Toggle sidebar

Gruppe

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Denniis

Denniis

Benutzer
Registriert
17. Dez. 2016
Beiträge
42
Reaktionspunkte
0
Punkte
12
Guten Abend,

Ich würde gerne eine Gruppe erstellen. wie Admin nur das die Gruppe nicht alles haben sollen bis auf kleinichkeiten. z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?
wenn ja wie.

LG Dennis
 
Ich denke was Du suchst, ist das Thema ACL :)
 
Denniis schrieb:
... z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?
Zum Vergrößern anklicken....
Nein, das ist nicht möglich... und mit ACL hat das nichts zu tun, dabei handelt es sich lediglich um eine feingranularere, erweiterte Rechtevergabe für Dateien und Ordner. Die Benutzerverwaltungsrechte zur Erstellung eines Users ist der Administratoren-Gruppe vorbehalten und beinhalten auch das Recht, User löschen zu können.
 
Oh man... *Kopf->Tisch* völlig verlesen, danke Frogman... (ist schon spät *g*).... Frogman hat Recht, mit Boardmitteln für den normalen Laien nicht möglich.

Theoretisch möglich, aber nur mit viel Fummelei und extra Webinterface (oder Shell) zur Organisation des Verzeichnisdienstes/LDAP (Stichwort: OU) und diese OUs bietet Synology nicht an, sondern lediglich den Zugriff auf Benutzer und Gruppen, aber OUs wären für so eine feine Zugriffsregeln genau das richtige. Man "könnte" natürlich versuchen mit extra Webinterface oder Tool im Verzeichnisdienst rumzubasteln, ist aber eher ziemlich fragwürdig und eben auch ohne Garantie, da man auch nicht weiss, ob es mit untergeordneten OUs überhaupt funktionieren würde... Von daher... besser nicht basteln! Falls der Bedarf doch "zwingend" vorhanden sein sollte -> Fachmann kontaktieren, welcher sich auch mit der LDAP-Thematik auskennt!
 
blurrrr schrieb:
Oh man... *Kopf->Tisch* völlig verlesen, danke Frogman... (ist schon spät *g*)....
Zum Vergrößern anklicken....
Bei dir war es wohl richtig spät - Selbst mit dieser Theorie wohl kaum machbar;)

Wenn die DS über eine LDAP Verzeichnisdienst angebunden wird, wie von dir vorgeschlagen, werden die User und Gruppenobjekte aus einer OU importiert und entsprechend mit Rechten über das vorhandene DSM verwaltet und dann auch nur auf Freigaben, Quote, unterstütze Applikationen und Geschwindigkeitsbeschränkungen. Folglich macht es keinen Sinn einen LDAP Dienst hier mit einzubinden wenn die Rolle (Rechte) des Administrators weiterhin nur über eine bereist vorhandene DSM Gruppe gesteuert wird.

blurrrr schrieb:
und diese OUs bietet Synology nicht an, sondern lediglich den Zugriff auf Benutzer und Gruppen,
Zum Vergrößern anklicken....

Doch, das ist Synology's eigenes LDAP Paket: https://www.synology.com/de-de/dsm/app_packages/DirectoryServer
aber wie bereits gesagt ändert ein Verzeichnisdienst hier nichts an Gruppenrechten.

Bob
 
@bob: Ja klar,aber es ging doch darum, User mit administrativen Rechten auszustatten - dies würde doch nur innerhalb des Tools und via DSM stattfinden... Kurzum - an ein LDAP gekoppelt, das LDAP wird "extra" verwaltet (DSM-unabhängig) inkl. OUs usw. Dort kann man dann auch Usern Rechte auf Unter-OUs geben zum erstellen/verwalten von Usern - hat ja bis dahin erstmal rein garnichts mit dem DSM zu tun (ausser LDAP läuft darauf, oder eben extern). Das sollte soweit kein Problem darstellen. Das mit dem DirectoryServer ist mir schon durchaus klar... aber auch dort kannst Du entsprechende OUs und Berechtigungen einpflegen ... natürlich nicht via Syno-Webinterface (das meinte ich mit "nicht anbieten"), das ist schon klar... deswegen spreche ich ja auch davon, dass ein extra Tool/Webinterface genutzt wird, da im DSM diese Möglichkeit eben nicht implementiert ist - jedenfalls habe ich "nirgendwo" was von OUs gesehen.. nur LDAP-User und LDAP-Gruppen.

Was heisst hier Gruppenrechte - es wäre ja eher so, dass ggf. eine OU unter der Gruppe User erstellt wird (fraglich ist dann eben nur, ob die User unterhalb OU dann mitgenommen wird auf der Auflistung der User innerhalb des DSM!). Auf diese OU kannst Du doch einem User entsprechende Rechte geben (nach unten vererbt). Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht (sofern die User unterhalb der OU dann auch mitgenommen werden)? :)
 
blurrrr schrieb:
...Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht
Zum Vergrößern anklicken....
Genau eben jenes nicht. Ist wohl auch am Tag zu spät... denn der TE hat ja deutlich geschrieben, was er sich wünscht:
Denniis schrieb:
...wie Admin nur das die Gruppe nicht alles haben sollen bis auf kleinichkeiten. ...
Zum Vergrößern anklicken....

Und alles, was Du beschreibst, liefert Dir keinerlei administrative Rechte auf dem DSM, wie 4bob auch schon schrieb.
 
Ach Frogman... soll ich nun mit " z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?" gegenargumentieren? Das wäre doch genau das Beispiel gewesen... bei "anderen" Dingen muss man halt eben schauen mit den Berechtigungen und selbst da kannste noch viel via Shell lösen... Einigen wir uns wie folgt: Ich hab nix gesagt? :rolleyes: :p
 
Deine Freundlichkeit kennt wahrlich keine Grenzen... wunderbar! :o
 
blurrrr schrieb:
Kurzum - an ein LDAP gekoppelt, das LDAP wird "extra" verwaltet (DSM-unabhängig) inkl. Ous
Dort kann man dann auch Usern Rechte auf Unter-OUs geben zum erstellen/verwalten von Usern - hat ja bis dahin erstmal rein garnichts mit dem DSM zu tun (ausser LDAP läuft darauf, oder eben extern). Das sollte soweit kein Problem darstellen.
Zum Vergrößern anklicken....
Das steht hier auch nicht zur Diskussion. Ob du das auf der DS oder extern betreibst ist vollkommen gleich. Es wird in beiden Fällen über den LDAP-Client angebunden und das stellt neue User und Gruppen bereit.

blurrrr schrieb:
Was heisst hier Gruppenrechte - es wäre ja eher so, dass ggf. eine OU unter der Gruppe User erstellt wird (fraglich ist dann eben nur, ob die User unterhalb OU dann mitgenommen wird auf der Auflistung der User innerhalb des DSM!).
Zum Vergrößern anklicken....
Das geht - entscheidet die LDAP Konfiguration; genauer die Base DN, die kann recht weit vorne Anfangen dann erwischst du alles und jeden; nur Vorsicht bei sehr großen Datenbanken – das ist nicht empfehlenswert ;)

blurrrr schrieb:
Auf diese OU kannst Du doch einem User entsprechende Rechte geben (nach unten vererbt). Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht
Zum Vergrößern anklicken....
Das größte Problem was ich sehe das auch selbst wenn die LDAP Einschränkung erfolgreich wäre, der Zugriff auf die lokalen User und Gruppen weiterhin besteht!
Sowie LDAP nur eingeschränkt die lokalen User ersetzen kann, das hängt ganz von der Anwendung ab, wie gesagt es wird nicht überall unterstützt.

Bob
 
Mit diesen Informationen wird der TE ja erschlagen. :p
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten