Ordner- und Dateiberechtigung

[Typ_aus_Berlin]

Hallo Comunity,
ich habe auf der Synolgy folgende Ordnerkonfiguration:
kundenordner > ordner-kundenname1 > Ordner und Dateien
Ebene1 > Ebene2 > Ebene3
Es sind im Moment ca. 200 Ordner in der zweiten Ebene

Jetzt sollen unsere Kunden von außen auf Ihre jeweiligen Daten in der dritten Ebene (Ordner und Dateien) zugreifen, dürfen natürlich keine anderen Order beziehungweise Dateien als die eigenen sehen, der Zugriff soll lesen und schreiben beinhalten.

Bisher hat es nur geklappt mit Einzelberechtigungen für den jeweiligen Ordner in der zweiten Ebene und dem Enziehen der Berechtigung für alle anderen Ordner in der zweiten Ebene. Das ist mir allerdings zu umständlich und zu fehleranfällig.

Gibt es für diesen Zugriff eine einfache und vor allem nicht so fehleranfällige Möglichkeit.

Danke für Eure Hilfe.

 

[maxblank]

Hallo @Typ_aus_Berlin!
Vorab sei mir eine Frage gestattet: Klingt für mich danach, als ob das als eine Dienstleistung gegen Bezahlung erfolgt. Korrekt?

Ansonsten würde ich dir mal folgenden Ansatz mitgeben.

Für User:
https://kb.synology.com/de-de/DSM/tutorial/Quick_Start_Synology_Drive_users

Für Admins:
https://kb.synology.com/de-de/DSM/tutorial/Quick_Start_Synology_Drive_admin

Schönes Wochenende!

Grüße
maxblank

 

[Typ_aus_Berlin]

Nein, das ist mein eigenes Unternehmen..., also insofern werde ich schon bezahlt, wenn auch mickrig...

Ich wollte den Kundenzugang schon über Synology Drive realisieren, habe aber bisher nur in den direkten Berechtigungen in der File Station gearbeitet und mit Gruppen und Benutzer berechtigungen, da ist das nicht sonderlich komfortabel.

Ich werde mir Deinen Link ausführlich durchlesen und hoffentlich neue Erkennisse bekommen, danke Dir.

Viele Grüße

 

[maxblank]

Sehr gerne. Ich habe es auch nicht böse gemeint. Wir bringen hier unsere Freizeit ein, andere (nicht du) lassen sich die Lösung ausarbeiten und kassieren ab.

Drive-Server hat eine eigene Oberfläche, würde da nicht parallel an den Berechtigungen in der Filestation schrauben. Wenn du das mit Drive pro Benutzer sauber einrichtest, sieht auch jeder User standardmäßig nur sein Verzeichnis bzw. seine Daten.

Wie greifen die Clients von außen zu? VPN?

 

[Typ_aus_Berlin]

Deine Frage mit der kommerzielle Nutzung war völlig OK!

So wie Du das schilderst, wird das mit der Drive immer besser!

Leider geht der Zugriff von außen nicht mittels VPN, da muss ich wohl einen Port öffenen, wenn auch ungern, aber irgendwie müssen die Kunden an Ihre Daten.

 

[maxblank]

Überdenke das mit dem VPN nochmals.

Bevor du einen Port öffnest, dann lieber mit Tailscale. Netzwerkzugriff von außen geht dann nur gezielt auf das NAS.

https://www.synology.com/de-de/dsm/packages/Tailscale

https://tailscale.com/kb/1131/synology/

 

[Typ_aus_Berlin]

Davon habe ich noch nichts gehört, ansehen werde ich mir das mal, vielleicht...

Ich habe mein Netz hinter einer FritzBox die keine Ports offen hat, von außen komme ich bisher nur über das WireGuard der FritzBox rein, eigentlich alles soweit bestens. Die Kunden können teilweise nichts installieren oder irgendwelche VPN Software installieren, daher können die meisten nur über Port443 arbeiten. Die Synology muss also auf dieser Ebene aufgemacht werden, damit die Kunden per Weboberfläche auf Ihre Daten kommen.

Ich habe mir gerade die Drive Beschreibung angeschaut, dort ist aber auch nur die Rede davon, dass über die Gruppen bzw. Benutzer die Berechtigungen erteilt werden müssen, also im Grunde auf der Berechtigungsebene das Gleiche.

 

[maxblank]

Wenn du den benutzerbezogenen Home-Ordner aktiviert hast, bekommt jeder User seinen eigenen und dort werden die Berechtigungen automatisch gesetzt.

https://kb.synology.com/de-de/DSM/tutorial/Quick_Start_Synology_Drive_admin#x_anchor_idd4c414da21

 

[ottosykora]

das alles tönt nach dem ewigen Thema '...nur Unterordner freigeben...'
eigentlich Dauerbrenner hier, du kannst danach im Forum suchen und wirst viele Beiträge finden.

Ich meine dazu:
eine vernünftige Struktur der Daten erstellen, mit weniger Ebenen, dann wird alles einfacher.

 

[Typ_aus_Berlin]

Ich muss die Kundenordner auf den Arbeits-PC's als Laufwerk zuordnen, da unsere Programme und die Mitarbeiter den direkten Zugriff auf die Laufwerke brauchen, da klappt das mit dem Home Laufwerk nicht. Alles was der Kunde an Daten zur Verfügung gestellt bekommt, muss für uns direkt bearbeitbar sein.
Ich werd wohl doch auf der Gruppenebene die Berechtigung erteilen müssen, da kann ich den Hauprodner ohne Unterordner berechtigen und auf alle Unterordner anwenden und dann auf der zweite Ebene den Kundenordner für den Jeweiligen Benutzer mit den entsprechenden Rechten einrichten.
Ist vermutlich doch der sinnvollste Weg.

 

[maxblank]

Mit welchem Protokoll zuordnen? Per SMB?

 

[Typ_aus_Berlin]

ja, alles per SMB. Da wir leider Windows PC's brauchen, unsere Software läuft nur auf Windows mit SQL und Outlook.

 

[maxblank]

Und das ohne VPN
Also willst du SMB blank ins Internet stellen?
Das fällt dir mit ziemlicher Sicherheit eher früher wie später auf die Füße, mach das nicht!

 

[geimist]

Nein, er meint intern wird SMB für die Mitarbeiter verwendet.

Ist ja nicht mein Fachgebiet, aber ich würde es so machen:
Ich würde den Kunden keine Berechtigung auf die gemeinsamen Ordner gewähren, sondern direkt in Drive (nicht der Adminkonsole) den gewünschten Ordner für den Kunden freigeben.



Dann noch für Drive eine Subdomain oder einen Alias setzen und das Ganze ist über https und Port 443 von extern erreichbar.

 

[maxblank]

Jetzt sollen unsere Kunden von außen auf Ihre jeweiligen Daten in der dritten Ebene (Ordner und Dateien) zugreifen, dürfen natürlich keine anderen Order beziehungweise Dateien als die eigenen sehen, der Zugriff soll lesen und schreiben beinhalten.

Das klingt für mich nicht so @geimist

 

[geimist]

Meine Annahme resultiert hieraus:

Ich wollte den Kundenzugang schon über Synology Drive realisieren,

Den SMB-Zugriff habe ich für die internen Mitarbeiter herausgelesen.

Dann soll uns @Typ_aus_Berlin darüber aufklären, eh wir uns darüber zerspekulieren.

 

[Typ_aus_Berlin]

Danke für Eurer Feedback!

Das SMB ist ausschließlich für unsere Mitarbeiter, die kommen alle ausschließlich üver WireGuard VPN auf das System, oder sind sowieso direkt im internen Netz.

Die Ordner auf die unsere Kunden zugreifen sollen, sind teilweise die selben mit denen wir arbeiten, aber die Kunden sollen ausschließlich über eine Subdomain mittels Drive auf die Ordner zugreifen für die sie Berechtigung haben. Unsere Synology hat eine feste IP und wird dann nur über Port 443 erreichbar sein (https://cloud.firmenname.de).

Ich denke so wird ein Schuh draus ?!

 

[geimist]

Dann wäre doch eine Freigabe über Drive eine Lösung, oder?

 

[Typ_aus_Berlin]

Das sehe ich zwischenzeitlich auch so.

Haltet ihr meine angedachte Vorgehensweise bzgl. des Zugangs für gut?

Ich würde den Kunden keine Berechtigung auf die gemeinsamen Ordner gewähren, sondern direkt in Drive (nicht der Adminkonsole) den gewünschten Ordner für den Kunden freigeben.

Stephan, wie kommt man diesen Freigabe Screen ?

 

[plang.pl]

Auf dem NAS Drive starten. Dann zum gewünschten Ordner / zur gewünschten Datei navigieren -> Rechtsklick -> Freigeben