„Łatwe zarządzanie kontem NAS za pomocą AD”
Wprowadzenie
Active Directory® to katalog Microsoft używany w środowiskach Windows do centralnego przechowywania, udostępniania i zarządzania informacjami oraz zasobami w sieci. Jest to hierarchiczne centrum danych, które centralnie przechowuje informacje o użytkownikach, grupach użytkowników i komputerach w celu bezpiecznego zarządzania dostępem.
Zalety dołączenia QNAP NAS do Active Directory:
Wymagania wstępne
Aby dołączyć Turbo NAS do Active Directory z Windows Server 2008 R2, należy zaktualizować oprogramowanie układowe NAS do wersji V3.2.0 lub nowszej.
Wykonaj poniższe kroki, aby dołączyć Turbo NAS do Active Directory (Windows Server 2008).
Zaloguj się do NAS jako administrator. Przejdź do "System Settings" > "General Settings" > "Time". Ustaw datę i godzinę NAS, które muszą być zgodne z czasem serwera AD. Maksymalna dopuszczalna różnica czasu wynosi 5 minut.
Następnie ustaw adres IP podstawowego serwera DNS jako adres IP serwera Active Directory, który zawiera usługę DNS. MUSI to być adres IP serwera DNS używanego dla Twojego Active Directory. Jeśli użyjesz zewnętrznego serwera DNS, nie będziesz w stanie dołączyć do domeny.
a. To jest "Domain NetBIOS Name".
a. To jest Twój "AD Server Name".
b. To jest Twoja "Domain Name".
Uwagi: Powyższy przykład opiera się na Windows Server 2008. Dla Windows Server 2003, proszę zapoznać się z poniższym obrazem, aby sprawdzić "AD Server Name".
a. W Windows 2003 Servers, nazwa serwera AD to "node1", NIE "node1.qnap-test.com".
b. 'Domain name' pozostaje taka sama.
Przejdź do "Privilege Setting" > "Domain Security" > “Active Directory authentication” > “Manual Configuration”. Wprowadź informacje o domenie AD.
Uwaga
Zakładka Opcje zaawansowane
Przejdź do "Network Service" > "Win/Mac/NFS" > "Microsoft Networking" > "Ad domain member" > "Advanced Options".
WINS Support:
Należy pamiętać, że w większości przypadków nie jest konieczne wprowadzanie ustawień serwera WINS. W środowisku Active Directory zaleca się używanie czystej rozdzielczości nazw DNS.
(1) Windows Shares Access: domainusername
(2) FTP: domain + username
(3) Web File Manager: domain + username
(4) AFP: domain + username
Na przykład, aby uzyskać dostęp do udostępnionego folderu za pomocą Web File Manager z kontem użytkownika domeny, musisz uwierzytelnić się za pomocą domain + username, jeśli opcja nie jest włączona.
Jeśli ta opcja jest włączona, wszystkie usługi będą używać tego samego formatu nazwy użytkownika.
(1) Windows Shares: domainusername
(2) FTP: domainusername
(3) Web File Manager: domainusername
(4) AFP: domainusername
Na przykład, aby uzyskać dostęp do udostępnionego folderu za pomocą Web File Manager z kontem użytkownika domeny, musisz uwierzytelnić się za pomocą domainusername, jeśli opcja jest włączona.
Weryfikacja ustawień
Aby sprawdzić, czy NAS został pomyślnie dołączony do Active Directory, przejdź do "Privilege Settings" > "Users" lub "User Groups". Lista użytkowników i grup zostanie wyświetlona odpowiednio na listach "Domain Users" i "Domain Groups".
Odświeżanie list użytkowników i grup domenowych w interfejsie sieciowym
Jeśli utworzyłeś nowych użytkowników lub grupy użytkowników w domenie, możesz kliknąć przycisk "reload". Spowoduje to ponowne załadowanie list użytkowników i grup użytkowników z Active Directory do NAS. Proces ten dotyczy tylko listy użytkowników interfejsu sieciowego. Ustawienia uprawnień użytkowników będą synchronizowane w czasie rzeczywistym z kontrolerem domeny.
Uwaga
Uwaga dotycząca Windows 7
Jeśli używasz komputera z systemem Windows 7, który nie należy do Active Directory, aby uzyskać dostęp do NAS z oprogramowaniem układowym wcześniejszym niż V3.2.0, który jest również członkiem domeny AD, zmień ustawienia zabezpieczeń komputera klienckiego w następujący sposób.
Po skonfigurowaniu ustawień w systemie Windows 7 będziesz mógł uzyskać dostęp do swojego NAS z tego komputera, nawet jeśli twój NAS jest członkiem domeny Active Directory.
Wprowadzenie
Active Directory® to katalog Microsoft używany w środowiskach Windows do centralnego przechowywania, udostępniania i zarządzania informacjami oraz zasobami w sieci. Jest to hierarchiczne centrum danych, które centralnie przechowuje informacje o użytkownikach, grupach użytkowników i komputerach w celu bezpiecznego zarządzania dostępem.
Zalety dołączenia QNAP NAS do Active Directory:
- Wygodna konfiguracja konta: Dołączając NAS do Active Directory, wszystkie konta użytkowników serwera AD zostaną automatycznie zaimportowane do NAS. Użytkownicy AD mogą używać tego samego zestawu nazwy użytkownika i hasła do logowania się do NAS. Oszczędza to czas i wysiłek administratora serwera, który musiałby tworzyć konta użytkowników jeden po drugim na NAS.
- Efektywna kontrola dostępu: NAS umożliwia administratorowi serwera konfigurowanie praw dostępu (tylko do odczytu, odczyt/zapis lub odmowa dostępu) do udostępnionych folderów sieciowych.
- Wymagania wstępne
- Zakładka Opcje zaawansowane
- Weryfikacja ustawień
- Odświeżanie list użytkowników domeny i grup użytkowników w interfejsie sieciowym
- Uwaga dotycząca Windows 7
Wymagania wstępne
Aby dołączyć Turbo NAS do Active Directory z Windows Server 2008 R2, należy zaktualizować oprogramowanie układowe NAS do wersji V3.2.0 lub nowszej.
Wykonaj poniższe kroki, aby dołączyć Turbo NAS do Active Directory (Windows Server 2008).
Zaloguj się do NAS jako administrator. Przejdź do "System Settings" > "General Settings" > "Time". Ustaw datę i godzinę NAS, które muszą być zgodne z czasem serwera AD. Maksymalna dopuszczalna różnica czasu wynosi 5 minut.
Następnie ustaw adres IP podstawowego serwera DNS jako adres IP serwera Active Directory, który zawiera usługę DNS. MUSI to być adres IP serwera DNS używanego dla Twojego Active Directory. Jeśli użyjesz zewnętrznego serwera DNS, nie będziesz w stanie dołączyć do domeny.
a. To jest "Domain NetBIOS Name".
a. To jest Twój "AD Server Name".
b. To jest Twoja "Domain Name".
Uwagi: Powyższy przykład opiera się na Windows Server 2008. Dla Windows Server 2003, proszę zapoznać się z poniższym obrazem, aby sprawdzić "AD Server Name".
a. W Windows 2003 Servers, nazwa serwera AD to "node1", NIE "node1.qnap-test.com".
b. 'Domain name' pozostaje taka sama.
Przejdź do "Privilege Setting" > "Domain Security" > “Active Directory authentication” > “Manual Configuration”. Wprowadź informacje o domenie AD.
- Ustaw czas i informacje DNS.
- Sprawdź nazwę serwera AD i nazwę domeny.
- Dołącz do Active Directory.
Uwaga
- Jeśli nie udało Ci się dołączyć do domeny AD, sprawdź ponownie "Set up the time and DNS information":
- Sprawdź różnicę czasu między Twoim NAS a kontrolerem domeny.
- Sprawdź, czy serwer DNS Twojego NAS jest taki sam jak DNS Twojego kontrolera domeny. MUSI to być serwer DNS Twojej domeny. Jeśli użyjesz zewnętrznego serwera DNS, nie będziesz w stanie dołączyć do domeny.
- Obsługiwane są tylko domeny z dwukierunkowym zaufaniem przechodnim.
Zakładka Opcje zaawansowane
Przejdź do "Network Service" > "Win/Mac/NFS" > "Microsoft Networking" > "Ad domain member" > "Advanced Options".
WINS Support:
Należy pamiętać, że w większości przypadków nie jest konieczne wprowadzanie ustawień serwera WINS. W środowisku Active Directory zaleca się używanie czystej rozdzielczości nazw DNS.
(1) Windows Shares Access: domainusername
(2) FTP: domain + username
(3) Web File Manager: domain + username
(4) AFP: domain + username
Na przykład, aby uzyskać dostęp do udostępnionego folderu za pomocą Web File Manager z kontem użytkownika domeny, musisz uwierzytelnić się za pomocą domain + username, jeśli opcja nie jest włączona.
Jeśli ta opcja jest włączona, wszystkie usługi będą używać tego samego formatu nazwy użytkownika.
(1) Windows Shares: domainusername
(2) FTP: domainusername
(3) Web File Manager: domainusername
(4) AFP: domainusername
Na przykład, aby uzyskać dostęp do udostępnionego folderu za pomocą Web File Manager z kontem użytkownika domeny, musisz uwierzytelnić się za pomocą domainusername, jeśli opcja jest włączona.
- Włącz serwer WINS: Tę opcję należy aktywować tylko wtedy, gdy nie masz serwera WINS w swojej sieci, a niektóre z twoich komputerów znajdują się w innej podsieci. W takim przypadku będziesz musiał skonfigurować wszystkie swoje komputery tak, aby korzystały z tego serwera WINS. Pamiętaj, że w sieci może być tylko jeden serwer WINS. Wszyscy klienci muszą być skonfigurowani do korzystania z tego samego serwera WINS. Jeśli nie masz pewności co do ustawienia, nie włączaj go.
- Użyj określonego serwera WINS: Tę opcję należy aktywować tylko wtedy, gdy masz serwer WINS w swojej sieci, a twój NAS powinien być klientem WINS. Wprowadź adres IP swojego serwera WINS.
- Jeśli nie masz pewności co do ustawienia, nie włączaj go.
- Lokalny główny przeglądarka sieci (Local Master Browser): Ta opcja pozwala, aby NAS był lokalnym głównym przeglądarką sieci (Local Master Browser), który jest odpowiedzialny za utrzymywanie listy komputerów w twojej sieci dla swojej grupy roboczej. Nazwa grupy roboczej NAS musi być taka sama jak nazwa grupy roboczej twojego komputera (często nazywanej "workgroup"). Ustawienie jest domyślnie włączone. Jeśli je wyłączysz, NAS nie będzie utrzymywał listy komputerów, a zadanie to zostanie wykonane przez inny komputer w sieci. Domyślne ustawienie jest włączone.
- Zezwalaj tylko na uwierzytelnianie NTLMv2: Ta opcja zezwala tylko na uwierzytelnianie NTLMv2 i odrzuca LM oraz NTLM. Jeśli nie masz pewności co do ustawienia, nie zaznaczaj tej opcji. Jeśli zaznaczysz tę opcję, upewnij się, że wszystkie komputery w twojej sieci mogą używać NTLMv2.
- Priorytet rozpoznawania nazw: Odwołuje się to do rozpoznawania nazw w sieci Windows. Jeśli włączysz WINS (opcja (1) lub (2)), będziesz mógł wybrać priorytet rozpoznawania nazw. Domyślne ustawienie to "Tylko DNS" (DNS only), gdy wszystkie ustawienia WINS są wyłączone. Gdy WINS jest włączony, domyślne ustawienie to "Najpierw WINS, potem DNS" (WINS first, then DNS). Jeśli nie masz żadnych problemów, zachowaj wartości domyślne.
- Styl logowania:
Domyślnie w środowisku Active Directory formaty nazw użytkowników dla użytkowników domeny to: - Automatyczna rejestracja w DNS: Jeśli ta opcja jest włączona, po dołączeniu NAS do Active Directory, NAS automatycznie zarejestruje się w serwerze DNS domeny. Spowoduje to utworzenie wpisu hosta DNS dla NAS w serwerze DNS. Jeśli adres IP NAS zostanie zmieniony, NAS automatycznie zaktualizuje adres IP w serwerze DNS.
Weryfikacja ustawień
Aby sprawdzić, czy NAS został pomyślnie dołączony do Active Directory, przejdź do "Privilege Settings" > "Users" lub "User Groups". Lista użytkowników i grup zostanie wyświetlona odpowiednio na listach "Domain Users" i "Domain Groups".
Odświeżanie list użytkowników i grup domenowych w interfejsie sieciowym
Jeśli utworzyłeś nowych użytkowników lub grupy użytkowników w domenie, możesz kliknąć przycisk "reload". Spowoduje to ponowne załadowanie list użytkowników i grup użytkowników z Active Directory do NAS. Proces ten dotyczy tylko listy użytkowników interfejsu sieciowego. Ustawienia uprawnień użytkowników będą synchronizowane w czasie rzeczywistym z kontrolerem domeny.
Uwaga
- Po dołączeniu NAS do Active Directory, lokalni użytkownicy NAS, którzy mają prawo dostępu do serwera AD, powinni używać "NAS_name username" do logowania; użytkownicy AD powinni używać swoich własnych nazw użytkowników do logowania się na serwerze AD (Domainusername).
- Lokalni użytkownicy NAS i użytkownicy AD (używający nazwy domeny i nazwy użytkownika) mogą uzyskiwać dostęp do NAS poprzez AFP, FTP i Web File Manager z oprogramowaniem układowym w wersji 3.2.0 i nowszych. Jednak w przypadku oprogramowania układowego wcześniejszego niż 3.2.0, tylko lokalni użytkownicy NAS mogą uzyskiwać dostęp do Web File Manager.
- Aby zalogować się do NAS za pomocą Windows Explorer, użyj "DomainUsername" jako nazwy logowania.
- Aby zalogować się do usług AFP, FTP i Web File Manager, użyj "Domain + Username" jako nazwy logowania.
- WebDAV może być dostępny tylko dla lokalnych użytkowników i grup.
- Dla serii TS-109/209/409/509, jeśli serwer AD jest oparty na Windows 2008, oprogramowanie układowe NAS musi zostać zaktualizowane do wersji v2.1.2 lub nowszej.
- Aby zalogować się do NAS za pomocą usług AFP, FTP i Web File Manager, użyj "Domain + Username" jako nazwy logowania. Aby móc używać standardowego formatu logowania Windows (DOMAINUSERNAME), musisz włączyć opcję "Login style" w zakładce "Advanced Options" w "Microsoft Networking" (patrz wyżej).
Uwaga dotycząca Windows 7
Jeśli używasz komputera z systemem Windows 7, który nie należy do Active Directory, aby uzyskać dostęp do NAS z oprogramowaniem układowym wcześniejszym niż V3.2.0, który jest również członkiem domeny AD, zmień ustawienia zabezpieczeń komputera klienckiego w następujący sposób.
- W systemie Windows 7 przejdź do "Control Panel" > "All Control Panel Items" i wybierz "Administrative Tools".
- Wybierz "Local Security Policy".
- Przejdź do "Local Policies" > "Security Options". Następnie wybierz "Network security: LAN Manager authentication level".
- Wybierz zakładkę "Local Security Setting" i z listy wybierz "Send LM & NTLMv2 – use NTLMv2 session security if negotiated". Następnie kliknij "OK".
Po skonfigurowaniu ustawień w systemie Windows 7 będziesz mógł uzyskać dostęp do swojego NAS z tego komputera, nawet jeśli twój NAS jest członkiem domeny Active Directory.