Como proceder para assoaciar um NAS da QNAP a um domínio Active Directory (AD) da Microsoft?

"Gerir facilmente a sua conta NAS com o AD"

Introdução
O Active Directory® é um diretório da Microsoft utilizado em ambientes Windows para armazenar, partilhar e gerir centralmente as informações e os recursos da sua rede. Trata-se de um centro de dados hierárquico que guarda centralmente as informações dos utilizadores, dos grupos de utilizadores e dos computadores para uma gestão segura do acesso.

Vantagens de associar o NAS da QNAP ao Active Directory:

1. Configuração cómoda da conta: Ao associar o NAS ao Active Directory, todas as contas de utilizador do servidor AD serão importadas automaticamente para o NAS. Os utilizadores do AD podem utilizar o mesmo conjunto de nome de utilizador e palavra-passe para iniciar sessão no NAS. Desta forma, poupa o tempo e o esforço do gestor do servidor para criar as contas de utilizador, uma a uma, no NAS.
2. Controlo de acesso eficiente: O NAS permite que o gestor do servidor configure os direitos de acesso (apenas leitura, leitura/escrita ou recusar o acesso) às pastas de partilha de rede.

• Pré-requisitos
• Separador de Opções avançadas
• Verificar as definições
• Atualizar o utilizador do domínio e as listas de utilizadores na interface de internet
• Nota sobre o Windows 7

Pré-requisitos

Para associar o Turbo NAS a um Active Directory com o Windows Server 2008 R2, deve atualizar o firmware do NAS para a versão V3.2.0 ou superior.
Siga os passos abaixo para associar o Turbo NAS ao Active Directory (Windows Server 2008).

Inicie a sessão no NAS como administrador. Aceda a "Definições do sistema" > "Definições gerais" > "Hora". Defina a data e a hora do NAS, que deve ser consistente com a hora do servidor AD. A diferença de tempo máxima permitida é de 5 minutos.

De seguida, defina o IP do servidor DNS primário como o IP do servidor do Active Directory que contém o serviço DNS. É o IP do servidor DNS que DEVE ser utilizado para o seu Active Directory. Se utilizar um servidor DNS externo, não lhe será possível aderir ao domínio.

a. Este é o "Nome NetBIOS do domínio".

a. Este é o seu "Nome do servidor AD".
b. Este é o seu "Nome de domínio".

Notas: O exemplo acima é baseado no Windows Server 2008. Para o Windows Server 2003, consulte a imagem abaixo para verificar o "Nome do servidor AD".

a. Nos servidores Windows 2003, o nome do servidor AD é "node1", NÃO "node1.qnap-test.com".
b. O "Nome de domínio" permanece o mesmo.

Aceda a "Definição de Privilégio" > "Segurança do domínio" > "Autenticação do Active Directory" > "Configuração manual". Introduza as informações do domínio AD.

1. Configure a hora e as informações de DNS.
2. Verifique o nome do servidor AD e o nome do domínio.
3. Adira ao Active Directory.

Separador de Opções avançadas

Aceda a "Serviço de rede" > "Win/Mac/NFS" > "Rede Microsoft" > "Membro do domínio AD" > "Opções avançadas".

Suporte WINS:
Note que, na maioria dos casos, não é necessário introduzir a definição do servidor WINS. Num ambiente Active Directory, sugere-se a utilização de uma resolução pura do nome DNS.

(1) Windows Shares Access: domainusername
(2) FTP: domínio + nome de utilizador
(3) Gestor de Ficheiros Internet: domínio + nome de utilizador
(4) AFP: domínio + nome de utilizador

Por exemplo, para aceder a uma pasta partilhada pelo Gestor de Ficheiros Internet com uma conta de utilizador de domínio, deve autenticar com domínio + nome de utilizador se a opção não estiver ativada.
Se esta opção estiver ativada, todos os serviços irão utilizar o mesmo formato de nome de utilizador.

(1) Windows Shares Access: domainusername
(2) FTP: domainusername
(3) Gestor de Ficheiros Internet: domainusername
(4) AFP: domainusername

Por exemplo, para aceder a uma pasta partilhada através do Gestor de Ficheiros Internet com uma conta de utilizador do domínio, deve autenticar com o nome de utilizador do domínio se a opção estiver ativada.

1. Ativar servidor WINS: Esta opção deve ser ativada apenas se não tiver um servidor WINS na sua rede e se alguns dos seus computadores estiverem numa sub-rede diferente. Nesse caso, deve configurar todos os seus computadores para utilizarem este servidor WINS. Note que deve haver apenas um servidor WINS na rede. Todos os clientes devem ser configurados para utilizar o mesmo servidor WINS. Se não tiver a certeza sobre a definição, não a ative.
2. Utilize o servidor WINS especificado. Esta opção deve ser ativada apenas se tiver um servidor WINS na sua rede e o seu NAS deve ser um cliente WINS. Introduza o endereço IP do seu servidor WINS.
3. Se não tiver a certeza sobre a definição, não a ative.
4. Navegador principal local: Esta opção permite que o NAS seja um Navegador principal local, que é responsável por manter a lista de computadores na sua rede para o respetivo grupo de trabalho. O nome do grupo de trabalho do NAS deve ser o mesmo que o do grupo de trabalho do seu computador (frequentemente designado por "grupo de trabalho"). A configuração está ativada por predefinição. Se a desativar, o NAS não irá manter a lista de computadores e a tarefa será realizada por outro computador na rede. A predefinição é ativada.
5. Permitir apenas a autenticação NTLMv2: Esta opção permite apenas a autenticação NTLMv2 e recusa LM e NTLM. Se não tiver a certeza sobre a definição, não selecione esta opção. Se selecionar esta opção, certifique-se de que todos os computadores da sua rede podem utilizar NTLMv2.
6. Prioridade de resolução do nome: Refere-se à resolução do nome na rede Windows. Se ativar o WINS (opção (1) ou (2)), poderá escolher a prioridade da resolução do nome. A predefinição é "Apenas DNS" quando todas as definições WINS estão desativadas. Quando o WINS está ativado, a predefinição é "WINS primeiro, depois DNS". Se não tiver problemas, mantenha os valores predefinidos.
7. Estilo de início de sessão:
   Por predefinição, num ambiente Active Directory, os formatos de nome de utilizador para os utilizadores do domínio são:
8. Registo automático no DNS: Se esta opção estiver ativada, quando o NAS for adicionado ao Active Directory, o NAS irá registar-se automaticamente no servidor DNS do domínio. Isto irá criar uma entrada de anfitrião DNS para o NAS no servidor DNS. Se o IP do NAS for alterado, o NAS irá atualizar automaticamente o IP com o servidor DNS.

Verificar as definições

Para verificar se o NAS foi associado ao Active Directory com sucesso, aceda a "Definições de Privilégio" > "Utilizadores" ou "Grupos de utilizadores". Será apresentada uma lista de utilizadores e grupos nas listas "Utilizadores do domínio" e "Grupos do domínio", respetivamente.

Atualizar o utilizador do domínio e as listas de utilizadores na interface de internet

Se tiver criado novos utilizadores ou grupos de utilizadores no domínio, pode clicar no botão "recarregar". Desta forma, irá recarregar as listas de utilizadores e grupos de utilizadores do Active Directory para o NAS. O processo é efetuado apenas para a lista de utilizadores da interface de internet. As definições de permissão do utilizador serão sincronizadas em tempo real com o controlador de domínio.

Nota sobre o Windows 7

Se estiver a utilizar um PC com Windows 7 que não pertença a um Active Directory, para aceder a um NAS com firmware anterior à V3.2.0 e que seja também um membro do domínio AD, altere as definições de segurança do PC cliente conforme indicado abaixo.

1. No Windows 7, aceda a "Painel de controlo" > "Todos os itens do painel de controlo" e selecione "Ferramentas administrativas".
2. Selecione "Política de segurança local".
3. Aceda a "Políticas locais" > "Opções de segurança". De seguida, selecione "Segurança da rede": Nível de autenticação de Gestor da LAN".
4. Selecione o separador "Definição de Segurança Local" e selecione "Enviar LM e NTLMv2 - utilizar a segurança da sessão NTLMv2 se negociada" na lista. Depois clique em "OK".

Depois de configurar as definições no Windows 7, poderá aceder ao seu NAS a partir do mesmo, mesmo que o NAS seja membro de um Domínio do Active Directory.