HILFE: Ich möchte Zugriffsbeschränkungen schaffen

    Moin zusammen,

    ich hoffe auf eure Mithilfe. Ich bin relativ neu im NAS-Bereich.


    Problem:

    Ich möchte meinen Benutzern verscheidene Zugriffsbeschränkungen auf Freigabeordner geben. Das habe ich auch über die entsprechenden Einstellungen bereits getan.

    Nun ist mein Problem, dass ich mein NAS in Windows 10 auch gern im Explorer aufrufen möchte, um eben mit den Ordnern zu arbeiten und einige Ordner als Netzwerklaufwerk verbinden möchte.

    An einigen Clients soll natürlich nicht per admin-Recht auf die Ordnerstruktur zugegriffen werden, weshalb ich ja die Zugangsbeschränkungen eingeführt habe.


    Beispiel:


    \\NAS/Chef soll nur vom Admin-User zugänglich sein.

    \\NAS/Team soll nur vom Team zugänglich sein, das kein Adminkonto ist.


    Wenn ich nun in Win auf das \\NAS zugreifen will, gebe ich die Team-Zugangsdaten ein und er will nicht verbinden. Ich habe mir naiv gedaht, dass man dann zwar in die Ordnerstruktur käme, dann aber auf den Pfad /Chef eben nicht zugreifen kann. Nein...Ich kann gar nicht mit den niedrigeren Rechten auf die NAS zugreifen. Und hier ist das Problem...


    Ich hoffe erstens, dass Ihr versteht, was ich meine und zweitens, dass ihr eine Lösung für mich habt.


    Vielen Dank im Vorraus!

    Also admin würde ich gar nicht zum Zugriff verwenden, da Admin immer Zugriff auf alle USB Medien hat, falls also Ransomware den Admin User Account (also den Computer der diesen User verwendet) befällt kann der also auch alle USB Backups löschen


    Ansonsten sollte alles über Zugriffsrechte geregelt werden. Um Unterordnern separate Berechtigungen zu erteilen sollte noch Windows ACL aktiv sein


    https://www.qnap.com/de-de/how…ns-or-windows-acl-support

    Ich würde ACL auslassen und lieber für die Windows-Accounts des Teams aus Windows heraus direkt den Freigabeordner \\NAS\Team mounten.

    Und ergänzend würde ich keinen NAS-Account Team anlegen, sondern lieber jeden Windows-Account auch als NAS-Account, und denen dann die Rechte auf den Freigabeordner Team geben. Dann authentifizieren die sich automatisch und es lässt sich aus dem Log lesen, wer mal was verbockt hat.

    Netzwerkpapierkorb aktivieren und besser auch nur die Admins dafür berechtigen .

    Sauber löst man das über Gruppen, in die dann die jeweiligen User rein kommen. Die Gruppen werden dann auf die Freigaben berechtigt.

    So kann man einfach Personen in mehrere Gruppen unterbringen und kann damit sehr granular die Zugriffe Steuern.


    Abteilung Marketing, darf auf den Inhalt vom Webserver zugreifen um die Seite intern gestalten zu können, aber bitte nicht auf dem NAS hosten, das bitte über einen Provider usw. erledigen lassen.


    Dann Vertrieb, die dürfen beim Marketing nur lesen, ab in ihrem Ordner Schreiben.


    Teamleiter dürfen dann in den Leitungsordner zusätzlich der z.B. Teamübergreifend freigegeben ist.


    Das ist zwar einmal komplexer zu realisieren, da man noch Gruppen bauen muss, dann aber weniger Fehleranfällig. Denn wenn der Vertrieb einen neuen Kollegen bekommt, packt man den in die Gruppe und es passen gleich alle Rechte. Sonst wird hier was übersehen und man muss wieder nacharbeiten.