Knowledge Center

Wie kann ich Microsoft Active Directory Clientdienste auf einem Synology NAS verwalten?

Letzte Aktualisierung:15. Apr. 2021

Wie kann ich Microsoft Active Directory Clientdienste auf einem Synology NAS verwalten?

Einige Artikel wurden maschinell aus dem Englischen übersetzt und können Ungenauigkeiten oder Grammatikfehler enthalten.

Zweck

Dieser Artikel bietet eine kurze Einführung in Microsoft Active Directory Domain Services (AD DS). Hier erfahren Sie auch, wie Sie Ihr Synology NAS in eine Domain einbinden und Zugriffsberechtigungen von Domainbenutzern/-gruppe für DSM-Ressourcen konfigurieren.

Inhalt

Lösung

Was sind Active Directory Domain Services?

Microsoft Active Directory Domain Services (AD DS) sind ein Verzeichnisdienst zur Organisation von Netzwerkressourcen in AD-Domänen. Er unterstützt die Verwaltung von Benutzern/Gruppen, Gruppenrichtlinien, mehrere Verzeichnisserver (z. B. Domain-Controller), Kerberos-Authentifizierung usw.

Die Einbindung eines Synology NAS in eine AD-Domäne (nachfolgend „Domäne“) bringt zahlreiche Vorteile. Für IT-Administratoren ist AD DS eine sichere und zentrale Plattform zur Verwaltung von Synology NAS und anderen Netzwerkressourcen. Domainbenutzern ermöglicht AD DS, mit denselben Anmeldedaten auf mehrere Synology NAS zuzugreifen.

Weitere Informationen zu AD DS finden Sie in diesem Artikel.

Ihr Synology NAS in eine Azure AD-Domäne einbinden

Ihr Synology NAS in eine Domäne einbinden

Besorgen Sie sich die Anmeldeinformationen des Kontos des Domänenadministrators und gehen Sie wie folgt vor:

  • DSM 7
    1. Melden Sie sich bei DSM mit einem Konto an, das zur Gruppe administrators gehört.
    2. Gehen Sie zu Systemsteuerung > Domain/LDAP > Domain/LDAP.
    3. Klicken Sie auf Beitreten.
    4. Konfigurieren Sie die folgenden Einstellungen und klicken Sie auf Weiter:
      • Servertyp: Wählen Sie Autom. erkennen oder Domain.
      • Serveradresse: Geben Sie Namen/IP-Adresse der Domäne an, der Sie beitreten möchten, z. B. „SYNO.INC“ oder „10.17.28.174“.
      • DNS-Server: Geben Sie die IP-Adresse des DNS-Servers in Ihrem AD DS ein. Es wird empfohlen, die IP-Adresse eines Domain-Controllers zu verwenden.
    5. Konfigurieren Sie die nachstehenden Einstellungen:
      • Domain-Konto: Geben Sie den Benutzernamen des Kontos des Domänenadministrators ein.
      • Domain-Kennwort: Geben Sie das Kennwort des Kontos des Domänenadministrators ein.
      • DC IP/FQDN: Sie können IP-Adressen oder vollqualifizierte Domänennamen (FQDN) eines oder mehrerer Domain-Controller angeben. Ihr Synology NAS versucht dann, mit diesen zu kommunizieren.
      1.png
    6. Klicken Sie auf Weiter, damit der Assistent die Überprüfung durchführt und Ihr Synology NAS mit der Domäne verbindet. Wenn die Verbindung hergestellt wurde, wird in der Registerkarte Domain/LDAP der Status „Verbunden“ angezeigt.
      2.png
  • DSM 6.2
    1. Melden Sie sich bei DSM mit einem Konto an, das zur Gruppe administrators gehört.
    2. Gehen Sie zu Systemsteuerung > Domain/LDAP > Domain.
    3. Setzen Sie ein Häkchen bei Domain beitreten.
    4. Konfigurieren Sie die folgenden Einstellungen:1
      • Domain: Geben Sie den Namen der Domäne an, der Sie beitreten möchten, z. B. „SYNO.INC“.
      • DNS Server: Geben Sie die IP-Adresse des DNS-Servers in Ihrem AD DS ein. Es wird empfohlen, die IP-Adresse eines Domain-Controllers zu verwenden.
      3.png
    5. Klicken Sie auf Übernehmen. Es wird ein Fenster eingeblendet, in dem Sie zur Eingabe von Administrator-Konto und Kennwort Ihrer AD DS aufgefordert werden. Geben Sie diese Informationen ein und klicken Sie auf Weiter.
    6. Wenn die Verbindung hergestellt wurde, wird in der Registerkarte Domain der Status „Verbunden“ angezeigt.
      4.png

Zwischengespeicherte Domainbenutzer und Gruppen kontrollieren

  1. Gehen Sie zu Systemsteuerung > Domain/LDAP. Kontrollieren Sie, ob die Domainbenutzer und Gruppen auf den Registerkarten Domainbenutzer bzw. Domaingruppe angezeigt werden.
    5.png
  2. Gehen Sie zu Systemsteuerung > Freigegebener Ordner und wählen Sie einen freigegebenen Ordner aus.
  3. Klicken Sie auf Bearbeiten > Berechtigungen. Kontrollieren Sie, ob die Domainbenutzer und Gruppen im Dropdown-Menü ausgewählt werden können.
    6.png

Zugriffsberechtigung zu DSM-Ressourcen verwalten

In den folgenden Abschnitten erfahren Sie, wie Sie Zugriffsberechtigungen von Domainbenutzern/-gruppen für DSM-Ressourcen verwalten. Bevor Sie fortfahren, können Sie die Hilfe-Artikel zu den folgenden Themen lesen, in denen Sie erfahren, wie Sie DSM-Ressourcen freigeben können:

Zugriffsberechtigungen für freigegebene Ordner konfigurieren

Standardmäßig haben Domainbenutzer und Gruppen keinen Zugriff auf freigegebene Ordner, die auf Ihrem Synology NAS bereits vorhanden waren, bevor es der Domäne beigetreten ist. Um Domainbenutzern/-gruppen Berechtigungen für diese freigegebenen Ordner zu geben, gehen Sie bitte wie folgt vor.

  • Methode 1
    1. Gehen Sie zu Systemsteuerung > Domain/LDAP und klicken Sie auf die Registerkarte Domainbenutzer oder Domaingruppe.
    2. Wählen Sie einen Domainbenutzer oder eine Gruppe aus und klicken Sie auf Bearbeiten > Berechtigungen.
    3. Konfigurieren Sie die Zugriffsberechtigungen und speichern Sie die Einstellungen.
      7.png
  • Methode 2
    1. Wechseln Sie zu Systemsteuerung > Freigegebener Ordner.
    2. Wählen Sie einen freigegebenen Ordner aus und klicken Sie auf Bearbeiten > Berechtigungen.
    3. Wählen Sie im Dropdown-Menü Domain-Benutzer oder Domain-Gruppen.
    4. Konfigurieren Sie die Zugriffsberechtigungen und speichern Sie die Einstellungen.
      8.png

Zugriffsberechtigungen für Unterordner konfigurieren

Mit Zugriffsberechtigungen auf der Ebene von Unterordnern können IT-Administratoren Berechtigungen noch feiner abstufen. Das ist besonders dann nützlich, wenn Sie Zugriffsberechtigungen auf Dateien in einer großen Organisation einrichten müssen. Hier ist ein Beispiel für einen möglichen Anwendungsfall:

Nehmen wir an, dass eine Vertriebsabteilung aus drei Abteilungen besteht: Vertrieb 1, Vertrieb 2 und Vertrieb 3. Der Synology NAS-Administrator erstellt die Unterordner „Vertrieb 1“, „Vertrieb 2“ und „Vertrieb 3“ unter dem freigegebenen Ordner „Vertrieb“. Der Administrator kann nun Zugriffsberechtigungen für die drei Unterordner individuell festlegen. Beispielsweise können Mitglieder von Vertrieb 1 Lese-/Schreibberechtigung für den Ordner „Vertrieb 1“ haben, jedoch nur Leseberechtigung oder überhaupt keine Zugriffsberechtigung für die anderen Ordner.

Um Zugriffsberechtigungen auf der Ebene von Unterordnern zu konfigurieren, gehen Sie bitte wie folgt vor:

  1. Gehen Sie zu File Station und wählen Sie einen Unterordner unter einem freigegebenen Ordner aus, z. B. „TV show“ unter dem freigegebenen Ordner „video“.
    9.png
  2. Klicken Sie mit der rechten Maustaste auf den Unterordner und wählen Sie Eigenschaften > Berechtigung.
  3. Klicken Sie auf die Schaltfläche Erstellen. Im Fenster des Berechtigungs-Editors konfigurieren Sie Folgendes:
    • Benutzer oder Gruppe: Wählen Sie einen Domainbenutzer oder eine Gruppe aus.
    • Berechtigung: Setzen Sie Häkchen bei den Berechtigungen, die der Domainbenutzer bzw. die Gruppe erhalten soll.
    10.png

Mit Active Directory-Berechtigungen auf freigegebene Ordner zugreifen

Sie können mittels File Station, SMB, AFP, FTP usw. auf freigegebene Ordner auf Ihrem Synology NAS zugreifen. In den folgenden Schritten dient SMB als Beispiel:

  1. Verbinden Sie sich auf einem Computer mit Ihrem Synology NAS.
    11.png
  2. Doppelklicken Sie auf den freigegebenen Ordner, auf den Sie zugreifen möchten.
    12.png
  3. Wenn Sie aufgefordert werden, Anmeldedaten einzugeben, geben Sie Folgendes ein:
    • Benutzername: Fügen Sie vor Ihrem Domänen-Benutzernamen den Domänennamen und einen umgekehrten Schrägstrich ein, z. B. „syno.inc\administrator“.
    • Kennwort: Geben Sie das Kennwort des Domänen-Benutzerkontos ein.
    13.png

Home-Ordner-Dienst verwalten

Der Synology NAS-Administrator kann die Funktion Benutzer-Home aktivieren, um für jeden Domainbenutzer automatisch persönliche Home-Ordner erstellen zu lassen, auf die mit verschiedenen Dateidiensten und Paketen zugegriffen werden kann. Nur der Administrator und die jeweiligen Benutzer selbst können auf diese persönlichen Ordner zugreifen.

  • Home-Ordner für Domainbenutzer aktivieren
    1. Gehen Sie zu Systemsteuerung > Domain/LDAP > Domainbenutzer und klicken Sie auf Benutzer-Home.
    2. Setzen Sie im eingeblendeten Fenster ein Häkchen bei Home-Dienst für Domain-Benutzer aktivieren und speichern Sie die Einstellungen.
      14.png
  • Auf Home-Ordner von Benutzern zugreifen (Endbenutzer)
    1. Verbinden Sie sich auf einem Computer über File Station, SMB, AFP oder FTP mit Ihrem Synology NAS.
    2. Wählen Sie home aus, um auf Ihren Home-Ordner zuzugreifen.
  • Home-Ordner von Domainbenutzern verwalten (Administratoren)
    1. Verbinden Sie sich auf einem Computer über File Station, SMB, AFP oder FTP mit Ihrem Synology NAS.
    2. Suchen Sie die Home-Ordner der Domainbenutzer. Ihre Ordnerpfade haben folgendes Format:
      Ordnerpfad Beispiel
      \\IP-Adresse Ihres NAS\homes\@DH-NetBIOS-Name der Domain\Ordner x2\Domainbenutzer-Y3 \\10.17.28.174\homes\@DH-SYNO\0\administrator-500
      15.png

Zugriffsberechtigungen zu DSM-Diensten konfigurieren

Sie können Domainbenutzern/-gruppen auf folgende Weisen Zugriff auf Dienste4 auf Ihrem Synology NAS gewähren.

  • Methode 1
    1. Gehen Sie zu Systemsteuerung > Domain/LDAP und klicken Sie auf die Registerkarte Domainbenutzer oder Domaingruppe.
    2. Wählen Sie einen Domainbenutzer oder eine Gruppe aus und klicken Sie auf Bearbeiten > Anwendungen.
    3. Konfigurieren Sie die Berechtigungen und speichern Sie die Einstellungen.
      16.png
  • Methode 2
    1. Gehen Sie zu Systemsteuerung > Anwendungsberechtigungen (DSM 7) oder Berechtigungen (DSM 6.2).
    2. Wählen Sie einen Dienst aus und klicken Sie auf Bearbeiten > Benutzer oder Gruppe.
    3. Wählen Sie im Dropdown-Menü Domain-Benutzer oder Domain-Gruppen.
    4. Konfigurieren Sie die Berechtigungen und speichern Sie die Einstellungen.
      17.png

Anmerkungen:

  1. Für bestimmte Domain-Umgebungen sind zusätzliche Optionen erforderlich:
    • DC IP/FQDN: Sie können IP-Adresse oder vollqualifizierten Domänennamen (FQDN) eines Domain-Controllers angeben. Ihr Synology NAS versucht dann, mit diesem zu kommunizieren. Um in diesem Feld mehrere IP-Adressen oder FQDNs einzugeben, trennen Sie diese durch ein Komma (,). Sie können auch nach IP-Adresse/FQDN des letzten Domänencontrollers ein Sternchen (*) hinzufügen. Dann wird Ihr Synology NAS versuchen, mit anderen Domänencontrollern zu kommunizieren, falls die Kommunikation mit den angegebenen nicht möglich ist. Das Sternchen sollte ebenfalls durch ein Komma von der letzten IP-Adresse bzw. dem letzten FQDN getrennt sein.
    • NetBIOS-Name der Domäne: Geben Sie den NetBIOS-Namen der Domain an, z. B. „SYNO“.
    • FQDN (DNS-Name) der Domäne: Geben Sie den FQDN (DNS-Namen) der Domain an, z. B. „SYNO.INC“.
  2. Das „X“ in „Ordner X: Ist eine vom Synology NAS erzeugte Zahl.
  3. Das „Y“ im Namen Home-Ordnernamen „Domainbenutzer-Y: Das numerische Suffix „Y“ ist ein relativer Bezeichner (RID). Es wird vom Domain-Controller vergeben und verhindert, dass Benutzer persönliche Daten anderer sehen können. Wenn beispielsweise eine Domainbenutzerin „sophie“ gelöscht und neu erstellt wird, erhält die neue „sophie“ eine neue RID-Nummer und bekommt keine Zugriffsberechtigung auf den Home-Ordner der alten „sophie“.
  4. Auf manche DSM-Dienste, beispielsweise SSH-Dienst, haben Domainbenutzer keinen Zugriff.
Zweck
Inhalt
Lösung
Was sind Active Directory Domain Services?
Ihr Synology NAS in eine Azure AD-Domäne einbinden
Zugriffsberechtigung zu DSM-Ressourcen verwalten