Ergebnis 1 bis 5 von 5
  1. #1
    Anwender
    Registriert seit
    08.12.2015
    Beiträge
    32

    Standard Active Directory Server: Berechtigungskonzept mit RO/RW-Trennung für ein Netzlaufwerk

    Hallo zusammen,

    ich habe mir auf meiner DS918+ den Active Directory Sever installiert und die Domäne bereits aufgebaut. Nun ist mein weiteres Ziel, dass ich unter einem Laufwerksbuchstaben (U:\) sämtliche Berechtigungsfreigaben zusammenfasse und die entsprechenden Zugriffsberechtigungen über (Domänen-) Gruppen, RO und RW, regle. Dabei habe ich heute zum Test mal folgende Struktur aufgebaut:

    1.) Im Active Directoty habe ich zum einen zwei Benutzer, wie auch drei Gruppen (Global, Sicherheit) für die Zugriffsberechtigungen angelegt:

    "UserA" und "UserB", dazu die Gruppen "U_General-RO", "U_General_Fotos-RO" und "U_General_Fotos-RW".
    Bei den Gruppen steht das U für den Laufwerksbuchstaben, General für den gemeinsamen Ordner (dazu unten mehr), Fotos für den Foto-Unterordner und RO/RW (ReadOnly, Read/Write) entsprechend für die Berechtigungsstufe.

    Bei dem Konstrukt ist:
    "UserA" Mitglied der Gruppe "U_General-RO" und "U_General_Fotos-RO"
    "UserB" Mitglied der Gruppe "U_General-RO" und "U_General_Fotos-RW"

    "UserA" soll abgelegt Fotos nur ansehen und "UserB" hingegen auch neue Fotos ablegen und beispielsweise löschen dürfen.

    Im Benutzerprofil ist bei beiden Benutzern via Login-Script in einer bat-Datei folgender Eintrag vorhanden:
    net use U: \\DiskStation01\general /User:home\%username% /persistent:no


    2.) Via "Systemsteuerung/Gemeinsamer Ordner" habe ich ein Hauptverzeichnis namens "general" angelegt. Darauf berechtigt ist die Gruppe "U_General-RO" mit der Berechtigung "Nur Lesen". Mit dem Ziel, dass erst einmal jeder User das Netzlaufwerk "U:\" beim Systemstart eingemappt bekommt. Das funktioniert auch sehr gut.


    general_Volume.jpg


    Darüber hinaus habe ich über die "File Station" unter dem Hauptordner "general" u.a. den Unterordner "Fotos" erstellt. Diesem Foto-Ordner wiederum wurden noch weitere Genehmigungsgruppen zugeteilt, nämlich die oben beschriebenen Domaingruppen "U_General_Fotos-RO" und "U_General_Fotos-RW". Unterteilt in den jeweiligen Zweck, also nur lesen oder lesen/schreiben:

    general_Fotos.png


    Wie bereits geschrieben, funktioniert das vom Zweck her ohne Probleme. Was mich allerdings noch stört ist die Tatsache, dass jeder User grundsätzlich die anderen Ordner neben "Fotos", sprich "Musik" und "Videos" angezeigt bekommt.

    Mein Ziel ist es, dass ich wie oben aufgebaut, grundsätzlich ein Netzlaufwerk "U:\" habe, worunter dann je nach Berechtigung z.B. die Hauptverzeichnisse "Fotos, "Musik" und "Videos" angezeigt werden. Bedeutet, dass ein User, der nur für das "Foto-Verzeichnis" berechtigt ist, alle weiteren Ordner erst gar nicht sehen soll und somit auch nicht aufgelistet bekommen soll.


    Hat da jemand eine Idee, wie man das berechtigungstechnisch am cleversten lösen kann?

    Ich bin wirklich für jede Hilfestellung sehr dankbar. Dazu schon mal vielen Dank!

  2. #2
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    1.579

    Standard

    Was Du da vor hast funktioniert nur so leider nicht. Du kannst die Unterordner berechtigungstechnisch entsprechend sperren, aber für bestimmte User ausblenden ist nicht drin. Freigaben ohne entsprechende Berechtigungen kannst Du allerdings ausblenden. Einzig DFS würde mir zu der Thematik noch einfallen, aber ich denke, dass das hier eher nicht so hinhaut

    EDIT: Alternativ halt mit mehreren Freigaben arbeiten und diese entsprechend Mappen, oder einfach direkt die entsprechenden Unterordner (wo kein Recht, da auch kein Mapping). Ist dann zwar nicht so schön gesammelt, aber dafür sieht man nicht, wozu man auch keinerlei Berechtigung hat.

  3. #3
    Anwender Avatar von rednag
    Registriert seit
    08.11.2013
    Beiträge
    3.786

    Standard

    Hab mit AD noch nicht wirklich viel zu tun, aber funktioniert das "Ausblenden" nicht?

    5.PNG
    DS415+ (6.2-23739 Update 2)
    DS213 (6.2-23739 Update 2)
    TS-253B (4.3.4.0695)
    Vero 4K (OSMC)
    Fritz!Box 7490

    Homepage

  4. #4
    Anwender
    Registriert seit
    08.12.2015
    Beiträge
    32

    Standard

    @blurrrr
    Ja, DFS hatte ich aus der Windows-Welt auch im Hinterkopf, allerdings gibt es in der Richtung bei Synology (noch) nichts. Leider...

    @ rednag
    Diese Option hatte ich bereits probiert, leider ohne den gewünschten Effekt und Erfolg. Scheint wohl grundsätzlich ein schwieriges, bzw. momentan noch nicht gelöstes Thema zu sein.

    \\edit
    Ich habe den Funktionsvorschlag eines DFS mal direkt bei Synology platziert. Mal schauen, vielleicht wird ein solches Feature ja irgendwann mal implementiert.
    Geändert von domarffm (18.06.2018 um 21:33 Uhr)

  5. #5
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    1.579

    Standard

    Unter Linux gibt es eine Menge Möglichkeiten für ein DFS, aber eben nicht so wie Microsoft das macht, sondern eben richtig distributed (z.B. via GlusterFS, MooseFS, usw.). Denke die Chancen stehen da bei Synology wohl eher nicht so gut, da schlichtweg der Bedarf (in Masse) nicht vorhanden ist.

Ähnliche Themen

  1. Antworten: 2
    Letzter Beitrag: 29.04.2018, 16:05
  2. Active Directory Server - Umgang mit angelegten Benutzern
    Von teoma im Forum LDAP Directory Service
    Antworten: 1
    Letzter Beitrag: 13.01.2018, 22:21
  3. Pure Verzweiflung: Roaming Profile mit Active Directory Server
    Von server110 im Forum LDAP Directory Service
    Antworten: 0
    Letzter Beitrag: 07.01.2018, 18:52
  4. Antworten: 1
    Letzter Beitrag: 30.12.2017, 14:47
  5. Active directory Server mit ecoDMS
    Von anlatana im Forum LDAP Directory Service
    Antworten: 0
    Letzter Beitrag: 10.12.2017, 21:19

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •