Toggle sidebar

User-Rechte ad absurdum...

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
rednag

rednag

Benutzer
Registriert
08. Nov. 2013
Beiträge
3.955
Reaktionspunkte
12
Punkte
104
Hallo liebe Mitstreiter an der Syno-Front,

einige Probleme konnte ich Dank dieses Forums erfolgreich bewältigen.
Nun würde ich wieder Unterstützung gebrauchen.
Es geht um ein Rechteproblem.
In meinen /video-Ordner liegt meine ganze Filmsammlung. Rund 1300 Filme, Serien und Dokus.
Es greifen von extern 3 Leute mit einem Raspberry mit OpenELEC zu. Funktioniert ink. Streaming tadellos.
Wenn sich einer der 3 User am DSM anmeldet, sieht er nur die für Ihn freigegeben Ordner. Soweit auch richtig. Leider könnte der User meine ganzen Filme löschen, obwohl er nur Lesenden Zugriff in /video hat. Die von dem User geköschten Filme landen zwar im apierkorb, da kann er sie aber auch endgültig löschen.

Das ist mir heute aufgefallen, als ich mit mit einem anderen testweise angelegten User angemeldet habe. Es ist unglaublich. Ich habe gemeint, man kann sich auf die vergeben Rechte verlassen. Ein böswilliger User könnte mir mein ejahrelang aufgebaute Filmesammlung löschen!?
Diese User auf dem Bild sollten nur lesend darauf zugreifen können, das inkludiert auch das komplette Löschen?
rechte.PNG
Iich bin grade etwas konfus...

Viele Grüße Rednag
 
Die Berechtigungen werden schon so gesetzt wie du es machst. Die Frage ist wo sie herkommen. Schau mal bei dem Benutzer unter Berechtigungen. Da siehst du was du beim Benutzer direkt gesetzt hast und was er über Gruppen bekommt.
 
Hallo fbl1,

Danke für Deine Antwort.
Ich habe eben nachgesehen. Die betreffenden User haben unter "USER"->"Berechtigungen" auf den /video Ordner "Nur lesen"
Nichts weiter aktiviert. Keine ACL oder dergleichen.
Trotzdem können diese unter der Ordnerstruktur "/video/Spielfilme" Dateien löschen.

Gruß Rednag
 
Fangen wir noch einmal an. Bei freigegebene Ordner sollten entweder Benutzer oder Gruppen stehen die Berechtigungen bekommen. Mischt man das bekommt man chaos. Das als erstes. Als nächstes was genau steht bei den Berechtigungen beim Benuter. Nur Lesen bei Gruppen oder sind hier manuell rechte gesetzt.

So als Beispiel. Ich hab das bei mir mal getestet. Ich hab eine neue Gruppe Video angelegt nur lesen. Einen User Test der diese Gruppe bekommen hat und die Gruppe User die nur rechte für File station hat. Ich kann keine Filme löschen.
In Berechtigungen beim user hab ich nur lesen bei gruppen und Vorschau stehen.
 
Hallo fbl1,

anbei folgenden Screenshot.
Die letzten 3 User deren Namen ich unkenntlich gemacht habe, können innrerhalb /video meine ganzen Filme, Serien, Dokus etc löschen.
Mehr als "Nur lesen" kann ich doch ned machen.
Ich bsteige da im Moment nicht ganz durch. Das Recht "Nur lesen" impliziert mir, daß nicht gelöscht werden kann. Das scheint aber hier nicht der Fall zu sein.
rechte.PNG

Gruß Rednag
 
Bei den Berechtigungen direkt auf den Ordner. Was sagen die Berechtigungen beim User.
 
Du hast aber nicht per NFS lese/schreibrechte vergeben?
 
So sehen die Rechte für einen der betroffenen User aus.
rechte2.jpg

@PsychoHH

Nein, die Verzeichnisse sind über WebDAVs bei OpenELEC eingebunden. Alternativ können sich die User auch bei DSM anmelden.
Das Löschen beliebiger Files ist mit diesen Einstellungen unter /video/ definitiv möglich Also z. B. /video/Spielfilme, /video/Dokus etc.

Gruß Rednag
 
Hey Leute,

*push*

Ich könnte hier echt gut Euere kompetente Hilfe gebrauchen.
Es ist für die User immer noch möglich Daten in /video zu löschen.

Gruß Rednag
 
Sind die Gruppenrechte users leer?
 
Hab es auch über Wbdav getestet und funktioniert wie es soll. Irgend was hast du bei dir verbogen. Hab nur noch zwei optionen.
1. Auf die schnelle einfach mal dem User lesen weg nehmen und zugriff sperren. Was passiert dann.
2. Sauber aufbauen mit gruppen. Was bedeutet keine Berechtigungen mehr beim User setzen sonder alles über gruppen.

Oder hast du zufällig im Filesystem Berechtigungen gesetzt.
 
Hallo ds_112,

Das sieht bei mir so aus wie bei Dir. Einzig, daß ich nicht möchte das aus diesem Ordner Filme runtergeladen und loakl auf HDD gespeichert werden können.
rechte1.PNG

Gruß Rednag
 
Hallo fbl1

ich habe einem der User das Häkchen für "Nur lesen" deaktiviert. Wenn sich der User nun über DSM anmedlet bekommt er nur noch sein /home-Verz. präsentiert.
Also der Zugriff auf /video samt Unterordner wird somit verboten.
Welche Rechte im Filesystem meinst Du?

Gruß Rednag
 
Dann leg mal ein Gruppe an mit leserechten und gib sie dann dem user und probieren ob es dann richtig geht.
 
Hallo,


Ich habe jetzt eine Gruppe "video"mit nur "Nur lesen" auf /video angelegt. Meldet sich nun ein User der Gruppe an DSM an kann er keine Dateien in /video 0der Unterordner löschen.
rechte2.PNG

Habe den gleichem Effekt aber auch anders beobachten können. Als Admin "File Station"->"rechter Mausklick auf /video"->"Eigenschaften"->"Genehmigung".>Häkchen bei"->Auf diesen Order...
Genehmigung.PNG

Dieses Häkchen bleibt aber nach einem Klick "auf "Ok" aber nicht drin. Heißt das wenn ich einen Film in /video kopiere ich dieses Prozedere wieder machen muß, damit die Rechte auch für den reinkopierten Film gelten??
Bin mir auch nicht sicher, was diese Funktion auslöst. Rechte werden doch schon über Gruppen und User vergeben. Bei meiner geringen Anzahl an Usern arbeite ich gerne mit Usern anstatt Gruppen.
Bin gerade mehr als verwirrt....
 
Schön das es jetzt geht, aber unschön das hier meiner Meinung nach ein Bug ist. Hat das gleiche mal beim testen bei Photos. Ist aber glaub ich schon min. 1 Jahr her und hab es damals Synology gemeldet die das auch so gesehen hatten und beheben wollten. Hab das aber nie mehr probiert. Solltest es auch an Synology melden.
War aber nur Zufall weil ich normal nur mit Gruppen Arbeite.
Gruppen haben den Vorteil das die Änderungen sich sofort auf alle User auswirkt ohne das ich jeden anfasse.
Darum sollte man die grundsätzlich verwenden. Sicherheit sollte immer vor gehen.

Die Rechte gelten auch für neue Dateien. Du setzt die Rechte in der Gruppe und ordnet die dem User zu, mehr nicht. Nix mit freigeben etc. das lesen gilt für alles was im Ordner steht. In der File Station macht man nur einzelfreigaben die hier aber nicht nötig sind. Glaub mir, hier wäre ein grosses Geschrei wenn das so wäre.
 
Zuletzt bearbeitet:
Hallo fbl1,

wo kann ich dieses Problem denn bei Syno melden? Kann mir schwer vorstellen, daß ich der einzige Anwender bin, der mit Benutzern arebitete und dies noch keinem aufgefallen wäre. Diese Konstellation hatte ich jetzt 2 Jahre am laufen. Ich mag mir garnicht ausmalden, was meine User hätten machen können...

Dur arbeitetst nur mit Gruppen? Wenn Du jetzt einen User hast, der nur in einen Ordner darf und alle anderen User andere Ordner, legst Du dann für diesen User eine extra Gruppe an? Erklär mir bitte die Basics ein wenig wie Du das handhabst. Villeicht kann ich was abschauen und lernen.

Gruß Rednag
 
Sorry, hatte nicht eher zeit.

Probleme kannst du ja im deinem Desktop über Support Center melden. Geht eigentlich ganz einfach.

Ich arbeite nur mit Gruppen. Liegt wahrscheinlich daran weil ich es von der Arbeit nicht anders gewöhnt bin. Es aber auch besser ist. Jede Änderung wirkt sich auch gleich auf alle Benutzer aus nicht nur auf einen..

Ich hab mir einfach eine Berechtigungsmatrix erstellt. Was heisst, was will ich bereitstellen,wie will ich es bereitstellen und wem. Danach hab ich dann die Gruppen erstellt. Als Beispiel.
Video zwei Gruppen eine Lesen und eine Lesen/Schreiben. Das gleiche für Photo, Musik und Daten. Diese dann einfach den Benutzern zugeordnet nach dem was sie dürfen. Das gleiche mit Applicationen. Jeder bekommt nur die Applicationen die er haben darf. Ist zwar ein einmaliger Aufwand aber das wars. In zukunft nur noch einem User die Gruppen geben was er darf und mehr nicht. Die Namen der Gruppen sollten natürlich aussagekräftig sein.
Hoffe es ist verständlich, tu mich etwas schwer weil für mich das ganze normal ist.
Beispiel:
audio-r (audio lesen)
audio-rw (audio lesen/schreiben)
audo-app (audio application)

Man kann das auch zusammen fassen für Media wo dann video und photo drin sind oder Daten mit verschieden Verzeichnissen etc. Wichtig keine Überschneidungen von Berechtigungen von Usern und Gruppen. Alles nur über Gruppen ansonsten gibt es Chaos.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten