跳转至

用户与群组 (User & Group) 深度管理:RBAC 最佳实践

很多新手在设置权限时,喜欢直接给“张三”赋予“电影”文件夹的读写权限。当你有 10 个用户、20 个文件夹时,这种做法会让你崩溃。

最佳实践:永远不要给单独的用户分配权限,只给群组分配权限。这就是企业级的 RBAC (Role-Based Access Control) 思想。

1. 为什么必须用“群组”?

  • 场景:你公司来了个实习生“李四”,他需要访问“设计图”、“合同”、“素材”三个文件夹。
  • 错误做法:创建用户“李四”,然后分别去三个文件夹里添加“李四”的读写权限。
  • 正确做法
    1. 创建一个群组叫 Designers(设计师)。
    2. Designers 群组赋予那三个文件夹的权限(一次性设置)。
    3. 创建用户“李四”,把他加入 Designers 群组。
    4. 好处:李四离职了,把他在群组里删掉就行。王五来了,把他加进群组就行。

2. 默认群组解析

DSM 有两个内置群组,千万别搞混:

  • users (System default user)
    • 所有人都在这里:你创建的任何用户(包括 admin)都强制属于这个组,无法退出
    • 陷阱:如果你手贱把 users 组的某个文件夹权限设为“禁止访问”,那么连管理员都进不去了
    • 建议永远保持 users 组的权限全空(既不勾选允许,也不勾选禁止),让它做一个透明人。
  • administrators
    • 管理员组。拥有最高权限。

3. 应用程序权限 (Application Privileges)

有些用户只需要存文件,不需要用 Video Station,更不需要 SSH。

  • 路径:控制面板 > 应用程序权限。
  • 操作
    • 双击 File Station > 允许 > 勾选特定用户或群组。
    • FTP/WebDAV/SSH:建议默认对所有用户“拒绝”,只给需要的人单独开通。
  • 安全建议:务必禁止普通用户访问 DSM (桌面管理界面) 的权限?不,通常你需要让他们登录 DSM 修改密码或用 Drive。但你可以禁止他们访问 Hyper BackupDocker

4. 速度限制 (Speed Limit)

防止某个用户在下电影时把公司带宽跑满。

  • 路径:控制面板 > 用户与群组 > 用户 > 编辑 > 速度限制。
  • 设置
    • 可以针对不同协议(File Station, SMB, FTP)设置不同的限速。
    • 支持时间计划:比如白天上班时间限速 1MB/s,晚上 8 点后不限速。
  • 群组限速:你也可以直接对 Guests 组设置限速,所有访客共享这个带宽。

5. 密码强度与过期策略

  • 路径:控制面板 > 用户与群组 > 高级设置 > 密码设置。
  • 建议
    • 勾选:包括混合大小写字母、数字。
    • 排除:用户名和描述(防止密码设为 User123)。
    • 密码历史记录:禁止使用前 3 次用过的密码。
  • 强制修改:如果你帮家人建了账号,初始密码是 123456,请勾选“用户在下次登录时必须更改密码”。

6. 委托管理 (Delegate Administration)

你不想把 admin 密码给部门经理,但又想让他能重置员工密码?

  • 路径:控制面板 > 用户与群组 > 高级设置 > 委托管理。
  • 操作
    • 新增委托规则。
    • 受托人:部门经理(普通用户)。
    • 权限:勾选“用户与群组”管理。
  • 效果:部门经理登录 DSM 后,只能看到“控制面板”里的“用户”模块,其他系统设置一概看不见。他可以重置员工密码,但不能修改管理员密码。