Rechtevergabe beschränkt Admin Konto?

[Saro]

Hallo,

folgendes ich habe das Admin Konto welches ich eigentlich nur zum einrichten brauche/laufen soll und 4 angelegte User welche eben nur auf bestimmte Verzeichnisse/Dienste Zugriff haben sollen. Ich habe mich mit Linux Rechte Vergabe nie groß auseinander gesetzt und hänge hier irgendwie fest.

Situation: Jeder User oder zukünftige User soll die gleichen Ordner besuchen können möchte ich mal Ordner hinzufügen oder so soll dieser nur in der Gruppe angepasst werden zum lesen! Also so ungefähr ich erstelle einen User dieser übernimmt Automatisch die Rechte der Gruppe "Users" erstelle ich einen Ordner ändere ich die Rechte nur in der Gruppe Users und alle haben zugriff darauf! Funktioniert auch bestens, wenn denn das Admin Konto nicht wäre.

Denn der Admin ist blöderweise in der Gruppe Administrators und Users ein austreten aus der Gruppe Users ist scheinbar nicht möglich! Jetzt überschreiben die User Rechte scheinbar aber die Admin Rechte, denn das Admin Konto hat somit auf einmal kein Zugriff mehr auf den Ordner "homes" oder "web" welche die User natürlich nicht sehen sollen. Also habe ich der Administrations Gruppe einfach überall Lese/Schreibrechte gegeben aber Pustekuchen... trotz alledem bleiben die in der Usergruppe gesperrten Ordner auch gesperrt! Sprich ich sehe sie weder in der Filestation noch im FTP?

Was mache ich falsch? Oder verstehe ich denn Sinn der User Zugriffsrechte falsch? Es kann doch nicht sein das ich wirklich immer für jeden User Extra Rechte anlegen und Pflegen muss!? Es muss doch sowas wie Gruppen Spezifische Extra Rechte geben die nicht das Admin Konto betreffen? Ich könnte natürlich einfach noch eine weitere Gruppe anlegen dann funktioniert alles wie es soll, aber wofür gibt es eine Standard User Gruppe wenn diese nicht brauchbar ist weil jede Einstellung dort auch das Admin Konto beschränkt und ein austreten mit dem Admin nicht möglich ist?

Gerät: Synology DiskStation DS211
Firmware: DSM4.0 Problem war aber auch schon mit den vorherigen 3.0 und 3.2 so.

 

[Merthos]

...Ich könnte natürlich einfach noch eine weitere Gruppe anlegen dann funktioniert alles wie es soll, ...

Anders geht das nicht, was ist denn so schlimm daran?

 

[Saro]

Nun ich mag es, nicht mehr als nötig zu haben, in gewisser weise auch einfach Gewöhnung von mir. Also in dem Fall wäre es halt wie ich es unter Windows z.B. auch habe eine Gruppe für Administratoren und eine für Benutzer statt 2 für Benutzer und eine für Admin Mir will halt der Sinn nicht so recht in den Kopf wieso die Standard "User" Gruppe an den Admin gebunden ist? Das ist doch irgendwie Sinnlos denn somit ist es ja wieder keine Standard User Gruppe mehr da jede Änderung auch den Admin betrifft.

Wie schon angesprochen bei Windows habe ich ja auch "nur" 2 User Gruppen einmal Administrator und einmal Benutzer, wenn ich nun bei Benutzer etwas einschränke ist es aber ja trotzdem nicht beim Administrator Konto eingeschränkt.

 

[itari]

solche Standardgruppen sind eigentlich bei Servern üblich. Wenn mal die Kiste auf die Schnelle dicht gemacht werden soll (Datensicherung, Angriff, Firmware-Update usw.), dann entzieht man der Standardgruppe einfach die Rechte und schon gehts nimmer ... ist also sowas wie ein Reißleine

Itari

 

[Saro]

Ja das ist klar das Standard Gruppen üblich sind bei Servern, aber in diesem Fall würdest du mit dieser Reißleine dann ja auch dem Admin die Rechte entziehen das ist ja mein Problem eben das sich sämtliche Änderungen an der Standard User Gruppe eben auch auf das Admin Konto auswirkt.

Um mal dein Beispiel Firmware-Update zu nehmen -> Administrator nimmt der Gruppe User das Recht dieses durchzuführen auf Diskstation ist es jetzt aber so das er sich diese damit auch selber nimmt, erst wieder die Erlaubnis für die User ein Firmware Update auszuführen sorgt dafür das auch der Administrator dies wieder ausführen kann, nur in diesem Fall jetzt halt auf die Ordner bezogen. Oder anders gesagt die Gruppe Administrator ist doch dann Default irgendwie total überflüssig.

 

[itari]

nun der 'admin' ist ja auf der DiskStation kein wirklicher Administrator, das ist immer noch der User 'root', deswegen ist es also kein wirkliches Problem, wenn man dem Admin die Rechte entzieht. Das kann man immer wieder heilen (auf der Linux-Konsole).

Itari

 

[Saro]

Das dies Heilbar ist, ist klar Nur den Sinn dieser 2 Gruppen die trotzdem ja aneinander gekuppelt sich versteh ich halt nicht denn so sind diese 2 Gruppen doch im Endeffekt eine

Oder um es mal ausführlicher zu beschreiben ich stelle es mir so vor:

Gruppe Administrator

Ordner	Zugriff
Homes	Vollzugriff
Home	Vollzugriff
Photo	Vollzugriff
Music	Vollzugriff
Video	Vollzugriff
Web	Vollzugriff
Backup	Vollzugriff

Gruppe User

Ordner	Zugriff
Homes	Kein Zugriff
Home	Vollzugriff
Photo	Vollzugriff
Music	Vollzugriff
Video	Vollzugriff
Web	Kein Zugriff
Backup	Kein Zugriff

So aber sobald ich der Gruppe User diese Rechte zuteile wirken diese sich eben auch auf das Administrator Konto aus egal was unter der Gruppe Administrator ausgewählt ist die Zugriffsrechte von dieser Gruppe werden komplett ignoriert! Das heisst dem Admin fehlt danach der Zugriff auf den Ordner Homes, Web und Backup ein zurück nehmen der Zugriffsrechte der Gruppe Users sorgt dann natürlich dafür das für den Admin wieder alle Ordner sichtbar sind. Aber so wie ich es mir eigentlich wünsche scheint es ja z.Z. nicht möglich zu sein sondern eben nur über eine 3te Gruppe, fraglich ob es sich jemals ändern wird ob es sich lohnt mal an Synology zu schreiben?

 

[Merthos]

Mach mal aus "Kein Zugriff" ein "Nichts" (also nirgends was gesetzt), dann sollte das IMO gehen.

 

[Saro]

Vielen Dank für den Tipp so klappt es tatsächlich wieso auch immer und ich komme doch mit 2 Gruppen aus Ich meine ist hier ja eh alles Privat wenn möglich könnte ich das ganze User Zeugs auch ganz deaktivieren aber das ist ja nicht möglich (zumindest mit Boardmitteln Telnet & Co nutz ich nicht)