Управление службами клиентов Microsoft Active Directory на Synology NAS

Управление службами клиентов Microsoft Active Directory на Synology NAS

Некоторые статьи были переведены с английского языка с помощью системы машинного перевода и могут содержать неточности или грамматические ошибки.

Цель

В этой статье приводится краткая вводная информация о доменных службах Microsoft Active Directory Domain Services (AD DS). Вы также узнаете, как присоединить Synology NAS к домену и настроить права доступа пользователей/групп домена для ресурсов DSM.

Разрешение

Что такое доменные службы Active Directory Domain Services?

Доменные службы Microsoft Active Directory Domain Services (AD DS) — это служба каталогов, которая организует сетевые ресурсы в доменах AD. Она поддерживает управление пользователями/группами, групповые политики, несколько серверов каталогов (например, контроллеры домена), проверку подлинности Kerberos и т. д.

Существует множество преимуществ присоединения Synology NAS к домену AD (далее «домен»). Для ИТ-администраторов AD DS предоставляет безопасную и централизованную платформу для управления Synology NAS и другими сетевыми ресурсами. Для пользователей домена AD DS позволяет получать доступ к нескольким устройствам Synology NAS с помощью одного набора учетных данных.

Для получения дополнительной информации о AD DS см. эту статью.

Присоединение Synology NAS к домену AD

Присоединение Synology NAS к домену

Получите учетные данные для входа в учетную запись администратора домена и выполните следующие действия.

  • Для DSM 7
    1. Выполните вход в DSM под учетной записью пользователя, принадлежащего группе administrators.
    2. Выберите Панель управления > Домен/LDAP > Домен/LDAP.
    3. Нажмите Вход.
    4. Настройте следующие параметры и нажмите Далее.
      • Тип сервера. Выберите Автообнаружение или Домен.
      • Адрес сервера. Введите имя/IP-адрес домена, к которому вы хотите присоединиться, например «SYNO.INC» или «10.17.28.174».
      • DNS-сервер. Введите IP-адрес сервера DNS в AD DS. Рекомендуется использовать IP-адрес контроллера домена.
    5. Настройте следующие параметры.
      • Учетная запись домена. Введите имя пользователя учетной записи администратора домена.
      • Пароль домена. Введите пароль учетной записи администратора домена.
      • IP/FQDN контроллера домена. Можно указать один или несколько IP-адресов или полных доменных имен (FQDN) контроллеров домена (DC), и Synology NAS выполнит попытку установить с ними связь.
      1.png
    6. Нажмите Далее, и мастер запустит несколько проверок и выполнит присоединение Synology NAS к домену. После завершения процесса присоединения на вкладке Домен/LDAP отобразится состояние «Подключено».
      2.png
  • Для DSM 6.2
    1. Выполните вход в DSM под учетной записью пользователя, принадлежащего группе administrators.
    2. Выберите Панель управления > Домен/LDAP > Домен.
    3. Установите флажок Присоединиться к домену.
    4. Настройте следующие параметры.1
      • Домен. Введите имя домена, к которому вы хотите присоединиться, например «SYNO.INC».
      • DNS Server. Введите IP-адрес сервера DNS в AD DS. Рекомендуется использовать IP-адрес контроллера домена.
      3.png
    5. Нажмите Применить. Появится всплывающее окно с запросом учетной записи и пароля администратора для AD DS для проверки подлинности. Введите необходимые данные и нажмите Далее.
    6. После завершения процесса присоединения на вкладке Домен отобразится состояние «Подключено».
      4.png

Проверка кэшированных пользователей и групп домена

  1. Выберите Панель управления > Домен/LDAP. Проверьте, отображаются ли пользователи и группы домена на вкладках Пользователь домена и Группа домена соответственно.
    5.png
  2. Откройте Панель управления > Общая папка и выберите общую папку.
  3. Нажмите Редактировать > Права доступа. Проверьте, можно ли выбрать пользователей и группы домена в раскрывающемся меню.
    6.png

Управление правами доступа к ресурсам DSM

В следующих разделах показано, как управлять правами доступа пользователей/групп домена к ресурсам DSM. Перед продолжением ознакомьтесь со статьями справки по следующим темам, которые помогут вам подробно ознакомиться с предоставлением общего доступа к ресурсам DSM.

Настройка прав доступа к общим папкам

По умолчанию пользователи и группы домена не имеют доступа к общим папкам, которые существовали до присоединения Synology NAS к домену. Чтобы предоставить права доступа к общим папкам для пользователей/групп домена, используйте один из следующих способов.

  • Способ 1
    1. Откройте Панель управления > Домен/LDAP и выберите вкладку Пользователь домена или Группа домена.
    2. Выберите пользователя/группу домена и нажмите Редактировать > Права доступа.
    3. Настройте права доступа и сохраните настройки.
      7.png
  • Способ 2
    1. Перейдите в раздел Панель управления > Общая папка.
    2. Выберите общую папку и нажмите Редактировать > Права доступа.
    3. Выберите Пользователи домена или Группы домена в раскрывающемся меню.
    4. Настройте права доступа и сохраните настройки.
      8.png

Настройка прав доступа к подпапкам

Настройки прав доступа на уровне подпапок позволяют ИТ-администраторам более точно управлять правами доступа. Это особенно эффективно, если необходимо установить права доступа к файлам в крупной организации. Ниже приведен возможный сценарий.

Предположим, отдел продаж состоит из трех подразделений: «Продажи 1», «Продажи 2» и «Продажи 3». Администратор Synology NAS создает подпапки «Продажи 1», «Продажи 2» и «Продажи 3» в общей папке «Продажи». Администратор может установить права доступа для трех подпапок по отдельности. Например, участники группы «Продажи 1» имеют права на чтение/запись в папку «Продажи 1», но имеют только права на чтение или не имеют прав доступа к другим папкам.

Чтобы настроить права доступа на уровне подпапок, выполните следующие действия.

  1. Перейдите в File Station и выберите подпапку в общей папке, например «TV show» в общей папке «video».
    9.png
  2. Нажмите подпапку правой кнопкой мыши и выберите Свойства > Права доступа.
  3. Нажмите кнопку Создать. В окне редактора разрешений появится запрос на настройку следующих параметров.
    • Пользователь или группа. Выберите пользователя или группу домена.
    • Разрешение. Установите флажки для разрешений, которые необходимо назначить пользователю/группе домена.
    10.png

Доступ к общим папкам с разрешениями Active Directory

Вы можете получить доступ к общим папкам Synology NAS с помощью File Station, SMB, AFP, FTP и т.д. В качестве примера рассмотрим SMB.

  1. Используйте компьютер для подключения к Synology NAS.
    11.png
  2. Дважды нажмите общую папку, к которой необходимо получить доступ.
    12.png
  3. Введите следующие данные, если появится запрос на ввод учетных данных для входа.
    • Имя пользователя. Добавьте имя домена и обратную наклонную черту перед именем пользователя домена, например «syno.inc\administrator».
    • Пароль. Введите пароль учетной записи пользователя домена.
    13.png

Управление службой главной папки

Администратор Synology NAS может включить функцию Главная папка пользователя, чтобы автоматически создать личные главные папки для каждого пользователя домена, доступ к которым можно получить через различные файловые службы и пакеты. К личным папкам доступ имеют только администратор и сам пользователь.

  • Включение главных папок для пользователей домена
    1. Откройте Панель управления > Домен/LDAP > Пользователь домена и выберите Главная папка пользователя.
    2. Во всплывающем окне установите флажок Включить службу главной папки пользователя для пользователей домена и сохраните настройки.
      14.png
  • Доступ к главной папке пользователя домена (для конечных пользователей)
    1. Используйте компьютер для подключения к Synology NAS через протоколы File Station, SMB, AFP или FTP.
    2. Выберите home для доступа к главной папке.
  • Управление главными папками пользователей домена (для администратора)
    1. Используйте компьютер для подключения к Synology NAS через протоколы File Station, SMB, AFP или FTP.
    2. Найдите главные папки пользователей домена. Пути к папкам имеют следующий формат.
      Путь к папке Пример
      \\IP-адрес NAS\homes\@DH-имя домена NetBIOS\папка x2\пользователь домена-Y3 \\10.17.28.174\homes\@DH-SYNO\0\administrator-500
      15.png

Настройка прав доступа к службам DSM

Воспользуйтесь одним из приведенных ниже способов, чтобы предоставить пользователям/группам домена доступ к службам4 на Synology NAS.

  • Способ 1
    1. Откройте Панель управления > Домен/LDAP и выберите вкладку Пользователь домена или Группа домена.
    2. Выберите пользователя/группу домена и нажмите Редактировать > Приложения.
    3. Настройте права доступа и сохраните настройки.
      16.png
  • Способ 2
    1. Выберите Панель управления > Права доступа к приложению (DSM 7) или Права (DSM 6.2).
    2. Выберите службу и нажмите Редактировать > Пользователь или Группа.
    3. Выберите Пользователи домена или Группы домена в раскрывающемся меню.
    4. Настройте права доступа и сохраните настройки.
      17.png

Примечания

  1. Для определенных сред домена также требуются дополнительные настройки.
    • IP/FQDN контроллера домена. Можно указать IP-адрес или FQDN контроллера домена (DC), и Synology NAS выполнит попытку установить с ним связь. Если необходимо ввести несколько IP-адресов или FQDN в этом поле, разделяйте их запятыми (,). Вы также можете добавить звездочку (*) после последнего IP-адреса/FQDN контроллера домена, чтобы устройство Synology NAS попыталось связаться с другими контроллерами домена, если не удастся установить связь с указанными контроллерами домена. Обратите внимание, что звездочка также должна быть отделена от последнего IP-адреса/FQDN запятой.
    • Имя NetBIOS домена. Укажите имя NetBIOS домена, например «SYNO».
    • Домен FQDN (имя DNS). Укажите FQDN (имя DNS) домена, например «SYNO.INC».
  2. Символ «X» в «папка X». Это номер, созданный Synology NAS.
  3. «Y» в имени главной папки пользователя «пользователь домена-Y». Цифровой суффикс «Y» является относительным идентификатором (RID). Он назначается контроллером домена и используется для предотвращения просмотра пользователями личных данных, принадлежащих другим пользователям. Например, если пользователь домена «sophie» удален и повторно создан, новый пользователь «sophie» получит другой номер RID и не наследует права доступа к прежней главной папке «sophie».
  4. Некоторые службы DSM могут быть недоступны для пользователей домена (например, служба SSH).
Цель
Содержание
Разрешение
Что такое доменные службы Active Directory Domain Services?
Присоединение Synology NAS к домену AD
Управление правами доступа к ресурсам DSM