Unter Windows "Netzlaufwerk verbinden" und Ordner "homes"

[Schoeneberger]

Hallo,

manche von euch haben ein Problem mit dem VPN-Zugriff, ich dagegen in bestimmten Situationen mit mehr Zugriffsmöglichkeiten als gewünscht.

Eigentlich brauche ich keine „Gemeinsamen Ordner”, ich sehe auch keinen Grund dafür.

Also lege ich meine User wie folgt an:

Server

• a user
• b user
• c user
• d user

Sobald ich aber die Cloud Station einrichte, legt das Paket den Gemeinsamen Ordner „homes” an. Darin wiederum sind Unterordner aller Benutzer enthalten, die im Paket „Cloud Station” aktiviert sind, z. B.

Server

• a user
• b user
• c user
• d user
• homes
  • a user
  • b user
  • d user

Warum nur, lässt sich das verhindern?

Eigenlich könnte ich damit leben, wäre da nicht etwas Kurioses, was mir große Probleme bereitet. Wenn ich eine VPN-Verbindung mit Windows-Bordmitteln eingerichtet habe, verbinde ich im Windows-Explorer ein Netzlaufwerk. Gebe ich als Pfad z. B.

\\10.0.0.0\a user an, werden die korrekten Dateien und Ordner angezeigt, und zwar wirklich nur die Daten des „a user”. Gebe ich stattdessen aber als Pfad

\\10.0.0.0\homes ein, werden mir alle für die Cloud Station aktivierten Benutzer angezeigt. Und sollten diese Ordner, auch wenn es nicht geplant ist, Daten enthalten, so könnte der betreffende User auf alles zugreifen.

Ich kann mir nicht vorstellen, dass das gewollt ist und vermute daher einen Fehler meinerseits. Wer hat eine Idee bzw. den richtigen Tip für mich?


Es grüßt der Schöneberger

 

[ottosykora]

warum verhindern?

Gemeinsamen Ordner brauchst du, weil das ist eine Freigabe und das brauchst du auf jeden Fall.

Der Ordner /homes ist nicht zu beachten, das ist ein Systemordner und drin sind die /home Ordner der Benutzer zusammengefasst. Diesen /homes sieht nur der Admin, andere sehen es nicht, es sei denn jemand hat das System durch herumspielen schon beschädigt.

Die User sehen einen /home Ordner und können drin eben ihre persönlichen Ordner haben und anlegen etc.

Was soll daran falsch sein?

>Ich kann mir nicht vorstellen, dass das gewollt ist und vermute daher einen Fehler meinerseits. <
das ist genau so gewollt

wenn sich natürlich jemand als Admin einloggt (oder jemand mit Admin Rechten) dann kann er /homes besuchen, aber dann ist richtig so. Normaler User loggt sich ja auch nicht mit Admin Rechten ein.



Server

a user das ist eine Freigabe (gemeinsamer Ordner)
b user das ist eine Freigabe (gemeinsamer Ordner)
c user das ist eine Freigabe (gemeinsamer Ordner)
d user das ist eine Freigabe (gemeinsamer Ordner)
homes das ist ein Sammelordner für die /home (nur für den Admin)
--a user das ist der /home Ordner des Users
-- b user das ist der /home Ordner des Users
-- d user das ist der /home Ordner des Users

 

[Schoeneberger]

Danke für deine prompte Antwort, ottosykora.

Das trifft alles zu, so lange ein User ohne Admin-Rechte via Weboberfläche die File Station nutzt oder sich via Cloud Station verbindet. Mein Problem ist nur die VPN-Verbindung, zumindest unter Windows 7 und Windows 8. Ein User ohne Admin-Rechte, der weiss, dass es im Synology-System einen Ordner /homes gibt, kann nach meiner Erfahrung das System leicht aushebeln.

Dazu muss er nur, wie schon oben beschrieben, im Windows-Explorer via Netzwerk -> Netzlaufwerk verbinden anstatt des für ihn richtigen Pfades \\10.0.0.0\username einfach \\10.0.0.0\homes eingeben, und schon sieht er alle Ordner und Inhalte unter /homes.

 

[ottosykora]

wie und wann erfolgt die Authentisierung des normalen Users bei der VPN Verbindung?
Wenn jemand auf /homes zugreifen kann, dann muss er ja Mitglied der Admin Gruppe sein.
Der Admin kann nicht nur auf /homes, sondern natürlich auch auf die drin vorhandenen /home Ordner der User. Also ist das ja so weit korrekt.




Wie verbindet sich der normale User mit dem Netzwerk via VPN?
Wie kommt diese Verbindung zu stande? Ist 10.x.x.x der Tunnel oder was genau?
Wie sind die internen Adressen der beiden Nezte?

Vielleicht kannst du etwas mehr erklären wie du diese VPN aufbaust, vielleicht kann dir dann jemand hier was genaueres dazu sagen.

 

[MaCoM]

Ich verstehe Schoeneberger so

Er hat noch NIE unter benutzerverwaltung die HOME-Ordner aktiviert !

Sobald ich aber die Cloud Station einrichte, legt das Paket den Gemeinsamen Ordner „homes” an

vielleicht liegt da das berechtigungs problem.
Ich glaube die Cloud Station setzt vorraus das homes schon besteht (mit rechten) !

 

[Schoeneberger]

> wie und wann erfolgt die Authentisierung des normalen Users bei der VPN Verbindung?

Im "Netzwerk- und Freigabecenter" von Windows 7 und Windows 8 wird eine neue Netzwerkverbindung (VPN-Verbindung) dauerhaft angelegt. Als Benutzer wird ein Nicht-Admin-Benutzer mit seinem Passwort eingetragen und gespeichert. Diese Verbindung kann zukünftig einfach hergestellt werden, es genügen drei Mausklicks.

Der nächste Schritt ist das "Netzlaufwerk verbinden" im Windows-Explorer, um dann den eigenen Ordner als gemapptes Laufwerk mit einem Laufwerksbuchstaben der eigenen Wahl zu sehen. Beim "Netzlaufwerk verbinden" wird nach dem Pfad auf dem VPN-Server gefragt. Wenn ich da dann anstatt des korrekten Pfades \\10.0.0.0\username fälschlicherweise oder vorsätzlich \\10.0.0.0\homes eingebe, kommt es zu dem nicht gewünschten Effekt, dass der Nicht-Admin-Benutzer den gesamten Ordner /homes samt Inhalt sehen und bearbeiten kann.

 

[Schoeneberger]

Ich verstehe Schoeneberger so

Er hat noch NIE unter benutzerverwaltung die HOME-Ordner aktiviert !

Ich kann es jetzt nicht überprüfen, kann es mir aber nicht vorstellen. In der File Station sieht jeder Nicht-Admin-Benutzer nur den korrekten, nämlich seinen Ordner. Und bei der Cloud Station wird beim Einrichten der Synchronisierung ja auch nur der eigene Ordner angeboten. Da stimmen die Rechte absolut.

Ich glaube die Cloud Station setzt vorraus das homes schon besteht (mit rechten) !

Und wenn /homes nicht besteht, wird er bei der Cloud Station-Installation angelegt. Die Rechte darin habe ich überprüft, sie stimmen.

 

[Schoeneberger]

wie und wann erfolgt die Authentisierung des normalen Users bei der VPN Verbindung?
Wenn jemand auf /homes zugreifen kann, dann muss er ja Mitglied der Admin Gruppe sein.

Hat denn hier niemand einen VPN-Server zu laufen, der an einem Windows-Client mal eben ein neues Netzlaufwerk mit \\x.x.x.x\homes verbinden kann? Das ist doch in einer Minute erledigt.

Ist 10.x.x.x der Tunnel oder was genau?

10.0.0.0 ist die von Synology vorgegebene "interne" IP-Adresse der DSM, sie lässt sich allerdings innerhalb der Regel modifizieren.

 

[ottosykora]

hmm ja, klar habe ich einen VPN Server am laufen, aber bin noch nie auf die Idee gekommen es mit der Tunnel Adresse anzusprechen. Und schon gar nicht aus dem gleichen Subnetz.

Normalerweise sind diese 10.x die Tunnels, die DS hat immer noch ihre normale interne 192.168... und wird damit angesprochen.

Darum ist die Situation die du beschreibst etwas ungewöhnlich für mich.

Normalerweise baut man ja eine VPN von einem Netz zum Bsp 192.168.2.0 via DynDns zu dem Server und die DS liegt dann im 192.168.1.0 zum Bsp
Den Tunnel verwendet nur der VPN Server&Client, aber nicht die User.


Auch mein VPN Server hat die default Range 10.0.0.0-10.0.0.255 für den Tunnel, aber deswegen hat die DS immer noch 192.168.110.250 bei mir. Und wenn ich es zum Bsp aus der Arbeit erreichen will dann habe ich da lokal 192.168.1.x und damit kann ich mich ganz normal verbinden.

Normalerweise sollen die zwei Netze nicht den gleichen Subnetz Range haben und auch nicht gleich dem Tunnel sein.

Wenn du eine Verbindung direkt auf den Tunnel machst, dann denke ich hast du natürlich viele Rechte, das ist ja Systemteil dann, wohl mit Zugang zu was auch immer. Jedenfalls ist mir momentan nicht ganz klar wozu man so eine Verbindung braucht oder nutzen kann.

Etwas stört mich, dass so eine Verbindung überhaupt so einfach konfiguriert werden kann, also theoretisch auch von einem PC an dem der User zwar Admin Rechte hat aber auf dem DS nicht zwangsläufig. (oder habe ich es falsch verstanden?)


Ich denke die Art von Verbindung ist nicht wirklich vorgesehen, mal sehen ob uns die VPN Cracks hier noch was dazu melden.

 

[laserdesign]

Hallo,

ich verstehe es auch nicht warum die Leute sich immer wieder mit der IP des Tunnelendpunktes verbinden und sich dann wundern das bei der Zwangstrennung durch den ISP keine Verbindung mehr zustande kommt, weil die Tunnelendpunkte ja dynamisch vergeben werden.

Mann liest diesen Unfug immer öfters hier im Forum.

 

[ottosykora]

Ja klar, aber ist es denn wirklich so einfach eine lokale Verbindung zu dem Tunnel aufzubauen und dann hat man ja klar die Rechte des Servers vermutlich.
?

 

[Schoeneberger]

hmm ja, klar habe ich einen VPN Server am laufen, aber bin noch nie auf die Idee gekommen es mit der Tunnel Adresse anzusprechen. Und schon gar nicht aus dem gleichen Subnetz.

Wenn ich unter Windows eine neue VPN-Verbindung erstelle, gebe ich für die DS natürlich meine eigene Domain an, also meinedomain.de.

Im Falle eines Windows Servers würde ich bei "Netzlaufwerk verbinden" auch \\meinedomain.de\Freigabe als Netzwerk-Pfad angeben. So lässt sich aber mit der DS kein Netzlaufwerk mappen, sondern ich muß anstelle des Domainnamens die "interne" IP-Adresse der DS verwenden, also \\x.x.x.x\Freigabe.

Um Tunnel, Subnetze und lokale IP-Adressen muss ich mich überhaupt nicht kümmern, das erledigt der Windows VPN-Client vollautomatisch.

Darum ist die Situation die du beschreibst etwas ungewöhnlich für mich.

Ich stelle so seit wenigsten 20 Jahren regelmässig und sehr schnell VPN-Verbindungen zu unseren Novell- und Windows-Servern her. Alles andere wäre mir viel zu umständlich. Wenn ich bei einem Kunden sitze und mal eben ein paar Daten aus dem Büro brauche, kann ich an seinem Rechner nicht erst großartige Veränderungen dafür vornehmen.

 

[ottosykora]

ja sicher , nur \\x.x.x.x\Freigabe ist bei mir nie die Adresse des Tunnels sondern der DS in diesem Fall. Also \\192.168.110.250\Freigabe in meinem Fall. Kann nicht ganz sehen wozu eine Verbindun auf den Tunnel dienen soll im eigenen Netz.

Wenn ich mich mit VPN verbinde, dann kann ich eine Freigabe genau so mappen wie wenn ich lokal bin, also mit der lokalen IP und dem Freigabe Namen. Es erschein ganz normal ein Netzlaufwerk mit Driveletter etc.
(was nicht geht sind die lokalen Namen des Server, aber das ist nicht so wichtig)

Kann nach wie vor nicht sehen wozu eine Verbindung auf den Tunnel dient.


Interne Adresse der DS ist nicht der Tunnel sondern die lokale IP also das was zum Bsp 192.168 etc heisst.

Die Adresse des Tunnels ist nur für den VPN Server (und Client) von Bedeutung, die handeln es zwischen sich aus, wir selber wissen es ja doch gar nicht soo genau welche Adr da gerade verwendet wird.

 

[goetz]

Hallo,
das Recht eines Users eine VPN Verbindung aufzubauen hat nichts weiter mit den folgenden Rechten zu tun. Es bedeutet lediglich er darf eine Verbindung aufbauen. Alles weitere wird durch individuelle Anmelderechte geregelt. Wenn Du jetzt per Explorer ein Share mappst gelten die Windowsregeln des Clienten. Entweder hat der lokale Benutzer des Win PC einen entsprechenden User auf der DS mit admin Rechten und wird automatisch verbunden oder Du hast bereits einmal die Verbindung mit einem administrativen User hergestellt und die Anmeldedaten speichern lassen.

Gruß Götz

 

[ottosykora]

Danke goetz,

was ich mich nur hier frage, wenn jemand wirklich so wie hier eine direkte Verbindung auf den Tunnel Endpunkt baut, hat er dann nicht etwa mehr Rechte als jemand der sich ordentlich via Tunnel zu dem lokalen Server verbindet?

Die Aussage ist hier, dass der User zwar nur eingeschränkte Rechte hat wenn er sich ordentlich anmeldet, also über die üblichen Mechanismen, jedoch möglicherweise mehr Rechte bekommt wenn er sich direkt auf den Tunnel verbindet.
Ist so was denkbar? (auch wenn so was nicht vorgesehen ist)

 

[goetz]

Hallo,
wie sollte er mehr Rechte bekommen, es ist lediglich eine Netzwerkverbindung. Der TE hat nicht geschrieben, daß er beim Verbinden des shares nach Benutzer und Passwort gefragt wurde, somit greifen einfach die Windows Mechanismen (lokaler User = DS User bzw abgespeicherte Anmeldedaten).

Gruß Götz

Gruß Götz

 

[ottosykora]

somit greifen einfach die Windows Mechanismen (lokaler User = DS User bzw abgespeicherte Anmeldedaten).

ja richtig. Das verwirrende war, dass der User angeblich keine Admin Rechte auf der DS hat, nur klar mit den Windows Mechanismen und vielleicht der Speicherung hat er sie bekommen.

Ich war mir nur nicht sicher ob es da nicht was gibt was ihm mehr Rechte gibt wenn er direkt an dem Tunnel Ende reinruft statt ordentlich den Server zu rufen.

 

[Schoeneberger]

Hallo,

ich verstehe es auch nicht warum die Leute sich immer wieder mit der IP des Tunnelendpunktes verbinden und sich dann wundern das bei der Zwangstrennung durch den ISP keine Verbindung mehr zustande kommt, weil die Tunnelendpunkte ja dynamisch vergeben werden.

Mann liest diesen Unfug immer öfters hier im Forum.

Weil es bis dahin die einzige Schreibweise war, die mich das Netzlaufwerk verbinden liess.

Ich hatte ja gehofft, dass hier jemand die Syntax kennt bzw. verrät, aber das war leider nicht der Fall. Dabei ist es ganz einfach, wenn man es endlich gefunden hat. \\Servername der DS\homes\Freigabe.

 

[ottosykora]

Ich hatte ja gehofft, dass hier jemand die Syntax kennt bzw. verrät, aber das war leider nicht der Fall. Dabei ist es ganz einfach, wenn man es endlich gefunden hat. \\Servername der DS\homes\Freigabe.

ja, also wenn du als Admin auf einen /home Ordner eines anderen Users zugreifen willst dann ist es natürlich so. Das sollte nicht der Standard sein.

Auf normale Freigabe \\[Servername oder IP]\Freigabe
Nur hast du was von VPN gesagt, dann geht der Servername nicht, dann geht nur die interne IP, womit ich aber nicht die des Tunnels meine sondern die der DS, die automatisch und dynamisch zugeteilte 10.x Adresse ist ja nicht die der DS.
In meisten Netzen hört die DS auf den Namen, ich glaube default ist DISKSTATION, aber das geht nicht zwangläufig über VPN. Via VPN geht da nur die \\[interne IP]\Freigabe

normale User würden eher nach \\[IP]\home suchen

Aber da ja schon richtig bemerkt wurde, werden Admin Rechte vom Windows durchgereicht wenn der User am Windows und DS der gleiche ist. Dann heisst in deinem Beispiel die 'Freigabe' eben nach dem Namen des Users. Das ist dann der /home Ordner des Users und wird wenn sich der User anmeldet unter /home gemounted.


Bsp:

es gibt drei User ABC , DEF . GHK

unter
/homes werden dann vom System erstellt

/ABC
/DEF
/GHK


loggt sich nun der normale User DEF ein, dann sieht er einen /home Ordner und drin ist der Inhalt des /DEF Ordners

loggt sich nun der ABC und der ist auch Admin, dann gibt es

/homes
/ABC
/DEF
/GHK

und ein
/home

und das ist nun der persönliche /home des Users ABC
Der Inhalt ist der gleiche wie im /homes/ABC , der Ordner wurde zusätzlich auf Grund der Anmeldung des Users unter /home gemounted.


Also lass die Geschichte mit den /homes, das ist nicht wirklich für normale Arbeit vorgesehen.