Privater Ordner für Nutzer - Admin hat immer Zugriff?

Status
Für weitere Antworten geschlossen.

Bonsai9

Benutzer
Mitglied seit
13. Mai 2020
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Hallo,

Ich stehe vor folgendem - wohl simplen - Denkfehler. Ich bin Nutzer1, habe Administratorrechte. Ich habe einen gemeinsen, verschlüsselten Ordner mit Daten.

Nutzer2 ist normaler User und hat ebenfalls einen verschlüsselten,gemeinsen Ordner.

Problem: ich habe die Nutzerrechte dementsprechend verteilt. Somit kann Nutzer2 nur auf seinen Ordner zugreifen. Nutzer1 sieht allerdings z.b. in der DS File App immer auch den Ordner von Nutzer2. Ebenfalls kann Nutzer2 jederzeit die Zugriffsrechte von genau diesem Ordner ändern und erhält auch wieder Zugriff.

Wie kann ich den Ordner von Nutzer2 durch Zugriff von Nutzer1 schützen?

Danke ...
Bonsi
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Hallo und willkommen im Forum

Administrator -oder ein User welcher Mitglied der Administratorengruppe ist- hat auf sämtliche Freigaben/Ordner Zugriff.
Auch kann er sich selbst Rechte wieder geben.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
bin Nutzer1, habe Administratorrechte.
Nutzer2 ist normaler User
Nutzer1 sieht allerdings z.b. in der DS File App immer auch den Ordner von Nutzer2.

Ja das ist korrekt so, weil Nutzer1 ein User mit Adminrechten ist. Er kann (fast) alles sehen und machen, es gibt nur wenige Ausnahmen wie zB die Kontensystemsteuerung der Photostation umstellen, oder der User mit dem Namen "root" darf noch etwas mehr, ebenso der User "CMS" usw. das aber nur der vollständigkeit halber, ich gehe bewusst nicht näher darauf ein.

Wenn Nutzer2 nur normaler User ist und er kann trotzdem die Rechte in "deinem" gemeinsamen Ordner ändern, dann stimmt bei deiner Rechtevergabe etwas nicht.
Hinweis:
Bitte nutze, wenn möglich, immer die Option "Verweigern/Verbieten", sie hat eine höhere Priorität als "Erlauben/Zulassen".
In deinem Fall also dem Nutzer2 den Zugriff auf deinen gemeinsamen Ordner auf "Verweigern" stellen.
Dazu in den Einstellungen vom gemeinsamen Ordner der für dich bestimmt ist, alle Einstellungen in der Zeile vom Nutzer2 freilassen, AUCH die Gruppenberechtigung kontrollieren!
Nicht das du Nutzer2 unter Umständen in einer Usergruppe ist, welche Zugriff auf deinen gemeinsamen Ordner hat.
Schau noch mal in Ruhe die Rechte in deinem gemeinsamen Ordner an für Nutzer 2.

Willkommen im Forum.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Deswegen arbeitet man auch nicht mit dem Administrator-Konto (ausser man möchte "administrieren") :eek:
 

Bonsai9

Benutzer
Mitglied seit
13. Mai 2020
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Hallo und Danke für Eure Antworten!

Wie kann ich das dann aufsetzen?

@blurrrr, das wäre kein Problem. Ich kann auch einen Nutzer3 erzeugen, der dann eben diesen Ordner hat. Nur, wenn Nutzer 1= Nutzer 3 (in physischer Hinsicht, also meiner Person), dann kann ich da ja generell auch wieder die Rechte neu verteilen.

Hintergrund:
Gemeinsam gekauftes NAS in einer Wohngemeinschaft. Ich würde Administration übernehmen, jeder Mitbewohner hat natürlich seinen eigenen, privaten Space. Bin ich der erste mit dem Anwendungsfall? :D Wie würde man das dann machen, damit ich der Admin bleibe und die anderen ihre eigenen Netzlaufwerke haben?

VG
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Der Administrator kann immer alles, das ist das Prinzip der Administration.

Ihr könntet euch helfen, indem ihr verschlüsselte Daten bspw. über Veracrypt ablegt, wo nur jeder Teilnehmer sein eigenes Passwort kennt.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
"Bin ich der erste mit dem Anwendungsfall?" ... Jepp, weil der Admin immer Admin war und immer bleiben wird ;)
Ansonsten - hört sich komisch an, ist aber so - "einmal" grundlegend von extern einrichten lassen und nur extern kennt dann noch das Admin-Passwort :p
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
547
Punkte für Reaktionen
23
Punkte
38
Hi,

ich habe einen Workaround schon mal in nem anderen Thread vorgestellt wo eine WG ein NAS angeschafft hat und verhindern wollte, dass der Admin alles sehen kann.

Vorschlag:
Jeder User bekommt einen normalen Account wo er nur auf das berechtigt ist, was er auch sehen soll. Dann gibt es ganz normal den Admin-Account und ich würde das Passwort in 2 Hälften teilen. Hälfte eins kenne Person A und Hälfte zwei kennt Person B. So kann nur gemeinsam administriert werden und man verhindert, dass das Adminkonto missbraucht wird...

Wäre das ne Idee?
 

Bonsai9

Benutzer
Mitglied seit
13. Mai 2020
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Hallo und danke für eure Antworten!

@indepence, so läufts auf dem Tablet ;) Aber auf dem NAS sollte ich dann der Herr bleiben.

Naja, dann ist es wohl so. Schade Schokolade, aber so läufts - auch wenn ich bei weitem noch nicht alles ausschöpfe, bisher dient es nur als Datenspeicher...

VG
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
und ich würde das Passwort in 2 Hälften teilen

Den Knackpunkt dabei hast Du aber schon erkannt, oder? :p:eek:

EDIT: Ihr könntet euch nach Einrichtung allerdings darauf einigen, dass nach der kompletten Konfiguration jeder "selbst" eine Passworthälfte für den Admin-Account generiert, welche ihr in einer festgelegten Reihenfolge eingebt und das Passwort zum Schluss neu von euch gesetzt wird (aber ohne zugucken! :p). Ist aber trotzdem alles albern.. nehmt ein gescheit großes, einer nutzt das normale DSM, der andere bekommt ein VDSM, Storage 50/50, ab dafür ;)
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Admin-Account und ich würde das Passwort in 2 Hälften teilen. Hälfte eins kenne Person A und Hälfte zwei kennt Person B. So kann nur gemeinsam administriert werden und man verhindert, dass das Adminkonto missbraucht wird...
Wäre das ne Idee?

JEIN, so lange die nicht wissen das durch Drücken vom RESET Knopf hinten an der DS für 4 Sek das Admin Passwort zurückgesetzt wird.....

Noch mal, ein Admin ist nunmal Admin und hat die "Oberhand" auf der Diskstation. Ist so. Echte Abhilfe wäre das Verschlüsseln der jeweiligen Daten oder jeder bekommt seine "eigene" DS und versperrt diese so das niemand hinten an den Reset Knopf herankommt...
 

Bonsai9

Benutzer
Mitglied seit
13. Mai 2020
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Hallo und nochmal danke für die Antworten!

Ich überlege jetzt auf der DS218+ eine Virtual DSM zu installieren. Dann hätte der zweite Nutzer komplett alles wie der erste Nutzer, zudem kann er die Platte verschlüsseln und somit kann auch bei Rücksetzung des Adminkennworts niemand auf die Daten zugreifen.

Einige Fragen:
- Gibts zur VDSM Einrichtung ein gutes Tutorial? Beim Wizard bin ich nach dem ersten Tab schon mit Fragezeichen dagesessen und hab lieber nichts weiter gemacht ;)
- Ist das dann wirklich sicher für den zweiten?
- Beeinträchtigt das die Schreibgeschwindigkeit des anderen Nutzers? z.B. wenn ich normal mit 100mb/s schreibe, und dann die VM läuft (aber nichts kopiert wird!), ist es dann gleich schnell?

Danke VG
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
VDSM braucht nicht so viel Speicher wie andere VM vielleicht, trotzdem würde ich da empfehlen etwas zusätzliches RAM zu kaufen.

Ein mit der Materie vertrauter Admin der böses plant, wird wissen wie er zumindest auf der Kommandozeile sich zu den möglichen Inhalten bewegen kann denke ich. Auch wenn es von der GUI selber so nicht ersichtlich ist.

Wenn es um Sicherheit der Daten geht, dann wie oben erwähnt den Ordner verschlüsseln. Geht schnell und wohl ziemlich zuverlässig.

Einrichtung der VDSM war bei mir mit keinem Aufwand verbunden, das ging von selber nach dem Einschalten. Nur habe ich dann später noch feste IP zugeteilt.

Zu admin:
auch grosse Firmen, kleine Arztpraxen, Handwerksbetriebe, Pentagon, Kremel, BND....haben einen Administrator für ihre Netzwerke. Jemand muss es ja am laufen halten. Und der muss an alle Teile, selbst auf Betriebssystem Zugriff haben. Und dort wo die Akten in Papierform in Schränken lagern gibt es auch noch Putzfrau die den Staub wischt und somit Zugriff hat.

Deshalb denke bist du wirklich wohl weltweit der erste der ein nicht administrierbares System sucht.

Normalerweise hat jeder Benutzer ein normales Konto. Zusätzlich gibt es ein (oder mehrere) Admin Konto, welches mam aber kaum je braucht, schon gar nicht für normale tägliche Arbeit. Das wird nur dann verwendet wenn wirklich Bedarf nach Admin besteht .


read
https://www.synology.com/de-de/dsm/packages/Virtualization

https://www.synology.com/de-de/knowledgebase/DSM/help/Virtualization/virtual_machine

https://www.thomas-krenn.com/de/wik...-_virtuelle_DSM_Instanz_erstellen_und_starten
 
Zuletzt bearbeitet:

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ich verstehe den ganzen Aufwand nicht, oder entgeht mir etwas? Was spricht gegen eine sichere Lösung mittels z.B. Veracrypt?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Noch viel besser: Was spricht gegen ein 2. NAS? ;)
(DS218j oder so - kann zwar nix, ist aber auch nicht so teuer)
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
547
Punkte für Reaktionen
23
Punkte
38
Den Knackpunkt dabei hast Du aber schon erkannt, oder? :p:eek:

EDIT: Ihr könntet euch nach Einrichtung allerdings darauf einigen, dass nach der kompletten Konfiguration jeder "selbst" eine Passworthälfte für den Admin-Account generiert, welche ihr in einer festgelegten Reihenfolge eingebt und das Passwort zum Schluss neu von euch gesetzt wird (aber ohne zugucken! :p). Ist aber trotzdem alles albern.. nehmt ein gescheit großes, einer nutzt das normale DSM, der andere bekommt ein VDSM, Storage 50/50, ab dafür ;)

So wie du das beschrieben hast, habe ich es ebenfalls schon in einem anderen Thread gemacht. Ich habe hier nur vorausgesetzt, dass der TE selbst draufkommt wie es umzusetzen ist - alles andere wäre ja Unsinn..
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat