Управление службами клиентов Microsoft Active Directory на Synology NAS
Управление службами клиентов Microsoft Active Directory на Synology NAS
Некоторые статьи были переведены с английского языка с помощью системы машинного перевода и могут содержать неточности или грамматические ошибки.
Цель
В этой статье приводится краткая вводная информация о доменных службах Microsoft Active Directory Domain Services (AD DS). Вы также узнаете, как присоединить Synology NAS к домену и настроить права доступа пользователей/групп домена для ресурсов DSM.
Содержание
Разрешение
Что такое доменные службы Active Directory Domain Services?
Доменные службы Microsoft Active Directory Domain Services (AD DS) — это служба каталогов, которая организует сетевые ресурсы в доменах AD. Она поддерживает управление пользователями/группами, групповые политики, несколько серверов каталогов (например, контроллеры домена), проверку подлинности Kerberos и т. д.
Существует множество преимуществ присоединения Synology NAS к домену AD (далее «домен»). Для ИТ-администраторов AD DS предоставляет безопасную и централизованную платформу для управления Synology NAS и другими сетевыми ресурсами. Для пользователей домена AD DS позволяет получать доступ к нескольким устройствам Synology NAS с помощью одного набора учетных данных.
Для получения дополнительной информации о AD DS см. эту статью.
Присоединение Synology NAS к домену AD
Присоединение Synology NAS к домену
Получите учетные данные для входа в учетную запись администратора домена и выполните следующие действия.
- Для DSM 7
- Выполните вход в DSM под учетной записью пользователя, принадлежащего группе administrators.
- Выберите Панель управления > Домен/LDAP > Домен/LDAP.
- Нажмите Вход.
- Настройте следующие параметры и нажмите Далее.
- Тип сервера. Выберите Автообнаружение или Домен.
- Адрес сервера. Введите имя/IP-адрес домена, к которому вы хотите присоединиться, например «SYNO.INC» или «10.17.28.174».
- DNS-сервер. Введите IP-адрес сервера DNS в AD DS. Рекомендуется использовать IP-адрес контроллера домена.
- Настройте следующие параметры.
- Учетная запись домена. Введите имя пользователя учетной записи администратора домена.
- Пароль домена. Введите пароль учетной записи администратора домена.
- IP/FQDN контроллера домена. Можно указать один или несколько IP-адресов или полных доменных имен (FQDN) контроллеров домена (DC), и Synology NAS выполнит попытку установить с ними связь.
- Нажмите Далее, и мастер запустит несколько проверок и выполнит присоединение Synology NAS к домену. После завершения процесса присоединения на вкладке Домен/LDAP отобразится состояние «Подключено».
- Для DSM 6.2
- Выполните вход в DSM под учетной записью пользователя, принадлежащего группе administrators.
- Выберите Панель управления > Домен/LDAP > Домен.
- Установите флажок Присоединиться к домену.
- Настройте следующие параметры.1
- Домен. Введите имя домена, к которому вы хотите присоединиться, например «SYNO.INC».
- DNS Server. Введите IP-адрес сервера DNS в AD DS. Рекомендуется использовать IP-адрес контроллера домена.
- Нажмите Применить. Появится всплывающее окно с запросом учетной записи и пароля администратора для AD DS для проверки подлинности. Введите необходимые данные и нажмите Далее.
- После завершения процесса присоединения на вкладке Домен отобразится состояние «Подключено».
Проверка кэшированных пользователей и групп домена
- Выберите Панель управления > Домен/LDAP. Проверьте, отображаются ли пользователи и группы домена на вкладках Пользователь домена и Группа домена соответственно.
- Откройте Панель управления > Общая папка и выберите общую папку.
- Нажмите Редактировать > Права доступа. Проверьте, можно ли выбрать пользователей и группы домена в раскрывающемся меню.
Управление правами доступа к ресурсам DSM
В следующих разделах показано, как управлять правами доступа пользователей/групп домена к ресурсам DSM. Перед продолжением ознакомьтесь со статьями справки по следующим темам, которые помогут вам подробно ознакомиться с предоставлением общего доступа к ресурсам DSM.
Настройка прав доступа к общим папкам
По умолчанию пользователи и группы домена не имеют доступа к общим папкам, которые существовали до присоединения Synology NAS к домену. Чтобы предоставить права доступа к общим папкам для пользователей/групп домена, используйте один из следующих способов.
- Способ 1
- Откройте Панель управления > Домен/LDAP и выберите вкладку Пользователь домена или Группа домена.
- Выберите пользователя/группу домена и нажмите Редактировать > Права доступа.
- Настройте права доступа и сохраните настройки.
- Способ 2
- Перейдите в раздел Панель управления > Общая папка.
- Выберите общую папку и нажмите Редактировать > Права доступа.
- Выберите Пользователи домена или Группы домена в раскрывающемся меню.
- Настройте права доступа и сохраните настройки.
Настройка прав доступа к подпапкам
Настройки прав доступа на уровне подпапок позволяют ИТ-администраторам более точно управлять правами доступа. Это особенно эффективно, если необходимо установить права доступа к файлам в крупной организации. Ниже приведен возможный сценарий.
Предположим, отдел продаж состоит из трех подразделений: «Продажи 1», «Продажи 2» и «Продажи 3». Администратор Synology NAS создает подпапки «Продажи 1», «Продажи 2» и «Продажи 3» в общей папке «Продажи». Администратор может установить права доступа для трех подпапок по отдельности. Например, участники группы «Продажи 1» имеют права на чтение/запись в папку «Продажи 1», но имеют только права на чтение или не имеют прав доступа к другим папкам.
Чтобы настроить права доступа на уровне подпапок, выполните следующие действия.
- Перейдите в File Station и выберите подпапку в общей папке, например «TV show» в общей папке «video».
- Нажмите подпапку правой кнопкой мыши и выберите Свойства > Права доступа.
- Нажмите кнопку Создать. В окне редактора разрешений появится запрос на настройку следующих параметров.
- Пользователь или группа. Выберите пользователя или группу домена.
- Разрешение. Установите флажки для разрешений, которые необходимо назначить пользователю/группе домена.
Доступ к общим папкам с разрешениями Active Directory
Вы можете получить доступ к общим папкам Synology NAS с помощью File Station, SMB, AFP, FTP и т.д. В качестве примера рассмотрим SMB.
- Используйте компьютер для подключения к Synology NAS.
- Дважды нажмите общую папку, к которой необходимо получить доступ.
- Введите следующие данные, если появится запрос на ввод учетных данных для входа.
- Имя пользователя. Добавьте имя домена и обратную наклонную черту перед именем пользователя домена, например «syno.inc\administrator».
- Пароль. Введите пароль учетной записи пользователя домена.
Управление службой главной папки
Администратор Synology NAS может включить функцию Главная папка пользователя, чтобы автоматически создать личные главные папки для каждого пользователя домена, доступ к которым можно получить через различные файловые службы и пакеты. К личным папкам доступ имеют только администратор и сам пользователь.
- Включение главных папок для пользователей домена
- Откройте Панель управления > Домен/LDAP > Пользователь домена и выберите Главная папка пользователя.
- Во всплывающем окне установите флажок Включить службу главной папки пользователя для пользователей домена и сохраните настройки.
- Доступ к главной папке пользователя домена (для конечных пользователей)
- Используйте компьютер для подключения к Synology NAS через протоколы File Station, SMB, AFP или FTP.
- Выберите home для доступа к главной папке.
- Управление главными папками пользователей домена (для администратора)
- Используйте компьютер для подключения к Synology NAS через протоколы File Station, SMB, AFP или FTP.
- Найдите главные папки пользователей домена. Пути к папкам имеют следующий формат.
Путь к папке Пример \\IP-адрес NAS\homes\@DH-имя домена NetBIOS\папка x2\пользователь домена-Y3
\\10.17.28.174\homes\@DH-SYNO\0\administrator-500
Настройка прав доступа к службам DSM
Воспользуйтесь одним из приведенных ниже способов, чтобы предоставить пользователям/группам домена доступ к службам4 на Synology NAS.
- Способ 1
- Откройте Панель управления > Домен/LDAP и выберите вкладку Пользователь домена или Группа домена.
- Выберите пользователя/группу домена и нажмите Редактировать > Приложения.
- Настройте права доступа и сохраните настройки.
- Способ 2
- Выберите Панель управления > Права доступа к приложению (DSM 7) или Права (DSM 6.2).
- Выберите службу и нажмите Редактировать > Пользователь или Группа.
- Выберите Пользователи домена или Группы домена в раскрывающемся меню.
- Настройте права доступа и сохраните настройки.
Примечания
- Для определенных сред домена также требуются дополнительные настройки.
- IP/FQDN контроллера домена. Можно указать IP-адрес или FQDN контроллера домена (DC), и Synology NAS выполнит попытку установить с ним связь. Если необходимо ввести несколько IP-адресов или FQDN в этом поле, разделяйте их запятыми (,). Вы также можете добавить звездочку (*) после последнего IP-адреса/FQDN контроллера домена, чтобы устройство Synology NAS попыталось связаться с другими контроллерами домена, если не удастся установить связь с указанными контроллерами домена. Обратите внимание, что звездочка также должна быть отделена от последнего IP-адреса/FQDN запятой.
- Имя NetBIOS домена. Укажите имя NetBIOS домена, например «SYNO».
- Домен FQDN (имя DNS). Укажите FQDN (имя DNS) домена, например «SYNO.INC».
- Символ «X» в «папка X». Это номер, созданный Synology NAS.
- «Y» в имени главной папки пользователя «пользователь домена-Y». Цифровой суффикс «Y» является относительным идентификатором (RID). Он назначается контроллером домена и используется для предотвращения просмотра пользователями личных данных, принадлежащих другим пользователям. Например, если пользователь домена «sophie» удален и повторно создан, новый пользователь «sophie» получит другой номер RID и не наследует права доступа к прежней главной папке «sophie».
- Некоторые службы DSM могут быть недоступны для пользователей домена (например, служба SSH).