Microsoft Active Directory クライアント サービスを Synology NAS で管理する方法

Microsoft Active Directory クライアント サービスを Synology NAS で管理する方法

記事のいくつかは英語から機械翻訳されており、不正確な箇所や文法の間違いを含む場合があります。

目的

この記事は、Microsoft Active Directory Domain Services (AD DS) に関する簡潔な導入を提供します。また、Synology NAS をドメインに参加させて、DSM のリソースへのドメイン ユーザー/グループのアクセス権限を構成する方法についても説明します。

解決

Active Directory Domain Services とは何か?

Microsoft Active Directory Domain Services (AD DS) は、AD ドメイン内のネットワーク リソースをまとめるディレクトリ サービスです。それはユーザー/グループ管理、グループ ポリシー、複製のディレクトリ サーバー (つまりドメイン コントローラ)、Kerberos 認証などをサポートします。

AD ドメイン (以後「ドメイン」) に Synology NAS を接続することには多くの利点があります。IT 管理者の場合、AD DS は、Synology NAS およびその他のネットワーク リソースを管理するための安全で一元化されたプラットフォームを提供します。ドメイン ユーザーの場合、AD DS は、ユーザーが資格情報の 1 つのセットだけを使用して、複製の Synology NAS にアクセスできるようにします。

AD DS に関する詳細は、この記事を参照してください。

Synology NAS を AD ドメインに参加させる

Synology NAS をドメインに参加させる

ドメイン admin アカウントのログイン資格情報を取得し、下記のステップに従ってください。

  • DSM 7 の場合
    1. administrators グループに属するアカウントで DSM にログインします。
    2. [コントロール パネル] > [ドメイン/LDAP] > [ドメインLDAP] の順に進みます。
    3. [参加] をクリックします。
    4. 以下の設定を構成して、[次へ]をクリックします。
      • サーバー タイプ[自動検出] または [ドメイン] を選択します。
      • サーバーアドレス:参加したいドメインの名前/ IP アドレスを入力します。例えば「SYNO.INC」あるいは「10.17.28.174」。
      • DNS サーバー:AD DS の DNS サーバーの IP アドレスを入力します。ドメイン コントローラの IP アドレスを使用することが推奨されます。
    5. 以下の設定を編集します。
      • ドメイン アカウント:ドメイン管理者アカウントの username を入力します。
      • ドメイン パスワード:ドメイン管理者アカウントのパスワードを入力します。
      • DC IP/FQDN:1 つまたは複数のドメインコントローラ (DC) IP アドレスまたは完全修飾ドメイン名 (FQDN) を指定して、Synology NAS がその情報を使用して通信できるようにします。
      1.png
    6. [次へ] をクリックすると、ウィザードがチェックを実行し、Synology NAS をドメインに参加させます。参加プロセスが完了したら、ステータスが [ドメイン/LDAP] タブで「接続済み」になります。
      2.png
  • DSM 6.2 の場合
    1. administrators グループに属するアカウントで DSM にログインします。
    2. [コントロール パネル] > [ドメイン/LDAP] > [ドメイン] を選択します。
    3. [ドメインに参加] にチェックを入れます。
    4. 以下の設定を構成:1
      • ドメイン:参加したいドメインの名前を入力します。例えば「SYNO.INC」。
      • DNS Server:AD DS の DNS サーバーの IP アドレスを入力します。ドメイン コントローラの IP アドレスを使用することが推奨されます。
      3.png
    5. [適用] をクリックします。ポップアップ ウィンドウが現れて、認証のため AD DS の管理者のアカウントとパスワードを要求します。あなたの情報を入力して、[次へ] をクリックしてください。
    6. 参加プロセスが完了したら、ステータスが [ドメイン] タブで「接続済み」になります。
      4.png

キャッシュされたドメイン ユーザーとグループをチェック

  1. [コントロール パネル] > [ドメイン/LDAP] を選択します。ドメイン ユーザーとグループが [ドメイン ユーザー][ドメイン グループ] のタブでそれぞれ示されるかどうかをチェックしてください。
    5.png
  2. [コントロール パネル] > [共有フォルダ] の順に進み、対象の共有フォルダを選択します。
  3. [編集] > [権限] の順にクリックします。ドメイン ユーザーとグループがドロップダウン メニューから選ぶことができるかどうかをチェックしてください。
    6.png

DSM リソースへのアクセス権限を管理

以下のセクションは、DSM リソースのドメイン ユーザー/グループのアクセス権限を管理する方法を説明します。先に進む前に、以下のトピック下の [ヘルプ] を参照することができます。それは DSM のリソースを共有することについて詳細にガイドします。

共有フォルダへのアクセス権限を構成

デフォルトで、ドメイン ユーザーとグループは、Synology NAS がドメイン参加する前に既に存在していたフォルダにはアクセスできません。ドメイン ユーザー/グループの共有フォルダに権限を与えるには、以下の方法のどちらかを採用してください。

  • 方法 1
    1. [コントロール パネル] > [ドメイン/LDAP] を選択し、[ドメインユーザー] または [ドメイングループ] のタブをクリックします。
    2. ドメイン ユーザー/グループを選んで、[編集] > [権限] をクリックしてください。
    3. アクセス権限を構成して、設定を保存します。
      7.png
  • 方法 2
    1. [コントロール パネル] > [共有フォルダ] を選択します。
    2. 共有フォルダを選択し、[編集] > [権限]をクリックします。
    3. ドロップダウン メニューから [ドメイン ユーザー] または [ドメイン グループ] を選びます。
    4. アクセス権限を構成して、設定を保存します。
      8.png

サブフォルダへのアクセス権限を構成

サブフォルダ レベルの権限設定は、IT 管理者がより細かい権限コントロールをすることを可能にします。これは、大きな組織のためにファイル アクセス権限を設定する必要がある場合に特に有用です。ここに、あるシナリオがあります。

次の 3 つの部門から構成される、販売部門があると仮定します。それは販売1、販売2および販売3です。Synology NAS admin は「販売」の共有フォルダの下に「販売1」、「販売2」および「販売3」のサブフォルダを作成します。admin は3つのサブフォルダに別々にアクセス権限を設定できます。例えば、販売1のメンバーは「販売1」フォルダに対して読み取り/書き込み権限を持っています。一方、彼らは他のフォルダには読み取り専用の権限のみを持ちます。あるいは、まったくアクセス権限がありません。

サブフォルダ レベルでアクセス権限を構成するには、下記のステップに従います。

  1. [File Station] に進み、共有フォルダ下でサブフォルダを選択します (例えば共有フォルダ「video」下の「TV show」)。
    9.png
  2. サブフォルダを右クリックし、[プロパティ] > [アクセス権限] を選択します。
  3. [作成] ボタンをクリックします。[権限編集] ウィンドウが、下記を構成するように促します。
    • [ユーザーまたはグループ]:ドメイン ユーザーあるいはグループを選びます。
    • 権限:ドメイン ユーザー/グループに割り当てたい権限にチェックを入れます。
    10.png

Active Directory 権限で共有フォルダにアクセス

File Station、SMB、AFP、FTP などを経由して Synology NAS の共有フォルダにアクセスすることができます。下記のステップでは例として SMB を取り上げます。

  1. コンピュータを使用して Synology NAS に接続します。
    11.png
  2. アクセスする共有フォルダをダブルクリックします。
    12.png
  3. ログイン資格情報を入力するよう促された場合は、下記を入力してください。
    • ユーザー名:ドメインの username の前にドメイン名とバックスラッシュを加えます (例えば「syno.inc\管理者」)。
    • パスワード:ドメイン ユーザー アカウントのパスワードを入力します。
    13.png

home フォルダ サービスを管理

Synology NAS の admin は、[User Home] 機能を有効にして、各ドメイン ユーザー用にプライベート home フォルダを自動的に作成し、さまざまなファイル サービスとパッケージによりアクセスできるようにできます。これらのプライベート フォルダには、admin とユーザー自身のみがアクセスできます。

  • ドメインユーザーの home フォルダを有効にする
    1. [コントロール パネル] > [ドメイン/LDAP] > [ドメインユーザー] を選択し、[User Home] をクリックします。
    2. ポップアップ ウィンドウで、[ドメイン ユーザーの home サービスを有効にする] を選択します。
      14.png
  • ドメイン ユーザーの home フォルダへのアクセス (エンド ユーザー用)
    1. コンピュータで、File Station、SMB、AFP、または FTP により、Synology NAS に接続します。
    2. [home] を選択して、home フォルダにアクセスします。
  • ドメイン ユーザーのホーム フォルダを管理する (admin 用)
    1. コンピュータで、File Station、SMB、AFP、または FTP により、Synology NAS に接続します。
    2. ドメインユーザの home フォルダを検索します。そのフォルダ パスは以下の形式になります。
      フォルダ パス
      \\NAS の IP アドレス\homes\@DH-ドメインの NetBIOS 名\フォルダx2\ドメイン ユーザー-Y3 \\10.17.28.174\homes\@DH-SYNO\0\administrator-500
      15.png

DSM サービスへのアクセス権限を構成

以下の方法のうちのいずれかを使用して、ドメイン ユーザー/グループが Synology NAS 上でサービス4にアクセスできるようにします。

  • 方法 1
    1. [コントロール パネル] > [ドメイン/LDAP] を選択し、[ドメインユーザー] または [ドメイングループ] のタブをクリックします。
    2. ドメイン ユーザー/グループを選んで、[編集] > [アプリケーション] をクリックしてください。
    3. 権限を構成して、設定を保存します。
      16.png
  • 方法 2
    1. [コントロール パネル] > [アプリケーション権限] (DSM 7) または [権限] (DSM 6.2) の順に進みます。
    2. サービスを選択して [編集] > [ユーザー] または [グループ] をクリックします。
    3. ドロップダウン メニューから [ドメイン ユーザー] または [ドメイン グループ] を選びます。
    4. 権限を構成して、設定を保存します。
      17.png

注意:

  1. また特定のドメイン環境に必要ないくつかのオプションがあります。
    • DC IP/FQDN:ドメイン コントローラ (DC) の IP アドレスまたは FQDN を指定すると、Synology NAS がその情報を使用して通信を試みます。このフィールドに複数の IP アドレスまたは FQDN を入力する場合は、各アドレスの間にコンマ (,) を挿入してください。最後の DC の IP アドレス/FQDN の後にアスタリスク (*) を追加して、Synology NAS が指定された DC との通信に失敗した場合に他の DC との通信を試行するようにすることもできます。アスタリスクは、最後の IP アドレス/FQDN とコンマで区切る必要があることに注意してください。
    • ドメイン NetBIOS 名:ドメインの NetBIOS 名を指定します。例:「SYNO」。
    • Domain FQDN (DNS 名):ドメインの FQDN (DNS名)を指定します。例:「SYNO.INC」。
  2. フォルダ X」内の「X」:これはSynology NAS により生成された数字です。
  3. ユーザーの home フォルダ名「ドメイン ユーザー-Y」内の「Y」:数の接尾辞「Y」は相対的な識別子 (RID) です。それはドメイン コントローラによって割り当てられ、ユーザーが他者が所有する個人データを見るのを防止するために使用されます。例えば、ドメイン ユーザー「sophie」が削除されて再度作成されると、新しい「sophie」は異なる RID 番号を受け取り、古い「sophie」home フォルダへのアクセス権限を継承しません。
  4. SSH サービスなどすべての DSM サービスにドメイン ユーザーがアクセスできるわけではありません。
目的
目次
解決
Active Directory Domain Services とは何か?
Synology NAS を AD ドメインに参加させる
DSM リソースへのアクセス権限を管理