Benuter-/Gruppenrechte: Ich blick's nicht

Status
Für weitere Antworten geschlossen.

Pedant

Benutzer
Mitglied seit
04. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo,

die Zugriffsrechteverwaltung für "Gemeinsamer Ordner" verstehe ich nicht.

Ich habe auf meinem NAS genau zwei aktive User:
1. "admin" (System default user)
2. "Administrator"
(3. "guest" (Deaktiviert))

Beide sind in der Gruppe "administrators" (System default admin group)

Bei "Gemeinsame Ordner" habe ich mehrere Ordner (Netzwerkfreigaben) angelegt.

Mein Ziel ist es, dass "admin" auf alle Freigaben Schreib-/Lesezugriff hat
und "Administrator" nur auf eine der Freigaben Schreib-/Lesezugriff hat und auf alle anderen nur Lesezugriff.

Bei Gruppe -> "administrators" -> Bearbeiten -> Berechtigungen
ist nichts angehakt.
"Kein Zugriff" und "Lesen/Schreiben" ließe sich anhaken aber "Nur Lesen" und "Benutzerdefiniert" ist nicht anhakbar (ausgegraut).

Bei Benutzer -> "Administrator" und "admin" -> Bearbeiten -> Berechtigungen
ist es ebenso, also
"Kein Zugriff" und "Lesen/Schreiben" ließe sich anhaken aber "Nur Lesen" und "Benutzerdefiniert" ist nicht anhakbar (ausgegraut).

Im Wiki steht unter 7.1. Kapitel "Einrichtung der Freigabeordner, Benutzer und Rechte" folgender Hinweis:
Im folgenden Reiter Benutzergruppe kann man auswählen, unter welche Benutzergruppe der Benutzer, den man vorher benannt hat, einsortiert. Im Normalfall empfiehlt sich die Einstellung wie ab Werk unter users zu belassen, da damit eine Fehlerquelle in den Berechtigungen von vornherein außen vor bleibt:

Ist "Fehlerquelle" ein anderes Wort für Bug?

Wie bekomme ich es hin, dass "admin" alles darf und "Administrator" bei den meisten Freigaben nur Lesen darf?
"Erweiterte Freigabeberechtigungen" möchte ich nicht verwenden, denn die Zugangskontrolle soll lediglich auf Freigabe-Ebene erfolgen und nicht auf lokaler Ebene im Dateisystem.
Lokal, also beispielsweise per Telnet-Sitzung, sollen Beide Vollzugriff auf das gesamte System haben, inklusive aller Ordner und Dateien.

Für Hilfe oder Literatorvorschläge wäre ich dankbar.
Gruß Frank
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wenn Admin und Administrator Mitglieder der Gruppe der Administratoren sind können sie automatisch auf alles zugreifen.
Ein Admin mit eingeschränkten Rechten ist kein Admin, solltest dir einen anderen Namen ausdenken.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ein Admin mit eingeschränkten Rechten ist immer noch ein Admin, er kann sich nur bei Bedarf weiter Rechte besorgen.
In dem Zusammenhang wie es der OP will stimme ich dir allerdings voll zu, da ist die Namenswahl nicht optimal.

Nein, Fehlerquelle ist nicht gleich Bug. Es gibt nur unter Linux eine Vorgabe, dass jeder Nutzer mindestens in einer Gruppe Mitglied sein muss. Dafür hat Syno die Zwangsgruppe "users" auserkoren.
Deshalb empfiehlt sich diese komplett links liegen zu lassen und dort null komma nix zu ändern.
Überleg dir welche Gruppen du brauchst und lege passende Gruppen neu an und pack dort deine Benutzer rein.

admin darf normal eh sehr viel, da musst vermutlich nicht viel ändern und für den anderen legst du einfach eine Gruppe an die die passenden Rechte hat und fertig.

Vollzugriff auf der Konsole (Telnet / SSH) hat eh nur root.
Die Berechtigungen und Erweiterte Freigabeberechtigung wirken alle nur auf Metaebene und nicht direkt im Dateisystem.
 

Pedant

Benutzer
Mitglied seit
04. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo NSFH, Hallo Fusion,

danke für Eure Antworten.
Es scheint mir jetzt etwas klarer zu sein, zumindest klarer als vorher.

Ich habe den User "Administrator" aus der Gruppe "administrators" entfernt.
Er ist jetzt nur noch in der Gruppe "users".
So klappt es mit der Rechtevergabe an den Freigaben wie ich es gerne hätte.

Ich hatte das Problem, dass ich mit dem "Administrator" ein bash-Skript (zeitgesteuert) laufen lasse, dass u.a. Ordner erstellt, die anschließend auch ihm gehören sollen.
Jetzt läuft das Skript als "admin" und am Ende des Skriptes lass ich sowas machen:
sudo chown -R Administrator.users /volume1/Ordnername
Ist okay für mich, das Ergebnis zählt.

Wenn Admin und Administrator Mitglieder der Gruppe der Administratoren sind können sie automatisch auf alles zugreifen.
irritierenderweise kann ich aber auch für einen Admin in den Freigabeeinstellungen "kein Zugriff" aktivieren, aber "nur Lesen" geht nicht.
Das ist inkonsequent.

Vollzugriff auf der Konsole (Telnet / SSH) hat eh nur root.
Die Berechtigungen und Erweiterte Freigabeberechtigung wirken alle nur auf Metaebene und nicht direkt im Dateisystem.
Die Freigabeberechtigungen aus dem Webinterface wirken sich aber auch auf den Lokalen Zugriff aus.
Das müsste doch nicht sein.
Gebe ich "Administrator" Zugang per Telnet und verweigere ich ihm den Zugriff auf die Freigabe "EinOrdner" (/volume1/EinOrdner/), dann kann er in der Telnet-Sitzung, also lokal, auch nicht darauf zugreifen:
cd /volume1/EinOrdner/ führt zu "no such directory" oder sowas in der Art.
Wenn aber umgekehrt ein Ordner oder eine Datei von "admin" in einer Telnetsitzung erstellt wurde, kann ich sie übers Netzwerk als "Administrator" nicht löschen, auch wenn ich Schreib-/Lesezugriff auf die Freigabe habe, in der sich das Objekt befindet.
Eine Trennung zwischen Freigaberechten und Dateisystemsrechten, wie ich es mir vorgestellt hatte, scheint es hier nicht zu geben.

Eigentlich hätte ich es gerne, dass all meine Dateien in den Freigaben von jedermann beliebig behandelt werden können und ich eine Einschränkung nur über die Freigaberechte vornehme.
Mein akutes Problem ist gelöst. Ob ich's inhaltlich schon kapiert habe, weiß ich nicht so recht.

Gruß Frank
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat