Benutzer, Gruppen, Gemeinsame Ordner und deren Unterordner: Zugriffskontrolle

[mindphunk]

Hallo Syno-Menschen,

Nun, ich habe einmal diesen Fall und keine Lösung:

- Ich habe einen Gemeinsamen Ordner angelegt: /volume1/sharedfolder
- ich habe zwei Unterordner erstellt: /volume1/sharedfolder/subfolder1 & /volume1/sharedfolder/subfolder2
- ich habe zwei Benutzer angelegt: UserA & UserB
- ich habe zwei Benutzerguppen angelegt: Alles & Limit
- ich habe UserA der Gruppe Alles und UserB der Gruppe Limit zugeordnet.
- Gruppe Alles hat Zugriff auf den Ordner sharedfolder und dementsprechend auch auf die Unterordner subfolder1 & subfolder2, somit hat auch UserA diese Rechte.
- Gruppe Limit hat hingegen keinen Zugriff auf den Ordner sharedfolder und somit auch nicht auf die Unterordner subfolder1 & subfolder2. So auch UserB als Gruppenangehöriger.

Nun möchte ich gerne Folgendes erreichen:

Nutzer der Gruppe Limit sollen keinen Zugang auf den kompletten gemeinsamen Ordner haben, sondern lediglich auf den Unterordner subfolder2 und dessen Dateien.
Natürlich sollen Nutzer der Gruppe Limit auch weiterhin per SMB oder AFP den gemeinsamen Ordner in ihr OS einbinden können, dann aber eben nur den einen Unterordner subfolder2 sehen können und die Inhalte dieses Ordners bearbeiten können.

Mir ist es ein Rätsel, wie ich das hinbekommen kann.

Kann mir jemand helfen?

Danke! Für Literaturhinweise bin ich auch sehr dankbar

Hat jemand eine Anleitung mit verschiedenen User Stories, aus denen man gut ableiten kann, wie die ACL funktioniert oder wie man bei vielen Nutzern und Gruppen die Übersicht behält??
Ich tue mich da als Einsteiger relativ schwer.

---

MP

 

[mindphunk]

Leute Leute,

Kennt sich da keiner aus?

 

[heavy]

Ich kenne mich zwar mit ACL nicht aus aber die normale rechte verwaltung kann man sich wie ein Haus vorstellen. Also was nützt es die wenn du Zugang zu Zimmer 3 hast, aber das Haus nicht betreten darfst? Soll heißen die Hierachie ist linear von Oben nach unten. Wenn kemand in subsub zugriff haben soll, dann braucht er auch Zugriff zu sub und Haupt. Wenn du nicht willst, dass die Daten im Hauptordner zu sehen sind, dann darfst du da keine abspeichern. Für den Zugriff via SMB kanns du ja sagen dass die unterOrdner bei denen der User keine Berechtigungen hat ausgeblendet werden.

 

[JudgeDredd]

Hallo,

zu diesem Thema gibt es hier auch schon etliche Themen ... Hier ein Beispiel
Sollte das für Dich nicht verständlich sein, kannst Du gerne nochmal detailliert nachfragen.

Gruß,
Andreas

 

[mindphunk]

Vielen Dank dafür! Dann rolle ich das Thema erneut auf.

work
 |
 |-verz1
 |
 |-verz2
 |
 |-...

Also ich löse das so:
Für das Share "work" bekommen alle Lese-/Schreibrechte

Dann lege ich 3 Gruppen je Verzeichnis an z.B.:
"verz1_r" nur Leserechte
"verz1_rw" Lese- und Schreibrechte
"verz1_a" Vollzugriff

Nun in der Filestation in den Verzeichnissen den Gruppen die jeweiligen Rechte zuweisen

Das hört sich nach einem Haufen manueller Administration an, wenn neue Verzeichnisse dazukommen, wie bspw. im Falle von Kundenordnern.
Dazu wird die Rechteverwaltung schnell unübersichtlich, da es unzählige Gruppen gäbe.

Da muss es doch eine andere Lösung geben...

---

Also noch Mal, weil ich nicht dahinter steige:

Bleiben wir bei dem Fall eines Shared Folders "work", dazu gibt es eine Gruppe "Intern" und eine Gruppe "Extern".
User der Gruppe "Intern" sollen Zugang auf den Shared Folder "work" haben und entsprechend verz1, verz2, verz3 usw. lesen können (also alle Unterordner).
User der Gruppe "Extern" sollen Zugang auf den Shared Folder "work" haben, jedoch nur verz2 lesen können.

Legt ein Nutzer der Gruppe "Intern" einen neuen Ordner im Shared Folder Work an, dann soll dieser neue Ordner von der Gruppe "Extern" nicht gelesen werden können. Das soll erst möglich werden, wenn man der Gruppe "Extern" explizit Leserechte für den neuen Ordner gewährt.

---

Ist das im Rahmen des Möglichen?

Sinn und Zweck ist es internen Mitarbeitern RW-Rechte zu gewähren, während externe Mitarbeiter, wie Freelancer, nur Zugang zu dem jeweiligen Projekt erhalten sollen, an dem sie mitarbeiten.
Eine Ordnerstruktur sähe vereinfacht so aus:

Projekte
|
|-Kundenordner1
|  |-Projekt1
|  |-Projekt2
|
|-Kundenordner2
|  |-Projekt1
|  |-Projekt2
|  |-Projekt3
|  |-Projekt4
|
|-Kundenordner3
|  |-Projekt1
|  |-Projekt2
|
|-...

Optimal wäre es, wenn ein externer Mitarbeiter der Gruppe "Extern" angehört, die erstmal alle Kundenordner vor Zugriff schützt. Dann gibt es eine Gruppe "K2P3", der der externe Mitarbeiter ebenfalls angehört. Diese Gruppe gewährt nur Zugriff auf "Projekte/Kundenordner2/Projekt3".

Das würde es einfach machen Gruppen zu erstellen und zu verwalten, pro Projekt an dem Externe beteiligt sind. Außerdem könnte der externe Mitarbeiter dann so den Shared Folder "Projekte" mit seinem Computer mounten und anschließend über Kundenordner2 zum Ordner Projekt3 gelangen.

Im optimalen Fall würde der externe Mitarbeiter Kundenordner1, Kundenordner3 und ihre Inhalte, sowie die anderen Projektordner (1,2 und 4), welche dem Kundenordner2 untergeordnet sind, nicht sehen können. Alleine die Namen gehen ihn nichts an und sind vertraulich.

Das muss doch möglich sein, bitte helft mir Syno-Götter.

Merci!

 

[JudgeDredd]

Das hört sich nach einem Haufen manueller Administration an, wenn neue Verzeichnisse dazukommen

Naja, wenn man Verzeichnisse haben möchte, die sich in der Rechtevergabe von anderen Verzeichnissen unterscheiden, dann bleibt einem ja nix anderes übrig, als dedizierte Rechte zu definieren.

Du kannst natürlich auch Gruppen mit weiteren Rechten anlegen, sofern das bei Dir zutrifft.
z.B. einer Gruppe Rechte für Verzeichnis 1, 2, 7 und 9 zu geben.

Shared Folder "work"

Du musst hier unterscheiden zwischen "shares" und "foldern" !

Bleiben wir beim Beispiel ...
Share = work
Folder = verz1, verz2, verz3, etc ...

Anzulegende Gruppen:
verz1_lesen, verz1_schreiben, verz2_lesen, verz2_schreiben, verz3_lesen, verz3_schreiben, etc ...

Auf dem share "work" kannst Du allen Benutzern/Gruppen die dort was zu suchen haben Lese- UND Schreibrechte geben.

Auf dem folder "verz1" gibst Du der Gruppe "verz1_lesen" leserechte und der Gruppe "verz1_schreiben" natürlich schreibrechte.

Ein zuordnen von Gruppen in anderen Gruppen funktioniert so auf der DS nicht. Im Active Directory wäre das kein Problem, sofern die DS in einer Domäne ist.

Legt ein Nutzer der Gruppe "Intern" einen neuen Ordner im Shared Folder Work an, dann soll dieser neue Ordner von der Gruppe "Extern" nicht gelesen werden können. Das soll erst möglich werden, wenn man der Gruppe "Extern" explizit Leserechte für den neuen Ordner gewährt.

Das ist selbstverständlich so. Wäre ja schlimm wenn neue Verzeichnisse automatisch irgendwelche Rechte zugewiesen bekämen (Wir sind hier ja nicht in der Photostation )

 

[ProjektC]

Hi,

ich muss mich da einklinken, da ich das gleiche Problem habe.
Normal machen wir nur mit Windows AD Server und Synology NAS als reines Backup Gerät.

Nun möchte eine Schule nur mit NAS arbeiten.
Dazu soll jeder Schüler ein Privates Laufwerk haben und ein Gesamtes Tausch Laufwerk auf den jeder Zugriff hat.
Der Lehrer soll auf die einzelnen Privaten Laufwerke Zugriff haben und auf das Tausch Laufwerk.
Bei einem Windows AD Server ist das kein Problem und Easy.

Beim NAS bin ich etwas überfordert, vielleicht denke ich auch zu sehr in die Windows Ecke.

Für die 25 Schüler will ich keine seperaten Share anlegen, da der Lehrer ansonsten soviele Netzlauferke hätte oder in der Netzwerkumgebung suchen müsste.
Jeder der 25 Schüler PC hat einen festen User Name.: User01 / User02 / User03 usw

Meine Idee wäre

Share = HomeLaufwerk
In diesem HomeLaufwerk sind dann Ordner angelegt mit User01 / User02 / User03

In diesem Homelaufwerk kann nur der jeweilige User schreiben und lesen.
Der Lehrer soll dann ein Netzlaufwerk direkt zum HomeLaufwerk haben, und sieht darin alle User Ordner.

Ich weis nur nicht, wie ich innerhalb beim Synology NAS die Folder zuweise.
Ich kann was ich sehe, nur einen Share anlegen, und darin User oder Gruppen die Berechtigung geben.
In diesem Share kann ich aber über das Synology keine Ordner anlegen und sagen, da hat Gruppe Lehrer Zugriff und User01

bye

ProjektC

 

[DustFireSky]

Für die 25 Schüler will ich keine seperaten Share anlegen, da der Lehrer ansonsten soviele Netzlauferke hätte oder in der Netzwerkumgebung suchen müsste.
Jeder der 25 Schüler PC hat einen festen User Name.: User01 / User02 / User03 usw

Privates Verzeichnis:

Dafür hätte ich eine Lösung!
Und zwar musst du lediglich bei BENUTZER => REGISTER (Erweitert) => Benutzer HOME Dienst aktivieren.

Da jeder Schüler sein privates Laufwerk haben soll kannst du das damit umsetzen. Den Home Ordner sieht auch wirklich nur der jeweilige Benutzer. Der Administrator kann aber dagegen den ORDNER => HOMES als Netzlaufwerk mounten, wo ALLE Home Verzeichnisse der User aufgelistet werden!

Tauschlaufwerk für ALLE:
Als Tauschlaufwerk erstellst du einfach einen Gemeinsamen Ordner. Erstelle dir zusätzlich eine Gruppe mit dem Namen "Shared" und füge jeden Schüler dieser Gruppe hinzu. Dann setzt du nur den Haken bei LESEN/Schreiben auf den Tausch Ordner und gut ist. Klar können dann alle Benutzer auch Daten löschen oder erstellen. Das lässt sich aber bei einem Tauschlaufwerk nicht vermeiden, da es nun mal zum tauschen da sein soll.