Rechtevergabe via Benutzergruppen funktioniert nicht

    Ich habe ein Qnap 419P+. Allerdings funktioniert die Rechtevergabe nicht wie geplant. Ich habe z.B. für den Ordner web die Benutzergruppen web_r und web_rw angelegt. Alle Benutzer die schreiben in web dürfen sind Mitglied in web_rw. Wer nur lese Rechte hat ist Mitglied in web_r. Alle anderen sollen keine Rechte haben. Aktuell haben die Nutzer in web_rw aber auch nur Leserechte. Nur Admin hat auch Schreibrechte. Ähnliches Problem tritt dann auch bei den Netzwerkpapierkorb Ordner und den Benutzergrupper recycler_r und recycler_rw auf. Für die Benutzer einzeln sollen keine Rechte explizit für die Ordner gesetzt werden. Testweise hatte ich das aber auch erfolglos probiert.

    Hi,


    was ist mit der Gruppe "everyone"? Die muss alles dürfen, sonst geht nichts. Liste mal die Gruppen auf und (ggf. unkenntlich) gemachte User, es kommt auf die Rechte an, nicht die User.


    Enthalten die User- oder Gruppennamen Sonderzeichen? Nimm die mal raus.

    Die Benutzerrechte sind wie folgt gesetzt:



    Der Gruppe everyone wollte ich keine Rechte geben, da für jeden Ordner die Rechte explizit über die Gruppen erfolgen sollte. Vorallem sollten Benutzer in den Gruppen web_r und web_rw nicht auf die anderen Ordner zugreifen können. Auch wenn später Ordner angelegt werden, soll es nicht notwendig sein explizit erst den Zugriff zu sperren. Auf einer anderen Datenstation eines anderen Herstellers habe ich die Rechte auch so gesetzt und dort funktionierte es nach diesem Schema.

    Das Problem sind die fehlenden Rechte von everyone.


    Ganz einfach: Wenn jeder nichts darf, kann keiner was.


    Gib everyone Rechte, und es wird gehen. Nutzerrechte unter Linux funktionieren anders, als man das als Laie denkt - ging mir auch so.

    Das Grund Prinzip bei Unix/Linux ist ja Rechte für Ersteller, Gruppe und Rest der Welt. Allerdings funktioniert das auf den Qnap irgendwie anders.
    Jetzt habe ich everyone alle Rechte geben, aber z.B. user1 kann im Ordner web trotzdem nur lesen, obwohl Schreibrechte vergeben wurden.

    Hallo,


    everyone sollte KEINEN Haken erhalten, bedeutet explizit keine Schreib-/Lese-Rechte oder Verweigerung.
    Somit wird die Gruppe everyone nicht berücksichtigt.


    Das Problem könnte sonst noch an den Linux-Dateiberechtigungen liegen,
    das diese ungünstig vom System gesetzt wurden.


    Stefan

    Hi eraser,


    DAS ist mir neu! Häh? Seit wann kriegt everyone keinen Haken mehr? Bitte Erklärung, denn bislang war das immer anders.


    EDIT: Hab das gerade mal gecheckt - bei mir ist everyone immer aktiv, in allen Gruppen. :?:

    Einmal editiert, zuletzt von eol1 ()

    Schon immer,
    mit einem Haken setzt du dann für ALLE Benutzer die Lese-/Schreib-Rechte oder Verweigerung:
    Haken bei Leserechte, ALLE Benutzer haben Lese-Rechte ,
    auch wenn man nur einzelne Benutzer die Lese-Rechte geben wollte.
    Einen Haken bei Everyone ist ungünstig, außer es ist so gewollt.


    Kein Haken bei Everyone bedeutet,
    dass wirklich nur die Benutzer oder Gruppen auf die Freigabe entsprechende Zugriffsrechte haben.


    Stefan

    Der Haken an der Sache ist nur der, dass ich bei meiner 109er mit der FW 3.3.0 bei everyone gar keinen Haken setzen oder entfernen kann - nirgendwo. Bei mir funzt aber alles, wie es soll.


    :?::?::?:

    Hi Ihr,


    das interessiert mich auch brennend und ich würde gern wissen wie eure Diskussion ausgeht,da auch ich irgendwie mit der Rechtevergabe nicht wirklich klar komme.
    Irgendwie scheint es mit Vererbung von Rechten und grundsätzlich mit der Rechtevergabe irgendwie nicht wie im normalen Windowsbereich zu funktionieren.


    Viele Grüße


    Micha

    Zitat von "superfrosch9"

    Irgendwie scheint es mit Vererbung von Rechten und grundsätzlich mit der Rechtevergabe irgendwie nicht wie im normalen Windowsbereich zu funktionieren.


    Zur Zeit werden die Zugriffsrechte nur über die Freigabe gesteuert, daher gibt es auch keine Möglichkeit die Rechte auf Ordner oder Dateien zu vererben.


    Stefan

    Ich habe noch einmal mit dem Rechten, Gruppen und User gespielt. Nach wie vor funktioniert das mit der Rechtevergabe nur bei einzelnen Ordner bzw. Unterordnern. In den Web-Ordner kann nur User "admin" Ordner anlegen. Der User "web_rw" kann dann nur in machen Unterordner Ordner erstellen. Via ssh draufgeschaut ist auffällig das bei den einzelnen Ordner Benutzer und Gruppe unterschiedlich gesetzt sind. Manchmal admin und administ und in anderen Fällen httpusr und everyone. In wie weit das Einfluss hat weiß ich jetzt gerade nicht, da ja noch acl mit eingesetzt wird. Irgendwo scheint es her noch eine Inkonsistenz zu geben.
    Das Problem habe ich mit allen Firmware Version (3.3.6 bis 3.3.9) gehabt.

    Ich sitze hier vor dem selben Problem mit meinem TS-409.
    Habe bei Everyone alles auf Deny gesetzt mit dem Gedanken Schreib- und Leserechte nur explizit zu vergeben.
    Dann ging aber gar nichts mehr. Fakt ist das bei Everyone kein Haken gesetzt werden sollte...


    Aber ich begreife das nicht so wirklich.
    Was passiert denn wenn ich einen neuen User anlege der zB. NUR im Ordner "Media" lesen darf und ansonsten komplette Zugriffsverweigerung haben soll.
    Szenario:
    User wird angelegt, nur Gruppe Everyone.
    Ich gehe in die einzelnen Freigabeordner und setze für diesen User bei "Media" den Wert "RO", den Rest auf "Deny", vergesse dabei aber einen Ordner (z.B. "Backup").
    Kann der User nun darin was anrichten oder nicht?
    Ich habe gerade diverse Szenarien durchgespielt, leider hat sich gar nichts verändert (muss wahrscheinlich jedes mal neu starten, das hab ich nicht gemacht).
    Aber vielleicht kann mir das mal jemand erklären.
    Ich möchte eigentlich erreichen das ein neu angelegter User erstmal generell Zugriffsverweigerung bekommt. Die einzelnen Rechte pro Freigabe möchte ich dann einzeln vergeben.
    Wie geht das?

    Zitat von "thitcher"

    Ich möchte eigentlich erreichen das ein neu angelegter User erstmal generell Zugriffsverweigerung bekommt. Die einzelnen Rechte pro Freigabe möchte ich dann einzeln vergeben.
    Wie geht das?


    + Gast-Zugriff auf "Verweigern"
    + "Everyone" kein Haken
    Somit haben nur die Benutzer Zugriff, die auch in der Liste eingetragen sind und "RO" oder "RW" haben.


    Stefan

    Hallo ich habe ein ähnliches Problem und habe über die Suche diesen Beitrag gefunden.


    Zitat von "Eraser-EMC2-"


    + Gast-Zugriff auf "Verweigern"
    + "Everyone" kein Haken
    Somit haben nur die Benutzer Zugriff, die auch in der Liste eingetragen sind und "RO" oder "RW" haben.


    Stefan


    Habe das bei allen Ordnern so eingestellt und Die Rechte dann Gruppenweise Vergeben, weil ich möglicherweise später noch User hinzufügen möchte und diese dann in die vorhandenen Gruppen eingruppieren möchte.
    Generell wollte ich das so einstellen, wie "Thitcher" Keiner darf da irgendwas und die Rechte vergebe ich dann anhand von Gruppen, aber irgendwie funktioniert das nicht. Habe die Ordner unter Win XP über "Netzlaufwerke verbinden" hinzugefügt.


    Bei fragen stehe ich geren Zurferfügung


    Gruß


    Dagobert

    Ich könnte mir vorstellen, dass da die fehlenden Rechte für Everyone den Ärger machen.


    Ich verstehe aber das Problem nicht.


    Wenn der User selber erst mal keine Rechte auf die Shares hat, kann er nichts. Wenn die Gastrechte auch nicht gesetzt sind, kann er da auch nichts.


    Also warum will man dann einen User anlegen, der eh nichts darf, um dann kompliziert noch mal rumzumokeln, damit er dann immer noch nichts darf?


    Leute, die nicht auf mein NAS sollen, lege ich als User nicht an. Dann können die rein gar nichts. User, die ich angelegt habe, dürfen was, und das stelle ich über Gruppen ein. Ganz simpel, und es tut genau das, was es soll.

    Nein ich will Die Rechte an Hand von Gruppen vergeben um wenn ich später einen weiteren Ordner oder einen neunen User mache nicht umständlich die User überall nachpflegen muss ^^ Die User habe ich vorher in Gruppen sortiert. Aber die eine Gruppe mit den Usern darf auf bestimmte Ordner zugreifen da drinne "machen was sie will" also lese und schreibrechte die andere Gruppe darf hin gegen im selben Ordner nur Lesen. Gäste dürfen nichts sprich der Zugang soll nur per User möglich sein. Ich habe aber den Sinn der Gruppe "Everyone" noch nicht so ganz herrausgefunden. Ich will ja das bestimmte Gruppen in denen sich User befinden in Ordner Schreiben fürfen, andere Gruppen dürfen im Selben Ordner nur lesen wieder andere haben aber Garkeinen zugriff auf diesen Ordner

    2 Mal editiert, zuletzt von Anonymous () aus folgendem Grund: Volltextzitat entfernt!

    Everyone ist in der Funktion kongruent zur gleichnamigen Gruppe unter Windows.
    Es dient dazu Zugriffe zu erlauben oder zu verweigern, ohne eine Authentifizierung durchzuführen.
    Aufgrund dessen kann sie auch nicht entfernt werden.
    Die Verwendung von "deny" ist nur in speziellen Fällen notwendig und sollte vorsichtig verwendet werden.
    Deny hat immer Vorrang vor allow, ist etwas verweigert kann man hintendran erlauben was man will, es wird immer verweigert.
    Setzt man z.B. everyone auf deny, kommt keiner mehr drauf.


    Auf eine Freigabe eine Gruppe zu bilden und dort Berechtigungen zu setzen, reicht aus.
    Anderen Benutzer hier noch den Zugriff explizit zu verweigern ist nicht Sinn der Sache, das führt meist nur zu ungewollten Nebeneffekten.

    Wen nich das jetzt alleso richtig verstehe ist: wenn ich die Gruppe Everyone weder eine schreib noch eine verweigern berechtigung gebe sondern nur den Gruppen dann müsste alles klappen??? wie sieht es den mit der Berechtigung ro und rw aus welche hat da vorrang ist es da genau so, dass ro vor rw geht wenn ich also einer Gruppe ro gebe und der gleiche user noch in einer gruppe ist die rw hat das er nur ro kann?!