Active Directory intergration mit lokalen Synology Gruppen ?

[MasterOe]

Hallo zusammen,

ist es möglich wenn die Synology im AD eingebunden wurde normale "Synology" Gruppen mit AD User zu erstellen?

Der Hintergrund ist das ich keine Berechtigung für die AD habe, aber evtl. eine Möglichkeit eine Synology, die von mit verwaltet wird, in diese Einzubinden.
Wenn es so klappen würde könnte ich zumindest eigene Gruppen mit bestehenden AD Usern erstellen welches mir sonst nicht möglich ist.

Geht das überhaupt?

 

[NSFH]

Verstehe die Frage nicht ganz, vermute du willst folgendes Wissen:
AD User sind keine Synology/Linux User. Beide Nutzer-Systeme existieren nebeneinander.
Hast du also einen Nutzer XYZ im AD kannst du auch einen XYZ in der Syno Gruppe anlegen. Diese existiieren dann nebeinander und nicht miteinander.

 

[maulsim]

Also NSFH hat Recht. So wie ich die Frage verstehe funktioniert dies nicht. Die beiden Nutzersysteme sind nicht kompatibel zueinander. Es ist also nicht möglich einen AD Nutzer oder einen LDAP Nutzer in eine Synology Gruppe zu packen. Auch andersherum ist dies nicht möglich. Deshalb muss man in einigen Pakten auch auswählen auf welche Benutzerbasis sich das System beziehen soll.

 

[MasterOe]

Das hatte ich mir auch schon gedacht, war mir aber nicht sicher... DANKE für die Antworten !

 

[Benares]

Ich weiß nicht, wie das mit einer AD-integrierten DS ist, weil ich mich noch nicht damit beschäftigt habe, aber unter Windows "pur" funktioniert das.

Lokale und AD-Benutzer/-Gruppen existieren zwar parallel, aber man kann durchaus AD-Gruppen in eine lokale Gruppe aufnehmen und nur die lokalen Gruppen bei den Shares berechtigen. Die AD-User aus der AD-Gruppe haben dann auch Zugriff. AD-User in lokalen Gruppen geht da auch, macht es aber recht unübersichtlich. Dabei muss man sich nur klar machen, das AD\UserA, AD\UserB, AD\GroupA, AD\GroupB und DS\UserA, DS\UserB, DS\GroupA, DS\GroupB ("DS" mal als Beispiel für die lokalen) einfach unterschiedliche Objekte sind. Aber man kann das beliebig mischen. Dafür muss aber der PC in die AD "gejoint" sein, d.h., im AD muss für ihn ein Computerobjekt existieren und er muss von Arbeitsgruppe aus AD umgestellt sein. Erst dadurch erlangt er Zugriff auch auf die AD-Objekte (User/Gruppen/...).

Eine Ausnahme gibt es: Wenn man zu Hause z.B. mehrere PCs hat ohne Domain hat, und auf allen die Benutzer mit gleichem Namen und Passwort anlegt, dann wird auf PC2 auch der PC1\UserA als PC2\UserA akzeptiert. Bei AD-Usern und Non-AD-Usern funktioniert das auch, solange die Passworte gleich sind. Man kann also auf einem Nicht-AD-PC auch einen AD-User reinlassen, bzw. dessen Rechte verwalten, oder umgekehrt, indem man einen lokalen User mit gleichem Passwort anlegt.

Nicht-AD-gejointe PCs bilden logisch nur eine Pseudo-Domain mit dem Computernamen als Domainname, die nur lokal gilt. Ggf. muss man in gemischten Umgebungen also die Benutzer/Gruppennamen immer mit "Pfad" (Domain\) angeben, um festzulegen, ob man z.B. AD\GroupA, DS\GroupA oder PC1\GroupA meint.

Ist das bei den DSen ein Problem oder habe ich die Frage nicht ganz verstanden?

 

[blurrrr]

Ich habe bisher auch noch keine Syno an ein AD angehängt (doch, kurzfristig, aber das ist schon sehr lange her), aber die alles "entscheidene" Frage hat hier noch niemand gestellt: Wenn Du keinerlei Rechte bzgl. des AD hast, wie willst Du bitte die Syno dort einbinden? Was allerdings mitunter gehen könnte, wäre vllt etwas in Richtung Childdomain, für welche Du mitunter als Administrator in Frage kommen könntest (oder auch nicht... das entscheidet der "richtige" Admin, also schaff dem immer schön Kaffee ran... ). Alternativ (sofern Deine DS auch vDSM kann), setz einfach mal sowas testweise auf, erstell auf dem Gerät selbst eine Domain und dann leg einen Domänenbenutzer an und schau, ob Du diesen in eine lokale Gruppe verfrachten kannst. Bevor hier endlose Mutmaßungen stattfinden, weil das so eh niemand laufen hat, teste einfach selbst und hab die Sicherheit diesbezüglich

 

[NSFH]

Unter Windows ist das in dieser reinrassigen Umgebung kein Problem, hier kommen aber Linux und Windows zusammen. Da gibt es keinerlei Berührungspunkte. Das AD der Syno kann noch nicht mal die Nutzer des DSM migrieren.