Synology 使用者與群組權限:幫家人建帳號、分讀寫唯讀
很多家庭的 NAS 是這樣用的:買回來設一組帳號(甚至直接用 admin),然後全家共用這一組登入。爸媽用它、小孩用它、連來家裡的親戚也用它。
一開始沒什麼感覺,直到有一天:
- 一批家庭照片不見了,你完全不知道是誰刪的——因為所有人都是同一組帳號,紀錄查不出人。
- 小孩不小心把報稅資料夾裡的檔案拖走,而他本來根本不該碰到那個資料夾。
- 你想把某個資料夾只開放給另一半看,卻發現「共用一組帳號」根本沒辦法分。
這些問題的根源都一樣:沒有幫每個人建立自己的帳號、也沒有用權限把「誰能看、誰能改」分清楚。 這篇就把 Synology 的使用者、群組、資料夾權限一次講明白,讓全家共用一台 NAS 也能各就各位、井然有序。
🎯 這篇適合誰
| 你的情況 | 建議先看哪段 |
|---|---|
| 全家還在共用一組帳號 | 為什麼不要共用帳號 |
| 想搞懂使用者和群組差在哪 | 使用者 vs 群組 |
| 要幫家人建帳號 | 建立使用者與群組 |
| 設資料夾誰能看誰能改 | 設定資料夾權限 |
| 明明給了權限卻存取不了 | 權限衝突規則 |
💡 為什麼不要全家共用一組帳號
先講清楚這件事的重要性,因為它是後面所有設定的理由。
第一,出事查不到人。 DSM 會記錄「誰在什麼時候登入、動了什麼」,但如果全家都是同一組帳號,這些紀錄全部指向同一個人,等於沒有紀錄。照片被刪、檔案被改,你永遠查不出是誰。
第二,沒辦法分權限。 你可能希望報稅、財務資料只有你和另一半能看,小孩的空間他自己管就好。但「一組帳號」意味著「一種權限」——要嘛全開、要嘛全關,沒有中間地帶。
第三,用 admin 更是大忌。 admin 是權限最大的管理員帳號,也是駭客攻擊的頭號目標。全家拿它當日常帳號用,等於天天把最大權限攤在風險裡。正確做法是停用 admin、改用自訂管理員帳號,家人則用一般帳號。
一句話:每人一個帳號,是資安、也是秩序的基本功。 多花十分鐘建帳號,換來的是「查得到、分得清、動得放心」。
🧩 使用者與群組:觀念先分清楚
DSM 的權限管理有兩個角色,先搞懂它們的關係,後面設定就不會亂:
- 使用者(User):一個「人」的帳號。每個家人一個,各自有密碼、各自登入。
- 群組(Group):一「群人」的集合。把使用者丟進群組,就能一次對一整群人設權限,不用一個一個設。
打個比方:使用者是「員工」,群組是「部門」。你要開放某個資料夾給「業務部」,只要對這個部門設一次權限,之後有新人進部門就自動繼承,離職就移出,不必每次都重設。
DSM 內建兩個群組:
| 內建群組 | 意義 | 家庭用法 |
|---|---|---|
| administrators | 管理員,能存取與管理整台 NAS | 只放你自己(和另一半),別把小孩放進來 |
| users | 所有使用者的預設群組 | 一般家人都在這裡 |
重點:
administrators群組的成員擁有最高權限,可以繞過大部分資料夾限制。所以家庭裡只有真正該當管理員的人(通常就你一個)該進這個群組,其他人一律用一般帳號。
家庭規模不大時,其實不一定要另建群組——直接對每個使用者設資料夾權限也行。但只要人數超過三、四個,或你常常要「一次調整一群人」,建立自訂群組(例如 family)就會省事很多。
🛠️ 動手:幫家人建立帳號與群組
建立使用者
- 登入 DSM → 控制台 → 使用者與群組 → 使用者 → 新增
- 填入名稱(建議用英文小寫,如
mom、kid)與密碼 - 可勾選「不允許使用者變更帳號密碼」(幫小孩管理時方便)
- 下一步選擇要加入的群組(預設
users) - 接著會讓你設定共用資料夾權限(見下一段)
- 可設定容量配額(限制每個人最多用多少空間,避免一人塞爆)
建議一開始就幫每個實際使用的人各建一個帳號,包含你自己的日常帳號(不要用管理員帳號當日常用)。
建立群組(人多時才需要)
- 控制台 → 使用者與群組 → 群組 → 新增
- 命名(例如
family) - 勾選要加入這個群組的成員
- 同樣可在建立時直接設定這個群組對各共用資料夾的權限
之後要調整一整群人的權限,改群組就好,比逐一改使用者快得多。
📁 設定共用資料夾權限
權限的核心,是決定「哪個帳號/群組,對哪個共用資料夾,有什麼程度的存取」。DSM 的共用資料夾權限分三種:
| 權限 | 意思 | 適合 |
|---|---|---|
| 讀取/寫入 | 能看、能改、能刪 | 自己和信任的家人 |
| 唯讀 | 只能看,不能改 | 只需要看內容的人(如共享給小孩的照片) |
| 不允許 | 完全看不到、進不去 | 明確要隔離的對象 |
設定位置有兩個入口,效果一樣:
- 從資料夾設:控制台 → 共用資料夾 → 選資料夾 → 編輯 → 權限 分頁,逐一勾選每個帳號的權限。適合「我想一次設定這個資料夾對所有人的權限」。
- 從使用者/群組設:控制台 → 使用者與群組 → 選帳號 → 編輯 → 權限 分頁。適合「我想一次設定這個人能碰哪些資料夾」。
家庭情境範例
一個典型的家庭配置:
| 共用資料夾 | dad | mom | kid |
|---|---|---|---|
family(全家共用文件) |
讀寫 | 讀寫 | 讀寫 |
photos(家庭照片) |
讀寫 | 讀寫 | 唯讀(避免誤刪) |
dad-private(個人財務) |
讀寫 | 讀寫 | 不允許 |
kid(小孩自己的空間) |
讀寫 | 讀寫 | 讀寫 |
這樣一來,全家有共用的地方、有各自的地方,照片也不怕被不小心刪掉。這種「一份共用、各有私人」的資料夾規劃,可以搭配把共用資料夾對應成網路磁碟機,每台電腦掛一次就長期使用。
⚖️ 關鍵:權限衝突時,誰說了算
這是最多人卡住、也最容易踩雷的地方——明明給了某個人讀寫,他卻打不開資料夾。原因通常出在「個人權限」和「群組權限」打架了。
DSM 的權限判定有一條鐵律:
「不允許」永遠優先於「讀取/寫入」和「唯讀」。
也就是說,只要一個帳號透過任何一條路徑(他自己、或他所屬的任何一個群組)被設成「不允許」,那就是不允許,其他地方給再多讀寫都沒用。
常見的踩雷情境:
- 你給
kid個人設了某資料夾「讀寫」,但他所屬的users群組對同一個資料夾被設成「不允許」→ 結果 kid 進不去。 - 你以為把某人加進
family群組給了讀寫就好,卻忘了他個人設定裡還留著舊的「不允許」→ 一樣進不去。
排查方法:當某人存取不了時,把他自己的權限和他所屬每一個群組的權限都檢查一遍,找出那個「不允許」把它改掉。記住優先順序:不允許 > 讀寫/唯讀,寧可少設「不允許」,用「唯讀」或「不勾」來限制通常就夠。
⚠️ 常見卡關
| 症狀 | 多半是這個原因 | 怎麼解 |
|---|---|---|
| 給了讀寫還是進不去 | 個人或所屬群組某處被設「不允許」 | 逐一檢查個人+所有群組權限,移除「不允許」 |
| 小孩帳號能看到不該看的資料夾 | 該資料夾權限預設對 users 全開 | 針對該資料夾把 kid 或 users 設「不允許」 |
| 改了權限沒生效 | 進階 ACL(Windows 權限)另有設定 | 檢查資料夾「進階權限」分頁,或先關掉進階權限用基本的 |
| 家人能改到系統設定 | 被誤加進 administrators 群組 | 移出 administrators,改放一般 users |
| 忘記某人到底有哪些權限 | 沒有全域檢視 | 到使用者「權限」分頁可一次看他對所有資料夾的權限 |
DSM 還有更細的「進階權限(Windows ACL)」可以設到單一子資料夾、單一檔案層級,但家庭用途幾乎用不到,建議先用共用資料夾層級的基本權限就好,簡單、不易出錯。真的需要再研究進階 ACL。
❓ 常見問題
Q:家裡就兩三個人,一定要建群組嗎? 不一定。人少的時候,直接對每個使用者設資料夾權限就夠了。群組是為了「一次管一群人」而存在,人數多或常要批次調整時才顯出價值。
Q:可以限制某個帳號最多用多少空間嗎? 可以。在使用者設定裡有「容量配額(Quota)」,可針對每個儲存空間設上限,避免一個人把整台 NAS 塞爆。
Q:小孩的帳號怎麼防止他亂改設定?
別把他放進 administrators 群組就好。一般 users 帳號無法變更系統設定,只能在你給他權限的資料夾裡活動。
Q:我把某人設「不允許」,他還是看得到資料夾名稱? 可以進一步開啟共用資料夾的「隱藏無權限的子資料夾/檔案」選項(在檔案服務 SMB 設定裡),讓沒權限的人連看都看不到。
Q:家人要從外面連回來存取,權限一樣有效嗎? 一樣有效,權限是綁在帳號上的。但對外存取請務必走 Tailscale 或 VPN,不要直接把 NAS 服務暴露在公網。
幫家人各建一個帳號、用權限把「誰能看、誰能改」分清楚,聽起來麻煩,實際上十幾分鐘就設好,而且是一勞永逸的事。做完之後,你的 NAS 不再是「一個大家亂丟東西的公用抽屜」,而是「每個人有自己的位置、共用的地方也井然有序」的家庭資料中心。這一步打穩,全家用起來才真正安心。
🔗 延伸閱讀
- Synology 共用資料夾:把 NAS 對應成電腦網路磁碟機 — 權限設好後,把資料夾掛上每台電腦
- Synology NAS 資安清單:帳號、網路與存取控制 — 停用 admin、帳號安全的完整設定
- Synology DSM 通知設定:硬碟、備份出事馬上收到警報 — 帳號異常登入也能即時收到通知
- Synology NAS 新機設定清單:開箱後第一步該做哪些事 — 把 NAS 的基礎一次打穩