Berechtigungen verstehen und richtig setzen

[whoodini]

Hallo zusammen,

wir haben hier Probleme die Berechtigungen in unserer Firma mit den Bordmitteln von DSM richtig umzusetzen.

Vielleicht habt ihr ja eine Idee

Ausgangssituation:

• Wir haben den freigegebenen Ordner (Oberordner) "NAS" , welcher über Windows als Netzlaufwerk von den einzelnen Benutzern eingebunden wird
• Dieser hat Unterordner (z.B. 1, 2, 3, 4)
• (Die Unterordner 1,2,3,4, haben weitere Unterordner)
• Eine Gruppe "ing" hat Schreibgeschützten Zugriff auf den Ordner "NAS" (Systemsteuerung -> Benutzer -> Gruppe -> Berechtigung)
• Die Gruppe ing sieht nur die Unterordner 2 und 3 (1 und 4 sind gespesperrt über Filestation -> Eigenschaften -> Berechtigungen -> Gruppe aus den Berechtigungen entfernt)
  
  ---- Bis hierhin funktioniert es auch -------
  
  
• Die Gruppe ing soll nun in den sichtbaren Ordnern
  • Dateien öffnen können
  • Neue Dateinen erstellen können
  • Bestehende Dateien bearbeiten können
    
• Die Gruppe ing soll nicht dürfen
  • Ordner und Unterordner, löschen, umbennen oder verschieben dürfen

Hat hier jemand eine Idee wie man das über die Filestation -> Eigenschaften -> Berechtigungen einstellen kann oder gibt es einen anderen Weg?

Vielen Dank im Voraus für eure Unterstützung

 

[ottosykora]

normalerweise werden Berechtigungen von dem oberen Ordner vererbt

das muss man unterbrechen und dann kannst du die Rechte für den Unterordner einstellen
Immer beachten, Verbot ist stärker als Erlaubnis

 

[whoodini]

Danke für die Rückmeldung. Ja die Vererbung von "Oben nach Unten" habe ich mir so gedacht, da wir ja den gesamten Ordner auf "Schreibgeschützt" für diese Gruppe gesetzt hatten und dann die nicht berechtigten Ordner herausgenommen haben.

Ich habe eine Einstellung gefunden unter Filestation -> Eigenschaften -> Berechtigungen
Hiermit könnte man verhindern, dass Ordner erstellt etc. werden, aber das Problem ist, gleichzeitig wird Daten anhängen verboten (also bestehende Dateien ergänzen mit Informationen)

Gibt es keine Möglichkeit nur die Ordnerbearbeitung zu sperren und die Dateibearbeitung zuzulassen?

 

[Benares]

Ich weiß auch nicht, was "Daten anhängen" genau bedeutet. Probier's einfach aus. Und warum sollen die keine neuen Ordner anlegen dürfen?
Warum muss es denn unbedingt über einen Freigegeben Ordner laufen und nicht über 4? Du würdest dir damit die ganze Fummelei über die Filestation und die weitere Vererbung ersparen.

 

[whoodini]

Daten anhängen heißt wohl, dass bestehenden Dateien keine Informationen angefügt werden dürfen. Also z.B. einem bestehenden Word Dokument weiterer Text hinzugefügt werden kann.

Auch mit 4 Freigabe Ordner hätten wir ja das Problem, dass die Benutzer der Gruppe ing nur Dateien bearbeiten sollen und nicht Ordner. Also die Ordner Struktur (auch Unterornder) so bestehen bleibt und Dateien nach belieben geändert werden können.

Ich weiß nicht was hinter der erweiterten Freigabeoption steht. Ob es hier noch mehr Möglichkeiten gibt und ob diese nur für den einen freigegebenen Ordner aktiviert werden oder das Auswirkungen auch auf andere freigegebene Ordner hat?

 

[Benares]

Auch mit 4 Freigabe Ordner hätten wir ja das Problem ...

Aber es lässt sich im DSM verwalten und braucht nicht die Filestation. Außerdem ist die Vererbung gesichert, zumindest wenn der Share im Windows-ACL-Modus läuft. Ansonsten blickst du irgendwann nicht mehr durch, wenn du an allen möglichen Stellen ggf. die Vererbung kappst und was anderes definierst.
Genau dafür sind Freigegebene Ordner ja da, dass man unterschiedlichen Benutzer(-gruppen) unterschiedliche Rechte darauf erteilt. Man kann auch einfach über \\NAS o.ä. zugreifen und bekommt das zu sehen, worauf man Rechte hat. Die Geschichte mit den Laufwerksbuchstaben für jede einzelne Freigabe ist Steinzeit.

Das mit den Rechten fummelst du schon hin. Kannst ja mal mit einem Share ausgiebig testen und hier berichten, was die einzelnen Kreuzchen (die im übrigen die gleich wie in der Filestation sind) bewirken.

 

[whoodini]

Ok danke für die Rückmeldung. Ich habe nun durch testen eine Konfiguration gefunden die in einer Testumgebung funktioniert. Also ,dass Benutzer Dateien bearbeiten aber keine Ordner. Sofern es auch im Live-Betrieb funktioniert, poste ich die Lösung hier noch nachträglich.
Der Synology Support selbst hatte hier keine Idee wie man dieses Szenario umsetzen kann.

Ich wusste aber auch nicht, dass die Rechte hier unterschiedlich sind, die im FileManager(DSM) und in der Systemsteuerung(DSM) vergeben werden.

 

[Benares]

Ich wusste aber auch nicht, dass die Rechte hier unterschiedlich sind, die im FileManager(DSM) und in der Systemsteuerung(DSM) vergeben werden.

Nein, nein, die sind nicht unterschiedlich, das ist das gleiche Rechtesystem (ACL).
Die Einstellungen über die Systemsteuerung gehen halt davon aus, das die Rechte nur auf Ebene der Freigegeben Ordner verwaltet werden und auch für alles darunter gelten (Vererbung). Über die Filestation können die Rechte auf allen Ebenen verwaltet werden. Vererbte Rechte erscheinen zunächst graugetastet und nicht änderbar. Man kann aber die Vererbung auch an bestimmten Stellen aufheben und was anderes definieren. Das wird aber sehr schnell recht unübersichtlich.

 

[Quappe]

Das mit den Benutzern den Nutzergruppen und deren Berechtigungen kann auch niemand verstehen. Es wird durch den Multivarianzvergleich zwischen Gruppenaufbau Einzelnutzer und Filestation-> Ordberberechtigungen zu einer unlösbaren Aufgabe. Dabei wird die DS wahrscheinlich auch noch von fehlerhaftem Programmcode getrieben da sich Berechtigungen nicht eindeutig darstellen lassen. So kann es dem Neuling auf der Station schnell passieren das er sich selbst aussperrt und alles resetten muss. Also als ein Einzelnutzer der DSM wird man wohl klarkommen. Wenn jemand tatsächlich mehreren Personen unterschiedliche Rechte und Anwendungen billigen möchte dann geht das selbstständige Einrichten ohne Hilfe wahrscheinlich nur über Monate. Mit der Installation weiteren Anwendungen werden ja auch zusätzliche Nutzer-Gruppen und Berechtigungen mit installiert. Es scheint auch gewollt, Anders kann ich mir die Nutzung dieser unverständliche Abkürzung > NA>RW>RO nicht erklären. Bevor das Geschrei hier losgeht und ich so richtig schön blöde aussehe. Ja man hätte es auch ausschreiben können. Ich kann mir jeden falls nicht vorstellen das es sich einem normalen Nutzer auf dem ersten Blick selbstverständlich erschliest was das bedeutet. Also scheint es gewollt

 

[metalworker]

So Kompliziert ist das eigentlich gar nicht.

Aber ein "normaler" Nutzer sollte auch nicht unbedingt ein NAS für eine Business Umgebung einrichten .
Da man da schon einiges beachten sollten.


Problem ist eher das sich Firmen gern mal einen IT Admin oder ein Systemhaus sparen und das an einen Mitarbeiter auslagern der das dann irgendwie wuppen soll.

 

[Quappe]

Danke für die Antwort, bin Neuling und hatte mir die Einrichtung für die private Nutzung , naiv ,etwas einfacher vorgestellt. Die Abkürzungen ziehen sich leider durch das gesamte Hilfe und Einrichtungssystem der NAS. Vielleicht macht es ja Sinn und es erschliest sich mir noch. Ich rate > NA (nicht vorhanden alles verboten)>RW (Schreiben und lesen erlaubt)>RO (nur Lesen erlaubt). Dabei stehen diese Rechte unterhalb der Anwendungsrechte und diese wiederum über den Gruppenrechten( Ordnerrechte) und diese über den Benutzerberechtigungen. So kann es jedem schnell passieren das mit einem klick der admin Ordnerrechte (Lese und Schreibberechtigung) verliert , obwohl er nur durch neue Gruppenberechtigung in seiner neuen zusätzlichen Gruppe Rechte gewinnen sollte, Auf diesem Weg ist es auch sehr einfach sich selber auszusperren und die NAS neu aufzusetzen. Die Rechtehirarchie ist daher nur ein Beispiel von unsinnigen Abkürzungen, Ich hoffe ich konnte es verständlich begründen.

 

[ottosykora]

Na ja, was heisst zum Bsp PC?
Ja, personal computer.

wenn wir in Technik leben, müssen wir uns zuerst mal etwas an die Sprache die in einem bestimmten Fachgebiet verwendet wird gewöhnen, sich versuchen einzulesen und dann kommt es mit der Zeit.
Dass in der IT vieles aus dem englischen kommt ist halt historisch bedingt.

Es ist halt nicht ganz vorgesehen dass jemand ohne gewisse IT Kenntnisse einen Server installiert und konfiguriert, auch wenn die Werbung es anders verspricht.

Nicht aufregen, sich langsam einlesen, Synology hat selber eine grosse Sammlung von Anleitungen, dann Wikipedia und sonstige Quellen. Es wird nicht Stunden oder Tage dauern, es wird Wochen und Monate dauern bis du ein wenig hinter all die Geheimnisse kommst


in deinem Beispiel: NA no access

 

[Quappe]

Lieben Dank NA-> no access. Da wo englisch gesprochen schlimmer programmiert wird, da kann nur Blödsinn rauskommen. Das Aussmaß umschreibt unstoppeable Wäschparfüm am besten. Da wundert es mich nicht das gelöschte Benutzer der NAS immer noch Berechtigungen besitzen. Fehlercode 1031 was ws bedeuted das der Gelöschte eine seiner Eigenschaften unstoppeable ins Leere vererbt hat. Auch wenn ich keine Ahnung habe, aber wenn es mir mit wenigen Klicks gelingt Rechte ohne Nutzer zu setzen dann schafft es jeder Andere auch.

 

[Quappe]

Lösung ->das Wirrwarr startet ab dem Moment wo Rechte der User beim Anlegen der NAS-Nutzer gesetzt werden. Daher empfiehlt es sich beim Aufsetzen der NAS generell mit dem Einpflegen der Benutzer (sind alles User außer man selbst zählt zu den admins) die Rechtevergabe zu überspringen. Also keinen einzigen Haken zu setzen . Sicherer für die Neulinge wie ich einer bin, wäre gar alle Haken bei jedem neuem Nutzer weck zunehmen (auch der Usergruppe und der http Gruppe). Den admin oder die admin gruppe sollte man dabei nicht verändern und sicherer ist wenn diese/r erst einmal alle Rechte behält. Warum erschließt sich dann erst nach der Eingabe mehrerer Nutzer. Erst wenn Diese eingepflegt sind geht es an deren Rechte. Dazu nutze man unbedingt die Gruppenzugehörigkeit. Man steht bei einer frischen NAS ja nun vor der Entscheidung in welcher der möglichen Gruppen der einzelne Nutzer soll. Ist die Entscheidung gefällt verzettelt man sich bei den Rechten nicht mehr so schnell. Dazu stehen nur 3 vom System vorgegebene Gruppen (admin, http und user) zur Auswahl. Hier kann es schon Sinn machen eine neue Gruppe anzulegen damit immer noch nirgends wo (http und user) ein Haken dazugesetzt ein Recht vergeben wird. Schickt man nun alle Nutzer ausser den die admin/s in diese neue Gruppe dann wird mit einem einzigen Haken das Gruppen-Recht (lesen und schreiben auf die festzulegenden Ordner) Fehlerfrei auf den Einzelnutzer durchgereicht. Eine arbeitsfähige Umgebung entsteht. Erst danach ist die Feinabstimmung der einzelnen Benutzerrechte sinnvoll.

 

[metalworker]

Hallo Quappe,

könntest du Versuchen in deinen Texten absätze rein zu machen ?
So nen Dicker Block aus Text liest sich immer recht schwierig.

Grundlegend ist es schon immer besser Rechte über Gruppen zu lösen und nicht direkt über die User.