Ändern von Zugriffsrechten

[UBDM]

Hallo zusammen,
ich habe eine DS211j (DSM 3.0-1354). Mir ist nun schon öfter aufgefallen, das die Rechte nicht vollständig so übernommen werden wie gewünscht.

Beispiel:
Ich habe ein freigegebenes Verzeichnis "Bilder". Darunter befinden sich Unterverzeichnisse "A", "B" und "C". Darin wiederum Bild-Dateien "1.jpg", "2.jpg" und "3.jpg". Diese Verzeichnisse und Bilddateien kommen aus unterschiedlichen Quellen und haben somit auch u.U. unterschiedliche Rechte. Wenn ich nun auf der obersten Ebene im DSM Datei-browser das Verzeichnis "Bilder" markiere und auf Eigenschaften gehe, dort den User, die Gruppe und die Privilegien entsprechend setze, die Option "Auf diesen Ordner, die Unterordner und Dateien anwenden" setze und dann auf OK klicke, dauert es eine Weile und ich würde erwarten, daß genau diese Einstellungen für alle Verzeichnisse, Unterverzeichnisse und auch Dateien zur Anwendung kommt.

Tatsächlich ist es aber so, daß es dann immernoch Unterverzeichnisse und Dateien darunter gibt, die noch unterschiedliche Rechte haben.

Ist dies nur bei mir so der Fall, oder ist dies auch schonmal jemand anderem aufgefallen und gibt es idealerweise eine logische Erklärung hierfür ?

Danke und Gruß
UBDM

 

[Bill_Bo]

Ich habe eine DS211 mit dem selben DSM.

Das Phänomen tritt bei mir auch auf. Ich habe dann aber mal die Zugriffrechte extrem abgeändert und dann wieder so eingestellt wie ich sie haben wollte. Auf diese Weise wurde die Änderungen dann übernommen.
Ist schon irgendwie seltsam.

Ich muss allerdings auch zugeben, dass ich das mit den Rechten eh noch nicht so ganz verstanden habe.
Ich wollte eigenlich gerne folgendes realisieren:
Beispiel: Innerhalb des "video"-Shares habe ich 2 Unterordner z.B. "Zensiert" und "Unzensiert". Außerdem habe ich 2 Gruppen: "User" und "Admins".
Ich will nun, dass die "User" im Ordner "Unzensiert" nur lesen können.
Die "Admins" solle in beiden Ordnern alles können.
Diejenigen, die sich in der Gruppe "Admins" befinden, habe ich gleichzeitig auch in die Gruppe "User" gesteckt.
Wie und für wen setze ich jetzt am besten meine Häkchen in den Zugriffseinstellungen der beiden Ordner?

Die "Admins" sollen natürlich auch die Möglichkeit haben, Dateien von verschieden Besitzern dort hinein zu kopieren. Diese Dateien sollen dann automatisch die Rechte haben wie oben beschrieben, ohne dass ich die Rechte nochmal für jede einzelne Datei einzeln setzen muss.
Gleiches gilt für neu erstellte Unterordner.

 

[UBDM]

Also - in meinen Augen würde ich folgendes machen:
1. Besitzer aller Ordner und Dateien der Benutzer "Admin" mit vollem Zugriff (also "777")
2. Benutzergruppe für den Ordner "Zensiert" Deine Gruppe "Admins" mit entsprechenden Rechten
3. Benutzergruppe für den Ordner "Unzensiert" Deine Gruppe "User" mit entsprechenden Rechten
4. Alle Privilegien bei "Sonstige" entfernen

Nun - ich weiß jetzt nicht, ob es mich beruhigt das Du die gleichen Probleme mit den Privilegien hast oder eher nervös macht. Es scheint mir dann wohl doch eher ein Bug zu sein und das ist natürlich gerade bei Zugriffsrechten nicht so schön

Ich hoffe mal das das in einem neueren Firmware-Release bereinigt wird.

Danke und Gruß
UBDM

 

[Bill_Bo]

Ich versuche das jetzt noch mal anders auszudrücken:
1. Eigenschaften Dialog von "Zensiert" öffnen
2. Besitzer = Admin, Gruppe = Admins
3. Bei Besitzer alle 3 Häkchen machen
4. Bei Gruppe alle 3 Häkchen machen
5. Bei Sonstige keine Häkchen machen
6. Häkchen bei "Alle Unterordner..." und ok
7. Eigenschaften Dialog von "Unzensiert" öffnen
8. Besitzer = Admin, Gruppe = User
9. Bei Besitzer alle 3 Häkchen machen
10. Bei Gruppe nur Häkchen bei "lesen" machen
11. Bei Sonstige keine Häkchen machen
12. Häkchen bei "Alle Unterordner..." und ok

Habe ich das richtig verstanden?

Jetzt können die "Admins" doch nicht mehr schreibend auf "Unzensiert zugreifen, oder habe ich das falsch verstanden?

Was ist wenn mans so macht?:
1. Eigenschaften Dialog von "Zensiert" öffnen
2. Besitzer = Admin, Gruppe = Admins
3. Bei Besitzer alle 3 Häkchen machen
4. Bei Gruppe alle 3 Häkchen machen
5. Bei Sonstige keine Häkchen machen
6. Häkchen bei "Alle Unterordner..." und ok
7. Eigenschaften Dialog von "Unzensiert" öffnen
8. Besitzer = Admin, Gruppe = Admins
9. Bei Besitzer alle 3 Häkchen machen
10. Bei Gruppe alle 3 Häkchen machen
11. Bei Sonstige nur Häkchen bei "lesen" machen
12. Häkchen bei "Alle Unterordner..." und ok

Das sollte doch auch funktionieren, oder? Obwohl das Ganze natürlich nicht mehr funtioniert, wenns außer "User" und "Admins" noch andere Gruppen gibt.


Ich habe leider auch noch ein weiteres Verständnisproblem:

Wenn ich das alles so eingerichtet habe, und kopiere dann eine Datei von einem anderen Besitzer oder einer anderen Gruppe in einen Ordner rein, werden die Rechte dann gemäß dem darüberliegenden Ordner angepasst?
D.h. wenn ich jetzt eine Datei mit Rechten für Gruppe "User2" nach "Unzensiert" kopiere, kann jemand aus "User" die Datei dann lesen? Oder muss man jedesmal, wenn man eine Datei dorthinkopiert die Rechte wieder neu setzen?

Bei den Haupt-Freigaben (in diesem Fall "video") ist dies ja der Fall (zumindest wenn die Datei alle 9 Häkchen hat). Dann gilt genau das, was für den gemeinsamen Ordner eingestellt wurde, auch für die darunterliegenden Ordner und Dateien.

 

[UBDM]

Hallo,
also ich bin nun auch kein Spezialist - aber hier meine Sicht aufs Universum :
Du hast Recht mit Deiner ersten Behauptung - wenn die Admins in der User Gruppe sind, dann können auch die Admins nur lesend auf das "Unzensiert" zugreifen. Der einzige der dann noch auf "Unzensiert" schreibend zugreifen kann ist der "Admin" himself

Bei Deinem zweiten Vorschlag ist es eigentlich egal ob ein User in der "User" Gruppe ist oder nicht. Dann kann jeder lesend auf "Unzensiert" zugreifen - egal ob in Deiner User Gruppe oder überhaupt in einer Gruppe. Sicherlich auch nicht das was Du möchtest.

Ich kenne mich nur in der Windows-Welt etwas besser aus. Dort sollte es so sein, daß die Rechte übernommen werden wenn jemand was in den Ordner packt (nur der Owner bleibt unberührt). Genau das scheint aber bei der Synology, oder eben halt bei UNIX (das weiß ich nicht) nicht der Fall zu sein. Genau Dein Szenario ist auch das was für mich problematisch ist - wenn unterschiedliche Quellen Daten in unterschiedliche Verzeichnisse schreiben, dann werden die vordefinierten Privilegien leider nicht übernommen - so scheint es zumindest im Moment.

Gruß
UBDM

 

[Bill_Bo]

Ich hab das noch mal getestet. Es ist tatsächlich so, dass sich die DS nicht darum schert, welchen Besitzer/Gruppe der Ordner hat. Die Dateien behalten ihren alten Besitzer und auch alles andere.

Das bedeutet aber, dass man nach jeder Kopieraktion in eins dieser Verzeichnisse tatsächlich den Dateibrowser im DSM starten muss und die Rechte neu setzen. Das kann es ja nicht wirklich sein.

Was auch noch hinzukommt:
Ich selbst bin in den Gruppen "Admins" und "User". Wenn ich einen Ordner anlege, bekommt der automatisch die Gruppe "User". Woher weiß die DS, dass sie mich "User" zuordnen muss? Sie könnte doch genausogut "Admin" in den Privilegien eintragen. Kann man das irgendwie steuern, sozusagen irgendwo eine Lieblingsgruppe eintragen? Ich hab nichts gefunden.

Aber eigentlich ist es auch egal. So wie das Ganze sich im Moment darstellt, ist dieser Rechtemechanismus eh für nichts zu gebrauchen, es sei denn man hat statische Ordner, in denen nie was geändert wird.

Zum Glück funktioniert der Mechanismus bei den Haupt-Shares so wie es sein soll. Hier muss man aber auch darauf achten, das bei allen Unterordnern und Dateien alle 9 Häkchen gesetzt sind. Sonst wird das Ganze wieder teilweise ausgehebelt.
Am besten überhaupt nicht mit Rechten auf Datei- und Ordnerebene arbeiten, dann passierts auch nicht mehr, dass man auf seine eigenen Dateien nicht mehr zugreifen kann (das habe ich auch schon irgendwie hingekriegt).

Schade.

Vielleicht hat ja jemand anders noch einen Tipp parat, wie man der Sache Herr werden kann?

 

[UBDM]

Das das System die "niedrigsten" rechte übernimmt (in Deinem Falle des "User") ist ja ok und sollte auch so sein. Beim Rest geben ich Dir uneingeschränkt recht. Ich verstehe es auch nicht ganz - irgendein System muß doch dahinter sein. Wenn man es einmal verstehen würde wäre es ja ok. Das allerdings die Rechte nicht wie vorgegeben an alle Unterverzeichnisse und Dateien übergeben werden, obwohl ich den Haken gesetzt habe ist in meinen Augen ganz klar ein Bug !

Gruß
UBDM

 

[Bill_Bo]

Evtl. werde ich mal versuchen das ganze auf andere Weise zu lösen.

Ich belasse die Ordner "Zensiert" und "Unzensiert" im video-Share. Den Video-Share gebe ich nur für "Admins" frei.

Dann lege ich einen weiteren Share z.B. "user_video" an. Dieser Share bekommt nur Leserechte, sowohl für "Admins" als auch für "User".
Dann mache ich einen mount bind von video/Unzensiert nach user_video/Unzensiert.
Dann müsste doch alles so funktionieren wie ich es möchte, oder?
Ich kann alle Videos (sowohl die zensierten, als auch die unzensierten) in den video Ordner reinschmeißen und der Indexer des Mediaservers kann seine Arbeit erledigen. Die "User" können dann die unzensierten Videos über den neuen Share "user_video" ansehen.

Was mich an den Shares allerdings noch stört (ist aber nur ein Schönheitsfehler):
Im Dateibrowser des DSM werden nur die Shares angezeigt, für die der eingeloggte Benutzer auch Rechte hat. Die anderen werden ausgeblendet, was auch sehr schön ist.

Unter Windows XP allerdings sieht man immer alle Shares, auch die, auf die man gar nicht zugreifen kann. Oder gibts da eine Möglichkeit, dass die Dinger auch unter Windows ausgeblendet werden?

 

[UBDM]

Meines Wissens nach kannst Du einen Ordner nur generell unsichtbar machen - also nicht User, oder Gruppenbezogen.

 

[Bill_Bo]

Beim Windows Server 2008 geht das jedenfalls. Ordner, für die man keine Rechte hat, sieht man nicht. Beim alten 2003er war das allerdings noch nicht der Fall. Aber ich will jetzt auch nicht das kleine NAS mir einem Windows Server vergleichen. Außerdem habe ich sowohl von den Linux- als auch von den NTFS-Rechten nicht wirklich eine Ahnung.

Schade, dass sich sonst niemand an dem Thread beteiligt hat.

 

[jaec04]

Hi, bin erst später auf den Thread aufmerksam geworden, weil DS410 erst am Montag gekauft und das gleiche Prob nun wie ihr.

Beim Windows Server 2008 geht das jedenfalls. Ordner, für die man keine Rechte hat, sieht man nicht. Beim alten 2003er war das allerdings noch nicht der Fall.

und nun will ich gleich mal klug sch***en, auch bei dem w2k3 konnte man die "nichtberechtigten" Freigaben ausblenden lassen, man mußte nur einen von MS bereitgestellten Patch installieren. http://www.microsoft.com/germany/technet/sicherheit/newsletter/abe.mspx heißt ABE- Access Based Enumeration.

aber eine tolle Lösung für die Rechtevergabe habe ich leider auch nicht.

Vllt. kann mir jemand noch einen Tipp geben.

Ich erstelle einen "Shared Folder" und schalte auf diesem auch die Windows ACLs mit ein, wenn ich unter diesem Ordner über den Explorer anlege und berechtigen will, kommt dann folgende Fehlermeldung beim Browsen nach den Nutzern
"Mehrfache Verbindungen zu einem Server oder einer freigegebenen Ressource von demselben Benutzer unter Verwendung mehrerer Benutzernamen sind nicht zulässig. Trennen Sie alle früheren Verbindungen zu dem Server bzw. der freigegebenen Ressource, und versuchern Sie es erneut."

Checkt der Explorer auch wie ich im DSM angemeldet bin?

Vielen Dank und weiterhin noch Spaß mit den DSen....

gruß jaec.