一、Synology NAS ACL设置管理前提：确认环境与核心注意事项

在开始ACL配置前，需先确认环境兼容性与关键风险点，避免因设置不当导致数据访问异常。

1. 环境要求

- DSM版本：需确保Synology NAS运行DSM 5.0或更新版本。从DSM 5.0开始，共享文件夹的访问权限默认基于Windows ACL，支持自定义单个文件、子文件夹的权限，同时可通过DSM的File Station或Windows文件资源管理器操作权限设置。

2. 核心注意事项（避坑重点）

- homes文件夹权限：编辑`homes`文件夹权限时需格外谨慎，该文件夹包含所有用户的个人`home`文件夹。若为特定用户/群组设置“禁止访问”权限，这类用户将无法访问自身的`home`文件夹，甚至影响`photo`、`web`文件夹的正常使用。

- 网页/个人web/photo文件夹权限：此类文件夹关联NAS的网页服务，必须确保`http`群组拥有“读取”或“读取/写入”权限，否则会导致网页服务无法正常运行（如个人网页无法访问、照片服务加载失败）。

- 权限优先级规则：当用户权限与所属群组权限冲突时，权限优先级遵循“禁止访问（NA）> 读/写（RW）> 只读（RO） ”，即“禁止访问”权限会覆盖其他所有权限，“读/写”权限会覆盖“只读”权限。

- 不支持Windows ACL的共享文件夹：`photo`、`satashare`、`sdshare`、`surveillance`和`usbshare`这5类共享文件夹，无法使用Windows ACL权限管理系统，需通过其他方式配置权限。

二、管理Synology NAS共享文件夹的基本权限：快速配置访问范围

共享文件夹的基本权限配置适用于对用户/群组的访问权限进行“粗粒度”管控（如禁止访问、只读、读/写），操作步骤如下：

1. 进入共享文件夹管理界面

1. 登录Synology DSM系统，打开「控制面板」，在左侧菜单中找到并点击「共享文件夹」。

2. 在共享文件夹列表中，找到需要编辑权限的文件夹（如“Data”），点击列表上方的「编辑」按钮。

2. 配置用户/群组权限

1. 进入「权限」选项卡，在顶部的下拉菜单中选择用户类型，支持3类用户：

- 系统内部用户（如匿名FTP用户、http用户）

- 本地用户（NAS本地创建的个人用户）

- 本地群组（NAS本地创建的用户群组，如Sales、IT）

2. 针对每个用户或群组，在权限列勾选对应权限：

- 禁止访问：完全禁止该用户/群组访问文件夹

- 只读：仅允许查看文件夹内容，无法修改、删除或新增文件

- 读/写：允许查看、修改、删除、新增文件夹内容

3. 保存设置：

- 若使用DSM 7.0及以上版本，点击「保存」按钮完成配置；

- 若使用DSM 6.2及更早版本，点击「确定」按钮生效。

三、自定义Synology NAS Windows ACL权限：精细化管控操作权限

当基本权限无法满足需求（如仅允许“创建文件”但禁止“删除文件”）时，需通过自定义Windows ACL权限实现精细化管控，步骤如下：

1. 按照“管理共享文件夹基本权限”的步骤，进入目标文件夹的「权限」选项卡。

2. 在用户/群组列表中，找到需要自定义权限的对象，勾选其右侧的「自定义」选项（若未显示“自定义”，需先确认用户类型为“本地用户”或“本地群组”）。

3. 弹出「权限编辑器」窗口后，根据需求修改以下权限分类（每类包含多个细分权限，可按需勾选）：

- 读取权限：包括“列出文件夹/读取数据”“读取属性”“读取扩展属性”“读取权限”等（如仅允许“遍历文件夹/执行文件”，可单独勾选该选项）；

- 写入权限：包括“创建文件/写入数据”“创建文件夹/附加数据”“写入属性”“写入扩展属性”“删除子文件夹及文件”“删除”等（如仅允许上传文件，可勾选“创建文件/写入数据”和“创建文件夹/附加数据”）；

- 特殊权限：如“更改权限”“取得所有权”等（一般不建议普通用户勾选，避免权限失控）。

4. 完成权限配置后，点击「完成」（DSM 7.0+）或「确定」（DSM 6.2及更早）保存设置。

四、使用Synology NAS权限检查器：验证文件/文件夹权限有效性

配置ACL权限后，可通过「权限检查器」验证特定用户/群组的实际访问权限，避免因权限冲突或继承问题导致配置失效，操作步骤如下：

1. 打开Synology DSM中的「File Station」（文件管理器），在左侧文件列表中找到需要检查权限的文件或文件夹（如“datacenter”子文件夹）。

2. 选中目标文件/文件夹，点击顶部菜单栏的「操作」下拉菜单，选择「属性」选项。

3. 在「属性」窗口中，切换到「权限」选项卡，点击右上角的「高级选项」下拉菜单，选择「权限检查器」。

4. 在「权限检查器」窗口中，通过下拉菜单选择需要验证的用户或群组（如“John”用户、“Sales”群组）。

5. 系统会自动显示该用户/群组的权限详情，包括「管理员权限」（是否拥有管理员级别的控制权限）、「读取权限」（是否能查看内容）、「写入权限」（是否能修改内容），所有权限状态会以“允许”“拒绝”或“未设置”明确标识，便于快速排查权限问题。

五、为Synology NAS用户授予管理员权限：等效默认admin账户权限

若需让普通用户拥有与默认`admin`账户相同的管理权限，无需单独配置复杂ACL，只需将该用户添加到「系统管理员群组」即可，步骤如下：

1. 打开「控制面板」，进入「用户和群组」模块（DSM 7.0+直接显示该模块；DSM 6.2及更早版本需点击「用户」）。

2. 在用户列表中，找到需要授予管理员权限的用户（如“Alice”），点击「编辑」按钮。

3. 切换到「用户群组」选项卡，在群组列表中找到「管理员」一行，勾选右侧的「添加」选项（表示将该用户加入管理员群组）。

4. 点击「保存」（DSM 7.0+）或「确定」（DSM 6.2及更早），完成后该用户将拥有与`admin`相同的NAS管理权限（包括ACL配置、共享文件夹创建等）。

六、设置Synology NAS匿名用户FTP访问权限：限制上传与防篡改

部分场景下需允许匿名用户通过FTP上传文件，但需限制其读取、删除或修改现有文件，可通过ACL设置实现，步骤如下：

1. 进入「控制面板」→「共享文件夹」，找到FTP服务使用的共享文件夹（如“FTP_Upload”），点击「编辑」。

2. 切换到「权限」选项卡，在顶部下拉菜单中选择「系统内部用户」，在用户列表中找到「Anonymous FTP/Presto/ WebDAV」（匿名用户账户）。

3. 勾选该用户右侧的「自定义」选项，弹出「权限编辑器」窗口后，配置以下权限：

- 「读取」权限：仅勾选“遍历文件夹/执行文件”（允许匿名用户进入文件夹，但无法查看现有文件内容）；

- 「写入」权限：勾选“创建文件/写入数据”和“创建文件夹/附加数据”（允许上传文件和创建子文件夹，但禁止修改现有文件）；

- 取消勾选“删除”“删除子文件夹及文件”等权限（防止匿名用户删除数据）。

4. 额外设置防篡改：回到「共享文件夹」列表，再次编辑目标文件夹，进入「高级权限」→「高级设置」，勾选「禁止修改现有文件」选项，确保匿名用户无法覆盖或修改已存在的文件。

七、为Synology NAS群组用户微调权限：以Sales群组与John为例

当同一群组内不同用户需差异化权限时（如Sales群组全员只读，但John需读写特定子文件夹），可通过分层ACL配置实现，具体案例如下：

案例背景

- 用户群组：`Sales`（包含多名销售成员，需访问“Data”文件夹但禁止修改内容）；

- 特定用户：`John`（属于`Sales`群组，负责“datacenter”项目，需对“Data/datacenter”子文件夹拥有读写权限）；

- 共享文件夹：`Data`（根文件夹，存放销售部门通用数据）；

- 子文件夹：`Data/datacenter`（存放John负责的项目数据）。

步骤1：配置Sales群组对“Data”文件夹的只读权限

1. 打开「File Station」，找到“Data”文件夹，右键点击选择「属性」。

2. 进入「权限」选项卡，点击「创建」按钮（新建ACL条目）。

3. 在「权限编辑器」窗口中，通过“用户或群组”下拉菜单选择`Sales`群组，在权限分类中仅勾选「读取」相关权限（如“列出文件夹/读取数据”“读取属性”等），取消「写入」和「特殊权限」的勾选。

4. 在「应用范围」选项中，勾选「应用到此文件夹、子文件夹和文件」，确保Sales群组对“Data”及其所有子文件夹（含“datacenter”）均为只读权限，点击「确定」保存。

步骤2：配置John对“Data/datacenter”子文件夹的读写权限

1. 在「File Station」中找到“Data/datacenter”子文件夹，右键点击选择「属性」。

2. 进入「权限」选项卡，点击「创建」按钮，新建针对John的ACL条目。

3. 在「权限编辑器」中，选择用户`John`，勾选「读取」和「写入」相关权限（如“创建文件/写入数据”“删除”“修改权限”等，根据实际需求调整）。

4. 「应用范围」选择「应用到此文件夹、子文件夹和文件」，点击「确定」。此时，John对“datacenter”子文件夹拥有读写权限，而对“Data”其他子文件夹仍继承Sales群组的只读权限（权限优先级：显式权限＞继承权限）。

八、禁用Synology NAS默认admin帐户访问共享文件夹：禁止与隐藏双重保障

为提升安全性，若需禁止默认`admin`账户访问特定共享文件夹，可通过ACL设置实现，DSM 7.0+版本还支持隐藏该文件夹，步骤如下：

1. 禁止admin账户访问共享文件夹

1. 进入「控制面板」→「共享文件夹」，找到目标文件夹（如“Confidential”，机密文件夹），点击「编辑」。

2. 切换到「权限」选项卡，在用户列表中找到`admin`账户，勾选其右侧的「禁止访问」选项。

3. 点击「保存」（DSM 7.0+）或「确定」（DSM 6.2及更早），此时`admin`账户无法访问该文件夹。

2. DSM 7.0+：隐藏无权限的共享文件夹

若使用DSM 7.0及以上版本，可进一步设置“对无权限的用户隐藏共享文件夹”，确保`admin`登录后无法通过SMB（Windows文件共享）看到该文件夹：

1. 进入「控制面板」→「文件服务」，在左侧菜单中找到「SMB」（若未启用SMB服务，需先勾选“启用SMB服务”）。

2. 在SMB设置页面中，勾选「对没有权限的用户隐藏共享文件夹」选项。

3. 点击「应用」保存设置，此后`admin`账户通过Windows文件资源管理器访问NAS时，将无法看到“Confidential”文件夹。

九、Synology NAS ACL权限继承规则：理解权限传递与显式修改

在ACL配置中，权限会从父文件夹（父对象）继承到子文件夹、文件（子对象），这一规则会影响权限的实际生效效果，需重点理解：

- 继承权限：子对象从父对象继承的权限会以「灰色」显示在权限列表中，无法直接修改（需先取消继承才能修改）。例如，若父文件夹“Data”授予Sales群组“只读”权限，其下所有子文件夹默认也会继承该“只读”权限。

- 显式权限：若为子对象单独配置ACL（如为“datacenter”子文件夹配置John的“读写”权限），该权限会以「黑色」显示，且优先级高于继承权限。即John访问“datacenter”时，会优先使用显式的“读写”权限，而非继承的“只读”权限。

- 取消继承：若需修改子对象的继承权限，需在「权限编辑器」中取消“从父项继承权限”选项，此时继承权限会转为显式权限，可按需修改。

总结

Synology NAS的ACL设置是实现数据精细化权限管控的核心手段，通过本文介绍的共享文件夹基本权限配置、Windows ACL自定义、权限检查器使用、管理员权限授予等操作，用户可根据实际场景（如企业部门权限划分、匿名FTP上传管控、特定用户差异化权限）灵活配置访问规则。需注意，操作前需确认DSM版本兼容性，严格遵循权限优先级规则与关键文件夹（如homes、web）的权限要求，避免因设置不当导致数据访问异常或安全风险。