Synology Italia - Forum

Come implementare regole ACL per impedire la creazione di nuove cartelle da utenti/gruppi specifici.
Configurando i permessi sul NAS, ottengo quel che desidero ovvero che gli utenti limitati non riescono a creare nuove cartelle ovvero modificare la struttura delle directory.
Purtroppo questa limitazione si estende anche ai file contenuti in quel percorso permettendone l'apertura in sola lettura.
(salvataggio in medesima posizione consentito solo con altro nome-file).
Quel che desidero è limitare solo la creazione di nuove cartelle vincolando l'albero delle directory, lasciando libertà alla creazione-cancellazione-modifica dei file in tali sottocartelle contenuti.

L'unica e legare il nas a un dominio cosi puoi eliminare la ereditarietà dei permessi

"L'unica"..... rispondendo così lasci intendere che non c'è modo alcuno di ottenere quel che mi serve. Confermi quindi che non c'è modo di avere albero delle cartelle vincolato (almeno sino a quel livello) e contemporaneamente file liberi di essere modificati e sovrascritti.

"legare il nas a un domini" ... intendi windows 2000 server (cosa impossibile per i badget disponibili) o per dominio c'è qualcosa di realizzabile con un pacchetto Synology? Ho cercato ma non ho trovato "domini" installabili. Unica cosa che ho trovato è la possibilità di centralizzare la gestione password ma non la gestione delle ACL in modo diverso da quello già nativo. Hai qualche pacchetto da suggerire che mi è sfuggito?

"cosi puoi eliminare la ereditarietà dei permessi" ... non credo che ti riferisci al taglio dell'ereditabilità permessi ce può essere fatto in qualsiasi punto della gerarchia cartelle. Con riferimento all'interruzione dell'ereditabilità privilegi delle sottocartelle, anche interrompendole rimangono comunque dello stesso tipo i privilegi utilizzabili.
(ps.... GRAZIE!)

Continuo rispondendomi ....
Per ora ho risolto dividendo l'albero delle directory in due parti ovvero quel che è al livello superiore e quello che è al livello inferioe; nessun privilegio di modifica per quanto è posto più in alto come gerarchia di cartelle e privilegi più permissivi per quel che è posto a valle di quel nodo.
Così facendo si salvaguarda almeno l aparte alta dell'albero directory concedendo .. torto collo .. permessi di creazione cartelle e modifica file nelle successive sottocartelle di livello inferiore.

Purtroppo tutto questo si concretizza con una .. figuraccia .. con chi mi aveva chiesto assistenza riguardo l'acquisto di un NAS. Confidavo che le ACL configurabili mi avrebbero permesso di gestire come da mia richiesta i privilegi.

Guardato questa guida? https://www.synology.com/it-it/knowledg ... om_Windows

Una volta abilitata sembra che vai in file station e puoi modificare le sottocartelle. Lo provi?

l'ereditarietà delle acl è rimuovibile anche da pc fuori dominio.

esempio cartella "A" con sottocartelle "1","2", e "3" agli utenti, quello autorizzati, vogliamo dare carta bianca dentro le cartelle 1,2,3 ma non volgiamo che modifichino la struttura di A creando nuove cartelle di pari livello a 1,2,3.

pr facilitare la gestione nel nas creiamo i gruppi: dir1_ro, dir1_rw, dir2_ro, dir2_rw, dir3_ro, dir3_rw
sulla condivisione dove risiedono 1,2,3 abilitiamo le ACL avanzate. A può essere la condivisione oppure una cartella all'interno della condivisione, nel qual caso bloccheremo l'ereditarietà dei permessi.

da pc, proprietà cartella "A":
- se A non è il primo livello dalla scheda sicurezza (finestra in basso) modifica le impostazioni avanzate togliendo la spunta "eredita da oggetto padre" e scegliendo copia per mantenere copia di quelle esistenti.... e salva
- nuovamente sceda sicurezza A, finestra in alto aggiungiamo i gruppi dir1_ro, dir1_rw, dir2_ro, dir2_rw, dir3_ro, dir3_rw tutti in sola lettura ed aministrators in controllo completo (se già non esistente assieme a system e creator_owner che devono rimanere) eliminiamo eventuali altri gruppi/utenti... e salviamo.
- nuovamente scheda sicurezza A, avanzate, finestra sotto, modifichiamo i gruppi dirxxx appena aggiunti (le spunte sulle varie opzioni dovrebbero essere corrette) scegliendo sopra le spunte "solo la cartella corrente ed i file.... nel salvare verifichiamo che non sia attiva l'ereditarietà e forziamo invece la propagazione ai livelli sottostanti (1,2,3 e quanto all loro interno.

proprietà cartella "1" ,2,3
- scheda sicurezza semplice, finestra sopra, aggiungiamo i gruppi dir1_ro e dir1_rw dando sola lettura (3 spunte) al primo e modifica (5 spunte al secondo)
- ripetiamo l'operazione per le cartelle 2 e 3 con i rispettivi gruppi.

non servirà più toccare le autorizzazioni della struttura di cartelle, che specialmente con il popolarsi dei contenuti diventano anche lunghe oltre che fastidiose in quanto i diritti (metadati) vengono scritti (associati) ad ogni singolo file all'interno.
per gestire gli accessi sarà sufficiente aggiungere un utente al gruppo opportuno. finito, facile e veloce.

gli utenti di tutti i gruppi dirN_xx avranno accesso in sola lettura e solo alla cartella A, potendone così elencare il contenuto, ma non creare file o altre cartelle.
alla cartella "1" accederanno in lettura i membri di dir1_ro mentre avranno anche diritto di scrittura i membri di dir1_rw ... entrambi i gruppi non potranno invece accedere a 2 e 3. uguale e opposto per le altre due cartelle.

Nulla da fare .. non riesco a cavare "il ragno dal buco" ovvero rimane la stretta correlazione tra privilegi concessi nei confronti di cartelle con quelli concessi ai file.
Ripetendomi.. preso un punto dell'albero delle directory, non si riesce a concedere all'utente di modificare/creare/cancellare i file senza concedere ANCHE i privilegi per la creazioen di directory. Sembra che questi privilegi non riescano ad esser distinti tra file e directory ma solo abbinati.
La guida che mi hai consigliato di lettere l'avevo già analizzata ma non aggiunge nulla di nuovo. La guida permette di utilizzare la schermata di windows per l'attribuzione delle ACL; schermata quella di windows un poco più .. granulare .. rispetto a quella .. spartana .. di linux.