User von Quickconnect ausschließen

Status
Für weitere Antworten geschlossen.

Wuz4

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

da ich noch nichts ähnliches gefunden habe hier meine Frage:
Gibt es eine Möglichkeit auszuwählen, welche User über Quickconnect auf das NAS zugreifen dürfen und welche nicht?

Hintergrund ist, dass ich Adminuser nicht erlauben möchte über Quickconnect auf das NAS zuzugreifen. Das sollen nur User können, die auf die Ordner dann nur Leserechte besitzen.
Leider habe ich die Funktion noch nicht gefunden. Hoffe ihr könnt mir weiterhelfen.


Vielen Dank schon einmal!
Wuz4
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
Ich denke nicht, dass das geht. Schon gar nicht, dass du einem admin ein Recht nimmst das ein normaler User haben soll. Der Admin wird sich das Recht im Zweifel einfach nehmen. :)
 

Wuz4

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Schade. Hätte gedacht, dass ich so das NAS am besten schützen könnte, da so kein Adminuser von außerhalb auf das System kommen würde.
Im Endeffekt nehme ich ihm ja nur das Recht sich über Quick Connect anzumelden, sodass der Adminuser direkt Zugriff auf das NAS benötigt. Hatte das für ne gute Idee gehalten ^^.

Danke für die schnelle Antwort!
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Solange du den Admin deaktiviert hast, sorgst du schon einmal für deutlich mehr Sicherheit. Deine anderen Benutzernamen beziehungsweise die Namen der Administratoren sind in der Regel ja nicht so einfach raus zu bekommen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
Solange du den Admin deaktiviert hast, sorgst du schon einmal für deutlich mehr Sicherheit.

Das ist doch Quark. Wie sollte das sicherer sein?!
Das ist ... wie heißt es so schön: security by obscurity

Ein vernünftiges Passwort für den 'admin' und alles ist gut.
 

Wuz4

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Naja. Den normalen user "admin" der wurde automatisch bei der Installation gesperrt. Jetzt geht es mir darum, dass ich den Adminuser, den ich zusätzlich anlegen musste, quasi von der Außenwelt sperre.
Im Endeffekt möchte ich eigentlich nur verhindern, dass über Quickconnect jemand Schreibrechte auf einem gemeinsamen Ordner hat, den ich erstellt habe.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
Wie gesagt, ich wüßte nicht, wie das anzustellen wäre.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...dass über Quickconnect jemand Schreibrechte auf einem gemeinsamen Ordner hat, den ich erstellt habe.
Einem Admin kannst Du - egal, wie er sich nun anmeldet - den Zugriff nicht entziehen, das hat Puppetmaster ja schon schön beleuchtet. Darüber hinaus: Du solltest jemandem mit seiner Benutzerkennung nur dann admin-Status geben, wenn Du ihm entsprechendes Vertrauen entgegenbringst, ansonsten hat der Betreffende nur normale Benutzerrechte zu bekommen - und diesem kannst Du selbstredend nur Leserechte auf entsprechende Ordner einräumen, die auch bei Anmeldung über QuickConnect gelten.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Ich kann das schon nachvollziehen! Sicheres Passwort hin oder her, ich brauche meine Administration nur von meinem lokalen Netz.
Wenn man den Admin für Zugriffe von außen sperren könnte fände ich das auch besser!
Als zusätzliche Hürde gibt es die 2-Stufen-Verifizierung.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... ich brauche meine Administration nur von meinem lokalen Netz.....
Dafür leitet man einfach die DSM-Ports 5000/5001 nicht weiter ;) - alle notwendigen Dienste wie File Station usw. kann man auf andere Ports legen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
Kommt man denn per QuickConnect nicht trotzdem noch 'ran?
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Dafür leitet man einfach die DSM-Ports 5000/5001 nicht weiter ;) - alle notwendigen Dienste wie File Station usw. kann man auf andere Ports legen.
Wenn "normale" Nutzer mit der Filestation lesen können, dann kann ein Admin mit der Filestation alles löschen, egal welcher Port!
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Da verweise ich mal auf
...Du solltest jemandem mit seiner Benutzerkennung nur dann admin-Status geben, wenn Du ihm entsprechendes Vertrauen entgegenbringst, ansonsten hat der Betreffende nur normale Benutzerrechte zu bekommen ....
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Einen Admin sollte man aber haben sonst wird es schwierig mit dem Administrieren!
Ich will nicht jemanden anders diese Rechte geben, aber auch ein sicheres Passwort ist halt nur ein Passwort!
Was späche gegen einen Haken das der Admin nur lokal zugreifen darf! Ich halte das für sicherer!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
Was späche gegen einen Haken das der Admin nur lokal zugreifen darf!

Nichts spricht dagegen. Die Idee kam in den letzten Jahren auch immer wieder.

Du solltest einen Feature-Request an Synology stellen. Zu diesem Thema sollten sie schon ein paar requests haben.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Kommt man denn per QuickConnect nicht trotzdem noch 'ran?
Nein - Du kannst unter den erweiterten Einstellungen von QuickConnect wählen, wofür das gelten soll und dort auch DSM deaktivieren, siehe hier. Ansonsten bin ich bekanntermaßen ja kein besonderer Freund dieser Technik...
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
Ansonsten bin ich bekanntermaßen ja kein besonderer Freund dieser Technik...

Eben, ich ja auch nicht. Deswegen musste ich ja auch fragen, da ich mich damit gar nicht auskenne bis auf die paar Spielereien damit vor ein paar Jahren. ;)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Einen Admin sollte man aber haben sonst wird es schwierig mit dem Administrieren!
Tja, und das bist normalerweise Du. Und ein starkes Passwort (was - wenn es wirklich stark ist - das Risiko auf ein ausreichend geringes Maß reduziert) gehört nun mal zum Handwerkszeug, wenn man irgendein Gerät (ob nun NAS oder Router) von außen erreichbar macht.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
Bei der ganzen deaktivierer rei vom User Admin bedenkt dass nur und ausschließlich dieser User volle Rechte hat. Ein andere User, auch mit admin rechten, darf nicht alles auf der Disktation machen. Wenn man den Admin deaktiviert und vorher kein Passwort vergibt dann geht auch der User Root nicht (geht zwar nur per Terminal ohne ihn geht aber gar nichts). Also seid euch bewusst, dass man sich durch die deaktivierung eventuell selbst komplett aus der DS ausperren kann.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Tja, und das bist normalerweise Du. Und ein starkes Passwort (was - wenn es wirklich stark ist - das Risiko auf ein ausreichend geringes Maß reduziert) gehört nun mal zum Handwerkszeug, wenn man irgendein Gerät (ob nun NAS oder Router) von außen erreichbar macht.
und zum guten Handwerkszeug gehört auch alle Dienste die man nicht braucht erst gar nicht laufen (bzw. in diesem Falle erreichbar) zu haben ;-)
(Möchte mal wissen was hier für eine Diskussion wäre wenn man SSH nicht deaktivieren könnte)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat