如何在 Synology NAS 上管理 Microsoft Active Directory 的用戶端服務?
如何在 Synology NAS 上管理 Microsoft Active Directory 的用戶端服務?
目的
本文將提供 Microsoft Active Directory 網域服務 (AD DS) 的簡要介紹。同時也帶您了解如何將 Synology NAS 加入網域,並且為網域使用者 / 群組設定 DSM 資源的存取權限。
解決方法
什麼是 Active Directory 網域服務?
Microsoft Active Directory 網域服務 (AD DS) 是一種目錄服務,用來組織 AD 網域內的資源,其支援使用者 / 群組管理、群組規則、多台目錄伺服器 (即:網域控制站)、Kerberos 驗證等多項功能。
將 Synology NAS 加入 AD 網域 (以下簡稱「網域」) 可帶來許多好處。對 IT 管理員而言,AD DS 提供安全的平台,可用來集中化管理 Synology NAS 與其他網路資源。而對於網域使用者, 藉由 AD DS,僅需一組帳號密碼即可存取多台 Synology NAS。
若要深入了解 AD DS,請參考此文章。
將 Synology NAS 加入 AD 網域
請取得網域管理員的帳號密碼,再依照下方步驟操作:
- DSM 7
- 使用屬於 administrators 群組的帳號登入 DSM。
- 前往控制台 > 網域 / LDAP > 網域 / LDAP。
- 按一下加入。
- 設定以下選項,並按下一步:
- 伺服器類型:選擇自動偵測或網域。
- 伺服器位址:輸入您想加入的網域之名稱 / IP 位址,例如:「SYNO.INC」或「10.17.28.174」。
- DNS 伺服器:輸入 AD DS 內 DNS 伺服器的 IP 位址。建議使用網域控制站的 IP 位址。
- 輸入以下設定:
- 網域帳號:輸入網域管理員帳號的使用者名稱。
- 網域密碼:輸入網域管理員帳號的密碼。
- DC IP / FQDN:您可以指定網域控制站 (DC) 的 IP 位址或完整網域名稱 (FQDN),Synology NAS 將嘗試與其通訊。
- 按下一步後,精靈將檢查設定與環境條件,並將 Synology NAS 加入網域。當加入程序完成時,可在網域 / LDAP 頁籤下看到狀態顯示「已連線」。
- DSM 6.2
- 使用屬於 administrators 群組的帳號登入 DSM。
- 前往控制台 > 網域 / LDAP > 網域。
- 勾選加入網域。
- 輸入以下設定:1
- 網域:輸入您想加入的網域之名稱,例如:「SYNO.INC」。
- DNS 伺服器:輸入 AD DS 內 DNS 伺服器的 IP 位址。建議使用網域控制站的 IP 位址。
- 按一下套用。在彈出視窗中,輸入網域管理員的帳號及密碼,以通過 AD DS 的驗證。接著按下一步。
- 當加入程序完成時,可在網域頁籤下看到狀態顯示「已連線」。
- 前往控制台 > 網域 / LDAP。確認是否網域使用者及群組分別顯示於網域使用者及網域群組頁籤。
- 前往控制台 > 共用資料夾,並選取一個共用資料夾。
- 按一下編輯 > 權限。確認是否下拉式選單中可選取網域使用者及群組。
管理 DSM 資源的存取權限
以下段落會引導您管理網域使用者 / 群組的 DSM 資源存取權限。在進行前,您可參考下列主題的教學文章,詳細了解如何分享 DSM 資源:
在 Synology NAS 加入網域前已存在的共用資料夾,網域使用者及群組預設是無法存取的。若要允許網域使用者 / 群組群組存取共用資料夾,請依照下列任一方法操作。
- 方法 1
- 前往控制台 > 網域 / LDAP,並按一下網域使用者或網域群組頁籤。
- 選擇一個網域使用者 / 群組,並按一下編輯 > 權限。
- 設定存取權限並儲存設定。
- 方法 2
- 前往控制台 > 共用資料夾。
- 選取一個共用資料夾,並按一下編輯 > 權限。
- 從下拉式選單選取網域使用者或網域群組。
- 設定存取權限並儲存設定。
透過子資料夾的權限設定,IT 管理員可更細緻地管控權限。若要為大型組織設定檔案的存取權限,此功能將特別有幫助。以下提供可能的情境:
假設業務部門由三個子部門組成:業務一部、業務二部、業務三部。在「業務部」共用資料夾下,Synology NAS 管理員分別建立名為「業務一部」、「業務二部」、「業務三部」的子資料夾。管理員可為這些子資料夾分開設定存取權限。舉例來說,業務一部的成員能夠讀取 / 寫入「業務一部」子資料夾中的資料,但只可讀取,或是完全無法存取其他子資料夾的內容。
若要設定子資料夾的存取權限,請按照下方步驟操作:
- 前往 File Station,選取一個共用資料夾內部的子資料夾,例如:「video」共用資料夾下的「TV show」。
- 對該子資料夾按一下右鍵,並選擇內容 > 權限。
- 按一下新增按鈕。權限編輯器的視窗會提示您設定以下選項:
- 使用者或群組:選取一位網域使用者或群組。
- 權限:勾選您想要給予該網域使用者 / 群組的權限。
您可以透過File Station、SMB、AFP,或者 FTP 來存取 Synology NAS 的共用資料夾。以下步驟將以 SMB 為例:
- 用電腦連線至 Synology NAS。
- 對您要存取的共用資料夾按兩下。
- 若系統提示您輸入帳號密碼,請依下列方式輸入:
- 使用者名稱:在網域使用者名稱前加入網域名稱及反斜線符號,例如:「syno.inc\administrator」。
- 密碼:輸入該網域使用者帳號的密碼。
Synology NAS 的管理員可啟用家目錄功能,為每位網域使用者自動建立個人家目錄。這些家目錄可用多種檔案服務及套件存取,只有使用者本人及管理員可以存個人資料夾。
- 若要為網域使用者啟用家目錄功能
- 前往控制台 > 網域 / LDAP > 網域使用者,並按一下家目錄。
- 在彈出視窗中,勾選啟用網域使用者家目錄服務,並儲存設定。
- 若要存取網域使用者的家目錄 (一般使用者)
- 在電腦上,透過 File Station、SMB、AFP,或者 FTP 來連線至 Synology NAS。
- 選擇 home 來存取您的家目錄。
- 若要存取網域使用者的家目錄 (管理員專用)
若要允許網域使用者 / 群組群組存取 Synology NAS 的服務4,請依照下列任一方法操作。
- 方法 1
- 前往控制台 > 網域 / LDAP,並按一下網域使用者或網域群組頁籤。
- 選擇一個網域使用者 / 群組,並按一下編輯 > 應用程式。
- 設定存取權限並儲存設定。
- 方法 2
- 前往控制台 > 應用程式權限 (DSM 7 適用) 或權限 (DSM 6.2 適用)。
- 選擇一項服務並按一下編輯 > 使用者帳號或使用者群組。
- 從下拉式選單選取網域使用者或網域群組。
- 設定存取權限並儲存設定。
注意事項:
- 以下是針對特定網域環境需求的選項說明:
- DC IP / FQDN:您可以指定網域控制站 (DC) 的 IP 位址或完整網域名稱 (FQDN),Synology NAS 將嘗試與其通訊。如果您想要輸入多個 IP 位址或 FQDN,請使用半形逗號 (,) 隔開。您也可以在最後一個 IP 位址 / FQDN 的後面加上星號 (*),Synology NAS 將會在與您指定的網域控制站溝通失敗時,自動嘗試和其他的網域控制站溝通。請注意,最後一個 IP 位址 / FQDN 與星號之間也必須加上逗號。
- 網域的 NetBIOS 名稱:指定網域的 NetBIOS 名稱,例如:「SYNO」。
- 網域的 FQDN DNS 名稱:指定網域的 FQDN (DNS 名稱),例如:「SYNO.INC」。
- 「資料夾 X」中的「X」:Synology NAS 產生的編號。
- 使用者家目錄名稱「網域使用者-Y」中的「Y」:數字尾碼「Y」為相對識別碼 (Relative Identifier,RID)。此數字由網域控制站所指派,用來避免使用者查看他人的個人資料。舉例來說,如果使用者「sophie」被刪除之後又再次新增,新的「sophie」會取得不同的 RID 編號,該使用者將不會繼承舊「sophie」資料夾的存取權限。
- 非所有的 DSM 服務皆可允許網域使用者存取,例如:SSH 服務。