Jeder Domäne Benutzer benötigt Zugriff auf eigenen Ordner

    Guten Tag,


    ich habe ein Problem und hoffe ich kann hier die Lösung dazu finden.

    Ich habe bei meiner NAS schon die Domäne eingetragen und alle Domäne Nutzer werden angezeigt.

    Nun folgendes würde ich gerne einstellen.

    Jeder Domäne Nutzer loggt sich ein und dieser sieht jeweils nur seinen eigenen Ordner der auf XY GB beschränkt ist. Natürlich kann auch jeder Benutzer in seinem Ordner etwas hoch oder runterladen.

    Da es mehrere tausende Nutzer sind kann ich nicht für jeden einzelnen einen Ordner per Hand einrichten und so die Berechtigung verwalten.

    Gibt es dazu einen einfacheren, eleganteren Weg ?


    Um jede Hilf zu dem Thema bin ich sehr Dankbar :cup: :qclub:

    Au weia, DC auf dem NAS und mehrere 1000 Benutzer...?

    Mutig, sage ich nur.


    Oder ist das NAS "nur" Mitglied in der Domäne und der DC läuft auf einem Windows Host?


    Gruss

    Nein, das NAS ist wie du sagst nur Mitglied und der DC läuft auf einem Windows Host.

    tiermutter vielen vielen dank, das hat mir sehr geholfen. :)

    Ich hätte dazu noch 2 fragen.


    1. Gibt es eine Möglichkeit einzustellen, dass die Anwender nicht immer "Domäne\Benutzername" eingeben müssen beim Log in sondern nur den Benutzernamen ?

    2. Gibt es eine Möglichkeit einzustellen, dass die Anwender nach dem Log In einen so eingeschränkten Zugriff haben, dass diese nur Down- und Uploaden können und sonst nichts ?


    MFG

    reberle

    2 Mal editiert, zuletzt von reberle () aus folgendem Grund: Ein Beitrag von reberle mit diesem Beitrag zusammengefügt.

    Ich nutze weder einen DC noch die Homefolder, daher kann ich dazu nichts sagen...

    soweit ich weiß kann man den Zugriff auf die Homefolder aber nicht weiter limitieren bzw. bearbeiten...

    Was noch geht: Du kannst die Rechte so einstellen, dass nur der Eigentümer eines Ordners/einer Datei diese löschen darf.


    Wenn Du also als Admin den Benutzern ein paar Dateien in ihre home-Verzeichnisse legst, können sie diese Dateien nicht löschen.

    Screenshot 2022-10-21 233737.png

    Funktioniert, gerade eben ausprobiert. Habe eine Datei des Benutzers "admin" in das home von "MBW8\andreas" kopiert. Ein Löschversuch als "MBW8\andreas" führt dann zu


    pasted-from-clipboard.png


    Im Windows Explorer stellen sich die Rechte dann wie folgt dar und lassen sich auch nicht ändern:


    pasted-from-clipboard.png


    Es gibt im Control Panel --> Rechte --> Freigabeordner --> erweiterte Berechtigungen noch die Möglichkeit, die Datei- und Ordnerrechte auf Windows-ACL umzustellen, müsstest Du mal ein bißchen mit rumspielen, mir fehlt aktuell die Zeit dazu, sonst würde ich es machen...

    Zitat von reberle

    1. Gibt es eine Möglichkeit einzustellen, dass die Anwender nicht immer "Domäne\Benutzername" eingeben müssen beim Log in sondern nur den Benutzernamen ?

    Wenn die Anwender / Geräte in der Domäne angemeldet wären, müssten sie überhaupt nichts eingeben. Demnach sind die Anwender nicht in der Domäne, sondern?

    Sind dies nur "Gäste", müssen sie ja auch irgendwie angeben in welcher Domäne sie sich anmelden wollen. Kann ja schließlich mehrere geben. Mir ist jetzt nicht bekannt, dass dies ohne Domänennamen gehen würde. Ist jetzt aber eigentlich keine QNAP spezifisches Problem. Vielleicht gibt es irgendwo einen Hack dazu.

    Das ganze geht deutlich einfacher.

    Nutze DFS, verwalte die NAS-Freigabe per DFS und weise die Freigaben per GroupPolicy den Benutzern zu.

    Deine Benutzer brauchen sich dann gar nicht mehr individuell am NAS anzumelden UND sie haben die NAS-Freigaben als eigenständiges Laufwerk nach der Anmeldung zur Verfügung. Das kannst Du dann sogar individuell pro Benutzer einstellen.

    Du solltest innerhalb einer Domäne nicht damit anfangen, Rechte und Zuweisung ausserhalb der Domänen-Umgebung zu verwalten. Unabhängig davon, dass das sehr schnell unwartbar wird, reißt Du Dir damit im Zweifel massive Sicherheitslücken.



    Gruß,


    Lauri