SMB-Ordner verstecken bei fehlender Berechtigung

Status
Für weitere Antworten geschlossen.

questo

Benutzer
Mitglied seit
19. Jan 2020
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe eine Frage, welche schon einige Male gestellt wurde, deren Antworten mir aber nicht weiterhelfen konnten.
Bei unserem NAS greifen ca. 15 Nutzer via SMB auf freigegebene Ordner zu, welche auf manche Ordner zugreifen können und auf andere nicht. Alle 15 Nutzer sehen jedoch alle Ordner, was nicht unbedingt sein muss. Ich möchte, dass ein Nutzer nur diejenigen Ordner sehen kann, welche er auch benutzen und öffnen kann/darf.

Eine Recherche hier im Forum und im Internet ergab dazu folgende Schritte:

1. Verbergen sie diesen gemeinsamen Ordner unter "Netzwerkumgebung" sowie Unterordner und Dateien von Benutzern ohne Berechtigungen ausblenden (Vgl. https://www.synology-forum.de/showthread.html?99580-SMB-Ordner-ohne-berechtigung-ausblenden)
2. In den Eigenschaften des Ordners in der File Station unter erweiterten Einstellungen Genehmigungen ausdrücklich machen

Mit Schritt 1 sehe ich den Ordner unter \\192.168.1.xx gar nicht mehr, kann ihn aber über \\192.168.1.xx\public öffnen. Zum zweiten Schritt sehe ich an beschriebenem Ort gar keine Möglichkeit, dort sehe ich nur die Genehmigungsprüfung wo ich sehe welche Nutzer was machen können... (Siehe beigefügtes Bild)

Es handelt sich um eine DS918+ mit DSM 6.2.2-24922 Update 3.

Ich freue mich über jeden Hinweis und Tipp.

Danke und schönen Sonntag!
 

Anhänge

  • Download.png
    Download.png
    104 KB · Aufrufe: 77

questo

Benutzer
Mitglied seit
19. Jan 2020
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Ah, okay, schade. Wie es aussieht, gibt es wohl keine Möglichkeit, SMB-Ordner nur teilweise sichtbar zu machen; geht wohl erst innerhalb eines Ordners.
Ich hätte jetzt überlegt, für jeden Nutzer einen Ordner mit Verknüpfungen zu seinen Ordner zu erstellen; wird jedoch rasch aufwendig... Gibt es eine Alternative, einen Workaround?
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
8.459
Punkte für Reaktionen
1.395
Punkte
288
Doch das geht schon, nur nicht über die Oberfläche. Siehe obigen Link
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Vermutlich liegt dein Problem schon in der Anlage der Verzeichnisse.
Vor dem Anlegen einer Ordnerstruktur überlegt man wer worauf Zugriff haben soll und welche Zugriffsrechte er benötigt.
Dabei muss man beachten, dass man keinen Ordner, der tiefer in einer Struktur, liegt erreichen kann, wenn man nicht mindestens Leserechte für alle darüberliegenden Verzeichnisse hat.
Mit flachen Verzeichnisstrukturen lässt sich daher am besten arbeiten. Also richtet man mehrere Freigaben ein auf welche man die Verzeichnisse sinnvoll verteilt.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
8.459
Punkte für Reaktionen
1.395
Punkte
288
Sollte nicht Ordner durchqueren wie bei homes reichen?
 

questo

Benutzer
Mitglied seit
19. Jan 2020
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Also geht das erst innerhalb eines Freigabeordners. Funktioniert das problemlos und risikofrei? Aufwendig umzuziehen, aber wohl möglich.

Die Ordnerstruktur wurde mMn sinnvoll errichtet: ca. 20 Freigabeordner, auf welche dann verschiedene Nutzer Zugriff oder keinen Zugriff haben. Ich könnte diese Ordner wohl kaum sinnvoll auf verschiedene Freigaben verteilen, weshalb es auf einen Freigabeordner als Container hinauslaufen würde: \\IP.xx\container\ordner1 statt \\IP.xx\ordner1.

Danke euch schonmal!
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
wenn ich einen Ordner nicht lesen darf kann ich ein darin enthaltenes Verzeichnis worauf ich Zugriff haben soll nicht ansprechen. Sowas geht ganz einfach nicht und das ist auch gut so.
Für einen Admin wären solche crossover sicherheitstechnisch nicht mehr überschaubar.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Umdenken, keine Freigaben personenbezogen planen sondern auf Aufgaben/Kategorien/Abteilungen
Innerhalb jeder dieser Gruppen können dann verschiedenste Unterteilungen getroffen werden mit unteschiedlichsten Zugriffsrechten. Das funktioniert absolut sicher und problemlos.
Das entscheidende ist hier wirklich der Planungsansatz.
Noch eines: Niemals Freigaben auf einzelne Nutzer einrichten, sondern nur mit Gruppen arbeiten, selbst wenn in der Gruppe nur ein Mitglied ist.
Damit bleibt die Zugriffssteuerung immer gleich, auch wenn die Mitarbeiter wechseln!
20 Freigaben halte ich schon wioeder für übertrieben und unüberscihtlich! Plane die gesamte Struktur neu wäre mein Rat. Du könntest sogar mit nur einer Freigabe arbeiten und ab der obersten Ordnerebene schon mit den ACLs alles ausblenden, was bestiummte Nutzer nicht sehen sollen.
Tipp: Erstelle parallel eine neue Musterstruktur und probiere diese aus!
 

questo

Benutzer
Mitglied seit
19. Jan 2020
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Jep, die Struktur ist halt historisch bedingt ein wenig chaotisch. Werde ich mal mit den betreffenden Personen absprechen und ausprobieren. Habe natürlich auf eine einfachere Lösung gehofft, liegt aber wohl einfach an SMB selbst. Vielen Dank für die Tipps!
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
an SMB wohl kaum, es ist einfach normale Rechteverwaltung unter Linux und anderen Betriebssystemen.

Wir haben auch sehr komplexe Vorgaben für NAS in Einsätzen weltweit. Die Struktur ist einheitlich und verbindlich für alle Server.
Ein gemeinsamer Ordner - Freigabe und drin
sind einige Ordner die sehen alle und können auch reinschauen. Drin sind dann Pfade mit meistens 3 weiteren Ebenen. Da ja die Rechte normalerweise von dem Gemeinsamen Ordner vererbt werden, unterbricht man die Vererbung dann und kann nun allen ausser einer bestimmten Gruppe den Zugang verbieten.
Damit gibt man nicht einer einzelnen Gruppe Berechtigung, sondern vielmehr nimmt es den anderen weg.
Das funktioniert perfekt und wird so auf allen Servern, nicht nur den NAS so angewendet.
Wichtig wie schon oben erwähnt: es wird nur mit Gruppen gearbeitet, nie mit einzelnen Benutzern.


0_Archive/
00_Ordner1
01_Ordner2
02_Ordner3/020_Unterordner1
021_Unterordner2
022_Unterordner3/0220_Subordner1
0221_Subordner2

Enthält der 0221_Subordner2 zum Bsp Vertrauliche Inhalte wie Arbeitsverträge etc, dann wird die Vererbung vorher unterbrochen und nur die Gruppe 'Personalabteilung' bekommt Zugang dazu.
etc.
 
Zuletzt bearbeitet:

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ja, so wie Ottosykora das beschreibt tut man sich definitiv am einfachsten und der Admin-Aufwand ist überschaubar.
Dann bindet man nicht das NAS Root direkt ein (wo quasi alle gemeinsamen Ordner angezeigt sind), sondern nur den Gemeinsamen Ordner Freigabe.

Die Syno ladet halt zumindest für Privatanwender dazu ein, viele gemeinsame Ordner anzulegen was im Bereich von smb ein Nachteil ist. Ich denke, es gibt schon "Hacks", dass man beim Mount via Windows dann am Client-Rechner per Skripts dann Ordner ausblendet, aber damit habe ich mich selbst noch nie beschäftigt und würde ich auch nicht empfehlen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Um Freigaben für nicht berechtigte Nutzer auszublenden benötigt man keine Hacks sondern setzt in den Einstellungen nur einen Haken ;-)
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Hm, evt. reden wir nicht vom gleichen Problem, aber ich denke das Problem hier in Post #1 ist nach wie vor Thema.
Und hier habe ich dann schon Ansätze (Skripts) gesehen, die beim Mount gewisse Verzeichnisse rausfiltern. Vielleicht geht es auch eleganter, aber grundsätzlich ist es leider "nicht nur ein Haken"...?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Das ist ganz simpel Nutzung der ACL und in der Syno kann man in der Konfiguration der Freigaben anklicken, ab Ordner ohne Leseberechtrigung ausgeblendet werden sollen.
Mit Unterbrechung der automatischen Vererbung kann man daher problemlos zugriffsgeschützte Strukturen aufbauen.
Genau das ist das Thema aus #1
Skripts können diesbezüglich gar nichts machen, wäre ja auch der Hammer wenn das ginge!
Skripte bauen nur Zugriffe auf bestehender ACL auf, mehr nicht.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Was @NSFH - wenn ich ihn verstanden habe - gemeint hat ist das folgende Bild (Punkt 1 und je nachdem auch Punkt 2)

Bildschirmfoto 2020-01-21 um 11.52.18.png
(Systemsteuerung - Gemeinsame Ordner - Bearbeiten)
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
ja, damit wird eben der 0221_Subordner2 in meinem Beispiel in #11 eben für die anderen nicht nur nicht einsehbar, sondern ganz ausgeblendet. Aber auch ohne diese Tickbox kann ihn nur die berechtigte Gruppe betreten.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Genau, aber das 1. Hakerl blendet den Ordner immer aus.
Das 2. Hakerl betrifft nur die Unterordner - nicht den gemeinsamen Ordner selbst?

In dem von mir verlinkten Thread bzw. auch aus Post #1 lese ich hier evt. raus, dass das Problem ist, dass er bereits die verschiedenen "Gemeinsamen Ordner" sieht.
Innerhalb eines gemeinsamen Ordners, wenn man dann weiter rein kommt (ACLs), werden dann "Unterordner ausgeblendet" - ja wird so sein.

Mein Beispiel war: ich habe einen Benutzer XY, der darf nur auf den gemeinsamen Ordner "Videos", nicht auf gemeinsamen Ordner "Backup". Ich sehe trotzdem unter Windows mit \\discname beide Ordner, und beim Klick auf Backup kommt dann der Hinweis fehlende Berechtigung.

Nach den Beiträgen von synfor und questo bin ich von "gemeinsamen Ordnern" ausgegangen, nicht deren Unterordern.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat