Gruppe

[Denniis]

Guten Abend,

Ich würde gerne eine Gruppe erstellen. wie Admin nur das die Gruppe nicht alles haben sollen bis auf kleinichkeiten. z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?
wenn ja wie.

LG Dennis

 

[blurrrr]

Ich denke was Du suchst, ist das Thema ACL

 

[Frogman]

... z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?

Nein, das ist nicht möglich... und mit ACL hat das nichts zu tun, dabei handelt es sich lediglich um eine feingranularere, erweiterte Rechtevergabe für Dateien und Ordner. Die Benutzerverwaltungsrechte zur Erstellung eines Users ist der Administratoren-Gruppe vorbehalten und beinhalten auch das Recht, User löschen zu können.

 

[blurrrr]

Oh man... *Kopf->Tisch* völlig verlesen, danke Frogman... (ist schon spät *g*).... Frogman hat Recht, mit Boardmitteln für den normalen Laien nicht möglich.

Theoretisch möglich, aber nur mit viel Fummelei und extra Webinterface (oder Shell) zur Organisation des Verzeichnisdienstes/LDAP (Stichwort: OU) und diese OUs bietet Synology nicht an, sondern lediglich den Zugriff auf Benutzer und Gruppen, aber OUs wären für so eine feine Zugriffsregeln genau das richtige. Man "könnte" natürlich versuchen mit extra Webinterface oder Tool im Verzeichnisdienst rumzubasteln, ist aber eher ziemlich fragwürdig und eben auch ohne Garantie, da man auch nicht weiss, ob es mit untergeordneten OUs überhaupt funktionieren würde... Von daher... besser nicht basteln! Falls der Bedarf doch "zwingend" vorhanden sein sollte -> Fachmann kontaktieren, welcher sich auch mit der LDAP-Thematik auskennt!

 

[4bob]

Oh man... *Kopf->Tisch* völlig verlesen, danke Frogman... (ist schon spät *g*)....

Bei dir war es wohl richtig spät - Selbst mit dieser Theorie wohl kaum machbar

Wenn die DS über eine LDAP Verzeichnisdienst angebunden wird, wie von dir vorgeschlagen, werden die User und Gruppenobjekte aus einer OU importiert und entsprechend mit Rechten über das vorhandene DSM verwaltet und dann auch nur auf Freigaben, Quote, unterstütze Applikationen und Geschwindigkeitsbeschränkungen. Folglich macht es keinen Sinn einen LDAP Dienst hier mit einzubinden wenn die Rolle (Rechte) des Administrators weiterhin nur über eine bereist vorhandene DSM Gruppe gesteuert wird.

und diese OUs bietet Synology nicht an, sondern lediglich den Zugriff auf Benutzer und Gruppen,

Doch, das ist Synology's eigenes LDAP Paket: https://www.synology.com/de-de/dsm/app_packages/DirectoryServer
aber wie bereits gesagt ändert ein Verzeichnisdienst hier nichts an Gruppenrechten.

Bob

 

[blurrrr]

@bob: Ja klar,aber es ging doch darum, User mit administrativen Rechten auszustatten - dies würde doch nur innerhalb des Tools und via DSM stattfinden... Kurzum - an ein LDAP gekoppelt, das LDAP wird "extra" verwaltet (DSM-unabhängig) inkl. OUs usw. Dort kann man dann auch Usern Rechte auf Unter-OUs geben zum erstellen/verwalten von Usern - hat ja bis dahin erstmal rein garnichts mit dem DSM zu tun (ausser LDAP läuft darauf, oder eben extern). Das sollte soweit kein Problem darstellen. Das mit dem DirectoryServer ist mir schon durchaus klar... aber auch dort kannst Du entsprechende OUs und Berechtigungen einpflegen ... natürlich nicht via Syno-Webinterface (das meinte ich mit "nicht anbieten"), das ist schon klar... deswegen spreche ich ja auch davon, dass ein extra Tool/Webinterface genutzt wird, da im DSM diese Möglichkeit eben nicht implementiert ist - jedenfalls habe ich "nirgendwo" was von OUs gesehen.. nur LDAP-User und LDAP-Gruppen.

Was heisst hier Gruppenrechte - es wäre ja eher so, dass ggf. eine OU unter der Gruppe User erstellt wird (fraglich ist dann eben nur, ob die User unterhalb OU dann mitgenommen wird auf der Auflistung der User innerhalb des DSM!). Auf diese OU kannst Du doch einem User entsprechende Rechte geben (nach unten vererbt). Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht (sofern die User unterhalb der OU dann auch mitgenommen werden)?

 

[Frogman]

...Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht

Genau eben jenes nicht. Ist wohl auch am Tag zu spät... denn der TE hat ja deutlich geschrieben, was er sich wünscht:

...wie Admin nur das die Gruppe nicht alles haben sollen bis auf kleinichkeiten. ...

Und alles, was Du beschreibst, liefert Dir keinerlei administrative Rechte auf dem DSM, wie 4bob auch schon schrieb.

 

[blurrrr]

Ach Frogman... soll ich nun mit " z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?" gegenargumentieren? Das wäre doch genau das Beispiel gewesen... bei "anderen" Dingen muss man halt eben schauen mit den Berechtigungen und selbst da kannste noch viel via Shell lösen... Einigen wir uns wie folgt: Ich hab nix gesagt?

 

[Frogman]

...soll ich nun mit " z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?" gegenargumentieren?......

Passt zu der oberflächlichen und eher verwirrenden Betrachtung. Leider vernachlassigt das den gesamten vorderen Teil "wie Admin".

... Einigen wir uns wie folgt: Ich hab nix gesagt?

Das wäre das beste.

 

[blurrrr]

Deine Freundlichkeit kennt wahrlich keine Grenzen... wunderbar!

 

[4bob]

Kurzum - an ein LDAP gekoppelt, das LDAP wird "extra" verwaltet (DSM-unabhängig) inkl. Ous
Dort kann man dann auch Usern Rechte auf Unter-OUs geben zum erstellen/verwalten von Usern - hat ja bis dahin erstmal rein garnichts mit dem DSM zu tun (ausser LDAP läuft darauf, oder eben extern). Das sollte soweit kein Problem darstellen.

Das steht hier auch nicht zur Diskussion. Ob du das auf der DS oder extern betreibst ist vollkommen gleich. Es wird in beiden Fällen über den LDAP-Client angebunden und das stellt neue User und Gruppen bereit.

Was heisst hier Gruppenrechte - es wäre ja eher so, dass ggf. eine OU unter der Gruppe User erstellt wird (fraglich ist dann eben nur, ob die User unterhalb OU dann mitgenommen wird auf der Auflistung der User innerhalb des DSM!).

Das geht - entscheidet die LDAP Konfiguration; genauer die Base DN, die kann recht weit vorne Anfangen dann erwischst du alles und jeden; nur Vorsicht bei sehr großen Datenbanken – das ist nicht empfehlenswert

Auf diese OU kannst Du doch einem User entsprechende Rechte geben (nach unten vererbt). Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht

Das größte Problem was ich sehe das auch selbst wenn die LDAP Einschränkung erfolgreich wäre, der Zugriff auf die lokalen User und Gruppen weiterhin besteht!
Sowie LDAP nur eingeschränkt die lokalen User ersetzen kann, das hängt ganz von der Anwendung ab, wie gesagt es wird nicht überall unterstützt.

Bob

 

[rednag]

Mit diesen Informationen wird der TE ja erschlagen.