Subadmins erstellen

    Guten Abend zusammen,


    gibt es bei meiner TS228A die möglichkeit, sozusagen Subadmins bzw. Spezielle Systemberechtigungen zuzuweisen?
    Es geht darum, dass ich der Eigentümer der NAS bin, und Somit auch alleiniger und uneingeschränkter Admin sein und bleiben will.
    Nun sollte ich aber meiner Freundin die möglichkeit geben, Freigabeordner sowie everyonebenutzer zu erstellen, sodass sie ihre Dateien freigeben kann, ohne dass sie die Rechte für die Ordnerzugriffsverwaltung von bereits vorhanden Ordnern erhält.

    Für eine Antwort wäre ich sehr dankbar,


    Schönen Abend und Danke im Vorraus

    Hallo Westlicht, vielen dank für deine Antwort.
    Die hört sich ja Prinzipiell schon mal sehr gut an.
    Allerdings weiß ich jetzt trotzdem nicht genau wie ich das machen soll.
    Wenn ich das Fenster "Neuen Benutzer anlegen" vor mir habe, seh ich links ganz normal erstmal die "Stammdaten", Username, Passwort usw. und rechts dann die Rubriken "Benutzergruppen", "Freigabeordnerrecht" und "Anwenungsberechtigungen".

    Benutzergruppen sind meines Erachtens schon mal raus, die Regeln ja im Prinzip das Freigabeordnerrecht, welches auch nicht Funktioniert, weil das (So Glaube ich zumindest) den Zugriff auf bestimmte Ordner regelt.

    Somit bleiben wohl nur noch die Anwendungsberechtigungen. Ich vermute aber, dass das dann die Jeweiligen Apps sind wie QVideo, QFile etc.

    Korrigiere mich wenn ich falsch liege. Für eine Etwas ausführlichere erklärung wäre ich dir äusserst dankbar.

    Meines Wissens geht das nicht.

    Man kann weitere Admins anlegen, nicht aber deren Rechte wieder einschränken.


    Außerdem gibt es wohl Applikationen, die nur mit dem "echten" admin richtig funktionieren, zumindest wurde das schon öfter berichtet.

    Aber ein "Sub" Admin, der nur bestimmte Aufgaben erfüllen darf, wäre mir neu.


    Gruss

    Zitat von Engelinzivil

    Benutzergruppen sind meines Erachtens schon mal raus, die Regeln ja im Prinzip das Freigabeordnerrecht, welches auch nicht Funktioniert, weil das (So Glaube ich zumindest) den Zugriff auf bestimmte Ordner regelt.

    Wieso seien Benutzergruppen raus?


    Mit Benutzergruppen lässt sich viel machen, nicht nur Freigabeordnerberechtigungen.

    Zitat von Engelinzivil

    Nun sollte ich aber meiner Freundin die möglichkeit geben, Freigabeordner sowie everyonebenutzer zu erstellen, sodass sie ihre Dateien freigeben kann, ohne dass sie die Rechte für die Ordnerzugriffsverwaltung von bereits vorhanden Ordnern erhält.

    Woran scheitert das erste Ziel mit den Freigabeordnern? Kannst Du dies näher erläutern, welche Ordner sie freigeben will und woran dies bislang scheitert?


    Beim zweiten Ziel sehe ich keine Möglichkeit, so einzurichten, ohne weitere Berechtigungen ebenfalls zu erteilen. Entweder ich gebe einem Benutzer das Recht, (jegliche) Benutzer zu erstellen (und fast jeden Benutzer zu löschen) oder nicht, solange Du nicht Deine eigene Benutzerverwaltung einrichtest und damit eine derartig feinere Rechteverwaltung ermöglichst.

    Hallo FSC830,
    danke für deine Antwort, das holt mich von meiner anfänglichen Euphorie wieder ein bisschen runter(scheinbar zurecht)

    Auch dir, chef1, ein Dankeschön.
    Naja Benutzergruppen sind zumindest für meinen Ungeübten Verstand raus. Ich habe bisher zumindest noch nie etwas anderes mit Benutzergruppen getan, als Zugriffsrechte damit "zu Bündeln", um Benutzern nicht jeden einzelnen Ordner Zuzulassen oder Verweigern zu müssen. Und auch bei nochmaligem Ausprobieren fällt mir Spontan keine möglichkeit auf, mit der man "mehr" damit machen könnte. (Für Tricks und Tutorials bin ich natürlich dankbar)


    Ich muss allerdings dazu erwähnen, dass ich die Verwaltung komplett über das Webinterface abwickle. Von SSH und Konsole/Putty oder wie auch immer. und solchen Späßen habe ich rein überhaupt keine Ahnung, daher weiß ich auch nicht, ob es dort villeicht noch mehr möglichkeiten gibt.


    Also es geht um Folgendes Szenario:

    Meine Freundin Studiert und muss desöfteren mal einige Dateien an Ihre Kommilitonen und/oder Dozenten weitergeben. Da diese jedoch immer andere sind und ich selbst zugegeben auch nicht wirklich lust habe, jedes mal neue User und Ordner Anzulegen, möchte ich ihr die Möglichkeit bieten, selbst User und Ordner Anzulegen, Damit sie diese dementsprechend verteilen kann. Ich wiederrum habe aber einige Unterlagen in der Struktur liegen, die dem Datenschutz unterliegen. Daher eben der Wunsch, sie zu einem Quasi "Eingeschränkten Admin" zu ernennen, bzw. einem Adminkonto nur bestimmte rechte zu gewähren.

    Na ja...


    Sobald man "QNAP" und "WAN" in einem Satz erwähnt wird der Artikel hervorgekramt.

    Wofür soll ich mir OneDrive oder Dropbox ans Bein binden, wenn ich eine NAS habe?

    Und ich hab das "Teilen" sogar schonmal probiert. Allerdings über die Synology.


    Ich verstehe hier QNAP aber nicht. Warum muß ich zum teilen einer Datei das ganze QTS via Port 8080 ins WAN propagieren?

    Aber im Prinzip immer noch besser als irgendeinen komischen User mit seltsamen Rechten definieren welcher jeder Admin wieder selbst ändern kann.


    Entweder Admin oder nicht. Dazwischen ist alles ein Gehampel.

    Zitat von rednag

    Wofür soll ich mir OneDrive oder Dropbox ans Bein binden, wenn ich eine NAS habe?

    Ein NAS ist halt kein Cloud Storage(!!)... sind also zwei verschiedene Sachen.

    Vor allem wenn Leute alle ihre privaten Daten (dann auch noch 'ungebackupped') auf dem NAS haben kann ein Crypto befall der alle Daten zerstört einem schon den Nachmitttag vermiesen... oder ?


    Wenn irgendwer deine kostenlose Dropbox hacked/löscht/etc .. das ist dann schon was weniger schlimm

    Im Prinzip ist jedes gehackte Konto/Dienst schlimm.

    Ich für meinen Teil hab hier aber NASen rumstehen, damit ich nicht auf die "Cloud" angewiesen bin.

    Ich will hier keinen missionieren. Kann jeder machen wie er (m/w/d) lustig ist.

    Zitat von rednag

    Entweder Admin oder nicht. Dazwischen ist alles ein Gehampel.

    Bei Linuxsystemen gibt es durchaus Standardkonfigurationen, die unterschiedliche Adminteams ermöglichen. Typisch gibt es dann Admins, die Adminprivilegien nur für Backup und Wiederherstellung haben, oder andere Admins für die Internetanbindung, oder andere Admins für Multimediakram. Organisationsspezifisch kann in größeren Organisationen das gleiche auch für bestimmte Anwendungssystem eingerichtet werden. Selbst unter Windows Active Directory gibt es ähnliches und wird dort Delegation bezeichnet.

    Zitat von rednag

    Sobald man "QNAP" und "WAN" in einem Satz erwähnt wird der Artikel hervorgekramt.

    Viele Anwender, die solche Ideen (naiv) äußern, haben sich noch keine Gedanken über die Nebenwirkungen gemacht, insbesondere keine Risikobewertung. Daher ist der Verweis auf den Artikel sinnvoll. Die Gefährdung wäre bei anderen NAS-Systemen anderer Hersteller oder Eigenbau ähnlich. Eine saubere Absicherung erfordert mehr Aufwand. Und für die Vorhaben ist es oftmals nicht notwendig, weil es einfachere Alternativen gibt.


    Du kennst den Artikel. Wenn für Deine Nutzungszwecke Du ausreichend Absicherungen getroffen hast, trägst Du das verbleibende Risiko für Dein NAS und dessen Daten, nicht nur den freigegebenen. Im schlimmsten Fall bedeutet dies, dass Du durch das Restrisiko nach einem Sicherheitsvorfall wieder neu Aufsetzen musst, einschließlich Wiederherstellung aus Deinem Backup. Welchen Schaden unberechtigte Dritte mit Deinen Daten an anderer Stelle anrichten können, weißt Du aus Deiner Risikobewertung und hast vermutlich solche Teile in einem verschlüßelten Container abgelegt. Im Gegensatz zu Dir ist aber nicht jeder neue NAS-Nutzer so gut vorbereitet und hat noch nicht ausreichend Vorkehrungen getroffen, weil ihm oft diese Risiken und mögliche Schutzvorkehrungen nicht im Blick oder Bewußtsein waren.

    Zitat von rednag

    Wofür soll ich mir OneDrive oder Dropbox ans Bein binden, wenn ich eine NAS habe?

    Es muss kein zusätzlicher Cloudspeicher bei einem weiteren großen Anbieter sein. Von daher mag der Verweis auf OneDrive oder DropBox etwas einseitig sein. Man kann prüfen, in wie fern der Speicher beim eigenen ISP ebenfalls den Anforderungen genügt, um solchen Netzwerkspeicher im Internet mit anderen Nutzern zu teilen, ohne die eigenen Hauptcredentials preisgeben zu müssen. Manche ISP haben solche Leistungen in ihren Basispaketen inklusive mit irgendwelchen Begrenzungen, und bieten umfangreichere Nutzungen gegen Aufpreis an.

    Zitat von dolbyman

    Ein NAS ist halt kein Cloud Storage(!!)... sind also zwei verschiedene Sachen.

    Aber viele QNAP NAS lassen sich zu einem (privaten) Cloud Storage konfigurieren. Bietet eine alternative Möglichkeit, Daten aus der privaten Cloud in eine Public Cloud zu kopieren.

    Zitat von chef1

    Aber viele QNAP NAS lassen sich zu einem (privaten) Cloud Storage konfigurieren. Bietet eine alternative Möglichkeit, Daten aus der privaten Cloud in eine Public Cloud zu kopieren.

    Leider leider ... hätte QNAP das mit der Sicherheit gut geregelt wäre das ja auch alles kein Problem


    z.B. native Container Cloud Share App ohne Verbindung zum Hauptsystem, wo der Webserver via root läuft etc.

    Zitat von chef1

    Bei Linuxsystemen gibt es durchaus Standardkonfigurationen, die unterschiedliche Adminteams ermöglichen.

    Ich rede hier nicht von großen Firmen wo es verschiedene IT-Teams gibt.


    Wir sind hier in einem "privaten" Forum. Da wo die meisten User "Heimanwender" sind.

    frosch2 hat schon Recht. irgendwo hat er auf Dich bezogen geschrieben, daß man auch alles falsch verstehen kann wenn man sich Mühe gibt....

    Zitat von rednag

    Wir sind hier in einem "privaten" Forum. Da wo die meisten User "Heimanwender" sind.

    Ja, das habe ich mit Standardkonfiguration gemeint. Wenn Du vor 25 Jahren ein Standardlinux einer großen Distribution als Heimanwender auf Deinem einzigen PC installiert hast, fragte Dich der Installer ein paar Standardfragen. Wenn Du dann als Heimanwender die Desktopstandardkonfiguration Deiner Linuxdistribution installiert bekommen hast, war auch ein Standardkonto für Backupadministratoren eingerichtet worden, zusätzlich zum Hauptadministrator. Dieses Standardkonto für Backupadministratoren war nur standardmäßig nicht aktiv. Damit hat der Standardbenutzer mit seinem normalen Benutzerkonto z.B. per su oder sudo einfach mal einen Backupjob anstoßen können, ohne gleich zum Hauptadministrator wechseln zu müssen. Soviel Komfort bietet QNAP standardmäßig heute nicht.

    Zitat von rednag

    daß man auch alles falsch verstehen kann wenn man sich Mühe gibt....

    Ich weiß nicht, was daran falsch verstanden sein solle. Der Themenersteller wollte eine ähnliche Delegation for Administratorrechten für seine Freundin einrichten, nur mit anderen Berechtigungen und anderen Einschränkungen. Das Hauptproblem bei seiner Anfrage ist die Granularität der Einschränkungen.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von dolbyman

    Ein NAS ist halt kein Cloud Storage(!!)... sind also zwei verschiedene Sachen.

    Vor allem wenn Leute alle ihre privaten Daten (dann auch noch 'ungebackupped') auf dem NAS haben kann ein Crypto befall der alle Daten zerstört einem schon den Nachmitttag vermiesen... oder ?


    Wenn irgendwer deine kostenlose Dropbox hacked/löscht/etc .. das ist dann schon was weniger schlimm

    Also was die Sicherheit angeht, kann ich schonmal soviel sagen dass sowohl meine Freundin als auch ich den Zugriff von aussen immer per VPN über die Fritzbox ausführen. Ob das jetzt gut oder schlecht ist, dessen bin ich mir jetzt grade nicht mehr ganz so sicher, aber VPN ist ja immerhin mal besser als nix.

    Der Zugriff von "aussenstehenden" wird immer nur im Einzelfall per qlink gewährt(Daher auch die sache mit User und Freigabeordner). (Dass man einen Freigabelink erstellen kann war mir so nicht bewusst, daher war die sache mit User und Freigabeordner teilen per Qlink für mich der Weg der wahl. Aber scheinbar sollte ich das wohl lassen, sonst gäbe es diese hochinteressante diskussion gerade nicht.)

    Auf dienste wie Dropbox, onedrive und Co. wollte ich eben auf dauer verzichten, aus diesem gedanken heraus habe ich mir ja ursprünglich einen NAS angeschafft. Dass ich dabei natürlich die Verantwortung dafür trage ist mir sehr wohl bewusst, ob meine Files jetzt aber wegen einem Totalausfall durch Hacker futsch sind, oder wegen einem Gebäudebrand oder Wasserschaden (Gott bewahre, klopf auf Holz), macht keinen unterschied, das könnte mir mit einer Portablen Festplatte gleichwohl passieren. (Klar ist die Physische Sicherheit bei den Großen Cloudanbietern da wesentlich höher, aber die Wahrscheinlichkeit, dass diese von Hackern geentert werden ebenfalls. Wer soll sich denn schon für meine 0815 IP adresse in der Provinz interessieren)

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von chef1

    Ich weiß nicht, was daran falsch verstanden sein solle. Der Themenersteller wollte eine ähnliche Delegation for Administratorrechten für seine Freundin einrichten, nur mit anderen Berechtigungen und anderen Einschränkungen.

    Du hast es perfekt auf den Punkt gebracht.

    Zitat von Engelinzivil

    Wer soll sich denn schon für meine 0815 IP adresse in der Provinz interessieren


    Das ist das Problem... ist ja net so als würde H.Ackermann mit seinem Hackermobil hier Wohnungsviertel abfahren und nur gute Ziele zum hacken rausfiltern.


    Das sind Bots die einfach komplette IP Bereiche systematisch fingerprinten und dann entweder selber exploit Kits fahren oder die Infolisten an Kriminelle verkaufen. Ist also egal obs ne 0815 oder 4711 IP ist.

    Zitat von Engelinzivil

    Klar ist die Physische Sicherheit bei den Großen Cloudanbietern da wesentlich höher, aber die Wahrscheinlichkeit, dass diese von Hackern geentert werden ebenfalls. Wer soll sich denn schon für meine 0815 IP adresse in der Provinz interessieren

    Es geht Hackern in Deinem Fall meist nicht um Deine Daten sondern entweder um Deinen Geldbeutel (Ransomware) oder um Deine IT-Resourcen (Cryptomining, Botnetzteilnahme für Attacken auf große Organisationen). Vielleicht erinnerst Du Dich an das Beispiel, bei dem in Deutschland vor allem die Standardprivatkundenrouter der Deutschen Telekom von der Botnetzteilnahme betroffen waren. Es ging um mehr als 900000 Anschlüsse in Deutschland, und weiteren Anschlüßen weiterer Kunden in anderen Ländern Europas. Deine IP-Adresse oder Deine Daten waren den Hackern egal.


    Und woher weißt Du, dass Deine heutige 0815 IP Adresse in der Provinz nicht gestern die IP Adresse einer kleinen Bau- oder größeren Handwerksfirma in der Metropole Deiner Provinz war, auf dem vielleicht mehr Geld zu holen war und die Daten vielleicht auch für eine Vermarktung interessanter wären?

    Einmal editiert, zuletzt von chef1 ()

    Zitat von Engelinzivil
    Der Zugriff von "aussenstehenden" wird immer nur im Einzelfall per qlink gewährt(Daher auch die sache mit User und Freigabeordner).

    Dass ihr für den generellen und ständigen Zugriff VPN verwendet ist schonmal die halbe Miete, ungeachtet dessen, wie das VPN aussieht.

    Nur hebelst Du dieses Sicherheitsfeature aus, indem du für "aussenstehende" eine Freigabe mittels Portfreigabe realisierst...

    Oder schaltest Du die Portfreigabe nach Bedarf für Stunden oder Tage ein und anschließend wieder aus?

    Letztlich spielt es bei dauerhafter Portfreigabe keine Geige mehr, ob am NAS irgendwelche Berechtigungen gesetzt sind: Das NAS ist offen im Netz.

    Und wenn Du die Portfreigabe temporär ein und ausschalten willst, dann bist Du als Admin schon wieder mit im Boot 8o

    dolbyman, chef1


    Okay das was ihr sagt ergibt durchaus Sinn, da habt ihr vollkommen recht. Dann sollte ich die Idee der Sicherheit Willen, auf dauer doch lieber verwerfen.

    tiermutter


    infolge der Vorangegangenen Unterhaltung muss ich wohl auch dir recht geben.


    auch wenn ich es nicht gerne sage, hat sich das ganze dann wohl erstmal erledigt.

    Ich danke euch ganz herzlich für eure Unterstützung und wünsche euch ein schönes Wochenende - Bis Bald:thumbup: