NAS多用户权限管理：家庭和团队配置实战 • halo 的技术博客

NAS权限管理ACL多用户家庭NAS

NAS 不只是一个人的设备。家里人要用，朋友可能也要访问，团队更是需要精确的权限隔离。权限设置搞砸了，要么所有人都能看所有文件（隐私灾难），要么所有人都什么都访问不了（功能浪费）。说说我的经验。

一、先搞清楚三个基本概念#

权限分享

NAS 权限体系一般分三层：

用户（User） ：具体的人或应用。群晖里叫”用户账号”，威联通叫”用户账号”。每个用户有独立的用户名和密码。

群组（Group） ：用户的集合。比如”家庭成员”群组包含爸爸、妈妈、孩子；“设计部”群组包含设计师 A、B、C。把用户归组后，给群组设置权限，比逐个用户设置高效得多。

共享文件夹（Shared Folder） ：NAS 上的顶层目录结构。比如”电影""照片""工作文档”。每个共享文件夹可以单独设置谁可以访问。

家里有小孩的话，这是最常见的痛点。

我的家庭权限方案 ：

团队协作

关键点：孩子的账号不要给管理员权限 。很多家长图省事直接给孩子 admin，结果孩子误删全家照片库、血泪教训。

另外，群晖和威联通都有”垃圾桶”功能——删除的文件会先进垃圾桶而不是直接消失。启用这个功能可以给孩子多一层保护，即使误删也能恢复。

如果是工作室或者小团队用 NAS，权限设计要更细致：

推荐群组设计 ：

威联通的 ACL（访问控制列表）比群晖更细致，支持到单个文件的权限设置。如果团队协作场景复杂，威联通是更好的选择。

这是最容易被搞混的部分。

权限继承 ：子文件夹默认继承父文件夹的权限。比如”/共享文件夹/项目A/“默认继承”/共享文件夹/“的权限。

权限覆盖 ：可以手动给子文件夹设置不同权限，覆盖继承的设置。比如”/共享文件夹/项目A/“只允许设计部访问，其他部门无权。

群晖 DSM 的 ACL 设置界面有点反直觉。建议先在测试文件夹上练手，搞清楚”继承”和”覆盖”的区别再动手改正式数据。

有时候需要临时给朋友分享大文件，又不想给他开正式账号。

群晖的 QuickConnect + 分享链接 ：在文件上右键”分享”，生成一个链接发给朋友，朋友无需登录就能下载。可以在后台设置链接有效期和密码。

威联通的 Qfile ：类似功能，通过 QuCamera App 或者 Web 界面生成分享链接。

注意：分享链接是省事，但安全风险也不小。建议：

我踩过最坑的几个：

坑1：新建用户看不到任何文件夹

新用户默认没有任何文件夹访问权限，需要手动分配。需要进入控制面板→共享文件夹→编辑→权限，手动添加用户到对应文件夹。

坑2：Mac 用户文件权限变成 root

macOS 访问 NAS 时，文件默认以 APFS 格式存储，UID/GID 可能和 NAS 上的用户不匹配。解决办法：用 AFP 协议替代 SMB，或者在 Mac 端用 sudo chown -R username:groupname /Volumes/NAS_folder 修复权限。

坑3：Docker 容器无法访问 NAS 文件

Docker 默认以 root 用户运行，写入的文件在 NAS 上显示为 root 权限，其他用户无法访问。需要在 Docker Compose 里用 PUID 和 PGID 参数指定容器以哪个用户运行。

environment:
  - PUID=1000   # 你的用户 UID
  - PGID=100    # 你的用户组 GID

plaintext

每次调整权限后，建议过一遍：

数据来源：群晖 DSM 7 权限管理手册，威联通 QTS ACL 文档（2026年4月）