Zugriff auf anderen Admin einschränken

Status
Für weitere Antworten geschlossen.

Nas19

Benutzer
Mitglied seit
21. Jul 2019
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich überlege mir zusammen mit jemand anderem ein NAS anzuschaffen, habe aber noch mehrere Fragen bezüglich der Konfiguration, ob dies wirklich sinnvoll ist.
Ich habe schon einige Seiten gelesen und Videos geschaut, zurzeit ist dies mein Kenntnisstand:

1. Der Standardordner eines Users ist unverschlüsselt.
2. Jeder Admin hat vollen Zugriff auf alle anderen User.
3. Als Admin kann man verschlüsselte Ordner anlegen, aber:
4. Sobald dieser Ordner gemountet ist haben wieder alle Admins Zugriff.

Ist das soweit korrekt? Oder gibt es doch Möglichkeiten, den Zugriff auf die Daten eines anderen Admins einzuschränken?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Nein - alles, was ein admin einschränkt, kann jeder admin auch wieder ändern.
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
547
Punkte für Reaktionen
23
Punkte
38
zu 1: Home Verzeichnisse sind unverschlüsselt (sobald diese gemounted sind, sieht den Inhalt aber jeder Admin)
zu 2: Korrekt
zu 3: Korrekt
zu 4: Korrekt

Jeder Admin sieht immer alle Daten/Einstellungen/Home-Verzeichnisse usw. Also wenn du Daten besitzt, die dein Kollegen nicht sehen soll, dann würde ich ein anderes Vorgehen vorschlagen (hab ich glaube ich schon mal irgendjemandem vorgeschlagen):

Du und dein Kollege legt euch normale User-Accounts an (keine SuperUser/Admin Konten). Diesen Usern weißt ihr alle Berechtigungen/Ordner etc zu, sodass alles eingestellt ist und jeder seine "gemeinsamen Ordner" etc hat und die Konfig nicht mehr im Normalbetrieb (sondern nur bei Änderungen) angepackt werden muss. Die ganze Konfig macht ihr gemeinsam (nebeneinandersitzend am PC) mit dem Adminkonto - sodass ihr euch gegenseitig kontrolliert. Damm vergebt ihr ein Passwort für das Adminkonto bei dem beispielsweise du die erste Hälfte des Passworts erstellst und dein Kollege die zweite Hälfte. So kann der Account nur von beiden genutzt werden (wenn Änderungen durchgeführt werden müssen) und normalerweise hat jeder im Tagesbetrieb seinen eigenen User der nur auf das berechtigt ist, was "dir gehört"...
Gibt aber bestimmt noch andere Möglichkeiten. Das wäre aber so der pragmastischste Ansatz aus meiner Sicht.
 

Nas19

Benutzer
Mitglied seit
21. Jul 2019
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Danke für die Antworten.
Wie praktikabel ist im Alltag die Idee sich nur zu zweit anmelden zu können? Das müsste dann wohl zum Beispiel bei jedem Update erfolgen?
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Willkommen im Forum. Muss nicht zwingend bei einem Update sein, wenn ihr es auf "automatisches Update" stellt, so sollte auch aktualisiert werden auch wenn gerade kein admin und/oder User mit Adminrechten eingeloggt ist.

Ein User mit Adminrechten hat fast die gleichen Rechte wie der "admin" welcher bei der Systeminstallation DSM automatisch angelegt wird. Du brauchst den User "admin" zB um den User "root" auf der Konsole zu verwenden, oder in der Photostation die Art der Benutzerkontensteuerung umzustellen.
Bitte auch nicht vergessen auf das separat angelegte Synology Accountkonto! Dort wird eure QC Verbindung, DDNS Verbindung und die Registrierung der DS eingetragen.
Siehe dazu https://account.synology.com/de-de

Admin ist eine Vertrauenssache. Ihr könnt aber diverse Protokollfunktionen aktivieren, dann siehst du zB in der Filestation (ist so was ähnliches wie der Explorer für windows) welcher User was gemacht hat.

Hinweis:
Bitte auch den Notfallplan nicht vergessen, an der Rückseite der DS befindet sich ein kleiner Microtaster. Wird dieser länger als 4 Sekunden gedrückt, dann piept die DS und der "kleine Reset" wurde durchgeführt. Dh. der User "admin" ist automatisch aktiviert und sein Kennwort auf Werkseinstellung zurückgesetzt!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Du spielst mit dem zu Zweit anmelden auf das 4-Augen Prinzip an. Das ist kein Sicherheitsfeature für die Technik sondern die Absicherung gegen menschliche Schwächen etwas zB im System tun zu können was man nicht tun darf. Beim 4-Augenprinzip müssten sich schon beide Passwortbesitzer einig sein verbotenes zu machen.
Das Auditing, wie man die Kontrolle der Logdateien nennt ist nicht ganz so trivial, wenn man durch den Server allse mitloggen muss.

Was man machen sollte ist den automatisch zur Verfügung gestellten Admin zu deaktivieren und für diese Funktion einen anderen namen zu wählen. Dazu muss man erst einen 2.Administrator erstellen und unter dessen Anmeldung kann man dann den alten Admin deaktivieren.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat