Attention bug avec le groupe users dans le dernier dsm

[didierrp]

Et bien grosse frayeur . Ne touchez pas au groupe "user" dans le dernier dsm et peut etre dans quelques versions précédentes....

Comme beaucoup je ne me sers jamais du groupe "user" natif , j'en ai toujours créé d'autres. C'est la premiere chose que j'avais appris ici il y a plusieurs années par un des pionniers de ce site de l'époque...

Hier j'accède au dsm pour régler quelques petites choses et pour voir aussi les nouvelles subtilités du DSM . C'est vrai que je fais les mises a jours mais je vais rarement voir ce que deviennent toutes les rubriques du DSM. Les synology étant ainsi faits qu'une fois tout réglé on peut passer une année voir plus sans ne plus revenir dans le dsm... des vraies "horloges"! ces nas...

Donc là je me connecte je peaufine quelques réglages et un peu par hasard passe dans les permissions du groupe "user" je vois que comme prévu il n'a aucune permissions sur aucun dossiers (en lecture ni en lec/écriture) mais les cases "pas d'acces" ne sont pas cochées ce qui en soit n'a pas beaucoup d'importance puisque les cases de permissions ne le sont pas non plus...mais dans un excès de precision je fais un "pas d'acces" général pour tous les dossiers , j'ai toujours fait ainsi et me dit que cela avait du "sauter" lors d'une mise a jour...Puis je passe a plein d'autres choses et oublie vite mon passage et ma petite correction dans le groupe user.

Je quitte le DSM et j'éteins mon ordi...

Ce matin j'allume mon ordi et a ma grande surprise les deux lecteurs "mappés" depuis le nas ne peuvent se connecter et windows me lance l'alerte..

J'allume un autre ordi du réseau et idem j'essaye de me connecter manuellement au nas via windows explorer et il m'affiche la petite page de connexion réseau de windows avec le nom et le mot de passe mais déjà il indique en rouge acces refusé et en effet impossible de se connecter via windows...!! Je me connecte en "admin" au dsm tout va bien les disques sont en formes !! tout est ok ...par instinct je vais sur "file station" et là l'HORREUR file station est vide et me dit qu'il n'existe aucuns dossiers partagés et qu'il faut en créer!!!!!! je vais dans les dossiers partagés et ils sont tous là!! je bondis! dans les groupes ils ont les permissions je vais dans les utilisateurs ils ont les bons groupes et donc les bonnes permissions ...Je me vois deja tout reinstaller ,j'ai un back up automatique sur le nas de backup qui date de 48heures?? mais je fulmine tout de meme ...

En dernier recours je retourne dans le module utilisateur je vais dans admin et permissions et oh stupeur toutes les permissions sont cochées (normal pour l'admin!!) mais dans les aperçus tout est indiqué en  "pas d'accès"

Je viens sur ce forum fait des recherches et trouve un post datant du 4 mars donc récent et donc avec un dsm récent et qui a un probleme pas tout a fait le meme apres avoir coché dans le groupe "users " la cas "pas d'acces" et là je me me souviens que j'avais "bricolé" ce groupe hier... Donc je décoche la case générale "pas d'acces" au groupe natif "users" sans toutefois lui donner bien entendu aucune permission et là miracle file station s'ouvre a nouveau avec les dossiers et tous les ordinateurs du réseau se reconnecte au NAS..

J'avoue qu'apres 4 heures de recherches et de sueurs froides j'ai un peu la flemme de faire un topos en anglais et l'envoyer a Synology mais si quelqu'un veut faire l'expérience et l'indiquer a Synology....!!

 

 

[Kramlech]

Je ne suis pas très sur que ce soit un bug, sachant que :

• Tous les utilisateurs font partie du groupe "user" (on ne peut pas changer cela).
• La priorité des permissions est : NA > RW > RO (comme indiqué sur la copie d'écran que tu as mise)

Comme tu as interdit l’accès à tous les dossiers au niveau du groupe user, celle ci s'est propagée à tous les utilisateurs .... Et comme cette interdiction est prioritaire à toutes les autres, il est normal que tes utilisateurs n'aient plus aucun accès aux dossiers...

 

[didierrp]

Dans ce cas, que le groupe "user" ai la priorité meme sur l'Admin et son groupe administrator est une ABERRATION

J'avoue comme je l'ai dit que cela fait bien longtemps que je ne me suis plus intéressé  au groupe "user " l'ayant "blacklisté" depuis mon premier syno (un 107 !! il y a 7 ou 8 ans!)) grâce aux précieux conseils quand je débutais a un pionnier de ce site...(dont le nom m'échappe qu'il m'excuse..! mais il n'est plus présent ici depuis un certain temps...) A l'époque on était en dsm 2 ou 3 je ne me souviens plus, mais on lui retirait tous les droits (au groupe user ) et l'interdisait sans que cela ne pose de problèmes au  groupe "administrators" lui aussi natif ainsi qu'aux autres groupes créés...

Si c'est voulu c'est suicidaire...!! Il y a déjà plusieurs années tout le monde se demandait pourquoi ce groupe natif "users" était créé d'office alors qu'il pose plus de problèmes qu'il n'en solutionne...

Modifié le 20 mars 2016 par didierrp

[Fenrir]

il y a une heure, didierrp a dit :

Dans ce cas, que le groupe "user" ai la priorité meme sur l'Admin et son groupe administrator est une ABERRATION

Je trouve ça plutôt sain au contraire.

il y a une heure, didierrp a dit :

Il y a déjà plusieurs années tout le monde se demandait pourquoi ce groupe natif "users" était créé d'office alors qu'il pose plus de problèmes qu'il n'en solutionne...

Il permet de gérer simplement les droits pour la plupart des utilisateurs (99% des utilisateurs ne font pas de gestion de droits, donc les droits par défaut s'appliquent).

---------

Ta méthode de n'utiliser que tes groupes reste valable et fiable, il faut simplement ne pas donner de droits contraires par ailleurs.

[didierrp]

Le ‎20‎/‎03‎/‎2016 at 23:06, Fenrir a dit :

Je trouve ça plutôt sain au contraire

Ah bon ?? Pour moi rien est au-dessus que le groupe administrator dont on ne devrait en aucun  cas pouvoir restreindre les droits et qu'un  groupe user puisse "blacklisté" le groupe administrator et  son admin est pour moi une aberration...mais peu importe ce groupe "user" fantoche traine dans le DSM depuis sa création..!

Le ‎20‎/‎03‎/‎2016 at 23:06, Fenrir a dit :

Ta méthode de n'utiliser que tes groupes reste valable et fiable, il faut simplement ne pas donner de droits contraires par ailleurs.

C'est gentil mais ce n'est pas ma méthode ...Rendons a César....

Il y a 6 ou 7 ans avec mon premier syno (un 107!) je suis venu sur ce forum pour m'éclaircir les idées..

A l'époque sur ce forum le grand manitou était un certain Ikeke  (qui me semble-t-il reste toujours admistrateur de ce site bien qu'il n'intervienne plus sur le forum depuis quelques années..) et très gentiment il m'avait donné les bases du DSM 2 ou 3 ? je ne me souviens plus...

Entre autre dans les bases classiques il y avait notamment d'oublier le groupe "user" qu'on ne peut supprimer mais de lui retirer toutes les permissions...Ce groupe natif vient s'immiscer partout (à la creation d'un nouveau dossier par exemple) sans que tu ne le conscientises et si tu n'y prêtes pas attention,et de ce fait il va donner des droits a des personnes dont tu ne desires pas...

Si un jour il me lit qu'il en soit encore remercié...

[gaetan.cambier]

Suffit de lire la doc officielle sur les permissions : une restriction d'accès a TOUJOURS priorité sur une autorisation

[didierrp]

En l'état la restriction d'accès ne concernait que le groupe "users" et non  le groupe "administrator"

[Fenrir]

Il y a 18 heures, didierrp a dit :

Ah bon ?? Pour moi rien est au-dessus que le groupe administrator dont on ne devrait en aucun  cas pouvoir restreindre les droits et qu'un  groupe user puisse "blacklisté" le groupe administrator et  son admin est pour moi une aberration...mais peu importe ce groupe "user" fantoche traine dans le DSM depuis sa création..!

C'est probablement parce que tu ne travailles dans un secteur où il y a des données sensibles.

Même sur ton propre PC il y a des dossiers et des fichiers que tu ne pas ouvrir, même en étant admin. Par contre tu as le droit de faire "sauter" cette restriction.

Il y a 18 heures, didierrp a dit :

Ce groupe natif vient s'immiscer partout

C'est vrai, comme dans tout système (windows, linux, aix, mac os, qnx, ...) il y a des permissions par défaut. Si celles de Synology ne te conviennent pas (c'est aussi mon cas), tu as tous les droits pour les changer.

Encore une fois, ce réglage convient à la plupart des utilisateurs. Synology ça reste du grand public. Ceux qui ont des besoins avancés doivent donc s'adapter.

Il y a 7 heures, didierrp a dit :

En l'état la restriction d'accès ne concernait que le groupe "users" et non  le groupe "administrator"

L'admin (comme TOUS les comptes) est membre du groupe users et comme l'indique @gaetan.cambier, un deny l'emporte TOUJOURS sur un allow (quelque soit le système d'exploitation)