Synology Directory Server · 2020. 9. 30. · ein DNS-Server eingerichtet werden, um die...

1

Administrator-Handbuch für

Synology Directory Server

Basierend auf

Synology Directory Server 4.4

Inhaltsverzeichnis

Kapitel 1: Einleitung 01

Über Synology Directory Server

Synology Directory Grundlagen

Kompatibilität und Einschränkungen

Synology Directory Server installieren

Kapitel 2: Erste Schritte mit Synology Directory Server 05

Synology Directory-Dienst einrichten

Die Domain verwalten

DNS-Ressourceneinträge verwalten

Firewall-Regeln zur Sicherung des Verzeichnisdienstes hinzufügen

Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten 14

Den Status von Domainobjekten anzeigen

Organisationseinheiten (OUs) verwalten

Gruppen verwalten

Benutzer verwalten

Computer verwalten

Kapitel 4: Geräte in eine Domain einbinden 34

Mit einem Windows-PC einer Domain beitreten

Mit dem Synology NAS einer Domain beitreten

Kapitel 5: Gruppenrichtlinien konfigurieren 41

Standard-Domainrichtlinien konfigurieren

RSAT zur Verwaltung von Gruppenrichtlinien verwenden

Kapitel 6: Verzeichnisdienst warten und wiederherstellen 49

Unterbrechungsfreien Verzeichnisdienst mit Synology High Availability

sicherstellen

Directory-Dienst mit Hyper Backup sichern und wiederherstellen

Kapitel 7: Fehlerbehebung und FAQs 54

Konto

Verzeichnis

DNS

01

Kapitel 1: Einleitung

Über Synology Directory Server

Synology Directory Server bietet eine zentrale Plattform für Konten- und

Ressourcenverwaltungsdienste mittels Samba-Schema. Die Anwendung unterstützt häufig

genutzt Funktionen von Windows Active Directory®, darunter Benutzer-/Gruppenverwaltung,

Organisationseinheiten (OUs), Gruppenrichtlinien, Kerberos-basierte Authentifizierung

und eine Reihe von Client-Geräten. Indem Sie mit Synology Directory Server einen

Domaindienst einrichten, können Sie auf sichere Weise eine Verzeichnisdatenbank speichern,

Benutzerkonten verwalten und Dienste gemäß Ihrer Organisationsstruktur bereitstellen.

Synology Directory Grundlagen

Dieser Abschnitt bietet einen Überblick über Synology Directory und liefert Ihnen das nötige

Wissen, um administrative Aufgaben mit Synology Directory Server zu erledigen.

Verzeichnisdienst

Ein Verzeichnis ist ein Repository, das einzelne Personen, Gruppen, Orte und

verschiedene Arten von Informationen enthält. Es ist ein Werkzeug zur Speicherung und

Verwaltung von Daten, mit dem Benutzer leicht die Informationen finden können, auf

die sie zugreifen möchten. In der Informatik dienen Verzeichnisdienste dazu, sämtliche

Kontoinformationen an einem zentralen Ort zu speichern. Dies ermöglicht, dass mehrere

Ressourcen zusammenarbeiten können, und ist daher ideal geeignet zur Autorisierung von

Benutzerzugriffen, Konfiguration von Identitäten und Verwaltung der Beziehungen zwischen

Benutzern und Gruppen.

Active Directory® und Synology Directory-Dienst

Active Directory® (AD) ist ein Verzeichnisdienst mit einer zentralen Informationsdatenbank, mit

dem IT-Administratoren Konten und Ressourcen wie Rechner und Drucker sicher verwalten

können. Synology Directory Server bietet den auf AD basierten Synology Directory-Dienst, mit dem Sie Ressourcen über eine benutzerfreundliche Oberfläche speichern und bereitstellen

können.


02


Domain Name System (DNS)

Synology Directory nutzt das Domain Name System (DNS), um Rechner, Drucker und andere

Ressourcen in einer hierarchischen Struktur zu organisieren.

Eine Domain ist eine logische Grenze, die zur Erstellung und Verwaltung von Ressourcen

eingerichtet wird. DNS ist dagegen ein Standard-Internetdienst, der Ressourcen mittels

Domainnamen strukturiert. In einer Domain (z. B. „syno.local“) werden Geräte mittels DNS

bereitgestellt, das einfach lesbare Hostnamen (z. B. „pc1.syno.local“) in IP-Adressen übersetzt,

die zur Suche und Erkennung von Geräten mit Internetprotokollen benötigt werden.

Aufgrund der Abhängigkeit von DNS muss bei der Installation von Synology Directory Server

ein DNS-Server eingerichtet werden, um die Domainfunktionen zu gewährleisten.

Domain-Controller

Ein Domain-Controller (DC) ist ein NAS, auf dem eine Domain eines Synology Directory

Servers gehostet wird. Er ist dafür verantwortlich, die Domainfunktionen aufrechtzuerhalten,

Verzeichnisdaten zu speichern und Benutzerinteraktionen innerhalb einer Domain zu

verwalten.

In Synology Directory Server wird das Synology NAS, auf dem eine Domain erstellt wird,

automatisch zum Domain-Controller ernannt.

Domainobjekt hinzufügen

Die in Synology Directory Server gespeicherte Domaindatenbank besteht aus Informationen

über Objekte, die jeweils einen einzelnen und einzigartigen Eintrag in die Datenbank

darstellen. Folgende Objekte können in Synology Directory Server verwaltet werden:

• Benutzer: Ein Benutzerkonto, das auf in einer Domain bereitgestellte Ressourcen zugreifen kann.

• Gruppe: Die Zugriffsberechtigungen einer Gruppe auf Ressourcen (z. B. Dateien und Geräte) in einer Domain werden auf alle ihre Mitglieder angewendet.

• Gerät: Eine physische Ressource, auf die Domainbenutzer zugreifen können. Das kann ein Computer, ein Drucker, ein NAS usw. sein.

• Organisationseinheit (OU): Der kleinste Container in einer Domain, dem Administratorberechtigungen und Gruppenrichtlinien zugewiesen werden können.

Organisieren Sie Benutzer, Gruppen oder Computer in OUs, um ihnen dieselben

Berechtigungen und Richtlinien zuzuweisen. Sie können OUs auch zu anderen OUs

hinzufügen und so eine OU-Hierarchie erstellen, die der tatsächlichen Struktur Ihrer

Organisation entspricht. Dies ermöglicht die effizientere Konfiguration von Domainobjekten

in Synology Directory Server.

03


Kompatibilität und Einschränkungen

• DSM-Versionsanforderung: DSM 6.2.2 oder höher.

• Domainfunktionen: Wie Windows Server 2008.

• Synology Directory Server muss mit dem Paket DNS Server betrieben werden.

• Synology Directory Server ist nicht kompatibel mit Konfigurationen anderer Domain- oder

LDAP-Dienste.

• Unterstützte Domain-Clients:

• Windows 7 und höher

• macOS

• Linux

• Kompatible Synology NAS-Modelle: Siehe diese Seite auf der offiziellen Synology-Website.

• Einschränkungen:

• Synology Directory Server unterstützt lediglich eine einzelne Domain und einen einzelnen

Domain-Controller.

• Der Hostname des als Domain-Controllerdienenden Synology NAS kann nicht mehr

geändert werden, nachdem Synology Directory Server darauf aktiviert wurde.

• Nach dem Erstellen einer Domain wird die SMB-Signierung automatisch aktiviert, was die

Lese-/Schreibleistung bei der SMB-Dateiübertragung reduzieren kann.

• DFS-Replikation (Distributed File System Replication) wird nicht unterstützt.

Synology Directory Server installieren

1. Bevor Sie Synology Directory Server auf dem Synology NAS installieren, kontrollieren Sie bitte Folgendes:

• Die Netzwerkverbindung des Synology NAS funktioniert einwandfrei.

• Das Volume des Synology NAS funktioniert einwandfrei.

• Die DSM-Version ist DSM 6.2.2 oder höher.

• Sie sind der DSM-Administrator (d. H. Der Benutzer der Gruppe administrators) des Synology NAS.

• Das Synology NAS verwendet eine statische IP-Adresse: Sie müssen für das Synology NAS eine statische IP-Adresse in Ihrem lokalen Netzwerk einrichten, um zu verhindern,

dass Clients aufgrund einer Änderung der IP-Adresse des Synology NAS (Domain-

Controller) getrennt werden.

https://www.synology.com/dsm/packages/DirectoryServerForWindowsDomain

04


• Das Synology NAS ist kein Client einer Domain oder eines LDAP-Verzeichnisses: Wenn das Synology NAS bereits einer Domain oder einem LDAP-Verzeichnis beigetreten

ist, müssen Sie die Domain bzw. das LDAP-Verzeichnis verlassen, bevor Sie Synology

Directory Server nutzen können. Dieses Paket ist nicht kompatibel mit Konfigurationen

anderer Verzeichnisdienste.

• Es existieren keine Konflikte mit Domainnamen im lokalen Netzwerk: Synology Directory Server wird von Clients nicht gefunden, wenn es im lokalen Netzwerk mehr als

eine Domain mit demselben Namen gibt. Wählen Sie in diesem Fall bitte einen anderen

Namen oder entfernen Sie Domains mit demselben Namen.

2. Melden Sie sich als Administrator bei DSM an (d. H. Der Benutzer, der zur Gruppe

administrators gehört).

3. Gehen Sie zu Paketzentrum > Alle Pakete.

4. Klicken Sie unter Synology Directory Server auf Installieren und folgen Sie den Anweisungen auf dem Bildschirm, um die Installation abzuschließen.

05

Kapitel 2: Erste Schritte mit Synology Directory Server

Mit Synology Directory Server kann Ihr Synology NAS als Domain-Controller agieren und

Konten verwalten, Geräte bereitstellen, Berechtigungen konfigurieren und in einer Domain

delegieren. Dieses Kapitel unterstützt Sie bei Ihren ersten Schritten mit Synology Directory

Server.

Synology Directory-Dienst einrichten

Nachdem die Installation abgeschlossen wurde und keine vorhandenen Domains erkannt

wurden, können Sie mit der Einrichtung von Synology Directory beginnen. Im folgenden

Abschnitt erfahren Sie, wie Sie eine Domain erstellen und das Synology NAS zum Domain-

Controller machen.

Anmerkung:

• Vor der Installation von Synology Directory Server können Sie einen Synology High

Availability-Cluster einrichten, um einen unterbrechungsfreien Verzeichnisdienst

sieherzustellen (für eine detaillierte Anleitung dazu siehe Unterbrechungsfreien Verzeichnisdienst mit Synology High Availability sicherstellen).

1. Starten Sie Synology Directory Server.

2. Klicken Sie auf Weiter, um die Einrichtung fortzusetzen.


06


3. Geben Sie die folgenden Informationen ein und klicken Sie auf Weiter:

• Domainname: Geben Sie einen FQDN (Fully Qualified Domain Name) für die Domain ein, z. B. „syno.local“.

• Arbeitsgruppe: Der Name der Arbeitsgruppe (oder der NetBIOS-Domainname) wird automatisch in dieses Feld eingetragen. Wenn der Name Ihrer Domain beispielsweise

„syno.local“ lautet, ist der Standardname der Arbeitsgruppe „syno“.

• Kennwort: Geben Sie ein Kennwort für das Administrator-Konto Ihrer Domain ein.

• Kennwort bestätigen: Geben Sie das Kennwort erneut ein.

4. Bestätigen Sie die Einstellungen und klicken Sie auf Übernehmen. Das System erstellt nun die Domain und befördert das Synology NAS zum Domain-Controller.

07


Einschränkungen bei Domainnamen:

• Der Domainname darf nur Buchstaben, Zahlen, Minuszeichen und Punkte (nur als Trennzeichen für Teile des Namens) enthalten.

• Der Domainname muss aus mindestens zwei Teilen bestehen, z. B. „syno.local“.

• Der Domainname darf nicht mit einem Bindestrich (-) beginnen.

• Der Domainname darf nicht mit einem Bindestrich (-) oder einem Punkt (.) enden.

• Der Domainname darf nicht gleich lauten wie der Servername Ihres Synology NAS.

• Der Domainname darf maximal 65 Zeichen lang sein.

Kennworteinschränkungen:

Um die Anforderungen an die Kennwortsicherheit zu erfüllen, muss Ihr Kennwort mindestens drei der folgenden Regeln erfüllen:

• Großbuchstaben (einschließlich A-Z mit diakritischen Zeichen) des lateinischen, griechischen und kyrillischen Alphabets.

• Kleinbuchstaben (einschließlich a-z mit diakritischen Zeichen) des lateinischen, griechischen und kyrillischen Alphabets.

• Ziffern (0-9).

• Sonderzeichen, darunter #, $, ! usw.

• Unicode-Alphabete, darunter jene in asiatischen Sprachen.

Über SMB-Signatur:

SMB-Signatur ermöglicht die digitale Signatur von SMB-Kommunikation auf Paketebene. Nach dem Erstellen einer Domain wird diese Funktion automatisch aktiviert, was die Lese-/Schreibleistung bei der SMB-Dateiübertragungen verringern kann. Um die Leistung zu verbessern, wählen Sie Automatisch oder Deaktivieren im Dropdown-Menü Server-Signierung aktivieren unter Systemsteuerung > Domain/LDAP > Domain > Domainoptionen.

Die Domain verwalten

Auf der Seite Status können Sie Domain und Domain-Controller anzeigen, bearbeiten oder entfernen.

Domaininformationen anzeigen

Auf der Seite Status können Sie jederzeit Informationen über Ihre Domain anzeigen:

08


• Domainname: Der vollständige Name Ihrer Domain.

• Domain NetBIOS-Name: Der Kurzname der Domain, der von früheren Windows-Versionen (z. B. Windows 95 oder Windows 98) für den Zugriff auf Ressourcen des Synology Directory

verwendet wird.

• Anzahl der Einträge, die möglicherweise aktualisiert werden müssen: Wenn die Anzahl 0 angezeigt wird, verweisen allen DNS-Ressourceneinträge in DNS Server korrekt auf die IP-Adresse des Synology NAS (Domain-Controller). Wenn eine andere Zahl als 0 angezeigt

wird, müssen die Ressourceneinträge in DNS Server aktualisiert werden (eine detaillierte Anleitung dazu finden Sie unter A/AAAA-Ressourceneinträge anpassen).

Die Domain entfernen

Klicken Sie auf der Seite Status auf Domain entfernen, um die vom Synology Directory Server verwaltete Domain zu entfernen. Bitte beachten Sie, dass das Entfernen der Domain nicht rückgängig gemacht werden kann.

Die IP-Adresse des Domain-Controllers bearbeiten

Synology Directory Server wird in der Regel mit einer statischen IP-Adresse eingerichtet.

Möglicherweise müssen Sie aus bestimmten Gründen die IP-Adresse des Synology NAS, auf

dem Synology Directory Server ausgeführt wird, ändern. Gehen Sie wie folgt vor:

1. Sichern Sie Synology Directory Server mit Hyper Backup (für weitere Informationen siehe Directory-Dienst mit Hyper Backup sichern und wiederherstellen).

2. Ändern Sie die IP-Adresse des Synology NAS.

3. Bestätigen und aktualisieren Sie die Ressourceneinträge in DNS Server (für weitere Informationen siehe A/AAAA-Ressourceneinträge anpassen).

4. Starten Sie Synology Directory Server neu, um die Netzwerkeinstellungen zu aktualisieren.

Gehen Sie wie folgt vor:

a. Gehen Sie zu Paketzentrum > Installiert > Synology Directory Server.

b. Klicken Sie auf das umgekehrte Dreieck und wählen Sie Stopp.

c. Nachdem Synology Directory Server gestoppt wurde, klicken Sie auf Ausführen, um das Paket neu zu starten.

09


DNS-Ressourceneinträge verwalten

Domain Name System (DNS) ist ein Namenssystem, das den Datenaustausch zwischen

Computern über das Internet und andere Netzwerke erleichtert. Es wird vor allem verwendet,

um einfach zu merkende Domainnamen (z. B. „pc1.syno.local“) in die zugehörigen IP-

Adressen (z. B. „192.168.1.5“) zu übersetzen. Diese Funktion ist essenziell für den Betrieb des

Domaindienstes von Synology Directory Server.

Hier werden Konfigurationen von A/AAAA-Einträgen und automatische DNS-Registrierung

näher beschrieben.

A/AAAA-Ressourceneinträge

A und AAAA sind DNS-Ressourceneinträge für die Auflösung von Domainnamen und IP-Adressen. A-Einträge übersetzen Domainnamen in 32-Bit-IPv4-Adressen. AAAA-Einträge

enthalten dagegen Domainnamen und die zugehörigen 128-Bit-IPv6-Adressen.

Automatische DNS-Registrierung

Nachdem ein Client erfolgreich der von Synology Directory Server erstellten Domain

beigetreten ist, wird der Server automatisch einen A-Ressourceneintrag (und AAAA-

Ressourceneintrag, wenn IPv6 aktiviert ist) beim DNS-Dienst in DSM registrieren oder

aktualisieren, wodurch dem Hostnamen des Clients eine IP-Adresse zugewiesen wird.

Einschränkungen:

• Automatische DNS-Registrierung kann nicht deaktiviert werden.

• Namensregeln für Domainclients: Es sind derzeit nur Buchstaben (a-z, A-Z), Ziffern (0-9) und Bindestriche (-) zulässig.

• In Windows 7 oder 10: Bei einer Änderung von Hostnamen oder IP-Adresse ist eine erneute Anmeldung bzw. ein Neustart erforderlich.

• In DSM oder SRM: Bei einer Änderung von Hostnamen oder IP-Adresse ist eine erneute Anmeldung bzw. ein Neustart nicht erforderlich und die Ressourceneinträge werden nicht aktualisiert.

10


A/AAAA-Ressourceneinträge anpassen

Damit Synology Directory Server Dienste ordnungsgemäß bereitstellen kann, müssen alle

A/AAAA-Ressourceneinträge in DNS Server korrekt auf die IP-Adresse des Synology NAS verweisen. Standardmäßig verweisen alle A/AAAA-Ressourceneinträge auf die IP-Adresse des

Synology NAS, auf dem die Domain erstellt wurde.

Unter den folgenden Umständen kann es jedoch sein, dass die A/AAAA-Ressourceneinträge

nicht korrekt auf das Synology NAS verweisen:

• Die IP-Adresse des Synology NAS ändert sich, nachdem die Domain mit Synology Directory

Server erstellt wurde.

• Synology Directory Server wird mit einer Hyper Backup-Sicherungsaufgabe wiederhergestellt (für weitere Informationen siehe Directory-Dienst mit Hyper Backup sichern und wiederherstellen).

In den oben genannten Fällen gehen Sie bitte wie folgt vor:

1. Gehen Sie zu DNS Server > Zonen.

2. Wählen Sie die betreffende DNS-Zone aus (z. B. domainname@Active Directory oder _msdcs.domainname@Active Directory) und klicken Sie auf Bearbeiten > Ressourceneintrag.

3. Überprüfen Sie die in den A/AAAA-Ressourceneinträgen konfigurierten IP-Adressen. Stellen

Sie sicher, dass alle Einträge auf Ihr Synology NAS verweisen.

Anmerkung:

• Für die Stapelbearbeitung halten Sie Strg oder die Umschalttaste gedrückt, um mehrere Ressourceneinträge desselben Typs mit unterschiedlichen Namen auszuwählen.

11


Firewall-Regeln zur Sicherung des Verzeichnisdienstes hinzufügen

Neben der effizienten Verwaltung ist Sicherheit eines der wichtigsten Themen für Synology

Directory-Administratoren. Um Synology Directory zu schützen, empfehlen wir, die folgende

Firewall-Regel zu Ihrem Synology Directory Server hinzuzufügen:

1. Gehen Sie zu Systemsteuerung > Sicherheit > Firewall.

2. Setzen Sie ein Häkchen bei Firewall aktivieren.

3. Wählen Sie unter Firewall-Profil im Dropdown-Menü ein Firewall-Profil aus und klicken Sie rechts auf Regeln bearbeiten.

4. Klicken Sie auf Erstellen.

12


5. Wählen Sie unter Ports die Option Aus einer Liste integrierter Anwendungen auswählen und klicken Sie auf Auswählen.

6. Wählen Sie DNS Server, Synology Directory Server und Windows-Dateiserver. Klicken Sie auf OK, um Ihre Auswahl zu bestätigen.

7. Wählen Sie unter Quell-IP die Option Spezifische IP und klicken Sie auf Auswählen.

13


8. Geben Sie das lokale Netzwerk an, in dem Synology Directory Server ausgeführt wird, indem

Sie eine IP-Adresse oder einen IP-Bereich eingeben. Klicken Sie nach Bestätigung der Daten

auf OK.

9. Wählen Sie unter Aktion die Option Zulassen, um den Zugriff für die von Ihnen angegebenen Ports und IP-Adressen zuzulassen.

10. Klicken Sie auf OK, um die Einstellungen zu speichern.

Anmerkung:

• Weitere Informationen zu den Firewall-Einstellungen in DSM finden Sie in den Hilfe-Artikeln zur Firewall.

https://www.synology.com/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_firewallhttps://www.synology.com/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_firewall

14

Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten

In einer von Synology Directory Server gehosteten Domain werden verfügbare Ressourcen in

Form von Objekten wie Organisationseinheiten (OUs), Gruppen, Benutzern und Geräten (z. B.

Computer oder NAS) erstellt und gespeichert.

In diesem Kapitel erfahren Sie, wie Sie verschiedene Arten von Domainobjekten in Synology

Directory Server konfigurieren.

Den Status von Domainobjekten anzeigen

Auf der Seite Benutzer und Computer sehen Sie die gesamte Baumstruktur der Domain. Informationen zu Objekten werden rechts angezeigt:

• Typ: Zeigt den Typ des Objekts an. Objekte können Organisationseinheiten, Gruppen, Benutzer oder Computer sein.

• Name: Der Name von Objekten (ausgenommen OUs) wird im folgenden Format angezeigt:

Domain NetBIOS-Name\Objektname

• Beschreibung: Eine Beschreibung des Domainobjekts.

• DN: Der definierte Name (DN) ist der Pfad eines Objekts in der Domaindatenbank. Wenn beispielsweise der DN „CN=bach,OU=sales,DC=syno,DC=local“ können Sie dessen Elemente

wie folgt analysieren:

• CN=bach: Der Name dieses Benutzers lautet „bach“.

• OU=sales: Dieser Benutzer gehört der Organisationseinheit „sales“ an.

• DC=syno,DC=local: Dieser Benutzer befindet sich in der Domain „syno.local“.

• Status: Wenn ein Domainobjekt nicht deaktiviert ist, lautet sein Status Normal. Ansonsten lautet sein Status Deaktiviert.


15


Organisationseinheiten (OUs) verwalten

Eine Organisationseinheit (OU) ist ein Containerobjekt innerhalb einer Domain, dem

Sie alle Arten von Domainobjekten, einschließlich Benutzer, Gruppen, Computer und

anderer Organisationseinheiten, hinzufügen können. Organisationseinheiten organisieren

Domainobjekte hierarchisch, was bei einer großen Anzahl an Benutzern, Computern und

Gruppen hilfreich ist. Mit einer gut geplanten OU-Struktur können IT-Administratoren ganz

einfach Gruppenrichtlinien mit bestimmten Domainobjekten verknüpfen und administrative

Aufgaben an diese delegieren.

OU hinzufügen

1. Gehen Sie zur Seite Benutzer und Computer.

2. Wählen Sie in der Strukturliste eine Domain oder eine OU aus und klicken Sie auf

Hinzufügen > Organisationseinheit.

3. Geben Sie der neuen Organisationseinheit im Feld einen Namen und klicken Sie auf OK.

4. Klicken Sie mit der rechten Maustaste auf den übergeordneten Container der neu

hinzugefügten Organisationseinheit und auf Neu laden. Die neu hinzugefügte Organisationseinheit wird dann in der Strukturliste angezeigt.

16


Objekte zu einer OU hinzufügen

So können Sie Objekte zu einer OU hinzufügen:

1. Wählen Sie auf der Seite Benutzer und Computer eine OU aus der Strukturliste aus.

2. Wählen Sie eine der folgenden Methoden, um den Assistenten zu starten:

• Methode 1: Klicken Sie auf Hinzufügen und wählen Sie aus dem Dropdown-Menü einen Typ von Domainobjekt aus.

• Methode 2: Rechtsklicken Sie in der Strukturliste auf die gewünschte OU. Gehen Sie zu Hinzufügen und wählen Sie einen Objekttyp aus.

17


• Methode 3: Rechtsklicken Sie auf die leere Fläche der gewünschten OU und wählen Sie einen Objekttyp zum Hinzufügen aus.

3. Folgen Sie den Anweisungen des Assistenten, um das Objekt hinzuzufügen. Weitere

Informationen finden Sie unter OU hinzufügen, Gruppe hinzufügen und Benutzer hinzufügen.

Anmerkung:

• Sie können ein oder mehrere Objekte zu einer Organisationseinheit in der Strukturliste ziehen und ablegen.

• Der Standard-Ansichtsmodus des Verzeichnisses zeigt nur Objekte an, die keiner Organisationseinheit angehören. Um alle Benutzer, Gruppen, Computer und Organisationseinheiten anzuzeigen, wählen Sie den Stammordner (der nach Ihrer Domain benannt ist) aus der Strukturliste aus und klicken Sie auf das Lupensymbol rechts oben. Setzen Sie in der Suchleiste ein Häkchen bei Alle Ableitungen, um alle Objekte anzuzeigen.

Eine OU löschen

1. Klicken Sie in der Strukturliste mit der rechten Maustaste auf die gewünschte OU und

klicken Sie auf Löschen.

2. Klicken Sie im eingeblendeten Fenster erneut auf Löschen, um das Löschen zu bestätigen. Bitte beachten Sie, dass das Löschen von Organisationseinheiten nicht rückgängig gemacht werden kann.

18


Gruppen verwalten

Mittels Domaingruppen können IT-Administratoren Berechtigungen für den Zugriff auf Geräte,

Anwendungen oder sonstige in einer Domain bereitgestellte Dienste vergeben. Sie können

Domainbenutzer in einer Gruppe platzieren und dann eine Zugriffssteuerungsliste (ACL) für

einen bestimmten Dienst auf die Gruppe anwenden.

In diesem Abschnitt erfahren Sie, wie Sie Domaingruppen in Synology Directory Server

verwalten können.

Standardgruppen

Wenn Sie eine Domain einrichten, erstellt Synology Directory Server die folgenden

Standardgruppen, um Ihnen die Verwaltung der Domain und die Konfiguration von

Zugriffsberechtigungen zu erleichtern:

Gruppenname Beschreibung

Domain AdminsMitglieder dieser Gruppe haben Administratorrechte und können sämtliche Objekte und Einstellungen in der Domain verwalten.

Enterprise AdminsMitglieder dieser Gruppe haben Administratorrechte und können sämtliche Objekte und Einstellungen in der Domainstruktur der gesamten Organisation verwalten.

Schema AdminsMitglieder dieser Gruppe können Änderungen am Domainschema vornehmen.

Domain GuestsIn dieser Gruppe sind standardmäßig alle Gäste der Domain enthalten.

Domain UsersIn dieser Gruppe sind standardmäßig alle Benutzer der Domain enthalten.

Domain ComputersIn dieser Gruppe sind standardmäßig alle Rechner und Server der Domain enthalten.

Domain ControllersIn dieser Gruppe sind standardmäßig alle Domain-Controller enthalten.

Read-Only Domain Controllers

In dieser Gruppe sind standardmäßig alle schreibgeschützten Domain-Controller (RODCs) enthalten.

Enterprise Read-Only Domain Controllers

In dieser Gruppe sind standardmäßig alle schreibgeschützten Domain-Controller (RODCs) in der Domainstruktur der gesamten Organisation enthalten.

Allow RODC Password Replication Group

Mitglieder dieser Gruppe können Ihre Kennwörter für alle RODCs in der Domain replizieren.

Denied RODC Password Replication Group

Mitglieder dieser Gruppe können Ihre Kennwörter für alle RODCs in der Domain nicht replizieren.

Cert PublishersMitglieder dieser Gruppe haben Berechtigungen zum Ausstellen von Zertifikaten.

DnsAdminsMitglieder dieser Gruppe können auf den Domain Name Service in der Domain zugreifen.

19


Gruppenname Beschreibung

DnsUpdateProxyMitglieder dieser Gruppe sind DNS-Clients, die im Namen anderer Clients (etwa DHCP-Server) dynamische Aktualisierungen vornehmen dürfen.

Group Policy Creator Owners

Mitglieder dieser Gruppe können Gruppenrichtlinien für die Domain ändern.

RAS and IAS Servers Mitglieder dieser Gruppe dürfen Dienste für den Fernzugriff nutzen.

Anmerkung:

• Synology Directory Server entspricht in Sachen Funktionalität Windows Server 2008 R2. Weitere Informationen zu integrierten Domaingruppen finden Sie in diesem Artikel.

Gruppe hinzufügen

1. Klicken Sie auf der Seite Benutzer und Computer auf Hinzufügen > Gruppe.

2. Geben Sie unter Gruppenname einen Namen ein, konfigurieren Sie die folgenden Informationen für die neue Gruppe und klicken Sie auf Weiter:

• Gruppenumfang

• Domain lokal: Lokale Domaingruppen werden verwendet, um Berechtigungen für Ressourcen in ihrer Ursprungsdomain zuzuweisen. In diesen Gruppentyp können

andere lokale Domaingruppen in derselben Domain verschachtelt werden. Er kann

auch Benutzerkonten, globale Gruppen und universelle Gruppen aus allen Domains

oder Gesamtstrukturen enthalten.

• Global: Globale Gruppen werden zur Verwaltung von Benutzerkonten hinzugefügt. Sie können Benutzerkonten und weiter globale Gruppen in derselben Domain enthalten.

In der Praxis empfehlen wir, globale Gruppen in lokalen Domaingruppen mit

bestimmten Berechtigungen zu platzieren, anstatt ihnen selbst direkt Berechtigungen

zuzuweisen.

• Universell: Universelle Gruppen werden hauptsächlich zur domainübergreifenden Schachtelung globaler Gruppen verwendet. Sie können Benutzerkonten, globale

Gruppen und andere universelle Gruppen aus beliebigen Domains in der

Gesamtstruktur, in der sie sich befinden, enthalten. In der Praxis empfehlen wir,

universelle Gruppen in lokalen Domaingruppen mit bestimmten Berechtigungen zu

platzieren, anstatt ihnen selbst direkt Berechtigungen zuzuweisen.

• Gruppentyp

• Sicherheit: Sicherheitsgruppen werden eingerichtet, um Zugriffsberechtigungen oder Rechte zur Ausführung bestimmter Systemaufgaben in der Domain festzulegen.

• Verteiler: Verteilergruppen werden eingerichtet, um E-Mail-Nachrichten an eine Reihe von Benutzern zu senden. Sie können als E-Mail-Alias verwendet werden.

https://docs.microsoft.com/windows/security/identity-protection/access-control/active-directory-security-groups#active-directory-default-security-groups-by-operating-system-version

20


3. Bestätigen Sie die Gruppeninformationen und klicken Sie auf Übernehmen, um die Einstellungen zu speichern.

Gruppeneigenschaften bearbeiten

1. Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf Aktion > Bearbeiten. Auf der Registerkarte Allgemein können die folgenden Gruppeneigenschaften bearbeitet werden:

• Gruppenname

• Beschreibung

• E-Mail

• Gruppenumfang

• Gruppentyp

2. Auf der Registerkarte Mitglieder können Sie Mitglieder ein- oder ausschließen.

3. Klicken Sie zum Speichern auf OK.

Anmerkung:

• Sie können Gruppen auch bearbeiten, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf eine Gruppe klicken und dann auf Bearbeiten klicken.

21


Gruppe löschen

1. Wählen Sie die gewünschte Gruppe in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Löschen.

2. Klicken Sie im Popup-Fenster auf Löschen, um das Löschen zu bestätigen.

Anmerkung:

• Sie können Gruppen auch löschen, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf eine Gruppe klicken und dann auf Löschen klicken.

• Halten Sie Strg oder Umschalttaste gedrückt, um mehrere Gruppen gleichzeitig auszuwählen.

• Das Löschen von Gruppen kann nicht rückgängig gemacht werden.

Mitglieder zu Gruppen hinzufügen

Es gibt drei Möglichkeiten, um Benutzer zu Gruppen zuzuweisen: Benutzer beim Erstellen zu

Gruppen hinzufügen; Benutzerprofil bearbeiten; und Gruppeneigenschaften bearbeiten.

• Benutzer beim Erstellen zu Gruppen hinzufügen

Setzen Sie im zweiten Schritt des Assistenten zur Benutzererstellung ein Häkchen bei den Gruppen, zu denen Sie diesen Benutzer hinzufügen möchten, und klicken Sie auf Weiter. Folgen Sie dem Assistenten, um den Vorgang abzuschließen.

22


• Benutzer durch Bearbeiten von Benutzerprofilen zu Gruppen hinzufügen

Wählen Sie den gewünschten Benutzer in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Bearbeiten. Wechseln Sie zur Registerkarte Mitglied von. Setzen Sie ein Häkchen bei den Gruppen, zu denen Sie diesen Benutzer hinzufügen möchten, und klicken

Sie auf OK.

• Benutzer durch Bearbeiten von Gruppeneigenschaften zu Gruppen hinzufügen

Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf Aktion > Bearbeiten. Setzen Sie auf der Registerkarte Mitglieder ein Häkchen bei den Benutzern, die Sie zu dieser Gruppe hinzufügen möchten. Klicken Sie auf OK, um die Einstellungen zu speichern und zu übernehmen.

23


Benutzer verwalten

Benutzer in einer Domain sind Benutzerkonten, die auf Ressourcen in der Domain zugreifen

können. Auf welche Ressourcen in der Domain Mitglieder Ihrer Organisation zugreifen können,

hängt von ihren Berechtigungen ab. In diesem Abschnitt erfahren Sie, wie Sie Domainbenutzer

in Synology Directory Server verwalten können.

Standardbenutzer

Wenn Sie eine Domain einrichten, erstellt Synology Directory Server die folgenden

Standardbenutzerkonten, um Ihnen die Verwaltung der Domain zu erleichtern:

Benutzername Beschreibung

AdministratorDas Administratorkonto hat volle Kontrolle über Synology Directory Server. Es wird zur Verwaltung von Domain und Domain-Controller verwendet.

dns-NAS-HostnameDas DNS-Dienstkonto für das Synology NAS. Es ist nach dem Hostnamen des Domain-Controllers benannt, beispielsweise „dns-MyNAS“.

GuestDas Konto für den Gastzugriff auf die Domain und bereitgestellte Geräte.

krbtgtDas Konto für den Dienst Kerberos Key Distribution Center auf dem Domain-Controller.

Benutzer hinzufügen

1. Klicken Sie auf der Seite Benutzer und Computer in der Strukturliste auf einen Container, zu dem Sie Benutzer hinzufügen möchten. Der Container kann der nach Ihrer Domain (z. B.

„SYNO.LOCAL“) benannte Container, der Container Users oder eine Organisationseinheit.

2. Wählen im Dropdown-Menü Hinzufügen die Option Benutzer aus. Der entsprechende Assistent wird automatisch gestartet.

24


3. Konfigurieren Sie den neuen Benutzer auf der Seite Benutzerinformationen eingeben im Assistenten zur Benutzererstellung. Um die Sicherheit zu erhöhen, ist Dieses Konto zwingen, bei der nächsten Anmeldung das Kennwort zu ändern standardmäßig aktiviert. Beachten Sie bitte, dass die Anforderungen an die Kennwortstärke von der

unter Synology Directory Server > Domainrichtlinie konfigurierten Kennwortrichtlinie

abhängen.

4. Wählen Sie auf der Seite Gruppen beitreten die Gruppen aus, denen der Benutzer angehört.

5. Bestätigen Sie die Einstellungen und klicken Sie auf Übernehmen, um den Domainbenutzer hinzuzufügen.

Anmerkung:


• Großbuchstaben (einschließlich A-Z mit diakritischen Zeichen) des lateinischen,

griechischen und kyrillischen Alphabets.

• Kleinbuchstaben (einschließlich a-z mit diakritischen Zeichen) des lateinischen,

griechischen und kyrillischen Alphabets.

• Ziffern (0-9).



Mehrere Benutzer importieren

Neben dem Hinzufügen mehrerer Benutzer gleichzeitig können Sie auch mehrere

Benutzerkonten importieren:

1. Klicken Sie auf der Seite Benutzer und Computer in der Strukturliste auf einen Container, zu dem Sie Benutzer hinzufügen möchten. Der Container kann der nach Ihrer Domain (z. B.

„SYNO.LOCAL“) benannte Container, der Container Users oder eine OU.

2. Klicken Sie im Dropdown-Menü Hinzufügen auf Benutzer importieren.

25


3. Aktivieren Sie nach Bedarf die folgenden Optionen:

• Doppelte Konten überschreiben: Setzen Sie hier ein Häkchen, wenn Sie doppelte Konten durch jene in der Benutzerliste ersetzen möchten.

• Eine Benachrichtigung an den neu erstellten Benutzer senden: Setzen Sie hier ein Häkchen, um dem Benutzer, dessen Konto neu erstellt wurde, eine Benachrichtigung zu

senden. Diese Option erfordert die Aktivierung der System-E-Mail-Benachrichtigungen

unter Systemsteuerung > Benachrichtigung > E-Mail.

• Benutzerkennwort in Benachrichtigungs-E-Mail anzeigen: Diese Option ist verfügbar, wenn bei Eine Benachrichtigung an den neu erstellten Benutzer senden ein Häkchen gesetzt ist. Markieren Sie diese Option, wenn das Kennwort in der Benachrichtigung

angezeigt werden soll.

• Importierte Benutzer müssen bei der ersten Anmeldung ihr Kennwort ändern: Markieren Sie diese Option, um zu veranlassen, dass importierte Benutzer ihr Kennwort

bei der ersten Anmeldung ändern müssen. Dies gewährleistet einen zusätzlichen Schutz

für importierte Konten.

4. Klicken Sie auf Durchsuchen, um eine .txt-Datei zum Upload auszuwählen.

5. Bestätigen Sie, dass die Vorschau korrekt ist, und klicken Sie auf OK, um den Import zu starten.

Dateiformat:

Wenn Sie eine Datei für den Import vorbereiten, platzieren Sie jedes Benutzerkonto in einer eigenen Reihe. Die Daten müssen mittels Tabulatortaste voneinander getrennt und wie folgt angeordnet sein:

1. Benutzername 2. Kennwort 3. Beschreibung 4. E-Mail

5. Vorname 6. Nachname 7. Vollständiger Name

8. Profil-Pfad 9. Login-Skript 10. Home-Verzeichnis

Das Format einer Importdatei sollte folgende Anforderungen erfüllen:

• Die Importdatei muss das Format UTF-8 haben.

• Die Spalten müssen korrekt angeordnet sein (von links nach rechts).

• Die importierten Kennwörter müssen die Kennwortrichtlinie erfüllen.

• Jede Zeile mit Informationen muss neun Tabstopps als Trennzeichen enthalten. Wenn Sie

eine Informationen (z. B. Beschreibung) überspringen möchten, müssen Sie den leeren Wert dennoch mittels Tabulatortaste vom nächsten Wert (z. B. E-Mail) trennen.

26


Benutzereigenschaften bearbeiten

1. Wählen Sie den gewünschten Benutzer in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Bearbeiten. Halten Sie Strg oder Umschalttaste gedrückt, um mehrere Benutzer gleichzeitig auszuwählen.

2. Geben Sie im Editor-Fenster zur Registerkarte Konto, wo Sie die folgenden Eigenschaften bearbeiten können:

• Benutzer Anmeldename: In diesem Feld können Sie den Benutzer umbenennen.

• Anmeldestunden: Über diese Schaltfläche können Sie die Anmeldestunden des Benutzers anpassen. Klicken Sie im Konfigurationsfenster auf Verweigern oder Zulassen und wählen Sie beliebige Zellen im Raster aus. Um einen ganzen Tag oder eine Stunde

an jedem Tag auszuwählen, klicken Sie auf den Tag oder die Stunde. Klicken Sie nach

Einrichtung des Zeitplans auf OK, um die Änderungen zu speichern.

• Verwendbare Geräte: Klicken Sie hierauf, um auszuwählen, auf welche Computer dieser Benutzer zugreifen kann.

• Dieses Konto sperren: Diese Option ist aktiviert, wenn ein Konto aufgrund der Kontosperre-Richtlinien gesperrt ist. Sie können diese Option deaktivieren und damit die

Sperre des Kontos aufheben.

• Dieses Konto zwingen, bei der nächsten Anmeldung das Kennwort zu ändern: Dieses Konto wird bei der nächsten Anmeldung in Windows oder beim Synology NAS

aufgefordert, das Kennwort zu ändern.

• Nicht zulassen, dass der Benutzer das Kennwort ändert: Dieser Benutzer kann das Kennwort nicht selbst ändern.

• Kennwort läuft nie ab: Das Kennwort des Benutzers läuft niemals ab. Wir empfehlen, diese Option nur für Administratoren zu aktivieren.

• Kennwörter mittels reversibler Verschlüsselung speichern: Das Aktivieren dieser Option gefährdet die Sicherheit der Domain. Diese Option wird nicht empfohlen,

außer die Anforderungen von Domain-Client-Diensten haben höhere Priorität als die

Kennwortsicherheit.

• Dieses Konto deaktivieren

• Chipkarte für interaktive Anmeldung erforderlich

• Delegation dieses sensiblen Kontos nicht erlauben: Dienste auf Client-Geräten der Domain können für dieses Konto nicht auf Ressourcen zugreifen.

• DES-Verschlüsselung für dieses Konto verwenden: Die Anmeldedaten dieses Kontos werden bei der Kerberos-Authentifizierung mittels DES (Data Encryption Standard)

verschlüsselt.

• Dieses Konto von Kerberos-Vorauthentifizierung ausnehmen

27


3. Gehen Sie zur Registerkarte Profil und bearbeiten Sie die Eigenschaften des Benutzerprofils, mit dem Benutzer beim Zugriff auf in der Domain bereitgestellte Geräte stets eine einheitliche Benutzererfahrung am Desktop haben können:

• Profil-Pfad: Der Ordnerpfad, der das Profil des Benutzers enthält, wie etwa die Ordner Desktop, Document und Picture.

• Login-Skript: Ein Skript wird automatisch ausgeführt, wenn ein Benutzer sich bei Windows anmeldet. Sie können eine Windows .bat-Datei mit maximal 2 MB hochladen,

indem Sie auf Datei hochladen klicken.

4. Auf der Registerkarte Profil können Sie außerdem ein Home-Verzeichnis für den Benutzer hinzufügen:

• Lokaler Pfad: Wählen Sie einen lokalen Ordner als Home-Verzeichnis aus.

• Verbinden...mit: Wählen Sie einen freigegebenen Remote-Ordner auf dem Synology NAS als Home-Verzeichnis aus. Der freigegebene Remote-Ordner wird von Windows

automatisch mit der spezifischen Volume-Bezeichnung eines Laufwerks bereitgestellt,

wenn diese Option ausgewählt wurde.


Anmerkung:

• Sie können Benutzerkonten auch bearbeiten, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf einen Benutzer klicken und dann auf Bearbeiten klicken. Wenn Sie mit der rechten Maustaste auf einen Benutzer klicken, steht auch die Option Deaktivieren zur Verfügung, um ein Benutzerkonto zu deaktivieren.

Benutzer löschen

1. Wählen Sie den gewünschten Benutzer in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Löschen.


Anmerkung:

• Sie können Benutzerkonten auch löschen, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf einen Benutzer klicken und dann auf Löschen klicken.

• Halten Sie Strg oder Umschalttaste gedrückt, um mehrere Benutzer gleichzeitig auszuwählen.

• Das Löschen von Benutzern kann nicht rückgängig gemacht werden.

28


Servergespeichertes Profil für einen einzelnen Benutzer zuweisen

Durch das Zuweisen servergespeicherter Profile können Domainbenutzer stets auf Ihre

Dateien zugreifen, auch wenn sie sich bei verschiedenen Computern der Domain anmelden.

Bevor Sie einem Benutzer ein servergespeichertes Profil zuweisen, müssen Sie einen

freigegebenen Ordner erstellen und mindestens einen Computer zur Domain hinzufügen.

Gehen Sie wie folgt vor:

1. Treten Sie mit einem Computer der Domain bei (siehe Mit Windows-PCs einer Domain beitreten).

2. Gehen Sie zu DSM Systemsteuerung > Freigegebener Ordner, um einen freigegebenen Ordner zu erstellen. Beachten Sie bitte, dass die freigegebenen Ordner für einen einzelnen

Benutzer und für alle Benutzer nicht identisch sein sollten.

3. Klicken Sie mit der rechten Maustaste auf den erstellten freigegebenen Ordner und klicken

Sie auf Bearbeiten.

4. In der Registerkarte Berechtigungen wählen Sie Domainbenutzer.

5. Setzen Sie ein Häkchen bei Benutzerdefiniert. Das Fenster Berechtigungs-Editor wird angezeigt.

29


6. Wählen Sie im Dropdown-Menü Benutzer oder Gruppe den gewünschten Benutzer bzw. die gewünschte Gruppe aus und richten Sie Anwenden auf und Berechtigung gemäß den Einstellungen in der Tabelle unten ein. Die Abbildung unten ist ein Beispiel für die

Einrichtung der Berechtigungen für die benutzerdefinierte Gruppe „Owner“.

Benutzer oder Gruppe Anwenden auf Berechtigung

Benutzerdefinierte Gruppe (z. B. „Owner“)

Setzen Sie Häkchen bei Untergeordnete Ordner, Untergeordnete Dateien und Alle Ableitungen.

Setzen Sie für volle Kontrolle Häkchen bei Administration, Lesen und Schreiben.

Domain Admins Wählen Sie Alle.

Setzen Sie für volle Kontrolle Häkchen bei Administration, Lesen und Schreiben.

Domain Users Wählen Sie Alle.

Setzen Sie ein Häkchen bei Lesen für volle Leseberechtigung und unter Schreiben nur bei Ordner erstellen/Daten anhängen.

30


7. Gehen Sie nach Einrichtung des freigegebenen Ordners zu Synology Directory Server > Benutzer und Computer > Users.

8. Klicken Sie mit der rechten Maustaste auf ein Domainbenutzerkonto und klicken Sie

auf Bearbeiten.

9. Wechseln Sie zur Registerkarte Profil, geben Sie in Profil-Pfad den Pfad eines freigegebenen Ordners für das servergespeicherte Profil des Benutzers im folgenden

Format ein und klicken Sie auf OK:

\\IP-Adresse des NAS\Name des freigegebenen Ordners\%username%

Anmerkung:

• Ändern Sie „%username%“ nicht. Dies ist die Umgebungsvariable, die automatisch auf den Profilordner des angegebenen Benutzers zeigt.

31


10. Melden Sie sich auf dem der Domain beigetretenen Windows-PC mit diesem

Domainbenutzerkonto an. Der Domaincontroller erstellt automatisch ein entsprechendes

servergespeichertes Profil (der Ordnername lautet „Benutzername.V6“) im freigegebenen

Remote-Ordner auf dem NAS. Falls Sie Daten des Benutzerprofils erstellt oder geändert

haben, werden die Daten zurück zum zugewiesenen Pfad synchronisiert, wenn Sie sich von

diesem Rechner abmelden.

Ein Netzlaufwerk für einzelne Benutzer bereitstellen

Neben der Einrichtung servergespeicherter Profile können Sie mit Synology Directory Server

auch ein Netzlaufwerk für Domainbenutzer bereitstellen. Gehen Sie wie folgt vor:

1. Treten Sie mit einem Computer eines Benutzers der Domain bei (siehe Mit Windows-PCs einer Domain beitreten).

2. Erstellen Sie einen freigegebenen Ordner und geben Sie dem Domainbenutzer auf dem

als Controller agierenden Synology NAS ausreichende Berechtigungen (mindestens

Leseberechtigungen) (siehe Servergespeichertes Profil für einen einzelnen Benutzer zuweisen).

3. Gehen Sie zu Synology Directory Server > Benutzer und Computer.

4. Klicken Sie mit der rechten Maustaste auf das angegebene Benutzerkonto und klicken Sie

auf Bearbeiten.

5. Wechseln Sie zur Registerkarte Profil und klicken Sie im Bereich Home-Verzeichnis auf Verbinden.

6. Weisen Sie dem Netzlaufwerk einen Laufwerksbuchstaben zu.

7. Geben Sie den Pfad des freigegebenen Ordners (oder eines Unterordners des

freigegebenen Ordners) ein, den Sie als Netzlaufwerk bereitstellen möchten.

\\IP-Adresse des NAS\Name des (freigegebenen) Ordners

32



9. Melden Sie sich auf dem der Domain beigetretenen Windows-PC mit diesem

Domainbenutzerkonto an. Das bereitgestellte Laufwerk wird auf dem Computer angezeigt.

Anmerkung:

• Die Option Lokaler Pfad auf der Registerkarte Profil ist der Pfad zu einem lokalen Windows-Ordner. Stellen Sie sicher, dass dieser Pfad bereits auf dem von Ihnen

zugewiesenen Computer erstellt wurde. Andernfalls sind Ihre Einstellungen nicht gültig.

• Wenn Domainbenutzer sich vor Bereitstellung eines Laufwerks bereits beim zugewiesenen

Windows-PC angemeldet haben, müssen sie sich erneut anmelden, um auf das

bereitgestellte Laufwerk zuzugreifen.

33


Computer verwalten

Von Synology Directory Server in der Domain erstellte Computer können Workstations, Server oder NAS sein. Dieser Objekttyp

kann in der Domain für den Zugriff durch Benutzer bereitgestellt werden. Dieser Abschnitt gibt einen kurzen Überblick über die

Verwaltung von Computern in Synology Directory Server.

Anmerkung:

• Eine detaillierte Anleitung zum Einbinden von Computern oder Synology NAS in die Domain finden Sie in Kapitel 4.

Computereigenschaften bearbeiten

1. Wählen Sie den Computer aus, den Sie bearbeiten möchten, und klicken Sie auf Aktion > Bearbeiten.

2. Bearbeiten Sie die Beschreibung des Computers.


Anmerkung:

• Sie können Computer auch bearbeiten, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf einen Computer klicken und dann auf Bearbeiten klicken.

Einen Computer löschen

1. Wählen Sie den gewünschten Computer in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Löschen.


Anmerkung:

• Sie können Computer auch löschen, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf den Computer klicken und dann auf Löschen klicken.

• Halten Sie Strg oder Umschalttaste gedrückt, um mehrere Computer gleichzeitig auszuwählen.

• Das Löschen von Computern kann nicht rückgängig gemacht werden.

34

Kapitel 4: Geräte in eine Domain einbinden

Das Einbinden von Geräten in eine Domain erleichtert nicht nur die effiziente gemeinsame

Verwaltung der Ressourcen einer Organisation, sondern ermöglicht es auch Benutzern, mittels

SSO-Dienst (einmaliges Anmelden) auf diese zuzugreifen.

In diesem Kapitel wird beschrieben, wie Sie mit Windows-Clients und Synology NAS einer von

Synology Directory verwalteten Domain beitreten können.

Mit einem Windows-PC einer Domain beitreten

Mit den folgenden Windows-Versionen kann einer von Synology Directory Server erstellten

Domain beigetreten werden:

• Windows Server 2008 (R2) und höher

• Windows 10 Enterprise/Pro/Education

• Windows 8.1 (8) Enterprise/Pro

• Windows 7 Ultimate/Enterprise/Professional

So können Sie mit einem PC mit Windows 10 einer Domain beitreten:

1. Gehen Sie in Windows zu Start > Einstellungen > Netzwerk und Internet > Status > Adapteroptionen ändern und klicken Sie auf die derzeit verwendete Netzwerkschnittstelle.


35


2. Klicken Sie auf der Seite Status auf Eigenschaften.

3. Wählen Sie in der Registerkarte Netzwerk die Option Internetprotokoll, Version 4 (TCP/IPv4) und klicken Sie auf Eigenschaften.

36


4. Setzen Sie ein Häkchen bei Folgende DNS-Serveradressen verwenden, geben Sie die IP-Adresse des Domaincontrollers in das Feld Bevorzugter DNS-Server ein und klicken Sie auf OK, um die Einstellungen zu speichern.

5. Gehen Sie in Windows zu Start > Einstellungen > System > Info > System-Info und klicken Sie auf Einstellungen ändern.

37


6. Klicken Sie auf der Registerkarte Computername auf Ändern...

7. Klicken Sie unter Mitglied von auf Domain und geben Sie den Namen der Domain ein, der Sie mit diesem Computer beitreten möchten. Klicken Sie nach Bestätigung der Einstellungen

auf OK.

38


8. Geben Sie die Anmeldedaten des Domainadministrators ein und klicken Sie auf OK. Verwenden Sie das folgende Benutzernamenformat:

NetBIOS-Name der Domain\Benutzername des Administrators

9. Starten Sie den Computer neu, um den Beitritt zur Domain abzuschließen.

Mit dem Synology NAS einer Domain beitreten

Sie können ein Synology NAS als Domainclient in eine Domain einbinden. Nach dem Beitritt

zur Domain können Domainbenutzer sich mit ihrem Konto und Kennwort beim Synology

NAS anmelden und haben so Zugriff auf Dateien und DSM-Anwendungen, ohne sich weitere

Benutzernamen und Kennwörter merken zu müssen.

Um Ihr Synology NAS in Ihre Domain einzubinden, gehen Sie bitte wie folgt vor:

1. Gehen Sie zu Systemsteuerung > Domain/LDAP > Domain.

2. Setzen Sie ein Häkchen bei Domain beitreten.

3. Geben Sie den Domainnamen und den DNS-Server in die entsprechenden Felder ein.

4. Klicken Sie bei Bedarf auf Domainoptionen und konfigurieren Sie erweiterte Einstellungen (siehe den folgenden Abschnitt Erweiterte Optionen).

5. Klicken Sie auf Übernehmen.

6. Geben Sie im eingeblendeten Fenster die Anmeldedaten des Domainadministrators ein und

klicken Sie auf OK.

39


Erweiterte Optionen

Dieser Abschnitt beschreibt die erweiterten Optionen unter Systemsteuerung > Domain/LDAP > Domain:

Option Beschreibung

DomainservertypDieses Feld zeigt den Domaintyp des Synology NAS nach dem Beitritt

zu einer Domain an. In diesem Fall lautet der Domaintyp AD-Domain.

Verwaltungsmodus

Diese Option bestimmt, wie Sie die Berechtigungen der

Domainbenutzer und -gruppen verwalten.

• Vertrauenswürdige Domain: Sie können Benutzer und Gruppen in der Domain, dem das NAS beitritt, sowie in weiteren vertrauenswürdigen Domains verwalten. Benutzer und Gruppen können über das Dropdown-Menü Domain gefiltert werden.

• Einzeldomain mit OU: Nur Benutzer und Gruppen in der Domain, der das NAS beitritt, werden in diesem Modus angezeigt. In diesem

Modus können Sie Domainbenutzer/Domaingruppen über das

Dropdown-Menü OU filtern.

Erweiterte

Domainoptionen

In den meisten Fällen müssen Sie die erweiterten Domainoptionen

nicht angeben. Die erweiterten Domainoptionen werden nur für

bestimmte Domain-Umgebungen benötigt.

• DC IP/FQDN: Geben Sie die IP-Adresse oder den FQDN (Fully Qualified Domain Name) eines Domaincontrollers (DC) an. Das

Synology NAS versucht dann, mit diesem zu kommunizieren.

• Domain NetBIOS-Name: Geben Sie den NetBIOS-Namen der Domain an.

• Domain FQDN (DNS-Name): Geben Sie den FQDN der Domain an.

• DNS-Schnittstelle registrieren: Beim Beitritt zu einer Domain wird die hier angegebene Netzwerkkarte beim DNS-Server registriert.

Bitte beachten Sie: Wenn der Hostname des Synology NAS einen

Unterstrich (_) enthält, schlägt die Registrierung fehl, da Unterstriche

(_) für DNS nicht verwendet werden können.

• Benutzer/Gruppenliste aktualisieren: Geben Sie an, wie oft das Synology NAS die Liste der Domainbenutzer/Gruppen

automatisch aktualisieren soll. Sie können tägliche, wöchentliche

oder monatliche Aktualisierung wählen. Außerdem können die

Listen von Domainbenutzern bzw. -gruppen durch Navigieren zur

Registerkarte Domainbenutzer und Klicken auf Domain-Daten aktualisieren aktualisiert werden. Beachten Sie, dass automatische Aktualisierungen den Ruhezustand des Systems beeinflussen.

Die DiskStation

synchronisiert sich

jedes Mal mit einem

NTP-Server, wenn sich

ein Domainbenutzer

anmeldet

Die Aktivierung dieser Option erzwingt die Synchronisierung der Zeit

zwischen Synology NAS und NTP-Server.

40


Option Beschreibung

Benutzer/Gruppen-Listen

mit NT4-kompatiblem

Modus erhalten

Durch die Aktivierung dieser Option kann das System Benutzer-/

Gruppenlisten mit dem NT4 RPC-Modus abfragen. Diese Option kann

aktiviert werden, wenn bestimmte Domainbenutzer-/-gruppenlisten

nicht mit den Standardeinstellungen abgerufen werden können.

Server-Signierung

aktivieren

Wenn Benutzer über das SMB-Protokoll auf Ihren Rechnern mit

aktivierter SMB-Client-Signatur auf das Synology NAS zugreifen, muss

Serversignatur auf dem Synology NAS (d. h. dem SMB-Dateiserver)

ebenfalls aktiviert sein, um die Funktionalität der Dateiübertragung

sicherzustellen.

Verschachtelte

Gruppenebenen

aufzählen

Geben Sie die Anzahl der Ebenen verschachtelter

Domaingruppenmitglieder an, die aufgezählt werden können.

Domainadministratoren

Geben Sie bis zu zehn Benutzergruppen an, denen Sie

Administratorrechte gewähren möchten. Benutzer mit

Administratorrechten haben volle Kontrolle über das Synology NAS

und die darauf gespeicherten Dateien.

Integrierte Windows-

Authentifizierung

aktivieren

Wenn diese Option aktiviert ist, können Benutzer, die sich bereits über

Domainkonten bei ihren Computern angemeldet haben, sich über den

Internetbrowser bei DSM anmelden, ohne ihre Anmeldedaten erneut

eingeben zu müssen.

Domain-StatusprüfungKontrollieren Sie den Status der Verbindung zwischen DSM und der

Domain, der es beigetreten ist.

Integrierte Windows-Authentifizierung verwenden

• Auf dem Client-Computer muss Windows 7 oder höher ausgeführt werden.

• Der Client-Computer muss sich in derselben Domain befinden wie das Synology NAS.

• Gehen Sie in Windows zu Systemsteuerung > Internetoptionen > Erweitert und stellen Sie sicher, dass unter Sicherheit bei der Option Integrierte Windows-Authentifizierung aktivieren ein Häkchen gesetzt ist.

• Die integrierte Windows-Authentifizierung funktioniert mit allen Browsern. Für Firefox sind einige weitere Schritte für die Einrichtung erforderlich.

1. Öffnen Sie den Firefox-Browser und geben Sie „about:config“ in die Adresszeile ein.

2. Suchen Sie nach „network.automatic-ntlm-auth.trusted-uris“.

3. Doppelklicken Sie auf das Feld Wert und geben Sie die IP-Adresse der Domain ein.

• Für Synology NAS, die einer von Synology Directory Server erstellten Domain beitreten, sind weitere Konfigurationen erforderlich, um die integrierte Windows-Authentifizierung zu verwenden:

1. Gehen Sie zu DSM Systemsteuerung > Dateidienste > SMB/AFP/NFS.

2. Klicken Sie unter SMB auf Erweiterte Einstellungen.

3. Wählen Sie im Dropdown-Menü Mindest-SMB-Protokoll die Option SMB1 und klicken Sie auf Speichern.

• Die Anmeldung über die integrierte Windows-Authentifizierung ist nur in DSM 6.2.2 oder höher verfügbar.

41

Kapitel 5: Gruppenrichtlinien konfigurieren

Über Gruppenrichtlinien können IT-Administratoren die Benutzererfahrung in einer Domain

verwalten. Mit ihnen können Einschränkungen bei gängigen Aktionen definiert, Dienste

auf Geräten in der Domain bereitgestellt, Aktualisierungen verwaltet und eine einheitliche

Arbeitsumgebung für Benutzer sichergestellt werden. Gut gepflegte Gruppenrichtlinien

erleichtern die Domainadministration.

In diesem Kapitel erfahren Sie, wie Sie mit Synology Directory Server und Windows Remote

Server Administration Tools (RSAT) Gruppenrichtlinien für Ihre Domain konfigurieren können.

Standard-Domainrichtlinien konfigurieren

Mit Standarddomänenrichtlinie können Sie Konten auf Ebene der Domain schützen, indem Sie

Richtlinien für Kennwort und Kontosperre einrichten. Klicken Sie links auf Domainrichtlinie, um diese beiden Typen von Standard-Domainrichtlinien zu verwalten.

Anmerkung:

• Die Einstellungen auf dieser Seite werden auf die Gruppenrichtlinie Default Domain Policy in Windows RSAT angewendet. Wenn diese Gruppenrichtlinie gelöscht wird, funktioniert diese Seite nicht korrekt.


42


Kennwortrichtlinien

Folgende Kennwortrichtlinien sind auf der Seite Domainrichtlinie verfügbar:

• Maximales Alter für Kennwort: Legen Sie die Zeit fest, nach der Kennwörter ablaufen. Wenn diese Option deaktiviert wird, laufen Kennwörter niemals ab.

• Mindestalter für Kennwort: Geben Sie an, wie lange nach einer Kennwortänderung Benutzer ihre Kennwörter nicht ändern dürfen. Wenn diese Option deaktiviert wird, können

Kennwörter jederzeit geändert werden.

• Minimale Kennwortlänge: Geben Sie die Mindestlänge für neue Kennwörter an.

• Kennwortverlauf erzwingen: Neue Kennwörter müssen sich von den zuvor eingerichteten unterscheiden – von wie vielen wird hier festgelegt.

• Prüfung der Kennwortstärke aktivieren: Kennwörter müssen die Anforderungen an die Kennwortstärke erfüllen. Weitere Informationen finden Sie in der Anmerkung unten.

• Kennwort mittels reversibler Verschlüsselung speichern: Das Aktivieren dieser Option gefährdet die Sicherheit der Domain. Diese Option wird nicht empfohlen,

außer die Anforderungen von Domain-Client-Diensten haben höhere Priorität als die

Kennwortsicherheit.

Anmerkung:


• Großbuchstaben (einschließlich A-Z mit diakritischen Zeichen) des lateinischen, griechischen und kyrillischen Alphabets.

• Kleinbuchstaben (einschließlich a-z mit diakritischen Zeichen) des lateinischen, griechischen und kyrillischen Alphabets.

• Ziffern (0-9).



Kontosperre-Richtlinien

Folgende Richtlinien für die Kontosperre sind auf der Seite Domainrichtlinie verfügbar:

• Sperre Grenzwert: Benutzerkonten werden gesperrt, wenn die Anzahl der fehlgeschlagenen Anmeldeversuche über Ihren festgelegten Sperrschwellwert hinausgeht.

• Sperrzähler zurücksetzen nach: Nach dieser Zeit wird die Anzahl fehlgeschlagener Anmeldungen zurückgesetzt.

• Dauer Sperre: Gesperrte Benutzerkonten werden erst am Ende der von Ihnen festgelegten Sperrdauer wieder freigegeben.

43


RSAT zur Verwaltung von Gruppenrichtlinien verwenden

Mit Synology Directory Server können Sie Richtlinien für Kennwörter und Kontosperre konfigurieren. Zur

Konfiguration anderer Arten von Gruppenrichtlinien müssen Sie die Remote Server Administration Tools (RSAT) von Windows auf einem Windows-PC in der Domain verwenden (weitere Informationen zur Einbindung von Windows-PCs in eine Domain finden Sie in Kapitel 4).

Die folgenden Abschnitte beschreiben die Verwaltung von Gruppenrichtlinien mittels RSAT.

RSAT auf einem Windows-PC installieren

1. Laden Sie Windows RSAT aus dem Microsoft Download Center auf einen Windows-PC herunter. Je nach

Windows-Version gibt es unterschiedliche RSAT-Installationsdateien. In der folgenden Liste finden Sie die

Installationsdatei für Ihre Windows-Version:

• Windows 8 • Windows 8.1

• Windows 10

2. Führen Sie die heruntergeladene Datei aus und folgenden Sie den Anweisungen des Assistenten, um

RSAT zu installieren.

3. Gehen Sie nach Abschluss der Installation zu Windows Systemsteuerung > Programme > Turn Windows-Features aktivieren oder deaktivieren und setzen Sie ein Häkchen bei Remote Server Administration Tools.

4. Stellen Sie sicher, dass Sie mit Ihrem Computer der Domain beigetreten sind und sich als

Domainadministrator angemeldet haben. RSAT finden Sie unter Systemsteuerung > Verwaltung.

Anmerkung:

• Welche RSAT-Optionen konfigurierbar sind, ist abhängig von der Windows-Version

des Rechners, auf dem RSAT installiert ist. Beispielsweise können die verfügbaren

Einstellungen der Windows 8 RSAT anders aussehen als jene der Windows 10 RSAT.

http://www.microsoft.com/download/details.aspx?id=28972http://www.microsoft.com/download/details.aspx?id=39296https://www.microsoft.com/download/details.aspx?id=45520

44


Servergespeichertes Profil für alle Benutzer zuweisen

Mittels servergespeicherter Profile können Domainbenutzer bei der Anmeldung bei verschiedenen

Computern der Domain stets auf Ihre Dateien zugreifen. Gehen Sie wie folgt vor, um mittels RSAT Profile für

alle Domainbenutzer zuzuweisen:

1. Stellen Sie sicher, dass Sie einen freigegebenen Ordner erstellt und den Domainbenutzern auf dem

Domaincontroller ausreichende Berechtigungen zugewiesen haben.

2. Melden Sie sich auf einem der Domain beigetretenen Windows-PC als Domainadministrator an.

3. Gehen Sie zu Windows Systemsteuerung > System und Sicherheit > Verwaltungstools > Gruppenrichtlinienverwaltung.

4. Gehen Sie zu Gesamtstruktur: Domainname > Domänen > Domainname > Default Domain Policy.

5. Öffnen Sie in der Registerkarte Einstellungen durch Rechtsklick das Kontextmenü und klicken Sie auf Bearbeiten.

45


6. Gehen Sie zu Benutzerkonfiguration > Richtlinien > Windows-Einstellungen > Ordnerumleitung.

7. Klicken Sie mit der rechten Maustaste auf die Ordner, die Sie umleiten möchten, und

auf Eigenschaften.

8. Konfigurieren Sie die Einstellungen wie folgt:

a. Wechseln Sie zur Registerkarte Ziel.

b. Wählen Sie Standard (Leitet alle Ordner auf den gleichen Pfad um).

c. Geben Sie die benötigten Informationen in Zielordner und Stammpfad ein.

d. Klicken Sie auf OK.

46


9. Die servergespeicherten Profile der Domainbenutzer werden zum von Ihnen zugewiesenen Pfad

umgeleitet.

Netzlaufwerk für alle Benutzer bereitstellen

Neben der Einrichtung servergespeicherter Profile können Sie mit Synology Directory Server auch

ein Netzlaufwerk für Domainbenutzer bereitstellen. Gehen Sie wie folgt vor, um mittels RSAT ein

Netzlaufwerk für alle Benutzer bereitzustellen:

1. Stellen Sie sicher, dass Sie einen freigegebenen Ordner erstellt und den Domainbenutzern

auf dem als Controller agierenden Synology NAS ausreichende Berechtigungen (mindestens

Leseberechtigungen) zugewiesen haben.

2. Melden Sie sich auf einem der Domain beigetretenen Windows-PC als Domainadministrator an.

3. Gehen Sie zu Windows Systemsteuerung > System und Sicherheit > Verwaltungstools > Gruppenrichtlinienverwaltung.

47


4. Gehen Sie zu Gesamtstruktur: Domainname > Domänen > Domainname > Default Domain Policy.

5. Öffnen Sie in der Registerkarte Einstellungen durch Rechtsklick das Kontextmenü und klicken Sie auf Bearbeiten.

6. Gehen Sie in der Konsolenstruktur zu Benutzerkonfiguration > Voreinstellungen > Windows-Einstellungen > Laufwerkzuordnungen. Klicken Sie mit der rechten Maustaste in den rechten Bereich und auf Neu > Zugeordnetes Laufwerk.

48


7. Konfigurieren Sie die folgenden Einstellungen und klicken Sie auf OK:

• Aktion: Wählen Sie im Dropdown-Menü Erstellen aus.

• Speicherort: Geben Sie den Speicherort des Netzlaufwerks ein, z. B. „\\192.168.1.1\SynoRock“.

• Laufwerkbuchstabe: Klicken Sie hier auf Benutzen und wählen Sie einen Laufwerkbuchstaben.

8. Nach dieser Konfiguration wird das bereitgestellte Netzlaufwerk auf diesem Computer angezeigt,

wenn Sie sich mit einem beliebigen Domainbenutzerkonto anmelden.

Anmerkung:

• Es ist nicht erforderlich, unter Verbinden als (optional) einen Benutzernamen und ein Kennwort einzugeben, da Windows versuchen wird, das Netzlaufwerk nach Abschluss der Einstellungen für Ihr Konto bereitzustellen. Ebenso wird Windows wenn sich ein Domainbenutzer anmeldet das Netzlaufwerk für dessen Konto automatisch bereitstellen. Stellen Sie bitte sicher, dass der Speicherort vorhanden ist und Sie Zugriffsberechtigung haben.

49

Kapitel 6: Verzeichnisdienst warten und wiederherstellen

Bei der Arbeit mit Synology Directory Server ist es äußerst wichtig, dafür zu sorgen, dass der

Verzeichnisdienst regelmäßig gewartet und gesichert wird. Reguläre Wartung und Sicherung

sind besonders nützlich, wenn aufgrund von Systemfehlern oder versehentlicher Löschung

Daten verlorengehen.

In diesem Kapitel stellen wir Werkzeuge und Methoden vor, um einen High-Availability-Cluster

und Datensicherungsaufgaben für Synology Directory Server einzurichten.

Unterbrechungsfreien Verzeichnisdienst mit Synology High Availability sicherstellen

Um die durchgängige Verfügbarkeit von Synology Directory Server sicherzustellen, empfehlen

wir, Ihre Verzeichnisdatenbank mit dem Paket Synology High Availability zu schützen.

Dabei werden zwei Server in einem High-Availability-Cluster zusammengefasst, wobei

ein Server aktiv ist und der andere Server als passiver Standby-Server dient. So können

Unterbrechungen aufgrund von Serverproblemen minimiert werden (weitere Informationen

zu den Grundlagen von High-Availability-Clustern finden Sie in den Hilfe-Artikeln zu Synology High Availability).

Lesen Sie bitte die folgenden Systemvoraussetzungen und Leitlinien zur Einrichtung eines

High-Availability-Clusters durch, um den unterbrechungsfreien Betrieb von Synology Directory

sicherzustellen.

Systemanforderungen

Synology High Availability benötigt zwei identische Synology NAS mit derselben

Systemkonfiguration, um einen Cluster einzurichten. Bevor Sie beginnen, lesen Sie bitte

die folgenden Informationen besonders sorgfältig durch und konfigurieren Sie Ihre beiden

Synology NAS entsprechend:

• Eingesetzte Modelle: Der aktive und der passive Server müssen identische Modelle sein und Synology High Availability unterstützen. Weitere Informationen zu Modellen, die dieses

Paket unterstützen, finden Sie hier.

• DSM- und Paketversion: Auf dem aktiven und passiven Server muss dieselbe Version von DSM und Synology High Availability installiert sein. Beachten Sie bitte, dass die Überwachung

von Synology Directory nur von Synology Directory Server 4.4.5-0093 oder höher und

Synology High Availability 2.0.3-0140 oder höher unterstützt wird.


https://www.synology.com/knowledgebase/DSM/help/HighAvailability/HAManager_deschttps://www.synology.com/knowledgebase/DSM/help/HighAvailability/HAManager_deschttps://www.synology.com/dsm/packages/HighAvailability

50


• Identische Speicher- und Netzwerkeinstellungen:

• Anzahl, Kapazität und belegte Einschübe von Laufwerken müssen auf aktivem und

passivem Server identisch sein.

• Die Gesamtzahl an Netzwerkschnittstellen und die Netzwerkeinstellungen müssen auf

aktivem und passivem Server identisch sein. Achten Sie insbesondere darauf, dass beide

Server mindestens eine statische IP-Adresse aus demselben Subnetz haben und Sie eine

Heartbeat-Verbindung für die interne Kommunikation zwischen den beiden Servern

eingerichtet haben.

Anmerkung:

• Die vollständigen Systemanforderungen finden Sie in diesem Artikel.

High-Availability-Cluster einrichten

Gehen Sie wie folgt vor, um einen Synology High Availability-Cluster einzurichten:

Anmerkung:

• Um die einwandfreie Funktionalität von Synology Directory Server sicherzustellen, richten

Sie den Synology High Availability-Cluster bitte ein, bevor Sie den Synology-Directory-Dienst aktivieren.

1. Starten Sie Synology High Availability.

2. Klicken Sie auf High-Availability-Cluster erstellen und folgen Sie den Anweisungen des Assistenten (eine detaillierte Anleitung finden Sie in diesem Artikel).

3. Installieren Sie Synology Directory Server (siehe diesen Abschnitt) und richten Sie Synology Directory ein (siehe Kapitel 2).

4. Gehen Sie zu Synology High Availability > Dienste.

5. Setzen Sie ein Häkchen bei Synology Directory Server und klicken Sie auf Übernehmen, um die Einstellungen zu speichern.

https://www.synology.com/knowledgebase/DSM/help/HighAvailability/limitationhttps://www.synology.com/knowledgebase/DSM/help/HighAvailability/wizard

51


Anmerkung:

• Neben dem High-Availability-Cluster sollten Sie auch den Synology Directory-Dienst regelmäßig mittels Hyper Backup sichern (eine detaillierte Anleitung finden Sie unter Directory-Dienst mit Hyper Backup sichern und wiederherstellen).

Directory-Dienst mit Hyper Backup sichern und wiederherstellen

Mit dem Paket Synology Hyper Backup können Sie Daten und Einstellungen von Synology Directory Server sichern und wiederherstellen. Hyper Backup bietet folgende Funktionen:

• Bis zu 65.535 Versionen von Daten beibehalten, wobei der dafür erforderliche Speicherplatz

mittels versionsübergreifender Deduplizierung minimiert wird.

• Gesicherte Daten werden in einer eigenen Datenbank gespeichert, die mit einem

maßgeschneiderten Versions-Explorer in DSM, Windows und Linux einfach durchsucht,

heruntergeladen oder wiederhergestellt werden kann.

• Manuelle und geplante Sicherung verschiedener Arten von Daten (z. B.

Systemkonfigurationen, freigegebene Ordner und Anwendungen/Pakete) wird unterstützt.

• Daten können in lokalen freigegebenen Ordnern, auf Remote-Servern und in der öffentlichen

Cloud gesichert werden.

• Jede Sicherungsaufgabe kann mehrere Sicherungsversionen beibehalten. Gesicherte

Versionen werden automatisch rotiert, wobei entweder die älteste Version gelöscht wird

oder Smart Recycle oder benutzerdefinierte Aufbewahrungsrichtlinien angewendet werden.

Um Synology Directory Server zu sichern, installieren Sie bitte Hyper Backup aus dem

Paketzentrum.

Erstellen einer Sicherungsaufgabe

Mit Hyper Backup können Sie Datensicherungsaufgaben erstellen, verwalten und überwachen.

Gehen Sie wie folgt vor, um Ihre Daten zu sichern:

1. Starten Sie Hyper Backup.

2. Klicken Sie unten links auf + und wählen Sie Datensicherungsaufgabe aus, um den Sicherungsassistenten zu starten.

52


3. Wählen Sie den gewünschten Datensicherungszieltyp aus. Wir empfehlen, nicht dasselbe

Gerät zu verwenden.

4. Wählen Sie Sicherungsaufgabe erstellen.

5. Wählen Sie die zu sichernden Ordner aus und klicken Sie auf Weiter.

6. Setzen Sie ein Häkchen bei Synology Directory Server und klicken Sie auf Weiter.

7. Befolgen Sie die Anweisungen des Assistenten, um den Vorgang abzuschließen.

53


Eine Datensicherung wiederherstellen

Mit Hyper Backup können Sie Ihr Verzeichnis wiederherstellen, wenn Fehler in Synology

Directory Server aufgetreten sind. Außerdem können Sie Synology Directory über die

Dienstwiederherstellung in Hyper Backup zu einem anderen Synology NAS migrieren.

In diesem Abschnitt erfahren Sie, wie Sie eine Sicherung von Synology Directory Server

wiederherstellen:

1. Starten Sie Hyper Backup.

2. Klicken Sie unten links auf Wiederherstellen, wählen Sie Daten aus und wählen Sie eine Sicherungsaufgabe zur Wiederherstellung aus.

3. Sie werden aufgefordert, Systemkonfigurationen, verschiedene Versionen von gesicherten

Daten oder andere Optionen auszuwählen. Dies hängt davon ab, welche Art von

Sicherungsaufgabe Sie wiederherstellen möchten.

4. Wenn die Sicherungsaufgabe verschlüsselt ist, benötigen Sie für die Wiederherstellung das

Kennwort bzw. den Verschlüsselungsschlüssel.

5. Folgen Sie dem Assistenten, um die Wiederherstellung durchzuführen.

Anmerkung:

• Weitere Informationen zu Sicherung und Wiederherstellung finden Sie in den Hilfe-Artikeln zu Hyper Backup auf der Synology-Website.

https://www.synology.com/knowledgebase/DSM/help/HyperBackup/BackupApp_deschttps://www.synology.com/knowledgebase/DSM/help/HyperBackup/BackupApp_desc

54

Kapitel 7: Fehlerbehebung und FAQs

Dieser Abschnitt beantwortet häufig gestellte Fragen zur Konfiguration von Synology Directory.

Konto

Warum kann ein neu erstellter Benutzer sich mit dem alten und dem neuen Kennwort bei DSM anmelden?

Das Problem entsteht durch das Windows-Attribut OldPasswordAllowedPeriod (weitere Informationen dazu finden Sie in diesem Artikel). Dieses Attribut bestimmt, wie lange das System nach der Änderung oder dem Zurücksetzen des Kennworts eine NTLM-Anmeldung mit

dem alten Kennwort erlaubt.

Bei folgenden Konfigurationen von OldPasswordAllowedPeriod und Kennworteinstellungen

können sich Domainbenutzer, die Ihre Kennwörter geändert haben, für einen bestimmten

Zeitraum (je nach dem Wert von OldPasswordAllowedPeriod) möglicherweise mit dem alten

und dem neuen Kennwort bei DSM anmelden:

• Die Funktion Kennwortverlauf ist aktiviert.

• NTLM (und nicht Kerberos) wird für die Kennwortänderung verwendet.

• OldPasswordAllowedPeriod ist nicht auf 0 eingestellt (Standard sind 60 Minuten).

Um das Problem zu beheben, deaktivieren Sie bitte OldPasswordAllowedPeriod:

1. Öffnen Sie den Terminal-Emulator auf Ihrem Computer (z. B. PuTTy).

2. Melden Sie sich über SSH/Telnet mit Root-Berechtigung bei DSM an.

3. Geben Sie folgenden Befehl ein:

vi /var/packages/DirectoryServerForWindowsDomain/conf/etc/synoadserver.

conf.mustache

4. Ändern Sie old password allowed period auf 0 und speichern Sie die Einstellungen.


https://support.microsoft.com/help/906305/new-setting-modifies-ntlm-network-authentication-behaviorhttps://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

55


Was soll ich tun, wenn ich bei der Windows-Anmeldung mit einem Domainbenutzerkonto die Meldung „Dieser Benutzer kann sich aufgrund von Kontoeinschränkungen nicht anmelden.“ erhalte?

Dieses Problem wird nachfolgend im Detail beschrieben:

Wenn Sie sich bei einem Windows-PC in einer Domain mit einem Domainbenutzerkonto

anmelden, schlägt die Anmeldung fehl und die folgende Nachricht wird angezeigt: „Dieser

Benutzer kann sich aufgrund von Kontoeinschränkungen nicht anmelden. Beispiel:

Leere Kennwörter sind nicht zulässig, es gelten Anmeldezeitbeschränkungen, oder eine

Richtlinieneinschränkung wurde erzwungen.“ Sie können sich mit dem Benutzerkonto jedoch

dennoch bei DSM anmelden. Der Zugriff auf einen freigegebenen Ordner mit diesem Konto

über SMB ist ebenfalls weiterhin möglich.

Gehen Sie wie folgt vor, um das Problem zu lösen:

1. Gehen Sie zu DSM Synology Directory Server > Benutzer und Computer.

2. Doppelklicken Sie auf den Standardbenutzer krbtgt.

3. Wählen Sie in der Registerkarte Konto eine der folgenden Optionen:

• Setzen Sie kein Häkchen bei Dieses Konto sperren.

• Setzen Sie ein Häkchen bei Dieses Konto deaktivieren.

Wie kann ich alle deaktivierten Benutzer in Synology Directory Server auflisten?



3. Geben Sie folgenden Befehl ein:

ldbsearch -H ldap://localhost '(&(objectCategory=Person)

(objectclass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))' -P

https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

56


Was soll ich tun, wenn servergespeicherte Profile nicht mit Synology Directory Server synchronisiert werden, wenn OpLock aktiviert ist? (Nur Windows-PC)

Wenn Sie unter DSM Systemsteuerung > Dateidienste > SMB > Erweiterte Einstellungen OpLock (Opportunistic Locking) aktiviert haben, können servergespeicherte Profile

möglicherweise nicht mit Synology Directory Server synchronisiert werden, wenn Benutzer

ihre Computer herunterfahren. Gehen Sie wie folgt vor, um das Problem zu lösen:

1. Führen Sie als Administrator auf einem Windows-PC die Windows PowerShell aus.

2. Geben Sie in der Eingabeaufforderung „gpedit.msc“ ein. Es wird der Editor für lokale Gruppenrichtlinien angezeigt.

3. Gehen Sie zu Richtlinie für "Lokaler Computer" > Computerkonfiguration > Administrative Vorlagen > System > Benutzerprofile.

4. Doppelklicken Sie auf Die Registrierung der Benutzer bei der Benutzerabmeldung nicht zwangsweise entladen.

5. Klicken Sie im folgenden Fenster auf Aktiviert.

6. Klicken Sie auf OK.

57


Verzeichnis

Warum gibt es die Ordner „sysvol“ und „netlogon“?

Wenn Sie Ihren Computer mittels SMB-Protokoll mit einem Synology NAS verbinden, auf dem

von Synology Directory Server eine Domain eingerichtet wurde, werden die Ordner sysvol and netlogon angezeigt. Sie enthalten erforderliche Dateien für Synology Directory Server.

Im Ordner sysvol sind die öffentlichen Dateien einer Domain gespeichert. Der Ordner netlogon enthält Anmeldeskripts und Gruppenrichtlinien, die von Computern in der Domain verwendet werden können.

Anmerkung:

• Die Ordner sysvol und netlogon können weder ausgeblendet noch deaktiviert werden.

• Diese beiden Ordner werden unter DSM Systemsteuerung > Freigegebener Ordner nicht angezeigt.

• Die beiden Ordner werden auf Windows 10-Rechnern angezeigt, ohne dass ein direkter

Zugriff auf sie möglich ist.

Wie kann ich verschachtelte Gruppen für Synology Directory Server erweitern?

Verschachtelte Gruppen ermöglichen Flexibilität bei der Planung Ihrer Gruppenstruktur

und der Anwendung von Zugriffskontrolllisten (ACLs) auf Ressourcen der Domain. Um diese

Funktion für die Gruppen in der Domain von Synology Directory Server zu aktivieren, gehen

Sie bitte wie folgt vor:



3. Geben Sie „vi /etc/samba/smbinfo.conf“ ein.


58


4. Fügen Sie den folgenden Parameter hinzu („x“ steht für die Anzahl der Ebenen

verschachtelter Gruppen. Sie können x durch eine beliebige Zahl wie 2 oder 5 ersetzen.):

winbind expand groups=x

5. Geben Sie „restart winbindd“ ein. Wir empfehlen, diesen Befehl in Zeiten geringerer

Auslastung auszuführen, um Beeinträchtigung der Leistung bei alltäglichen Aktivitäten zu

minimieren.

Was soll ich tun, wenn beim Beitritt eines Computers zu meiner Domain mittels LDAP-Beitrittsmethode die Meldung „Strenge Authentifizierung ist erforderlich.“ angezeigt wird?

Der Beitritt von Computern zur Domain von Synology Directory Server mittels LDAP-

Beitrittsmethode wird von Synology Directory Server nicht offiziell unterstützt. Sie können

diese Funktion jedoch dennoch wie folgt aktivieren:

1. Gehen Sie zu DSM Systemsteuerung > Sicherheit > Zertifikat und stellen Sie sicher, dass der Name des von Synology Directory Server verwendeten Zertifikats mit Ihrer Domain

übereinstimmt.



4. Geben Sie „vi /etc/samba/smb.conf“ ein.

5. Fügen Sie den folgenden Parameter hinzu und speichern Sie die Einstellung:

ldap server require strong auth = no


59


Anmerkung:

• Um mit Ihrem Computer einer Domain von Synology Directory Server beizutreten,

identifizieren Sie im LDAP-Beitrittsassistenten auf Ihrem Computer Synology Directory

Server anhand des vollqualifizierten Domainnamens (FQDN, z. B. „synol.local“).

• Wenn Sie mit Ihrem Computer weiterhin nicht über eine LDAP-Beitrittsmethode der

Domain beitreten können, empfehlen wir, stattdessen mit dem Paket LDAP Server ein LDAP-Verzeichnis einzurichten. Weitere Informationen finden Sie in den Hilfe-Artikeln zu LDAP Server auf der Synology-Website.

DNS

Wie können Domainclients automatisch zu PTR-Einträgen in DNS Server registriert werden? meinen sie es so? (Nur Windows-PC)

Ein PTR-Eintrag ermöglicht Reverse-DNS-Lookup, d. h. die Auflösung einer IP-Adresse zurück zu

einem Domainnamen oder Hostnamen. Um sicherzustellen, dass Domainclients automatisch

zu PTR-Einträgen in DNS Server registriert werden, gehen Sie bitte wie folgt vor:

1. Aktivieren Sie „DNS-Suffix dieser Verbindung in der DNS-Registrierung verwenden“:

a. Melden Sie sich mit einem Konto mit Administratorrechten bei dem der Domain

beigetretenen Windows-PC an, der den PTR-Eintrag registrieren soll.

b. Gehen Sie in Windows zu Start > Einstellungen > Netzwerk und Internet > Status > Adapteroptionen ändern und klicken Sie auf die derzeit verwendete Netzwerkschnittstelle.

c. Klicken Sie auf der Seite Status auf Eigenschaften.

d. Wählen Sie in der Registerkarte Netzwerk die Option Internetprotokoll, Version 4 (TCP/IPv4) und klicken Sie auf Eigenschaften.

e. Kli

Synology Directory Server · 2020. 9. 30. · ein DNS-Server eingerichtet werden, um die...

Documents

Transcript of Synology Directory Server · 2020. 9. 30. · ein DNS-Server eingerichtet werden, um die...