透過 Windows 共享資料夾服務,使用 QNAP 企業級儲存設備
應用類別
- Windows 主機:
Server 2019, 2016, 2012R2, Windows 10 Pro - 儲存裝置系統:
QES 版本 2.1.1, 2.1.0, 2.0.0, 1.1.4 - NAS 機種:
ES2486dc, ES1686dc, ES1640dc v2, ES1640dc
技術概觀
QNAP QES作業系統內建Samba功能,可讓運行Windows作業系統的客戶端,利用SMB/CIFS通訊協定連接QES NAS,在作業環境中掛載、存取NAS上的共享資料夾(Shared Folder),輕鬆建立一個檔案層級(File Level)的儲存空間。本文擬示範將QES NAS加入Microsoft Active Directory (AD),以及指派共享資料夾權限的過程。至於如何在QES上創建共享資料夾,請參考「QES NAS高可用性儲存服務之網路暨儲存空間設定」。
架構圖
網路設定清單
在接下來的範例中,NAS與Windows電腦,都將使用這個網路設定進行連接與傳輸。
| Server Network Settings | ||
|---|---|---|
| Role | IP | Description |
| Windows Server | 192.168.1.102 | Windows Server 2016 (1GbE) |
| Data Network 1 | 8.8.1.6 | Data port 1 in Windows Server (10GbE) |
| Data Network 2 | 8.8.2.6 | Data port 2 in Windows Server (10GbE) |
| NAS Network Settings | ||
|---|---|---|
| Role | IP | Description |
| SCA Management IP | 192.168.1.12 | Management port 1 in NAS SCA (1GbE) |
| SCA Ethernet1 IP | 8.8.1.12 | Data port 1 in NAS SCA (10GbE) |
| SCA Ethernet2 IP | 8.8.2.12 | Data port 2 in NAS SCA (10GbE) |
| SCB Management IP | 192.168.1.13 | Management port 1 in NAS SCA (1GbE) |
| SCB Ethernet1 IP | 8.8.1.13 | Data port 1 in NAS SCB (10GbE) |
| SCB Ethernet2 IP | 8.8.2.13 | Data port 2 in NAS SCB (10GbE) |
| Shared Folder (Permissiondemo) | Shared Folder in NAS SCA Pool1 Shared Path: \\8.8.1.12\Permissiondemo |
|
將 NAS 加入與伺服器相同的網域
Step 1: 在 QES 管理桌面中,選擇 ”Domain Security”。
Step 2: 選擇 “Active Directory authentication (Domain member) ” > “Quick Configuration Wizard”。
Step 3: 填入網域資訊。
Step 4: 填入網域使用者名稱與密碼。
Step 5: 成功加入網域,按下 “Finish” 結束程序。
建立子目錄
Step 1: 開啟檔案總管,輸入共享資料夾的路徑。
Step 2: 在已掛載的共享資料夾中,分層建立子目錄。
將 NAS 裡的群組加入網域
Step 1: 在 Active Directory Domain Controller 中選擇 “Active Directory Users and Computers”。
Step 2: 在 Users 選項中,按右鍵新增群組。
Step 3: 輸入群組名稱,按下 “OK” 確認。
Step 4: 在Users選項中,按右鍵新增使用者。
Step 5: 輸入使用者名稱,然後按下 “Next”。
Step 6: 輸入使用者密碼,完成密碼選項設定,按下 “Next”。
Step 7: 在剛才新增的群組按下右鍵,選擇 “Properties”。
Step 8: 在 “Member” 選項中,按下 “Add”。
Step 9: 輸入欲加入此群組的 user,按下 “Check Names”。
Step 10: 成功搜尋到使用者後,按下 “OK”。
Step 11: 新增完所有使用者後,按下 “Apply”
Step 12: 選擇 “Member of” ,按下 “Add” 新增所屬群組。
Step 13: 輸入 “Domain Users” 做為新增群組,按下 “Check Names”。
Step 14: 按下 “Apply” 完成設定,依照上述步驟完成其他群組設定。
開放根目錄權限給所有使用者
在 QES NAS 的預設設定中,只有管理者身分可存取共享資料夾,故必須開放給參與其中的所有帳號。
Step 1: 進入 QES 桌面 > “Storage Manager” > “Storage Space”,點選欲設定的共享資料夾。
Step 2: 在 “Shared Folder Manager” 視窗中,按下 “Permissions”。
Step 3: 點選右下角的 “Add”。
Step 4: 在左上角選擇 “Domain Groups”,並將 “domain admin” 與 “domain users” 群組權限修改為 RW,然後點選右下角 “Add”。
Step 5: 確認新增 “users” 群組的存取權限後,點選 “Apply”。
切斷繼承權限、指派新權限至個別目錄
我們先前建立的子目錄,包括部門目錄與員工個人目錄,都會直接繼承根目錄權限。為了個別調整、管理各目錄的權限,我們必須先切斷來自根目錄的繼承,再指派新權限給個別目錄。
Step 1: 在子目錄上按下滑鼠右鍵,點選 “Properties”。
Step 2: 在上方點選 “Security”,再按下右下角 “Advanced”。
Step 3: 在 “Permissions” 標籤中,點選左下角的 “Disable inheritance”。
Step 4: 選擇 “Convert inherited permissions into explicit permissions on this project”。
Step 5: 回到 “Permissions” 標籤中,移除 “administrator” 以外的身分。
Step 6: 點選 “Apply”。
Step 7: 回到 “Security” 標籤,點選 “Edit”。
Step 8: 按下 “Add” 增加新使用者權限。
Step 9: 輸入子目錄名稱,然後點選 “Check Names”。
Step 10: 如系統順利顯示結果,代表群組名稱無誤,按下 “OK”。
Step 11: 指派讀寫、修改等權限給部門群組,按下 “Apply”。若無必要請勿給予完全控制(Full Control)權限,若使用者有此權限,將可直接刪除整個資料夾。
Step 12: 將 Domain Admins 加入且給予完全控制權限。
Step 13: 其他所有部門目錄、個人目錄也必須完成相同設定,請重複使用前述步驟切斷繼承權限後,再指派正確的群組與使用者權限。
測試、驗證權限
Step 1: 若是使用遠端連線,請先使用管理者身分加入可以遠端連接到電腦的使用者。在 Server Manager 中選取 “Remote Desktop”。
Step 2: 選擇新增使用者。
Step 3: 按下 “Add”,輸入欲加入的使用者名稱即可。
Step 4: 使用剛加入遠端連線清單的使用者帳號登入。
Step 5: 開啟檔案總管,輸入共享資料夾的路徑。
Step 6: 進入共享資料夾後,可以注意到因為 FAE-Leader 只有進入 FAE 這個群組的權限,所以當初創建的另一個 RD 群組,並不會顯示在視窗當中。
Step 7: 而進入 FAE 群組後,由於權限設置的關係,FAE-Leader 無法看到另一個群組中使用者 AE-Clark 的資料夾
補充資料
如欲參考其他更多關於 Windows Server 等相關資訊,請參考以下連結:
