UGREEN NAS: Benutzerrechte vertiefen: Lesen, Schreiben, Vererben – Tutorial

Benutzerrechte fallen auf einem UGREEN NAS mit UGOS Pro oft erst dann auf, wenn etwas nicht wie erwartet funktioniert. Im Familienordner liegen plötzlich nicht nur Urlaubsfotos, sondern auch Steuerunterlagen. Ein Medienarchiv wird versehentlich verändert, weil mehrere Personen Schreibrechte haben. Oder ein Testbenutzer sieht Unterordner, die eigentlich gar nicht für ihn gedacht waren.

Dieses Tutorial vertieft die Logik hinter Ordnerrechten, Gruppen und Vererbung. Es geht nicht darum, möglichst viele Sonderfälle abzubilden oder die komplette Rechteverwaltung wie ein Handbuch durchzugehen. Wichtiger ist ein Modell, das im Alltag tragfähig bleibt: klare Ordnerstruktur, passende Gruppen, bewusst gesetzte Rechte und ein kurzer Test mit einem normalen Benutzerkonto.

Anzeige*

Ziel des Tutorials

Nach diesem Tutorial sollte verständlich sein, was Lesen, Lesen/Schreiben, Zugriff verweigern  und Vererbung auf einem UGREEN NAS praktisch bedeuten. Rechte sollen nicht nur gesetzt, sondern auch auf ihre tatsächliche Wirkung geprüft werden.

Im Mittelpunkt stehen freigegebene Ordner in UGOS Pro, Gruppenrechte und typische Situationen im privaten NAS-Alltag oder kleinen Homelab. Das Tutorial erklärt, warum einfache Rechtekonzepte meist sicherer sind als viele Einzelregeln, welche Folgen Schreibrechte wirklich haben und weshalb die Perspektive eines normalen Testkontos so wichtig ist.

Nicht vertieft werden Linux-ACLs, Kommandozeilenrechte, NFS-Spezialfälle oder komplexe Unternehmensmodelle. Diese Themen sind für spätere Sicherheits- oder Protokollkapitel sinnvoller.

Voraussetzungen

• Die Grundeinrichtung des UGREEN NAS ist abgeschlossen.
• UGOS Pro ist im Browser erreichbar.
• Benutzer und Gruppen sind bereits angelegt.
• Mindestens ein freigegebener Ordner ist vorhanden.
• Das Basistutorial zu Personen, Gruppen und Freigaben wurde verstanden

Für die Prüfung der Rechte ist ein zusätzliches normales Benutzerkonto hilfreich. Dieses Konto sollte keine Administratorrechte besitzen und nur Mitglied der Gruppen sein, deren Wirkung geprüft werden soll.

Rechte entstehen aus Struktur

Ein NAS-Ordner wirkt im Alltag oft wie ein normaler Ordner auf dem PC. Tatsächlich entscheidet UGOS Pro aber an mehreren Stellen, wer etwas sehen oder verändern darf. Ein Benutzerkonto kann Mitglied einer oder mehrerer Gruppen sein. Diese Gruppen erhalten Rechte auf freigegebene Ordner. Unterordner und Dateien können diese Rechte übernehmen oder abweichend behandelt werden.

Die wichtigste Grundidee lautet: Rechte sind kein einzelner Schalter, sondern das Ergebnis aus Ordnerstruktur, Benutzerkonto, Gruppenmitgliedschaft und Berechtigung. Wird diese Struktur sauber aufgebaut, lassen sich Zugriffe auch später noch erklären. Werden dagegen viele Einzelpersonen direkt auf Ordnern berechtigt, entsteht schnell ein Rechtebild, das nur noch schwer nachvollziehbar ist.

Die Übersicht der freigegebenen Ordner zeigt, an welcher Ordnerebene die späteren Rechteentscheidungen ansetzen.

Freigegebene Ordner sind deshalb die praktische Ebene, an der Rechteentscheidungen greifbar werden. Dort wird festgelegt, ob eine Gruppe nur lesen darf, ob sie Inhalte verändern darf oder ob ein Zugriff ausdrücklich verweigert wird.

Lesen ist bereits ein relevanter Zugriff

Leserechte werden häufig unterschätzt. Wer lesen darf, kann Dateien in der Regel sehen, öffnen und je nach App oder Zugriffsweg auch kopieren oder herunterladen. Für Fotos, gescannte Unterlagen, Verträge oder Backups ist das bereits ein weitreichender Zugriff.

Ein typisches Beispiel ist ein gemeinsamer Familienordner. Eine Grupp Familie darf Urlaubsfotos ansehen. Das ist nachvollziehbar, solange dort wirklich nur Bilder liegen. Befinden sich im selben Bereich aber auch private Dokumente oder Sicherungskopien, reicht ein Leserecht bereits aus, damit diese Inhalte sichtbar werden. Das Problem entsteht dann nicht durch eine falsche Schaltfläche, sondern durch eine zu grobe Ordnerstruktur.

Leserechte passen gut zu Bereichen, in denen Inhalte bereitgestellt werden: Medienordner, Anleitungen, abgeschlossene Projektstände oder gemeinsame Nachschlageordner. Für Arbeitsbereiche, in denen mehrere Personen Dateien ablegen, bearbeiten oder löschen sollen, reicht Lesen nicht aus.

Merksatz: Leserechte sind keine schwachen Rechte. Damit entstehen Sichtbarkeit und oft auch Kopiermöglichkeiten.

Schreiben bedeutet mehr als Hochladen

Schreibrechte bedeuten im NAS-Alltag nicht nur, dass neue Dateien hochgeladen werden dürfen. In UGOS Pro umfasst Lesen/Schreiben  je nach Kontext auch das Erstellen, Bearbeiten, Umbenennen, Verschieben und Löschen von Dateien oder Ordnern. Genau deshalb sollte diese Berechtigung nicht als bequeme Standardeinstellung verwendet werden.

In einem Projektordner kann Schreiben sinnvoll sein, wenn mehrere Personen gemeinsam Dokumente bearbeiten. In einem Medienarchiv ist es dagegen oft riskant: Ein versehentliches Löschen, ein falscher Drag-and-drop-Vorgang oder eine automatisch synchronisierende App kann Inhalte verändern, die eigentlich nur konsumiert werden sollten.

Unterschiedliche Gruppen erhalten unterschiedliche Rechte: eine Gruppe darf bearbeiten, andere Gruppen dürfen nur lesen.

Bei Schreibrechten hilft eine einfache Kontrollfrage: Soll diese Person oder Gruppe wirklich bestehende Inhalte verändern dürfen, oder nur neue Inhalte ablegen? Wenn UGOS Pro an dieser Stelle nur zwischen Nur Lesen und Lesen/Schreiben unterscheidet, sollte die Ordnerstruktur diese Entscheidung auffangen. Ein Sammelordner für neue Dateien kann getrennt vom eigentlichen Archiv liegen.

Die praktische Wirkung zeigt sich am besten mit einem normalen Testkonto. Kann dieses Konto einen Ordner anlegen, ein Dokument bearbeiten oder eine Datei löschen, ist klar: Es besitzt nicht nur Sichtbarkeit, sondern echte Änderungsrechte.

Das Testkonto kann im freigegebenen Ordner einen neuen Ordner anlegen; damit ist Schreibzugriff praktisch nachgewiesen.

Der gespeicherte Dokumentzustand zeigt, dass das Testkonto die Datei tatsächlich bearbeiten konnte.

Der Löschdialog macht sichtbar, dass Schreibrechte auch riskante Änderungen wie Löschen ermöglichen können.

Diese Bildfolge ist kein Aufruf, jeden Rechtefall ausführlich durchzuklicken. Entscheidend ist die Konsequenz: Lesen/Schreiben ist im Alltag ein Bearbeitungsrecht, kein harmloses Upload-Häkchen.

Anzeige*

Gruppenrechte bleiben wartbar

Rechte direkt auf einzelne Personen zu setzen, wirkt zunächst schnell. Bei zwei Benutzern ist das noch überschaubar. Sobald aber Familienmitglieder, Gäste, Projektkonten oder mehrere Homelab-Dienste dazukommen, entstehen viele kleine Ausnahmen. Später ist kaum noch sichtbar, warum eine Person Zugriff hat und eine andere nicht.

Gruppen lösen dieses Problem nicht automatisch, machen die Struktur aber lesbar. Eine Gruppe Familie erhält Zugriff auf gemeinsame Fotos. Eine Gruppe Fotos_Bearbeiten darf neue Bilder ergänzen. Eine Gruppe Projektarchiv_Lesen sieht abgeschlossene Unterlagen, darf sie aber nicht verändern. Neue Personen werden dann in passende Gruppen aufgenommen, statt an jedem Ordner einzeln ergänzt zu werden.

Gruppen sind eigene Verwaltungsobjekte und eignen sich besser für dauerhafte Rechte als viele Einzelzuweisungen.

Auch Gruppen sollten nicht zu grob werden. Eine Sammelgruppe „Alle“ ist bequem, erklärt aber selten, warum ein Zugriff fachlich nötig ist. Besser sind Gruppen, deren Name den Zweck erkennen lässt. Die genaue Benennung ist weniger wichtig als die Wiedererkennbarkeit.

Merksatz: Rechte werden idealerweise an Gruppen vergeben. Personen wechseln, die Aufgabe der Gruppe bleibt.

Wenn Rechte kollidieren

In der Praxis kann ein Benutzer mehrere Rechte gleichzeitig erben: direkt als Person, über eine Gruppe oder über mehrere Gruppen. Dann stellt sich die Frage, welches Recht tatsächlich gilt.

UGOS Pro arbeitet bei widersprüchlichen Freigaberechten mit einer klaren Priorität. Vereinfacht betrachtet gilt im typischen Freigabemodell:

• Zugriff verweigern
• Lesen/Schreiben
• Nur Lesen
• nicht angegeben

Das ist besonders wichtig, wenn ein Benutzer Mitglied mehrerer Gruppen ist. Gehört ein Konto zum Beispiel zu einer Gruppe mit Nur Lesen, aber gleichzeitig zu einer Gruppe mi Zugriff verweigern, wirkt die Verweigerung stärker. Das schützt vor versehentlich zu weit geöffneten Zugriffswegen, kann aber auch überraschen, wenn alte Gruppenmitgliedschaften nicht mehr bedacht wurden.

Nicht angegeben sollte deshalb nicht als bewusst gesetztes Recht verstanden werden. Es ist nicht dasselbe wie aktiv verweigerter Zugriff, sondern zunächst eine leere Stelle in der Rechtevergabe. Die tatsächliche Wirkung hängt davon ab, ob über Gruppen, übergeordnete Ordner oder direkte Einträge noch andere Rechte greifen. Bei normalen Benutzern führt ein nicht gesetztes Recht häufig praktisch dazu, dass kein Zugriff entsteht. Administratoren werden in vielen Situationen anders behandelt und sind deshalb kein geeigneter Maßstab für die Wirkung normaler Rechte.

Für den Alltag heißt das: Nach einer Änderung sollte nicht nur geprüft werden, welches Häkchen gesetzt wurde, sondern auch, ob derselbe Benutzer über eine andere Gruppe ein stärkeres oder schwächeres Recht erhält.

Vererbung: Rechte laufen nach unten weiter

Vererbung bedeutet, dass Rechte eines übergeordneten Ordners auf darunterliegende Ordner und Dateien weiterwirken. Das ist praktisch, weil nicht jeder Unterordner einzeln gepflegt werden muss. Wird einer Gruppe Zugriff auf Projekte gegeben, können darunterliegende Ordner wie 2026, Entwürfe oder Freigaben dieselbe Logik übernehmen.

Die Stärke der Vererbung ist gleichzeitig ihre häufigste Fehlerquelle. Wird ein Recht zu weit oben gesetzt, erreicht es mehr Unterordner als beabsichtigt. Wird es an mehreren Stellen unterbrochen, entsteht eine schwer durchschaubare Mischung aus geerbten und direkt gesetzten Regeln.

Die Ordnereigenschaften zeigen, dass Berechtigungen auch auf Unterordner und Dateien angewendet werden können.

Ein sinnvolles Vorgehen ist, Rechte möglichst weit oben nur dort zu setzen, wo die darunterliegende Struktur wirklich zusammengehört. Wenn ein Unterordner deutlich andere Schutzanforderungen hat, ist oft ein eigener freigegebener Ordner verständlicher als eine versteckte Ausnahme tief in der Struktur.

In den Berechtigungsdialogen ist außerdem die Option relevant, Unterordner und Dateien vor Benutzern ohne Berechtigung auszublenden. Das ist didaktisch wichtig, weil es zwei Zustände unterscheidet: Ein Konto kann etwas sehen, aber nicht öffnen. Oder es bekommt den betreffenden Inhalt gar nicht erst angezeigt. Für private oder sensible Bereiche ist die zweite Variante oft klarer, weil sie weniger Fragen und weniger Fehlversuche erzeugt.

Profi-Hinweis: Vererbung bewusst brechen

Manche Oberflächen erlauben es, Vererbung zu unterbrechen oder abweichende Rechte auf Unterordnern zu setzen. Das kann für einzelne Sonderfälle sinnvoll sein, etwa wenn ein Unterordner mit vertraulichen Dokumenten innerhalb eines sonst gemeinsamen Bereichs liegt.

Solche Ausnahmen sollten selten bleiben und dokumentiert werden. Eine gebrochene Vererbung ist später schwerer zu erkennen als ein klar getrennter Ordner mit eigener Gruppe.

Rechteänderungen praktisch prüfen

Nach einer Rechteänderung ist die Administrationsansicht nur die halbe Wahrheit. Entscheidend ist, was ein normales Konto tatsächlich sieht und tun kann. Ein Admin-Konto sieht oft mehr, darf mehr und ist deshalb ungeeignet, um die Perspektive eines normalen Benutzers zu prüfen.

Für einen echten Test meldet man sich mit einem Konto an, das keine Administratorrechte besitzt und nur in den betroffenen Gruppen Mitglied ist. Dann lässt sich prüfen, ob die geplante Rechtewirkung auch wirklich ankommt.

Die Ansicht eines normalen Benutzers zeigt, ob nach der Rechtevergabe nur die vorgesehenen Ordner sichtbar sind.

Ein kurzer Rechtecheck besteht aus vier Fragen:

• Ist der erwartete Ordner sichtbar?
• Sind unerwartete Ordner ausgeblendet?
• Lassen sich Dateien nur öffnen oder auch verändern?
• Greift dieselbe Logik auch in Unterordnern?

Wenn eine dieser Fragen anders ausfällt als geplant, liegt die Ursache häufig in Gruppenmitgliedschaften, geerbten Rechten oder einer zu groben Ordnerstruktur. Besonders hilfreich ist ein Test mit einem einfachen Dokument oder leeren Ordner. So lässt sich ohne Risiko prüfen, ob Schreiben und Löschen tatsächlich möglich sind.

Typische Fehler bei NAS-Rechten

Der häufigste Fehler ist nicht ein einzelner falscher Klick, sondern ein zu komplexes Rechtemodell. Viele Einzelpersonen, alte Testgruppen und Ausnahmen auf Unterordnern ergeben eine Struktur, die niemand mehr sicher erklären kann.

Ein zweiter Fehler ist die Annahme, Leserechte seien unkritisch. Für persönliche Dokumente, Fotos oder Backups ist Sichtbarkeit bereits ein relevanter Zugriff. Wenn Inhalte unterschiedlich sensibel sind, sollten sie nicht im selben Ordner liegen, nur weil es auf den ersten Blick bequem wirkt.

Auch Schreibrechte werden oft zu großzügig vergeben. In Arbeitsordnern ist das normal, in Archiven dagegen meist unnötig. Ein Archiv, das von vielen Personen beschrieben werden darf, ist kein Archiv mehr, sondern ein gemeinsamer Arbeitsbereich.

Schließlich wird Vererbung häufig erst bemerkt, wenn sie überrascht. Ein Unterordner hat Zugriff, weil der Oberordner ihn vererbt. Oder ein Unterordner verhält sich anders, weil früher eine Ausnahme gesetzt wurde. Beides ist technisch erklärbar, aber im Alltag nur dann beherrschbar, wenn die Struktur einfach bleibt.

Eine praxistaugliche Grundregel

Für ein kleines UGREEN-NAS-Setup reicht oft eine einfache Reihenfolge:

1. Zuerst Ordner nach Schutzbedarf trennen.
2. Danach passende Gruppen benennen.
3. Dann Rechte auf Gruppen vergeben.
4. Konflikte durch alte Gruppen oder Einzelrechte prüfen.
5. Anschließend mit einem normalen Konto testen.
6. Ausnahmen nur dort setzen, wo sie wirklich begründet sind.

Diese Reihenfolge wirkt langsamer als ein schneller Einzelzugriff für eine Person. Langfristig spart sie aber Arbeit, weil sich neue Benutzer, geänderte Zuständigkeiten und zusätzliche Ordner leichter einordnen lassen.

Merkübersicht

• Nur Lesen: Inhalte anzeigen, öffnen und je nach Zugriffsweg oft kopieren oder herunterladen.
• Lesen/Schreiben: Inhalte erstellen, bearbeiten, umbenennen, verschieben und je nach Situation löschen.
• Zugriff verweigern: Zugriff blockieren und bei Konflikten stärker wirken als Lese- oder Schreibrechte.
• Nicht angegeben: kein bewusst gesetztes Recht; die tatsächliche Wirkung ergibt sich aus anderen Regeln oder bleibt für normale Benutzer oft ohne Zugriff.
• Vererbung: Rechte von einem übergeordneten Ordner auf darunterliegende Ordner und Dateien weitergeben.
• Testkonto: die reale Wirkung aus Sicht eines normalen Benutzers prüfen, nicht aus der Admin-Perspektive.

Tutorial-Abschluss

Benutzerrechte auf einem UGREEN NAS sind dann gut eingerichtet, wenn sie nicht nur funktionieren, sondern erklärbar bleiben. Lesen, Schreiben und Vererbung bilden dafür die wichtigsten Grundlagen.

Leserechte erlauben Sichtbarkeit und oft Kopieren. Schreibrechte öffnen den Weg für Änderungen, neue Ordner, bearbeitete Dokumente und je nach Situation auch Löschvorgänge. Vererbung spart Verwaltungsaufwand, kann aber zu weit wirken, wenn die Ordnerstruktur unklar ist. Gruppen halten diese Entscheidungen besser zusammen als viele Einzelrechte.

Für den Alltag bleibt die wichtigste Kontrolle der Perspektivwechsel: Nach einer Änderung sollte ein eingeschränktes Konto zeigen, ob die geplante Rechtewirkung tatsächlich erreicht wurde. Erst dann ist eine Rechtekonfiguration nicht nur gesetzt, sondern geprüft.

Weiterführend passt dazu das nächste Thema zu Zugriffsprotokollen wie SMB, NFS und Webzugriff. Dort wird sichtbar, dass Rechte nicht nur in der Oberfläche, sondern auch beim konkreten Zugriffspfad eine Rolle spielen.

Unsere aktuelle UGREEN NAS Empfehlung

Entdecke gadgetChecks.de!