Directory Server Migration bestehender DSM-User zu Synology Directory Server (AD)

[phil14]

Die DS918+ ist seit 3 Jahren sehr erfolgreich im Einsatz, einige Windows-PCs/Laptops und ca. 10 Nutzer. PhotoStation, Kalender, Wiki und SMB-Dateishares.
Nun möchte ich die Nutzerverwaltung zentralisieren, auch weil die User vermehrt den Arbeitsplatz wechseln wollen.
Roaming Profiles sind vorerst nicht geplant (kenne deren Probleme von meinen Windows-Servern), nur die zentrale Nutzerverwaltung (und evtl. Home-Laufwerke) wollen wir nutzen.

Habe nun Synology Directory Server installiert, sieht soweit gut aus.

Meine Frage betrifft die User-Accounts auf der Synology:

Auf den Windows-PCs ist mir klar, daß die Domänen-Nutzer neue Profile bekommen, weil sie ja tatsächlich unabhängig von den lokalen User-Accounts sind - wobei ich die Profile evtl. mit Permissions- und Registry-Gefummel vielleicht übernehmen kann.

NAS-seitig aber hatte ich gehofft, daß ich die bestehenden User (die ja auch zB. Kalender haben), und auch die Gruppen mit den Zugriffsrechten auf die SMB-Shares, ins AD hereinnehmen kann – finde aber nichts dergleichen.

Muß ich jetzt also alle Gruppen und alle User im DS nochmal neu anlegen?
Und für die bestehenden CalDAV-Kalender-Accounts weiterhin die alten DSM-User-Accounts pflegen?

Also in Zukunft alles doppelt?

Oder gibts da eine vernünftigere Lösung?

 

[NSFH]

Unter DSM6 keine Cchance, mit DSM7 soll es gehen, da felen mir abber noch die eigenen Erfahrungen.

 

[phil14]

Danke! Das klingt spannend.

Hast Du Erfahrungen mit Upgrade von 6 auf 7?
In Benutzung sind SMB-Shares, Cloud Station Server, Photo Station, Drive Station, Kalender, CardDAV Server, Wiki, eine Linux-VM, und HyperBackup mit mehreren USB-Medien (rotierend mit notgedrungen jeweils eigenem Task).

 

[NSFH]

Nur auf einer Testumgebung und da hat der Wechsel von 6 auf 7 problemlos mit dem AD funktioniert.
Bis auf das Photo Zeugs läuft da eine ähnliche Umgebung auch mit VM wie bei dir.

 

[phil14]

Danke! Das klingt spannend.

Hast Du Erfahrungen mit Upgrade von 6 auf 7?
In Benutzung sind SMB-Shares, Cloud Station Server, Photo Station, Drive Station, Kalender, CardDAV Server, Wiki, eine Linux-VM, und HyperBackup mit mehreren USB-Medien (rotierend mit notgedrungen jeweils eigenem Task).

Ok, werd mal schauen was wir machen. Danke für Deine Hilfe!

 

[Soletario]

Ich hänge mich hier mal dran: gibt es zu der Frage oben inzwischen neue Erkenntnisse? Geht es in DSM7, dass man die Konten des Directory Servers als DSM Konten führt? Oder brauchen die Nutzer zwei? Ich finde nix dazu.
Meine eigentliche Frage ist: wie kann ich Dienste wie den OpenVPN Server für die DS Benutzer verfügbar machen?

 

[phil14]

Ich bin nach wie vor auf Version 6 (und wir migrieren derweil nicht, weil die Fotos-App auf 7 kein Geo-Tagging kann).
Kann daher zu 7 nichts sagen, wobei es dort soweit ich verstanden habe, diesbezüglich keine wesentliche Änderung gibt. Neu ist lediglich (wenn ich den Support richtig verstanden habe), daß man von einer bestehenden Windows-Domain Konten importieren kann.
Das hilft mir nicht.

Also, was zu tun ist (und ich tue):
Alle User in der Domain neu anlegen,
auch die Gruppen,
und in allen Apps (und Dateifreigabe), sie scheinen dort auf, diesen Gruppen die entspr. Berechtigungen geben.

Wo es besonders mühsam wird:
1) Kalender - auch hier haben die User natürlich dann einen zweiten Account. Lösungsvorschlag vom Support: Kalender jedes Users komplett exportieren, und dann in den enspr. Domain-Account importieren.
2) Windows-Benutzerprofile - auch diese sind dann natürlich neu, weil es ja neue User sind. Also würden alle User ein neues Profil bekommen! Die einzige Rettung: https://www.forensit.com ... Damit kannst Du das Profil eines lokalen Users einem Domain-User unterschieben (der lokale Account ist danach ohne Profil; Kopieren würde sicher nicht gutgehen). Bisher bei zwei Test-Usern probiert, scheint zu funktionieren...

 

[Soletario]

Besten Dank für Deine Infos. Das ist für meine zur Zeit 10 User noch gut möglich. WIN Profile dachte ich könne ich mit Boardmitteln kopieren. Hab mir die Anleitung aber nur gespeichert, noch nicht ausprobiert (auf einem PC mit lokalem und Domain-Profil über ein drittes Admin-Profil soll das Kopieren möglich sein).
Ich habe beim VPN Server nun auch in den Allgemeinen Einstellungen entdeckt, dass ich unter Kontotyp auf Domainbenutzer umstellen kann. Was dann aber dazu führt, dass DSM User sich nicht mehr beim VPN Server anmelden können. Das ist für eine schrittweise oder teilweise Umstellung nicht schön. Es sind halt nur einige Mitarbeiter:innen die sich an verschiedenen PC anmelden müssen und nur für die wollte ich die Domaine einrichten. Naja, ich probiere weiter.
Schönes Neues Jahr!

 

[NSFH]

Domainserver, Fileserver und den stellst du mit einem Bein für VPN ins Internet?
Das würde ich noch mal überdenken und VPN Server über ein anderes Device realisieren!

 

[Soletario]

Ich kenne die Bedenken, jedoch kann ich keine konkrete Gefahr entdecken (was an meiner Unwissenheit liegen kann). Wenn jemand über VPN in mein Netz bzw auf meinen VPN Server einbrechen kann, dann macht es doch kaum einen Unterschied, wenn dieser VPN Server auf einem eigenen Gerät läuft. Zum mindest habe ich so die jenigen verstanden, die kein größeres Sicherheitsproblem sehen.

 

[phil14]

1.) Windows-Benutzerprofile mit Bordmitteln Kopieren --> sehr mutig. Die Berechtigungen sind nicht-trivial, und da drinnen sind Links mit absoluten Pfaden oder alle möglichen "magic" Sachen, die uU. nicht mitgehen – also da muß man sehr genau wissen was man tut. Und dann kommst Du zB. 3 Wochen später drauf, daß irgendwelche Files von Domain\Hugo in Wirklichkeit in Hugo liegen, dessen altes Profil Du aber grade ausgemistet hast. Also Vorsicht!!!
Die Anleitung würde mich interessieren.
2.) VPN mache ich lieber auch separat, verwende dafür Firewall-Appliances wie zB. FortiGate (aber damit muß man sich auskennen sonst ist das endloser Frust und zusätzliches Risiko). Es ist halt Frage des Aufwandes (Geld und Zeit) den man investieren will/kann, und wie schlimm es wäre, wenn die Daten öffentlich werden. (Sind es fremde Daten? Personenbezogene? Betriebsgeheimnisse? Gesundheitsdaten?) Deine Argmumentation betr. Risiko ist nicht ganz unlogisch, insbes. weil ein immer größeres Rikiso von innen kommt (zB. Krypto-Trojaner, der auf einem lokalen PC losgeht). Da könnte eine (UTM-)Firewall zwar schon auch helfen, aber das führt hier zu weit...

 

[Soletario]

zu 1) Die Anleitung ist von hier: <https://armann-systems.com/wiki/benutzerprofil-migration-unter-windows-10/>:
Ursache
Alle Daten und Einstellungen eines Benutzerprofils sollen bei der Migration erhalten bleiben, z.B. wenn:

• Windows Domäne des Benutzers ändert sich
• Windows Server inkl. Active Directory wird aufgrund von einer Migration neu erstellt und die Benutzer sollen kopiert werden
• Benutzerprofil für weitere Benutzer mit identischen Einstellungen kopieren
• Windows Migrationen und Benutzerdaten sollen übernommen werden

Lösung

1. Neuen Benutzer anlegen
2. Neustart PC
3. als lokaler Administrator anmelden (darf weder der alte noch der neue Benutzer sein)
4. Explorer öffnen „WIN Taste“+“e“
5. Rechtsklick „Dieser PC“ –> Eigenschaften
6. „Erweiterte Systemeigenschaften“
7. „Benutzerprofile/Einstellungen“
8. Altes Profil auswählen, mit „Kopieren“ das alte Benutzerprofil in das neue kopieren, dabei gleichzeitig den neuen Besitzer angeben

zu 2) der Schaden ist überschaubar, falls meine Daten öffentlich werden. Es keine der oben genannten Bereiche. Daher reicht mir OpenVPN auf Synology Server. Wichtiger scheint mir ein wirklich zeitnahes und versionsreiches Backup vom Server und allen PC. Das habe ich.

 

[NSFH]

I................ Wenn jemand über VPN in mein Netz bzw auf meinen VPN Server einbrechen kann, dann macht es doch kaum einen Unterschied, wenn dieser VPN Server auf einem eigenen Gerät läuft. Zum mindest habe ich so die jenigen verstanden, die kein größeres Sicherheitsproblem sehen.

Wenn jemand diese Hürde überwindet ist er nicht nur in deinem Netz sondern bereits direkt auf der Synology ohne weitere Hindernisse.
Wenn das kein Sicherheitsrisiko ist was dann?
Hier begehen die meisten den Fehler alles was die Syno kann auch zu benutzen. Das wird auch von Synology so sugeriert, schliesslich verkauft es sich gut, die eierlegende Wollmilchsau halt. Aber kein verantwortungsbewusster Admin würde so ein Konstrukt welches Öffnungen nach Aussen beinhaltet aufsetzen.

 

[Soletario]

Wahrscheinlich verstehe ich es nicht richtig: "diese Hürde" ist doch vor allem, dass ein VPN Account genutzt wird? Und "bereits direkt auf der Synology" meint doch, dass er (oder sie) mit dem Account auch weitere Rechte hat auf der Synology was anzustellen?
Meine Nutzer haben Rechte auf gemeinsame Ordner aber nicht zur DSM. Weiterhin sind meine Nutzer nicht begeistert, wenn sie verschiedene Nutzernamen und Passwörter für Lokale Anmeldung, VPN und Zugang zu den Synology Files haben. Liegt es nicht eher an diesen Punkten und weniger, ob hardware mäßig auf einer Maschine läuft?
Ich habe vollstes Verständnis, wenn die Antwort lautet: glaubs mir einfach, es ist zu kompliziert das einem Laien zu erklären.
Gleichzeitig kenne ich in dem Bereich wo ich mich technisch auskenne viele Mythen ohne das wirklich Risiken und Wahrscheinlichkeiten abgewogen werden.