Benutzerverwaltung mit Domain-Controller

    Hallo Zusammen,



    ich bin etwas verwundert, dass ich keinerlei Informationen zur Domain-Controller Verwaltung finde, diemir beschreibt, wie ich die Berechtigungsgruppen verwende oder auch anlege... Ich hab mir das Benutzerhandbuch bereits hoch und runter gelesen und habe auch schon gegooglet ohne Erfolg. Daher bitte ich euch um Hilfe. Ich stehe wahrscheinlich einfach nur auf dem Schlauch, da es ja nicht sein kann, dass keiner das Problem bisher hatte…


    Ich habe zwei NAS-Systeme TS231 die ich mit einer gemeinsamen Domain ausgestattet habe. Melde ich mich nun mit einem Domain-Benutzer an, sehe ich außer den Datenexplorer keine andere Anwendung. Auch das eigene Passwort kann der Domainbenutzer nicht ändern. Also eigentlich kann er nichts. Im Gegensatz sieht der normale NAS-Benutzer mehrere Apps und kann in der lokalen Admingruppe als Admin agieren.


    So, setzte ich nun den Domainbenutzer mal in die Domainadministratorengruppe oder in irgendeine andere Gruppe. Nach der Neuanmeldung des Benutzung tut sich leider rein garnichts an der Funktionsauswahl an der angemeldeten NAS. Also irgendetwas stimmt hier nicht oder können Domainbenutzer außer ihre Homedaten und Freigaben nicht machen? Ich glaube kaum… Nun habe ich mal die Benutzergruppe mit dem Domainbenutzer an das Computerobjekt gehangen. Leider ebenfalls ohne Erfolg.


    Was fehlt oder mache ich falsch?


    UND


    Gibt es eine Dokumentation die mir sagt, welche Gruppe für welche Funktion zuständig ist? Also für was die Standardgruppe „“ genutzt wird und welche Funktion sie erfüllt.


    Gruß Chris

    Sehr wahrscheinlich machst du nichts falsch, sondern QNAP hat die Anbindung der AD-Benutzer an die Applikationen nicht vollständig ausgeführt.


    Wahrscheinliche Erklärung:
    ActiveDirectory ist von Microsoft auch nicht für Heimanwender gedacht, sondern für Firmen.
    In der Firma arbeitet man am PC und ändert dort sein Passwort.
    Die restlichen Applikationen sind hauptsächlich für den Heimanwender entwickelt worden
    und daher keine Anbindung an die AD-Domäne notwendig.

    Ich weiß, wovon du redest,
    die Domain-Verwaltung basiert auf dem ActiveDirectory des SAMBA-Servers.
    Dieser ist fast 100% kompatibel zur Microsoft AD-Domäne.

    Okay, dass ist mir neu... Danke, habe was dazu gelernt. Kann ich die Benutzer nicht in eine Normalemitgleidschaft übernehmen wie die lokalen User? Ich glaube nicht dass das mit einem AD-Objekt nicht funktioniert aber mit einem lokalen...

    Kann ich die Domain-Nutzer nicht in eine Gruppe aufnehmen, die die selben Berechtigungen wie die lokalen Benutzer vergibt?

    Berichtigt mich, wenn ich falsch liege, aber ich habe das Domainen-Ding auf dem NAS (vereinfacht erklärt) so verstanden, dass es für den Fall gedacht ist, dass man beispielsweise eine Firma hat (oder warum auch immer, privat ein entsprechend umfangreiches Netzwerk), welches mit diesem ActiveDirectory arbeitet. Dort sind die ganzen Richtlinien konfiguriert. Wenn man sich nun nachträglich ein NAS kauft und dieses in diesem Firmennetzwerk integrieren will, dann kann man dieses Domainen-Ding auf dem NAS dazu nutzen, die Richtlinien des ActiveDirectory-Dingsbums auch auf dem NAS anzuwenden, ohne auf dem NAS extra die ganze Benutzerstruktur des Firmennetzwerkes nochmal konfigurieren zu müssen.

    Joa, dass ist wohl der tiefere Sinn. ?( Aber ich kann ja nichts anwenden außer eine stupide Benutzerverwaltung...


    Mich wundert es nur arg, dass man mit einer gemeinsamen Benutzerverwaltung über mehrere NAS weniger machen kann als mit der lokalen Benutzerverwaltung einer einzelnen NAS. Ist das denn echt so? Denn dann frag ich mich wieso ich mir drei NAS-Systeme gekauft habe, wenn ich eh alles drei Mal machen muss :X bzw. bei einer Passwortänderung an drei Systemen dies tun muss, dass kann es doch nicht sein :handbuch:

    Zitat von All0rounder

    bei einer Passwortänderung an drei Systemen dies tun muss, dass kann es doch nicht sein

    Dann hast du die NAS falsch eingerichtet.
    Du solltest ein Haupt NAS mit dem DomänenController und 2 NAS als zusätzlichen DomänenController haben.
    https://www.qnap.com/de-de/qa/?cat=5#content_top


    Warum QNAP nicht die Benutzer der Domäne mit für die anderen Anwendungen zur Passwortabfrage nutzt, kann viele Gründe haben.
    Selbst mit der LDAP-Domäne (unvollständiges NT4.0-Domäne) hast du nicht mehr Möglichkeiten.

    Die TS251 ist die Haupt-NAS und die anderen zwei (TS231) sind natürlich per "zusätzlichen DomänenController" eingerichtet. Von daher ist alles richtig konfiguriert.
    Hat von euch keiner mehrere NAS im Betrieb die per Domain gemeinsam arbeiten und kann das Szenario nachstellen?

    Wie gesagt, dass ist ja noch nicht mal möglich! Also die Domain-Controller-Benutzerverwaltung bei mir macht überhaupt keinen Sinn, daher gehe ich ja von einem Kongigurationsfehler oder Bug aus...


    Wie sieht das ganze den bei euch aus? Können eure Domainbenutzer auch nur die "File station" benutzen oder wie ist der funktionsumfang?



    ---


    Hier nochmal meine bisherigen Schritte:

    • Alle drei NAS-Systeme eingerichtet per Assistent
    • Die TS251+ unter den "Domain Controller" aktiviert
    • Den Benutzer "fp" angelegt und in keiner Gruppe aufgenommen
    • Mich mit dem Benutzer "fp" angemeldet
    • Ich kann mit dem Benutzer nichts machen außer berechtigte Freigaben mit der File Station öffnen
    • Nun habe ich den Benutzer "fp" in die Domain-Admin Gruppe aufgenommen
    • Neu angemeldet => keine Veränderung
    • Letzte Idee den Benutzer "fp" in alle Gruppe aufzunehmen
    • Neu angemeldet => wieder keine Veränderung

    Daher auch die Ausgangsfrage

    • ob der Benutzer in speziellen Gruppen aufgenommen werden muss
    • oder auch die Gruppen/Benutzer in der Computerzuordnung des Domainverwaltung einem Computerobjekt (NAS) zugeordnet werden müssen.

    ---


    In der Anleitung bin ich nun über die DNS-Einstellung gestolpert, bei der ich von dem Domain die Zugänge eingeben soll... Da steht etwas von einem Konto... Bei der Einrichtung habe ich nur ein Domain-Kennwort vergeben und mir ist kein Benutzer bekannt. Ich habe es nun

    • mit diesem Kennwort und den Benutzervarianten Domain/admin und admin probiert,
    • sowie mit admin und den lokalen Passwort.

    Wie kann ich mich nun in der Domainverwaltung anmelden. Denn dabei ist mir aufgefallen, dass ich mich vielleicht mit dem Domainadmin (nicht separat angelegt) am Webfrontend anmelden muss um dort noch etwas zu konfigurieren. Nur was ist der Domainadmin... Ich habe ja nur ein Domainkennwort...?


    Gruß Chris


    P.S. Ich habe die Fragen nochmal Fett markiert, nicht dass nur eine beantwortet wird...

    Das du mit einem AD-Benutzer keine anderen Anwendungen außer dem FileManager nutzen kannst,
    wird wahrscheinlich schon so stimmen und so von QNAP vorgesehen, auch wenn es schmerzlich ist.
    Du mußt dich wohl entscheiden,
    entweder einheitliche Benutzer auf allen NAS mit dem Domain-Controller
    oder die Heimanwendungen wie Photostation, Download, usw. nutzen.


    Ansonsten erstell bei QNAP eine Supportanfrage zu diesem Thema.


    EDIT:


    Wenn man unter Softwarespezifikation eines NAS schaut, findet man dort auch:


    Zitat

    Domain Authentication Integration

    • Microsoft Active Directory (AD) & Domain Controller support
    • LDAP server, LDAP client
    • Domain users login via CIFS/SMB, AFP, FTP, and File Station

    EDIT #2:


    Gerade durch einen anderen Beitrag gesehen, das die Unterstützung für Domänenbenutzer bei MusicStation und PhotoStation mit der QTS 4.3 kommen soll


    Du müsstest doch auch, um die einfache Synchronisierung der User und Passwörter zu bewerkstelligen, die Einstellungen des Haupt-NAS exportieren und auf den anderen NAS importieren können. Klar wäre es schöner und einfacher -weil automatisch- wenn das der Domaincontroller macht und könnte, aber bis das funktioniert wäre das vielleicht ein Workaround... :/