DSM 6.x und darunter DSM legt selbständig nicht editierbare Gruppe "Everyone" mit Leserechten an.

[jmxcort]

In fast allen Freigaben habe ich beim Prüfen einiger Berechtigungen die Gruppe "Everyone" entdeckt. Diese ist ausgeraut und weder lösch- noch editierbar.
Was sagt mir diese Gruppe und wie entferne ich diese aus allen Verzeichnissen?

Testweise habe ich versucht die Gruppe "Everyone" selbst einmal anzulegen. Dann teilt DSM mir mit, die Gruppe sei für das System reserviert und ich solle einen anderen Namen verwenden. Tatsächlich möchte ich nicht, dass "Everyone" Zugriff auf meinen Server nimmt...

 

[Benares]

Mmh, die Grautastung deutet darauf hin, dass die Rechte von der Ebene darüber vererbt worden sind.
Wo liegt dieser Ordner "bck"? Direkt unter /volume1?
Schau mal über die Konsole (ssh), was "ls -als /" bei den Rechten von /volume1 zeigt. Normalerweise sollte da "drwxr-xr-x" (ohne + dahinter) stehen.

 

[jmxcort]

Als Administrator auf SSH eingeloggt:
/bck liegt direkt unter volume2
/volume2/bck hat die Rechte drwxrwxrwx+
/volume2 hat die Rechte drwxr-xr-x

Ich sehe keinen Nutzen in der Gruppe und finde auch keine Doku dazu...

 

[Benares]

Ich habe bei mir auch grad einen Ordner mit sowas gefunden: /volume1/backup
Ich rätsle auch noch, wo das herkommt und welches Flag da die Grautastung bewirkt. Die Rechte von /volume1 sind auch ohne +, also ohne ACLs. backup hat auch drwxrwxrwx+ und gehört root:root.

root@DS415:/volume1# synoacltool -get backup
ACL version: 1
Archive: is_inherit,has_ACL,is_support_ACL
Owner: [root(user)]
---------------------
         [0] user:hpclj2:deny:rwxpdDaARWcCo:fd-- (level:0)
         [1] system::allow:rwxp--aARWc--:fd-- (level:0)
         [2] everyone::allow:r-x---a-R-c--:---n (level:0)
         [3] user:admin:allow:rwxp-DaARWc--:---n (level:0)
         [4] group:boxusers:allow:r-x---a-R-c--:fd-- (level:0)
         [5] group:boxadmins:allow:rwxpdDaARWc--:fd-- (level:0)
         [6] group:administrators:allow:rwxpdDaARWc--:fd-- (level:0)
         [7] user:root:allow:rwxp-DaARWc--:fd-- (level:1)
         [8] group:root:allow:r-x---a-R-c--:fd-- (level:1)
         [9] everyone::allow:r-x---a-R-c--:fd-- (level:1)

 

[jmxcort]

Wie schön. Ich bin nicht der Einzige mit Leserechten für everyone

syno-admin@srv:/volume2$ synoacltool -get bck
ACL version: 1
Archive: is_inherit,has_ACL,is_support_ACL
Owner: [root(user)]
---------------------
[...]
[25] user:root:allow:rwxp-DaARWc--:fd-- (level:1)
[26] group:root:allow:r-x---a-R-c--:fd-- (level:1)
[27] everyone::allow:r-x---a-R-c--:fd-- (level:1)

Level 1 bedeutet wohl, dass es eine erfahrenere Gruppe ist.

Ich kontakte mal den Support von Syno.

 

[Benares]

So, ich habe die Berechtigungen jetzt wegbekommen, und zwar mit Windows:

1. Im Explorer auf \\DS gehen, Rechtsklick auf den Gemeinsamen Ordner, Eigenschaften, Sicherheit
2. dann Erweitert, Button "Vererbung deaktivieren"
3. Es wird gefragt, ob man die zuvor geerbten Rechte als lokale Rechte übernehmen will oder man sie löschen will. Ich hab löschen gewählt.

Jetzt sind die 3 Einträge weg.

Ich habe keine Ahnung, wie das zustande kam und wie man das hätte im DSM lösen können.

Edit:
Ich bin jetzt auch mal alle anderen Gemeinsamen Ordner durchgegangen, überall sonst ist Vererbung aus. Auch mein Backup-Ordner hat nun die Linux-Rechte d---------+, also reinrassig ACLs. Ich vermute, dass "Vererbung" in einem solchen Fall bedeutet, dass auch die Linux-Rechte (rwx) des übergeordneten Ordners als ACLs übernommen werden.

 

[jmxcort]

Alexander F. (Synology, Technischer Support):
Die Gruppe "Everyone" bezieht sich wie der Name schon sagt auf alle Benutzer, jeder Benutzer ist dort Mitglied.
Sobald Sie ein Verbotsrecht für einen Benutzer setzen, übersteuert dieses Verbotsrecht den Erlauben-Eintrag für Everyone.
Das ist lediglich der Default

Ich;
Wie unterscheidet dieser sich von der Gruppe "users" - ich dachte das wäre die Allgemeine Gruppe.

Alexander F:
Diese sind identisch, der Name everyone ist zur Kompatibilität mit bestimmten Diensten.

 

[jmxcort]

So, ich habe die Berechtigungen jetzt wegbekommen, und zwar mit Windows:

1. Im Explorer auf \\DS gehen, Rechtsklick auf den Gemeinsamen Ordner, Eigenschaften, Sicherheit
2. dann Erweitert, Button "Vererbung deaktivieren"
3. Es wird gefragt, ob man die zuvor geerbten Rechte als lokale Rechte übernehmen will oder man sie löschen will. Ich hab löschen gewählt.

Jetzt sind die 3 Einträge weg.

Ich habe keine Ahnung, wie das zustande kam und wie man das hätte im DSM lösen können.

Der Support dazu:

Alexander F.
"Damit könnte es sein, dass Sie nun mit manchen Diensten Probleme haben, ich hätte Ihnen von diesem Schritt abgeraten. Verbotsrechte übersteuern in DSM stets Erlaubnisrechte und es kann sein, dass die Everyone-Einträge von bestimmten Diensten benötigt werden."
---
Ich habe die Rechte bei mir über Windows nun auch entfernt. Sicher ist sicher
Jetzt werden auch nur noch die über DSM genehmigten User gelistet.
---
Fortsetzung Support:
Ich: Die DSM-Rechte scheinen aber grundsätzlich erhalten geblieben zu sein. Es scheint hier Unterschiede zwischen DSM-Rechten und Windows-Rechten zu geben, oder?

Alexander F.
Eigentlich nicht, beide Systeme nutzen ACL-Rechte

Ich
Manche Rechte sind im synoacltool als "level 1" gekennzeichnet. Diese scheinen nicht über DSM editierbar zu sein, sondern nur über Windows.

Alexander F.
Bitte verwenden Sie ausschließlich die in der Oberfläche angebotenen Tools, nicht die Entwicklertools auf der Kommandozeile, vielen Dank

 

[MADhase]

So, ich habe die Berechtigungen jetzt wegbekommen, und zwar mit Windows:

1. Im Explorer auf \\DS gehen, Rechtsklick auf den Gemeinsamen Ordner, Eigenschaften, Sicherheit
2. dann Erweitert, Button "Vererbung deaktivieren"
3. Es wird gefragt, ob man die zuvor geerbten Rechte als lokale Rechte übernehmen will oder man sie löschen will. Ich hab löschen gewählt.

Jetzt sind die 3 Einträge weg.

Ich habe keine Ahnung, wie das zustande kam und wie man das hätte im DSM lösen können.

Edit:
Ich bin jetzt auch mal alle anderen Gemeinsamen Ordner durchgegangen, überall sonst ist Vererbung aus. Auch mein Backup-Ordner hat nun die Linux-Rechte d---------+, also reinrassig ACLs. Ich vermute, dass "Vererbung" in einem solchen Fall bedeutet, dass auch die Linux-Rechte (rwx) des übergeordneten Ordners als ACLs übernommen werden.

Würde ich gern machen, aber bei mir kommt dann "Zugriff verweigert".