Gestion Des Droits Sur Les Partages De Dossiers

[formath]

Bonjour à tous.

J'ai décidé de faire un petit tutoriel sur la gestion des droits d'accès et de partage des fichiers sur le synology suite à quelques difficultés rencontrées lors de sa configuration. J'ai basé mon explication sur mon DS508 doté de la Version firmware DSM 2.0-0728.

J'ai pu également noter que la documentation n'était pas très explicite à ce sujet là.

Pour essayer d'aider le plus grand nombre et ainsi offrir une documentation complète et pratique, je me lance dans cette rédaction. Bien entendu ce petit résumé est évolutif et je corrigerais les erreurs ou ajouterais ce qu'il faut suivant les demandes. Je reste à votre écoute pour toutes les suggestions.

1 – Gestion des droits, qu'est ce que c'est?

Alors tout d'abord une rapide présentation de ce que sont les droits d'accès.

Lors de la création des partages sur le syno, il est possible de donner des accès différents aux gens qui vont se connecter afin de limiter les problèmes d'effacement de fichiers, ou simplement de maintenir une certain confidentialité des données.

Ainsi il est possible de donner un accès complet à un dossier, ou de donner un accès en lecture seule (l'utilisateur pourra lire et copier sur son pc les données mais ne pourra pas créer ou modifier des fichiers sur le syno même), ou bien même ne pas offrir d'accès du tout.

2 – Le partage vu par synology

Synology a une façon particulière de penser le partage des dossiers. Il faut bien comprendre cette façon de penser pour comprendre comment configurer au mieux le partage des dossiers et ainsi faciliter sa gestion. Il faut tout d'abord créer des utilisateurs, des groupes d'utilisateurs et ensuite seulement attribuer des droits sur les dossiers pour les utilisateurs ou les groupes d'utilisateurs. IL faut également savoir qu'il existe 2 super groupes d'utilisateurs. Le groupe user, qui regroupe tous les utilisateurs du syno, et le groupe Admin qui permet de donner les droits d'administration à des utilisateurs. Nous allons voir tout ça!

3 – Les menus

Dans les menus web d'administration du syno, le dossier " privilèges " permet de gérer tous les partages et accès aux partages.

Dans se dossier, il y a un premier item " utilisateur ".

C'est sur cette page que nous allons pouvoir créer des utilisaterus sur le syno, et leur donner un accès au partage ensuite. Par défaut, il existe 2 utilisateurs. " Admin ", et " Guest ". Il n'est pas possible de les supprimer, ni de désactiver le compte admin. Par contre, il est possible de désactiver le compte guest, ou de lui attribuer un mot de passe pour éviter justement qu'un invité puisse se connecter librement au partage de fichier, et ainsi rendre la gestion de droits d'accès inutile!

Lors de la création d'un compte utilisateur, il suffit de lui donner un nom, un mot de passe. Ensuite il faut lui attribuer un ou plusieurs groupes. Par défaut il n'existe que deux groupes d'utilisateurs : " Admin " et " Users ". Tous les utilisateurs sont et seront toujours dans le groupe " users ". Il n'est pas possible de décocher ce groupe la. Par contre, et heureusement tous les utilisateurs ne sont pas des administrateurs, et donc un utilisateurs peut ou non faire parti du groupe d'admin. Dans ce cas là seulement, il aura accès a l'interface complète de gestion du syno..

Je ne parlerais pas de la gestion des quotas sur les comptes utilisateurs. Simplement par ce que pour mon usage ça n'a aucune importance.

Le second item est l'item " groupe "

Pour créer un groupe et y ajouter des membres dedans c'est simple. Il suffit de cliquer sur créer et d'attribuer un nom à ce nouveau groupe. Ensuite avec " modifier les membres " il est possible d'ajouter autant de membre que l'on souhaite à ce groupe. Il faut veiller à bien créer ses groupes et a les peupler des bons utilisateurs pour avoir une gestion des accès efficace.

Le dernier est l'item " dossiers partagés "

Cet item vous est sans doute plus familier puisqu'il vous a permis de créer des dossiers partagés sur le syno. Une fois les dossiers créés, le bouton " configuration des privilèges " permet d'accorder aux différents groupes créés précédemment les droits sur les fichiers contenus dans le dossier partagé.

Aussi on peut donner un accès en lecture écriture, un accès en lecture seule ou pas d'accès. Tout en sachant que si le groupe n'as aucune coche pour un dossier particulier il n'aura normalement pas accès de base. On retrouve le groupe Users dans la liste des groupes. C'est bien pratique pour donner de manière occasionnelle plein accès ou bien aucun accès à tous les utilisateurs ne fesant pas forcement parti du même groupe, et sans toucher à la répartition des groupes.

Chose importante à garder à l'esprit, c'est la priorité des droits. En effet, le "pas d'accès " à priorité sur le " lecture seule " qui à lui même le dessus sur " lecture écriture ". Il suffit de garder à l'esprit que ce qui prévaux c'est l'intégrité des données.

4 – En pratique !

Bon tout ça c'est bien beau, mais ça ne vous a pas donné d'exemple concret sur le partage de fichiers, et comment gérer les droits.

Je vais vous proposer un exemple simple, qui mettra en avant certain point et éclaircira sans doute mon explication ( du moins je l'espère).

Je vous propose d'accueillir 4 nouveaux utilisateurs de mon syno virtuel !

User_A, User_B, User_C, et User_AB.

Ils auront chacun un partage de fichier personnel. Folder_A, Folder_B, Folder_C sont les dossiers créés sur le syno, et que je souhaite donner en lecture écriture aux users correspondant, à savoir User_A lira et écrira sur Folder_A User_B sur Folder_B et User_C sur Folder_C. Personne n'aura accès aux données des autres hormis User_AB qui aura accès à Folder_A et folder_B en lecture écriture.

Je vais donc créer plusieurs groupes d'user :

Folder_A_RW qui aura accès en lecture ecriture au folder A

Folder_A_R qui aura accès en lecture au folder A

Folder_A_NA qui n'aura pas d'accès au folder A

Pour suivre les rêgles établies, je vais donc attribuer aux différents groupes les différents accès au différents folders.

Folder_A aura en Lecture ériture le groupe Folder_A_RW, en lecture seule folder_A_R et en pas c'accès folder_A_NA. IL en va de même pour tous les autres dossier B et C.

Pour l'user AB, il y a plusieurs solutions. Soit je le place dans le groupe Folder_A_RW, et Folder_B_RW pour qu'il puisse lire et écrire dans les dossiers folder_A et folder_B, soit j'utilise une gestion avancée des droits.

En effet je peux donner à des utilisateurs uniques des droits sur les dossiers sans passer par des groupes. Je trouve cette solution moins élégante, et nécessitant plus de recherche dans les menus pour supprimer ou accorder des droits.

Donc avec cette idée en tête je procèderais de la sorte : User_AB sera dans le goupe Folder_A_RW et aura le droit d'utilisateur en lecture écriture sur le dossier Folder_B. L'effet sera exactement le même. Le moyen d'y arrivé étant un peu différent.

Voilà, c'était pas si compliqué? Enfin c'est la manière que j'ai utilisé pour configurer les droits d'accès sur mon syno à mes utilisateurs.

5 – derniers petits trucs

Avant de clore le sujet, je voulais encore donner quelques indications permettant de synthétiser le tout.

Pour mapper un disque avec un login et mot de passe sur windows, il suffit de cliquer droit sur le dossier dans le parcours réseau de l'explorateur de documents et de sélectionner " connecter un lecteur réseau ". Ensuite il faut choisir " connecter avec un nom différent " pour avoir une fenêtre demandant les login et mot de passe. Il suffit ensuite de valider. Le tour est joué!

Autre astuce, si on fait coïncider le login et mdp de windows, l'accès au partage ne nécessite plus d'entrer le login et mdp. Ca peut être un plus pour les utilisateurs ne s'y connaissant pas trop.

J'espère que toutes mes explications vous servirons!

Math

6 – Petits compléments

Merci à Vincent67 pour son complément que j'ajouterais à la suite pour simplifier la recherche d'information de tous.

Il n'y pas de manière unique de gérer ses partages, le tout est de s'y retrouver. Ma méthode me convient, en gérant les autorisations par groupe par dossier et non par groupe d'utilisateurs sur un dossier. ( je ne sais pas si c'est très clair, mais l'exemple de vincent qui suit vous éclairera peut être.)

ma méthode ( certes peut etre plus lourde mais je pense plus fine) : un dossier 2 ou 3 groupes ( no acces ( pas indispenssable), lecture seule, lecture ecriture)

méthode de vincent : des groupes logiques d'utilisateurs ( tel qu'on a plus l'habitude de voir )

[...]

si j'ai bien compris pour faire ton partage tu crées 4 utilisateur et 9 grp?

comme je l'ai deja dit il n'est pas nécessaire de faire un grp "blabla_NoAcess"

(Formath : effectivement ce n'est pas nécessaire)

si je peux me permettre pour ton exemple j'aurai fait de la sorte.

+ création des utilisateur suivant : User_A; User_B; User_C; User_AB

+ création des groupes suivant : Grp_A; Grp_B; Grp_C

Grp_A = User_A; User_AB,

Grp_B = User_B; User_AB,

Grp_C = User_C.

+ création des répertoires suivant : Folder_A; Folder_B; Folder_C

Folder_A = Grp_A en lecture/écriture, rien de coché pour Grp_B et Grp_C

Folder_B = Grp_B en lecture/écriture, rien de coché pour Grp_A et Grp_C

Folder_C = Grp_C en lecture/écriture, rien de coché pour Grp_A et Grp_B

Important : tu n'est pas obligé de dire au syno que tel ou tel Grp est en No Access par défaut si un utilisateur n'a aucun option de cochés (R/W; R; NoAcces) il n'aura pas accés au répertoire.

Pour moi l'utilisation de No Access est a réserver a des partage un peu plus élaborés. je m' explique :

prenons l'exemple suivant :

Kévin 13 ans est l'utilisateur U_kevin

Sandy 9 ans est l'utilisatrice U_sandy

Alain 43 ans est l'utilisateur U_alain

Béatrice 44 ans est l'utilisatrice U_beatrice

je crée mes groupes :

Grp_Ado = U_kevin; U_sandy

Grp_Adulte = U_alain; U_beatrice

Grp_Femme = U_beatrice; U_sandy

Grp_Homme = U_alain; U_kevin

voila, si maintenant je souhaite faire un repertoire "blabla" pour les enfants je vais mettre Grp_Ado en lecture/ecriture.

pour le "blibli" des adultes ça sera le Grp_Adulte en lecture/écriture

jusque là c simple...

mais maintenant je souhaite faire un répertoire "blublu" uniquement accessible aux hommes adultes.

il suffit pour cela de donner les droits lecture/ecriture au Grp_Homme et de mettre le Grp_Ado en No Access.

pour info complémentaire voici l'ordre de priorité des accés :

1. No Access

2. Lecture

3. Lecture/ecriture

ce qui signifie que si un utilisateur appartient a 2 grp différent et que 1 de c grp a l'accés lecture/ecriture et que l'autre a No Access sur un Repertoire donné, l'utilisateur en question aura No Access sur ce répertoire.

[...]

[PatrickH]

Merci pour ce "tuto" qui sera bien pratique pour un grand nombre de personnes

Et merci à tous ceux qui prennent sur leur temps pour partager leur connaissance avec les autres

Patrick

[vincent67]

bjr formath,

belle initiative ton tuto.

remarque:

si j'ai bien compris pour faire ton partage tu crées 4 utilisateur et 9 grp?

comme je l'ai deja dit il n'est pas nécessaire de faire un grp "blabla_NoAcess"

si je peux me permettre pour ton exemple j'aurai fait de la sorte.

+ création des utilisateur suivant : User_A; User_B; User_C; User_AB

+ création des groupes suivant : Grp_A; Grp_B; Grp_C

Grp_A = User_A; User_AB,

Grp_B = User_B; User_AB,

Grp_C = User_C.

+ création des répertoires suivant : Folder_A; Folder_B; Folder_C

Folder_A = Grp_A en lecture/écriture, rien de coché pour Grp_B et Grp_C

Folder_B = Grp_B en lecture/écriture, rien de coché pour Grp_A et Grp_C

Folder_C = Grp_C en lecture/écriture, rien de coché pour Grp_A et Grp_B

Important : tu n'est pas obligé de dire au syno que tel ou tel Grp est en No Access par défaut si un utilisateur n'a aucun option de cochés (R/W; R; NoAcces) il n'aura pas accés au répertoire.

Pour moi l'utilisation de No Access est a réserver a des partage un peu plus élaborés. je m' explique :

prenons l'exemple suivant :

Kévin 13 ans est l'utilisateur U_kevin

Sandy 9 ans est l'utilisatrice U_sandy

Alain 43 ans est l'utilisateur U_alain

Béatrice 44 ans est l'utilisatrice U_beatrice

je crée mes groupes :

Grp_Ado = U_kevin; U_sandy

Grp_Adulte = U_alain; U_beatrice

Grp_Femme = U_beatrice; U_sandy

Grp_Homme = U_alain; U_kevin

voila, si maintenant je souhaite faire un repertoire "blabla" pour les enfants je vais mettre Grp_Ado en lecture/ecriture.

pour le "blibli" des adultes ça sera le Grp_Adulte en lecture/écriture

jusque là c simple...

mais maintenant je souhaite faire un répertoire "blublu" uniquement accessible aux hommes adultes.

il suffit pour cela de donner les droits lecture/ecriture au Grp_Homme et de mettre le Grp_Ado en No Access.

pour info complémentaire voici l'ordre de priorité des accés :

1. No Access

2. Lecture

3. Lecture/ecriture

ce qui signifie que si un utilisateur appartient a 2 grp différent et que 1 de c grp a l'accés lecture/ecriture et que l'autre a No Access sur un Repertoire donné, l'utilisateur en question aura No Access sur ce répertoire.

salutation.

[Johan]

J'avais également fait une petit post là-dessus en couleur...

http://www.nas-forum.com/forum/index.php?s...ost&p=31512

[Alastor 2262]

Comme l'a dit PatrickH, merci de partager ton travail, c'est toujours agréable de trouver des condensés !

Une petite remarque tout de même

2 – Le partage vu par synology

Synology a une façon particulière de penser le partage des dossiers. etc. etc.

La vision que tu décrit est celle de tout le monde, Windows ou Linux, même approche. La façon de Synology de penser le partage n'a rien de particulière !

Et une remarque pour vincent67 :

mais maintenant je souhaite faire un répertoire "blublu" uniquement accessible aux hommes adultes.

il suffit pour cela de donner les droits lecture/ecriture au Grp_Homme et de mettre le Grp_Ado en No Access.

FAUX, dans ta solution les femmes adultes ont également accès au partage, la clause "uniquement" n'est donc pas respecter

Edit : faites comme si j'avais rien dit, je confond homme et adulte !!

Cela dit tes groupes ne sont pas adaptés au droits que tu veux gérer, car il faut à tout prix éviter de mettre des droits "No access", si tu en arrive là, en général, c'est que ta gestion n'est pas adaptée à tes besoins !

[Johan]

FAUX, dans ta solution les femmes adultes ont également accès au partage, la clause "uniquement" n'est donc pas respecter

Tes groupes ne sont pas adaptés au droits que tu veux gérer, il faut à tout prix éviter de mettre des droits "No access", si tu en arrive là, en général, c'est que ta gestion n'est pas adaptée à tes besoins !

Désolé, mais à première vue je ne suis pas d'accord avec toi Alastor, pourquoi les femmes auraient-elles accès à ce partage, étant donné qu'elle n'y ont aucun droit?? Je pense que son exemple est correcte, c'est la théorie des ensembles...

Johan

[Alastor 2262]

Mea culpa, on va dire que c'est parce que j'avais pas bu ma bière avant de répondre

[Johan]

Mea culpa, on va dire que c'est parce que j'avais pas bu ma bière avant de répondre

Santé !!!

[ml-onf]

Bonsoir.

Toujours à la recherche d'infos je tombe sur ce tuto, vraiment bien fait, toutefois je précise rapidement qu'il ne correspond pas parfaitement au DS107+ (normal vu qu'il a été bati / à un DS508):

sur le DS107+ à l'origine il n'y a que 2 users différents: admin et son copain Guest

et malheureusement un seul et unique groupe (à l'origine): users

Celui porte donc finalement très mal son nom. La galère!...

Enfin quand on s'est mis ça dans la tête, après ça va mieux..... mais après seulement!

THX FORMATH pour le tuto!

[vincent67]

sur le DS107+ à l'origine il n'y a que 2 users différents: admin et son copain Guest

et malheureusement un seul et unique groupe (à l'origine): users

c'est pareil sur le DS207 (et je pense sur tte la gamme syno).

je comprends pas pourquoi le grp USER pose tellement de probleme?!

c'est pas parceque l'utisateur admin est dans le grp USER que ce grp aura tt les droits... d'ailleur l'utilisateur admin n'a pas plus de droit qu'un autre utilisateur (si ce n'est de pouvoir se logger sur l'interface web du Syno).

faut juste partir du principe que USER est le grp de base qui va regrouper tt les utilisateur que tu crées impossible de supprimer un utilisateur du grp USER a moins d'effacer ce dit utilisateur.

ensuite libre a vous de créer X nouveaux grp pour faire vos partage.

comme ça a été dit plus haut le système de partage/grp/utilisateur est un système classique et non exotique )

@+

[ml-onf]

Effectivement rien d'exotique... ça correspond à peu de chose près à l'organisation classique Nux, mais tout de même, placer Admin ds le groupe Users, ça le fait moyen.

D'ailleurs sur le DS508 (haut de gamme), Syno a évité et a repris un schéma un peu plus conventionnel en y implantant 2 groupes: Admin et Users.

Tout de suite plus compréhensible.... en admettant que le Groupe Admin ait une autorité supérieure à Users bien entendu.

On peut également faire remarquer le peu de précisions et communication de Synology à ce sujet (groupe(s) présent(s) à l'origine, droits affectés ou affectables aux groupes et utilisateurs) ce qui est une grosse lacune. Un synoptique aurait été le bienvenue! Et pourquoi un choix de stratégie différent selon les produits?

Enfin, effectivement on peut retirer tous ou presque tous les droits ou groupe Users mais Admin en faisant parti c'est tout de même un peu contrariant! Un admin qui n'a pas accés à tout.... ce n'est plus vraiment un admin, pas d'accord??? Franchement on peut s'en sortir, mais y a problème quand même........ à moins que ce soit pour préserver les accés à Admin et qu'on ne lui dérobe pas ses pouvoirs (vu que via l'interface WEB un timer est appliqué aux connections).... mais alors dans ce cas c'est le DS508 qui est en berne!

Bref beaucoup de suppositions vu que Syno n'annonce pas clairement leur position en la matière.... et nous en attendant on doit faire avec. Pas très sympa!

[formath]

Heureux que ca puisse aider quelque uns qui comme moi ont un peu cafouillé au début...

Math.