Toggle sidebar

Gruppe User braucht welche Rechte ?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

S

Starfox

Benutzer
Registriert
16. Okt. 2019
Beiträge
29
Reaktionspunkte
4
Punkte
3
Hi zusammen,

ich hab nur ein Synology Heim NAS mit DSM 7.2.1 und brauche daher nur einen Benutzer und zwar den Administrator.

Also auch kein Webserver noch sonstwas. Es ist nur Plex installiert das wars eigentlich auch schon.

Den Benutzer Admin hab ich natürlich deaktiviert.

Mein Benutzer gehört der Gruppe Administratoren an und der Gruppe Users.

Jetzt ist es so das wenn ich für die Gruppe Users die Rechte für die erstellten Ordner komplett nehme auch mein Administrator nicht mehr zugreifen kann.

Warum ist das so ?

Eigentlich sollten ja die Rechte für die Gruppe Administrators gelten oder ?
 
Lass die Standartgruppen so wie sie sind. Auch die der User. Leg Dir lieber einen weiteren Nicht-Admin-User für Deinen normalen Zugriff an und nutze den Admin-User nur für die Einstellungen in der DSM.
 
  • Like
Reaktionen: dil88
Du solltest NIE die DS mit nur einem Benutzer fahren.

Sonst gehören alle Dateien diesem einen Benutzer - was jedes Berechtigungskonzept unsinnig macht. Berechtigungen sind das Rückgrat der Datensicherheit.

Der Admin sollte nur verwendet werden, um die DS zu administrieren.

Die Dateien sollten unter einem normalen Benutzer angelegt werden. Der Zugriff (speziell auch von anderen Rechnern) auf Dateien sollte nur über so einen Benutzer erfolgen, nicht durch einen User mit Admin- Rechten.

Ansonsten wie schon geschrieben wurde alle Systemuser und -Gruppen unverändert lassen, deaktivieren und eigene User und Benutzergruppen anlegen.
 
Zuletzt bearbeitet:
Ok dann mach ich das mal so.

Weiß jemand wie die Standardeinstellungen für die Gruppe Users sind ?

Oder kann man das irgendwo zurücksetzen ?
 
Eigentlich sollte dort gar keine Haken gesetzt sein. Also weder Zugriff noch kein Zugriff...
 
Ok dann wirds so gemacht. Bei Standard greift ja dann sowieso die untere Regel NA > RW > RO

Also wenn nichts angehackt ist

:Edit: Hab noch ne Sicherung vom DSM die nehme ich gerade da sind die Rechte wieder Standard
 
Zuletzt bearbeitet:
@Starfox: wenn deine Nutzer überschaubar sind (evtl. nur Familie), dann würde ich den Gast eh deaktivieren und die Zugriffe (egal, wie wenig) nur über das Rollen- und Rechtemanagement abwickeln.
 
  • Like
Reaktionen: dil88
Gast ist sowieso deaktiviert, genauso wie der Standard Admin User.

Ja eigentlich gibt es nur mich als Nutzer mehr nicht.
 
Vollständigkeitshalber, haben der PC-Nutzer und dein DS-Nutzer (nicht Admin-User) dieselben Anmeldedaten? Vereinfacht das ganze.
 
Ne das haben se nicht, das wäre mir ein zu hohes Sicherheitsrisiko.

Bei Windows kann man doch beim ersten Zugriff auf das NAS die Anmeldedaten eingeben wenn man per SMB z.b. drauf zugreift. Die müssen ja deswegen kein gleiches Passwort oder Benutzer haben.
 
Da hast Du mit Deinem einen Admin_User ein größeres Sicherheitsrisiko in Betrieb.
Wenn Du einen Virus, Trojaner einfängst, dann hat er über die gespeicherten Zugangsdaten (Windows Netzwerkanmeldepasswörter oder so ähnlich) administrativen Zugang zu Deiner DS. Damit könnten ganz einfach die NAS-Laufwerke verschlüsselt werden...
 
  • Like
Reaktionen: *kw* und Synchrotron
Dieser Beitrag hätte mehr als nur 1 Like verdient, wenn das ginge !

JEDER Admin-User gehört maximal abgesichert, das heißt inclusive 2FA. Außerdem nicht zum normalen Zugriff benutzen, und nie auf einem der zugreifenden Rechner speichern. Weder mit "Dieses Gerät merken" noch in den SMB- Freigaben (oder weiteren).

Der übliche Angriffsweg führt über einen PC auf die DS. Ist es ein Admin, dann sind die Bordmittel schon da, um alles zu verschlüsseln. Dazu benötigt der Angreifer nicht einmal mehr irgendwelche Malware, die er mitbringen müsste.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Thonav
Ja das stimmt, aber wenn ich nun einen extra Benutzer nur für die SMB Freigaben (ohne Administrative Rechte) hab der vom Windows Rechner darauf zugreifen kann und der Windows Rechner kompromitiert ist, könnte er ja auch die Daten mindestens löschen.

Zumindest wenn das Gerät vom Windows Rechner "gemerkt" wurde.
 
Dazu gibt es eine Papierkorb-Funktion, und die kannst du schützen (Löschen nach x Tagen), es gibt SnapShots (bei BTRFS), auch zeitlich begrenzt unveränderlich, und es gibt (hoffentlich) ein Backup.

Das heißt der normale Benutzer darf einiges, aber der Server sorgt dafür, dass sich Daten ggf. auch wieder zurückholen lassen. Der Admin kann vieles davon aber aushebeln.
 
  • Like
Reaktionen: dil88 und Starfox

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten