Benutzergruppen mit widersprüchlichen Berechtigungen

    Hallo Community,


    an und für sich sind meine Kenntnisse ja nicht die Schlechtesten, aber ich stehe vor einem scheinbar zum Scheitern verurteilten Problem...


    Wir betreiben ein NAS zur aktiven Datenablage und Sicherung der Files, dazu gibt es einen großen Ordnerbereich "Datenablage". Je nach Verantwortungsbereich gibt es Subordner wie zB. Fahrzeuge, Geräte, Kassa...

    Mittels Berechtigungs- bzw. Benutzergruppen hat jeder dieser Subordner entsprechende read, write oder deny-Rechte. Grundsätzlich ist die momentane Config so:

    FahrzeugeGeräteKassa
    Benutzergruppe "Fahrzeuge"writedenydeny
    Benutzergruppe "Geräte"denywritedeny
    Benutzergruppe "Kassa"denydenywrite


    Am Beispiel Benutzer "max.mustermann" und "hans.maier"


    "max.mustermann" ist der Benutzergruppe "Fahrzeuge" zugewiesen und kann daher nur auf diesen einen Ordner zugreifen, nicht auf andere. "hans maier" ist nun aber für beides zuständig, somit hat er die Benutzergruppen "Fahrzeuge" und "Geräte". Leider scheinen sich dann hier aber die Rechte gegenseitig zu "deny'en", denn er kann nun auf keinen der beiden für ihn freigegebenen Ordner zugreifen.


    Bitte hier um euren Rat, ob es dazu irgendwelche potentiellen Lösungsansätze gibt

    DANKE ^^

    Danke für den raschen Lösungsvorschlag. Das hat dann aber zur Folge, dass er in dem Ordner trotzdem Read-Rechte hat --> das darf er aber keinesfalls.

    Hallo,


    das wird mit den NAS-Rechten schwierig. Hast Du schon mal versucht, in den Einstellungen des NAS die Windows-ACL-Unterstützung zu aktivieren und dann die Benutzerrechte über Windows zu steuern?


    pasted-from-clipboard.png


    In Windows kannst Du die von Dir gewünschte Funtionalität problemlos umsetzen, da Du Lese- und Schreibrechte separat steuern kannst. Hat der Windows-Benutzer keinen Zugriff, dann sieht er auch die Dateien nicht.


    Bei Windows und Linux gilt: Deny geht vor Berechtigung. D.h. hat ein Nutzer ein Deny bei einem Ordner gesetzt, dann nützen sämtliche sonstigen Berechtigungen nicht - darauf weist Windows auch hin:


    pasted-from-clipboard.png

    Zitat von lhsei

    In Windows kannst Du die von Dir gewünschte Funtionalität problemlos umsetzen, da Du Lese- und Schreibrechte separat steuern kannst. Hat der Windows-Benutzer keinen Zugriff, dann sieht er auch die Dateien nicht.


    Wir führen kein Active Directory über einen Windows-Server und sind am lokalen Rechner mit dem selben User angemeldet; es geht vorrangig um Zugriff via Web. Greifen dann also die Berechtigungen auch am NAS direkt (wenn über Windows-ACL gesteuert), wenn der User bspw. über das Web-Portal einsteigt, oder ziehen hier wieder die vergebenen NAS-Rechte?

    Die Windows-ACL wirken meines Wissens nach leider nur über SMB- Zugriff.

    Webzugriff heißt konkret was? Nutzt Ihr dazu die Filestation?

    Ja bei Zugriff "über Web" und "Webportal" ..da schrillen dann die Alarmglocken...NAS offen im Netz (Malware ick hör dir trapsen)

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Naja es geht konkret darum, Daten von überall aus einfach zugänglich zu machen. Das funktioniert über den Webzugriff am Einfachsten. Mir ist schon bewusst, dass das über VPN weitaus sicherer zu machen ist.


    Ich bin aber gerne auch für andere Vorschläge/Lösungen offen...

    Mir ist schon klar worum es geht ...aber das ist zu unsicher und hat zu Wellen von verschlüsselten NAS geführt (Qlocker und Deadbolt in den letzten 12 Monaten)


    VPN und Sharehoster (dropbox,onedrive,etc) so geht das

    Für diese Zwecke würde ich eine Nextcloud einsetzen. Dort kannst Du Zugriffe deutlich granularer steuern und auch Nutzergruppen einsetzen. Außerdem ist eine online-Bearbeitung über Collabora/OpenOffice möglich.

    Dann aber auch nicht auf dem NAS selber, wenn die QPKGs nicht 'upgedated' werden hat man schnell mal ne veraltete Version die dann 'exploitet' werden kann. (Da alle Apps als 'admin' laufen ist das NAS dann schon wieder direkt in Gefahr)


    Ich lasse nextcloud in ner Ubuntu VM laufen (in nem abgeschotteten Netzwerk ohne direkte Verbindung zum Hauptnetz)