Toggle sidebar

Photo Station Photo Station 6 , Bildvorschau und Adminrecht

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

G

gucklemuck

Benutzer
Registriert
13. Juni 2009
Beiträge
9
Reaktionspunkte
2
Punkte
1
Hallo,

Kurze Vorgeschichte. Ich habe eine alte DS111j hervorgeholt, die seit etwa 2014 bei mir in der Schublade verstaubt, mit dem Hintergedanken Sie als Photo-Backup und/oder Cloud für die Smartphones meiner Familie einzusetzen. Nach einer UPDATE-Odyssey von DSM 3.0 zu DSM 6.2.4-25556 Update 8, musste ich dann feststellen, dass die NAS nicht die neueste App (Synology Photos) unterstützt und auch kann Update mehr auf DSM 7 bekommt. Zudem wird die alte App (DS Photo) nicht mehr beim Android 16 angeboten. Ein Teufelskreis.
Nach einigen Versuchen mit älteren Smartphones, die ich ebenfalls aus der Schublade gezogen habe, funktioniert eine Photo-Backup zufriedenstellend.
Wobei ich mich für eine Neuanschaffung (DS225+) entscheiden würde, wenn ich nicht auf folgendes Problem gestoßen wäre:

Ich sehe als Admin sehe die Photos der User.
Ja. Wie ich im Forum gelesen habe, war es schon einige Male das Thema. Aber älteren Datums.

Meine Frage: Ist es bei Synology Photos bzw DSM 7.3 möglich, dass der User die Vorschau dem Admin verweigert?
oder: Das der User dem Admin die Einsicht ins Album erlauben muss?

Ich bin in dem Fall der Admin und meine Tochter (20 Jahre alt) der User.
Und Sie ist nicht gewillt, dass ich ohne Ihre Berechtigung Ihre Photos sehe.
Zumal es auch Fragewürdig ist, wenn ich ein Album als "Privat" anlege und der Admin es trotzdem sieht.

Dann kann ich mir den Kauf einer DS225+ sparen !!!

MfG gucklemuck
 
  • Like
Reaktionen: stevenfreiburg
Nein, der Admin kann immer alles. Zur Not kann er sich den Zugriff einfach selbst verschaffen
 
  • Like
Reaktionen: Kachelkaiser
Bei Photo Station kommt zuerst die Frage:
admin von DSM oder admin von Photo Station?

Werden hier DSM Rechte angewendet oder Photo Station Rechte ?

Dann:
Ein Admin kann immer alles, und selbsr wenn es gelingt ihm Rechte wegzunehmen, kann er sich diese jederzeit zurück nehmen.
Ein Administrator ist eine Vertrauensposition, da müssen die User eben Vertrauen haben.

Und einen admin accout wird nur für administrieren verwendet, sonst normaler user.
 
  • Like
Reaktionen: geimist, anmi4345 und Kachelkaiser
Und wenn er die Fotos nicht innerhalb der Foto App sieht dann spätestens auf Dateiebene.

Ist ja beim Cloudspeicher auch so, nur dass du da den Admin nicht persönlich kennst .;)
 
  • Like
Reaktionen: geimist und ottosykora
Danke für die schnellen Antworten.

In allen Beziehungen sage ich: Ja, das ist richtig. Da habt Ihr Recht.

Mich stört dies alles ein Wenig. Wer schütz den Admin und sein Adminrecht?
Für eine Album oder einen Ordner der als "Privat" bezeichnet wird sollte halt Niemandem einen direkte Zugang gewährt werden. Auch dem Admin. Gibt es da keinen Widerspruch mit dem EU-Datenschutzgesetz?
Ein Admin der nur ein Firmennetzwerk verwaltet, da gibt es keine privaten Daten. Innerhalb des Netzwerkes sind alle Daten der Firma.
Wie verhält sich dies gegenüber einem Netzwerk privater Natur oder das eines öffentlichen Vereines? Schwierig.

Ich glaube da sollte Synology nacharbeiten.
Achtung Verbesserungsvorschlag.

Es wäre wohl einfach, dass der User bei einem "Privaten" Album oder Ordner das Privileg hätte, einen Haken zu setzen "Privatsphäre". Somit ist erstmal die direkte Einsicht für den Admin blockiert. Der allerdings im Ordner den Haken selbst wieder ausschalten könnte, wobei die Sichtbarkeit der Elemente wieder hergestellt wäre. Gleichzeitig wird der User über die Einsicht informiert (email). Nach verlassen des Ordners vom Admin wird die Privatsphäre wieder hergestellt.

So ähnlich habe ich schon vor über 30 Jahren im Bereich Sicherheitstechnik gearbeitet.
"He Kunde. Ändere mal dein Passwort, bevor an deine Anlage gehe."

Schwieriges Thema.
 
Ich denke du hast die Funktion eines Administrators völlig missverstanden.
Hier gibt es nichts, absolut nichts, was Synology verbessern kann.

Es ist egal in welchem Netz oder Speicher Daten abgelegt werden. Alle Netzwerke haben jemanden, der diese auch verwaltet, für mehrfaches Backup sorgt etc. Das ist nun mal so, da hilft kein Datenschutzgesetz etc.

Du kannst deine Daten in irgendeinen kommerziellen Speicher ablegen, dort gibt auch Administrator, also gleich mehrere weil die in Schichten arbeiten, und wenn die wollen, können sie Daten sehen.

Entweder lässt du dein Netzwerk von jemandem von extern verwalten oder alle User verschlüsseln ihre Daten bevor sie diese in einen Netzwerk Speicher ablegen.

Dann kann man die Bilder aber nicht mehr mit so einer einfachen Galerie App anschauen.

Wahrscheinlich versendet ihr zu hause noch Bilder via WA , diese landen auch für die Admins erreichbar in Speichern. Auf der Erde, nicht auf Jupiter
 
Alle Leute sichern ihre Daten in der Klaut(Cloud) oder persönliche Dinge im Emailpostfach und nehmen an, es wäre sicher, weil niemand ihr Passwort kennt. Aber auf dem NAS sieht man die Realität ;)

Standardweg wie bereits erwähnt: Auch du nutzt nur ein Standardkonto.
Wenn man ganz sicher gehen will, kann man das nötige Adminkonto mit einem geteilten Passwort betreiben (jeder muss seinen Teil des Passworts eingeben, um es zu vervollständigen / oder die 2. Person hat den 2FA-Key).
 
  • Like
Reaktionen: Benie, Kachelkaiser und ottosykora
OK.


Und das ist alles nur geCloud.
Darum wollte ich gerne eine private Photo-Backup für die ganze Familie einrichten.
Mit Familien-Album (mit allen alten Bildern) für alle.
Private Album für jeden. etc.
Das kannst du so nicht in eine Cloud einsetzen. Möchte ich auch nicht.



Nein. Ich habe die Funktion des Admin nicht falsch verstanden.
Admin infolge Admin-Recht=God-like.

Passwort mit 2. Person! Gut. Aber...
Ich brauche jedes mal die zweite Person um mich als Admin einzuloggen?

Und wenn Bilder via WA versendet werden, dann sind sie sowieso "öffentlich".




Ich glaube, ich habe mich nicht richtig ausgedrückt.
Ich möchte mich als Admin vor den "Usern" schützen, dass ich mein Adminrecht nicht ausnutze bzw. MISSBRAUCHE.
Es geht ja nur um private Ordner.
Da liegt eher meine Problematik.
 
  • Like
Reaktionen: stevenfreiburg
gucklemuck schrieb:
Passwort mit 2. Person! Gut. Aber...
Ich brauche jedes mal die zweite Person um mich als Admin einzuloggen?
Zum Vergrößern anklicken....
Genau. Und das brauchst du sehr, sehr selten. Nur für administrieren.
Ansonsten kannst du deinen normalen Zugang nutzen.


gucklemuck schrieb:
möchte mich als Admin vor den "Usern" schützen, dass ich mein Adminrecht nicht ausnutze bzw. MISSBRAUCHE.
Zum Vergrößern anklicken....
Das ist der gleiche Schutz der auch der Admin bei deinem email Provider braucht.
Oder der Admin des Servers wohin du deine Steuererklärung schickst oder was auch immer.
Dieser Schutz heisst Vertrauen.
Entweder vertrauen die User dem Netzwerk, oder eben nicht.
Es gibt Leute die den Admins von Microsoft oder Google nicht vertrauen und nutzen Speicher welche sie für sicherer halten.
Das ist alles Frage der persönlichen Präferenzen, da gibt es kein Schutz für den/die Administratoren.

Ja, Daten kann man verschlüsseln das heisst immer noch nicht dass Metadaten und ähnliches nicht von jemandem genutzt werden können.

Was du erwartest ist einfach technisch nicht durchführbar, wenn nicht du der admin bist, muss es jemand anderes sein.

Wenn du damit kein privates Netzwerk betreiben willst, es gibt genug Anbieter die es gerne für dich übernehmen. Dann musst du und deine User halt diesen vertrauen.
 
  • Like
Reaktionen: Kachelkaiser
gucklemuck schrieb:
Ein Admin der nur ein Firmennetzwerk verwaltet, da gibt es keine privaten Daten. Innerhalb des Netzwerkes sind alle Daten der Firma.
Wie verhält sich dies gegenüber einem Netzwerk privater Natur oder das eines öffentlichen Vereines? Schwierig.
Zum Vergrößern anklicken....
Wir hatten das Problem in unserer Firma, dass private Mails erlaubt waren. Diese konnten natürlich auch die Admins sehen. Deshalb war beim Support immer auch ein Bein im Gefängnis, da wir ja persönliche Daten sehen könnten, die wir eigentlich nicht sehen dürfen. Daher hatte dann die Firma festegelt, dass nur noch dienstliche Daten in den Mailboxen gespeichert werden dürfen. Das gleiche natürlich auch auf Fileebene.

Auch im Verein ist es so, dass hier Vertrauen herrschen muss. Ist ja nicht nur digital so, sondern auch analog. Du vertraust dem Vorstand oder dessen Beauftragen (z.B. Sekretär(in)) ja auch, dass er mit deinen persönlichen Daten keinen Schindluder treibt. Vorstand = Admin :)
 
Kachelkaiser schrieb:
Wir hatten das Problem in unserer Firma, dass private Mails erlaubt waren. Diese konnten natürlich auch die Admins sehen. Deshalb war beim Support immer auch ein Bein im Gefängnis, da wir ja persönliche Daten sehen könnten, ...
Zum Vergrößern anklicken....
Auch bei uns habe ich durchgedrückt: Private Daten haben auf dem Arbeitsrechner nicht verloren.
Gleichzeitig hab ich vermeldet, dass wir nicht nach privaten Daten suchen und da nix handhaben werden. Wenn wir also auf private Daten stossen, die wir nicht hätten sehen dürfen, dann haben wir als Firma/admin keine Problem - Der Anwender hätte sie gar nicht ablegen dürfen, sie hätten gar nicht da sein dürfen.
Der Nutzer hat sie abgelegt im Wissen, dass wir sie sehen werden können.

In Verein wo wir private Daten (z.B. krankmeldungen - oh GDPR-Schreck und Graus) handtieren gibt es halt Datenbehandlerinstruktion und -vereinbarungen. Wer die Vertrauensbasis nicht sieht, der muss halt in einen anderen Verein.

Meine Teenagetöchter vertrauen mir als Admin unserer NAS mehr als Apple/Meta/Alphabet/Snapchat&Co.
Als Admin und Vater weiss ich: Die Strafe wären nicht nur ein paar monetäre Peanuts , sondern lebenslänglich. ;-)
 
  • Like
Reaktionen: Kachelkaiser
Das ist Alles richtig, was hier gesagt wird.
Ich möchte ja nur langfristig den strafenden Blick meiner Tochter entgehen.

Ist halt definitiv so, dass eine NAS im Grunde mehr für den kommerziellen Zweck gedacht ist.
Meine DS111, bzw. noch ein abgerauchtes Vorgängermodel, hatte ich vor 15-25 Jahren viel im Einsatz.
Zu dem Zeitpunkt war ein automatisches Backup meiner Fotogalerie im Smartphone noch Zukunft.

Es wäre halt toll, wenn Synology in der Beziehung "Privat- oder Familiennutzung" Ihre Software etwas nacharbeiten könnte.

Aber bei anderen Herstellern, sieht das Thema auch nicht besser aus.
 
Naja du musst ja auch mal überlegen: Was passiert, wenn Sachen gelöscht sind? Da muss es ja jemanden geben, der das wieder restoren kann. Und das kann nur der Admin, der Zugriff auf alles hat.

Wie gesagt, ein geteiltes Passwort oder einer hat das Passwort der anderen den zweiten Faktor könnten da die Abhilfe sein.

gucklemuck schrieb:
Aber bei anderen Herstellern, sieht das Thema auch nicht besser aus.
Zum Vergrößern anklicken....

Weil das per Design in den System so drin ist. Da wird sich jeder Hersteller hüten das umzustricken. Das gibt nur ne Menge Arbeit bei Updates etc, wenn das nicht mehr so läuft wie vorgesehen.

DSM ist auch nix anderes als ein Linux mit Oberfläche.
 
gucklemuck schrieb:
Aber bei anderen Herstellern, sieht das Thema auch nicht besser aus.
Zum Vergrößern anklicken....
So ist es. Wie schon erklärt, es gibt keine Lösung dafür. Einzige Möglichkeit die Daten zu verschlüsseln. Das steht doch jedem frei.
Dann ist das System weiter betriebsfähig, die Dateien selber können nur von dem Besitzer verwendet werden.
 
  • Like
Reaktionen: Kachelkaiser
gucklemuck schrieb:
Privat- oder Familiennutzung" Ihre Software etwas nacharbeiten könnte.
Zum Vergrößern anklicken....
Du hast offenbar immer noch nicht verstanden wie ein Computer funktioniert. Es gibt da Bauteile, Prozessoren, verschiedene Speicher und diese werden von einer Software bedient. Wie diese Software funktionieren soll wird von einem der es betreibt, also einem Administrator festgelegt. Dazu braucht dieser eben die Möglichkeit haben dies zu tun.

Es ist also nicht möglich für Synology oder sonst einen Hersteller hier etwas in deinem Sinn zu ändern.

Was Synology bietet ist eben erschwerter Zugang für den Admin oder Verschlüsselung der Daten.
 
Das einfachste wäre doch, das deine Tochter der Admin ist. Beere geschält.
 
  • Like
Reaktionen: Flessi und Kachelkaiser
Hallo gucklemuck, hallo zusammen,


dieses Thema habe ich hier im Forum in der Vergangenheit mehrfach und aus unterschiedlichen Blickwinkeln angesprochen – meistens wurde ich von den „alten Hasen“ abgewertet oder direkt abgekanzelt.
Das macht das Problem aber nicht kleiner.
Im Gegenteil: Das Thema ist heiß, extrem relevant. Synology wirbt seit Jahren irreführend, wenn es um Privatsphäre und Mandantenfähigkeit geht. Und nein, das ist weder „Nebensache“ noch ein „lustiger Sonderfall“, den man mit ein paar Sprüchen vom Tisch fegen kann.

Vielleicht lohnt es sich für einige „Oberadmins“, einmal wirklich zu lesen, worum es eigentlich geht – und ihre reflexhafte „Ach komm, das ist einfach so" Haltung mal zu überdenken.
Diese uralte Denke „Der Admin sieht halt immer alles“ ist ehrlich gesagt MS-DOS-Niveau.
Wir schreiben 2025. Zeit, aufzuwachen!

Sorry, aber mich nervt diese Mischung aus Arroganz und Ignoranz tatsächlich - das musste mal raus.


Und jetzt zum Thema:

Synology DSM und die fehlende Mandantenfähigkeit – warum (z.B.) die globale User-Liste ein echtes Problem ist (2025)
Synology positioniert seine NAS als „perfekte private Cloud für Familien und kleine Büros“. Solange eine einzige Gruppe zusammenarbeitet, stimmt das. Aber sobald mehrere voneinander getrennte Parteien dieselbe Box nutzen sollen, versagt DSM komplett.

Betroffene Anwendungsfälle
– Steuerberater mit konkurrierenden Mandanten
– Anwalt mit mehreren Parteien
– Architekt und/oder Bauträger mit Maklern und Kunden, die nichts voneinander wissen dürfen oder sollten
– Hochzeitsfotograf mit geschlossenen Kundengalerien
– Vereine mit sensiblen Gruppen
– Familien mit erwachsenen Kindern, Partnern, eigenen Freunden und eigenen Daten
- usw. usw.

In manchen Fällen reicht schon die bloße Sichtbarkeit eines fremden Nutzer-Namens, um echte Probleme auszulösen.

Das Kernproblem: globale User-Liste bei Freigaben
Öffnet jemand das Freigabe-Fenster und tippt den ersten Buchstaben ein, tauchen sofort alle Nutzer der gesamten NAS auf. Egal, ob sie miteinander zu tun haben oder nicht. Ein Mandant sieht andere Mandanten, ein Auftraggeber sieht Konkurrenten, ein Familienmitglied sieht Partner und Freunde anderer Familienmitglieder. Das ist kein Bug – das ist das offizielle Verhalten von DSM. Und ist definitiv NICHT Erhalt von Privatsphäre.


Das zweite Problem: Der Administrator sieht alles
Ein lokaler Admin hat uneingeschränkten Zugriff auf sämtliche Dateien. Es gibt keine Möglichkeit, Admin-Rechte zu trennen oder bestimmte Bereiche auszublenden. Selbst „verschlüsselte“ Ordner : Wer Admin ist, sieht alles. Wer nichts sehen will, muss es trotzdem sehen.

Konkretes Beispiel: Synology Photos – perfekt für Papa Admin, katastrophal für alle anderen
Hier zeigt sich die gesamte Privacy-Schwäche besonders deutlich:
Synology Photos funktioniert wunderbar für den einen Admin und dessen persönlichen Kreis – und genau dort endet es.
Erwachsene Kinder, die ihre privaten Bilder oder ihre Beziehung nicht mit „Admin-Papa“ teilen wollen?
Keine Chance!
Es gibt keine echte Zero-Knowledge-Verschlüsselung, keine getrennten Schlüsselbereiche, keine Möglichkeit, Fotos so zu speichern, dass selbst der Admin sie nicht sehen kann.
Wer Wert auf Privatsphäre legt, landet zwangsläufig bei dem Fazit: Synology Photos ist super für einen zentralen Admin – aber völlig ungeeignet für getrennte, private Nutzerbereiche.


DSGVO und Stand der Technik
Seit 2018 verlangen Art. 5 und Art. 32 DSGVO Vertraulichkeit – auch gegenüber anderen Nutzern derselben Infrastruktur. Moderne Systeme lösen das problemlos: Zero-Knowledge-Verschlüsselung, mandantenfähige Rechtevergabe, isolierte User-Scopes. Nextcloud, Seafile, pCloud, Cryptomator… längst Standard.
Bei Synology: Fehlanzeige.


Die Dinosaurier-Admins und ihre Sprüche
„Admin muss alles sehen können.“
„Wer nichts zu verbergen hat…“
„In der Familie braucht man sowas nicht.“
Diese Haltung stammt aus der Windows-XP-Familienfestplatten-Ära. 2025 ist sie schlicht rückständig und respektlos gegenüber realen Bedürfnissen von erwachsenen Kindern, Mandanten, Kunden oder sensiblen Gruppen.


Fazit
DSM funktioniert wunderbar für eine einzige, homogene Gruppe ohne Trennbedarf. Sobald aber zwei oder mehr Parteien Privatsphäre brauchen, scheitert es fundamental. Die Werbeversprechen von „Ihre Daten – sicher und privat zu Hause“ sind in solchen Szenarien schlicht nicht zutreffend. Wer echte Privatsphäre braucht, muss auf alternative Lösungen ausweichen – oder mehrere DSM Instanzen nutzen.
Dass Synology dieses Thema seit über zehn Jahren kennt und weiterhin ignoriert, ist nicht nur technisch fragwürdig, sondern auch moralisch.


Und nur weil es derzeit nicht viele Systeme gibt, die echte Mandantenfähigkeit, Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Konzepte (wie sie 2025 eigentlich selbstverständlich sein sollten) anbieten, heißt das noch lange nicht, dass diese Kritik und diese Ansprüche unbegründet sind.
 
Zuletzt bearbeitet:
Du verstehst es einfach nicht.
Jedes System hat einen Admin (oder root). Egal welches. Auch Nextcloud und mandantenfähige Systeme. Nach außen geht nur um Rechtevergabe, intern kann ein Admin alles. Das ist bei jedem System so, und hat mit Synology überhaupt nichts zu tun. Ich betreue seit mehr als 30 Jahren über 200 Rechner und Server jeglicher Coleur, und es ist bei allen so. Windows, macOS, verschiedene Linux/Unix Derivate etc.

Deshalb mach dich erst mal über den Aufbau von Betriebsystemen schlau, bevor du hier auf einem Hersteller rumhackst, der mit dem Thema (Betriebsysteme und Benutzerrechte) überhaupt nichts zu tun hat.
 
Die Frage ist doch nicht, ob es einen Admin gibt oder nicht 🙄, die Frage ist, ob der alles sehen muss.
Deswegen gebe ich dir das -vollständig!- zurück:
Du verstehst ja nicht einmal das Thema hier!

Und du bist -ganz offensichtlich- genau der Typ "Admin", den ich hier anspreche 😉
 
  • Haha
Reaktionen: quarreller
Natürlich muss er alles sehen und einrichten können. Sonst braucht man ihn ja auch nicht. Man hat die jeweiligen Benutzer zum Arbeiten und einen Administratoraccount zum administrieren. Ein Adminaccount wird nie zum arbeiten benutzt, sondern nur zum einrichten und pflegen. Wenn deine Tochter ein Problem damit hat, solltest du vielleicht mal drüber nachdenken, warum. Richte doch einfach das System ein, und lösche danach den Adminaccount 😂

Mir ist es ehrlich gesagt zu dumm, um mich hier weiter mit Personen zu beschäftigen, die die Grundlagen von Betriebsystemen nicht mal im Ansatz verstehen.

Ich wünsche dir bei deiner weiteren Suche nach dem besten System für euch, viel Glück. Du wirst nur keines finden.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten