Umgang mit Benutzer-Home-Ordner

[coolhot]

Ich habe den Benutzer-Home-Dienst aktiviert und folgende Benutzerkonten

admin - System default user - Kennwort abweichend von Windows und anderen Usern
<user> - Kennwort und Username gleich zu Windows
guest Deaktiviert

admin möchte ich nur zur Verwaltung verwenden. Unterhalb des home-Ordners von <user> möchte ich dann meine Dateien (Dokumente, Fotos, Audio, Video...) speichern.

In Windows möchte ich nur ein Netzlaufwerk mappen. Ist es richtig dafür den Pfad \\DS\homes\<user> zu verwenden?

Macht das konzeptionell Sinn?

Der Nachteil dabei ist wohl das die Mediendateien unterhalb von home dem UPNP-Media-Server nicht zur Verfügung stehen, richtig?

 

[Trolli]

Das ist richtig. Für Mediendateien solltest Du einfach ein zweites Netzlaufwerk auf \\DS\music bzw. \\DS\video einrichten. Macht ja auch Sinn, da die Mediendateien ja in der Regel eher gemeinschaftlich genutzte Daten sind. Ich würde es so machen, dass nur die persönlichen Daten im jeweiligen Home-Ordner liegen.

Trolli

 

[coolhot]

Danke.

Ich möchte die Frage noch erweitern. Wie ist die Hierarchie der Gruppen- und Userprivilegien? Wenn ich das beim Testen richtig erkannt habe sind die Gruppenprivilegien vorrangig den Userprivilegien, gleichzeitig gilt aber noch die Priorität der Berchtigungen NA > RW > RO. Das ist irgendwie verwirrend.

Macht es Sinn für den normalen User eine eigene Gruppe anzulegen?

Da man User nicht aus der default-Gruppe entfernen kann - macht es Sinn dieser keine Berechtigungen einzuräumen und die gewünschten Berechtigungen dann über weitere Gruppen oder dem User direkt zu geben?

 

[Trolli]

Wenn Du nur ein paar Benutzer hast, würde ich die Gruppen überhaupt nicht verwenden. Die Gruppe "users" kannst Du nicht entfernen, aber Du brauchst sie ja auch einfach nicht einzusetzen.

Eine Gruppe für einen Benutzer macht auf jeden Fall keinen Sinn.

 

[jahlives]

Grundsätzlich haben Einschränkungen Vorrang vor Zugriffserlaubnis. Gerade bei den Homeverzeichnissen sollten die Gruppenrechte gleich 0 sein. Sprich Homeverzeichnisse sollten dem jeweiligen User gehören und die Rechte 0700 oder 0600 (Dateien) haben. Niemand sonst (ausser root) sollte irgendwelche Rechte auf. Bei den Homeverzeichnissen bringen Gruppenrechte eigentlich nicht viel, da die der Name der Share aus dem Namen des angemeldeten Benutzers gebildet wird. Nur der Benutzer sieht die Share, ein anderer in der gleichen Gruppe kann sie nicht sehen.

 

[coolhot]

Ok, ich kann "users" nicht entfernen und jeder user ist dort automatisch Mitglied. Wenn ich bei der Gruppe gar nichts aktiviere also auch nicht "Kein Zugriff", dann kann ich die Ordnerberechtigung gezielt für den User festlegen weil er von der Gruppe nichts erbt. Hab ich das so richtig verstanden?

 

[jahlives]

Ich setze die Rechte auf Verzeichnisse immer über die Konsole (old-school) mittels chmod, chown und chgrp...

 

[Trolli]

Ok, ich kann "users" nicht entfernen und jeder user ist dort automatisch Mitglied. Wenn ich bei der Gruppe gar nichts aktiviere also auch nicht "Kein Zugriff", dann kann ich die Ordnerberechtigung gezielt für den User festlegen weil er von der Gruppe nichts erbt. Hab ich das so richtig verstanden?

Ja. Genau so ist es richtig.

 

[coolhot]

Ja. Genau so ist es richtig.

Jetzt müsste es nur noch funktionieren: Ich habe über die Gruppen keine Rechte zugeteilt sondern einem einzelnem Benutzer RW, Die Vorschau bestätigt das auch. Trotzdem kann ich mit diesem Benutzer nur Lesen. Sobald ich dem admin auch wieder RW anstatt nur Lesen gebe kann ich auch wieder Löschen und das obwohl ich das Netzlaufwerk extra unter Angabe der Userdaten verbunden hatte. Name und Kennwort des Users entsprechen dem Windowsaccount.

 

[Trolli]

Man kann nicht zwei Netzlaufwerke mit unterschiedichen Userdaten gleichzeitig verbinden. Wenn Du also ein anderes Netzlaufwerk als admin verbunden hast, wird wohl auch das nächste Laufwerk als admin angesteuert. Könnte das Dein Problem sein?

 

[coolhot]

Ich habe alle Netzlaufwerke getrennt und es nochmal versucht --> kein Unterschied. Es läuft im Hintergrund noch ein Zugriff ohne Laufwerksverbindung über \\ds\ordner für die ich keine Anemldedaten eigegeben habe. Der momentan genutzte Windowsaccount entspricht in Name und Kennwort dem auf der DS. Das admin-Konto der DS hat ein anderes Kennwort. Daher dürfte eine automatische Verbindung mit admin doch eigentlich nicht möglich sein?

 

[jahlives]

Laufwerke zu trennen reicht in diesem Falle nicht. Du musst den User abmelden, damit die Netzwerkverbindung getrennt wird.

 

[coolhot]

ok, probiere ich später aus. Im Moment läuft eine größere Kopieraktion...

 

[coolhot]

Ich hab´s anders rausgefunden:

Wenn ich \\DS öffne sehe ich "homes" und "home". Wenn ich per ftp drauf gehe und mich mit dem Benutzer (nicht admin) anmelde sehe ich "homes" nicht. Das ist der Beweis das meine Verbindung zur DS über das admin-Konto läuft. Das will ich eigentlich nicht. Das admin-Konto hat extra ein abweichendes Kennwort wohingegen das Benutzerkonto gleich dem in Windows ist. Ich hoffe das hört nach einem Neustart auf.

 

[jahlives]

Mit Homes hat Synology ja einen sehr aussagekräftigen Namen verwendet
Meine Homefreigaben heissen wie der Benutzer und damit sehe ich auf den ersten Blick als was ich angemeldet bin

 

[coolhot]

Der Windows-Neustart und trennen aller Netzlaufwerke hat nichts gebracht. Wenn ich die DS im Explorer öffne mit \\DS kommt keine User\Kennwort-Abfrage und ich sehe die Ordner home und homes, bin also als Admin drauf. Muss ich das verstehen?

 

[jahlives]

Wieso bist du sicher, dass du admin bist? Jeder User hat eine Freigabe home.
Wenn keine Userabfrage kommt, dann kennt die DS den User der von deinem PC her kommt. Sonst käme noch der Gastzugang in Frage. Wenn aber der admin auf der DS ein anderes PW hat als auf dem PC (und du auf dem PC nicht als User admin sondern als DU eingeloggt bist) dann muss entweder eine PW Abfrage kommen oder du bist nicht als admin angemeldet.
Ich glaube itari hat mal eine 3rd Party Anwendung geschrieben für den samba. Damit kann man sehen welcher Benutzer die Freigabe geöffnet hat.

 

[coolhot]

Ich bin sicher weil ich auch homes sehe und Zugriff auf die Unterordner von admin und user habe. home von admin hat keinen Inhalt, home von user schon. Wenn ich \\ds\home öffne sehe ich daran dass es leer ist dass ich admin bin. Guest ist deaktiviert. Windows hat kein Konto namens admin, nur administrator, ich bin aber als user (identisch zu DS-user) angemeldet.

 

[jahlives]

Weisst du wo die smb.conf liegt? Ich würde die Homefreigabe mal umbenennen, dann siehst du am Namen der Freigabe, als was du angemeldet bist

[%S]
comment = Home Directories
browseable = yes
valid users = %S
writable = yes

Obiges mal testweise in die smb.conf schreiben und ggf die Default Home Freigabe mit # vor jeder Zeile auskommentieren. Dann speichern und den samba neustarten. Die Freigabe muss jetzt admin heissen, sonst bist du nicht als admin angemeldet

 

[fortitudo]

...kann es sein, dass Dein Benutzer Mitglied einer Gruppe (Administratoren oder so) ist, die die entsprechenden Rechte hat? Wo schaust Du überhaupt. Im Explorer oder in der Filestation?
Viele Grüße
fortitudo