DSM 6.x und darunter Applikation nur für einen User erlauben. Korrekte Gruppeneinstellung?

[DastanX]

Hallo Community,

ich bin etwas verwirrt von den Gruppeneinstellungen zu den Applikationen.
Ich kann Applikationen ja für eine ganze Gruppe explizit "zulassen", "verweigern" oder "nach IP" berechtigen.

Wähle ich nun für eine ganze Gruppe "verweigern" und setzte dann aber bei einem einzelnen User "zulassen", so kann auch dieser user nicht zugreifen ("keine rechte" haben eben immer Prio 1).
Nun hätte ich erwartet, dass wenn ich der Gruppeneinstellung weder verweigern noch zulassen setze, dass dann standardmäßig die Aktion "verweigern" wäre, außer ich setze explizit den user in dieser Anwendung auf "zulassen".
Aber Pustekuchen, denn "gar keine Option auswählen" führt genau zu dem gleichen Ergebnis, als würde ich einfach "zulassen" wählen:



Meine Frage jetzt: wie kann ich EINEN User für z.B. WebDAV oder auch andere Anwendendungen berechtigen, ohne diesem einen user "zuzulassen" und alle anderen manuell "verweigern" zu müssen?

Danke für eure Tipps!

LG
Dastan

 

[Puppetmaster]

Eine Gruppe erstellen, die genau diesen User nicht enthält und dieser Gruppe dann den Zugriff verweigern!?

 

[dil88]

Du solltest der Standardgruppe users gar keine Rechte geben, sondern dafür eigene Gruppen anlegen. Die kannst Du dann gezielt zuweisen, während in der Gruppe users ja jeder User automatisch drin ist und auch nicht herausgenommen werden kann.

@Puppetmaster: Den Gedanken hatte ich auch, aber das ist m.E. nicht weniger Arbeit als den Usern selbst das Zugriffsrecht zu nehmen.

 

[DastanX]

Die kannst Du dann gezielt zuweisen, während in der Gruppe users ja jeder User automatisch drin ist und auch nicht herausgenommen werden kann..

Ja aber in der Gruppe "users" ist dann ja weiterhin wie du sagst jeder user. Also erhält auch jeder User ein Recht für z.B. WebDAV in meinem Beispiel (durch die Einstellungen der "users" Gruppe, denn "keiner Recht" wie du sagt bedeutet bei den Applikationen scheinbar automatisch, dass man Zugriff hat - und das macht eben für mich keinen Sinn).
Was macht es jetzt für einen Unterscheid ob ich weitere Gruppen erstelle (z.B. eine um WebDAV zu berechtigen) und hier dann nur meinen User "Kodi" (der als einziger WebDAV Rechte bekommen soll) reinpacke?
Die Rechte dieses Users werden dann ja trotzdem mit dem "verweigern" Recht in der "users"-Gruppe kollidieren, denn diese muss ich hier setzen damit der Rest keinen Zugriff hat oder verstehe ich dich falsch?

Oder meinst du, mein Kodi-User sollte dann NUR in die andere Gruppe und nicht in standard "users" Gruppe (das wäre dann ja, was Puppetmaster geschrieben hat?)

 

[DastanX]

Eine Gruppe erstellen, die genau diesen User nicht enthält und dieser Gruppe dann den Zugriff verweigern!?

Ja das wäre auf jeden Fall eine Notlösung. Allerdings mit etwas Verwaltungsaufwand, je nachdem wie viele User noch hinzukommen in Zukunft.

Eigentlich möchte ich die Konfiguration ja so haben:
Grundeinstellung = KEIN Zugriff. Dann Zugriff explizit erlauben.

Dein Vorschlag wäre aber ja:
Grundeinstellung = Zugriff. Dann Zugriff explizit verbieten.

Vielleicht zeigt sich hier aber auch nur der verlorene Windows-Benutzer in seiner ersten Linux Umgebung mit entsprechenden Verständnis-Problemen

 

[Puppetmaster]

Gemeint war, eine neue Gruppe zu erstellen, die genau eines regelt: das WebDAV nicht zugelassen wird.

Dieser Gruppe fügst du jeden neuen Nutzer zu. Dieser Gruppe verbietest du die Nutzung von webDAV.
Die Gruppe users lässt du unberührt.

Jetzt musst du nur die User einzeln verwalten, denen du webDAV gestatten willst. Bzw. musst du nicht einmal das, da sie ja nicht in der neuen Gruppe sind.

 

[dil88]

Oder meinst du, mein Kodi-User sollte dann NUR in die andere Gruppe und nicht in standard "users" Gruppe (das wäre dann ja, was Puppetmaster geschrieben hat?)

Das geht m.W. nicht, weil man niemanden aus der users-Gruppe 'rausschmeißen kann. Ich kann Dir nur empfehlen, die users-Gruppe einfach zu ignorieren und mit anderen Gruppen zu arbeiten. Wenn Du z.B. eine Gruppe webdav machst, in der nur der gewünschte User drin ist, dann wäre das nochmal einen Versuch wert.

 

[DastanX]

Gemeint war, eine neue Gruppe zu erstellen, die genau eines regelt: das WebDAV nicht zugelassen wird.

Dieser Gruppe fügst du jeden neuen Nutzer zu. Dieser Gruppe verbietest du die Nutzung von webDAV.
Die Gruppe users lässt du unberührt.

Jetzt musst du nur die User einzeln verwalten, denen du webDAV gestatten willst. Bzw. musst du nicht einmal das, da sie ja nicht in der neuen Gruppe sind.

Ja das hatte ich verstanden Nur wie gesagt: mein Gedankenansatz war genau andersrum. Werde es aber wohl nach deinem Vorschlag lösen.

Das geht m.W. nicht, weil man niemanden aus der users-Gruppe 'rausschmeißen kann. Ich kann Dir nur empfehlen, die users-Gruppe einfach zu ignorieren und mit anderen Gruppen zu arbeiten. Wenn Du z.B. eine Gruppe webdav machst, in der nur der gewünschte User drin ist, dann wäre das nochmal einen Versuch wert.

"ignorieren" bringt wie gesagt nichts. Du meinst, in der Gruppe users den Wert "WebDAV" unberührt lassen und dann eine 2te Gruppe WebDAV-Rechte oder wie auch immer zu machen, da nur den Kodi-User reinpacken und dann WebDAV hier auf "zulassen" setzen - richtig? Das führt einfach nur dazu, dass dann wieder ALLE user WebDAV dürfen denn "ignorieren" bzw einfach keinen Wert setzen = Zugriff. Glaube da bleibt wirklich nur der Vorschlag von Puppetmaster

Danke für eure Hilfe! Ich konnte nur einfach nicht glauben, dass keine Rechte = Zugriff bedeutet, aber das muss ich dann wohl so hinnehmen.

 

[dil88]

Das führt einfach nur dazu, dass dann wieder ALLE user WebDAV dürfen denn "ignorieren" bzw einfach keinen Wert setzen = Zugriff. Glaube da bleibt wirklich nur der Vorschlag von Puppetmaster

Glaubst Du oder weißt Du? Solltest Du glauben, würde ich es an Deiner Stelle einmal auf einen Versuch ankommen lassen, users nicht zu nutzen, Dir ein paar Gedanken über die Nutzung verschiedener Gruppen zu machen und das dann einmal mit etwas Ruhe auszuprobieren.

 

[DastanX]

Glaubst Du oder weißt Du? Solltest Du glauben, würde ich es an Deiner Stelle einmal auf einen Versuch ankommen lassen, users nicht zu nutzen, Dir ein paar Gedanken über die Nutzung verschiedener Gruppen zu machen und das dann einmal mit etwas Ruhe auszuprobieren.

Nein glauben war hier der falsche Ausdruck. Hatte es gestern nach euren Hinweisen so getestet und kann sagen: Außer Puppetmasters Vorschlag sehe ich aktuell keine Alternative.

 

[dil88]

Ok, dann werde ich mir heute Abend nochmal meine Konfiguration anschauen. Ich kann das nach wie vor nicht so ganz glauben. Aber vielleicht stimmts ja doch.

 

[DastanX]

Leute ich habs gefunden ! Unter "Systemsteuerung -> Berechtigungen -> Applikationen -> WebDAV -> Standardberechtigungen" versteckt sich die Option einzustellen, ob kein Haken setzen = Zugriff erlauben oder eben Zugriff verweigern sein soll. Man man, als mal ist die Verteilung der Optionen bei DSM nicht so ganz schlüssig. Aber genau das habe ich gesucht. Damit kann ich es jetzt standardmäßig für alle verbieten, ohne explizit eine Gruppe auf "verweigern" setzen zu müssen und kann dann einzelne User berechtigen.