1
Administrator-Handbuch für
Synology Directory Server
Basierend auf
Synology Directory Server 4.4
Inhaltsverzeichnis
Kapitel 1: Einleitung 01
Über Synology Directory Server
Synology Directory Grundlagen
Kompatibilität und Einschränkungen
Synology Directory Server installieren
Kapitel 2: Erste Schritte mit Synology Directory Server 05
Synology Directory-Dienst einrichten
Die Domain verwalten
DNS-Ressourceneinträge verwalten
Firewall-Regeln zur Sicherung des Verzeichnisdienstes hinzufügen
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten 14
Den Status von Domainobjekten anzeigen
Organisationseinheiten (OUs) verwalten
Gruppen verwalten
Benutzer verwalten
Computer verwalten
Kapitel 4: Geräte in eine Domain einbinden 34
Mit einem Windows-PC einer Domain beitreten
Mit dem Synology NAS einer Domain beitreten
Kapitel 5: Gruppenrichtlinien konfigurieren 41
Standard-Domainrichtlinien konfigurieren
RSAT zur Verwaltung von Gruppenrichtlinien verwenden
Kapitel 6: Verzeichnisdienst warten und wiederherstellen 49
Unterbrechungsfreien Verzeichnisdienst mit Synology High Availability
sicherstellen
Directory-Dienst mit Hyper Backup sichern und wiederherstellen
Kapitel 7: Fehlerbehebung und FAQs 54
Konto
Verzeichnis
DNS
01
Kapitel 1: Einleitung
Über Synology Directory Server
Synology Directory Server bietet eine zentrale Plattform für Konten- und
Ressourcenverwaltungsdienste mittels Samba-Schema. Die Anwendung unterstützt häufig
genutzt Funktionen von Windows Active Directory®, darunter Benutzer-/Gruppenverwaltung,
Organisationseinheiten (OUs), Gruppenrichtlinien, Kerberos-basierte Authentifizierung
und eine Reihe von Client-Geräten. Indem Sie mit Synology Directory Server einen
Domaindienst einrichten, können Sie auf sichere Weise eine Verzeichnisdatenbank speichern,
Benutzerkonten verwalten und Dienste gemäß Ihrer Organisationsstruktur bereitstellen.
Synology Directory Grundlagen
Dieser Abschnitt bietet einen Überblick über Synology Directory und liefert Ihnen das nötige
Wissen, um administrative Aufgaben mit Synology Directory Server zu erledigen.
Verzeichnisdienst
Ein Verzeichnis ist ein Repository, das einzelne Personen, Gruppen, Orte und
verschiedene Arten von Informationen enthält. Es ist ein Werkzeug zur Speicherung und
Verwaltung von Daten, mit dem Benutzer leicht die Informationen finden können, auf
die sie zugreifen möchten. In der Informatik dienen Verzeichnisdienste dazu, sämtliche
Kontoinformationen an einem zentralen Ort zu speichern. Dies ermöglicht, dass mehrere
Ressourcen zusammenarbeiten können, und ist daher ideal geeignet zur Autorisierung von
Benutzerzugriffen, Konfiguration von Identitäten und Verwaltung der Beziehungen zwischen
Benutzern und Gruppen.
Active Directory® und Synology Directory-Dienst
Active Directory® (AD) ist ein Verzeichnisdienst mit einer zentralen Informationsdatenbank, mit
dem IT-Administratoren Konten und Ressourcen wie Rechner und Drucker sicher verwalten
können. Synology Directory Server bietet den auf AD basierten Synology Directory-Dienst, mit dem Sie Ressourcen über eine benutzerfreundliche Oberfläche speichern und bereitstellen
können.
Kapitel 1: Einleitung
02
Kapitel 1: Einleitung
Domain Name System (DNS)
Synology Directory nutzt das Domain Name System (DNS), um Rechner, Drucker und andere
Ressourcen in einer hierarchischen Struktur zu organisieren.
Eine Domain ist eine logische Grenze, die zur Erstellung und Verwaltung von Ressourcen
eingerichtet wird. DNS ist dagegen ein Standard-Internetdienst, der Ressourcen mittels
Domainnamen strukturiert. In einer Domain (z. B. „syno.local“) werden Geräte mittels DNS
bereitgestellt, das einfach lesbare Hostnamen (z. B. „pc1.syno.local“) in IP-Adressen übersetzt,
die zur Suche und Erkennung von Geräten mit Internetprotokollen benötigt werden.
Aufgrund der Abhängigkeit von DNS muss bei der Installation von Synology Directory Server
ein DNS-Server eingerichtet werden, um die Domainfunktionen zu gewährleisten.
Domain-Controller
Ein Domain-Controller (DC) ist ein NAS, auf dem eine Domain eines Synology Directory
Servers gehostet wird. Er ist dafür verantwortlich, die Domainfunktionen aufrechtzuerhalten,
Verzeichnisdaten zu speichern und Benutzerinteraktionen innerhalb einer Domain zu
verwalten.
In Synology Directory Server wird das Synology NAS, auf dem eine Domain erstellt wird,
automatisch zum Domain-Controller ernannt.
Domainobjekt hinzufügen
Die in Synology Directory Server gespeicherte Domaindatenbank besteht aus Informationen
über Objekte, die jeweils einen einzelnen und einzigartigen Eintrag in die Datenbank
darstellen. Folgende Objekte können in Synology Directory Server verwaltet werden:
• Benutzer: Ein Benutzerkonto, das auf in einer Domain bereitgestellte Ressourcen zugreifen kann.
• Gruppe: Die Zugriffsberechtigungen einer Gruppe auf Ressourcen (z. B. Dateien und Geräte) in einer Domain werden auf alle ihre Mitglieder angewendet.
• Gerät: Eine physische Ressource, auf die Domainbenutzer zugreifen können. Das kann ein Computer, ein Drucker, ein NAS usw. sein.
• Organisationseinheit (OU): Der kleinste Container in einer Domain, dem Administratorberechtigungen und Gruppenrichtlinien zugewiesen werden können.
Organisieren Sie Benutzer, Gruppen oder Computer in OUs, um ihnen dieselben
Berechtigungen und Richtlinien zuzuweisen. Sie können OUs auch zu anderen OUs
hinzufügen und so eine OU-Hierarchie erstellen, die der tatsächlichen Struktur Ihrer
Organisation entspricht. Dies ermöglicht die effizientere Konfiguration von Domainobjekten
in Synology Directory Server.
03
Kapitel 1: Einleitung
Kompatibilität und Einschränkungen
• DSM-Versionsanforderung: DSM 6.2.2 oder höher.
• Domainfunktionen: Wie Windows Server 2008.
• Synology Directory Server muss mit dem Paket DNS Server betrieben werden.
• Synology Directory Server ist nicht kompatibel mit Konfigurationen anderer Domain- oder
LDAP-Dienste.
• Unterstützte Domain-Clients:
• Windows 7 und höher
• macOS
• Linux
• Kompatible Synology NAS-Modelle: Siehe diese Seite auf der offiziellen Synology-Website.
• Einschränkungen:
• Synology Directory Server unterstützt lediglich eine einzelne Domain und einen einzelnen
Domain-Controller.
• Der Hostname des als Domain-Controllerdienenden Synology NAS kann nicht mehr
geändert werden, nachdem Synology Directory Server darauf aktiviert wurde.
• Nach dem Erstellen einer Domain wird die SMB-Signierung automatisch aktiviert, was die
Lese-/Schreibleistung bei der SMB-Dateiübertragung reduzieren kann.
• DFS-Replikation (Distributed File System Replication) wird nicht unterstützt.
Synology Directory Server installieren
1. Bevor Sie Synology Directory Server auf dem Synology NAS installieren, kontrollieren Sie bitte Folgendes:
• Die Netzwerkverbindung des Synology NAS funktioniert einwandfrei.
• Das Volume des Synology NAS funktioniert einwandfrei.
• Die DSM-Version ist DSM 6.2.2 oder höher.
• Sie sind der DSM-Administrator (d. H. Der Benutzer der Gruppe administrators) des Synology NAS.
• Das Synology NAS verwendet eine statische IP-Adresse: Sie müssen für das Synology NAS eine statische IP-Adresse in Ihrem lokalen Netzwerk einrichten, um zu verhindern,
dass Clients aufgrund einer Änderung der IP-Adresse des Synology NAS (Domain-
Controller) getrennt werden.
https://www.synology.com/dsm/packages/DirectoryServerForWindowsDomain
04
Kapitel 1: Einleitung
• Das Synology NAS ist kein Client einer Domain oder eines LDAP-Verzeichnisses: Wenn das Synology NAS bereits einer Domain oder einem LDAP-Verzeichnis beigetreten
ist, müssen Sie die Domain bzw. das LDAP-Verzeichnis verlassen, bevor Sie Synology
Directory Server nutzen können. Dieses Paket ist nicht kompatibel mit Konfigurationen
anderer Verzeichnisdienste.
• Es existieren keine Konflikte mit Domainnamen im lokalen Netzwerk: Synology Directory Server wird von Clients nicht gefunden, wenn es im lokalen Netzwerk mehr als
eine Domain mit demselben Namen gibt. Wählen Sie in diesem Fall bitte einen anderen
Namen oder entfernen Sie Domains mit demselben Namen.
2. Melden Sie sich als Administrator bei DSM an (d. H. Der Benutzer, der zur Gruppe
administrators gehört).
3. Gehen Sie zu Paketzentrum > Alle Pakete.
4. Klicken Sie unter Synology Directory Server auf Installieren und folgen Sie den Anweisungen auf dem Bildschirm, um die Installation abzuschließen.
05
Kapitel 2: Erste Schritte mit Synology Directory Server
Mit Synology Directory Server kann Ihr Synology NAS als Domain-Controller agieren und
Konten verwalten, Geräte bereitstellen, Berechtigungen konfigurieren und in einer Domain
delegieren. Dieses Kapitel unterstützt Sie bei Ihren ersten Schritten mit Synology Directory
Server.
Synology Directory-Dienst einrichten
Nachdem die Installation abgeschlossen wurde und keine vorhandenen Domains erkannt
wurden, können Sie mit der Einrichtung von Synology Directory beginnen. Im folgenden
Abschnitt erfahren Sie, wie Sie eine Domain erstellen und das Synology NAS zum Domain-
Controller machen.
Anmerkung:
• Vor der Installation von Synology Directory Server können Sie einen Synology High
Availability-Cluster einrichten, um einen unterbrechungsfreien Verzeichnisdienst
sieherzustellen (für eine detaillierte Anleitung dazu siehe Unterbrechungsfreien Verzeichnisdienst mit Synology High Availability sicherstellen).
1. Starten Sie Synology Directory Server.
2. Klicken Sie auf Weiter, um die Einrichtung fortzusetzen.
Kapitel 2: Erste Schritte mit Synology Directory Server
06
Kapitel 2: Erste Schritte mit Synology Directory Server
3. Geben Sie die folgenden Informationen ein und klicken Sie auf Weiter:
• Domainname: Geben Sie einen FQDN (Fully Qualified Domain Name) für die Domain ein, z. B. „syno.local“.
• Arbeitsgruppe: Der Name der Arbeitsgruppe (oder der NetBIOS-Domainname) wird automatisch in dieses Feld eingetragen. Wenn der Name Ihrer Domain beispielsweise
„syno.local“ lautet, ist der Standardname der Arbeitsgruppe „syno“.
• Kennwort: Geben Sie ein Kennwort für das Administrator-Konto Ihrer Domain ein.
• Kennwort bestätigen: Geben Sie das Kennwort erneut ein.
4. Bestätigen Sie die Einstellungen und klicken Sie auf Übernehmen. Das System erstellt nun die Domain und befördert das Synology NAS zum Domain-Controller.
07
Kapitel 2: Erste Schritte mit Synology Directory Server
Einschränkungen bei Domainnamen:
• Der Domainname darf nur Buchstaben, Zahlen, Minuszeichen und Punkte (nur als Trennzeichen für Teile des Namens) enthalten.
• Der Domainname muss aus mindestens zwei Teilen bestehen, z. B. „syno.local“.
• Der Domainname darf nicht mit einem Bindestrich (-) beginnen.
• Der Domainname darf nicht mit einem Bindestrich (-) oder einem Punkt (.) enden.
• Der Domainname darf nicht gleich lauten wie der Servername Ihres Synology NAS.
• Der Domainname darf maximal 65 Zeichen lang sein.
Kennworteinschränkungen:
Um die Anforderungen an die Kennwortsicherheit zu erfüllen, muss Ihr Kennwort mindestens drei der folgenden Regeln erfüllen:
• Großbuchstaben (einschließlich A-Z mit diakritischen Zeichen) des lateinischen, griechischen und kyrillischen Alphabets.
• Kleinbuchstaben (einschließlich a-z mit diakritischen Zeichen) des lateinischen, griechischen und kyrillischen Alphabets.
• Ziffern (0-9).
• Sonderzeichen, darunter #, $, ! usw.
• Unicode-Alphabete, darunter jene in asiatischen Sprachen.
Über SMB-Signatur:
SMB-Signatur ermöglicht die digitale Signatur von SMB-Kommunikation auf Paketebene. Nach dem Erstellen einer Domain wird diese Funktion automatisch aktiviert, was die Lese-/Schreibleistung bei der SMB-Dateiübertragungen verringern kann. Um die Leistung zu verbessern, wählen Sie Automatisch oder Deaktivieren im Dropdown-Menü Server-Signierung aktivieren unter Systemsteuerung > Domain/LDAP > Domain > Domainoptionen.
Die Domain verwalten
Auf der Seite Status können Sie Domain und Domain-Controller anzeigen, bearbeiten oder entfernen.
Domaininformationen anzeigen
Auf der Seite Status können Sie jederzeit Informationen über Ihre Domain anzeigen:
08
Kapitel 2: Erste Schritte mit Synology Directory Server
• Domainname: Der vollständige Name Ihrer Domain.
• Domain NetBIOS-Name: Der Kurzname der Domain, der von früheren Windows-Versionen (z. B. Windows 95 oder Windows 98) für den Zugriff auf Ressourcen des Synology Directory
verwendet wird.
• Anzahl der Einträge, die möglicherweise aktualisiert werden müssen: Wenn die Anzahl 0 angezeigt wird, verweisen allen DNS-Ressourceneinträge in DNS Server korrekt auf die IP-Adresse des Synology NAS (Domain-Controller). Wenn eine andere Zahl als 0 angezeigt
wird, müssen die Ressourceneinträge in DNS Server aktualisiert werden (eine detaillierte Anleitung dazu finden Sie unter A/AAAA-Ressourceneinträge anpassen).
Die Domain entfernen
Klicken Sie auf der Seite Status auf Domain entfernen, um die vom Synology Directory Server verwaltete Domain zu entfernen. Bitte beachten Sie, dass das Entfernen der Domain nicht rückgängig gemacht werden kann.
Die IP-Adresse des Domain-Controllers bearbeiten
Synology Directory Server wird in der Regel mit einer statischen IP-Adresse eingerichtet.
Möglicherweise müssen Sie aus bestimmten Gründen die IP-Adresse des Synology NAS, auf
dem Synology Directory Server ausgeführt wird, ändern. Gehen Sie wie folgt vor:
1. Sichern Sie Synology Directory Server mit Hyper Backup (für weitere Informationen siehe Directory-Dienst mit Hyper Backup sichern und wiederherstellen).
2. Ändern Sie die IP-Adresse des Synology NAS.
3. Bestätigen und aktualisieren Sie die Ressourceneinträge in DNS Server (für weitere Informationen siehe A/AAAA-Ressourceneinträge anpassen).
4. Starten Sie Synology Directory Server neu, um die Netzwerkeinstellungen zu aktualisieren.
Gehen Sie wie folgt vor:
a. Gehen Sie zu Paketzentrum > Installiert > Synology Directory Server.
b. Klicken Sie auf das umgekehrte Dreieck und wählen Sie Stopp.
c. Nachdem Synology Directory Server gestoppt wurde, klicken Sie auf Ausführen, um das Paket neu zu starten.
09
Kapitel 2: Erste Schritte mit Synology Directory Server
DNS-Ressourceneinträge verwalten
Domain Name System (DNS) ist ein Namenssystem, das den Datenaustausch zwischen
Computern über das Internet und andere Netzwerke erleichtert. Es wird vor allem verwendet,
um einfach zu merkende Domainnamen (z. B. „pc1.syno.local“) in die zugehörigen IP-
Adressen (z. B. „192.168.1.5“) zu übersetzen. Diese Funktion ist essenziell für den Betrieb des
Domaindienstes von Synology Directory Server.
Hier werden Konfigurationen von A/AAAA-Einträgen und automatische DNS-Registrierung
näher beschrieben.
A/AAAA-Ressourceneinträge
A und AAAA sind DNS-Ressourceneinträge für die Auflösung von Domainnamen und IP-Adressen. A-Einträge übersetzen Domainnamen in 32-Bit-IPv4-Adressen. AAAA-Einträge
enthalten dagegen Domainnamen und die zugehörigen 128-Bit-IPv6-Adressen.
Automatische DNS-Registrierung
Nachdem ein Client erfolgreich der von Synology Directory Server erstellten Domain
beigetreten ist, wird der Server automatisch einen A-Ressourceneintrag (und AAAA-
Ressourceneintrag, wenn IPv6 aktiviert ist) beim DNS-Dienst in DSM registrieren oder
aktualisieren, wodurch dem Hostnamen des Clients eine IP-Adresse zugewiesen wird.
Einschränkungen:
• Automatische DNS-Registrierung kann nicht deaktiviert werden.
• Namensregeln für Domainclients: Es sind derzeit nur Buchstaben (a-z, A-Z), Ziffern (0-9) und Bindestriche (-) zulässig.
• In Windows 7 oder 10: Bei einer Änderung von Hostnamen oder IP-Adresse ist eine erneute Anmeldung bzw. ein Neustart erforderlich.
• In DSM oder SRM: Bei einer Änderung von Hostnamen oder IP-Adresse ist eine erneute Anmeldung bzw. ein Neustart nicht erforderlich und die Ressourceneinträge werden nicht aktualisiert.
10
Kapitel 2: Erste Schritte mit Synology Directory Server
A/AAAA-Ressourceneinträge anpassen
Damit Synology Directory Server Dienste ordnungsgemäß bereitstellen kann, müssen alle
A/AAAA-Ressourceneinträge in DNS Server korrekt auf die IP-Adresse des Synology NAS verweisen. Standardmäßig verweisen alle A/AAAA-Ressourceneinträge auf die IP-Adresse des
Synology NAS, auf dem die Domain erstellt wurde.
Unter den folgenden Umständen kann es jedoch sein, dass die A/AAAA-Ressourceneinträge
nicht korrekt auf das Synology NAS verweisen:
• Die IP-Adresse des Synology NAS ändert sich, nachdem die Domain mit Synology Directory
Server erstellt wurde.
• Synology Directory Server wird mit einer Hyper Backup-Sicherungsaufgabe wiederhergestellt (für weitere Informationen siehe Directory-Dienst mit Hyper Backup sichern und wiederherstellen).
In den oben genannten Fällen gehen Sie bitte wie folgt vor:
1. Gehen Sie zu DNS Server > Zonen.
2. Wählen Sie die betreffende DNS-Zone aus (z. B. domainname@Active Directory oder _msdcs.domainname@Active Directory) und klicken Sie auf Bearbeiten > Ressourceneintrag.
3. Überprüfen Sie die in den A/AAAA-Ressourceneinträgen konfigurierten IP-Adressen. Stellen
Sie sicher, dass alle Einträge auf Ihr Synology NAS verweisen.
Anmerkung:
• Für die Stapelbearbeitung halten Sie Strg oder die Umschalttaste gedrückt, um mehrere Ressourceneinträge desselben Typs mit unterschiedlichen Namen auszuwählen.
11
Kapitel 2: Erste Schritte mit Synology Directory Server
Firewall-Regeln zur Sicherung des Verzeichnisdienstes hinzufügen
Neben der effizienten Verwaltung ist Sicherheit eines der wichtigsten Themen für Synology
Directory-Administratoren. Um Synology Directory zu schützen, empfehlen wir, die folgende
Firewall-Regel zu Ihrem Synology Directory Server hinzuzufügen:
1. Gehen Sie zu Systemsteuerung > Sicherheit > Firewall.
2. Setzen Sie ein Häkchen bei Firewall aktivieren.
3. Wählen Sie unter Firewall-Profil im Dropdown-Menü ein Firewall-Profil aus und klicken Sie rechts auf Regeln bearbeiten.
4. Klicken Sie auf Erstellen.
12
Kapitel 2: Erste Schritte mit Synology Directory Server
5. Wählen Sie unter Ports die Option Aus einer Liste integrierter Anwendungen auswählen und klicken Sie auf Auswählen.
6. Wählen Sie DNS Server, Synology Directory Server und Windows-Dateiserver. Klicken Sie auf OK, um Ihre Auswahl zu bestätigen.
7. Wählen Sie unter Quell-IP die Option Spezifische IP und klicken Sie auf Auswählen.
13
Kapitel 2: Erste Schritte mit Synology Directory Server
8. Geben Sie das lokale Netzwerk an, in dem Synology Directory Server ausgeführt wird, indem
Sie eine IP-Adresse oder einen IP-Bereich eingeben. Klicken Sie nach Bestätigung der Daten
auf OK.
9. Wählen Sie unter Aktion die Option Zulassen, um den Zugriff für die von Ihnen angegebenen Ports und IP-Adressen zuzulassen.
10. Klicken Sie auf OK, um die Einstellungen zu speichern.
Anmerkung:
• Weitere Informationen zu den Firewall-Einstellungen in DSM finden Sie in den Hilfe-Artikeln zur Firewall.
https://www.synology.com/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_firewallhttps://www.synology.com/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_firewall
14
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
In einer von Synology Directory Server gehosteten Domain werden verfügbare Ressourcen in
Form von Objekten wie Organisationseinheiten (OUs), Gruppen, Benutzern und Geräten (z. B.
Computer oder NAS) erstellt und gespeichert.
In diesem Kapitel erfahren Sie, wie Sie verschiedene Arten von Domainobjekten in Synology
Directory Server konfigurieren.
Den Status von Domainobjekten anzeigen
Auf der Seite Benutzer und Computer sehen Sie die gesamte Baumstruktur der Domain. Informationen zu Objekten werden rechts angezeigt:
• Typ: Zeigt den Typ des Objekts an. Objekte können Organisationseinheiten, Gruppen, Benutzer oder Computer sein.
• Name: Der Name von Objekten (ausgenommen OUs) wird im folgenden Format angezeigt:
Domain NetBIOS-Name\Objektname
• Beschreibung: Eine Beschreibung des Domainobjekts.
• DN: Der definierte Name (DN) ist der Pfad eines Objekts in der Domaindatenbank. Wenn beispielsweise der DN „CN=bach,OU=sales,DC=syno,DC=local“ können Sie dessen Elemente
wie folgt analysieren:
• CN=bach: Der Name dieses Benutzers lautet „bach“.
• OU=sales: Dieser Benutzer gehört der Organisationseinheit „sales“ an.
• DC=syno,DC=local: Dieser Benutzer befindet sich in der Domain „syno.local“.
• Status: Wenn ein Domainobjekt nicht deaktiviert ist, lautet sein Status Normal. Ansonsten lautet sein Status Deaktiviert.
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
15
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Organisationseinheiten (OUs) verwalten
Eine Organisationseinheit (OU) ist ein Containerobjekt innerhalb einer Domain, dem
Sie alle Arten von Domainobjekten, einschließlich Benutzer, Gruppen, Computer und
anderer Organisationseinheiten, hinzufügen können. Organisationseinheiten organisieren
Domainobjekte hierarchisch, was bei einer großen Anzahl an Benutzern, Computern und
Gruppen hilfreich ist. Mit einer gut geplanten OU-Struktur können IT-Administratoren ganz
einfach Gruppenrichtlinien mit bestimmten Domainobjekten verknüpfen und administrative
Aufgaben an diese delegieren.
OU hinzufügen
1. Gehen Sie zur Seite Benutzer und Computer.
2. Wählen Sie in der Strukturliste eine Domain oder eine OU aus und klicken Sie auf
Hinzufügen > Organisationseinheit.
3. Geben Sie der neuen Organisationseinheit im Feld einen Namen und klicken Sie auf OK.
4. Klicken Sie mit der rechten Maustaste auf den übergeordneten Container der neu
hinzugefügten Organisationseinheit und auf Neu laden. Die neu hinzugefügte Organisationseinheit wird dann in der Strukturliste angezeigt.
16
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Objekte zu einer OU hinzufügen
So können Sie Objekte zu einer OU hinzufügen:
1. Wählen Sie auf der Seite Benutzer und Computer eine OU aus der Strukturliste aus.
2. Wählen Sie eine der folgenden Methoden, um den Assistenten zu starten:
• Methode 1: Klicken Sie auf Hinzufügen und wählen Sie aus dem Dropdown-Menü einen Typ von Domainobjekt aus.
• Methode 2: Rechtsklicken Sie in der Strukturliste auf die gewünschte OU. Gehen Sie zu Hinzufügen und wählen Sie einen Objekttyp aus.
17
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
• Methode 3: Rechtsklicken Sie auf die leere Fläche der gewünschten OU und wählen Sie einen Objekttyp zum Hinzufügen aus.
3. Folgen Sie den Anweisungen des Assistenten, um das Objekt hinzuzufügen. Weitere
Informationen finden Sie unter OU hinzufügen, Gruppe hinzufügen und Benutzer hinzufügen.
Anmerkung:
• Sie können ein oder mehrere Objekte zu einer Organisationseinheit in der Strukturliste ziehen und ablegen.
• Der Standard-Ansichtsmodus des Verzeichnisses zeigt nur Objekte an, die keiner Organisationseinheit angehören. Um alle Benutzer, Gruppen, Computer und Organisationseinheiten anzuzeigen, wählen Sie den Stammordner (der nach Ihrer Domain benannt ist) aus der Strukturliste aus und klicken Sie auf das Lupensymbol rechts oben. Setzen Sie in der Suchleiste ein Häkchen bei Alle Ableitungen, um alle Objekte anzuzeigen.
Eine OU löschen
1. Klicken Sie in der Strukturliste mit der rechten Maustaste auf die gewünschte OU und
klicken Sie auf Löschen.
2. Klicken Sie im eingeblendeten Fenster erneut auf Löschen, um das Löschen zu bestätigen. Bitte beachten Sie, dass das Löschen von Organisationseinheiten nicht rückgängig gemacht werden kann.
18
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Gruppen verwalten
Mittels Domaingruppen können IT-Administratoren Berechtigungen für den Zugriff auf Geräte,
Anwendungen oder sonstige in einer Domain bereitgestellte Dienste vergeben. Sie können
Domainbenutzer in einer Gruppe platzieren und dann eine Zugriffssteuerungsliste (ACL) für
einen bestimmten Dienst auf die Gruppe anwenden.
In diesem Abschnitt erfahren Sie, wie Sie Domaingruppen in Synology Directory Server
verwalten können.
Standardgruppen
Wenn Sie eine Domain einrichten, erstellt Synology Directory Server die folgenden
Standardgruppen, um Ihnen die Verwaltung der Domain und die Konfiguration von
Zugriffsberechtigungen zu erleichtern:
Gruppenname Beschreibung
Domain AdminsMitglieder dieser Gruppe haben Administratorrechte und können sämtliche Objekte und Einstellungen in der Domain verwalten.
Enterprise AdminsMitglieder dieser Gruppe haben Administratorrechte und können sämtliche Objekte und Einstellungen in der Domainstruktur der gesamten Organisation verwalten.
Schema AdminsMitglieder dieser Gruppe können Änderungen am Domainschema vornehmen.
Domain GuestsIn dieser Gruppe sind standardmäßig alle Gäste der Domain enthalten.
Domain UsersIn dieser Gruppe sind standardmäßig alle Benutzer der Domain enthalten.
Domain ComputersIn dieser Gruppe sind standardmäßig alle Rechner und Server der Domain enthalten.
Domain ControllersIn dieser Gruppe sind standardmäßig alle Domain-Controller enthalten.
Read-Only Domain Controllers
In dieser Gruppe sind standardmäßig alle schreibgeschützten Domain-Controller (RODCs) enthalten.
Enterprise Read-Only Domain Controllers
In dieser Gruppe sind standardmäßig alle schreibgeschützten Domain-Controller (RODCs) in der Domainstruktur der gesamten Organisation enthalten.
Allow RODC Password Replication Group
Mitglieder dieser Gruppe können Ihre Kennwörter für alle RODCs in der Domain replizieren.
Denied RODC Password Replication Group
Mitglieder dieser Gruppe können Ihre Kennwörter für alle RODCs in der Domain nicht replizieren.
Cert PublishersMitglieder dieser Gruppe haben Berechtigungen zum Ausstellen von Zertifikaten.
DnsAdminsMitglieder dieser Gruppe können auf den Domain Name Service in der Domain zugreifen.
19
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Gruppenname Beschreibung
DnsUpdateProxyMitglieder dieser Gruppe sind DNS-Clients, die im Namen anderer Clients (etwa DHCP-Server) dynamische Aktualisierungen vornehmen dürfen.
Group Policy Creator Owners
Mitglieder dieser Gruppe können Gruppenrichtlinien für die Domain ändern.
RAS and IAS Servers Mitglieder dieser Gruppe dürfen Dienste für den Fernzugriff nutzen.
Anmerkung:
• Synology Directory Server entspricht in Sachen Funktionalität Windows Server 2008 R2. Weitere Informationen zu integrierten Domaingruppen finden Sie in diesem Artikel.
Gruppe hinzufügen
1. Klicken Sie auf der Seite Benutzer und Computer auf Hinzufügen > Gruppe.
2. Geben Sie unter Gruppenname einen Namen ein, konfigurieren Sie die folgenden Informationen für die neue Gruppe und klicken Sie auf Weiter:
• Gruppenumfang
• Domain lokal: Lokale Domaingruppen werden verwendet, um Berechtigungen für Ressourcen in ihrer Ursprungsdomain zuzuweisen. In diesen Gruppentyp können
andere lokale Domaingruppen in derselben Domain verschachtelt werden. Er kann
auch Benutzerkonten, globale Gruppen und universelle Gruppen aus allen Domains
oder Gesamtstrukturen enthalten.
• Global: Globale Gruppen werden zur Verwaltung von Benutzerkonten hinzugefügt. Sie können Benutzerkonten und weiter globale Gruppen in derselben Domain enthalten.
In der Praxis empfehlen wir, globale Gruppen in lokalen Domaingruppen mit
bestimmten Berechtigungen zu platzieren, anstatt ihnen selbst direkt Berechtigungen
zuzuweisen.
• Universell: Universelle Gruppen werden hauptsächlich zur domainübergreifenden Schachtelung globaler Gruppen verwendet. Sie können Benutzerkonten, globale
Gruppen und andere universelle Gruppen aus beliebigen Domains in der
Gesamtstruktur, in der sie sich befinden, enthalten. In der Praxis empfehlen wir,
universelle Gruppen in lokalen Domaingruppen mit bestimmten Berechtigungen zu
platzieren, anstatt ihnen selbst direkt Berechtigungen zuzuweisen.
• Gruppentyp
• Sicherheit: Sicherheitsgruppen werden eingerichtet, um Zugriffsberechtigungen oder Rechte zur Ausführung bestimmter Systemaufgaben in der Domain festzulegen.
• Verteiler: Verteilergruppen werden eingerichtet, um E-Mail-Nachrichten an eine Reihe von Benutzern zu senden. Sie können als E-Mail-Alias verwendet werden.
https://docs.microsoft.com/windows/security/identity-protection/access-control/active-directory-security-groups#active-directory-default-security-groups-by-operating-system-version
20
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
3. Bestätigen Sie die Gruppeninformationen und klicken Sie auf Übernehmen, um die Einstellungen zu speichern.
Gruppeneigenschaften bearbeiten
1. Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf Aktion > Bearbeiten. Auf der Registerkarte Allgemein können die folgenden Gruppeneigenschaften bearbeitet werden:
• Gruppenname
• Beschreibung
• Gruppenumfang
• Gruppentyp
2. Auf der Registerkarte Mitglieder können Sie Mitglieder ein- oder ausschließen.
3. Klicken Sie zum Speichern auf OK.
Anmerkung:
• Sie können Gruppen auch bearbeiten, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf eine Gruppe klicken und dann auf Bearbeiten klicken.
21
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Gruppe löschen
1. Wählen Sie die gewünschte Gruppe in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Löschen.
2. Klicken Sie im Popup-Fenster auf Löschen, um das Löschen zu bestätigen.
Anmerkung:
• Sie können Gruppen auch löschen, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf eine Gruppe klicken und dann auf Löschen klicken.
• Halten Sie Strg oder Umschalttaste gedrückt, um mehrere Gruppen gleichzeitig auszuwählen.
• Das Löschen von Gruppen kann nicht rückgängig gemacht werden.
Mitglieder zu Gruppen hinzufügen
Es gibt drei Möglichkeiten, um Benutzer zu Gruppen zuzuweisen: Benutzer beim Erstellen zu
Gruppen hinzufügen; Benutzerprofil bearbeiten; und Gruppeneigenschaften bearbeiten.
• Benutzer beim Erstellen zu Gruppen hinzufügen
Setzen Sie im zweiten Schritt des Assistenten zur Benutzererstellung ein Häkchen bei den Gruppen, zu denen Sie diesen Benutzer hinzufügen möchten, und klicken Sie auf Weiter. Folgen Sie dem Assistenten, um den Vorgang abzuschließen.
22
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
• Benutzer durch Bearbeiten von Benutzerprofilen zu Gruppen hinzufügen
Wählen Sie den gewünschten Benutzer in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Bearbeiten. Wechseln Sie zur Registerkarte Mitglied von. Setzen Sie ein Häkchen bei den Gruppen, zu denen Sie diesen Benutzer hinzufügen möchten, und klicken
Sie auf OK.
• Benutzer durch Bearbeiten von Gruppeneigenschaften zu Gruppen hinzufügen
Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf Aktion > Bearbeiten. Setzen Sie auf der Registerkarte Mitglieder ein Häkchen bei den Benutzern, die Sie zu dieser Gruppe hinzufügen möchten. Klicken Sie auf OK, um die Einstellungen zu speichern und zu übernehmen.
23
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Benutzer verwalten
Benutzer in einer Domain sind Benutzerkonten, die auf Ressourcen in der Domain zugreifen
können. Auf welche Ressourcen in der Domain Mitglieder Ihrer Organisation zugreifen können,
hängt von ihren Berechtigungen ab. In diesem Abschnitt erfahren Sie, wie Sie Domainbenutzer
in Synology Directory Server verwalten können.
Standardbenutzer
Wenn Sie eine Domain einrichten, erstellt Synology Directory Server die folgenden
Standardbenutzerkonten, um Ihnen die Verwaltung der Domain zu erleichtern:
Benutzername Beschreibung
AdministratorDas Administratorkonto hat volle Kontrolle über Synology Directory Server. Es wird zur Verwaltung von Domain und Domain-Controller verwendet.
dns-NAS-HostnameDas DNS-Dienstkonto für das Synology NAS. Es ist nach dem Hostnamen des Domain-Controllers benannt, beispielsweise „dns-MyNAS“.
GuestDas Konto für den Gastzugriff auf die Domain und bereitgestellte Geräte.
krbtgtDas Konto für den Dienst Kerberos Key Distribution Center auf dem Domain-Controller.
Benutzer hinzufügen
1. Klicken Sie auf der Seite Benutzer und Computer in der Strukturliste auf einen Container, zu dem Sie Benutzer hinzufügen möchten. Der Container kann der nach Ihrer Domain (z. B.
„SYNO.LOCAL“) benannte Container, der Container Users oder eine Organisationseinheit.
2. Wählen im Dropdown-Menü Hinzufügen die Option Benutzer aus. Der entsprechende Assistent wird automatisch gestartet.
24
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
3. Konfigurieren Sie den neuen Benutzer auf der Seite Benutzerinformationen eingeben im Assistenten zur Benutzererstellung. Um die Sicherheit zu erhöhen, ist Dieses Konto zwingen, bei der nächsten Anmeldung das Kennwort zu ändern standardmäßig aktiviert. Beachten Sie bitte, dass die Anforderungen an die Kennwortstärke von der
unter Synology Directory Server > Domainrichtlinie konfigurierten Kennwortrichtlinie
abhängen.
4. Wählen Sie auf der Seite Gruppen beitreten die Gruppen aus, denen der Benutzer angehört.
5. Bestätigen Sie die Einstellungen und klicken Sie auf Übernehmen, um den Domainbenutzer hinzuzufügen.
Anmerkung:
Um die Anforderungen an die Kennwortsicherheit zu erfüllen, muss Ihr Kennwort mindestens drei der folgenden Regeln erfüllen:
• Großbuchstaben (einschließlich A-Z mit diakritischen Zeichen) des lateinischen,
griechischen und kyrillischen Alphabets.
• Kleinbuchstaben (einschließlich a-z mit diakritischen Zeichen) des lateinischen,
griechischen und kyrillischen Alphabets.
• Ziffern (0-9).
• Sonderzeichen, darunter #, $, ! usw.
• Unicode-Alphabete, darunter jene in asiatischen Sprachen.
Mehrere Benutzer importieren
Neben dem Hinzufügen mehrerer Benutzer gleichzeitig können Sie auch mehrere
Benutzerkonten importieren:
1. Klicken Sie auf der Seite Benutzer und Computer in der Strukturliste auf einen Container, zu dem Sie Benutzer hinzufügen möchten. Der Container kann der nach Ihrer Domain (z. B.
„SYNO.LOCAL“) benannte Container, der Container Users oder eine OU.
2. Klicken Sie im Dropdown-Menü Hinzufügen auf Benutzer importieren.
25
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
3. Aktivieren Sie nach Bedarf die folgenden Optionen:
• Doppelte Konten überschreiben: Setzen Sie hier ein Häkchen, wenn Sie doppelte Konten durch jene in der Benutzerliste ersetzen möchten.
• Eine Benachrichtigung an den neu erstellten Benutzer senden: Setzen Sie hier ein Häkchen, um dem Benutzer, dessen Konto neu erstellt wurde, eine Benachrichtigung zu
senden. Diese Option erfordert die Aktivierung der System-E-Mail-Benachrichtigungen
unter Systemsteuerung > Benachrichtigung > E-Mail.
• Benutzerkennwort in Benachrichtigungs-E-Mail anzeigen: Diese Option ist verfügbar, wenn bei Eine Benachrichtigung an den neu erstellten Benutzer senden ein Häkchen gesetzt ist. Markieren Sie diese Option, wenn das Kennwort in der Benachrichtigung
angezeigt werden soll.
• Importierte Benutzer müssen bei der ersten Anmeldung ihr Kennwort ändern: Markieren Sie diese Option, um zu veranlassen, dass importierte Benutzer ihr Kennwort
bei der ersten Anmeldung ändern müssen. Dies gewährleistet einen zusätzlichen Schutz
für importierte Konten.
4. Klicken Sie auf Durchsuchen, um eine .txt-Datei zum Upload auszuwählen.
5. Bestätigen Sie, dass die Vorschau korrekt ist, und klicken Sie auf OK, um den Import zu starten.
Dateiformat:
Wenn Sie eine Datei für den Import vorbereiten, platzieren Sie jedes Benutzerkonto in einer eigenen Reihe. Die Daten müssen mittels Tabulatortaste voneinander getrennt und wie folgt angeordnet sein:
1. Benutzername 2. Kennwort 3. Beschreibung 4. E-Mail
5. Vorname 6. Nachname 7. Vollständiger Name
8. Profil-Pfad 9. Login-Skript 10. Home-Verzeichnis
Das Format einer Importdatei sollte folgende Anforderungen erfüllen:
• Die Importdatei muss das Format UTF-8 haben.
• Die Spalten müssen korrekt angeordnet sein (von links nach rechts).
• Die importierten Kennwörter müssen die Kennwortrichtlinie erfüllen.
• Jede Zeile mit Informationen muss neun Tabstopps als Trennzeichen enthalten. Wenn Sie
eine Informationen (z. B. Beschreibung) überspringen möchten, müssen Sie den leeren Wert dennoch mittels Tabulatortaste vom nächsten Wert (z. B. E-Mail) trennen.
26
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Benutzereigenschaften bearbeiten
1. Wählen Sie den gewünschten Benutzer in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Bearbeiten. Halten Sie Strg oder Umschalttaste gedrückt, um mehrere Benutzer gleichzeitig auszuwählen.
2. Geben Sie im Editor-Fenster zur Registerkarte Konto, wo Sie die folgenden Eigenschaften bearbeiten können:
• Benutzer Anmeldename: In diesem Feld können Sie den Benutzer umbenennen.
• Anmeldestunden: Über diese Schaltfläche können Sie die Anmeldestunden des Benutzers anpassen. Klicken Sie im Konfigurationsfenster auf Verweigern oder Zulassen und wählen Sie beliebige Zellen im Raster aus. Um einen ganzen Tag oder eine Stunde
an jedem Tag auszuwählen, klicken Sie auf den Tag oder die Stunde. Klicken Sie nach
Einrichtung des Zeitplans auf OK, um die Änderungen zu speichern.
• Verwendbare Geräte: Klicken Sie hierauf, um auszuwählen, auf welche Computer dieser Benutzer zugreifen kann.
• Dieses Konto sperren: Diese Option ist aktiviert, wenn ein Konto aufgrund der Kontosperre-Richtlinien gesperrt ist. Sie können diese Option deaktivieren und damit die
Sperre des Kontos aufheben.
• Dieses Konto zwingen, bei der nächsten Anmeldung das Kennwort zu ändern: Dieses Konto wird bei der nächsten Anmeldung in Windows oder beim Synology NAS
aufgefordert, das Kennwort zu ändern.
• Nicht zulassen, dass der Benutzer das Kennwort ändert: Dieser Benutzer kann das Kennwort nicht selbst ändern.
• Kennwort läuft nie ab: Das Kennwort des Benutzers läuft niemals ab. Wir empfehlen, diese Option nur für Administratoren zu aktivieren.
• Kennwörter mittels reversibler Verschlüsselung speichern: Das Aktivieren dieser Option gefährdet die Sicherheit der Domain. Diese Option wird nicht empfohlen,
außer die Anforderungen von Domain-Client-Diensten haben höhere Priorität als die
Kennwortsicherheit.
• Dieses Konto deaktivieren
• Chipkarte für interaktive Anmeldung erforderlich
• Delegation dieses sensiblen Kontos nicht erlauben: Dienste auf Client-Geräten der Domain können für dieses Konto nicht auf Ressourcen zugreifen.
• DES-Verschlüsselung für dieses Konto verwenden: Die Anmeldedaten dieses Kontos werden bei der Kerberos-Authentifizierung mittels DES (Data Encryption Standard)
verschlüsselt.
• Dieses Konto von Kerberos-Vorauthentifizierung ausnehmen
27
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
3. Gehen Sie zur Registerkarte Profil und bearbeiten Sie die Eigenschaften des Benutzerprofils, mit dem Benutzer beim Zugriff auf in der Domain bereitgestellte Geräte stets eine einheitliche Benutzererfahrung am Desktop haben können:
• Profil-Pfad: Der Ordnerpfad, der das Profil des Benutzers enthält, wie etwa die Ordner Desktop, Document und Picture.
• Login-Skript: Ein Skript wird automatisch ausgeführt, wenn ein Benutzer sich bei Windows anmeldet. Sie können eine Windows .bat-Datei mit maximal 2 MB hochladen,
indem Sie auf Datei hochladen klicken.
4. Auf der Registerkarte Profil können Sie außerdem ein Home-Verzeichnis für den Benutzer hinzufügen:
• Lokaler Pfad: Wählen Sie einen lokalen Ordner als Home-Verzeichnis aus.
• Verbinden...mit: Wählen Sie einen freigegebenen Remote-Ordner auf dem Synology NAS als Home-Verzeichnis aus. Der freigegebene Remote-Ordner wird von Windows
automatisch mit der spezifischen Volume-Bezeichnung eines Laufwerks bereitgestellt,
wenn diese Option ausgewählt wurde.
5. Klicken Sie auf OK, um die Einstellungen zu speichern.
Anmerkung:
• Sie können Benutzerkonten auch bearbeiten, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf einen Benutzer klicken und dann auf Bearbeiten klicken. Wenn Sie mit der rechten Maustaste auf einen Benutzer klicken, steht auch die Option Deaktivieren zur Verfügung, um ein Benutzerkonto zu deaktivieren.
Benutzer löschen
1. Wählen Sie den gewünschten Benutzer in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Löschen.
2. Klicken Sie im Popup-Fenster auf Löschen, um das Löschen zu bestätigen.
Anmerkung:
• Sie können Benutzerkonten auch löschen, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf einen Benutzer klicken und dann auf Löschen klicken.
• Halten Sie Strg oder Umschalttaste gedrückt, um mehrere Benutzer gleichzeitig auszuwählen.
• Das Löschen von Benutzern kann nicht rückgängig gemacht werden.
28
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Servergespeichertes Profil für einen einzelnen Benutzer zuweisen
Durch das Zuweisen servergespeicherter Profile können Domainbenutzer stets auf Ihre
Dateien zugreifen, auch wenn sie sich bei verschiedenen Computern der Domain anmelden.
Bevor Sie einem Benutzer ein servergespeichertes Profil zuweisen, müssen Sie einen
freigegebenen Ordner erstellen und mindestens einen Computer zur Domain hinzufügen.
Gehen Sie wie folgt vor:
1. Treten Sie mit einem Computer der Domain bei (siehe Mit Windows-PCs einer Domain beitreten).
2. Gehen Sie zu DSM Systemsteuerung > Freigegebener Ordner, um einen freigegebenen Ordner zu erstellen. Beachten Sie bitte, dass die freigegebenen Ordner für einen einzelnen
Benutzer und für alle Benutzer nicht identisch sein sollten.
3. Klicken Sie mit der rechten Maustaste auf den erstellten freigegebenen Ordner und klicken
Sie auf Bearbeiten.
4. In der Registerkarte Berechtigungen wählen Sie Domainbenutzer.
5. Setzen Sie ein Häkchen bei Benutzerdefiniert. Das Fenster Berechtigungs-Editor wird angezeigt.
29
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
6. Wählen Sie im Dropdown-Menü Benutzer oder Gruppe den gewünschten Benutzer bzw. die gewünschte Gruppe aus und richten Sie Anwenden auf und Berechtigung gemäß den Einstellungen in der Tabelle unten ein. Die Abbildung unten ist ein Beispiel für die
Einrichtung der Berechtigungen für die benutzerdefinierte Gruppe „Owner“.
Benutzer oder Gruppe Anwenden auf Berechtigung
Benutzerdefinierte Gruppe (z. B. „Owner“)
Setzen Sie Häkchen bei Untergeordnete Ordner, Untergeordnete Dateien und Alle Ableitungen.
Setzen Sie für volle Kontrolle Häkchen bei Administration, Lesen und Schreiben.
Domain Admins Wählen Sie Alle.
Setzen Sie für volle Kontrolle Häkchen bei Administration, Lesen und Schreiben.
Domain Users Wählen Sie Alle.
Setzen Sie ein Häkchen bei Lesen für volle Leseberechtigung und unter Schreiben nur bei Ordner erstellen/Daten anhängen.
30
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
7. Gehen Sie nach Einrichtung des freigegebenen Ordners zu Synology Directory Server > Benutzer und Computer > Users.
8. Klicken Sie mit der rechten Maustaste auf ein Domainbenutzerkonto und klicken Sie
auf Bearbeiten.
9. Wechseln Sie zur Registerkarte Profil, geben Sie in Profil-Pfad den Pfad eines freigegebenen Ordners für das servergespeicherte Profil des Benutzers im folgenden
Format ein und klicken Sie auf OK:
\\IP-Adresse des NAS\Name des freigegebenen Ordners\%username%
Anmerkung:
• Ändern Sie „%username%“ nicht. Dies ist die Umgebungsvariable, die automatisch auf den Profilordner des angegebenen Benutzers zeigt.
31
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
10. Melden Sie sich auf dem der Domain beigetretenen Windows-PC mit diesem
Domainbenutzerkonto an. Der Domaincontroller erstellt automatisch ein entsprechendes
servergespeichertes Profil (der Ordnername lautet „Benutzername.V6“) im freigegebenen
Remote-Ordner auf dem NAS. Falls Sie Daten des Benutzerprofils erstellt oder geändert
haben, werden die Daten zurück zum zugewiesenen Pfad synchronisiert, wenn Sie sich von
diesem Rechner abmelden.
Ein Netzlaufwerk für einzelne Benutzer bereitstellen
Neben der Einrichtung servergespeicherter Profile können Sie mit Synology Directory Server
auch ein Netzlaufwerk für Domainbenutzer bereitstellen. Gehen Sie wie folgt vor:
1. Treten Sie mit einem Computer eines Benutzers der Domain bei (siehe Mit Windows-PCs einer Domain beitreten).
2. Erstellen Sie einen freigegebenen Ordner und geben Sie dem Domainbenutzer auf dem
als Controller agierenden Synology NAS ausreichende Berechtigungen (mindestens
Leseberechtigungen) (siehe Servergespeichertes Profil für einen einzelnen Benutzer zuweisen).
3. Gehen Sie zu Synology Directory Server > Benutzer und Computer.
4. Klicken Sie mit der rechten Maustaste auf das angegebene Benutzerkonto und klicken Sie
auf Bearbeiten.
5. Wechseln Sie zur Registerkarte Profil und klicken Sie im Bereich Home-Verzeichnis auf Verbinden.
6. Weisen Sie dem Netzlaufwerk einen Laufwerksbuchstaben zu.
7. Geben Sie den Pfad des freigegebenen Ordners (oder eines Unterordners des
freigegebenen Ordners) ein, den Sie als Netzlaufwerk bereitstellen möchten.
\\IP-Adresse des NAS\Name des (freigegebenen) Ordners
32
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
8. Klicken Sie auf OK, um die Einstellungen zu speichern.
9. Melden Sie sich auf dem der Domain beigetretenen Windows-PC mit diesem
Domainbenutzerkonto an. Das bereitgestellte Laufwerk wird auf dem Computer angezeigt.
Anmerkung:
• Die Option Lokaler Pfad auf der Registerkarte Profil ist der Pfad zu einem lokalen Windows-Ordner. Stellen Sie sicher, dass dieser Pfad bereits auf dem von Ihnen
zugewiesenen Computer erstellt wurde. Andernfalls sind Ihre Einstellungen nicht gültig.
• Wenn Domainbenutzer sich vor Bereitstellung eines Laufwerks bereits beim zugewiesenen
Windows-PC angemeldet haben, müssen sie sich erneut anmelden, um auf das
bereitgestellte Laufwerk zuzugreifen.
33
Kapitel 3: OUs, Gruppen, Benutzer und Computer verwalten
Computer verwalten
Von Synology Directory Server in der Domain erstellte Computer können Workstations, Server oder NAS sein. Dieser Objekttyp
kann in der Domain für den Zugriff durch Benutzer bereitgestellt werden. Dieser Abschnitt gibt einen kurzen Überblick über die
Verwaltung von Computern in Synology Directory Server.
Anmerkung:
• Eine detaillierte Anleitung zum Einbinden von Computern oder Synology NAS in die Domain finden Sie in Kapitel 4.
Computereigenschaften bearbeiten
1. Wählen Sie den Computer aus, den Sie bearbeiten möchten, und klicken Sie auf Aktion > Bearbeiten.
2. Bearbeiten Sie die Beschreibung des Computers.
3. Klicken Sie auf OK, um die Einstellungen zu speichern.
Anmerkung:
• Sie können Computer auch bearbeiten, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf einen Computer klicken und dann auf Bearbeiten klicken.
Einen Computer löschen
1. Wählen Sie den gewünschten Computer in der Registerkarte Benutzer und Computer aus und klicken Sie auf Aktion > Löschen.
2. Klicken Sie im Popup-Fenster auf Löschen, um das Löschen zu bestätigen.
Anmerkung:
• Sie können Computer auch löschen, indem Sie auf der Seite Benutzer und Computer mit der rechten Maustaste auf den Computer klicken und dann auf Löschen klicken.
• Halten Sie Strg oder Umschalttaste gedrückt, um mehrere Computer gleichzeitig auszuwählen.
• Das Löschen von Computern kann nicht rückgängig gemacht werden.
34
Kapitel 4: Geräte in eine Domain einbinden
Das Einbinden von Geräten in eine Domain erleichtert nicht nur die effiziente gemeinsame
Verwaltung der Ressourcen einer Organisation, sondern ermöglicht es auch Benutzern, mittels
SSO-Dienst (einmaliges Anmelden) auf diese zuzugreifen.
In diesem Kapitel wird beschrieben, wie Sie mit Windows-Clients und Synology NAS einer von
Synology Directory verwalteten Domain beitreten können.
Mit einem Windows-PC einer Domain beitreten
Mit den folgenden Windows-Versionen kann einer von Synology Directory Server erstellten
Domain beigetreten werden:
• Windows Server 2008 (R2) und höher
• Windows 10 Enterprise/Pro/Education
• Windows 8.1 (8) Enterprise/Pro
• Windows 7 Ultimate/Enterprise/Professional
So können Sie mit einem PC mit Windows 10 einer Domain beitreten:
1. Gehen Sie in Windows zu Start > Einstellungen > Netzwerk und Internet > Status > Adapteroptionen ändern und klicken Sie auf die derzeit verwendete Netzwerkschnittstelle.
Kapitel 4: Geräte in eine Domain einbinden
35
Kapitel 4: Geräte in eine Domain einbinden
2. Klicken Sie auf der Seite Status auf Eigenschaften.
3. Wählen Sie in der Registerkarte Netzwerk die Option Internetprotokoll, Version 4 (TCP/IPv4) und klicken Sie auf Eigenschaften.
36
Kapitel 4: Geräte in eine Domain einbinden
4. Setzen Sie ein Häkchen bei Folgende DNS-Serveradressen verwenden, geben Sie die IP-Adresse des Domaincontrollers in das Feld Bevorzugter DNS-Server ein und klicken Sie auf OK, um die Einstellungen zu speichern.
5. Gehen Sie in Windows zu Start > Einstellungen > System > Info > System-Info und klicken Sie auf Einstellungen ändern.
37
Kapitel 4: Geräte in eine Domain einbinden
6. Klicken Sie auf der Registerkarte Computername auf Ändern...
7. Klicken Sie unter Mitglied von auf Domain und geben Sie den Namen der Domain ein, der Sie mit diesem Computer beitreten möchten. Klicken Sie nach Bestätigung der Einstellungen
auf OK.
38
Kapitel 4: Geräte in eine Domain einbinden
8. Geben Sie die Anmeldedaten des Domainadministrators ein und klicken Sie auf OK. Verwenden Sie das folgende Benutzernamenformat:
NetBIOS-Name der Domain\Benutzername des Administrators
9. Starten Sie den Computer neu, um den Beitritt zur Domain abzuschließen.
Mit dem Synology NAS einer Domain beitreten
Sie können ein Synology NAS als Domainclient in eine Domain einbinden. Nach dem Beitritt
zur Domain können Domainbenutzer sich mit ihrem Konto und Kennwort beim Synology
NAS anmelden und haben so Zugriff auf Dateien und DSM-Anwendungen, ohne sich weitere
Benutzernamen und Kennwörter merken zu müssen.
Um Ihr Synology NAS in Ihre Domain einzubinden, gehen Sie bitte wie folgt vor:
1. Gehen Sie zu Systemsteuerung > Domain/LDAP > Domain.
2. Setzen Sie ein Häkchen bei Domain beitreten.
3. Geben Sie den Domainnamen und den DNS-Server in die entsprechenden Felder ein.
4. Klicken Sie bei Bedarf auf Domainoptionen und konfigurieren Sie erweiterte Einstellungen (siehe den folgenden Abschnitt Erweiterte Optionen).
5. Klicken Sie auf Übernehmen.
6. Geben Sie im eingeblendeten Fenster die Anmeldedaten des Domainadministrators ein und
klicken Sie auf OK.
39
Kapitel 4: Geräte in eine Domain einbinden
Erweiterte Optionen
Dieser Abschnitt beschreibt die erweiterten Optionen unter Systemsteuerung > Domain/LDAP > Domain:
Option Beschreibung
DomainservertypDieses Feld zeigt den Domaintyp des Synology NAS nach dem Beitritt
zu einer Domain an. In diesem Fall lautet der Domaintyp AD-Domain.
Verwaltungsmodus
Diese Option bestimmt, wie Sie die Berechtigungen der
Domainbenutzer und -gruppen verwalten.
• Vertrauenswürdige Domain: Sie können Benutzer und Gruppen in der Domain, dem das NAS beitritt, sowie in weiteren vertrauenswürdigen Domains verwalten. Benutzer und Gruppen können über das Dropdown-Menü Domain gefiltert werden.
• Einzeldomain mit OU: Nur Benutzer und Gruppen in der Domain, der das NAS beitritt, werden in diesem Modus angezeigt. In diesem
Modus können Sie Domainbenutzer/Domaingruppen über das
Dropdown-Menü OU filtern.
Erweiterte
Domainoptionen
In den meisten Fällen müssen Sie die erweiterten Domainoptionen
nicht angeben. Die erweiterten Domainoptionen werden nur für
bestimmte Domain-Umgebungen benötigt.
• DC IP/FQDN: Geben Sie die IP-Adresse oder den FQDN (Fully Qualified Domain Name) eines Domaincontrollers (DC) an. Das
Synology NAS versucht dann, mit diesem zu kommunizieren.
• Domain NetBIOS-Name: Geben Sie den NetBIOS-Namen der Domain an.
• Domain FQDN (DNS-Name): Geben Sie den FQDN der Domain an.
• DNS-Schnittstelle registrieren: Beim Beitritt zu einer Domain wird die hier angegebene Netzwerkkarte beim DNS-Server registriert.
Bitte beachten Sie: Wenn der Hostname des Synology NAS einen
Unterstrich (_) enthält, schlägt die Registrierung fehl, da Unterstriche
(_) für DNS nicht verwendet werden können.
• Benutzer/Gruppenliste aktualisieren: Geben Sie an, wie oft das Synology NAS die Liste der Domainbenutzer/Gruppen
automatisch aktualisieren soll. Sie können tägliche, wöchentliche
oder monatliche Aktualisierung wählen. Außerdem können die
Listen von Domainbenutzern bzw. -gruppen durch Navigieren zur
Registerkarte Domainbenutzer und Klicken auf Domain-Daten aktualisieren aktualisiert werden. Beachten Sie, dass automatische Aktualisierungen den Ruhezustand des Systems beeinflussen.
Die DiskStation
synchronisiert sich
jedes Mal mit einem
NTP-Server, wenn sich
ein Domainbenutzer
anmeldet
Die Aktivierung dieser Option erzwingt die Synchronisierung der Zeit
zwischen Synology NAS und NTP-Server.
40
Kapitel 4: Geräte in eine Domain einbinden
Option Beschreibung
Benutzer/Gruppen-Listen
mit NT4-kompatiblem
Modus erhalten
Durch die Aktivierung dieser Option kann das System Benutzer-/
Gruppenlisten mit dem NT4 RPC-Modus abfragen. Diese Option kann
aktiviert werden, wenn bestimmte Domainbenutzer-/-gruppenlisten
nicht mit den Standardeinstellungen abgerufen werden können.
Server-Signierung
aktivieren
Wenn Benutzer über das SMB-Protokoll auf Ihren Rechnern mit
aktivierter SMB-Client-Signatur auf das Synology NAS zugreifen, muss
Serversignatur auf dem Synology NAS (d. h. dem SMB-Dateiserver)
ebenfalls aktiviert sein, um die Funktionalität der Dateiübertragung
sicherzustellen.
Verschachtelte
Gruppenebenen
aufzählen
Geben Sie die Anzahl der Ebenen verschachtelter
Domaingruppenmitglieder an, die aufgezählt werden können.
Domainadministratoren
Geben Sie bis zu zehn Benutzergruppen an, denen Sie
Administratorrechte gewähren möchten. Benutzer mit
Administratorrechten haben volle Kontrolle über das Synology NAS
und die darauf gespeicherten Dateien.
Integrierte Windows-
Authentifizierung
aktivieren
Wenn diese Option aktiviert ist, können Benutzer, die sich bereits über
Domainkonten bei ihren Computern angemeldet haben, sich über den
Internetbrowser bei DSM anmelden, ohne ihre Anmeldedaten erneut
eingeben zu müssen.
Domain-StatusprüfungKontrollieren Sie den Status der Verbindung zwischen DSM und der
Domain, der es beigetreten ist.
Integrierte Windows-Authentifizierung verwenden
• Auf dem Client-Computer muss Windows 7 oder höher ausgeführt werden.
• Der Client-Computer muss sich in derselben Domain befinden wie das Synology NAS.
• Gehen Sie in Windows zu Systemsteuerung > Internetoptionen > Erweitert und stellen Sie sicher, dass unter Sicherheit bei der Option Integrierte Windows-Authentifizierung aktivieren ein Häkchen gesetzt ist.
• Die integrierte Windows-Authentifizierung funktioniert mit allen Browsern. Für Firefox sind einige weitere Schritte für die Einrichtung erforderlich.
1. Öffnen Sie den Firefox-Browser und geben Sie „about:config“ in die Adresszeile ein.
2. Suchen Sie nach „network.automatic-ntlm-auth.trusted-uris“.
3. Doppelklicken Sie auf das Feld Wert und geben Sie die IP-Adresse der Domain ein.
• Für Synology NAS, die einer von Synology Directory Server erstellten Domain beitreten, sind weitere Konfigurationen erforderlich, um die integrierte Windows-Authentifizierung zu verwenden:
1. Gehen Sie zu DSM Systemsteuerung > Dateidienste > SMB/AFP/NFS.
2. Klicken Sie unter SMB auf Erweiterte Einstellungen.
3. Wählen Sie im Dropdown-Menü Mindest-SMB-Protokoll die Option SMB1 und klicken Sie auf Speichern.
• Die Anmeldung über die integrierte Windows-Authentifizierung ist nur in DSM 6.2.2 oder höher verfügbar.
41
Kapitel 5: Gruppenrichtlinien konfigurieren
Über Gruppenrichtlinien können IT-Administratoren die Benutzererfahrung in einer Domain
verwalten. Mit ihnen können Einschränkungen bei gängigen Aktionen definiert, Dienste
auf Geräten in der Domain bereitgestellt, Aktualisierungen verwaltet und eine einheitliche
Arbeitsumgebung für Benutzer sichergestellt werden. Gut gepflegte Gruppenrichtlinien
erleichtern die Domainadministration.
In diesem Kapitel erfahren Sie, wie Sie mit Synology Directory Server und Windows Remote
Server Administration Tools (RSAT) Gruppenrichtlinien für Ihre Domain konfigurieren können.
Standard-Domainrichtlinien konfigurieren
Mit Standarddomänenrichtlinie können Sie Konten auf Ebene der Domain schützen, indem Sie
Richtlinien für Kennwort und Kontosperre einrichten. Klicken Sie links auf Domainrichtlinie, um diese beiden Typen von Standard-Domainrichtlinien zu verwalten.
Anmerkung:
• Die Einstellungen auf dieser Seite werden auf die Gruppenrichtlinie Default Domain Policy in Windows RSAT angewendet. Wenn diese Gruppenrichtlinie gelöscht wird, funktioniert diese Seite nicht korrekt.
Kapitel 5: Gruppenrichtlinien konfigurieren
42
Kapitel 5: Gruppenrichtlinien konfigurieren
Kennwortrichtlinien
Folgende Kennwortrichtlinien sind auf der Seite Domainrichtlinie verfügbar:
• Maximales Alter für Kennwort: Legen Sie die Zeit fest, nach der Kennwörter ablaufen. Wenn diese Option deaktiviert wird, laufen Kennwörter niemals ab.
• Mindestalter für Kennwort: Geben Sie an, wie lange nach einer Kennwortänderung Benutzer ihre Kennwörter nicht ändern dürfen. Wenn diese Option deaktiviert wird, können
Kennwörter jederzeit geändert werden.
• Minimale Kennwortlänge: Geben Sie die Mindestlänge für neue Kennwörter an.
• Kennwortverlauf erzwingen: Neue Kennwörter müssen sich von den zuvor eingerichteten unterscheiden – von wie vielen wird hier festgelegt.
• Prüfung der Kennwortstärke aktivieren: Kennwörter müssen die Anforderungen an die Kennwortstärke erfüllen. Weitere Informationen finden Sie in der Anmerkung unten.
• Kennwort mittels reversibler Verschlüsselung speichern: Das Aktivieren dieser Option gefährdet die Sicherheit der Domain. Diese Option wird nicht empfohlen,
außer die Anforderungen von Domain-Client-Diensten haben höhere Priorität als die
Kennwortsicherheit.
Anmerkung:
Um die Anforderungen an die Kennwortsicherheit zu erfüllen, muss Ihr Kennwort mindestens drei der folgenden Regeln erfüllen:
• Großbuchstaben (einschließlich A-Z mit diakritischen Zeichen) des lateinischen, griechischen und kyrillischen Alphabets.
• Kleinbuchstaben (einschließlich a-z mit diakritischen Zeichen) des lateinischen, griechischen und kyrillischen Alphabets.
• Ziffern (0-9).
• Sonderzeichen, darunter #, $, ! usw.
• Unicode-Alphabete, darunter jene in asiatischen Sprachen.
Kontosperre-Richtlinien
Folgende Richtlinien für die Kontosperre sind auf der Seite Domainrichtlinie verfügbar:
• Sperre Grenzwert: Benutzerkonten werden gesperrt, wenn die Anzahl der fehlgeschlagenen Anmeldeversuche über Ihren festgelegten Sperrschwellwert hinausgeht.
• Sperrzähler zurücksetzen nach: Nach dieser Zeit wird die Anzahl fehlgeschlagener Anmeldungen zurückgesetzt.
• Dauer Sperre: Gesperrte Benutzerkonten werden erst am Ende der von Ihnen festgelegten Sperrdauer wieder freigegeben.
43
Kapitel 5: Gruppenrichtlinien konfigurieren
RSAT zur Verwaltung von Gruppenrichtlinien verwenden
Mit Synology Directory Server können Sie Richtlinien für Kennwörter und Kontosperre konfigurieren. Zur
Konfiguration anderer Arten von Gruppenrichtlinien müssen Sie die Remote Server Administration Tools (RSAT) von Windows auf einem Windows-PC in der Domain verwenden (weitere Informationen zur Einbindung von Windows-PCs in eine Domain finden Sie in Kapitel 4).
Die folgenden Abschnitte beschreiben die Verwaltung von Gruppenrichtlinien mittels RSAT.
RSAT auf einem Windows-PC installieren
1. Laden Sie Windows RSAT aus dem Microsoft Download Center auf einen Windows-PC herunter. Je nach
Windows-Version gibt es unterschiedliche RSAT-Installationsdateien. In der folgenden Liste finden Sie die
Installationsdatei für Ihre Windows-Version:
• Windows 8 • Windows 8.1
• Windows 10
2. Führen Sie die heruntergeladene Datei aus und folgenden Sie den Anweisungen des Assistenten, um
RSAT zu installieren.
3. Gehen Sie nach Abschluss der Installation zu Windows Systemsteuerung > Programme > Turn Windows-Features aktivieren oder deaktivieren und setzen Sie ein Häkchen bei Remote Server Administration Tools.
4. Stellen Sie sicher, dass Sie mit Ihrem Computer der Domain beigetreten sind und sich als
Domainadministrator angemeldet haben. RSAT finden Sie unter Systemsteuerung > Verwaltung.
Anmerkung:
• Welche RSAT-Optionen konfigurierbar sind, ist abhängig von der Windows-Version
des Rechners, auf dem RSAT installiert ist. Beispielsweise können die verfügbaren
Einstellungen der Windows 8 RSAT anders aussehen als jene der Windows 10 RSAT.
http://www.microsoft.com/download/details.aspx?id=28972http://www.microsoft.com/download/details.aspx?id=39296https://www.microsoft.com/download/details.aspx?id=45520
44
Kapitel 5: Gruppenrichtlinien konfigurieren
Servergespeichertes Profil für alle Benutzer zuweisen
Mittels servergespeicherter Profile können Domainbenutzer bei der Anmeldung bei verschiedenen
Computern der Domain stets auf Ihre Dateien zugreifen. Gehen Sie wie folgt vor, um mittels RSAT Profile für
alle Domainbenutzer zuzuweisen:
1. Stellen Sie sicher, dass Sie einen freigegebenen Ordner erstellt und den Domainbenutzern auf dem
Domaincontroller ausreichende Berechtigungen zugewiesen haben.
2. Melden Sie sich auf einem der Domain beigetretenen Windows-PC als Domainadministrator an.
3. Gehen Sie zu Windows Systemsteuerung > System und Sicherheit > Verwaltungstools > Gruppenrichtlinienverwaltung.
4. Gehen Sie zu Gesamtstruktur: Domainname > Domänen > Domainname > Default Domain Policy.
5. Öffnen Sie in der Registerkarte Einstellungen durch Rechtsklick das Kontextmenü und klicken Sie auf Bearbeiten.
45
Kapitel 5: Gruppenrichtlinien konfigurieren
6. Gehen Sie zu Benutzerkonfiguration > Richtlinien > Windows-Einstellungen > Ordnerumleitung.
7. Klicken Sie mit der rechten Maustaste auf die Ordner, die Sie umleiten möchten, und
auf Eigenschaften.
8. Konfigurieren Sie die Einstellungen wie folgt:
a. Wechseln Sie zur Registerkarte Ziel.
b. Wählen Sie Standard (Leitet alle Ordner auf den gleichen Pfad um).
c. Geben Sie die benötigten Informationen in Zielordner und Stammpfad ein.
d. Klicken Sie auf OK.
46
Kapitel 5: Gruppenrichtlinien konfigurieren
9. Die servergespeicherten Profile der Domainbenutzer werden zum von Ihnen zugewiesenen Pfad
umgeleitet.
Netzlaufwerk für alle Benutzer bereitstellen
Neben der Einrichtung servergespeicherter Profile können Sie mit Synology Directory Server auch
ein Netzlaufwerk für Domainbenutzer bereitstellen. Gehen Sie wie folgt vor, um mittels RSAT ein
Netzlaufwerk für alle Benutzer bereitzustellen:
1. Stellen Sie sicher, dass Sie einen freigegebenen Ordner erstellt und den Domainbenutzern
auf dem als Controller agierenden Synology NAS ausreichende Berechtigungen (mindestens
Leseberechtigungen) zugewiesen haben.
2. Melden Sie sich auf einem der Domain beigetretenen Windows-PC als Domainadministrator an.
3. Gehen Sie zu Windows Systemsteuerung > System und Sicherheit > Verwaltungstools > Gruppenrichtlinienverwaltung.
47
Kapitel 5: Gruppenrichtlinien konfigurieren
4. Gehen Sie zu Gesamtstruktur: Domainname > Domänen > Domainname > Default Domain Policy.
5. Öffnen Sie in der Registerkarte Einstellungen durch Rechtsklick das Kontextmenü und klicken Sie auf Bearbeiten.
6. Gehen Sie in der Konsolenstruktur zu Benutzerkonfiguration > Voreinstellungen > Windows-Einstellungen > Laufwerkzuordnungen. Klicken Sie mit der rechten Maustaste in den rechten Bereich und auf Neu > Zugeordnetes Laufwerk.
48
Kapitel 5: Gruppenrichtlinien konfigurieren
7. Konfigurieren Sie die folgenden Einstellungen und klicken Sie auf OK:
• Aktion: Wählen Sie im Dropdown-Menü Erstellen aus.
• Speicherort: Geben Sie den Speicherort des Netzlaufwerks ein, z. B. „\\192.168.1.1\SynoRock“.
• Laufwerkbuchstabe: Klicken Sie hier auf Benutzen und wählen Sie einen Laufwerkbuchstaben.
8. Nach dieser Konfiguration wird das bereitgestellte Netzlaufwerk auf diesem Computer angezeigt,
wenn Sie sich mit einem beliebigen Domainbenutzerkonto anmelden.
Anmerkung:
• Es ist nicht erforderlich, unter Verbinden als (optional) einen Benutzernamen und ein Kennwort einzugeben, da Windows versuchen wird, das Netzlaufwerk nach Abschluss der Einstellungen für Ihr Konto bereitzustellen. Ebenso wird Windows wenn sich ein Domainbenutzer anmeldet das Netzlaufwerk für dessen Konto automatisch bereitstellen. Stellen Sie bitte sicher, dass der Speicherort vorhanden ist und Sie Zugriffsberechtigung haben.
49
Kapitel 6: Verzeichnisdienst warten und wiederherstellen
Bei der Arbeit mit Synology Directory Server ist es äußerst wichtig, dafür zu sorgen, dass der
Verzeichnisdienst regelmäßig gewartet und gesichert wird. Reguläre Wartung und Sicherung
sind besonders nützlich, wenn aufgrund von Systemfehlern oder versehentlicher Löschung
Daten verlorengehen.
In diesem Kapitel stellen wir Werkzeuge und Methoden vor, um einen High-Availability-Cluster
und Datensicherungsaufgaben für Synology Directory Server einzurichten.
Unterbrechungsfreien Verzeichnisdienst mit Synology High Availability sicherstellen
Um die durchgängige Verfügbarkeit von Synology Directory Server sicherzustellen, empfehlen
wir, Ihre Verzeichnisdatenbank mit dem Paket Synology High Availability zu schützen.
Dabei werden zwei Server in einem High-Availability-Cluster zusammengefasst, wobei
ein Server aktiv ist und der andere Server als passiver Standby-Server dient. So können
Unterbrechungen aufgrund von Serverproblemen minimiert werden (weitere Informationen
zu den Grundlagen von High-Availability-Clustern finden Sie in den Hilfe-Artikeln zu Synology High Availability).
Lesen Sie bitte die folgenden Systemvoraussetzungen und Leitlinien zur Einrichtung eines
High-Availability-Clusters durch, um den unterbrechungsfreien Betrieb von Synology Directory
sicherzustellen.
Systemanforderungen
Synology High Availability benötigt zwei identische Synology NAS mit derselben
Systemkonfiguration, um einen Cluster einzurichten. Bevor Sie beginnen, lesen Sie bitte
die folgenden Informationen besonders sorgfältig durch und konfigurieren Sie Ihre beiden
Synology NAS entsprechend:
• Eingesetzte Modelle: Der aktive und der passive Server müssen identische Modelle sein und Synology High Availability unterstützen. Weitere Informationen zu Modellen, die dieses
Paket unterstützen, finden Sie hier.
• DSM- und Paketversion: Auf dem aktiven und passiven Server muss dieselbe Version von DSM und Synology High Availability installiert sein. Beachten Sie bitte, dass die Überwachung
von Synology Directory nur von Synology Directory Server 4.4.5-0093 oder höher und
Synology High Availability 2.0.3-0140 oder höher unterstützt wird.
Kapitel 6: Verzeichnisdienst warten und wiederherstellen
https://www.synology.com/knowledgebase/DSM/help/HighAvailability/HAManager_deschttps://www.synology.com/knowledgebase/DSM/help/HighAvailability/HAManager_deschttps://www.synology.com/dsm/packages/HighAvailability
50
Kapitel 6: Verzeichnisdienst warten und wiederherstellen
• Identische Speicher- und Netzwerkeinstellungen:
• Anzahl, Kapazität und belegte Einschübe von Laufwerken müssen auf aktivem und
passivem Server identisch sein.
• Die Gesamtzahl an Netzwerkschnittstellen und die Netzwerkeinstellungen müssen auf
aktivem und passivem Server identisch sein. Achten Sie insbesondere darauf, dass beide
Server mindestens eine statische IP-Adresse aus demselben Subnetz haben und Sie eine
Heartbeat-Verbindung für die interne Kommunikation zwischen den beiden Servern
eingerichtet haben.
Anmerkung:
• Die vollständigen Systemanforderungen finden Sie in diesem Artikel.
High-Availability-Cluster einrichten
Gehen Sie wie folgt vor, um einen Synology High Availability-Cluster einzurichten:
Anmerkung:
• Um die einwandfreie Funktionalität von Synology Directory Server sicherzustellen, richten
Sie den Synology High Availability-Cluster bitte ein, bevor Sie den Synology-Directory-Dienst aktivieren.
1. Starten Sie Synology High Availability.
2. Klicken Sie auf High-Availability-Cluster erstellen und folgen Sie den Anweisungen des Assistenten (eine detaillierte Anleitung finden Sie in diesem Artikel).
3. Installieren Sie Synology Directory Server (siehe diesen Abschnitt) und richten Sie Synology Directory ein (siehe Kapitel 2).
4. Gehen Sie zu Synology High Availability > Dienste.
5. Setzen Sie ein Häkchen bei Synology Directory Server und klicken Sie auf Übernehmen, um die Einstellungen zu speichern.
https://www.synology.com/knowledgebase/DSM/help/HighAvailability/limitationhttps://www.synology.com/knowledgebase/DSM/help/HighAvailability/wizard
51
Kapitel 6: Verzeichnisdienst warten und wiederherstellen
Anmerkung:
• Neben dem High-Availability-Cluster sollten Sie auch den Synology Directory-Dienst regelmäßig mittels Hyper Backup sichern (eine detaillierte Anleitung finden Sie unter Directory-Dienst mit Hyper Backup sichern und wiederherstellen).
Directory-Dienst mit Hyper Backup sichern und wiederherstellen
Mit dem Paket Synology Hyper Backup können Sie Daten und Einstellungen von Synology Directory Server sichern und wiederherstellen. Hyper Backup bietet folgende Funktionen:
• Bis zu 65.535 Versionen von Daten beibehalten, wobei der dafür erforderliche Speicherplatz
mittels versionsübergreifender Deduplizierung minimiert wird.
• Gesicherte Daten werden in einer eigenen Datenbank gespeichert, die mit einem
maßgeschneiderten Versions-Explorer in DSM, Windows und Linux einfach durchsucht,
heruntergeladen oder wiederhergestellt werden kann.
• Manuelle und geplante Sicherung verschiedener Arten von Daten (z. B.
Systemkonfigurationen, freigegebene Ordner und Anwendungen/Pakete) wird unterstützt.
• Daten können in lokalen freigegebenen Ordnern, auf Remote-Servern und in der öffentlichen
Cloud gesichert werden.
• Jede Sicherungsaufgabe kann mehrere Sicherungsversionen beibehalten. Gesicherte
Versionen werden automatisch rotiert, wobei entweder die älteste Version gelöscht wird
oder Smart Recycle oder benutzerdefinierte Aufbewahrungsrichtlinien angewendet werden.
Um Synology Directory Server zu sichern, installieren Sie bitte Hyper Backup aus dem
Paketzentrum.
Erstellen einer Sicherungsaufgabe
Mit Hyper Backup können Sie Datensicherungsaufgaben erstellen, verwalten und überwachen.
Gehen Sie wie folgt vor, um Ihre Daten zu sichern:
1. Starten Sie Hyper Backup.
2. Klicken Sie unten links auf + und wählen Sie Datensicherungsaufgabe aus, um den Sicherungsassistenten zu starten.
52
Kapitel 6: Verzeichnisdienst warten und wiederherstellen
3. Wählen Sie den gewünschten Datensicherungszieltyp aus. Wir empfehlen, nicht dasselbe
Gerät zu verwenden.
4. Wählen Sie Sicherungsaufgabe erstellen.
5. Wählen Sie die zu sichernden Ordner aus und klicken Sie auf Weiter.
6. Setzen Sie ein Häkchen bei Synology Directory Server und klicken Sie auf Weiter.
7. Befolgen Sie die Anweisungen des Assistenten, um den Vorgang abzuschließen.
53
Kapitel 6: Verzeichnisdienst warten und wiederherstellen
Eine Datensicherung wiederherstellen
Mit Hyper Backup können Sie Ihr Verzeichnis wiederherstellen, wenn Fehler in Synology
Directory Server aufgetreten sind. Außerdem können Sie Synology Directory über die
Dienstwiederherstellung in Hyper Backup zu einem anderen Synology NAS migrieren.
In diesem Abschnitt erfahren Sie, wie Sie eine Sicherung von Synology Directory Server
wiederherstellen:
1. Starten Sie Hyper Backup.
2. Klicken Sie unten links auf Wiederherstellen, wählen Sie Daten aus und wählen Sie eine Sicherungsaufgabe zur Wiederherstellung aus.
3. Sie werden aufgefordert, Systemkonfigurationen, verschiedene Versionen von gesicherten
Daten oder andere Optionen auszuwählen. Dies hängt davon ab, welche Art von
Sicherungsaufgabe Sie wiederherstellen möchten.
4. Wenn die Sicherungsaufgabe verschlüsselt ist, benötigen Sie für die Wiederherstellung das
Kennwort bzw. den Verschlüsselungsschlüssel.
5. Folgen Sie dem Assistenten, um die Wiederherstellung durchzuführen.
Anmerkung:
• Weitere Informationen zu Sicherung und Wiederherstellung finden Sie in den Hilfe-Artikeln zu Hyper Backup auf der Synology-Website.
https://www.synology.com/knowledgebase/DSM/help/HyperBackup/BackupApp_deschttps://www.synology.com/knowledgebase/DSM/help/HyperBackup/BackupApp_desc
54
Kapitel 7: Fehlerbehebung und FAQs
Dieser Abschnitt beantwortet häufig gestellte Fragen zur Konfiguration von Synology Directory.
Konto
Warum kann ein neu erstellter Benutzer sich mit dem alten und dem neuen Kennwort bei DSM anmelden?
Das Problem entsteht durch das Windows-Attribut OldPasswordAllowedPeriod (weitere Informationen dazu finden Sie in diesem Artikel). Dieses Attribut bestimmt, wie lange das System nach der Änderung oder dem Zurücksetzen des Kennworts eine NTLM-Anmeldung mit
dem alten Kennwort erlaubt.
Bei folgenden Konfigurationen von OldPasswordAllowedPeriod und Kennworteinstellungen
können sich Domainbenutzer, die Ihre Kennwörter geändert haben, für einen bestimmten
Zeitraum (je nach dem Wert von OldPasswordAllowedPeriod) möglicherweise mit dem alten
und dem neuen Kennwort bei DSM anmelden:
• Die Funktion Kennwortverlauf ist aktiviert.
• NTLM (und nicht Kerberos) wird für die Kennwortänderung verwendet.
• OldPasswordAllowedPeriod ist nicht auf 0 eingestellt (Standard sind 60 Minuten).
Um das Problem zu beheben, deaktivieren Sie bitte OldPasswordAllowedPeriod:
1. Öffnen Sie den Terminal-Emulator auf Ihrem Computer (z. B. PuTTy).
2. Melden Sie sich über SSH/Telnet mit Root-Berechtigung bei DSM an.
3. Geben Sie folgenden Befehl ein:
vi /var/packages/DirectoryServerForWindowsDomain/conf/etc/synoadserver.
conf.mustache
4. Ändern Sie old password allowed period auf 0 und speichern Sie die Einstellungen.
Kapitel 7: Fehlerbehebung und FAQs
https://support.microsoft.com/help/906305/new-setting-modifies-ntlm-network-authentication-behaviorhttps://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
55
Kapitel 7: Fehlerbehebung und FAQs
Was soll ich tun, wenn ich bei der Windows-Anmeldung mit einem Domainbenutzerkonto die Meldung „Dieser Benutzer kann sich aufgrund von Kontoeinschränkungen nicht anmelden.“ erhalte?
Dieses Problem wird nachfolgend im Detail beschrieben:
Wenn Sie sich bei einem Windows-PC in einer Domain mit einem Domainbenutzerkonto
anmelden, schlägt die Anmeldung fehl und die folgende Nachricht wird angezeigt: „Dieser
Benutzer kann sich aufgrund von Kontoeinschränkungen nicht anmelden. Beispiel:
Leere Kennwörter sind nicht zulässig, es gelten Anmeldezeitbeschränkungen, oder eine
Richtlinieneinschränkung wurde erzwungen.“ Sie können sich mit dem Benutzerkonto jedoch
dennoch bei DSM anmelden. Der Zugriff auf einen freigegebenen Ordner mit diesem Konto
über SMB ist ebenfalls weiterhin möglich.
Gehen Sie wie folgt vor, um das Problem zu lösen:
1. Gehen Sie zu DSM Synology Directory Server > Benutzer und Computer.
2. Doppelklicken Sie auf den Standardbenutzer krbtgt.
3. Wählen Sie in der Registerkarte Konto eine der folgenden Optionen:
• Setzen Sie kein Häkchen bei Dieses Konto sperren.
• Setzen Sie ein Häkchen bei Dieses Konto deaktivieren.
Wie kann ich alle deaktivierten Benutzer in Synology Directory Server auflisten?
1. Öffnen Sie den Terminal-Emulator auf Ihrem Computer (z. B. PuTTy).
2. Melden Sie sich über SSH/Telnet mit Root-Berechtigung bei DSM an.
3. Geben Sie folgenden Befehl ein:
ldbsearch -H ldap://localhost '(&(objectCategory=Person)
(objectclass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))' -P
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
56
Kapitel 7: Fehlerbehebung und FAQs
Was soll ich tun, wenn servergespeicherte Profile nicht mit Synology Directory Server synchronisiert werden, wenn OpLock aktiviert ist? (Nur Windows-PC)
Wenn Sie unter DSM Systemsteuerung > Dateidienste > SMB > Erweiterte Einstellungen OpLock (Opportunistic Locking) aktiviert haben, können servergespeicherte Profile
möglicherweise nicht mit Synology Directory Server synchronisiert werden, wenn Benutzer
ihre Computer herunterfahren. Gehen Sie wie folgt vor, um das Problem zu lösen:
1. Führen Sie als Administrator auf einem Windows-PC die Windows PowerShell aus.
2. Geben Sie in der Eingabeaufforderung „gpedit.msc“ ein. Es wird der Editor für lokale Gruppenrichtlinien angezeigt.
3. Gehen Sie zu Richtlinie für "Lokaler Computer" > Computerkonfiguration > Administrative Vorlagen > System > Benutzerprofile.
4. Doppelklicken Sie auf Die Registrierung der Benutzer bei der Benutzerabmeldung nicht zwangsweise entladen.
5. Klicken Sie im folgenden Fenster auf Aktiviert.
6. Klicken Sie auf OK.
57
Kapitel 7: Fehlerbehebung und FAQs
Verzeichnis
Warum gibt es die Ordner „sysvol“ und „netlogon“?
Wenn Sie Ihren Computer mittels SMB-Protokoll mit einem Synology NAS verbinden, auf dem
von Synology Directory Server eine Domain eingerichtet wurde, werden die Ordner sysvol and netlogon angezeigt. Sie enthalten erforderliche Dateien für Synology Directory Server.
Im Ordner sysvol sind die öffentlichen Dateien einer Domain gespeichert. Der Ordner netlogon enthält Anmeldeskripts und Gruppenrichtlinien, die von Computern in der Domain verwendet werden können.
Anmerkung:
• Die Ordner sysvol und netlogon können weder ausgeblendet noch deaktiviert werden.
• Diese beiden Ordner werden unter DSM Systemsteuerung > Freigegebener Ordner nicht angezeigt.
• Die beiden Ordner werden auf Windows 10-Rechnern angezeigt, ohne dass ein direkter
Zugriff auf sie möglich ist.
Wie kann ich verschachtelte Gruppen für Synology Directory Server erweitern?
Verschachtelte Gruppen ermöglichen Flexibilität bei der Planung Ihrer Gruppenstruktur
und der Anwendung von Zugriffskontrolllisten (ACLs) auf Ressourcen der Domain. Um diese
Funktion für die Gruppen in der Domain von Synology Directory Server zu aktivieren, gehen
Sie bitte wie folgt vor:
1. Öffnen Sie den Terminal-Emulator auf Ihrem Computer (z. B. PuTTy).
2. Melden Sie sich über SSH/Telnet mit Root-Berechtigung bei DSM an.
3. Geben Sie „vi /etc/samba/smbinfo.conf“ ein.
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
58
Kapitel 7: Fehlerbehebung und FAQs
4. Fügen Sie den folgenden Parameter hinzu („x“ steht für die Anzahl der Ebenen
verschachtelter Gruppen. Sie können x durch eine beliebige Zahl wie 2 oder 5 ersetzen.):
winbind expand groups=x
5. Geben Sie „restart winbindd“ ein. Wir empfehlen, diesen Befehl in Zeiten geringerer
Auslastung auszuführen, um Beeinträchtigung der Leistung bei alltäglichen Aktivitäten zu
minimieren.
Was soll ich tun, wenn beim Beitritt eines Computers zu meiner Domain mittels LDAP-Beitrittsmethode die Meldung „Strenge Authentifizierung ist erforderlich.“ angezeigt wird?
Der Beitritt von Computern zur Domain von Synology Directory Server mittels LDAP-
Beitrittsmethode wird von Synology Directory Server nicht offiziell unterstützt. Sie können
diese Funktion jedoch dennoch wie folgt aktivieren:
1. Gehen Sie zu DSM Systemsteuerung > Sicherheit > Zertifikat und stellen Sie sicher, dass der Name des von Synology Directory Server verwendeten Zertifikats mit Ihrer Domain
übereinstimmt.
2. Öffnen Sie den Terminal-Emulator auf Ihrem Computer (z. B. PuTTy).
3. Melden Sie sich über SSH/Telnet mit Root-Berechtigung bei DSM an.
4. Geben Sie „vi /etc/samba/smb.conf“ ein.
5. Fügen Sie den folgenden Parameter hinzu und speichern Sie die Einstellung:
ldap server require strong auth = no
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
59
Kapitel 7: Fehlerbehebung und FAQs
Anmerkung:
• Um mit Ihrem Computer einer Domain von Synology Directory Server beizutreten,
identifizieren Sie im LDAP-Beitrittsassistenten auf Ihrem Computer Synology Directory
Server anhand des vollqualifizierten Domainnamens (FQDN, z. B. „synol.local“).
• Wenn Sie mit Ihrem Computer weiterhin nicht über eine LDAP-Beitrittsmethode der
Domain beitreten können, empfehlen wir, stattdessen mit dem Paket LDAP Server ein LDAP-Verzeichnis einzurichten. Weitere Informationen finden Sie in den Hilfe-Artikeln zu LDAP Server auf der Synology-Website.
DNS
Wie können Domainclients automatisch zu PTR-Einträgen in DNS Server registriert werden? meinen sie es so? (Nur Windows-PC)
Ein PTR-Eintrag ermöglicht Reverse-DNS-Lookup, d. h. die Auflösung einer IP-Adresse zurück zu
einem Domainnamen oder Hostnamen. Um sicherzustellen, dass Domainclients automatisch
zu PTR-Einträgen in DNS Server registriert werden, gehen Sie bitte wie folgt vor:
1. Aktivieren Sie „DNS-Suffix dieser Verbindung in der DNS-Registrierung verwenden“:
a. Melden Sie sich mit einem Konto mit Administratorrechten bei dem der Domain
beigetretenen Windows-PC an, der den PTR-Eintrag registrieren soll.
b. Gehen Sie in Windows zu Start > Einstellungen > Netzwerk und Internet > Status > Adapteroptionen ändern und klicken Sie auf die derzeit verwendete Netzwerkschnittstelle.
c. Klicken Sie auf der Seite Status auf Eigenschaften.
d. Wählen Sie in der Registerkarte Netzwerk die Option Internetprotokoll, Version 4 (TCP/IPv4) und klicken Sie auf Eigenschaften.
e. Kli