[OFFEN] User in mehreren Berechtigungsgruppen

Status
Für weitere Antworten geschlossen.

bleifrei02

Benutzer
Mitglied seit
24. Sep 2018
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

leider konnte ich mir die Antwort nicht ersuchen, weswegen ich mich gezwungen fühlte, hier einen neuen Thread zu öffnen.

Meine Frage:
Wenn ich einen User anlege, welcher in 3 Gruppen ist und alle 3 Gruppen haben verschiedene Berechtigungen, welche Gruppe gewinnt dann? Gewinnt überhaupt eine? Welche Menge an Berechtigungen hat der User dann?

Zum Verständnis habe ich ein Bild angehängt.
SynologieForum1.jpg

Besten Dank für Eure Hilfe

Gruß
bleifrei02
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174
Ein Verbot ist höherwertiger als eine Erlaubnis.

Wenn Gruppe 1 ein Verzeichnis RW hat müsste dort gelesen und geschrieben werden können.
Wenn Gruppe 2 nur R hat, dann greift ausschliesslich das Recht lesen.
Wenn Gruppe 3 ein verbot auf Zugriff hat, bekommt der User nix zu sehen.
 

bleifrei02

Benutzer
Mitglied seit
24. Sep 2018
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo AndiHeitzer,

besten Dank für die Schnelle Rückmeldung.

In unserem konkreten Fall haben wir folgende Situation: Ein User ist in einer Gruppe "Admin", in einer Gruppe "Vorstand" und in einer Gruppe "Mitglied". Die Gruppe Mitglied hat dementsprechend weniger Berechtigungen, als Vorstand oder Admin. Heißt also, er hat maximal Mitglied-Rechte und keine Vorstand und keine Admin - korrekt?

Ich müsste also den User der Admin ist, nur in Admin lassen und nichts anderes - korrekt?

Vielen Dank und Gruß
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Wenn Gruppe 2 nur R hat, dann greift ausschliesslich das Recht lesen.
Bist du dir da sicher? Die Rechte müssten sich IMHO addieren. Bei gleichem Verzeichnis wäre es also immernoch "RW" durch Gruppe 1.

Daumenregel: Wer mit Verboten arbeiten muss, hat etwas falsch gemacht. Denn dann muss er Rechte zurücknehmen die anderswo gewährt wurden ...

MfG Matthieu
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Grundregel:
Bei Windows ist alles erlaubt was nicht verboten wird.
Bei Linux ist alles verboten was nicht erlaubt ist.
Da wir hier mit Linux arbeiten ist normalerweise das Verbot höherwertiger als die Erlaubnis. Ich kenne kein Linux wo das anders ist.

Das sollte aber kein Problem sein, ausser man hat ohne zu Überlegen eine Verzeichnisstruktur angelegt, wo Rechte wild durcheinander laufen müssen, weil die Daten unvorteilhaft abgelegt wurden.
Ich würde eine neue Ordnerstruktur anlegen, welche die Daten in verschiedenen Freigaben einsortiert, nicht eine Freigabe mit vielen Unterordnern..
So kann jede Gruppe erst mal auf ihre eigensten Daten zugreifen.
Dann fügt man einer Freigabe die Gruppe hinzu, welche zusätzlich auf bestimmte Daten zugreifen soll. Den Rest realisiert man innerhalb der einzelnen Freigaben über die ACL sofern erforderlich.

Grundsätzlich niemals mit Einzelpersonen (Namen) arbeiten sondern nur mit Gruppen, denen man Rechte zuweist. So muss man nie etwas ändern, wenn sich die Familiennamen ändern.
 

Tuvok42

Benutzer
Mitglied seit
24. Jun 2013
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
Bis jetzt hat der Threadstarter noch nichts über "Verbote" in den jeweiligen Gruppen geschrieben und auch nicht, wie seine Datenverzeichnisstruktur ist. IMHO stimme ich Matthieu zu: Ohne Verbote addieren sich die Rechte; die Aussage im Schaubild User 1 = A, B und C stimmt.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Das ändert nichts daran, dass die Datenstruktur passen muss. Ist diese vernünftig geplant erübrigen sich meist Anpassungen der ACL.
"Verbote" entstehen dann, wenn die Gruppenstruktur und die Datenstruktur nicht zusammen passen. Die Daten ausserhalb der Schnittmengen führen dann eben zu notwendigen Anpassungen in den ACL. Da wird aber nichts verboten im wörtlichen Sinne sondern es werden Rechte gewährt oder entzogen. Vielleicht sollte man sich mal auf eine einheitliche Terminologie einigen.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Vielleicht sollte man sich mal auf eine einheitliche Terminologie einigen.
Verbieten = Entziehen = "Kein Zugriff" (letzteres stammt direkt aus dem DSM!)
Kurzes Experiment im DSM: Lege eine Gruppe samt Benutzer an und setze keinen Haken. Dann sollte in der Vorschau überall stehen "Kein Zugriff". Auch wenn Windows IMHO keine "Vorschau" hat, ist das Ergebnis identisch: Kein Zugriff weil nichts die Rechte gewährt. Ansonsten wären 90% der Netzlaufwerke in einem Unternehmen offen wie ein Scheunentor, weil ich jeden neuen User den Zugriff verweigern müsste ...

Dass man Daten nicht sinnlos durcheinander würfeln sollte, sondern in sinnvolle Ablagen/Ordner unterteilt, halte ich für selbstverständlich. Wenn ich auf einer Ebene etwas gewähre um dann tiefer drin wieder mit Verboten zu hantieren, habe ich ohnehin ganz andere Probleme.

MfG Matthieu
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174
Wenn ich mir die nachfolgenden Beiträge so ansehe, wäre es wohl sinnvoller gewesen, wenn ich mich etwas ordentlicher ausgerückt hätte. :eek:

In meiner obigen Schreibe wollte ich im Endziel nur darstellen, dass die Restriktivste Einstellung einer Gruppe greift. Ein Verbot (Kein Zugriff) überschreibt also eine Erlaubnis.

Es ist nur unglücklich von Matthieu um 16:11 aufgefasst worden, ich ginge pauschal davon aus, dass erstmal alles erlaubt sei.

Dies habe ich aber nur anhand einer Gruppe angenommen, die auf einen Share RW erlaubt. Ist der selbe User noch in einer Gruppe, die 'Kein Zugriff' regelt, dann gewinnt diese Verbots-Regel.

Ich hoffe, das es nun nicht so missverständlich ist? :rolleyes:
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wenn Nutzer A in Gruppe 1 Schreibrechte hat und in Gruppe 2 Leserechte und beide Gruppen kommen irgendwo in einem Share zusammen verliert das Schreibrecht.

Also mischt man keine Gruppenzugehörigkeit sondern teilt seine Shares so auf, dass derartige Überschneidungen möglichst verhindert werden. Ist es doch erforderlich muss man das in der Ordnerstruktur mit Einschränkungen in der ACL umsetzen.

@Mathieu: Da wir von Servern reden rede ich bei Windows vom AD und da ist immer erst mal alles auf erlaubt, im Gegensatz zu Linux.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ein Beispiel wäre da jetzt wirklich hilfreich, denn ich kann das so nicht nachvollziehen.

MfG Matthieu
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344

FrAntje

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
353
Punkte für Reaktionen
13
Punkte
18
Ist ja wie auf der Börse hier.
NFSH hat einfach unrecht und dann ist das Ding durch hier.
Natürlich hat ein Nutzer RW, wenn eine Gruppe R und die andere W hat.
Welche andere Logik ergibt sich denn auch woraus?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Warum taucht die Thematik eigentlich immer wieder auf? :rolleyes:

1) Bei mehreren Rechten greift immer das höchste Recht (r+rw = rw)
2) Rechte sind kumulativ (mit Bedacht an die Freigabe- und Dateisystemrechte!)
3) Ein explizites Verbot ist immer höherwertiger als eine Erlaubnis

Ende der Durchsage! :p

EDIT: Ich muss NSFH aber in einer Sache definitiv zustimmen: Wenn möglich, vermeidet man diese wüsten Berechtigungsstrukturen, sowas zeugt einfach nur von schlechtem Design. Lässt sich zwar nicht immer vermeiden, aber im besten Fall kommt es garnicht soweit :)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ist ja wie auf der Börse hier.
NFSH hat einfach unrecht und dann ist das Ding durch hier.
Natürlich hat ein Nutzer RW, wenn eine Gruppe R und die andere W hat.
Welche andere Logik ergibt sich denn auch woraus?
Ich habe meine Aussage gerade noch mal auf einem Linux Server unter Ubuntu ausprobiert. Stimmt tatsächlich, die Rechte werden addiert, mit einem aber. Es geht tatsächlich nicht, wenn die Zugriffsrechte unter Samba für ein Verzeichnis anders definiert sind. Dann kommt es im Überschneidungsfall zu der Situation, dass das höherwertige Recht verloren geht. Vielleicht in der Syno gleichzusetzen mit dem Haken bei verboten.
 

Tuvok42

Benutzer
Mitglied seit
24. Jun 2013
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
Bevor wir den Faden vollständig kapern und ggf. den neuen Forennutzer abschrecken ;)

In unserem konkreten Fall haben wir folgende Situation: Ein User ist in einer Gruppe "Admin", in einer Gruppe "Vorstand" und in einer Gruppe "Mitglied". Die Gruppe Mitglied hat dementsprechend weniger Berechtigungen, als Vorstand oder Admin. Heißt also, er hat maximal Mitglied-Rechte und keine Vorstand und keine Admin - korrekt?
Jein. Solange in keiner Gruppe Verbote enthalten sind, hat er die Rechte aller 3 Gruppen.

Ich müsste also den User der Admin ist, nur in Admin lassen und nichts anderes - korrekt?
Das hängt davon ab, was Du erreichen willst.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat