NAS kann nicht in AD übernommen werden

Zitat von "miplar"

Punkt a und b sind ohne Domänen Server nicht realisierbar, das ist doch so richtig, oder?

Nein, auf dem NAS kannst du auch Benutzer mit Passwörter einrichten, die dann genauso heißen müssen, wie diese auf den PCs existieren.
So agiert das NAS als unabhängigen Server.
Bei einer Domäne muß der Benutzer nur einmal eingerichtet werden, die Anmeldung erfolgt immer an der Domäne zentral.
Bei einer Arbeitsgruppe wie bei dir, läßt du die Einträge für die AD frei, mußt du die Benutzer und Passwörter auf jeden PC bzw. NAS gesondert verwalten.

Stefan

Ich wollte die Fachleute, wie Stefan u.a., überhaupt nicht so endlos nerven! Ich bitte um Nachsicht für einen "Frischling" wie mich!

Zitat von "Eraser-EMC2-"

Nein, auf dem NAS kannst du auch Benutzer mit Passwörter einrichten, die dann genauso heißen müssen, wie diese auf den PCs existieren.
So agiert das NAS als unabhängiger Server.

Na, das ist ja doch mal nicht schlecht = Super und Danke!
Und es muss aber nach wie vor von einer höheren BS-Version von MS sein, oder?

Zitat von "Eraser-EMC2-"

Bei einer Arbeitsgruppe wie bei dir, läßt du die Einträge für die AD frei, mußt du die Benutzer und Passwörter auf jeden PC bzw. NAS gesondert verwalten.

Stefan

Du schreibst: "gesondert verwalten" = heißt das -> ein extra Programm? Oder einfach nur im Betriebssystem und NAS gesondert verwalten?

Und dann gebe ich Ruhe - versprochen!
Gruß Mike

Das soll nur heissen, dass du auf jedem Arbeitsgruppen-PC in deinem netzwerk die selben benutzer anlegen musst, wie auf dem NAS.
Wenn am PC derselbe benutzer angelegt ist, wie er auf dem NAS existiert, erleichtert das die Authentifizierung an den ressourcen des NAS.

In einem AD sind die Benutzer zentral angelegt, in der Benutzerverwaltung des Domänen-Controllers.
Wenn du deine PC's in die Domäne bringst, kann man sich an jedem rechner mit einem Domänenbenutzer anmelden.
Das Login wird dann über den DC verifiziert und dort auch die Berechtigungen abgefragt. (mal einfach gesprochen)

Hallo zaros17,

wenn die Anmeldung mit User@Domäne nicht geht, weil das @ nicht gültig ist, versuche es mal mit domäne\User.
Unter Windows kann auch der Backslash - [AltGr] und ß - als Trennung zwischen Domäne und User genutzt werden, allerding ist die Reihenfolge dann statt User@Domäne andersherum Domäne\User

MfG
Matthes (aus dem Sauerland)

Nach langem Suchen in den Weiten des WWW und vor Allem dem vielen Probieren, hier meine Lösung, auch unterstützt durch die guten Erklärungen und die Unterstützung der hier beteiligten Forumnutzer!

NAS TS-119 ALS EIGENSTÄNDIGER SERVER

Problembeseitigung bei unterschiedlichen Portalordnern (inkl. Verlinkung zu den Freigabeordnern) mit 3 unterschiedlichen passwortgeschützen Benutzerzugriffen im Windows Datei-Explorer per IP, am Beispiel TS-119 und Windows Vista Home. Vorgehensweise wie im Benutzerhandbuch Punkt "3.3.3.2 Ordner-Aggregation" -> ABER dann Seite 93 -> die kleine aber doch sehr bedeutende Bemerkung im Kasten:

"Hinweis: Wenn die Freigabeordner mit einer Zugangssteuerung belegt sind,
müssen Sie den NAS und den entfernten Server unter der gleichen AD-Domain vereinen."

Meine Voraussetzungen: 3 physikalisch selbständige und somit unterschiedliche passwortgeschützte Benutzer mit unterschiedlichen Freigaben, mit je einem Portalordner, alle 3 Nutzer mit unterschiedlicher Harware (PC) und unterschiedlichen BS, aber im gleichen Netzwerk an der FritzBox 7270, Zugriff aller 3 Nutzer auf 1 x TS-119 als eigenständiger Server, die Betriebssysteme = 2 x Vista Home und 1 x XP Home. Umfeld: vernetztes eigenes EFH (jedes Zimmer ein LAN-Anschluss) auf 3 Etagen mit zukünftig fünf Nutzern, aktuell nur drei.

Einstellungen (am Besten nach einem Werksreset) im NAS (am Beispiel TS-119):

1. ALLE Einstellungen belassen und NUR die folgenden überprüfen und ggf. ändern:
2. Systemadministration -> Allgemeine Einstellungen -> Datum und Zeit = automatisch beziehen,
3. Systemadministration -> Allgemeine Einstellungen -> Sprache = Westeuropäisch/Latein 1,
4. Netzwerkdienst -> Microsoft Netzwerk = Datendienst aktivieren,
5. Netzwerkdienst -> Microsoft Netzwerk-> Erweiterte Optionen = alle weißen Kästchen deaktivieren,
6. Netzwerkdienst -> Netzwerkdiensterkennung = UPnP Dienst aktivieren
7. Netzwerkdienst -> Netzwerkdiensterkennung -> Bonjour = Webadministration und SAMBA aktivieren,

Einstellungen im Betriebssystem von MS (am Beispiel von Vista Home) OHNE Domänenverwaltung, Vereinigung, AD oder sonst der Gleichen:

1. den Benutzer mit Administratorrechten mit einem Passwort versehen (Systemsteuerung -> Benutzerkonten),
2. Benutzername und Passwort müssen im NAS sowie im BS unbedingt IDENTISCH sein,
3. Netzwerk Benutzername und Passwort dauerhaft abspeichern -> Systemsteuerung -> Benutzerkonten -> Netzwerkkennwörter verwalten,
4. Änderung der lokalen Sicherheitsrichtlinien -> weiter wie hier beschrieben: http://www.qnap.com/de/pro_application.asp?ap_id=179 was aber nur in den "höheren" Versionen von MS wie z.B. "Business", "Professional", "Ultimate", usw. bequem änderbar ist!

Was ist aber bei den "unteren" Versionen wie "Home", "Basic", "Starter", usw. von XP, Vista, und WIN7 ???
KEIN PROBLEM !!! Es gibt die selben Einstellungen, aber eben nur etwas versteckter - aber nicht unbedingt schwieriger:

1. im Registrierungseditor (Start, Zubehör, Ausführen [oder Windowstaste + "R"], "regedit" eingeben) wie folgt vorgehen:
2. unter dem Pfad: "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa",
3. den Wert des Eintrags "LmCompatibilityLevel" (rechte Seite) per Doppelklick auf "1" ändern,
4. BS neu starten = fertig!
5. Nun kann die ordnungsgemäße Kommunikation stattfinden.

Hier die Bedeutung der Werte bzw. dem Authentifizierungsverfahren für Rechnernetze:

1= LM und NTLM verwenden, jedoch nie NTLM2.
2= LM- oder NTLM-Authentifizierung verwenden. NTLM2-Situngssicherheit verwenden, wenn möglich.
3= Nur NTLM verwenden. NTLM2 verwenden, wenn vom Server unterstützt.
4= LM-Authentifizierung ablehnen (Windows NT 4-Domänencontroller). Clients verwenden nur NTLM2.
5= LM-und NTLM-Authentifizierung ablehnen (Windows NT 4-Domänencontroller). Clients verwenden nur NTLM2.

Damit (NUR zum Beispiel) NTLMv2 alleine verwendet werden soll, muss der Wert für diesen Registrierungsschlüssel auf "5" festgelegt werden. Erklärung der Abkürzungen: LM = LAN Manager, NTLM = NT LAN Manager.

Dieselbe Einstellung bei dem Wert "LmCompatibilityLevel" in der Registry unter:

1. "HKEY_LOCAL_MACHINE\System\ControlSet\Control\Lsa"
2. "HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Lsa"
3. "HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Lsa"
4. "HKEY_LOCAL_MACHINE\System\ControlSet003\Control\Lsa"

kann man auch auf "1" ändern, sofern die Einträge vorhanden sind. Ob die letzteren genannten 4 Einträge mit ausschlaggebend sind oder nicht, ist nicht klar – ich habe das aus der Verzweiflung heraus gemacht. Man könnte das auch erstmal ohne diese 4 Einträge probieren, aber ich habe es gemacht und habe auch mit anderen Anwendungen Null Probleme und es funktioniert: ALLES !!! SEHR ZUFRIEDENSTELLEND UND ABSOLUT PROBLEMLOS !!!

FAZIT: wie gewünscht kann jetzt jeder physikalisch selbständige Nutzer (authentifiziert mit seinem Passwort beim BS-Start), in seinem Datei-Explorer auf seinen jeweiligen Portalordner (als permanente Zuordnung eines Netzlaufwerkes im Datei-Explorer per IP Netzlaufwerksverknüpfung) zugreifen. Die Rechte (Netzwerkfreigabe) für die Freigabeordner (als Verlinkung im jeweiligen Portalordner), werden auf dem TS-119 bequem von mir als Admin eingerichtet und verwaltet - Schreibgeschützt, Lesen/Schreiben und Zugriffsverweigerung, die auch direkt bei dem jeweiligen Nutzer sofort wirken.

Genau so wollte ich das - nicht mehr und nicht weniger - und ich bin wirklich sehr zufrieden, dankbar und sehr glücklich!

ICH DANKE ALLEN DEN HIER BETEILIGTEN FÜR DIE DENKANSTÖSSE, HILFE UND UNTERSTÜTZUNG !!! :thumb:
Liebe Grüße, Mike.

Klasse recherchiert, dickes gratz :thumb: