hoe data van gebruikers afschermen van overige users/admins

[Kenza750]

Hoi all,

Ik ben in het bezit van een DS216+II met 8Gb ram  Hele fijne machine die sinds kort op DSM7 draait.

Nu wil ik een collega wat storage geven zodat hij zijn belangrijke bestanden (foto's) op mijn NAS kan zetten. Geografische scheiding zeg maar.

Ik kan hem als user aanmaken en hem via VPN laten verbinden met mijn DS. Alleen, hoe krijg ik het voor elkaar dat enkel hij degene is die bij die data kan? Ik kan als admin nu namelijk makkelijk mezelf toegang geven tot zijn mappen. Waarschijnlijk doe ik iets verkeerd, maar dit is hoe ik het nu heb gedaan:

1. collega als user aangemaakt. 2FA aangezet
2. ik laat hem via VPN verbinden met mijn NAS
3. ik heb een shared folder aangemaakt (zeg: COLLEGA) en hem als enige user toegang gegeven.

Als ik nu met mijn eigen username inlog in DSM, dan zie ik zijn folder niet. Ook via SMB in Windows krijg ik uiteraard geen toegang tot de folder COLLEGA.

Dit lijkt prima. Alleen: als ik gewoon inlog op DSM met een admin account, dan kan ik toch gewoon elke user (mij zelf dus in feite) toegangsrechten geven op de folder COLLEGA, en dan kan ik toch vrolijk bij zijn data? Of ben ik iets vergeten in te stellen. Folder encryptie wellicht?

Even voor de duidelijkheid: het gaat er niet om dat mijn collega me niet vertrouwt of iets dergelijks. Maar ik wil het gewoon graag zuiver houden en ervoor zorgen dat echt hij alleen bij ZIJN data kan.

[Briolet]

Een systeem operator kan altijd bij de data van gebruikers. Dat geldt niet alleen voor de nas, maar ook voor internet providers, mail-providers of clouddiensten.

Als iemand de systeembeheerder niet vertrouwd, moet hij er voor zorgen dat de data alleen gecodeerd opgeslagen wordt.

Ik heb alleen ervaring met MacOS. Daar kun je het doen door een encryped diskimage te maken, die je vervolgens op de nas plaatst. Om hem te gebruiken, mount je dan eerst de share. Daarin staat de diskimage, die je vervolgens ook weer mount. Het wachtwoord van de diskimage kun je laten bawaren in de sleutelhanger, als je hem niet elke keer wilt intikken.

Maak wel een diskimage van het type 'spasebundel', omdat die via HyperBackup efficiënter te backuppen is met versies. Bij andere diskimages wordt dit als één file gezien en kan het gebeuren dat bij elke verandering de gehele image weer gebackupped wordt.

Voor andere OS'en zullen vergeijkbare opties zijn.

[Kenza750]

Ok. Helder antwoord. Ik zat al te denken in die richting maar ik had gehoopt dat er in DSM iets “automatisch” zou zitten waar je dat kunt instellen.

Ik zal ff kijken wat er op Windows-vlak bestaat. Ik zat net snel te kijken naar het Active backup for business packet in DSM. Daar is een Windows cliënt voor en wellicht zit daar ook een optie voor encryptie in.