Hoe joint mijn Synology netjes aan AD met goede permissies?
Synology DSM joinen aan AD geeft directe groep-permissies op shares, zonder lokale users te managen. Een paar valkuilen rond DNS, time-sync en sambacompatibiliteit.
Probeer dit eerst zelf
- 1Op de Synology: Control Panel, Domain/LDAP, Domain. Vul domain-naam, AD-server-FQDN, en domein-account met join-rechten in.
- 2Vooraf: DNS van de Synology op de DC's, time-sync op de DC's of dezelfde NTP. Anders Kerberos-fouten direct na join.
- 3Geef shares permissies via AD-groepen, niet via lokale users. In Shared Folder, Edit, Permissions, kies Domain Users / Domain Groups.
- 4ABE (access-based enumeration) op de share aan: gebruikers zien geen folders waar ze niet bij kunnen. SMB-versies: SMB1 uit, SMB2/3 aan.
- 5Test als gebruiker: file-zoals een normale share-toegang, kijk in DSM Log Center bij issues. Veelvoorkomende fout: case-sensitivity op Linux backend versus Windows-clients.
Wanneer ons inschakelen
Voor backup-targets en VM-storage op Synology: combineer met immutable snapshots en tweede Synology op andere locatie. NAS bij domein-member maakt het aanvalsoppervlak groter, dus monitor inlog-events.
Zie ook
- Eén DC of twee DC's voor een MKB-kantoor?Twee is bijna altijd het juiste antwoord; één DC is een single point of failure voor logon, DNS en GPO.
- Moet ik FSMO-rollen verdelen over twee DC's?Voor een klein domein mag alles op één DC; bij twee DC's is verdelen netter maar geen must.
- Hoe weet ik of mijn AD-replicatie gezond is?Replicatie-fouten sluipen er stilletjes in; ze worden pas zichtbaar als logins of GPO's gek doen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.