Fragen zu Benutzer- und Ordnerkonstellation

[Meza100]

Hi zusammen,

ich bin dabei von einem alten Homeserver auuf eine DS220+ zu wechseln. Hier würde ich gerne die Benutzer-, sowie Ordnerstruktur überarbeiten. Hierbei würde ich auch das Backup-Konzept überholen.

Ist-Zustand:

Benutzer:​

- 2 Benutzer (meine Frau und ich) - gleiche Zugangsdaten wie von Windows​

Ordner:​

- Jeder hat einen eigenen Ordner für seine Dateien (hier kann aber jeder auf jeden Ordner zugreifen). Da wir mehrere Geräte Zuhause haben, haben wir auf den lokalen Rechnern nichts mehr gespeichert, sondern speichern die Dateien auf den Homeserver.​

- Ein gemeinsamer Ordner ist vorhanden, welcher für Dokumente genommen wird.​

- Multimedia (Fotos, Musik, Videos) innerhalb eines Ordners sortiert.​

- Geplant: Seperater Geschäftsordner​

​

Soll-Zustand:

Benutzer:​

- 2 Benutzer (meine Frau und ich) - gleiche Zugangsdaten wie von Windows​

- DS220+ wird als Netzlaufwerk eingebunden.​

- Frage: Wäre es sinnvoll, dass ich 3 Benutzer anlege? Meine Frau und ich erhalten jeweils einen "normalen" Benutzer. Dazu kommt noch ein getrennter Admin-Benutzer für die GUI. Würde das was, in Bezug zu Ransomware, was bringen?​

​

Ordner:​

- Eigener Ordner für beide Benutzer.​

- Gemeinsamer Ordner​

- Multimedia soll getrennt werden (Fotos, Musik, Videos)​

- Geplant: Seperater Geschäftsordner​

​

Hintergrund: Auf diese Struktur würde später dann das Backup auch stützen. Hier hätte ich zur DS220+ noch eine DS118 (fürs Backup), sowie 2x externe Festplatten übrig.
Gedacht wäre, dass die DS220+ und die DS118 jeweils eine eigene externe Festplatte bekommen.

Der "normale" Benutzer von der DS220+ kann z.B. nicht auf die externe Festplatte (von der DS220+) greifen. Das Netzlaufwerk wird somit auch nur mit dem normalen Benutzer eingebunden. Für das Backup würde ein separater Backup-Benutzer eingerichtet.

Die 2 "normalen" Benutzer werden auf der DS118 gar nicht erst eingerichtet. Dort wird nur der Admin-Benutzer (selbe Zugangsdaten wie von der DS220+) eingerichtet. Dort würde aber auch ein separater Benutzer fürs Backup (für die ext. Platte) eingerichtet.

Die DS220+ wird unten im Netzwerkschrank stehen. Die externe Platte wird immer angeschlossen sein. Die Backups (Dokumente) werden täglich gesichert. Die DS118 wird mit der externen Platte im Wohnzimmer sein. Dort wird die Sicherung 1x die Woche laufen.

Hättet ihr Ideen / Verbesserungsvorschläge, wie man dies besser gestalten kann?

Danke und Grüße

 

[the other]

Moinsen,
Ohne, dass ich dazu jetzt handfeste Belege liefern kann...
Vor malware schützt dein setting imho nicht. Ich sehe das so: heute kommen die meisten Angriffe von intern (mailanhang, laxe Einstellungen, alte Software, iot, User Fehlverhalten) , mit den modernen schadsoftware Varianten würde ich daher das gesamte Netzwerk nach kurzer befallszeit als kompromittiert bezeichnen. Also alles was miteinander vernetzt ist. Da die aktuelle schadsoftware oft diverse Module nachlädt, ist ggf auch das Passwort für den admin Account schnell unsicher.
Lösungsidee: bei all der neuen schadsoftware hilft nur ein gutes funktionierendes Backup, jm2c.
Nimm das 2.alte NAS als Backup. Die beiden externen hdds ebenfalls, aber im Wechsel für das größere NAS, also zb monatlich mal hdd1, dann 2, dann wieder 1...
Für täglich anzulegende Backups (oder noch kürzere Intervalle) eine dritte. Lass aber die hdds nicht dauerhaft dran, sonst sind diese auch gefährdet.
Das 2. NAS könnte man an den zweiten Netzwerk Port der 220plus hängen und in ein separates Netzwerk verfrachten und dann nur dem Backup Programm den Zugriff darauf erlauben, ist aber etwas Aufwand.
Insgesamt finde ich, hast du dir aber schon echt gute Gedanken gemacht.
Die angestrebte Ordner Struktur ist für die wenigen echten und virtuellen User auch ok, schlank und mit der Aufteilung der Medien Daten auch erstmal gut zu praktizieren, wenn du zb die synology eigenen Multimedia Pakete nutzen willst.

 

[Meza100]

@the other Vielen Dank für deine Antwort ;-) Dann würde ich das mit den Ordnern so umsetzen.
Bzgl. den Benutzern: Ich wusste gar nicht, dass das wohl nichts verhindert... Das beruhigt dann wohl nur mich, wenn ich das Auftrenne Aber wahrscheinlich mache ich das sogar.

Bzgl. dem Backup-Plan:
D.h. Die 220+ produktiv laufen lassen, die externe Festplatte angeschließen (für ca. 1 Woche), dann die externe Festplatte wechseln, usw.? Das sollte hoffentlich vom Platz auch reichen ^^ Wie ist das zum Einrichten? Das NAS merkt sicherlich, dass die Platte alte Daten und nicht die Neuen hat, wenn man diese wechselt. Geht das trotzdem?

Bzgl. dem 2. NAS: Wenn ich die im Wohnzimmer lasse und der Benutzer von der DS118 die Daten sich ziehen muss, dann wäre die ja von der DS220+ abgeschottet, sodass diese halbwegs sicher ist oder?

Edit: Bzgl. der Backup-Strategie mach ich lieber noch einen 2. Thread unter Backup-Strategien auf.

 

[the other]

Moinsen,
ich würde dir unbedingt raten, dass du diverse Nutzer anlegst, admin dann eben nur dafür. Aber ob dich das zu 100 Prozent schützt gegen moderne Malware....nunja, ist ja nicht so, dass diejenigen Firmen, die mit sowas zu kämpfen hatten ihre Systeme unisono schlecht konfiguriert hatten. Deshalb der Tip: gutes und funktionierendes backup getrennt vom Netzwerk aufbewahren, aus meiner Sicht die beste Lösung.

Lege dir eben zB für monatliche backups zwei Jobs an (gerade/ungerade), lass die externen hdds NICHT am NAS, wenn du dir um Kryptomalware Gedanken machst (die sind sonst nämlich ggf. auch futsch). WENN dein 2. NAS backups ZIEHEN kann, super. In ein separates Netzwerksegment damit, nur PULL, das sollte ebenfalls reichen.

 

[Meza100]

Hi,
je genau, so habe ich es mir gedacht ;-) Dass die Benutzerkonstellation nicht einen vor Ransomware schützt, war mir bekannt -sorry, hab mich nicht gut genug ausgedrückt ;-)

1. NAS:
Normale Benutzer greifen via Netzlaufwerk von Geräten aufs NAS.
Backup wird auf externe Festplatte gesichert.

2. NAS:
Extra Backup-Benutzer zieht die Dateien vom 1. NAS.

Dieses NAS wird dann auch woanders stehen ;-)