Управление службами клиентов Microsoft Active Directory на Synology NAS

Цель

В этой статье приводится краткая вводная информация о доменных службах Microsoft Active Directory Domain Services (AD DS). Вы также узнаете, как присоединить Synology NAS к домену и настроить права доступа пользователей/групп домена для ресурсов DSM.

Содержание

Что такое доменные службы Active Directory Domain Services?
Присоединение Synology NAS к домену AD
- Присоединение Synology NAS к домену
- Проверка кэшированных пользователей и групп домена
Управление правами доступа к ресурсам DSM

Разрешение

Что такое доменные службы Active Directory Domain Services?

Доменные службы Microsoft Active Directory Domain Services (AD DS) — это служба каталогов, которая организует сетевые ресурсы в доменах AD. Она поддерживает управление пользователями/группами, групповые политики, несколько серверов каталогов (например, контроллеры домена), проверку подлинности Kerberos и т. д.

Существует множество преимуществ присоединения Synology NAS к домену AD (далее «домен»). Для ИТ-администраторов AD DS предоставляет безопасную и централизованную платформу для управления Synology NAS и другими сетевыми ресурсами. Для пользователей домена AD DS позволяет получать доступ к нескольким устройствам Synology NAS с помощью одного набора учетных данных.

Для получения дополнительной информации о AD DS см. эту статью.

Присоединение Synology NAS к домену AD

Присоединение Synology NAS к домену

Получите учетные данные для входа в учетную запись администратора домена и выполните следующие действия.

Для DSM 7
1. Выполните вход в DSM под учетной записью пользователя, принадлежащего группе administrators.
2. Выберите Панель управления > Домен/LDAP > Домен/LDAP.
3. Нажмите Вход.
4. Настройте следующие параметры и нажмите Далее.
  - Тип сервера. Выберите Автообнаружение или Домен.
  - Адрес сервера. Введите имя/IP-адрес домена, к которому вы хотите присоединиться, например «SYNO.INC» или «10.17.28.174».
  - DNS-сервер. Введите IP-адрес сервера DNS в AD DS. Рекомендуется использовать IP-адрес контроллера домена.
5. Настройте следующие параметры.
  - Учетная запись домена. Введите имя пользователя учетной записи администратора домена.
  - Пароль домена. Введите пароль учетной записи администратора домена.
  - IP/FQDN контроллера домена. Можно указать один или несколько IP-адресов или полных доменных имен (FQDN) контроллеров домена (DC), и Synology NAS выполнит попытку установить с ними связь.
6. Нажмите Далее, и мастер запустит несколько проверок и выполнит присоединение Synology NAS к домену. После завершения процесса присоединения на вкладке Домен/LDAP отобразится состояние «Подключено».
Для DSM 6.2
1. Выполните вход в DSM под учетной записью пользователя, принадлежащего группе administrators.
2. Выберите Панель управления > Домен/LDAP > Домен.
3. Установите флажок Присоединиться к домену.
4. Настройте следующие параметры.¹
  - Домен. Введите имя домена, к которому вы хотите присоединиться, например «SYNO.INC».
  - DNS Server. Введите IP-адрес сервера DNS в AD DS. Рекомендуется использовать IP-адрес контроллера домена.
5. Нажмите Применить. Появится всплывающее окно с запросом учетной записи и пароля администратора для AD DS для проверки подлинности. Введите необходимые данные и нажмите Далее.
6. После завершения процесса присоединения на вкладке Домен отобразится состояние «Подключено».

Проверка кэшированных пользователей и групп домена

Выберите Панель управления > Домен/LDAP. Проверьте, отображаются ли пользователи и группы домена на вкладках Пользователь домена и Группа домена соответственно.
Откройте Панель управления > Общая папка и выберите общую папку.
Нажмите Редактировать > Права доступа. Проверьте, можно ли выбрать пользователей и группы домена в раскрывающемся меню.

Управление правами доступа к ресурсам DSM

В следующих разделах показано, как управлять правами доступа пользователей/групп домена к ресурсам DSM. Перед продолжением ознакомьтесь со статьями справки по следующим темам, которые помогут вам подробно ознакомиться с предоставлением общего доступа к ресурсам DSM.

Настройка прав доступа к общим папкам

По умолчанию пользователи и группы домена не имеют доступа к общим папкам, которые существовали до присоединения Synology NAS к домену. Чтобы предоставить права доступа к общим папкам для пользователей/групп домена, используйте один из следующих способов.

Способ 1
1. Откройте Панель управления > Домен/LDAP и выберите вкладку Пользователь домена или Группа домена.
2. Выберите пользователя/группу домена и нажмите Редактировать > Права доступа.
3. Настройте права доступа и сохраните настройки.
Способ 2
1. Перейдите в раздел Панель управления > Общая папка.
2. Выберите общую папку и нажмите Редактировать > Права доступа.
3. Выберите Пользователи домена или Группы домена в раскрывающемся меню.
4. Настройте права доступа и сохраните настройки.

Настройка прав доступа к подпапкам

Настройки прав доступа на уровне подпапок позволяют ИТ-администраторам более точно управлять правами доступа. Это особенно эффективно, если необходимо установить права доступа к файлам в крупной организации. Ниже приведен возможный сценарий.

Предположим, отдел продаж состоит из трех подразделений: «Продажи 1», «Продажи 2» и «Продажи 3». Администратор Synology NAS создает подпапки «Продажи 1», «Продажи 2» и «Продажи 3» в общей папке «Продажи». Администратор может установить права доступа для трех подпапок по отдельности. Например, участники группы «Продажи 1» имеют права на чтение/запись в папку «Продажи 1», но имеют только права на чтение или не имеют прав доступа к другим папкам.

Чтобы настроить права доступа на уровне подпапок, выполните следующие действия.

Перейдите в File Station и выберите подпапку в общей папке, например «TV show» в общей папке «video».
Нажмите подпапку правой кнопкой мыши и выберите Свойства > Права доступа.
Нажмите кнопку Создать. В окне редактора разрешений появится запрос на настройку следующих параметров.
- Пользователь или группа. Выберите пользователя или группу домена.
- Разрешение. Установите флажки для разрешений, которые необходимо назначить пользователю/группе домена.

Доступ к общим папкам с разрешениями Active Directory

Вы можете получить доступ к общим папкам Synology NAS с помощью File Station, SMB, AFP, FTP и т.д. В качестве примера рассмотрим SMB.

Используйте компьютер для подключения к Synology NAS.
Дважды нажмите общую папку, к которой необходимо получить доступ.
Введите следующие данные, если появится запрос на ввод учетных данных для входа.
- Имя пользователя. Добавьте имя домена и обратную наклонную черту перед именем пользователя домена, например «syno.inc\administrator».
- Пароль. Введите пароль учетной записи пользователя домена.

Управление службой главной папки

Администратор Synology NAS может включить функцию Главная папка пользователя, чтобы автоматически создать личные главные папки для каждого пользователя домена, доступ к которым можно получить через различные файловые службы и пакеты. К личным папкам доступ имеют только администратор и сам пользователь.

Включение главных папок для пользователей домена
1. Откройте Панель управления > Домен/LDAP > Пользователь домена и выберите Главная папка пользователя.
2. Во всплывающем окне установите флажок Включить службу главной папки пользователя для пользователей домена и сохраните настройки.
Доступ к главной папке пользователя домена (для конечных пользователей)
1. Используйте компьютер для подключения к Synology NAS через протоколы File Station, SMB, AFP или FTP.
2. Выберите home для доступа к главной папке.

Управление главными папками пользователей домена (для администратора)

Используйте компьютер для подключения к Synology NAS через протоколы File Station, SMB, AFP или FTP.

Найдите главные папки пользователей домена. Пути к папкам имеют следующий формат.

Путь к папке	Пример
`\\IP-адрес NAS\homes\@DH-имя домена NetBIOS\папка x²\пользователь домена-Y³`	`\\10.17.28.174\homes\@DH-SYNO\0\administrator-500`

Настройка прав доступа к службам DSM

Воспользуйтесь одним из приведенных ниже способов, чтобы предоставить пользователям/группам домена доступ к службам⁴ на Synology NAS.

Способ 1
1. Откройте Панель управления > Домен/LDAP и выберите вкладку Пользователь домена или Группа домена.
2. Выберите пользователя/группу домена и нажмите Редактировать > Приложения.
3. Настройте права доступа и сохраните настройки.
Способ 2
1. Выберите Панель управления > Права доступа к приложению (DSM 7) или Права (DSM 6.2).
2. Выберите службу и нажмите Редактировать > Пользователь или Группа.
3. Выберите Пользователи домена или Группы домена в раскрывающемся меню.
4. Настройте права доступа и сохраните настройки.

Примечания

Для определенных сред домена также требуются дополнительные настройки.
- IP/FQDN контроллера домена. Можно указать IP-адрес или FQDN контроллера домена (DC), и Synology NAS выполнит попытку установить с ним связь. Если необходимо ввести несколько IP-адресов или FQDN в этом поле, разделяйте их запятыми (,). Вы также можете добавить звездочку (*) после последнего IP-адреса/FQDN контроллера домена, чтобы устройство Synology NAS попыталось связаться с другими контроллерами домена, если не удастся установить связь с указанными контроллерами домена. Обратите внимание, что звездочка также должна быть отделена от последнего IP-адреса/FQDN запятой.
- Имя NetBIOS домена. Укажите имя NetBIOS домена, например «SYNO».
- Домен FQDN (имя DNS). Укажите FQDN (имя DNS) домена, например «SYNO.INC».
Символ «X» в «папка X». Это номер, созданный Synology NAS.
«Y» в имени главной папки пользователя «пользователь домена-Y». Цифровой суффикс «Y» является относительным идентификатором (RID). Он назначается контроллером домена и используется для предотвращения просмотра пользователями личных данных, принадлежащих другим пользователям. Например, если пользователь домена «sophie» удален и повторно создан, новый пользователь «sophie» получит другой номер RID и не наследует права доступа к прежней главной папке «sophie».
Некоторые службы DSM могут быть недоступны для пользователей домена (например, служба SSH).

Была ли эта статья полезной?

Да ／ Нет