Rechtevergabe in DSM für VPN unklar...

[Anawratha]

Nach erfolgreicher Einrichtung des VPN-Servers tritt für mich folgendes Problem auf: wenn ich mich über VPN (Win7) mit einem speziell zu diesem Zweck angelegten VPN-User einlogge, habe ich keinerlei Rechteeinschränkungen auf meine gemeinsamen Ordner! Ich sehe alles, kann in jeden Ordner wechseln, Files herunterladen und sogar löschen! Ziel sollte es allerdings sein, dass der VPN-User gerade mal RW-Zugriff auf EINEN Ordner hat (ansonsten möglichst nichts sehen oder lesen können) und nicht mein gesamtes System verputzen kann! Das erreiche ich im Test nur, indem ich beim User 'users' alle entsprechenden Rechte auf 'kein Zugriff' setze - kann aber auch nicht im Sinne des Erfinders sein, da dann auch meine anderen User keinen Zugriff mehr auf die gemeinsamen Ordner haben.
Hier in groben Zügen meine Benutzer-Konfiguration:

- Mehrere User, u.a. EINEN speziell für VPN angelegten VPN-User.
- Der VPN-User gehört der Gruppe vpn und (zwangsweise) users an.
- Bei (fast) allen gemeinsamen Ordnern sind die Rechte des VPN-Users auf 'kein Zugriff' gesetzt - auf einen spezieller VPN-Ordner hat der VPN-User RW-Rechte.
- 3 Gruppen:
* administators:
=> auf alle gemeinsamen Ordner RW-Rechte bei den Privilegieneinstellungen in 'Systemsteuerung->Gruppe'
* users:
=> alle Häkchen bei den Privilegieneinstellungen in 'Systemsteuerung->Gruppe' entfernt
* vpn:
=> RW-Rechte bei EINEM gemeinsamen Ordner, ansonsten alle Häkchen bei den Privilegieneinstellungen in 'Systemsteuerung->Gruppe' entfernt

Auf welchem Auge bin ich da gerade mal wieder blind? Oder bin ich gar ganz blind? Wäre für eine Hilfestellung dankbar!

 

[goetz]

Hallo,
wenn ich Dich richtig verstehe greifst Du per \\<IP>\share auf eine Freigabe zu.
Die Rechtevergabe im VPN Server bezieht sich nur auf die User die einen Tunnel aufbauen dürfen. Wenn Du jetzt per \\<IP>\share auf eine Freigabe zugreifst gelten Windows-Regeln, h.d. es wird versucht mit dem aktuellen Windows-Benutzernamen und Passwort auf das Share zuzugreifen. Wenn Du auf dem Windows-Rechner gleichen Namen und Passwort wie auf der DS hast kannst Du genau so zugreifen als wärst Du lokal.

Gruß Götz

 

[Anawratha]

Danke für die Antwort! Aber: gilt das auch, wenn der angemeldete Win-User gar nicht in der Liste der Privilegien im VPN-Server als PPTP-User eingetragen/angehakt ist?

 

[king_dingeling]

Danke für die Antwort! Aber: gilt das auch, wenn der angemeldete Win-User gar nicht in der Liste der Privilegien im VPN-Server als PPTP-User eingetragen/angehakt ist?

Sofern er in der normalen DSM-Benutzerverwaltung vorhanden ist, dann ja.

 

[goetz]

Hallo,

gilt das auch, wenn der angemeldete Win-User gar nicht in der Liste der Privilegien im VPN-Server als PPTP-User eingetragen/angehakt ist?

wenn Du die Verbindung aufbaust wirst Du ja direkt nach Username und Passwort für den Aufbau der Verbindung gefragt, das ist ja völlig unabhängig vom angemeldeten Win-Nutzer.
Beispiel:
DS:
User Horst ist angemeldeter Windows-Nutzer, auf der DS hat dieser User ne Menge Rechte aber kein Recht VPN Verbindungen aufzubauen. Wenn er jetzt eine VPN Verbindung aufbauen will wird er nach Benutzernamen und Passwort zum Aufbau der Verbindung gefragt, jetzt kennt er aber den VPN-USER und dessen Passwort und kann die Verbindung aufbauen.
Bei den Rechten bei VPN geht es nur um das Recht eine Verbindung aufbauen zu dürfen.

Gruß Götz

 

[Anawratha]

Danke Götz! Habe es jetzt von einem Netzfremden Rechner getestet - funktioniert zufriedenstellend.