Berechtigungen für Synology Drive

marbassran · 18. Jul 2021

Hallo zusammen.

Ich bin gerade an Synology Drive dran und habe mit den Berechtigungen ein Problem.

Folgende Ordnerstruktur:

Hauptordner (verschlüsselter, gemeinsamer Ordner)
- Abteilung 1
- Abteilung 2
- Abteilung 3
  - Unterabteilung 1
  - Unterabteilung 2
  - Unterabteilung 3
    - Ordner x
    - Ordner y
    - Datei z
    - Datei xy

Jetzt gibt es User, die vollen Zugriff haben und dementsprechend auch komplett synchronisieren können.

Andererseits gibt es auch einige Fälle, die beispielsweise nur auf den Ordner Unterabteilung 3 und alle darunterliegende Dateien/Ordner Zugriff haben sollen.
Über Freigaben gibt es zwar die Möglichkeit, dass die User Zugriff im Web Zugriff auf Unterabteilung 3 bekommen, aber eine Synchronisierung scheint nicht möglich.

Ziel sollte es sein, dass sich diese Unterabteilung 3 auch synchronisieren lässt und auch nur auf diesen Zugriff hat:

Hauptordner (verschlüsselter, gemeinsamer Ordner)
- Abteilung 1
- Abteilung 2
- Abteilung 3
  - Unterabteilung 1
  - Unterabteilung 2
  - Unterabteilung 3
    - Ordner x
    - Ordner y
    - Datei z
    - Datei xy

Ich habe jetzt mehrere Sachen durchprobiert, komme aber auf keinen grünen Zweig. Hat hierzu jemand eine Idee?

Danke euch!

Anzeige · 18. Jul 2021

Hallo marbassran,

Bücher und Hardware zum Thema gibt es bei Amazon: Berechtigungen für Synology Drive

plang.pl · 26. Jul 2021

marbassran schrieb:
Ich habe jetzt mehrere Sachen durchprobiert,

Was hast du genau probiert?

Zuerst müssen die Berechtigungen für den gemeinsamen Ordner stimmen (einzustellen unter der Systemsteuerung). Wenn du die Rechte dann ordnerbezogen vergeben willst, dann machst du das pro (Unter-)Ordner in der FileStation.

Wenn jetzt User X nur Zugriff auf Unterabteilung 3 haben soll, dann sollte das in etwa so aussehen:
User X hat auf...
Abteilung 1 & 2: keinen Zugriff; folglich auch nicht auf deren Unterordner (sofern du die entsprechende Option in der FileStation nicht ausgeschaltet hast)
Abteilung 3: Zugriff
-Unterabteilung 1 & 2: keinen Zugriff
-Unterabteilung 3: Zugriff

Zu Erwähnen: Ein Verbot wiegt in DSM mehr als eine Erlaubnis. Das heißt, wenn du dem User X jetzt auf Abteilung 3 den Zugriff verbietest und die Rechte vererben lässt (was standardmäßig der Fall ist) und ihm dann auf Unterabteilung 3 den Zugriff gewährst, kann er trotzdem nicht zugreffen.

ottosykora · 26. Jul 2021

wobei ich mich dann frage wie kommt der User X bis zu der Abteilung3 wenn er nicht mindestens Leserechte an dem gemeinsamen Hauptordner hat ;-)

NSFH · 26. Jul 2021

So isses, das kann nicht funktionieren!
1.: Man braucht nicht mit Drive rumspielen, die Rechte, die via Filestation vergeben werden übernimmt Drive 1:1.
2.: Der schöne Vergleich mit dem Haus und seinen Türen. Wenn du jemandem den Schlüssel für dein Wohnzimmer gibst kann er ihn nie benutzen, weil zuerst die Haustür öffnen müsste.

Das führt zu?: In jedem Unterordner die Vererbung unterbrechen und komplett neu setzen. Wer erst in einem untergeordnetem Ordner Zugriff auf Dateien haben soll muss Leserechte zumindest für alle Ordner auf dem Weg dort in haben.
Damit er auf dem Weg dahin nichts sieht in den Einstellungen von SMB die Funktion Dateien ausblenden, wenn keine Berechtigung vorhanden ist aktivieren.

plang.pl · 26. Jul 2021

@ottosykora Das hab ich ja oben geschrieben:

plang.pl schrieb:
Zuerst müssen die Berechtigungen für den gemeinsamen Ordner stimmen

Damit meine ich der User X muss eben Zugriff auf den gemeinsamen Ordner haben.

NSFH schrieb:
Man braucht nicht mit Drive rumspielen

Das stimmt. Man braucht nur die Systemsteuerung für den gemeinsamen Ordner und für die Unterverzeichnisse dann die FileStation.

NSFH schrieb:
In jedem Unterordner die Vererbung unterbrechen

Angenommen, User X hat Schreibrechte für den gmeinsamen Ordner, indem sich das Verzeichnis "Daten" befindet. Wenn ich jetzt in der FileStation User X den Zugriff darauf verweigere, dann hat er keinen Zugriff, obwohl die Vererbung was anderes sagt.

ottosykora · 27. Jul 2021

plang.pl schrieb:
Angenommen, User X hat Schreibrechte für den gmeinsamen Ordner, indem sich das Verzeichnis "Daten" befindet. Wenn ich jetzt in der FileStation User X den Zugriff darauf verweigere, dann hat er keinen Zugriff, obwohl die Vererbung was anderes sagt.

Weil: Rechte kann man reduzieren, aber nicht nachträglich erhöhen

Darum ist der Ratschlag von NSFH korrekt. Vererbung unterbrechen und dann für die Unterordner Rechte neu definieren in solchem Fall. Und dabei stets dran denken, der User muss mindestens einen Lesezugriff auf den vorherigen Ordner haben, sonst kommt er gar nicht bis zu dem fraglichen Unterordner.

NSFH · 27. Jul 2021

plang.pl schrieb:
............
Angenommen, User X hat Schreibrechte für den gmeinsamen Ordner, indem sich das Verzeichnis "Daten" befindet. Wenn ich jetzt in der FileStation User X den Zugriff darauf verweigere, dann hat er keinen Zugriff, obwohl die Vererbung was anderes sagt.
[/QUOTE]
[/QUOTE]

Vielleicht solltest du dich mal etwas intensiver mit den Prinzipien einer ACL auseinander setzen.
Wenn ich die Vererbung unterbreche hat das den Sinn an dieser Stelle die bis hier hin vererbten Rechte anzupassen.
Die Unterbrechung ist nicht gleichbedeutend mit einer Zugriffsverweigerung.
Nur durch Deaktivierung der Vererbung an einer speziellen Stelle werden die bis dahin vererbten Rechte nicht gelöscht. Sie sind an dieser Stelle nur veränderbar.
Hoffe das ist jetzt verstanden.