NAS-Benutzer und Berechtigungen richtig verwalten — Sicherheit ohne Datenverlust

Wenn du Datenverlust durch falsche Berechtigungen oder Zugriffsprobleme bei mehreren NAS-Benutzern vermeiden willst, dann ist ein strukturiertes Berechtigungssystem die sinnvollste Option, weil es Datensicherheit mit praktischer Nutzbarkeit verbindet und gleichzeitig verhindert, dass Familienmitglieder versehentlich wichtige Dateien löschen.

Die 5 häufigsten Fehler

Fehler	Folge	Lösung
Everyone-Gruppe mit Vollzugriff	Jeder kann alles löschen	Spezifische Gruppen mit minimalen Rechten
Keine Home-Ordner Trennung	Private Daten für alle sichtbar	Alle Benutzer-Homes verstecken“ aktivieren
SMB-Freigabe vergessen	Ordner nicht in Apps sichtbar	Jeder Ordner braucht SMB-Aktivierung
Backup-Account ohne Schreibrechte	Automatische Backups schlagen fehl	Service-Gruppe mit Backup-Ordner Vollzugriff
Gast-Account nie deaktiviert	Dauerhafter Fremdzugriff möglich	Temporäre Accounts nach 30 Tagen löschen

Entscheidung: Welches Berechtigungssystem passt zu dir?

Situation	Empfohlenes System	Benutzeranzahl	Setup-Zeit
Familie mit Kindern unter 16	3-Ebenen-System (Admin/Familie/Gast)	4-6 Benutzer	30 Min
Paar ohne Kinder	2-Ebenen-System (Admin/Benutzer)	2-3 Benutzer	15 Min
Einzelperson mit gelegentlichen Gästen	Admin + temporärer Gast-Account	2 Benutzer	10 Min
Home Office + Familie getrennt	4-Ebenen-System (Admin/Business/Familie/Gast)	5-8 Benutzer	45 Min
WG oder Mehrfamilienhaus	Isolierte Benutzer-Homes + gemeinsamer Bereich	3-12 Benutzer	60 Min

Setup Einsteiger: Familie mit 2 Erwachsenen + 2 Kindern

Hardware: Synology DS224+ mit 2x 4TB WD Red Plus kaufen, 8GB RAM

Ziel: Eltern können alles verwalten, Kinder haben eigene Bereiche aber können keine wichtigen Dokumente löschen

Schritt 1: Benutzergruppen erstellen

Öffne die NAS-Weboberfläche und gehe zu Systemsteuerung“ → Benutzer“ → Gruppe“. Erstelle diese Gruppen:

• administrators (bereits vorhanden)
• family_users (neue Gruppe)
• guests (neue Gruppe)
• backup_service (neue Gruppe für automatische Handy-Backups)

Schritt 2: Benutzerkonten anlegen

Admin-Account: admin_papa → Gruppe: administrators
Familie-Accounts: mama_sarah, lisa_16, max_13 → Gruppe: family_users
Gast-Account: guest_temp → Gruppe: guests

Schritt 3: Ordnerstruktur mit Berechtigungsmatrix

Ordner	Administrators	Family_users	Guests	Backup_service
/Familie	Lesen/Schreiben	Lesen/Schreiben	Nur Lesen	Kein Zugriff
/Haushalt	Lesen/Schreiben	Nur Lesen	Kein Zugriff	Nur Lesen
/Backup	Lesen/Schreiben	Nur Lesen	Kein Zugriff	Lesen/Schreiben
/Gäste	Lesen/Schreiben	Nur Lesen	Lesen/Schreiben	Kein Zugriff

Ergebnis: Kinder können Familienfotos ansehen und eigene Dateien hochladen, aber keine wichtigen Dokumente oder Backups löschen.

Setup Fortgeschritten: Home Office + Familie mit Datentrennung

Hardware: TrueNAS auf Mini-PC mit 32GB RAM, 4x 8TB in RAID-Z2

Ziel: Geschäftsdaten komplett getrennt von Familiendaten, verschiedene Backup-Strategien

Erweiterte Gruppenstruktur

• administrators
• business_users (nur Geschäftsinhaber)
• family_users
• contractors (externe Mitarbeiter, temporär)
• backup_business
• backup_family

Isolierte Ordnerstruktur

• /Business (verschlüsselt, nur business_users + admin)
• /Familie (family_users + admin)
• /Projekte (business_users + contractors)
• /Backup_Business (backup_business service)
• /Backup_Familie (backup_family service)

Ergebnis: Geschäftsdaten sind komplett isoliert, Familie kann nicht versehentlich auf Kundendaten zugreifen, separate Backup-Strategien für beide Bereiche.

Synology vs TrueNAS: Berechtigungsvergleich

Synology DSM: Grafische Benutzeroberfläche macht Rechteverwaltung intuitiv → Ideal für Familien ohne IT-Kenntnisse
TrueNAS: ACL-basierte Berechtigungen bieten granulare Kontrolle → Besser für komplexe Business-Setups

Entscheidung: Wenn du weniger als 8 Benutzer hast und keine IT-Erfahrung → Synology. Wenn du komplexe Berechtigungsstrukturen oder mehr als 10 Benutzer brauchst → TrueNAS.

Für die Hardware-Auswahl spielt die Benutzeranzahl eine wichtige Rolle bei RAM und CPU-Anforderungen.

Häufige Fehlerbilder und Lösungen

Fehlerbild	Ursache	Lösung
Zugriff verweigert“ trotz Berechtigung	UNIX-Rechte (chmod 755) und SMB-ACL stimmen nicht überein	SSH: sudo chmod -R 755 /volume1/ordner UND SMB-Freigabe prüfen
Benutzer sieht Ordner nicht in mobiler App	SMB-Freigabe deaktiviert oder Port 445 blockiert	Systemsteuerung → Gemeinsamer Ordner → SMB aktivieren + Router-Firewall prüfen
Gast kann private Home-Ordner durchsuchen	Home-Verzeichnisse für alle Benutzer sichtbar	Systemsteuerung → Benutzer → Erweitert → Alle Benutzer-Homes verstecken“
Kind kann wichtige Familienfotos löschen	family_users Gruppe hat Delete-Rechte auf /Familie	Ordner-Berechtigungen → family_users auf Nur Lesen“ + Papierkorb aktivieren
Handy-Backup schlägt fehl mit Permission denied“	Backup-App läuft unter falschem Service-Account	Backup-Ordner → backup_service Gruppe Vollzugriff“ + App-Credentials prüfen
Admin kann eigene Dateien nicht bearbeiten	Ordner-Owner ist root“ statt Admin-Benutzer	SSH: sudo chown -R admin_user:administrators /volume1/ordner
SMB-Verbindung bricht nach 15 Minuten ab	SMB-Timeout zu niedrig, Session-Keep-Alive fehlt	SMB-Einstellungen → Opportunistic Locking“ deaktivieren + Timeout auf 3600s

Technische Tiefe: Permission-Bits und ACL-Vererbung

UNIX-Berechtigungen verstehen

drwxr-xr-x  2 admin family_users  4096 Jan 15 10:30 Familie/
│││││││││
│││││││└─ Others: Execute (Ordner betreten)
││││││└── Others: Read (Inhalt auflisten)  
│││││└─── Others: Write (Dateien erstellen) - NICHT gesetzt
││││└──── Group: Execute
│││└───── Group: Read
││└────── Group: Write - NICHT gesetzt
│└─────── User: Execute
└──────── User: Read + Write

SMB-Header-Probleme debuggen

Bei Verbindungsabbrüchen prüfe diese SMB-Parameter:

• SMB-Protokoll-Version: Mindestens SMB2, besser SMB3
• Opportunistic Locking: Deaktivieren bei Datenbankdateien
• Socket-Optionen: TCP_NODELAY=1 für bessere Performance
• Max-Connections: 100 für Familien-NAS ausreichend

Quota-Enforcement auf Filesystem-Ebene

# TrueNAS: ZFS-Quota setzen
zfs set quota=50G tank/Familie/lisa_16

# Synology: Quota über Web-Interface
# Systemsteuerung → Benutzer → Quota → Soft-Limit 45GB, Hard-Limit 50GB

Debug-Sequence: Systematische Fehleranalyse

1. Netzwerk-Layer testen

# Windows PowerShell
Test-NetConnection -ComputerName 192.168.1.100 -Port 445

# Linux/Mac Terminal  
telnet 192.168.1.100 445

2. SMB-Authentifizierung prüfen

# Windows: Gespeicherte Credentials löschen
cmdkey /delete:192.168.1.100

# Mac: Keychain-Einträge prüfen
security find-internet-password -s 192.168.1.100

3. Log-Analyse für Berechtigungsfehler

In der Praxis zeigt sich: 80% der Berechtigungsprobleme entstehen durch falsche SMB-Konfiguration, 20% durch UNIX-Permission-Konflikte.

Synology: Protokollzentrum → Verbindung → Filter SMB“ + Authentication failed“
TrueNAS: /var/log/samba4/log.smbd nach NT_STATUS_ACCESS_DENIED“ durchsuchen

Hardware-Empfehlungen nach Benutzerlast

Benutzeranzahl	System	RAM	Storage	Preis ca.
2-4 Benutzer	Synology DS224+ kaufen	6GB	2x 4TB RAID-1	500€
5-8 Benutzer	QNAP TS-464 kaufen	16GB	4x 6TB RAID-5	900€
8-15 Benutzer	TrueNAS Mini-PC kaufen	32GB	6x 8TB RAID-Z2	1.400€
15+ Benutzer	Enterprise NAS	64GB+	8x 12TB RAID-Z3	3.000€+

Die Gesamtkosten steigen exponentiell mit der Benutzeranzahl, da mehr RAM und CPU-Power für gleichzeitige SMB-Sessions benötigt wird.

Wartung und Monitoring

Automatisierte Berechtigungs-Audits

Richte monatliche Checks ein:

• □ Inaktive Benutzer-Accounts (>90 Tage) deaktivieren
• □ Gast-Accounts älter als 30 Tage löschen
• □ Quota-Überschreitungen prüfen und anpassen
• □ Failed-Login-Attempts analysieren (Brute-Force-Schutz)
• □ Neue Familienmitglieder korrekt in Gruppen eingeordnet

Performance-Monitoring bei vielen Benutzern

Überwache diese Metriken:

• SMB-Sessions gleichzeitig: Sollte unter 50 bleiben
• RAM-Verbrauch: Unter 80% für stabile Performance
• Netzwerk-Durchsatz: Gigabit-LAN bei >5 aktiven Benutzern
• Festplatten-IOPS: Unter 80% der maximalen Kapazität

Bei der Festplatten-Auswahl spielt die Anzahl gleichzeitiger Zugriffe eine wichtige Rolle für die IOPS-Anforderungen.

Integration mit anderen Systemen

Für eine vollständige Home-Server-Umgebung solltest du das NAS-Berechtigungssystem mit anderen Diensten synchronisieren:

• LDAP-Integration: Zentrale Benutzerverwaltung für NAS + andere Services
• VPN-Zugriff: Externe Benutzer bekommen nur VPN + NAS-Zugang
• Backup-Rotation: Service-Accounts für automatische Cloud-Backups

Die Wahl zwischen TrueNAS vs Unraid vs Proxmox beeinflusst auch die verfügbaren Berechtigungsoptionen und Integration-Möglichkeiten.

Fazit

In der Praxis zeigt sich: Ein strukturiertes Berechtigungssystem verhindert 95% aller Datenverluste durch Benutzerfehler und reduziert Support-Anfragen in der Familie drastisch. Die initiale Einrichtung dauert 30-45 Minuten, spart aber langfristig Stunden an Problemlösung und Datenwiederherstellung.

Das 3-Ebenen-System (Admin/Familie/Gast) ist für die meisten Haushalte die beste Balance zwischen Sicherheit und Benutzerfreundlichkeit, während Business-Umgebungen von der 4-Ebenen-Struktur mit isolierten Geschäftsdaten profitieren.