Verschachtelte AD Gruppen funktioniert nicht.

mlkra

Benutzer
Mitglied seit
25. Mai 2007
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Guten Tag
mittlerweile versuche ich seit gut 1 Woche auf meinen Synolgy NAS die Dateifreigabe zum Laufen zu bekommen, leider ohne jeden Erfolg.
Ich bin daher für jeden Hinweis, ein Tutorial, ... dankbar.
Aber jetzt von Anfang an:
Während meines Berufsleben hatte ich viel mit Fehlersuche in Active Directory Domänen zu tun. Ich möchte jetzt unser Familiennetz analog umbauen,
dabei möchte ich mich an Firmennetzen orientieren. Allerdings bekomme ich das mit den Gemeinsamen Ordner nicht hin.

Etwas vereinfacht:
Ich habe einen Ordner "DATEN", darin befinden sich 3 Unterordner "DATEN_1", "DATEN_2", "DATEN_3".
Es gibt 3 Benutzerkonten "KT_1". "KT_2", "KT_3".
"KT_1" soll Vollzugriff auf "DATEN_1", "DATEN_2", "DATEN_3" haben,
"KT_2" soll nur RW Zugriff auf "DATEN_2" haben,
"KT_3" soll nur RO Zugriff auf "DATEN_3" haben.

Dazu gebe ich LESEN Shareberechtigungen auf "DATEN" an "EVERYONE" (nur diesen Ordner) und dann werden jeweils 3 Domänenlokale Gruppen "L_DATEN_1_RO". "L_DATEN_1_RW", "L_DATEN_1_VZ" auf "DATEN_1" entsprechend berechtigt. Analog for die anderen beiden Ordner.
"KT_1". "KT_2", "KT_3" werden jetzt in Globale Gruppen einsortiert, diese dann in die 3 Dömanenlokalen Gruppen verschachtelt.
Das funktioniert alles ohne Probleme auf Windows Datei-Servern.

Aber auf dem NAS hat jeder der 3 Benutzer Vollzugriff auf jeden der 3 Ordner. Warum?

Berechtige ich die 3 Benutzer direkt auf den Ordnern, oder packe ich sie in die domänenlokalen Gruppen funtioniert ebenfalls alles.

Nur bei glabler Gruppe verschachtelt in domänenlokale Gruppe funktioniert das nicht.

Hat dazu jemand eine Idee? Gibt es irgendwo eine Verschachtelungstiefe, die man einstellen kann?

Danke Michael
 

mlkra

Benutzer
Mitglied seit
25. Mai 2007
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
ich wollte noch sagen, ich habe die Directory Services installiert, also ein Samba Domäne
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.565
Punkte für Reaktionen
3.607
Punkte
468
Schau dir deine Berechtigungs-/Vererbungs-Struktur alle dieser Verzeichnisse mal über die Filestation an (Rechts-Klick, Eigenschaften, Berechtigungen).
Vererbte Rechte werden graugetastet (scheinbar nicht änderbar) dargestellt, kannst du aber über "Erweiterte Optionen" ändern.
Ebenfalls gibt es dort auch eine "Berechtigungsprüfung", mit der du die effektive Berechtigungen für bestimmte Benutzer/Gruppen abrufen kannst.
 

mlkra

Benutzer
Mitglied seit
25. Mai 2007
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Das hab' ich bereits getan, es gibt auf die Ordner keine vererbten Rechte. Trotzdem zeigt die Berechtigungsprüfung und auch der direkte Blick auf die Ordner Vollzugriff,

Ich hab gerade in der Systemsteuerung -> Domain/LDAP -> bearbeiten -> erweitert einen Eintrag "verschachtelte Gruppenebenen" gefunden. Nur den kann ich nicht ändern. Hat der evtl. was mit dem problem zu tun?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.565
Punkte für Reaktionen
3.607
Punkte
468
Keine Ahnung, ich hatte zwar beruflich mit AD/Domain/LDAP zu tun, aber das war auch unter Windows.

Brauchst du diese Verschachtelung überhaupt? Blickst du dann noch durch? Ich würde in deinem Fall einfach für die 3 Daten_n-Verzeichnisse je eine RW- und eine RO-Gruppe anlegen, die User reinstecken, und diese Gruppen bei den Verzeichnissen verwenden. Auch die Verwendung von "Everyone" würde ich versuchen zu vermeiden.
 

mlkra

Benutzer
Mitglied seit
25. Mai 2007
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
na ja, "Everyone" ist schon ein Kompromiss, ich würde hier am liebsten die "authenticated Users" verwenden, nur, die gibt's ja leider nicht.
Die Verschachtelung macht die Dokumentation ziemlich einfach, die Resourcen Ebene wird bereits beim Anlegen der Ordner berechtigt und folgt einen strikten Namensschema. Die reinzuschachtelnden Gruppen beschreiben die Funktion der Benutzer. Damit muss man sich nicht wirklich viel merken/aufschreiben. Nebenbei große Netze funktionieren genau so.
Aber das nur am Rande.

Ich hab' mir das Schema halt über viele Jahre angewöhnt, es wäre schön wenn's gehen würde.
 

mlkra

Benutzer
Mitglied seit
25. Mai 2007
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
genau, die Vererbung muss zwingend unterbrochen werden, Deshalb wirken die Share Rechte nur auf den Freigabe Ordner, nicht auf die untergeordneten Ordner_x. Diese bekommen in einen 2. Schritt neue Berechtigungen.

Würde ich das anders machen, dann bräuchte ich Deny Berechtigungen und das wird Chaos.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.565
Punkte für Reaktionen
3.607
Punkte
468
Normalerweise werden auf der Syno einfach "Freigegebene Ordner" angelegt, diese entsprechend, entweder direkt, besser über Gruppen, berechtigt, und fertig. Die Rechte auf den Ebenen darunter werden 1:1 vererbt. Das hält das ganze übersichtlich. Freigegebene Ordner, auf die man keine Rechte hat, sind eh nicht sichtbar (einstellbar).
Schon Zwischenebenen (wie dein Ordner "DATEN") schaffen Probleme, da man die Vererbung dort gezielt unterbrechen muss. Das wird im laufe der Zeit arg unübersichtlich. Halte es besser einfach, ein NAS ist ja kein DFS-Baum mit tausenden von Nutzern.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.065
Punkte für Reaktionen
2.053
Punkte
259
Schöne Bastelei, das Übertragen von Rechteverwaltung aus der Unternehmenswelt auf das Familien-Datengrab. Lass mich raten: Gerade in Ruhestand gegangen, viel Zeit, wenig Vorlauf ….

Synologies werden für ihre einfache Verwaltung eigentlich recht komplexer Vorgänge gelobt. Das ist auch gut so, hat aber einen Pferdefuß: Wenn du versuchst, gegen die Grundkonzepte wie „Jedem User seinen Home-Ordner im Homes- Verzeichnis“ zu verstoßen, hast du verloren.

Statt hier viel Kompetenz darauf zu verschwenden, es „wie früher / immer“ zu machen, arbeite dich doch ganz einfach mal darin ein, es „wie auf einer Synology“ zu machen. Deine Familie wird es dir danken !
 
  • Like
Reaktionen: Benares


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat