Problem mit der Erstellung diverser Gruppenberechtigungen

[inkasso]

Hallo zusammen,

bevor gleich alle schreien: das gibts doch schon - benutz die SuFu... Hab ich. Ich hab eine Menge Ergebnisse gefunden aber nichts, was dem entsprach was ich brauche - und nach 2 Seiten Suchergebnissen hatte ich schließlich keine Lust noch weiter durchzuklicken :-/

Mir reicht ein Schubs zum richtigen Thread, wenn es ihn denn schon gibt.

Gewünscht ist folgendes:

Gemeinsamer Ordner "root" (die Freigabe, nicht der Ordner im Dateisystem!)
Jeder aus Gruppe "users" darf lesen (und wegen mir auch schreiben - die Berechtigungen hier sind mir im Endeffekt latte, weil es hier ja nicht um die Dateirechte geht, sondern nur um die Freigabe)
Jeder aus Gruppe "administrators" darf lesen + schreiben

Ordner "root" (diesmal der Ordner im Dateisystem)
Gruppe "users" darf nur lesen
Gruppe "administrators" darf lesen + schreiben

Ordner "root\abteilung1"
Gruppe "Abteilung1" darf lesen + schreiben
Gruppe "administrators" darf lesen + schreiben
Ferner sollen neu erzeugte Dateien und Unterordner in diesem Ordner automatisch die gleichen Berechtigungen erben

Ordner "root\abteilung2"
Gruppe "Abteilung2" darf lesen + schreiben
Gruppe "administrators" darf lesen + schreiben
Ferner sollen neu erzeugte Dateien und Unterordner in diesem Ordner automatisch die gleichen Berechtigungen erben

Ordner "root\abteilung2\spezialordner"
Gruppe "Abteilung2" darf lesen + schreiben
Gruppe "administrators" darf lesen + schreiben
Gruppe "Abteilung1" darf lesen
Benutzer "xy" darf lesen + schreiben (er ist kein Mitglied der hier genannten Gruppen)

Wie richte ich das ein?
Wenn es über die GUI geht, dann bevorzuge ich diesen Weg, weil ich andere Kollegen habe, die das auch einrichten können müssen. Wenn es nur via SSH auf Dateiebene einzurichten geht, schreckt mich das aber nicht ab. Ich weiß, dass solche Berechtigungen unter Unix möglich sind, aber irgendwie bin ich zu doof, das auf der Synology hin zu bekommen.

Bevor Vorschläge kommen: mach doch für jede Abteilung einen eigenen freigegegebenen Ordner...
Das wird aus folgenden Gründen nicht gewünscht:
- Jeder Benutzer müsste für jede Abteilung in der er Zugriffsrecht bekommt ein Laufwerk unter Windows gemappt bekommen oder alternativ mit den UNC-Pfaden dorthin arbeiten. Das überfordert entweder die IT Kapazitäten oder die Benutzer, die dann hinterher teilweise locker mal 5 Netzwerklaufwerke haben. Es soll alles über ein Hauptverzeichnis gemappt werden und in den Unterordnern müssen dann die Rechte greifen
- Regelmäßige Fluktuationen wer wann worauf zugreifen darf, würden bei mehreren Freigaben einen extremen Pflegeaufwand bedeuten (Rechte in der Synology pflegen + dem Benutzer das zusätzliche Laufwerk mappen)

Ich halte dies für eine absolute Standard Konfiguration und keinen Spezialfall. Sowas wird doch sicher in vielen Firmen genau so gemacht. Daher wundert es mich, dass ich nicht auf Anhieb was passendes gefunden habe.
Für eure Hilfe Danke im Voraus!

Gruß

Manuel

 

[JudgeDredd]

Hallo,

eines Vorweg: Die Ordnerfreigabe "root" mal Dateisystem mal nicht habe ich nicht ganz verstanden.
Daher nur ein allgemeiner Hinweis wie ich das bei mir mache:

1.) Grundsätzlich habe ich ACL Berechtigungen auf den Shares aktiviert.
2.) Es gibt für jedes Verzeichnis, welches nach Rechten unterscheiden muss IMMER 4 Berechtigungsgruppen:
-Gruppe Lesen (nur Leserechte)
-Gruppe Schreiben (Leserechte + Schreibrechte (und NUR Schreibrechte ! Keine Löschungen)
-Gruppe Löschen (Leserechte + Schreibrechte (inkl. Löschungen)
-Gruppe Admin (Leserechte + Schreibrechte + Adminrechte)

Bsp. Struktur:
Share/Verzeichnis1/Verzeichnis1A
Share/Verzeichnis2/Verzeichnis2A

Um alle Shares/Verzeichnisse nun entsprechend mit Rechten zu belegen benötigst Du also 16 Gruppen.
- Verzeichnis1_read
- Verzeichnis1_write
- Verzeichnis1_delete
- Verzeichnis1_admin
- Verzeichnis1A_read
- Verzeichnis1A_write
- etc ...

Wenn nun ein Benutzer in der Gruppe Verzeichnis1_read & verzeichnis1a_read ist, entspricht as Deinem Beispiel - > "Abteilung1" darf lesen
Wenn nun ein Benutzer in der Gruppe Verzeichnis1_read & verzeichnis1a_write ist, entspricht as Deinem Beispiel - > "Abteilung2" darf lesen + schreiben
etc ...

Hoffe es hat etwas geholfen.

Gruß,
Andreas

 

[inkasso]

Zur Klarstellung:

Das root, welches "Gemeinsamer Ordner" ist, findet man in der GUI unter Systemsteuerung => Gemeinsame Ordner - hier kann man Rechte für das Ding einstellen
Das root, welches "Dateisystem" ist, findet man in der GUI über die FileStation und ist der Ordner auf der Festplatte

Zur deinem Vorschlag:
Das ist viel zu umständlich. Geht das nicht einfacher?

im Endeffekt isses doch nur Unix Dateirechte plus ACL, da wo die Dateirechte allein nicht alles abbilden können.

also z.B.
drwxr-x--- root users für den Ordner /volume1/root
drwxrwx--- root Abteilung1 für den Ordner /volume1/root/Abteilung1
drwxrwx--- root Abteilung2 für den Ordner /volume1/root/Abteilung2
...

Aber wenn ich die Dateirechte so setze, verhält sich die DS nicht so wie ich es von *nix-Systemen gewohnt bin.
Außerdem hab ich noch nicht raus, wie man die ACLs bearbeitet. Busybox ist eben keine normale Unix Umgebung.

 

[stefan_lx]

welche DSM-Version nutzt du denn?
Schon die 5.0?

Stefan

 

[inkasso]

Ja, ist schon eine 5er

 

[stefan_lx]

bei der 5er sind neue Gemeinsame Ordner ja schon mit ACL ausgestattet, was man nicht verhindern kann...
Ich würde es auch so wie Andreas/JudgeDredd lösen, allerdings mit zwei Gruppen: VerzeichnisName_RW und VerzeichnisName_R (die Gruppe users aus dem System verändert man gar nicht und nutzt sie auch nicht weiter..)
Die RW-Gruppen dürfen dann auch löschen.... Wer in keiner der Gruppen Mitglied ist, kann den Ordner bestenfalls sehen, aber nicht zugreifen... Berechtigungen für einzelne Benutzer sollte man auch besser lassen, weil man dann recht schnell den Überblick verliert...
Die Berechtigungen kannst du über DSM/Filestation verändern und du kannst sie nach unten vererben, du kannst das aber auch unterbrechen ("Genehmigungen ausschließen)...

Stefan

 

[inkasso]

Letztendlich ist das Fazit also: Synology hat die bewährte *nix-Rechtestruktur so kaputt gemacht, dass man in Unterverzeichnissen nicht mehr Rechte haben kann als in übergeordneten Verzeichnissen und das man lauter Hilfsgruppen benötigt?

Für mich ein Grund das Ding zum Händler zurück zu bringen -.-

 

[stefan_lx]

hm.. wenn du die Vererbung unterbrichst, kannst du schon mehr/andere Rechte vergeben...
In Windows-Netzen funktioniert das nur so... und für Kollegen, die mit *nix nicht so fit sind, sind ACLs einleuchtender als die *nix-Berechtigungen...

Stefan

 

[inkasso]

Ich finde ACLs unheimlich viel schwieriger - vielleicht aber auch nur, weil ich *nix gewohnt bin.

Was hat eigentlich die Einstellung der Rechte bei der Freigabe zu bedeuten? Ich hatte ja schon erwähnt, dass man Rechte in der GUI unter Systemsteuerung => Gemeinsame Ordner pflegen kann, wenn man einen Ordner freigibt. Oder ist das nur eine redundante Verwaltung der Rechte auf den Ordner im Dateisystem?

 

[stefan_lx]

ich kenne beide Berechtigungen und fand ACLs schon immer einfacher und intuitiver...
Freigabe bedeutet, dass man diese Verzeichnis überhaupt sehen kann. Dort kann man zwar auch nur Lesen vergeben, macht man aber normalerweise nicht... Das hat aber noch nichts mit den Berechtigungen für Ordner/Dateien zu tun, da kommen erst die ACLs ins Spiel.
Was an ACLs praktisch ist, dass man eine Gruppe berechtigen kann und nicht mit Einzelberechtigungen frickeln muss. Wenn man die Gruppe einmal berechtigt hat, muss man nur die Benutzer hinzufügen oder herausnehmen und man hat wenig Administrationsaufwand.. und ich bin faul

Stefan

 

[inkasso]

Ich bekomme es einfach nicht hin.
Entweder kann jeder überall lesen, oder niemand bekommt auch nur auf einen einzigen Ordner Zugriff. Dazwischen scheint es nichts zu geben.

Ordner /volume1/root
ACLs:
G:administrators -> Vollzugriff
G:users -> Lesen, Ausführen, Ordnerinhalt anzeigen, Lesen

Ordner /volume1/root/Firma1/
ACLs:
G:administrators -> Vollzugriff
G:users -> Lesen, Ausführen, Ordnerinhalt anzeigen, Lesen

Ordner /volume1/root/Firma1/Public
ACLs:
G:users -> Lesen, Ausführen, Ordnerinhalt anzeigen, Lesen
U:UserXY -> Vollzugriff

Was mich hier wundert: die Rechte für administrators sind nicht vererbt worden obwohl sie es sollten. Trotzdem hab ich als Mitglied von administrators Schreibrechte. Der "UserXY" hat ebenfalls Schreibrechte.

Ordner /volume1/root/Firma1/Abteilung1
ACLs:
G:Abteilung1 -> Vollzugriff

Auch hier fehlt die Vererbung der Rechte von administrators.

 

[inkasso]

Ok... nun scheint es zu klappen. Meine Kollegen hatten zeitglich ebenfalls versucht, was einzurichten und mir so gleich mal ein Bein gestellt.
Ich mache mal einen Haken dran und bin gespannt wie lange der Frieden nun hält.

Danke an alle die versucht haben zu helfen!

 

[stefan_lx]

die Administratoren haben immer die Berechtigung, was aber nicht so tragisch sein sollte... wenn man die Vererbung "gewaltsam" durchführen will, kommt die Meldung, dass die Administratoren schon Zugriff haben...
Jaja, die lieben Kollegen, da kann man schon mal an sich selbst zweifeln, um dann zu merken, dass da jemand anders die Finger im Spiel hatte ...

Ich würde die Gruppe users bei den ganzen selber erstellten Freigaben/ACLs nicht benutzen (weil es eine Systemgruppe ist und man nie genau weiß, wo die berechtigt wird, ohne dass man es will), sondern nur eigene, anderseits würde ich jetzt an deiner Stelle mal erst nichts mehr ohne Not verändern, es läuft ja... deswegen soll das nur ein Hinweis sein, vielleicht für andere ...

Stefan