Toggle sidebar

Unterschied zwischen "no access" und garnichts?!

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
randfee

randfee

Benutzer
Registriert
08. Apr. 2010
Beiträge
1.070
Reaktionspunkte
3
Punkte
64
Hallo,

ich wollte schon immer mal gefragt haben, was das soll (s. Anhang).
User, bei denen "no access" markiert ist haben zwar keinen Zugriff auf den Share, sehen ihn aber. User bei denen kein Recht selektiert ist sehen den Share garnicht - ich bin jetzt zu faul wirklich auf der DS zu suchen was wirklich Sache ist, irgendwie finde ich das irreführend oder gar inkonsequent.
In der Hilfe ist der Fall, dass nichts selektiert ist, garnicht berücksichtigt
:confused:

Kann mich mal einer aufklären?
 

Anhänge

  • privileges.jpg
    privileges.jpg
    58,4 KB · Aufrufe: 62
  • help-file.jpg
    help-file.jpg
    83 KB · Aufrufe: 62
Das ist zur feineren Einstellung der Rechte da. Angenommen ein User ist in einer Gruppe, welche auf zwei Shares Zugriff hat. Jetzt möchtest Du aber das ganau dieser User auf ein Share von diesen beiden keinen Zugriff hat. Dann klickst Du für eben diesen "no access" unter den Userrechten an. So verstehe ich das zumindest. Userrechte sind also spezifischer.

gruss
dude
 
Sehen oder nicht sehen ist keine Frage der vergebenen Rechte, sondern es gibt eine zusätzliche Einstellung mit der man die Shares verstecken kann:
 

Anhänge

  • dsm.jpg
    dsm.jpg
    49,2 KB · Aufrufe: 63
thedude schrieb:
Das ist zur feineren Einstellung der Rechte da. Angenommen ein User ist in einer Gruppe, welche auf zwei Shares Zugriff hat. Jetzt möchtest Du aber das ganau dieser User auf ein Share von diesen beiden keinen Zugriff hat. Dann klickst Du für eben diesen "no access" unter den Userrechten an. So verstehe ich das zumindest. Userrechte sind also spezifischer.

gruss
dude
Zum Vergrößern anklicken....
Es ist aber nicht so, dass Userrechte Vorrang von Gruppenrechten haben, vielmehr haben einschränkende Rechte Vorrang vor weniger einschränkenden Rechten. Wenn Du also ein Benutzerrecht "read/write" hast, aber ein zugehöriges Gruppenrecht "no access", so hat das "no access" Vorrang vor dem Benutzerrecht "read/write".
 
Verstehe. Was man nich alles einstellen kann. ;)

gruss
dude
 
Trolli schrieb:
Sehen oder nicht sehen ist keine Frage der vergebenen Rechte, sondern es gibt eine zusätzliche Einstellung mit der man die Shares verstecken kann:
Zum Vergrößern anklicken....

hm ok... dann machts wieder Sinn. cheers.... d.h. ich setze alle Folder besser auf invisible... hätte eher erwartet, dass das standardmäßig aus ist und User nur die Shares sehen, die sie zumindest lesen können.
 
Das geht nicht, weil man die Shares ja schon vor der Anmeldung sieht. Erst beim Zugriff wird Benutzername und Passwort abgefragt. Deshalb kann man das eine eben auch nicht mit dem anderen koppeln...
 
ich hätte immer gedacht, dass es am Sinnvollsten ist, wenn ein nicht angemeldeter rein garnichts sieht außer den Servernamen. Will er mehr sehen muss er sich anmelden, woraufhin er dann sieht, wofür er Rechte hat.
 
Das ist ja auch bei der File Station so. Das SMB-Protokoll funktioniert da aber halt ein wenig anders...
 
randfee schrieb:
ich hätte immer gedacht, dass es am Sinnvollsten ist, wenn ein nicht angemeldeter rein garnichts sieht außer den Servernamen. Will er mehr sehen muss er sich anmelden, woraufhin er dann sieht, wofür er Rechte hat.
Zum Vergrößern anklicken....
Dieses Vorhaben ist sehr komplex. Wir haben hier im Geschäft einen Novell Server, der dafür sorgen sollte, dass man nur Freigaben sieht für die man auch Rechte hat. Allerdings drück dieses Teil so gewaltig auf die Performance, dass es wieder deaktiviert wurde und die User wieder alle Freigaben sehen können. Auch diejenigen wo der User keinerlei Rechte hat. Es scheint eine ziemlich performancehungrige Aufgabe zu sein, Freigaben wo User keiner Rechte haben, auszublenden.
 
jahlives schrieb:
Dieses Vorhaben ist sehr komplex. ... Es scheint eine ziemlich performancehungrige Aufgabe zu sein, Freigaben wo User keiner Rechte haben, auszublenden.
Zum Vergrößern anklicken....

Logisch ist das aber nicht. ;)

Itari
 
danke... das dachte ich auch :rolleyes: - wo soll denn da bitte die Performance draufgehen... ominös!
Ich fände es zum einen aus sicherheitstechnischen Gründen, aber auch aufgrund der "Ordnung & Übersichtlichkeit" besser, wenn jeder User nur sehen kann, worauf er auch zugreifen kann.
 
randfee schrieb:
danke... das dachte ich auch :rolleyes: - wo soll denn da bitte die Performance draufgehen... ominös!
Zum Vergrößern anklicken....
Weil du bei JEDEM Abfragen der verügbaren Sahres erst prüfen musst ob der User die Share überhaupt sehen darf. browsable yes/no ist ein einfaches Flag in der Konfig und für alle User gleich. Sagen wir du hast pro Freigabe 200 erlaubte Benutzer. Das heisst bei jedem Zugriff muss er eine Liste von 200 Usern geprüft werden.
Wie gesagt wir hatten so ein System bei uns auf der Arbeit. Allerdings konntest du dann z.T 30 Sekunden warten ehe du die Liste der erlaubten Freigaben sehen konntest. Ich habe an Sitzungen Prozessorauslastungsgrafiken für dieses System gesehen, einmal mit und einmal ohne. Dazwischen lagen Welten
 
schon klar, aber mir erschließt sich nicht, warum das "bisschen" (das ist ja keine Datenmenge) eine halbwegs ordentliche CPU so dermaßen in die Knie zwingen sollte. :confused:
 
Habe noch einen Ansatz gefunden wie man das machen könnte. Samba bietet die Möglichkeit nach der Useranmeldung definierte Userscripte zur Konfig zu verwenden
Code: 
include = /usr/local/samba/lib/smb.%U.conf
also würde man dort drin einem unberechtigten User alle jene Shares definieren wo er keinen Zugriff hat (entsprechende Rechte setzen) und dann browsable=no
Allerdings wird auch hierbei die Performance nicht so dolle sein, weil dies bei JEDEM Zugriff auf eine Share wieder von neuem gemacht werden muss. Klar bei 2 Usern geht das noch. Aber bei ein paar hundert geht das in die Knie :)
 
randfee schrieb:
schon klar, aber mir erschließt sich nicht, warum das "bisschen" (das ist ja keine Datenmenge) eine halbwegs ordentliche CPU so dermaßen in die Knie zwingen sollte. :confused:
Zum Vergrößern anklicken....
Du kennst das Prinzip der IT: auch Kleinvieh mach Mist resp Last. :)
Stell dir einfach vor es geht pro User nur 1/10 Sek länger. Bei einem entsprechend grossen Netzwerk sind das schnell ein paar Sekunden. Wie gesagt bei einem kleinen Netzwerk wird es nicht so ins Gewicht fallen.
Der Klassiker ist die while oder for Schleife: Bei nur weniger Schleifendurchläufen ist der Unterschied sehr marginal resp kaum messbar. Wenn du aber die Schleife ein paar Millionenmal durchlaufen musst, dann kommst du in der Gesamtlaufzeit auf Unterschiede im Minutenbereich. Es sind nur wenige Mikrosekunden wo eine while langsamer ist als eine for. Dieses Kleinvieh macht irgenwann gewaltig Mist.
Unser Netzwerk in der Firma ist eben relativ gross (sind afaik ca 5000 User). Und darum musste dieses Feature wieder ausgeschaltet werden, weil die Performance wirklich unterirdisch war
 
ja, cool, das ist auch ne Idee, ich trag aber einfach bei Usern die kein Zugriffsrecht haben auch nicht "no access" in der DS ein, hat ja den selben Effekt, der User sieht den Share nicht... und hat auch keinen Zugriff. Das ist ja auch keine Arbeit, da das ja das Standard-Setting ist.

Klar entsteht bei den Abfragen overehead, dass man damit aber ein System derart in die Knie zwingen kann... Fehlkonstruktion :P. Muss doch im Rahmen der Performance liegen bei jedem Zugriff die Berechtigung zu klären, alles andere sehe ich als potentielle Sicherheitslücke!
 
ein Problem dazu noch von Windows: Wie es mit Windows7 ist weiss ich ned, aber bei XP und Vista hattest du keine Garantie, dass die verfügbaren Freigaben auch wirklich unter deinem User abgefragt wurden. Es kam oft vor, dass Windows die Liste mit einem anonymen Account geholt hat.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten