavaFalk
zum Screenshot:
Besitzer & Gruppe ist zwar der Admin, aber bei den Privilegien erlaubst Du ja auch Allen anderen (sonstige) Lesen/Schreiben/Ausführen. Klar das dann auch alle Lesen/Schreiben/Ausführen dürfen. Nimm bei sonstige einfach mal die Häkchen raus und schon können nur noch die unter Benutzer und Gruppe eingetragenen zugreifen. Und genau hier liegt das Problem. Es ist nicht möglich bei den Unterordnern des Systemordners "photo" die Häkchen für Besitzer, Gruppe und Sonstige zu ändern oder zu entfernen! Bei anderen Ordner ist das jedoch schon möglich.
Generell:
Hatte/Habe ich genau dieses Problem auch Es ist in der Tat nicht möglich, Benutzern die sich über SMB verbinden Rechte für Sub-Verzeichnisse einzuräumen. Es ist möglich Unterordnern Rechte zu vergeben, unabhängig von SMB oder AFP. Sobald einem Benutzer Schreibrechte für einen Unterordner erteilt werden sollen, ist es notwendig, dem Benutzer auch Lese-Schreibrechte für den Überordner zu erteilen! Dazu ist es auch nicht notwendig, die Rechte über ACL einzurichten. Dadurch ist die Rechtevergabe allerdings nur eingeschränkt möglich.
Beispiel:
Es ist nicht möglich, dem Benutzer die Schreibrechte für einen Überordner zu verweigern und gleichzeitig die Schreibrechte für einen Unterordner zu erteilen.
Ausnahme bildet hier die ACL-Berechtigung ab DSM 3.2. Gilt aber NICHT! für Systemverzeichnisse und genau ein solches ist eben das Photo Verzeichnis.
Eine denkbare alternative (welche ich selbst bisher nicht umsetzen konnte) wäre dem Verzeichniss Photo trotzdem die ACL Berechtigungen zu geben (ab diesem Moment funktioniert aber die Photostation nicht mehr) und im WWW eine (Bilder-)Plattform suchen, welche sich ggü. der DS mit SMB authentifiziert. Dann sollte es theoretisch machbar sein.
Gruß Andreas

 

[JudgeDredd]

Und genau hier liegt das Problem. Es ist nicht möglich bei den Unterordnern des Systemordners "photo" die Häkchen für Besitzer, Gruppe und Sonstige zu ändern oder zu entfernen! Bei anderen Ordner ist das jedoch schon möglich.

Tatsächlich, das ist mir noch nie aufgefallen. Liegt aber wahrscheinlich einfach daran, das wenn ich mal Rechte auf Dateiebene vergebe diese über SSL/chmod einstelle und dort kann man es definitiv ändern.

Es ist möglich Unterordnern Rechte zu vergeben, unabhängig von SMB oder AFP. Sobald einem Benutzer Schreibrechte für einen Unterordner erteilt werden sollen, ist es notwendig, dem Benutzer auch Lese-Schreibrechte für den Überordner zu erteilen! Dazu ist es auch nicht notwendig, die Rechte über ACL einzurichten. Dadurch ist die Rechtevergabe allerdings nur eingeschränkt möglich.

OK, ich meinte auch eher, das es nicht möglich ist, verschiedenen Gruppen, verschiedene Rechte auf die gleiche Datei/Verzeichnis einzuräumen. An meiner Formulierung arbeite ich noch

 

[jan_gagel]

Hallo,

ich geb auch mal meinen Senf dazu. Ich regel die Benutzer-Rechte generell über Gruppen nach dem Prinzip daß alle User in der Gruppe "User" drin sind, dort Vollzugriff erhalten und dann durch andere Gruppen gezielt Verbote bekommen. Die ACL-Geschichte finde ich sehr unübersichtlich, da dies auf einzelne Verzeichnisse und einzelne User anzuwenden ist. Da hat meiner Meinung nach die Gruppen-Zugriffs-Steuerung mehr Vorteile, denn ich nehme einfach die User in die entsprechenden Gruppen auf und schon "erben" diese die Gruppen-Rechte.

Ich denke mir, daß die ACL-Regelung (wie im Screenshot zu sehen) wohl eher auf benutzerdefinierte Freigaben anzuwenden ist. Die Photo-Freigabe ist aber eine System-Freigabe. Ich würde generell nicht in dieser Freigabe "rumfummeln", da ich die PhotoStation verwende und meine Zugriffe dort steuere. Würde man jetzt die Rechte in der Photo-Freigabe händisch verbiegen, wäre es möglich, daß die PhotoStation nicht mehr funktioniert (besser gesagt irgendwo auf die Schnautze fliegt und die Bilder nicht mehr anzeigt).

Möchtest du irgendwo im Netz Fotos ablegen, die im Benutzer-Zugriff auf Datei-Ebene stehen, könntest du ja auch eine individuelle Freigabe erstellen und dort die Bilder rein kopieren. Dann ließen sich auch die ACL-Zugriffsrechte setzen.

Für die PhotoStation muß der Index-Deamon natürlich wissen, daß da neue Photos drin sind, dann rechnet er die Miniatur-Ansichten aus, was ja auf der DS (je nach Modell) ziemlich zähflüssig ist. Deshlab lade ich meine Bilder ausschließlich mit dem Syno-Assistenten auf die PhotoStation drauf, damit der PC die Bilder rechnet, geht deutlich schneller. Vielleicht lassen sich die Rechte nicht so setzen, damit der Syno-Assistent nicht auf die Schnautze fällt? Wäre auch denkbar.

Ciao Jan

 

[night2day]

Bei dieser Gelegenheit.
Im Thread mit Wünschen für das nächste Firmwareversion habe ich eine Eingabe "Vergabe von Rechten in der Photostation auf Gruppenebene".
Ich bräuchte da noch einen Unterstützer.

 

[FlavaFalk]

Hallo Leute,

vielen Dank für all' eure Beiträge. Scheint wohl tatsächlich so zu sein, als könnte man im Systemordner "photo" keine (Unter)ordner spezifischen Rechte vergeben (zumindest außerhalb der Photostation). Bedeutet also weiterhin, dass ich Usern zwar Rechte auf Fotoordner in der Photstation entziehen kann, sie diese Fotoordner dann aber im Filemanager wieder sehen können (außer ich sperre für den/die User den Zugang auf den gesamtem Ordner photo, was ich ja nicht möchte).

@night2day: Wo kann man mit Bezug auf Wünsche für ein neues FW Release diesen Enhancement Request (Rechtevergabe für Systemordner Photo) unterstützen?

 

[night2day]

Im Thread "Most Wanted Feature/Bug" 2012

Gruß
night2day

 

[chrisred0]

Im folgenden Thread hat ein User die Möglichkeit gefunden, den photo ordner per ACL zu verwalten, wobei die Photo Station trotzdem lauffähig bleibt:

http://forum.synology.com/enu/viewtopic.php?f=17&t=37832

Es wird allerdings die Gruppe auf dem der Webserver läuft angepasst, daher sollte man gut dokumentieren was man tut um es ggfs. bei Problemen wieder Rückgängig machen zu können.