Nur-Lesen Zugriff Freigegebener Ordner für externen Benutzer

AdoGoldKante

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
31
Punkte für Reaktionen
1
Punkte
8
Sobald es um gewisse Einschränkungen bei den Zugriffrechten geht, wird es doch recht kompliziert auf der DiskStation....
Folgendes Setting mit DSM 7:

Ich möchte meiner Schwester einen reinen Lesezugriff auf den Video Ordner gewähren, den ich als Freigegebenen Ordner (DSM 6: Gemeinsamer Ordner ?) außerhalb des Home Verzeichnisses angelegt habe. Ich habe eine neue Gruppe Sauger ;) angelegt, die für den Ordner Videos Schreibschutz hat - früher hieß das nur Lesen, was m.E. zweckmäßiger klingt. Sie als neuen Benutzer habe ich auch dieser Gruppe zugeordnet. Gruppengehörigkeit User ist ja standardmäßig aktiviert, wie wir ja schon alle festgestellt haben. Zu meinem großen Erstaunen zeigte die Vorschau bei den Berechtigungen des Nutzers Schwester aber Lesen/Schreiben als Berechtigung. Tatsächlich konnte ich unter ihrem Benutzerzugriff auch Dateien löschen oder umbenennen. Wenn ich in diesen Nutzerberechtigungen, also im Reiter ihres Nutzerprofils, in benutzerdefiniert gegangen bin, waren aber auch nur Häkchen in der Rubrik Leseoptionen gesetzt (vom Typ "Zulassen").
Mir dämmert aber so langsam, wieso das so läuft. Bitte korrigiert mich, wenn ich falsch liege:

Gleich welchen Ursprungs, egal ob in Gruppen- oder Benutzerberechtigungseinstellungen gesetzt, gilt:


KEIN ZUGRIFF (NA) > Lesen & Schreiben (RW) > Schreibschutz (RO)

Will heißen: habe ich irgendwo ein dominanteres Attribut gesetzt, gilt das. Ich habe immer geglaubt, dass Gruppenmerkmale nur so eine Art Grundgerüst an Berechtigungen vorgeben, welche sich dann auf der Benutzerebene noch modifizieren lassen. Das war wohl falsch. :oops:

Das Erstellen der Gruppe Sauger bringt deshalb auch nichts, weil die dort gesetzten Attribute RO denen in der Gruppe User (RW) untergeordnet sind, s.o.
Als Benutzer mit Gruppenzugehörigkeit User brauchen ja meine Familie und ich hier auch volle Zugriffsrechte (das ist z.B. bei dem Freigegebenen Ordner Fotos noch einfacher nachzuvollziehen). Diese automatische Gruppenzugehörigkeit mit dem dort gesetzten Attribut wird alle anderen Attributzuordnungen ausstechen, bis auf NA.

Wie kann ich aber nun mein doch recht simples Szenario umsetzen?

  1. Berechtigungen der Gruppe User für diesen Ordner auf RO setzen?
  2. Auf Benutzerebene oder über eine zweite Gruppenzugehörigkeit (z.B. Poweruser) Berechtigungen auf RW augmentieren?
Hier sage ja immer alle, man solle an den Standardprofilen nicht rumfummeln. Ich wüsste aber nicht, wie ich das sonst umsetzen soll.
Was sagen die Profis hier?
 

NSFH

Benutzer
Mitglied seit
09. Nov 2016
Beiträge
3.610
Punkte für Reaktionen
330
Punkte
149
Ihr Benutzerprofil spielt keine Rolle.
Dort muss sie als User und Sauger zugehörig eingetragen sein. Fertig
Im freigegebenen Ordner musst dann die Gruppe Sauger anpassen auf nur Lesen. Thats it.
 

stefan_lx

Benutzer
Mitglied seit
09. Okt 2009
Beiträge
2.743
Punkte für Reaktionen
66
Punkte
88
wenn ich das richtig verstehe, ist auf den Ordner Video die Benutzer-Gruppe "Users" mit RW berechtigt und da ist die Schwester auch drin.
Also Users nicht berechtigen, und auch nirgends benutzen.
Eine Gruppe Poweruser machen, die bei der Freigabe RW bekommt und die zweite Gruppe "Sauger" bekommt nur Lesen, wie es @NSFH schon geschrieben hat...

Stefan
 

AdoGoldKante

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
31
Punkte für Reaktionen
1
Punkte
8
Es haut aber leider nicht hin. Bin irritiert.

  1. PowerUser mit höherem Zugriffsrecht RW für die häusliche Familiengruppe mit Mitgliedschaft in beiden Gruppen klappt wie erwartet beim Zugriff.
  2. Benutzerprofil ist NICHT egal: wenn ich bei meiner Schwester im Benutzerprofil den Video Ordner auf NA setze, hat sie KEINEN Zugriff. Eben ausprobiert.
  3. In der Default User Group habe ich die Berechtigung auf RO gesetzt und in Sauger auf RO. Sie ist in beiden Mitglied. Es macht überhaupt keinen Unterschied, ob ich dann auf Ordnerebene den Zugriff durch diese Default User Group rausnehme oder nicht. Sie kann auf jeden Fall lesend darauf zugreifen. Darüber hinaus aber, und obwohl die Vorschau der Zugriffberechtigungen für diesen Ordner auf RO stehen: AUCH löschen, umbenennen usw. Das kann doch nicht möglich sein !
 

synfor

Benutzer
Mitglied seit
22. Dez 2017
Beiträge
4.909
Punkte für Reaktionen
522
Punkte
188
2. War doch zu erwarten. Ein Verbot sticht alles andere aus.
3. Lass die Finger von der Gruppe users. Wie du selbst feststellen konntest, genügt es die Rechte über die Gruppe sauger zu vergeben. Die Rechte, die der User noch zuviel hat, kommen da wohl aus einer anderen Gruppe. Checke ab, in welchen Gruppen der User Mitglied ist und welche Rechte über diese Gruppen gewährt werden.
 

AdoGoldKante

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
31
Punkte für Reaktionen
1
Punkte
8
[...] Die Rechte, die der User noch zuviel hat, kommen da wohl aus einer anderen Gruppe. Checke ab, in welchen Gruppen der User Mitglied ist und welche Rechte über diese Gruppen gewährt werden.
Mitglied in Gruppen Users und Sauger.
Im Nutzerprofil, Reiter Berechtigungen für Ordner Video: Vorschau: Schreibgeschützt, Gruppenberechtigung: schreibgeschützt.
 

synfor

Benutzer
Mitglied seit
22. Dez 2017
Beiträge
4.909
Punkte für Reaktionen
522
Punkte
188
Im Nutzerprofil, Reiter Berechtigungen für Ordner Video: Vorschau: Schreibgeschützt, Gruppenberechtigung: schreibgeschützt.
In wessen Benutzerprofil? Ansonsten sieht das doch gut aus (auch im Screenshot im nächsten Beitrag, der nicht unbedingt nötig gewesen wäre. Hint: Beiträge lassen sich eine gewisse Zeit bearbeiten.)
 

stefan_lx

Benutzer
Mitglied seit
09. Okt 2009
Beiträge
2.743
Punkte für Reaktionen
66
Punkte
88
du bist aber in den Berechtigungen auf Datei-und Ordnerebene, also in der Filestation und hast dort Berechtigungen gesetzt...

Du brauchst aber nur in der Systemsteuerung bei den Freigegebenen Ordner die Gruppen einzutragen... und wer dort nicht über eine Gruppe oder direkt berechtigt ist, sieht die Ordner in der Filestation auch gar nicht...

Stefan

Edit: Und bei der Gruppe Users die Berechtigungen mit RO wieder rausnehmen
 
Zuletzt bearbeitet:

synfor

Benutzer
Mitglied seit
22. Dez 2017
Beiträge
4.909
Punkte für Reaktionen
522
Punkte
188
Außerdem scheint mir, dass da dem User der Zugriff auf den Ordner video im eigenem /home eingeschränkt werden soll.
 

AdoGoldKante

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
31
Punkte für Reaktionen
1
Punkte
8
du bist aber in den Berechtigungen auf Datei-und Ordnerebene, also in der Filestation und hast dort Berechtigungen gesetzt...

Du brauchst aber nur in der Systemsteuerung bei den Freigegebenen Ordner die Gruppen einzutragen... und wer dort nicht über eine Gruppe oder direkt berechtigt ist, sieht die Ordner in der Filestation auch gar nicht...

Stefan

Edit: Und bei der Gruppe Users die Berechtigungen mit RO wieder rausnehmen
Letzte Änderungen der Berechtigungen habe ich über Systemsteuerung-Freigegebene Ordner vorgenommen. Wobei das egal ist: wenn ich dort für Gruppe Users den Zugriff ändere, dann ändert sich die Einstellung auch wie als wenn ich über die Benutzer-/Gruppeneinstellungen gehe.

Klar: NA killt alle anderen Einstellungen, dann verschwindet bei dem Benutzer/Gruppe auch der entsprechende Ordner aus dem Verzeichnisbaum in der FileStation.
Und nein: es handelt sich NICHT um einen Ordner innerhalb des home-Verzeichnisses.

Die Berechtigungsprüfung sagt, es würden nur Leserechte bestehen. Fakt ist aber, dass Schreibrechte vorhanden sind. Verrückt.
 

stefan_lx

Benutzer
Mitglied seit
09. Okt 2009
Beiträge
2.743
Punkte für Reaktionen
66
Punkte
88
Systemsteuerung -> Freigegebene Ordner und Benutzer-/Gruppenberechtigungen sind das Gleiche, aber die meinte ich nicht... ich meinte die Berechtigungen über die Filestation, hast Du dort die Dateiberechtigungen wieder rausgemacht? (der Screenshot aus #7)

ich hab das noch mal extra mit DSM7 ausprobiert (nicht dass da was anders ist..)
  1. eine Gruppe erstellt und meinen Test-Benutzer dort reinverfachtet.
  2. neuen "Freigegebenen Ordner" angelegt und dieser Gruppe dort die Berechtigung Lesen gegeben => Benutzer kann dort nur lesen, sonst nichts.
  3. An der Gruppe "Users" ist nichs angepaßt und sie hat auf keinen Ordner Zugriff, d.h. erst wenn der Benutzer in der Gruppe Sauger ist, kann er den neuen Ordner überhaupt sehen
Ich würde an Deiner Stelle den Ordner noch mal neu erstellen...

Stefan
 

AdoGoldKante

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
31
Punkte für Reaktionen
1
Punkte
8
Danke Stefan, jetzt der Hammer:

Ich bin Deinem Vorschlag gefolgt, habe einen neuen Gemeinsamen Ordner Test erstellt. Dabei wird man ja schon nach den zu vergebenden Zugriffsrechten gefragt. Gruppe Sauger bekamen RO.
Login mit dem Schwesterkonto, konnte auch Testdatei im Test-Ordner sehen. Wieder im Kontextmenü Löschen ausgewählt und es kam wieder die Sicherheitsabfrage, ob ich das wirklich wolle. Nun, die Testdatei will ich da ja gar nicht mehr haben, also habe ich ja angeklickt. Da sagt mit die FileStation, dass dafür die Berechtigungen fehlten!!! :eek:
Ich habe flugs das gleiche beim Video Ordner probiert: das gleiche Resultat!! ??
Hätte ich nicht schon ein paar Trostbierchen getrunken, ich würde vor Scham im Erdboden versinken....

Tut mir leid, dass ich hier so einige heute Nachmittag auf Trab gehalten habe, aber da die Befehle nicht wie sonst ausgegraut waren und sogar die Sicherheitsabfrage beim Löschen kam, hätte ich nicht damit gerechnet, dass das Rechtemanagement so spät greift!

Im übrigen habe ich in den Dateiberechtigungen in der FileStation nichts geändert. Der Screenshot zeigte den Ist-Zustand an.

Trotzdem vielen Dank an alle Beteiligten ?, vielleicht hilft es dem einen oder anderen hier weiter. Man sieht es an der Vielzahl der Threads hier, dass das Thema nicht trivial ist.

Schönen Start in die Woche !!
 
  • Haha
Reaktionen: the other

Kurt-oe1kyw

Benutzer
Mitglied seit
10. Mai 2015
Beiträge
6.854
Punkte für Reaktionen
534
Punkte
234
Wenn ich meine Schwester in die Gruppe "Sauger" verschieben würde, dürfte ich mich sicherlich bis zum nächsten Millennium nicht mehr bei ihr Blicken lassen.... ??:geek:
 
  • Haha
Reaktionen: the other
NAS-Central - Ihr Partner für NAS Lösungen