Freigegebene Ordner mit Zugriffsverweigerung ud Filedownload nicht möglich

Hallo,

habe bisher nur einen, allerdings unbeantworteten Artikel zum Problem gefunden, ggf. gibt es aber dazu schon Lösungen, die ich nicht gefunden habe.

Meine NAS TS239 Pro II+ hat einige Benutzer in einer Benutzergruppe A, die in Read-Only Modus auf zwei Freigabeordner zugreifen können sollen. Meldet sich ein solcher Benutzer an, bekommt er im FileManager auch die Freigabeordner links oben angezeigt, aber wenn er draufklickt erschient die Meldung "Kein Zugriff". Es sind keine einzelnen Zugriffsrechte für einzelne Benutzer erteilt worden, alle Rechtevergabe gehen über Gruppen.

Eine andere Benutzergruppe B bekommt zwar Zugriff auf einen zugelassenen (hier R/W) Freigabeordner, aber beim Versuch eine Datei herunterzuladen ist die Dateigröße immer 0 Byte, also unbrauchbar. Gruppe B hat ebenfalls RO-Zugriff auf die oben genannten , exakt gleich definierten Freigabeordner, von denen auf einen zugegriffen werden kann, auf den anderen aber nicht.
Ich habe schon die entsprechenden Benutzer gelöscht und neu angelegt, die Gruppen gelöscht und neu angelegt und die Rechtevergabe bestätigt, bzw. wiederholt, rebootet etc. aber alles ohne Erfolg - dis NAS verhält sich nicht so wie sie soll, d.h. das gesamte Rechtemanagement ist im Eimer.

Soeit ich bisher gegoogelt habe, bleibt nur ein Neuaufsetzen des Systems, oder hat jemand eine andere Idee?

Hallo Mavalok2,
danke für die Antwort.

- Zu 1: Ich habe das Verhalten selbst mit Windows 7 Professional und mit Windows 8 auf drei verschiedenen Rechnern getestet, überall dasselbe Verhalten. Ich kann nicht genau sagen, welche anderen OS andere Benutzer verwenden, gehe aber davon aus dass alle Windows-OS sind (7 und höher)
- Zu 2: Firmware-Version 4.2.6 Build 20171026
- Zu 3: Über QNAP Filemanager. Bei mir selbst auch über verbundene Laufwerke, die auf \\servername\Freigabename gemappt sind, aber bei mir funktioniert alles korrekt und ich habe Zugriff auf alle Shares.

Ein Screenshot von einem Beispiel im Anhang: Beispielbenutzer Dieter_Hoffmann ist angemeldet, bekommt im FileManager die Freigabeordner "Music" und "Hörbücher" angezeigt (wie es auch sein soll, seine Benutzergruppe hat RO Access), aber es erscheint die Meldung "Zugriff verweigert". Das an sich kann doch schon nicht sein, denn wenn er keine Zugriff haben sollte (lt. Rechtevergabe), dann dürfte FileManager ja den Freigabeordner schon gar nicht anzeigen!

Und dort wo Benutzer erratisch Zugriff bekommen und ein File herunterladen wollen, hat es danach die Größe 0 Byte.

Hallo RedDiabolo,

danke für Deine Ausführungen un Beispiele. Im Prinzip habe ich das alles schon verstanden, nur sind zwei Dinge fragwürdig:

• Physikalische oder logische Priorität?
  Was ist priorisiert, die logische Freigabe oder die physikalsiche Ordnerhierarchie und die aus oberhalb liegenden Ordnern abgeleitete Rechtesetzung? In Deinem Beispiel ist die Freigabe Test2 ja ein physikalischer Unterorder von Test1. Wenn jetzt die Rechte von Test1 (physikalisch) und Test2 (logisch) kollidieren - wer gewinnt?
• Änderung
  Tatsächlich habe ich den Freigabeordner Multimedia mit den Unterordnern \Music und \Hörbücher, beide auch als logische Freigabe eingerichtet, auf die eine betreffende Benutzergruppe Zugriff hat. D.h. diese Gruppe darf RO auf Music und Hörbücher zugreifen, aber nicht auf den gesamten Multimedia Ordner. Das wäre so eine Konfliktsituation.
  Nur ist es nicht nachvollziehbar, dass
  
  • Diese Konstellation seit 4 Jahren wunschgemäß funktioniert hat - und jetzt nicht mehr
  • das so sei sollte, denn dann wären logische Freigaben quasi irrelevant und jede Freigabe müsste auf höchster Ebene überschneidungsfrei und benutzergruppenspezifisch eingerichtet werden- und damit wäre die gesamte spezifische Rechteverwaltung sinnlos. Außerdem gehöre ich selbst ja zwangsweise auch der Gruppe everyone an (die keinen Zugriff hat), d.h. auch ich müsste denn den Zugriff verweigert bekommen, das ist aber nicht der Fall. Und die Rechtevorschau, sowohl auf Gruppen- als auch auf Personenebene, zeigt genau die Rechte an, die ich eigentlich habe möchte, nur die NAS verhält sich nicht so.

So, jetzt geht's wieder!

Zitat von D.Kampf

Das liegt an der erweitern Freigabe

Verändere die dortigen Einstellungen und stell es danach wieder wie es vorher war.

D. Kampf: Dein Tipp war der richtige, vielen Dank!

Ich habe einfach "Erweiterte Ordnerzugriffsrechte aktivieren" ausgeschaltet - und das war's. Ich habe sie auch gar nicht mehr eingeschaltet, denn ich brauche sie nicht - man merkt u.A. das neben dem jetzt korrekten Zugriff auch das gesamte Handling viel schneller reagiert als vorher.

Mein Denkfehler war anzunehmen, dass man die erweiterten Ordnerzugriffsrechte aktivieren müsse, wenn man eine logische Freigabe erstellt, die physikalisch ein Unterordner z.B. auf Stammebene darstellt. Das ist aber nicht der Fall. Aber ganz offensichtlich verhaspelt sich die NAS mit diesen erweiterten Ordnerzugriffsrechten, das kann ja auch beliebig kompliziert werden.

Zitat von RedDiabolo

PS.: Ich nehme immer den physischen Weg bei der Freigabe, so wie er bei der Berechtigung für die Freigabeordner zu sehen ist.
Wobei es egal ist, ob du den Link der Freigabe, oder den physischen Ordner berechtigst, das wird sofort in der anderen Darstellung auch angezeigt, bzw. übernommen.

ABER, wenn du nur den Link (Freigabeordner) frei gibst, weist du nicht, welcher Ordner darüber sitzt und möglicherweise eine Zugriffsverweigerung hat (die Vorrang hätte).
Hier in diesem Testbeispiel müssten wir zuerst den Ordner Public/Test1/ checken, erst dann wird es interessant, für wen der Ordner Test2/Test3 freigegeben ist. Das sehe ich aber in der Freigabe (Link) nicht, da schaut es aus, als ob der Ordner Test2/ bereits oberster Ordner ist und keine andere Berechtigung über ihn Priorität hat!

Nun, das kann man zwar machen, aber wenn man das müsste, dann wäre der Sinn und Zweck von logischen Freigaben nicht mehr da. D.h. eine logische Freigabe DARF JA GAR NICHT die Berechtigungen der physikalisch darüber liegenden Ebenen übernehmen, denn dann müsste der Admin ja die gesamte Rechtesituation über alle Gruppen hinweg in der Hierarchie im Kopf haben...
Außerdem: Wo ist das Problem mit der physikalischen Location einer logischen Freigabe? Im Eigenschaften-Dialog einer Freigabe finde ich jederzeit deren physikalischen Speicherort:
Zugriffe-Folder1.JPG

Natürlich muss ich meine logische Freigabe Hörbücher nicht so nennen, ich könnte sie auch AudioBooks oder Digitalbuch etc. nennen.

Also ich schließe daraus:

• Ich werde weiterhin physikalische Ordnerhierarchien halten, die mir das Verwalten erleichtern, also z.B.
  
  
  • \Multimedia
    
    
    • \Musik
    • \Audiobooks
    • \Bilder
    • \Videos
    • ...
• Ich werde weiterhin logische Freigaben einrichten, die physikalisch auf bestimmte dieser Unterordner zeigen
• Ich werde ausschließlich gruppenbezogen Rechte vergeben, d.h. bestimmten Benutzergruppen definierte Zugriffsrechte auf die logischen Freigaben einrichten (und wenn möglich werde ich mir die Gruppen überschneidungsfrei halten, denn die Rechteprioritäten bei Überschneidungen nachzuvollziehen kann eine echte Herausforderung sein
• Der Rechtevorschau der NAS kann man nicht trauen, sie zeigt (zumindest bei aktivierten erweiterten Ordnerzugriffsrechten) schlichtweg falsche Ergebnisse an
• Für alles oben gesagte brauche ich die erweiterten Ordnerzugriffsrechte nicht, also kann ich sie abgeschaltet lassen.

Und: Ich prüfe alles lieber vorher. Es ist ja gut, dass die NAS lieber restriktiver als zu großzügig damit umgeht.

Zitat von RedDiabolo

Alle anderen Ordner, die unter Multimedia/ liegen und auf die der Hörbuch-Benutzer nicht zugreifen darf, musst du explizit pro Benutzer sperren.
Ein Sperre auf die oberste Freigabe (Multimedia/) sperrt alles darunter, egal wenn oder was du darunter freigeben willst ...

Ich glaube, das ist nicht richtig so, und ich bin mir sicher es darf so nicht sein. Denn dann müsste ich ja ggf. hunderte von Berechtigungen setzen, und genau über das verliert man die Kontrolle und das ist bei der Rechtevergabe am Ende ein echtes Sicherheitsrisiko.

Danke an alle für die Diskussion