QNAP NAS加入Active Directory的优点.doc

QNAP NAS加入Active Directory的优点： 方便账号设定：藉由将NAS加入Active Directory，AD服务器的所有使用者账号将自动地汇入NAS。AD用户可使用相同的用户名称及密码来登入NAS。如此服务器管理者可节省在NAS上一个一个建立账号的时间及成本。 有效访问控制：NAS允许服务器管理者针对区网(LAN)及网域(WAN)的使用者及使用者群组，个别地设定网络共享文件夹的访问权限，包括只读、读写、禁止存取。必备条件要将NAS加入Windows Server 2008 R2操作系统中的Active Directory，您必须先将NAS固件更新至V3.2.0或之后版本。请依照以下的步骤将Turbo NAS加入Active Directory (Windows Server 2008)。步骤一：设定时间及DNS信息使用管理者账号登入NAS，前往System Administration (系统管理) General Settings (一般设定) Date and Time (日期与时间)。将NAS的日期及时间设定与AD服务器一致。(误差必须少于五分钟)。接着，将主要的DNS服务器IP地址设为提供DNS服务的Active Directory服务器的IP，这组IP必须是Active Directory服务所使用的DNS服务器的IP，若您使用外接的DNS服务器，将不能加入这个网域。步骤二：确认AD服务器名称及域名。a.网域NetBIOS名称a.这是您的AD服务器名称b.这是您的域名*请注意以上的范例适用于Windows Server 2008。若使用Windows Server 2003，请参阅以下的图示来确认AD服务器名称。a.在Windows 2003服务器，AD服务器名称为node1，并非b.域名与此相同。步骤三：加入Active Directory前往网络服务微软网络，输入AD网域相关信息。注意：若您加入AD网域失败，请重新检查步骤一： 检查NAS及domain controller (域控制器)的时间是否一致。 确认NAS的DNS服务器与domain controller的DNS服务器相同。若您使用外接网域服务器，将不能加入网域。进阶设定WINS支援：请注意，在一般情况下使用者没有必要启动WINS服务器，在Active Directory环境中，建议使用DNS名称解析。1.启动WINS服务器：只有您的网络没有WINS服务器且部分计算机位于不同子域，才需要启用这个选项。若要启用这个选项，您必须将所有计算机设定为使用同一台WINS服务器，且您的网络中必须只有一个WINS服务器，若您不清楚这个选项，请勿启用。2.使用特定的WINS服务器：请注意只有当您的网络上仅有一台WINS服务器时，才需要启动这个选项。且您的NAS不能是WINS服务器。输入WINS服务器的IP地址。3.若您不清楚这个选项，请勿启用。4.Local Master Browser:启用这个选项将NAS设定为Local Master Browser，Local Master Browser负责收集本地网络内相同工作组的所有计算机名称。NAS的工作组名称必须跟其他计算机的工作组名称一致(通常是“workgroup”)。这个选项默认为开启，若您关闭此选项，NAS将不会收集网络内的计算机名称，此工作将由网络上另一台计算机执行。5.只允许NTLMv2认证：启用这个选项将只允许NTLMv2认证，拒绝LM及NTLM认证，若您不清楚这个选项，请勿启用。若您启用这个选项，请确认您的网络上的所有计算机都可使用NTLMv2认证。6.名称解析顺序：这个选项指的是微软网络上的名称解析顺序，若您启动WINS服务（启用选项(1)或(2)），您将可以选择名称解析的优先级。约所有WINS设定关闭，默认值为只有DNS。若启用WINS服务，默认值为WINS优先，DNS次之。若您在使用上并无问题，建议维持默认值。7.登入方式：在Active Directory环境中，系统默认网域用户的登入格式为：*微软网络：网域使用者名称* FTP：网域+使用者名称*网页式档案总管：网域+使用者名称* AFP：网域+使用者名称举例来说，若要从网页式档案总管以网域使用者的账号存取共享文件夹，在这个选项未被启用时，您必须使用网域+使用者名称进行认证。若启用这个选项，所有服务将会使用相同的登入格式：*微软网络：网域使用者名称* FTP：网域使用者名称*网页式档案总管：网域使用者名称* AFP：网域使用者名称举例来说，若要从网页式档案总管以网域使用者的账号存取共享文件夹，在这个选项被启用时，您必须使用网域使用者名称进行认证。8.自动注册DNS：当此选项启动时，若NAS已加入AD网域，NAS会自动在网域的DNS服务器上注册，建立一个主机记录。当NAS的IP地址变更时，NAS会自动向DNS服务器更新IP地址信息。确认设定成功要验证NAS已成功地加入Active Directory，请前往Access Right Management (权限管理) Users (使用者)。Domain Users (网域使用者)及Domain Groups (网域群组)将分别显示用户及用户群组列表。在网页式界面更新网域用户及使用群组列表若您在网域中建立了新的使用者或使用群组，请至权限管理使用者或使用者群组中，按位于网域使用者或网域群组下拉式选单旁之重新整理按钮()，这个动作会让NAS重新从Active Directory读取使用者或使用者群组列表。这个动作只用来更新网页式接口的用户列表。请注意用户权力设定将与domain controller实时同步更新。注意： 将NAS加入Active Directory之后，具有AD服务器访问权限的NAS本机使用者必须使用NAS名称使用者名称来登入；AD使用者必须使用其网域使用者名称来登入AD服务器(网域使用者名称)。 若NAS的固件为3.2.0或以后的版本，NAS的本机使用者及AD使用者(使用域名及使用者名称)可透过AFP、FTP及网页式档案总管(Web File Manager)来存取NAS。如NAS固件版本为3.2.0之前，AD使用者将不能透过网页式档案总管存取NAS。 要使用Windows Explorer登入NAS，请使用网域使用者名称作为登入名称。 要登入AFP、FTP及网页式档案总管服务，请使用网域+使用者名称作为登入名称。 只有NAS本机使用者及群组才能透过WebDAV服务存取NAS。 若使用TS-109/209/409/509系列，并且AD服务器为Windows 2008，请必须把NAS固件更新至2.1.2或以后的版本。 要透过AFP、FTP与网页式档案总管服务登入NAS，请以网域+使用者名称作为登入用名称；若要使用Windows标准的登入格式网域使用者名称，您必须启用微软网络进阶设定中登入方式这个选项。(请看以上说明)Windows 7的相关事项若您使用的计算机操作系统为Windows 7，并且没有加入AD网域，而您的NAS已加入AD网域及其固件为3.2.0之前的版本，请依照以下说明变更您的Windows 7计算机设定以使用这台计算机存取NAS。1.在Windows 7，前往Control Panel (控制台) All Control Panel Items (所有控件目),并选择Administrative Tools (系统管理工具)。2.选择Local Security Policy (本机安全策略)。3.在Local Policies (本机原则) Security Options (安全性选项)，选择Network security: LAN Manager authentication level (网络安全性：LAN Manager验证等级)。4.选择Local Security