Ergebnis 1 bis 6 von 6
  1. #1
    Anwender
    Registriert seit
    21.07.2019
    Beiträge
    2

    Standard Zugriff auf anderen Admin einschränken

    Hallo,
    ich überlege mir zusammen mit jemand anderem ein NAS anzuschaffen, habe aber noch mehrere Fragen bezüglich der Konfiguration, ob dies wirklich sinnvoll ist.
    Ich habe schon einige Seiten gelesen und Videos geschaut, zurzeit ist dies mein Kenntnisstand:

    1. Der Standardordner eines Users ist unverschlüsselt.
    2. Jeder Admin hat vollen Zugriff auf alle anderen User.
    3. Als Admin kann man verschlüsselte Ordner anlegen, aber:
    4. Sobald dieser Ordner gemountet ist haben wieder alle Admins Zugriff.

    Ist das soweit korrekt? Oder gibt es doch Möglichkeiten, den Zugriff auf die Daten eines anderen Admins einzuschränken?

  2. #2
    Anwender Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    17.482

    Standard

    Nein - alles, was ein admin einschränkt, kann jeder admin auch wieder ändern.
    DS713+ | 2x 1TB Crucial M500 SSD # 4GB RAM # be quiet! Shadow Wings | DSM 6.1.7-15284-U3
    DS212+ | Backup-DS: 2x 4TB HGST Deskstar NAS | DSM 6.1.7-15284-U3
    Extras: fail2ban 0.11.0 - Java 1.8.0.212 - Nextcloud 17.0.1 - Roundcube 1.3.10 - HumHub 1.3.15 - tt-rss 19.02
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  3. #3

    Standard

    zu 1: Home Verzeichnisse sind unverschlüsselt (sobald diese gemounted sind, sieht den Inhalt aber jeder Admin)
    zu 2: Korrekt
    zu 3: Korrekt
    zu 4: Korrekt

    Jeder Admin sieht immer alle Daten/Einstellungen/Home-Verzeichnisse usw. Also wenn du Daten besitzt, die dein Kollegen nicht sehen soll, dann würde ich ein anderes Vorgehen vorschlagen (hab ich glaube ich schon mal irgendjemandem vorgeschlagen):

    Du und dein Kollege legt euch normale User-Accounts an (keine SuperUser/Admin Konten). Diesen Usern weißt ihr alle Berechtigungen/Ordner etc zu, sodass alles eingestellt ist und jeder seine "gemeinsamen Ordner" etc hat und die Konfig nicht mehr im Normalbetrieb (sondern nur bei Änderungen) angepackt werden muss. Die ganze Konfig macht ihr gemeinsam (nebeneinandersitzend am PC) mit dem Adminkonto - sodass ihr euch gegenseitig kontrolliert. Damm vergebt ihr ein Passwort für das Adminkonto bei dem beispielsweise du die erste Hälfte des Passworts erstellst und dein Kollege die zweite Hälfte. So kann der Account nur von beiden genutzt werden (wenn Änderungen durchgeführt werden müssen) und normalerweise hat jeder im Tagesbetrieb seinen eigenen User der nur auf das berechtigt ist, was "dir gehört"...
    Gibt aber bestimmt noch andere Möglichkeiten. Das wäre aber so der pragmastischste Ansatz aus meiner Sicht.
    DS1618+ | 16GB RAM, 2x8TB, 1x4TB,2x3TB WDRED@SHR1, 1x512GB SSD

  4. #4
    Anwender
    Registriert seit
    21.07.2019
    Beiträge
    2

    Standard

    Danke für die Antworten.
    Wie praktikabel ist im Alltag die Idee sich nur zu zweit anmelden zu können? Das müsste dann wohl zum Beispiel bei jedem Update erfolgen?

  5. #5

    Standard

    Willkommen im Forum. Muss nicht zwingend bei einem Update sein, wenn ihr es auf "automatisches Update" stellt, so sollte auch aktualisiert werden auch wenn gerade kein admin und/oder User mit Adminrechten eingeloggt ist.

    Ein User mit Adminrechten hat fast die gleichen Rechte wie der "admin" welcher bei der Systeminstallation DSM automatisch angelegt wird. Du brauchst den User "admin" zB um den User "root" auf der Konsole zu verwenden, oder in der Photostation die Art der Benutzerkontensteuerung umzustellen.
    Bitte auch nicht vergessen auf das separat angelegte Synology Accountkonto! Dort wird eure QC Verbindung, DDNS Verbindung und die Registrierung der DS eingetragen.
    Siehe dazu https://account.synology.com/de-de

    Admin ist eine Vertrauenssache. Ihr könnt aber diverse Protokollfunktionen aktivieren, dann siehst du zB in der Filestation (ist so was ähnliches wie der Explorer für windows) welcher User was gemacht hat.

    Hinweis:
    Bitte auch den Notfallplan nicht vergessen, an der Rückseite der DS befindet sich ein kleiner Microtaster. Wird dieser länger als 4 Sekunden gedrückt, dann piept die DS und der "kleine Reset" wurde durchgeführt. Dh. der User "admin" ist automatisch aktiviert und sein Kennwort auf Werkseinstellung zurückgesetzt!
    Synology DS 916+ | 8 GB RAM | @ DSM 6.2.2 - 24922-U4
    1x Western Digital Red WD60EFRX @ SHR, ext4
    3x Western Digital Red WD100EFAX @ SHR, ext4
    Synology DS 218+ | 16 GB (8+8) RAM | @ DSM 6.2.2 - 24922-U4 (Backup DS)
    2x Western Digital Red WD100EFAX @ Basis, ext4
    Backup: 3x ext. HDDs USB 3.0 @ GPT / NTFS + ext4
    Backup: Dockingstation Inateck FD1003 USB 3.0 @ ext4
    USV: APC Back-Ups Pro 1500
    usbshare Nummern frei definieren: <Anleitung klick>

  6. #6
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    2.230

    Standard

    Du spielst mit dem zu Zweit anmelden auf das 4-Augen Prinzip an. Das ist kein Sicherheitsfeature für die Technik sondern die Absicherung gegen menschliche Schwächen etwas zB im System tun zu können was man nicht tun darf. Beim 4-Augenprinzip müssten sich schon beide Passwortbesitzer einig sein verbotenes zu machen.
    Das Auditing, wie man die Kontrolle der Logdateien nennt ist nicht ganz so trivial, wenn man durch den Server allse mitloggen muss.

    Was man machen sollte ist den automatisch zur Verfügung gestellten Admin zu deaktivieren und für diese Funktion einen anderen namen zu wählen. Dazu muss man erst einen 2.Administrator erstellen und unter dessen Anmeldung kann man dann den alten Admin deaktivieren.
    • verwendete Typenreihen: RS1619xs+ * RX1217RP * RS815RP+ * DS916+ * DS418play *
    • Router/Modem: Draytek Vigor130 * Draytek Vigor2960 * Bintec 3002 * Fritzbox 6490C / 7490 / 7590 / TC4400 *
    • LAN/WLAN: Netgear 24+2 Port * Ubiquiti UniFi US-8-60W * Ubiquiti Cloud Key + Unifi AC PROs * Draytek Vigor 1280G * Draytek Vigor P2280 * Draytek Vigor AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000 * BlueWalker FI 3000 * Eaton Ellipse ECO800 *

Ähnliche Themen

  1. Zugriff auf Ordner einschränken MAC
    Von houdap im Forum Cloud Station
    Antworten: 0
    Letzter Beitrag: 22.12.2016, 22:32
  2. Zugriff von TV Geräten auf Videos auf der DS214 einschränken
    Von Neueinsteiger im Forum Netzwerkkonfiguration
    Antworten: 3
    Letzter Beitrag: 11.03.2015, 13:51
  3. Zugriff auf USB-HDD einschränken
    Von Kreisman im Forum Benutzer, Gruppen, gemeinsame Ordner
    Antworten: 1
    Letzter Beitrag: 12.02.2014, 12:28
  4. Zugriff auf das Webinterface für Gruppen einschränken
    Von re_spawn im Forum Disk Station Manager
    Antworten: 0
    Letzter Beitrag: 09.12.2013, 16:41
  5. Zugriff auf DS einschränken
    Von volker im Forum Disk Station Manager
    Antworten: 7
    Letzter Beitrag: 15.02.2010, 10:49

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •