Nutzer-Rechte werden ständig resettet?

[xamoel]

Guten Tag zusammen,

ich habe ein großes Problem.
Meine Syno hat genau zwei Nutzer, mich als Administrator, und einen User.
Usergruppen gibt es auch nur die 3 Standardgruppen.
Es gibt diverse Freigegebene Ordner, nur der Admin soll Zugriff auf alles haben, der User nur auf PHOTO.

In der Gruppenberechtigung für die User-Gruppe ist nirgends ein Haken gesetzt.
Im der Userberechtigung für den User selbst sind alle Ordner manuell auf N/A bis auf PHOTO, hier ist RW (für Photo-backup via DS File).

Das klappt 1-2 Tage. Dann checke ich spaßeshalber mal DS File des Users, und siehe da, auf einmal hat er Zugriff auf fast alle Freigegebenen Ordner.
Sieht man auch in der Konfig, fast alle Ordner sind wieder angehakt als R/W.
Setze ich nun manuell wieder auf N/A, schauts paar Tage später wieder aus wie vorher, R/W auf fast allen Ordnern.

Testweise habe ich auch mal in den Gruppenberechtigungen für die User-Gruppe alles auf N/A bis auf PHOTO gesetzt, Folge war, dass ich als ADMIN ebenfalls keinen Zugriff mehr hatte, da Administratoren ja auch Mitglied der User-Gruppe sind...

Bin ich crazy? Wie zum Geier kann das sein?

 

[ottosykora]

also zuerst mal ist es sehr schlecht etwas an den Rechten der System Gruppen und User zu ändern. Ebenfalls sit es nicht gute Idee an den Rechten bei den System Ordnern was zu schrauben

 

[xamoel]

Was für Rechte von System-Ordnern?? Es geht um selbst erstellte, freigegebene Ordner.
Und wer redet von System Gruppen und Usern??? Jede Syno hat von Haus aus zwei Nutzergruppen, Admins und User.
Mit Verlaub, was ist das für ein sinnloser Beitrag?

 

[synfor]

Die Gruppen administrators (und nicht admins) und users sind System- bzw. Standardgruppen, von denen man besser die Finger lässt.

 

[ottosykora]

Was für Rechte von System-Ordnern??

na ja, /photo ist ein reservierter Systemordner für Bilder und Programme die mit Bildern arbeiten wollen. da werden halt die Rechte von den Programmen festgelegt

 

[Benie]

Eigentlich ist der Post #1 sinnlos, da weder welche DS, welche DSM Version noch welches Photopaket genutzt wird bekannt ist.
Ohne diesen Angaben stochert eh man nur ins blaue, geschweige daß man hier was dazu sagen könnte.

So, und nun erst mal "Butter bei die Fische"

 

[Baernd]

Schau mal hier
https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/file_share_privilege?version=7
Zitat:

Anmerkung:​

• Wenn die dem Benutzer zugewiesenen Berechtigungen in Konflikt mit der Gruppe stehen, zu der sie gehören, werden die Berechtigungen nach Stufen in der folgenden Reihenfolge bestimmt: Kein Zugriff (NA) > Lesen/Schreiben (RW) > Nur Lesen (RO).

Vielleicht hilft das weiter…

 

[xamoel]

So, jetzt die Info vom Support.
Es handelt sich um Ordner, die von einem anderen NAS mittels Snapshot replication übertragen werden.
Der Witz: die User-IDs, die eine Berechtigung auf dem Quell NAS für die Ordner haben, werden auch am Ziel NAS angewandt, heißt User ID 2 (z.b. Hanspeter) von der Quelle hat Zugriff, folglich hat User ID 2 (z.b. Dr. Meiermüller) vom Ziel NAS auch Zugriff.

Auch ein manuelles Ändern der Berechtigung wird nach jeder Replication überschrieben. Es wird laut Synology ausschließlich die UID geprüft, kein Name, nichts.
Halte ich für sicherheitstechnisch bedenklich...

 

[synfor]

Der Name steht zur Überprüfung schlicht nicht zur Verfügung.

 

[Ronny1978]

Es handelt sich um Ordner, die von einem anderen NAS mittels Snapshot replication übertragen werden.

Klingt zwar blöd, aber für mich gehört so eine Info gleich in den ersten Post, weil das doch entscheidend ist. Bei einer Replikation sollte das ja 1 zu 1 sein oder nicht? Replikation heißt für mich -> Übertragung der Dateien und Recht, damit man die zurückspielen kann und alles wie vorher läuft. So verstehe ich zumindest das Prinzip.

Wenn du dir als Backup eine zweite Fernbedienung neben den TV legst, falls die erste kaputt geht, sperrst oder demontierst du doch auch nicht irgendwelche Knöpfe.

 

[xamoel]

Die Info kam erst vom Support. Aber ich seh schon, hier sind ausschließlich die Großkopferten unterwegs, da bin ich mal raus.

 

[Benie]

Der Witz: die User-IDs, die eine Berechtigung auf dem Quell NAS für die Ordner haben, werden auch am Ziel NAS angewandt,

Meiner Meinung nach logisch, die Replication auf dem Ziel NAS soll ja auch einerseits sofort genutzt werden können und andererseits als Backup. Würden die Snaps eine neue ID bekommen und dann wieder mit der neuen ID wiederhergestellt, würde das ganze Backup keinen Sinn machen. da aufgrund der neuen ID nicht mehr greifbar

 

[synfor]

Die Info kam erst vom Support.

Du wusstest nichts von der Snapshotreplikation? Wer hat die dann überhaupt eingerichtet/erlaubt? Sicher, dass die DS noch dir gehört?

 

[Ronny1978]

hier sind ausschließlich die Großkopferten unterwegs, da bin ich mal raus

Ich finde deine Reaktion etwas seltsam und denen, die hier versuchen zu helfen auch nicht wirklich angebracht. Warum?

- Du hättest uns auch vorher sagen können, dass du bei Synology ein Ticket eröffnet hast. Warum dann überhaupt ein Post, wenn du hier niemanden zutraust du helfen zu können?
- Du zweifelst am System und dessen Mechanismen. Warum? Es funktioniert ja eigentlich genau wie es soll.

Wie zum Geier kann das sein?

-

Es geht um selbst erstellte, freigegebene Ordner.
Und wer redet von System Gruppen und Usern??? Jede Syno hat von Haus aus zwei Nutzergruppen, Admins und User.
Mit Verlaub, was ist das für ein sinnloser Beitrag?

- Du greifst hier User an und deine eigenen Aussagen, sind teilweise nicht richtig. Es sind eben keine selbst erstellten Ordner/Dateien, sondern replizierte.
- Und zum Schluss solltest du eigentlich schon wissen, wie bereits @synfor gesagt hat, woher welche Ordner kommen und welche Sicherheitsmaßnahmen laufen (Snapshot Replication / Hyper Backup) - wir können es aus der Ferne nicht.

Ordner und Dateien die von einem System als Snapshot repliziert oder als Backup angelegt werden, müssen ja die gleichen Rechte wie auf dem Quellsystem haben und sollen auch komplett identisch, sonst ist ja die 1 zu1 Wiederherstellung nicht möglich. Und gerade weil du seit 2011 Mitglied bist, solltest du das eigentlich wissen.

Daher finde ich Reaktionen wie deine, nicht schön und schon gar nicht hilfreich und frustriert eher die, die dir helfen wollen bzw. wollten.

Vielleicht einfach noch einmal das Prinzip von Backup und Snapshots verinnerlichen und selbst reflektieren.

Dir ein schönes Wochenende.