Gruppe everyone muß auf Freigaben mindestens Leserechte haben?

    Hallo,


    Im Zuge der Neuinstalltion meines NAS HS-251+ wollte ich auch die Rechte anpassen und dem normalen Benutzer-Account die Adminrechte nehmen. Bin zwar nur alleine auf dem NAS und auch nur im Home-Netz und das NAS ist von außerhalb nicht erreichbar, aber ist vielleicht sinnvoller nicht immer mit Adminrechten auf die Freigaben und die Apps zuzugreifen (auf dem PC arbeitet man ja auch nur mit normalen Benutzerrechten). Habe dafür eine neue Gruppe "User" eingerichtet und dieser Gruppe Lese- und Schreibrechte auf der Freigabe gegeben. Soweit so gut. Nur ist der normale Benutzer-Account auch immer in der voreingestellten Gruppe everyone und ich kann den Benuter daraus nicht entfernen (Funktion ist ausgegraut). Das Problem dabei ist, daß ich für everyone immer Leserechte auf den Freigaben geben muß. Setze ich bei den Freigaben hier die Gruppe everyone auf Zugriffsverweigerung, springen auch immer die Benutzer admin und der normale Benutzeraccount ebenfalls auf Zugriffsverweigerung und sie können vom PC aus die Freigaben noch nichteinmal sehen, obwohl der Benutzer ja volle Zugriffsrechte hätte. Geht das nicht anders? Muß man für Jedermann Leserechte auf den Freigaben geben, damit die eingerichteten Benutzer incl. dem Admin auch mindestens Leserechte bekommen?

    Der Gruppe everyone brauchst kein Recht vergeben, kein Leserecht und auch Zugriffsverweigerung, einfach nicht in der Liste aufnehmen.

    Dann bekommst du gewünschten Zugriffsrechte.

    Hallo,


    Huch, das ist ja seltsam. :huh: Aber es funktioniert und das ist die Hauptsache.

    Das ist nicht seltsam. Jeder ist nunmal jeder. Jeder wird älter. Da kannst du nicht einfach mal jemanden ausschliessen.

    Hallo,


    ^^

    Mit seltsam meinte ich, daß man da nichts einträgt und das dann doch undefiniert ist. Normalerweise muß man die Rechte doch genau definieren.

    Jain. Da everyone ja jeder ist bekommt diese Gruppe weder ein Verbot noch eine Berechtigung. Somit greifen immer die Rechte der weiteren Gruppe oder des Benutzers. Zu beachten ist, dass es eine Vorrangregelung bei den Rechten gibt. Verbote sind, soweit ich weiß, höher priorisiert.

    Nordlicht000 ,

    vielleicht wird anders herum ein Schuh daraus:


    Wenn das NAS in einer Organisation eingesetzt werden würde, in der ALLE einen Zugriff auf bestimmte Daten haben sollten, zum Beispiel auf die Tageskarte der Kantine oder andere allgemeine Veröffentlichungen der Organisation.


    Dann könnte man diesen Speicherort in die Rechte "Lesen" von everyone aufnehmen.

    Hallo,


    Zitat von MarGol

    Dann könnte man diesen Speicherort in die Rechte "Lesen" von everyone aufnehmen.

    Oder einfach eine Gruppe "Hungrige" erstellen, in der alle drin sind, und dieser Gruppe dann Leserechte geben. ^^

    Ich wollte mit dem Beispiel nur sagen, dass es in einer Organisation Gründe geben kann, dass jeder in der Organisation, egal ob Produktion, Vertrieb, Verwaltung, Haustechnik, Geschäftsleitung auf bestimmte Daten zugreifen können sollte.


    In diesem Fall wäre ein Zugriffsrecht bei everyone einzutragen.

    Das spart die Anlage einer Gruppe der "Hungrigen", die ja gepflegt werden müsste, damit neue Mitarbeiter in die Gruppe aufgenommen werden würden. Bei everyone braucht man nichts zu pflegen, da ja immer alle Nutzer Mitglied der Gruppe sind.


    Mir fällt aber kein Fall ein, welche eine Zugriffsbeschränkung für everyone indiziert. Weil dann wirklich keiner mehr dran kommen würde.

    Zitat von VARONIS Inside Out Security Blog: The Difference Between Everyone and Authenticated Users

    A Bit More Detail

    If the above descriptions were a tad oversimplified for you, here is some more detail.

    The Authenticated Users group includes all users whose identities were authenticated when they logged on. This includes local user accounts as well as all domain user accounts from trusted domains.

    The Everyone group includes all members of the Authenticated Users group as well as the built-in Guest account, and several other built-in security accounts like SERVICE, LOCAL_SERVICE, NETWORK_SERVICE, and others.

    A Guest account is a built-in account on a Windows system that is disabled by default. If enabled, it allows anyone to login without a password.

    Contrary to popular belief, anyone who is logged in anonymously—that is, they did not authenticate—will NOT be included in the Everyone group. This used to be the case, but was changed as of Windows 2003 and Windows XP (SP2).