Rechtevergabe in Subordnern nach Gruppen

Status
Für weitere Antworten geschlossen.

dom11

Benutzer
Mitglied seit
29. Jul 2009
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
Hallo Community

So, nach 2 Stunden Forum durchsuchen dachte ich mir; Jetzt eröffnest du mal einen eigenen Thread :)


also ich habe eine DS109j, mit einer 500GB Seagate Platte.


AUSGANGSSITUATION:

Server ist soweit eingerichtet.
Server hat Internetfreigabe für die FileStation und einen DynDNS Account.
Es bestehen:

1 Admin Account
5 Benutzer

Die Gruppen sind aufgeteilt in:

Geschäftsleitung: 2 Benutzer (diese sollten überall vollen Zugriff haben)
MA1: 2 Benutzer (Rechte je nach Ordner)
MA2: 1 Benutzer (Rechte je nach Ordner)

1 Gemeinsamer Ordner Public
5 Subordner




PROBLEMBESCHRIEB:


Nun möchte ich, das ich die Subordner unterschiedlich mit rechten nach Gruppen deklarieren kann.

zB Sollte MA1 auf die einen Subordner Lese und Schreibzugriff haben, auf andere Subordner NUR Lese oder NUR Schreibzugriff, auf andere Ordner gar keinen zugriff.

Dann gibt es Ordner bei welchen MA1 UND MA2 die gleichen Befugnisse oder Restriktionen haben.

Bei allen Ordnern muss aber die GL vollen Zugriff haben.




Am einfachsten wäre es, wenn ich die Subordner so konfigurieren könnte, wie die "gemeinsamen Ordner" im Managment. -> Rechtevergabe individuell auf User angepasst.

Das Problem ist, wenn ich in der FileStation einen neuen Ordner erstelle, kann ich nur EINE Gruppe auswählen um die Rechte zu deklarieren. Gibt es da keine Möglichkeit das für jede Gruppe individuell zu regeln?

Ich hoffe Ihr könnte mir folgen was ich möchte. Kurz, ich möchte die selbe Privilegienverwaltung bei Subordnern haben, wie bei Gemeinsamen Ordnern im Managment.

Gibt es da eine Möglichkeit das alles mit wenig Aufwand zu realisieren?
Ich fühle mich nicht Fit, per Konsole Systemdateien zu verändern.


Danke euch viel mal für eure Hilfe! :eek:

Grüsse

Dom
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Das Problem ist, wenn ich in der FileStation einen neuen Ordner erstelle, kann ich nur EINE Gruppe auswählen um die Rechte zu deklarieren. Gibt es da keine Möglichkeit das für jede Gruppe individuell zu regeln?
Das ist kein Problem sondern normales Verhalten. Ein Verzeichnis/Datei kann nur einen Eigentümer und eine Gruppe haben. Du kannst bei einer Datei nicht für 2 Gruppen unterschiedliche Rechte festlegen (zumindest auf dem Dateisystem nicht)
Dein Problem dürfte die Gruppe GL sein. Für MA1 und MA2 kannst du die Rechte ja setzen. Wenn beide Gruppen auf einer Datei/Verzeichnis die gleichen Rechte haben sollen, dann fasse die Mitglieder dieser Gruppen zu einer weiteren Gruppe (MA3) zusammen.
Wie gesagt rede ich hier von den Rechten im Dateisystem. Was gehen könnte wäre die Rechte auf der Dateisystem sehr "weit" zu setzen und dann die Rechte in der Applikation selber (z.B. Samba) wieder einzuschränken. Hat jedoch den gravierenden Nachteil, dass praktisch jeder an den Dateien rumfummeln kann, solange er/sie sich an der Konsole anmelden darf.
 

dom11

Benutzer
Mitglied seit
29. Jul 2009
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
hey danke dir vielmals für die rasche antwort.

sprich ich kann also keinen subordner erstellen bei dem:

Mainordner

Subordner 1
gruppe 1: lesen und schreiben darf
gruppe 2: nur lesen
gruppe 3: nur schreiben
gruppe 4: keinen zugriff

Subordner 2
gruppe 1234: lesen und schreiben


hat?

Bei Windows Server, konnte ich die Verzeichnisse individueller gestalten nach User.

Ist das hier in dem Fall NICHT möglich?

Ich müsste das also so lösen, das ich die gewünschten Ordner jeweils als Mainordner (gemeinsamen ordner) anlege und dann die Rechte individuell vergebe. Diese Rechte bleiben dann aber durchgehend gleich bei den jeweiligen Subordnern?

Ich würde eben gerne nur ein Netzlaufwerk verbinden, in welchem man dann in den verschiedenen Ordnern browsen kann und nicht jeden Ordner einzeln. :(
 

dom11

Benutzer
Mitglied seit
29. Jul 2009
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
andere frage noch rasch: wo kann ich bei der DS die arbeitsgruppe umändern?!?

bei managment / netzwerkkonfiguration / kann ich nur den servernamen und dhcp/ip auswählen. aber nirgends die arbeitsgruppe :confused:
 

dom11

Benutzer
Mitglied seit
29. Jul 2009
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
ok, habe ein für mich passendes workarround gefunden.
thema für mich erledigt.

nochmals danke für deine hilfe, hast mir geholfen :)
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Anmerkung:

1] aus der Sicht von Linux gibt es oft nur die Meinung, dass es nur eine Gruppe und einen User pro Datei gibt. Das ist bei erster Betrachtung auch so richtig, aber es gibt natürlich auch die sogenannten Linux-ACLs (access control lists), welche allerdings auf der DS nicht aktiviert sind.

2] aus der Sicht von Samba kann man natürlich jede Share mit spezifischen Benutzer- und Gruppenrechten ausstatten. Leider wird das aus Zwecken der Einfachheit nicht im DS Manager für Subdirectories übernommen. Es ließe sich aber durch manuelle Konfiguration der smb.conf realisieren (was dann aber andere Nachteile hätte). Also zusammengefasst: es geht prinzipiell, aber auf Kosten der Bequemlichkeit.

3] meist kann man durch geschickte Verlinkung von Verzeichnisse trotzdem eine akzeptable Berechtigungsstruktur realisieren.

Itari
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Also zusammengefasst: es geht prinzipiell, aber auf Kosten der Bequemlichkeit.
Und der Sicherheit! Weil die Rechte des Dateisystems nicht mehr als letztes Bollwerk dastehen. Ein Schreibzugriff für mehrere Gruppen in Samba setzt wohl ein world-writeable im Dateisystem voraus. Damit bekommst du Probleme mit allen Protokollen welche keine eigene Rechteverwaltung anbieten, sondern sich auf das Dateisystem verlassen. Synology hatte doch auch das Problem mit den Homepages im Userverzeichnis. Ursprünglich konnte man als User mit gültiger Shell so auf alle Homepagedaten aller User zugreifen.
Anmerkung:
1] aus der Sicht von Linux gibt es oft nur die Meinung, dass es nur eine Gruppe und einen User pro Datei gibt. Das ist bei erster Betrachtung auch so richtig, aber es gibt natürlich auch die sogenannten Linux-ACLs (access control lists), welche allerdings auf der DS nicht aktiviert sind.
Bestünde denn die theoretisch die Möglichkeit Linux-ACL irgendwie nachzurüsten? Wenn nein dann sollten wir das mal an Synology melden. Wäre doch etwas nützliches in einer kommenden Firmwareversion.

Btw: Hat jemand eigentlich die Homepages in den Userverzeichnissen aktiviert? Wie hat denn Synology die Rechte in den entsprechenden Verzeichnissen gefixed? Weil zumindest nobody Lesezugriff haben muss, wenn nicht sogar Schreibzugriff. Ursprünglich hat Synology einfach der Gruppe Users Schreibzugriff gewährt.

Gruss

tobi
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat