Ordner- bzw. Datei-Besitzer in DSM wie in Windows-Shares abriegeln

[synsalabim]

Hallo, liebes Forum!

Kleine Frage zu "Besitzern von Dateien und Ordnern" in DSM.

Nehmen wir an, ich erstelle einen freigegebenen Ordner in DSM. Ich als Admin bin folglich Besitzer dieses Ordners. Den anderen Benutzern erlaube ich in dieser Freigabe, Dateien und Ordner zu erstellen etc.

Nun ist es so, dass die Benutzer automatisch zum Besitzer dieser selbst angelegten Dateien und Ordner werden. Gut so weit. Das hat aber nun zur Folge, dass sie selbst Berechtigungen etc. auf ihren selbst erstellten Dateien und Ordner setzen können, obwohl ich ihnen das eigentlich in dem übergeordneten freigegebenen Ordner verboten habe (kein Recht auf "Berechtigungen ändern").

In Windows-Shares kann man sowas ganz elegant lösen, indem man die Rechte der Freigabe und die Rechte der Windows-ACLs auf einem freigegebenen Ordner entsprechend einstellt und miteinander "verwurschtelt". DSM kennt dieses "duale System" aber scheinbar nicht.

Auch eine Kombination aus "Berechtigungen" und "Erweiterten Berechtigungen" in DSM führte hier zu keinem Erfolg.

Gibt es eine Möglichkeit in DSM, den Besitzern von (Unter-)Ordnern und (Unter-)Dateien das Setzen von Rechten zu verbieten?

 

[blurrrr]

Ich glaub eher: Du hast mittlerweile soviel planlos rumgebastelt, dass Du Dir da eh schon alles verzockt hast....Das hat "nichts" mit "DSM" zu tun.... "Duales System" gibt es "nicht" unter DSM -> "gibt es nicht", denn es gab schon "immer" 2 verschiedene Rechte: Freigaberechte + Dateisystemrechte, diese rechte sind kumulativ.... (so, erstmal sacken lassen ? ).

Was Du vermutlich kennst aus Deiner schönen Windows-Welt:

Freigabe-Recht: Jeder darf alles
Dateisystem-Recht: Granulare Steuerung der Rechte auf Dateien und Ordner, ggf. mit Unterbrechung der Vererb.... achne, davon hast Du ja garnichts gesagt... tja... schade... Vererbung wäre hier nämlich das Stichwort (von oben nach unten).

Mit den ACLs biste auf jeden Fall auf dem Weg in Sachen Windows-like-Berechtigungen, nur wenn man keine Ahnung hat und planlos an 20 Ecken rumbastelt, sorry, dann wird das auch nix... In diesem Sinne mal ganz deutlich: Leg Dir ein neues Share an (ggf. neue Test-User/-Gruppen) und mach damit mal "ganz sauber" von vorne und Du wirst sehen, dass sowas alles ganz einfach - quasi wie von Geisterhand - funktioneren kann. Problem ist nämlich, dass man meist schon viel zu viel gefummelt hat und dann teils auch den Wald vor lauter Bäumen nicht mehr sieht (oder etwas nicht funktioniert, was aber im Normalfall funktionieren sollte, nur durch das vorherige Gefummel geht es halt grade nicht).

 

[synsalabim]

Okay, ich versuche mal, die inhaltlichen Aspekte zu ordnen, so wie ich es verstanden habe.

Durchaus bin ich vertraut mit den Freigaberechten und den Dateisystemrechten unter Windows und deren ergänzendem Charakter. Außerdem habe ich diesen Test auf einem neuen Ordner durchgeführt. Außerdem funktioniert auch alles - nur eben "wie von Geisterhand" nicht komplett so, wie ich es bei Windows-Shares gewohnt bin. Aber vielleicht habe ich mich nicht klar genug ausgedrückt. Deshalb nochmal.

Windows: Freigaberechte des Benutzers auf "Ändern" und "Lesen", aber KEIN "Vollzugriff". Dateisystemrechte des Benutzers testweise sogar auf Vollzugriff (oder wie man es möchte, das spielt keine Rolle). Ergebnis: Erstellt der Nutzer in dieser Windows-Freigabe einen Unterordner, kann er hier keine Dateisystemrechte auf seinem eben erstellten Ordner ändern bzw. vergeben. Das liegt daran, weil er in den Freigaberechten keinen Vollzugriff hat.

DSM: Hier sind dem Benutzer die administrativen Rechte auf der Freigabe komplett genommen (Berechtigungen ändern / Eigentümerschaft übernehmen). Ergebnis: Erstellt der Nutzer in dieser Netzwerk-Freigabe einen Unterordner, kann er auf seinem selbst erstellten Ordner Rechte ändern etc. Das kann er, weil er als Ersteller auch der Besitzer dieses Ordners ist.

Natürlich kann ich alles Top --> Down vererben, aber möchte nicht täglich alle Rechte und Besitzer einmal nach unten "durchschieben".

Deshalb die Frage von oben: Gibt es in DSM eine Option, wo ich ebenfalls "Freigaberechte" und "Dateisystemrechte" setzen kann und beide ergänzend wirken? Oder kennt DSM eben nur die Berechtigungen, die man unter "Berechtigungen" einstellen kann?

 

[blurrrr]

Täglich Rechte "durchschieben"? Erweiterte Berechtigungen aktivieren (es greifen dann vermutlich die Posix-ACLs, oder irgendwas von Synology eigens gestricktes), da vergibst Du dann einfach unter "benutzerdefiniert" alle Rechte (bis auf Administration/Berechtigungen ändern und ggf. Eigentümerschaft übernehmen), lässt die Berechtigungen vererben und bist durch mit der Sache. Werden die Rechte nicht vererbt, hast Du halt ordentlich was zu tun, das wäre aber doch unter Windows genau das gleiche Spielchen?

Ich habe das grade mal in einem VDSM getestet und sorry, aber mit aktivierter Vererbung hab ich da überhaupt keine Probleme... Mit einem User (ACLs aktiviert -> benutzerdefinierte Rechte -> kein Recht auf "Berechtigungen ändern", Vererbung aktiviert) einen Unterordner erstellt, darin eine Datei... da kann der User keinerlei Berechtigungen ändern.

EDIT: Bei Windows ist eigentlich die Vererbung standardmässig aktiviert, bei der Syno wohl nicht...

 

[ThomasK]

Ich muss zugeben, dass ich es nie geschafft habe, die genauen Unterschiede zwischen den Windows ACLs und denen von Samba zu verstehen. Wer es versuchen will, bitte hier ist was zum Lesen: https://wiki.samba.org/index.php/Setting_up_a_Share_Using_POSIX_ACLs
Der Text ist leicht zu verstehen. Hier ein Zitat daraus:

To get the ACL in a more readable form, enter:
# samba-tool ntacl get /usr/local/samba/var/locks/sysvol --as-sddl
# O:BAG:SYDAI(A;OICIIO;WOWDGRGWGX;;;CO)(A;OICIIO;GRGX;;;AU)(A;;0x001200a9;;;AU)(A;OICIIO;GA;;;SY)(A;;0x001f01ff;;;SY)(A;OICIIO;WOWDGRGWGX;;;BA)(A;;0x001e01bf;;;BA)(A;OICIIO;GRGX;;;SO)(A;;0x001200a9;;;SO)

 

[the other]

Moinsen,
hab ich eben versucht, den Code, bekomme aber den smiley im Terminal nicht hin...

Duck und weg...

 

[synsalabim]

Vielen Dank für eure Antworten! Ja, es scheint komplex zu sein @ThomasK

@blurrrr: Bei mir ist es so, dass, sobald ein User einen Ordner erstellt, er ja Besitzer ist. Wenn ich jetzt die ACLs runtervererbe ... das kann ich schon machen. Doch das ändert nichts daran, dass der User der Besitzer des Ordners ist. Und als solcher kann er Berechtigungen verändern. Wenn ich jetzt in der Filestation den Besitzer des Ordners auf einen anderen Besitzer ändere, hört der Spuk auf --> "Zugriff verweigert" bei Versuch, die Rechte zu ändern.

Das meinte ich mit "durchschieben". Wenn ich jetzt täglich in der Filestation den Besitzer auf - sagen wir - "Admin" einstelle und den Besitzer (!) runtervererbe, kann kein User mehr Rechte ungefragt verändern - da er ja kein Besitzer mehr ist. Aber das ist ja umständlich.

Daher dieser Thread. In Windows kann ich dieses Verhalten durch die duale Einstellung zwischen "Freigaberechten" und "Dateisystemrechten" verhindern. Auf der Synology ... nein, deshalb diese Frage hier.

Hier habe ich noch einen Link gefunden, der das Problem auch anspricht:

https://community.synology.com/enu/forum/1/post/130340
In der FileStation gibt es ja den Punkt "Genehmigungsprüfung". Immer, wenn ein User "Besitzer" eines Unterordners ist, hat er dort das Recht, Berechtigungen zu setzen. Habe ich gerade mit 2 Usern probiert. Immer der "Besitzer" bekommt diese zusätzlichen Rechte auf seinem Ordner.

Das ist bei mir leider so. Deshalb die Frage, ob das "normal" ist. Scheinbar nein? Oder vielleicht doch?

 

[blurrrr]

So, ich hab das jetzt NOCHMAL getestet, Ergebnis bleibt das gleiche... Keine Ahnung, was Du da gemacht hast, aber wenn in den ACLs die administrativen Berechtigungen NICHT angegeben werden für den User, kann der auch NIX an den Berechtigungen oder der Eigentümerschaft ändern (auch nicht bei selbst erstellten Dateien - da ist dann alles ausgegraut). Ich hab das jetzt 2x gemacht (gestern/heute Nacht und jetzt grade nochmal)...:

- vDSM-Demo starten (?)
- Freigabe erstellen
- User erstellen
- erw. Berechtigungen einschalten
- erw. Berechtigungen an User vergeben (keine administrativen, sondern nur r/w)
- via Filestation mit anderem Browser als User anmelden
- Ordner und Dateien erstellen
- Berechtigungstests

Funktioniert hier einwandfrei... ?

 

[synsalabim]

Erstmal danke für deine ganze Arbeit. Ich stelle das jetzt mal ebenso dar und gehe den genau gleichen Weg:

- Erstelle User "Testuser"
- Erstelle gemeinsamen Ordner "Freigabe"
- "Erweiterte Freigabeberechtigungen aktivieren" --> Stelle ich auf "Lesen/Schreiben"
- "Berechtigungen", "Benutzerdefiniert" alle Rechte außer "Berechtigungen ändern" und "Eigentümerschaft übernehmen" gewähren
- Haken bei "Auf Diesen Ordner, die Unterordner und Dateien anwenden"
- Klick auf "OK"
- Anmeldung als "Testuser" in DSM --> App "File Station"

Man sieht: keine Rechte auf dem freigegebenen Ordner (Parent) können von mir geändert werden. Soll ja so sein.

Nun erstelle ich in dieser Freigabe einen Ordner namens "Ordner". Das Ergebnis:



Man sieht, dass ich Berechtigungen erstellen kann, die geerbten Rechte explizit machen kann etc. Ich kann also auf meinem selbst erstellten Unterordner die Rechte ändern. Weil ich dessen Besitzer bin. Ändere ich den Besitzer, kann ich das nicht mehr.

Komisch, dass das bei dir anders sein soll. Vielleicht ein Fall für den Syno-Support, falls hier was nicht stimmt?

 

[blurrrr]

lol.. ich hab das grade nochmal getestet... man kann sich selbst "angeblich" sämtliche Rechte entziehen (erscheint auch eine Warnung). Man kommt dann auch nicht mehr in den Ordner, allerdings kann man dann - "ohne" irgendwelche Rechte (hat man sich ja vorher entzogen) - wieder die Vererbung aktivieren und hat dann wieder Zugriff auf den Ordner... coole Sache...

Vielleicht ist das auch "nur" was Filestation-spezifisches (k.a.), ich würde es vermutlich noch einmal im Szenario mit der "normalen" Umgebung testen (vermutlich Windows-Clients?), aber eigentlich... geht sowas mal so garnicht, wenn die Rechte schon explizit nicht erteilt worden sind (und ja eigentlich auch nach unten vererbt werden sollen und nicht erst dann, wenn man es nochmal extra bestätigt, weil dann kann man sich die ganze Vererbungsgeschichte auch wohin schieben ?).

 

[ottosykora]

also sorry Kollegen, aber wenn ich berechtigt bin einen Ordner zu erstellen, dann will ich auch diesen Ordner konfigurieren können. Etwas anderes wäre für mich ein Bug und würde das System unbrauchbar machen.

(wir sind da übrigens nicht auf Windows, sondern auf Linux)

 

[blurrrr]

also sorry Kollegen, aber wenn ich berechtigt bin einen Ordner zu erstellen, dann will ich auch diesen Ordner konfigurieren können.

Nicht bei entsprechender Vererbung. Ist teilweise durchaus Gang und Gebe, dass User zwar Dinge erstellen, aber z.B. nicht löschen dürfen.

 

[ottosykora]

ja, da hat man dann nur w in den Flags und r und x weg. Dann kann man es auch nicht lesen und somit hat man ein WOM (write only memmory....)

 

[blurrrr]

Ich rede schon von ACLs ?

 

[synsalabim]

Sooo ... habe wie angekündigt mal den Support befragt, weil es hier so manch unterschiedliche Ergebnisse gab in Bezug auf die Frage, auch in Shares, die man mit Windows-Boardmitteln und nicht über FS bearbeitet. Hier die Antwort vom Support:


Der Besitzer einer Datei ist zunächst immer derjenige, der die Datei erstellt hat.


Windows ACLs und Unix Permission erlauben beide dem Besitzer der Datei die Berechtigungen beliebig abzuändern, auch wenn die ACLs für das modifizieren der Berechtigungen nicht gesetzt sind.


Das verhalten ist also normal und resultiert direkt aus den Windows-ACL oder den Unix Berechtigungen.


Dem Besitzer einer Datei kann nicht verboten werden, die Datei zu ändern. Wenn ein Benutzer die Berechtigung an einer Datei nicht mehr ändern können soll,


muss man dem Benutzer die Berechtigung entziehen und den Besitzer ändern.

Das scheint also alles ganz normal zu sein. Der große Unterschied ist wohl nur der:

1) Unter "Windows" kann ich über die "Freigabeberechtigungen" noch einstellen, dass bei Netzwerkfreigaben der Besitzer eines Ordners Rechte nicht ändern kann (Lesen ja, Schreiben ja, Vollzugriff nein).

2) Unter "DSM" gibt es zwar "Erweiterte Berechtigungen", aber diese können die Rechte des Besitzers nicht wie erwartet einschränken.

Es ist dann wohl so, dass diese beiden Systeme nicht gleich in Bezug auf die Rechte des Besitzers reagieren - die "Freigabeberechtigungen" beider Systeme sind ja auch nicht ganz gleich ausgeführt.

Danke an alle, die geholfen haben! Ich hoffe, dass dieser Thread auch anderen, die auf diese Frage stoßen, helfen kann.

synsalabim

 

[blurrrr]

Ich frag mal ganz doof: Die Berechtigungsvorgabe hast Du auch mal mit einem "Windows" vorgenommen und die Dinge dort entsprechend angepasst, oder bisher immer nur über die Syno?

 

[synsalabim]

Jup, habe ich eigentlich immer über Windows gemacht. Erst auf deine Tests hin habe ich das ganze in der FS probiert (weil das ja auch dein "Testaufbau") war. Das Verhalten ist in der FS und über SMB identisch.

 

[blurrrr]

ggf. force user/group in der smb.conf?

https://www.samba.org/~ab/output/htmldocs/manpages-3/smb.conf.5.html

 

[Syno-OS]

Oh je, Berechtigungen, ihr spielt gerade mit 3 unterschiedlichen Berechtigungen rum:

1. Linux (POSIX)
2. SMB
3. Windows (ACL)

1. Linux braucht zwingend immer einen Owner und Owner Group für eine Datei/Ordner, früher hat es der 'root' getan, aber sicherheitstechnisch sind wir weiter, daher erstellt das DSM immer bei der Installation einen neuen Benutzer, den 'admin' und die vorinstallierte Gruppe 'Users'. Zusätzlich kommt die vorinstallierte Gruppe 'Adminstrators', um normale und administrative Benutzer zu trennen.

Wenn ihr es schafft den Linux Owner einer Datei zu entfernen, habt ihr ein Bug gefunden...

folglich unter Linux kann man einem Ersteller einer Datei nicht die Berechtigung wegnehmen, da er immer der Owner der Datei wird. Schon hier scheitert die Lösung, wenn ihr auf der NAS speichert.


3. Windows verhält sich da ähnlich, nur kann jetzt eine Gruppe Owner sein oder mehr als ein Owner existieren, wenn ihr den letzten Owner einer Datei zu entfernen könnt, habt ihr ein Bug gefunden...

Nur bei 2. kann man mit weiteren Regeln eingreifen und den Zugriff verbieten, da die Netzwerk Berechtigungen nicht an die Betriebssystem Einschränkungen gebunden sind.

File Station und Datei Explorer zeigen erst mal die lokalen Berechtigungen an, wenn ihr ein Netzlaufwerk betrachtet kann jetzt SMB eingreifen, dies ist was wohl in dem Fall gemeint ist, dies geht beim Windows System einfacher als beim DSM, da beim DSM nur die Windows/PosiX Berechtigungen setzbar sind.

 

[synsalabim]

ggf. force user/group in der smb.conf?

Okay, ich sehe, man kann da wohl noch viel einstellen. Das hier diskutierte Thema ist ja auch weniger ein "Problem" als dass mich die Geschichte einfach interessiert hat und wir durch diesen Threda hier endlich in dieser Hinsicht Klarheit schaffen können (zumindest wusste ich vorher nicht, wie sich diese Berechtigungen bei DSM speziell verhalten). Aber wenn man jetzt noch an die smb.conf geht - okay, da könnte man noch weiter experimentieren.

@Syno-OS genau, so ist jetzt auch meine Erfahrung. Die "Sperre" der Besitzer-Rechte in einem Unterordner in einem Share über SMB gibt es schlichtweg nicht. Ist ja okay, Muss man halt wissen *g*

Hier noch vom Support, der mir das - parallel - noch bestätigt hat:


Der NAS verwendet ein mit Windows kompatibles Berechtigungsmodell, welches gewissen einschränkungen unterliegt.

Leider lässt sich hier die Verwaltung der Berechtigung durch den Besitzer gar nicht unterbinden.


Mit euren Antworten hier und auch denen vom Support ist meine eingangs gestellte Frage - so meine ich - beantwortet. Danke an euch alle!

Wie gesagt: es war eher aus Interesse als aus einem Problem heraus gefragt. In einem Share selbst (oberste Ebene) kann schließlich das Recht, der Besitzer zu werden, entzogen werden. Das hier beschriebene Verhalten bezieht sich ja nur auf selbst erstellte Unterordner - und da macht mir das ganz praktisch eigentlich nichts aus