Toggle sidebar

[OFFEN] User in mehreren Berechtigungsgruppen

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
B

bleifrei02

Benutzer
Registriert
24. Sep. 2018
Beiträge
2
Reaktionspunkte
0
Punkte
0
Hallo zusammen,

leider konnte ich mir die Antwort nicht ersuchen, weswegen ich mich gezwungen fühlte, hier einen neuen Thread zu öffnen.

Meine Frage:
Wenn ich einen User anlege, welcher in 3 Gruppen ist und alle 3 Gruppen haben verschiedene Berechtigungen, welche Gruppe gewinnt dann? Gewinnt überhaupt eine? Welche Menge an Berechtigungen hat der User dann?

Zum Verständnis habe ich ein Bild angehängt.
SynologieForum1.jpg

Besten Dank für Eure Hilfe

Gruß
bleifrei02
 
Ein Verbot ist höherwertiger als eine Erlaubnis.

Wenn Gruppe 1 ein Verzeichnis RW hat müsste dort gelesen und geschrieben werden können.
Wenn Gruppe 2 nur R hat, dann greift ausschliesslich das Recht lesen.
Wenn Gruppe 3 ein verbot auf Zugriff hat, bekommt der User nix zu sehen.
 
Hallo AndiHeitzer,

besten Dank für die Schnelle Rückmeldung.

In unserem konkreten Fall haben wir folgende Situation: Ein User ist in einer Gruppe "Admin", in einer Gruppe "Vorstand" und in einer Gruppe "Mitglied". Die Gruppe Mitglied hat dementsprechend weniger Berechtigungen, als Vorstand oder Admin. Heißt also, er hat maximal Mitglied-Rechte und keine Vorstand und keine Admin - korrekt?

Ich müsste also den User der Admin ist, nur in Admin lassen und nichts anderes - korrekt?

Vielen Dank und Gruß
 
AndiHeitzer schrieb:
Wenn Gruppe 2 nur R hat, dann greift ausschliesslich das Recht lesen.
Zum Vergrößern anklicken....
Bist du dir da sicher? Die Rechte müssten sich IMHO addieren. Bei gleichem Verzeichnis wäre es also immernoch "RW" durch Gruppe 1.

Daumenregel: Wer mit Verboten arbeiten muss, hat etwas falsch gemacht. Denn dann muss er Rechte zurücknehmen die anderswo gewährt wurden ...

MfG Matthieu
 
Grundregel:
Bei Windows ist alles erlaubt was nicht verboten wird.
Bei Linux ist alles verboten was nicht erlaubt ist.
Da wir hier mit Linux arbeiten ist normalerweise das Verbot höherwertiger als die Erlaubnis. Ich kenne kein Linux wo das anders ist.

Das sollte aber kein Problem sein, ausser man hat ohne zu Überlegen eine Verzeichnisstruktur angelegt, wo Rechte wild durcheinander laufen müssen, weil die Daten unvorteilhaft abgelegt wurden.
Ich würde eine neue Ordnerstruktur anlegen, welche die Daten in verschiedenen Freigaben einsortiert, nicht eine Freigabe mit vielen Unterordnern..
So kann jede Gruppe erst mal auf ihre eigensten Daten zugreifen.
Dann fügt man einer Freigabe die Gruppe hinzu, welche zusätzlich auf bestimmte Daten zugreifen soll. Den Rest realisiert man innerhalb der einzelnen Freigaben über die ACL sofern erforderlich.

Grundsätzlich niemals mit Einzelpersonen (Namen) arbeiten sondern nur mit Gruppen, denen man Rechte zuweist. So muss man nie etwas ändern, wenn sich die Familiennamen ändern.
 
Bis jetzt hat der Threadstarter noch nichts über "Verbote" in den jeweiligen Gruppen geschrieben und auch nicht, wie seine Datenverzeichnisstruktur ist. IMHO stimme ich Matthieu zu: Ohne Verbote addieren sich die Rechte; die Aussage im Schaubild User 1 = A, B und C stimmt.
 
Das ändert nichts daran, dass die Datenstruktur passen muss. Ist diese vernünftig geplant erübrigen sich meist Anpassungen der ACL.
"Verbote" entstehen dann, wenn die Gruppenstruktur und die Datenstruktur nicht zusammen passen. Die Daten ausserhalb der Schnittmengen führen dann eben zu notwendigen Anpassungen in den ACL. Da wird aber nichts verboten im wörtlichen Sinne sondern es werden Rechte gewährt oder entzogen. Vielleicht sollte man sich mal auf eine einheitliche Terminologie einigen.
 
NSFH schrieb:
Vielleicht sollte man sich mal auf eine einheitliche Terminologie einigen.
Zum Vergrößern anklicken....
Verbieten = Entziehen = "Kein Zugriff" (letzteres stammt direkt aus dem DSM!)
Kurzes Experiment im DSM: Lege eine Gruppe samt Benutzer an und setze keinen Haken. Dann sollte in der Vorschau überall stehen "Kein Zugriff". Auch wenn Windows IMHO keine "Vorschau" hat, ist das Ergebnis identisch: Kein Zugriff weil nichts die Rechte gewährt. Ansonsten wären 90% der Netzlaufwerke in einem Unternehmen offen wie ein Scheunentor, weil ich jeden neuen User den Zugriff verweigern müsste ...

Dass man Daten nicht sinnlos durcheinander würfeln sollte, sondern in sinnvolle Ablagen/Ordner unterteilt, halte ich für selbstverständlich. Wenn ich auf einer Ebene etwas gewähre um dann tiefer drin wieder mit Verboten zu hantieren, habe ich ohnehin ganz andere Probleme.

MfG Matthieu
 
Wenn ich mir die nachfolgenden Beiträge so ansehe, wäre es wohl sinnvoller gewesen, wenn ich mich etwas ordentlicher ausgerückt hätte. :o

In meiner obigen Schreibe wollte ich im Endziel nur darstellen, dass die Restriktivste Einstellung einer Gruppe greift. Ein Verbot (Kein Zugriff) überschreibt also eine Erlaubnis.

Es ist nur unglücklich von Matthieu um 16:11 aufgefasst worden, ich ginge pauschal davon aus, dass erstmal alles erlaubt sei.

Dies habe ich aber nur anhand einer Gruppe angenommen, die auf einen Share RW erlaubt. Ist der selbe User noch in einer Gruppe, die 'Kein Zugriff' regelt, dann gewinnt diese Verbots-Regel.

Ich hoffe, das es nun nicht so missverständlich ist? :rolleyes:
 
Wenn Nutzer A in Gruppe 1 Schreibrechte hat und in Gruppe 2 Leserechte und beide Gruppen kommen irgendwo in einem Share zusammen verliert das Schreibrecht.

Also mischt man keine Gruppenzugehörigkeit sondern teilt seine Shares so auf, dass derartige Überschneidungen möglichst verhindert werden. Ist es doch erforderlich muss man das in der Ordnerstruktur mit Einschränkungen in der ACL umsetzen.

@Mathieu: Da wir von Servern reden rede ich bei Windows vom AD und da ist immer erst mal alles auf erlaubt, im Gegensatz zu Linux.
 
Ein Beispiel wäre da jetzt wirklich hilfreich, denn ich kann das so nicht nachvollziehen.

MfG Matthieu
 
Ist ja wie auf der Börse hier.
NFSH hat einfach unrecht und dann ist das Ding durch hier.
Natürlich hat ein Nutzer RW, wenn eine Gruppe R und die andere W hat.
Welche andere Logik ergibt sich denn auch woraus?
 
Warum taucht die Thematik eigentlich immer wieder auf? :rolleyes:

1) Bei mehreren Rechten greift immer das höchste Recht (r+rw = rw)
2) Rechte sind kumulativ (mit Bedacht an die Freigabe- und Dateisystemrechte!)
3) Ein explizites Verbot ist immer höherwertiger als eine Erlaubnis

Ende der Durchsage! :p

EDIT: Ich muss NSFH aber in einer Sache definitiv zustimmen: Wenn möglich, vermeidet man diese wüsten Berechtigungsstrukturen, sowas zeugt einfach nur von schlechtem Design. Lässt sich zwar nicht immer vermeiden, aber im besten Fall kommt es garnicht soweit :)
 
FrAntje schrieb:
Ist ja wie auf der Börse hier.
NFSH hat einfach unrecht und dann ist das Ding durch hier.
Natürlich hat ein Nutzer RW, wenn eine Gruppe R und die andere W hat.
Welche andere Logik ergibt sich denn auch woraus?
Zum Vergrößern anklicken....
Ich habe meine Aussage gerade noch mal auf einem Linux Server unter Ubuntu ausprobiert. Stimmt tatsächlich, die Rechte werden addiert, mit einem aber. Es geht tatsächlich nicht, wenn die Zugriffsrechte unter Samba für ein Verzeichnis anders definiert sind. Dann kommt es im Überschneidungsfall zu der Situation, dass das höherwertige Recht verloren geht. Vielleicht in der Syno gleichzusetzen mit dem Haken bei verboten.
 
Bevor wir den Faden vollständig kapern und ggf. den neuen Forennutzer abschrecken ;)

bleifrei02 schrieb:
In unserem konkreten Fall haben wir folgende Situation: Ein User ist in einer Gruppe "Admin", in einer Gruppe "Vorstand" und in einer Gruppe "Mitglied". Die Gruppe Mitglied hat dementsprechend weniger Berechtigungen, als Vorstand oder Admin. Heißt also, er hat maximal Mitglied-Rechte und keine Vorstand und keine Admin - korrekt?
Zum Vergrößern anklicken....
Jein. Solange in keiner Gruppe Verbote enthalten sind, hat er die Rechte aller 3 Gruppen.

bleifrei02 schrieb:
Ich müsste also den User der Admin ist, nur in Admin lassen und nichts anderes - korrekt?
Zum Vergrößern anklicken....
Das hängt davon ab, was Du erreichen willst.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten