"Uw NAS-account eenvoudig beheren met AD"
Introductie
Active Directory® is een Microsoft-map die in Windows-omgevingen wordt gebruikt om de informatie en bronnen op uw netwerk centraal op te slaan, te delen en te beheren. Het is een hiërarchisch datacentrum dat centraal de informatie van de gebruikers, gebruikersgroepen en computers bewaart voor veilig toegangsbeheer.
Voordelen van het koppelen van het QNAP NAS aan Active Directory:
- Handige accountconfiguratie: Door het NAS aan de Active Directory te koppelen, worden alle gebruikersaccounts van de AD-server automatisch naar het NAS geïmporteerd. De AD-gebruikers kunnen dezelfde gebruikersnaam en hetzelfde wachtwoord gebruiken voor aanmelding bij het NAS. Dit bespaart de serverbeheerder de tijd en moeite om de gebruikersaccounts één voor één in te stellen op het NAS.
- Efficiënte toegangscontrole:Met het NAS kan de serverbeheerder de toegangsrechten (alleen lezen, lezen/schrijven of toegang weigeren) tot gedeelde netwerkmappen configureren.
- Vereisten
- Tabblad geavanceerde opties
- Instellingen controleren
- De domeingebruikers- en gebruikersgroeplijsten op de webinterface vernieuwen
- Opmerking over Windows 7
Vereisten
Om het Turbo NAS te koppelen aan een Active Directory met Windows Server 2008 R2, moet u de NAS-firmware bijwerken naar V3.2.0 of hoger.
Volg de onderstaande stappen om het Turbo NAS te koppelen aan de Active Directory (Windows Server 2008).
Meld u aan als beheerder op het NAS. Ga naar "Systeeminstellingen" > "Algemene instellingen" > "Tijd". Stel de datum en tijd van het NAS in. Ze moeten overeenkomen met de tijd van de AD-server. Het maximaal toegestane tijdsverschil bedraagt 5 minuten.
Stel vervolgens het IP-adres van de primaire DNS-server in als het IP-adres van de Active Directory-server die de DNS-service bevat. Dit MOET het IP-adres zijn van de DNS-server die voor uw Active Directory wordt gebruikt. Als u een externe DNS Server gebruikt, kunt u geen lid worden van het domein.
a. Dit is de "NetBIOS-naam van het domein".
a. Dit is uw "AD-servernaam".
b. Dit is uw "Domeinnaam".
Opmerkingen: Het bovenstaand voorbeeld is gebaseerd op Windows Server 2008. Voor Windows Server 2003, zie onderstaande afbeelding om de "AD-servernaam" te controleren.
a. In Windows 2003-servers is de AD-servernaam "node1", NIET "node1.qnap-test.com".
b. De 'Domeinnaam' blijft hetzelfde.
Ga naar "Machtigingen instellen" > "Domeinbeveiliging" > "Active Directory-verificatie" > "Handmatige configuratie". Voer de gegevens van het AD-domein in.
- Stel de tijd en DNS-informatie in.
- Controleer de AD-servernaam en de domeinnaam.
- Sluit u aan bij Active Directory.
Opmerking
- Als de koppeling met het AD-domein mislukt, lees "De tijd en DNS-informatie instellen":
- Controleer het tijdsverschil tussen uw NAS en uw domeincontroller.
- Controleer of de DNS-server van uw NAS dezelfde is als de DNS van uw domeincontroller. Het MOET de DNS-server van uw domein zijn. Als u een externe DNS Server gebruikt, kunt u geen lid worden van het domein.
- Alleen domeinen met een transitieve vertrouwensrelatie in twee richtingen worden ondersteund.
Tabblad geavanceerde opties
Ga naar "Netwerkservice" > "Win/Mac/NFS" > "Microsoft Networking" > "AD-domeinlid" > "Geavanceerde opties".
WINS-ondersteuning:
Houd er rekening mee dat het in de meeste gevallen niet nodig is om de WINS-serverinstelling in te voeren. In een Active Directory-omgeving wordt aangeraden om een zuivere DNS-naamomzetting te gebruiken.
(1) Windows Shares Access: domeingebruikersnaam
(2) FTP: domein + gebruikersnaam
(3) Web File Manager: domein + gebruikersnaam
(4) AFP: domein + gebruikersnaam
Als u bijvoorbeeld toegang wilt krijgen tot een gedeelde map via Web File Manager met een domeingebruikersaccount, moet u zich verifiëren met domein + gebruikersnaam als de optie niet is ingeschakeld.
Als deze optie is ingeschakeld, gebruiken alle services hetzelfde gebruikersnaamformaat.
(1) Windows Shares: domeingebruikersnaam
(2) FTP: domeingebruikersnaam
(3) Web File Manager: domeingebruikersnaam
(4) AFP: domeingebruikersnaam
Als u bijvoorbeeld toegang wilt krijgen tot een gedeelde map via Web File Manager met een domeingebruikersaccount, moet u zich verifiëren met de domeingebruikersnaam als de optie is ingeschakeld.
- WINS-server inschakelen: Deze optie hoeft alleen te worden geactiveerd als u geen WINS-server op uw netwerk hebt en sommige van uw computers zich op een ander subnetwerk bevinden. In dit geval moet u al uw computers instellen om deze WINS-server te gebruiken. Houd er rekening mee dat er slechts één WINS-server op het netwerk mag zijn. Alle clients moeten worden geconfigureerd om dezelfde WINS-server te gebruiken. Als u niet zeker bent van de instelling, schakel deze dan niet in.
- Gebruik de opgegeven WINS-server: Deze optie moet alleen worden geactiveerd als u een WINS-server op uw netwerk hebt en uw NAS een WINS-client moet zijn. Voer het IP-adres van uw WINS-server in
- Als u niet zeker bent van de instelling, schakel deze dan niet in.
- Lokale hoofdbrowser: Met deze optie kan het NAS een lokale masterbrowser zijn die verantwoordelijk is voor het bijhouden van de lijst met computers in uw netwerk voor zijn werkgroep. De naam van de NAS-werkgroep moet dezelfde zijn als die van de werkgroep van uw computer (vaak "werkgroep" genoemd). De instelling is standaard ingeschakeld. Als u deze instelling uitschakelt, wordt de computerlijst niet bijgehouden door het NAS en wordt de taal door een andere computer op het netwerk uitgevoerd. De standaardinstelling is ingeschakeld.
- Alleen NTLMv2-verificatie toestaan: Deze optie staat alleen NTLMv2-authenticatie toe en weigert LM en NTLM. Als u niet zeker bent van de instelling, schakel deze optie dan niet in. Als u deze optie inschakelt, zorg er dan voor dat alle computers in uw netwerk NTLMv2 kunnen gebruiken.
- Naamomzetting Prioriteit: Dit verwijst naar de naamomzetting op het Windows-netwerk. Als u WINS inschakelt (optie (1) of (2)), kunt u de prioriteit van de naamomzetting kiezen. De standaardinstelling is "Alleen DNS" wanneer alle WINS-instellingen zijn uitgeschakeld. Wanneer WINS is ingeschakeld, is de standaardinstelling "Eerst WINS, dan DNS". Ondervindt u geen problemen, behoud dan de standaardwaarden.
- Aanmeldingsstijl:
Standaard zijn in een Active Directory-omgeving de gebruikersnaamformaten voor domeingebruikers: - Automatisch registreren in DNS: Als deze optie is ingeschakeld, zal het NAS zichzelf automatisch registreren in de DNS-server van het domein wanneer het NAS wordt toegevoegd aan Active Directory. Hierdoor wordt er een DNS-hostentry voor de NAS gecreëerd in de DNS-server. Als het NAS-IP wordt gewijzigd, wordt het IP-adres automatisch bijgewerkt met de DNS-server door het NAS.
Instellingen controleren
Om te na te gaan of het NAS succesvol is gekoppeld aan de Active Directory, gaat u naar "Machtigingen instellen" > "Gebruikers" of "Gebruikersgroepen". Een lijst met gebruikers en groepen wordt weergegeven in de lijsten "Domeingebruikers" en "Domeingroepen".
De domeingebruikers- en gebruikersgroeplijsten op de webinterface vernieuwen
Als u nieuwe gebruikers of gebruikersgroepen in het domein hebt aangemaakt, klikt u op de knop "Opnieuw laden". Hierdoor worden de gebruikers- en gebruikersgroeplijsten van de Active Directory opnieuw naar het NAS geladen. Het proces wordt alleen uitgevoerd voor de gebruikerslijst van de webinterface. De instellingen voor gebruikersrechten worden in realtime gesynchroniseerd met de domeincontroller.
Opmerking
- Nadat het NAS is toegevoegd aan de Active Directory moeten de lokale NAS-gebruikers die toegang hebben tot de AD-server "NAS_name gebruikersnaam" gebruiken om zich aan te melden. De AD-gebruikers moeten hun eigen gebruikersnaam gebruiken om zich aan te melden op de AD-server (domeingebruikersnaam).
- De lokale NAS-gebruikers en de AD-gebruikers (met behulp van domeinnaam en gebruikersnaam) hebben toegang tot het NAS via AFP, FTP en Web File Manager met firmware 3.2.0 en hoger. Met firmware ouder dan 3.2.0 hebben echter alleen lokale NAS-gebruikers toegang tot Web File Manager.
- Gebruik "DomainUsername" als aanmeldingsnaam om het NAS aan te melden via Windows Verkenner.
- Gebruik "Domein + Gebruikersnaam" als aanmeldingsnaam voor aanmelding bij AFP-, FTP- en Web File Manager-services.
- WebDAV is alleen toegankelijk voor lokale gebruikers en groepen.
- Voor de TS-109/209/409/509-serie: als de AD Server is gebaseerd op Windows 2008, moet de NAS-firmware worden bijgewerkt naar v2.1.2 of hoger.
- Gebruik "Domein + Gebruikersnaam" als aanmeldingsnaam voor aanmelding van het NAS bij AFP-, FTP- en Web File Manager-services. Om een standaard Windows-aanmeldingsformaat (DOMAINUSERNAME) te kunnen gebruiken moet u de optie "Aanmeldingsstijl" inschakelen op het tabblad "Geavanceerde opties" in "Microsoft Networking" (zie hierboven).
Opmerking over Windows 7
Als u een Windows 7-pc gebruikt die niet tot een Active Directory behoort om toegang te krijgen tot een NAS met firmware ouder dan V3.2.0 en tevens lid is van een AD-domein, moet u de beveiligingsinstellingen van de client-pc wijzigen zoals hieronder beschreven.
- Ga in Windows 7 naar "Configuratiescherm" > "Alle onderdelen van het Configuratiescherm" en selecteer "Systeembeheer".
- Selecteer "Lokaal beveiligingsbeleid".
- Ga naar "Lokaal beleid" > "Beveiligingsopties". Selecteer vervolgens "Netwerkbeveiliging: LAN Manager-authenticatieniveau".
- Selecteer het tabblad "Lokale beveiligingsinstelling" en selecteer "LM en NTLMv2 verzenden – gebruik NTLMv2-sessiebeveiliging indien onderhandeld" in de lijst. Klik vervolgens op "OK".
Nadat u de instellingen in Windows 7 hebt geconfigureerd, hebt u vanaf uw NAS toegang tot uw NAS, zelfs als uw NAS lid is van een Active Directory-domein.
