Rechte- / Zugriffs- Problem mit einem bestimmten User

[DS212j Owner]

Hi!

Problembeschreibung; Ich habe einen Administrator und einen User.

Der User hat Lese&Schreibrechte, auf bestimmte "Freigegebene Ordner" , z.B. auf den Standard Synology Ordner "photo"

Hier sind Photoalben drin und ich habe das Phänomen das dieser User keinen Zugriff auf die Dateien über SMB hat. Wenn ich mit NetUser und den Credentials von diesem User zugreife, kann ich die Dateien sehen aber sie werden ohne Preview (mehrkwürdigerweise gilt das nicht für mp4 Videos, die haben einen Thumbnail & lassen sich sogar abspielen) angezeigt. Wenn ich darauf klicke um es z.B. mit Windows Photoviewer anzusehen wird mir gezeigt das ich kein Recht habe zuzugreifen (siehe Screenshot).




Ich habe herausgefunden das das Problem nicht besteht, wenn es dieser User selbst ist, der die Dateien über das Synology GUI hochlädt.
Nun habe ich also zwei identische Ordner mit dem gleichen Inhalt der eine hat dieses Rechte Problem und der andere nicht.

Soweit so gut also habe ich den Inhalt der beiden Ordner verglichen und folgenden Unterschied festgestellt:



Man könnte also sagen das der User nicht in einer Gruppe ist die das Recht hat oder nicht der Besitzer ist. AAAber - der User IST in einer Gruppe die Rechte auf diesen Ordner hat! Auch die entsprechenden Anwendungen Photostation und SMB, etc. sind hinterlegt.

- Wenn ich diesen User noch in die Admin Gruppe aufnehme, funktioniert es.
- Und wie gesagt wenn es dieser User selbst ist, der die Dateien hochlädt, dann geht es auch....

Frage: Was läuft hier falsch?

Danke für eure Hilfe und Happy new Year!

 

[Kaiser Wilhelm]

Synology Photos kennt zwei Arten Benutzer. Einmal den Photo-Administrator, der nutzt den Systemordner /photo und die/ der User, dieser nutzt den Ordner /home/Photos.

Normale User haben nur Zugriff auf ihren eigenen home/Photos Ordner und auf die Ordner , die der Synology-Administrator in Synology Photos frei gibt.
Der Ordner /photos wird somit eigentlich nur zur Administration gemeinsamer Fotos von Synology Photos genutzt. Jeder User erhält nur Zugriff auf die Fotos in /photos, wenn der Administrator dies in Synology Photos auch möchte. Dazu öffnet man Synology Photos und aktiviert den Freigegebenen Bereich.

Spoiler: Freigegebener Bereich in Photos

Also nicht in den DSM-Rechten von /photo herumstochern, sondern die Freigabe über den Adminstrator in Synology Photos konfigurieren.

 

[ottosykora]

genau so ist es
der Systemordner /photo wird von der Software Synology Photos verwaltet. Da hat niemand was zu ändern dran, das kann Chaos verursachen bis zu Neuinstallation

Die Rechte dürfen hier nur von innerhalb der Synology Photos verteilt werden.

Andere Manipulationen sind zu unterlassen

 

[Crashandy]

Also nicht in den DSM-Rechten von /photo herumstochern, sondern die Freigabe über den Adminstrator in Synology Photos konfigurieren.

Das kann ich auch nur wärmstens empfehlen, da Synology Photos eine vollständig andere Rechteverwaltung verwendet als die damalige Photo Station. Früher konnte man das noch so, wie es von @DS212j Owner dargestellt wurde, verwirklichen. Ich hoffe nur, dass er nicht noch von einer DS212j redet, sondern von einem neueren Modell.

 

[DS212j Owner]

Danke für die Hilfe - ja ich habe keine DS212j mehr sondern eine DS218

Ich werde mir die Freigabeeinstellungen anschauen aber habe eine Frage zu:
"Also nicht in den DSM-Rechten von /photo herumstochern, sondern die Freigabe über den Adminstrator in Synology Photos konfigurieren."


Soll ich:
- Die Gruppe auflösen die ich vorher für /photo Zugriff konfiguriert hatte?
- Dem User keinerlei Rechte über DSM auf /photos erteilen
- Dann alles über SynologyPhotos App einstellen

 

[ottosykora]

keine Rechte 'vorbei' an SP für /photo verteilen

 

[Crashandy]

Soll ich:

Ja!

Falls Du eine separate Gruppe mit ausgewählten Usern für die Fotos hast, dann bekommen diese User nur die Berechtigung für die Anwendung "Synology Photos" und das war schon alles.

 

[Kachelkaiser]

Eigentlich sollten das doch zwei Paar Schuhe sein. Den Zugriff über SMB kann ich auf den /photo Ordner regeln, wenn er im ACL Modus ist und das sollte unabhängig von den Einstellungen der Photo Software sein.

Bei mir ist es genauso konfiguriert. Meine Kinder haben keinerlei Zugriff auf die Software aber sie können per SMB auf den Ordner zugreifen.

siehe auch hier:
https://kb.synology.com/de-de/DSM/tutorial/How_do_I_assign_ACL_permission_for_subfolders_of_photo

Da wird explizit nochmal drauf hingewiesen, dass das zwei verschiedene Berechtigungen sind

In File Station vorgenommene Berechtigungsänderungen werden nicht auf Synology Photos angewendet.

 

[Crashandy]

sie können per SMB auf den Ordner zugreifen.

Das mag intern auch noch funktionieren, jedoch bringt man damit die ganzen Rechte der App Synology Photos durcheinander.
Zum Beispiel lädt User A in einen freigegebenen Ordner (nicht in seinen Home-Ordner) Photos vom Smartphone hinein, welche vom User B in diesem Ordner nicht zu sehen sind, obwohl User B Zugriff auf diesen Ordner hat.
Begründung: Die Smartphone-App speichert die Bilder in diesen Ordner mit Besitzer:Gruppe SynologyPhotos:SynologyPhotos und diese Dateien sind dann ohne eine Manipulation der Besitzerrechte nicht mehr außerhalb von Synology Photos lesbar, auch nicht über SMB. Der Ordner ist scheinbar leer.

Fazit:

keine Rechte 'vorbei' an SP für /photo verteilen

 

[Kachelkaiser]

Das kann ich so nicht nachstellen

ich habe ein Photo per Photos App mit den Rechten meiner Frau hochgeladen in den freigegebene Bereich.

Mit meinem User sehe ich das Foto sowohl in Photos als auch per SMB, obwohl es meine Frau als Besitzer eingetragen hat

Dann wäre es ja immer ein Problem, wenn man Fotos aus den persönlichen Bereichen in den freigegebenen Ordner verschiebt. Hier werden ja die Besitzrechte auch nicht angepasst und trotzdem sehen alle Berechtigten die Fotos per SMB

Ich sehe ja auch andere Dokumente, wie z.B. docx Dateien per SMB die nicht von mir hochgeladen wurden, wenn ich Zugriff auf den Ordner habe.

 

[DS212j Owner]

Danke und ich bin da voll bei @Kachelkaiser - ich will das alles gar nicht haben.
Ich möchte SMB zugriff und diesen Zugriff eifach per User regeln.

Ich benutze auch keine SynologyPhotos App oder ähnliches....

Frage: Wenn ich einfach einen anderen / eigenen Freigegebenen-Ordner erstelle z.B. "MeineBilder" und diesen anstatt /photos für Bilder ezc. verwende, wäre das das richtige für meine Zwecke?

Es kommt mir so vor als ob der /photos Ordner für die Verwendung mit Synology Apps fest verdrahtet ist?!??!

 

[Kachelkaiser]

Ja das ist er. Aber wenn du Photos nicht nutzt, kannst du ihn ja trotzdem benutzen. Schau nur, dass er im ACL Modus läuft, siehe auch den verlinkten Artikel.

 

[DS212j Owner]

kannst du ihn ja trotzdem benutzen.

Ja schon aber ich bin jetzt am Zweifeln, den das "Herumspielen" an solchen Sachen scheint ja riskant zu sein, wie es andere hier schon geschrieben haben...

Was meint der Rest - lieber einen gesonderten Ordner wenn man SynPhotos nicht nutzt oder wie wäre da best practise?

 

[Kaiser Wilhelm]

Ich war davon ausgegangen, dass du Synology Photos nutzt. Sorry sollte ich da etwas Verwirrung gestiftet haben. Wenn du nur rein zufällig den Ordner mit diesem Namen selber angelegt hast, kannst du sehr wohl damit machen was du willst. Aber wenn du dann doch mal Synology Photos benutzt, könntest du Probleme bekommen. Ich habe meinen Usern, ohne Synology Photos, den SMB Zugriff auf einen eigenen Freigabe Ordner mit eigener Benamung (Bilder) konfiguriert und als Netzlaufwerk auf den Windowsrechnern bereitgestellt. Synology Photos nutze nur ich zu Testzwecken um zu schauen, was man damit so alles anstellen kann.