SynologyにActive Directoryを利用する

Synologyサーバが1台の時はローカルユーザで管理すれば良いのですが、複数台になるとユーザ管理はLDAP又はAD(Active Directory)、アクセス権は個々のSynologyで管理するのが望ましくなります。

 

ここではAD(Active Directory)を使う方法を解説しまがLDAPを利用する場合は下記URLを参照してください。

 ­SynologyにLDAPを利用する

 

更にADはWindowsでも良いのですが、ここではSynologyの「Active Directory server」を利用する方法を解説します。

これを利用すると「Windows Server CAL」が不要となる事が最大のメリットになります。

 

ここではSynologyサーバ2台をADで管理するシナリオで解説していきます。

1.Active Directory serverの構築

2.SynologyサーバへのADの適用

3.ドメインユーザにユーザホーム機能を与える方法

4.ローカルユーザからADユーザへの移行方法

1.Active Directory serverの構築

1-1.DNSサーバの必要性

ADはアドレス解決に「DNS Server」を利用しています。

よってADをインストールするサーバに「DNS Server」がインストールされてない場合はADのインストール時に、これが自動的にインストールされます。

ADが立ち上がったり、配下のコンピュータが追加されると、この中のレコードが自動追加されます。

 

1-2.サーバ時間を合わせる

AD配下のSynologyサーバは「地域のオプション」で設定される「NTPサーバ」を同じものにする必要があります。

2台目のサーバはAD設定時に1台目(ADサーバ)サーバの「NTP」設定を自動的に引き継ぐ設定がされます。

設定後、地域のオプションで確認してください。1台目のサーバを見に行く設定がされています。

 

1-3.Active Directory serverのインストール

パッケージセンタから「Active Directory server」をインストールします。

「DNS Server」がインストールされえない場合はここで自動インストールされます。

 

 

1-4.Active Directory serverの設定

1.インストールされた下記アイコンをクリックして下さい。

設定のウィザードが起動させます。

 

2.ドメイン名とワークグループ名の設定

下記画面に設定値を入力します。

■ドメイン名

ドメイン名には「.」で区切られた2つ以上の名前が必要です。 例：HNW.COM

■ワークグループ

ユーザ等が管理されるグループ名です。　例：AD

■Administrator

ADのデフォルト管理者IDです

以上を設定し「次へ」で先に進むとADが構築されます。

 

3.グループとユーザを登録する

①上図の「追加→グループ」を実行します。

次へで登録が完了します。

②「追加→ユーザ」を実行します。

デフォルトではパスワードは42日で失効するようになっています。そこで上図では失効させない所にチェックしています。

管理者の場合　　：「Domain Admins」にチェックを入れて下さい。

一般ユーザの場合：先頭にある「AD-DSM-USERS」にチェックを入れて下さい。

以上で「Active Directory server」の構築は完了しました。

 

2.SynologyサーバへのADの適用

2-1.DSM管理者グループの設定

ADの設定では管理者は「Domain Admins」グループに入れました。

しかしこれだけではDSMのコントロールパネルが操作できる管理者になれないので下記設定が必要になります。

①コントロールパネルから下記アイコンをクリックします。

下記画面が開きます。

 

②上図の「ドメインオプション」を開きます。

③上図のドメイン管理者ボタンを挿入します。

追加ボタンを挿入するとADのグループ一覧が表示されますので、「Domain Admins」を追加して下さい。

以上で「Domain Admins」のメンバーがDSM管理者になれます。

 

2-2.各グループにフォルダやアプリケーションへのアクセス権を設定する

ドメイングループタブを開きます。

■Domain Adminsグループ

総ての「フォルダ」と「アプリケーション」にアクセス許可を与えます。

■AD-DSM-USERSグループ

アクセスを許可する「フォルダ」と「アプリケーション」にアクセス許可を与えます。

 

2-3.2台目のSynologyサーバをAD配下に入れる。

①「コントロールパネル→ドメイン/LDAPアイコン」をクリックする

表示された画面にドメインに参加を✔し、「ADのドメイン名」と「DNSサーバのIPアドレス」を入れて適用ボタンを挿入します。

暫く処理した後、ADの傘下に入ります。

上図の「ドメインオプション」を開きます。

2台目のAD配下のサーバには自動で「Domain Admins」がセットされています。

後は、1台目と同様にグループ設定でアクセス権を設定するだけです。

 

3.ドメインユーザにユーザホーム機能を与える方法

ローカルユーザの時と同様にADユーザにもユーザホーム機能を設定する事ができます。

①ADユーザタブを開きます。

上記の「ユーザーホーム」ボタンを挿入します。

②下記画面が表示されますので✔を付けて下さい。

以上でADユーザにもユーザホーム機能がONになりました。

③コントロールパネルから共有フォルダアイコンをクリックする。

④homesフォルダを選択して「編集」ボタンを挿入します。

⑤「マイネットワーク」での共有フォルダを非表示にしますにチェックを付けます。

以上でNASをSMBでマウントした時に「homes」フォルダは見えなくなります。

⑥次に「高度な権限」タブを開きます。

⑦上図の「高度な共有権限」ボタンを挿入します。

表示された画面から「ドメイングループ」を選択します。

⑧「Domain Admins」に「読込み/書込み」権限を与え、適用ボタンを挿入します。

以上で管理者だけが「homes」が見え、ユーザには「home」フォルダのみが操作できるようになりました。

 

4.ローカルユーザからADユーザへの移行方法

4-1.ログイン方法

SynologyのDSM、WevDAV、VPN、Photo Statinにログインできるのは「ローカルユーザ」又は「ADユーザ」になりますが両者に同一名が存在するか否かで挙動が異なります。

■同一名が無い場合

ユーザ名だけでログインすると、ローカルユーザにこのユーザ名が無い場合はADユーザを検索してログインしてくれます

■同一名がある場合

ユーザ名だけでログインすると、ローカルユーザにユーザ名があるのでこれでログインされます。

ADユーザでログインしたい場合は下記でログインできますがログイン名は「ワークグループ名\ユーザ名」になります。

①ワークグループ名\ユーザ名

②ドメイン名\ユーザ名

 

4-2.個人フォルダの移行方法

個人フォルダの保存場所と移行方法

■ローカルユーザ：homesフォルダ直下のID名の下に保存されます。

■ADユーザ      ：homesフォルダの中の「@DH-ADMIN」の中にID名が作られ、その下の保存されます。

 

4-3.Note Stationデータの移行方法

Note Stationのデータは「システム情報」と「Note Stationアプリ」が関連付けられて保存されています。

よって個人フォルダの様にドラッグ＆ドロップは使えないので、移行方法は下記になります。

①ローカルユーザでログインして、Note Stationからデータをエクスポートします。

「××××××.nsx」というファイルが作成されます。

②ADユーザでログインして、Note Stationを立ち上げ、上記ファイルをインポートします。

これでデータ移行が完了します。

 

4-4.WevDAVアクセスをADユーザに移行する方法

WebDAVのアクセス権はコントロールパネルの下記アイコンから設定して下さい。

ユーザ名がローカルユーザ名にない場合は、ユーザ名だけでADユーザ名としてログインできます。

上手く接続できない場合は、Windowsを再起動した後、再度ログインして下さい。

 

4-5.VPNアクセスをLDAPユーザにする時の注意点

VPNのアクセス権は「VPN Server」の全般設定にあります。

全般設定を開き「アカウントタイプ」を「ドメインユーザ(AD)」にして下さい。

 

4-6.Photo StationアクセスをADユーザにする時の注意点

Photo Stationは独自にユーザ管理を持っています。

デフォルトではローカルユーザとドメインユーザが見れるようになっています。

ドメインユーザに管理者権を与える場合は、Photo Stationの設定画面に入ってドメインユーザに管理者権限を与えてください。