DSM 6.x und darunter Berechtigungsprobleme

[fobi87]

Moin moin liebe Leute,

habe heute von einer DS213j auf eine DS716+II erfolgreich gewechselt bzw. migriert.

Dennoch habe ich ein Problem mit den Berechtigungen. Bin auf der aktuellen DSM-Version (DSM 6.1-15047 Update 2)


Direkt nach der Migration auf die DS716+II lief alles Einwandfrei. Konnte sogar meinen Rechner mit den Ordnern bzw. meinen Netzlaufwerken syncen. Danach habe ich eine Sicherung der Konfig erstellt. Habe aber plötzlich ein Problem bekommen, mit den Berechtigungen. Mein Benutzer ist der Admin-Gruppe zugeteilt und habe dementsprechend alle Rechte auf der DS. Siehe ....



gehe ich nu auf die Meine Benutzer Berechtigungen, sehe ich dass ich zu einigen Ordner keine Zugriffsrechte habe, auch wenn ich diese ändere. Siehe...


Habe jetzt natürlich keinen Zugang mehr auf mein Netzlaufwerk, ebenso in der Filestation. Trotz wiederherstellung der Konfig wie oben erwähnt.


Hättet ihr da einen Rat?

Danke. LG fobi87

 

[Fusion]

Ist der Nutzer noch in anderen Gruppen? Welche Rechte haben diese Gruppen an den betreffenden Ordnern?
Ein Verbot woanders sticht alle Erlaubnisse aus.

 

[fobi87]

ja, bei allen Gruppen. Bei den users kann ich den haken nicht entfernen. mhhh.

Edit: Habe gerade be den User-Gruppe Berechtigung einen Ordner auf LESEN/SCHREIBEN geändert. so funktionierts. Wie bekomm ich meinen Benutzer jetzt aus der User-Gruppe raus?

 

[blaeo]

Jeder Benutzer (also User) gehört automatisch zur Gruppe "Users".

 

[Fusion]

users ist die "Grundgruppe", weil jeder Nutzer auf einem linux system zwingend einer Gruppe angehören muss.

Die Mitgliedschaft in allen Gruppen ist schon mal kontraproduktiv für einen Nutzer in der Admin Gruppe.
Der Sollte nur bei administators und users Mitglied sein.
Die Mitgliedschaft in http kann NUR Einschränkungen bringen.

Also das mal ändern und nochmal prüfen.
Falls immer noch Probleme mal die Berechtigungen der user Gruppe anschauen, da sollten normal keinerlei Haken gesetzt sein.
Falls doch, sollte man neue Gruppen anlegen und Zugriffsrechte darüber steuern und in der Gruppe "users" alle Haken entfernen.

 

[fobi87]

Ja, aber wie kann ich das Problem mit den Berechtigungen lösen?

Edit: OK, habe dass jetzt so gelöst, dass ich der Gruppenberechtigung 'groups' alle Haken entfernt habe. Nun läufts. Dann muss ich auf die Gruppenberechtigungen pfeiffen.

DANKE DANKE

 

[blaeo]

Ich nehme an du hast einer der Gruppen (vermutlich User oder Http) die Berechtigung für die betroffenen gemeinsamen Ordner entzogen. Demzufolge schlägt ein Verbot die übrigen Erlaubnisse und die Berechtigung wird verwehrt.

An deinem Beispiel:
Die Gruppe Administrators hat ja die Rechte gesetzt. Wenn es nicht geht wird dein Adminuser folglich durch eine Einschränkung einer anderen Gruppenberechtigung blockiert.

 

[fobi87]

Richtig. Aufgrund dessen dass ein neuer Benutzer der ja der User-Gruppe automatisch zugeteilt wird, sonst Zugang zu meinem Backup meiner eigenen Dateien hätte. Deswegen der Entzug der Berechtigungen. Konnte nicht ahnen dass mein Benutzerkonto dass den Admins zugeteilt ist, auch bei den User dabei ist. Wie würde ich denn ein Admin Konto anlegen ohne dass es Einschränkungen durch die Usergruppe hätte?

 

[blaeo]

Lösungsvorschlag:

Leg dir doch eine neue Gruppe bspw. "homeusers" an geb dieser die Berechtigungen. Anschließend werden alle Berechtigten Benutzer Mitglied dieser Gruppe. Dann entziehst du der Gruppe Users alle Berechtigungen. Somit haben alle neuen Benutzer zunächst keine Berechtigungen, bis du diese Benutzer einer Gruppe mit den entsprechenden Berechtigungen zuweist.

Bei mir gibt es z. B. eine Gruppe für Homeuser - also alle in meinem Haushalt - und eine Gruppe Remoteusers - alle externen (bekommen auf ausgewählte Ordner Leserechte).

Gruß
blaeo

 

[Fusion]

Wie schon erwähnt sollte in der "User" Gruppe keinerlei Veränderung vorgenommen werden.
Neue Benutzer haben KEIN Zugriff auf deine Backup Daten (ein fehlendes Verbot ist noch lang keine Berechtigung), außer du hättest eben schon etwas verändert in der Gruppe "users".

Sauber ist die Lösung, wenn du dir Gruppen anlegst mit verschiedenen Berechtigungen. z.B. die Gruppe "Nutzer". Dieser setzt du entsprechende Berechtigungen u.a. eben ein Verbot auf diverse Ordner. Jeder neue normale Nutzer kommt in diese Gruppe und "erbt" das Verbot.

Der Ansatz ist demnach eben genau anders herum. Nicht wie der admin nicht durch Änderungen an der Gruppe "Users" eingeschränkt wird, sondern wie Nutzer durch eigen definierte gruppen kontrolliert werden.

 

[fobi87]

War gerade dabei dass so einzustellen. BESTEN BESTEN DANK !!!

 

[NSFH]

Den gleichen Nutzer in verschiedenen Gruppen mit dann noch unterschiedlichen Rechten anzulegen ist nie eine gute Idee.
Das funktioniert mit den ACLs nur, wenn man an neuralgischen Punkten in der Verzeichnisstruktur die Vererbung unterbricht und ab dort neue/andere Gruppen einsetzt.