![WorkToolSmith [ワークツールスミス]](https://worktoolsmith.com/wp/wp-content/uploads/2014/11/d30716bfc62ca82b12c303b90f356916.png)
SynologyのNASには、なんとActive Direcotry(AD)を構築できるオプションパッケージがあります。
WindowsならCAL(クライアント接続ライセンス)などで十数万円もの初期投資となりますが、SynologyのADなら無料で始めることができます!さらにCALも不要!100台のクライアントでも料金不要です。
ただしいくつかの注意点、Windowsとの違いがありました。気づいた点を書いてみます。
記事中の商品/サービス
DS918+は2020年5月にモデルチェンジし、DS920+へと進化しました。
Active Directoryサーバのインストール
ADサーバの導入はいたってカンタン。
パッケージセンターを開き、「Active Directory」をインストールするだけ。
Active DirectoryはDNSをもとにしてクライアントPCを判別するため、DNSサーバをインストールするように求められます。
運用ドメインを決めます。
本格的に使うならなんらかの正式ドメインを使うことを推奨します。
テスト的、小規模なローカルサーバなら「example.local」などの名称で始めてもいいでしょう。ただし設定ミスなどで、意図せず外部(インターネット)とつながってしまうことがありますから、実在する他人のドメイン名を使うことは厳禁です。
設定をし実行すると、ドメインの作成が開始されます。全ファイルとフォルダに権限を設定していくので、ファイル数などによってはかなりかかる場合があります。とはいえ、その間もファイルのアクセスなどは可能なので安心です。(多少遅くなります)
完了すると、Windows Serverとかなり近いActive Direcory構造となります。もちろんドメインコントローラとして動作します。
ユーザーの移行は?
Windows Serverからユーザーを一括でインポートする機能は無いようです。ゼロから構築するためのADのようですね。(もしあるようでしたら教えてください)
NASの標準ユーザとADユーザ
ユーザ管理でもう一つ注意したいことは、NAS標準のユーザ管理と、NAS ADでのユーザ管理は「完全に別」という点です。
NASのユーザとして「user01」を作ったとしても、AD側で「user01」を作らなければ、ADユーザとしては接続できません。
権限も分かれていて、NASのuser01の権限と、ADのuser01は同名でもアクセス権が異なります。同じにしたいのなら、それぞれの画面で権限設定をしなくてはなりません。NASのuser01がアクセスできるフォルダでも、AD内のuser01で権限を与えなければ、アクセスはできません。
ADのユーザ権限はWindows Serverに近い構成。パスワードを統一すれば、Windows Serverのユーザと透過的に使えます。
Windowsのシステムを絡めて一元的にユーザを管理したいと思うと、AD側のみで管理するほうが効率的です。
とはいえ、NAS標準のユーザと別れてしまうので、例えばDSM(OS)へのログイン、他のパッケージへのログインやユーザ設定など、使えない場合あります。かんだかんだ両方のユーザを考えて設定しなくてはならず、煩雑な感じを受けました。
Windows Server AD とSynology ADの大きな違い
Windows Serverの場合、ADに移行すれば標準ユーザもすべてADに統合されます。
あらゆるサービスがAD一本ですっきり統合できるというメリットの反面、一度本番運用に入ったら二度とADを切ることができない(切るときにはゼロからの構築を覚悟)というデメリットもあります。
サービス料が高いし会社も小規模だから、ADをやめて単なるユーザ設定に戻したいな~と思っても、ゲンナリするほどの設定の多さに、あきらめて支払い続けている会社も多いのではないでしょうか。(笑)
SynologyのADはオプションパッケージで提供されていて、ユーザ設定が分かれているので、ADのみを消去しても運用は止まりません。
ADをアンインストールするともちろん設定はすべて消えてますが、設定を標準のユーザに少しずつ戻し、段階的にADを外していくことが可能です。
Windows Serverの場合、まず同じ構成のADのないサーバを新規で作り、ユーザを移し替えないといけません。(このあたりは私の知識不足かもしれません。もし1台のサーバでADを段階的に切り離す方法がありましたら教えてください。)
Synology ADはWindows Serverよりはゆるい感じの運用ができます。
クライアントの接続はWindows ADと変わらない
クライアントからの接続は、Windows Serverに接続する方法と大差ありません。
クライアントのDNSをSynologyのNASのIPを指定し、再起動。
ドメインコントローラも含むので、Windows ServerをSynology ADに接続し、OU(組織単位)、フォレストを構築することも可能です。
下記のように透過的にSynology NASを認証サーバとして使用できるのは確認しました。
細かなグループポリシーは設定できない
Windows Serverではグループポリシーとして、フォレスト全域に関わる詳細な設定をすることができます。
しかしSynology のADはグループポリシーを搭載していません。ファイル、フォルダ単位もしくはアプリケーション単位の、ユーザのアクセス権限設定のみとなります。ファイルサーバとしての認証に特化してある感じですね。
グループポリシーをよく使う場合にはSynology NAS ADは役不足でしょう。
WTS的まとめ
Synology NASで使えるActive Directoryについて紹介しました。
手軽に始められ、多層の接続ができる本格的なActive Directory機能です。しかも何台つないでも無料というのはうれしいですね!
手軽に統一認証を取り入れることができます。
ただ、グループポリシーが無かったり、ユーザー設定が多重になるなど、煩雑さを増す部分もありました。ここは用途に応じて選びたいところです。
コメント
>Synology のADはグループポリシーを搭載していません。
https://kb.synology.com/ja-jp/DSM/tutorial/How_to_install_RSAT_to_set_up_group_policies_for_Synology_Directory_Server
グループポリシー設定できると思うのですが、
きちんと検証してますか?
MTさん>
コメントありがとうございます。
こちらは4年前(2018年12月27日)の記事となり、当時のDSMに搭載されていた「Active Directory Server」について書いてあります。
現在はDSMも7.0となり、AD類似サービスは「Synology Directory Server」と名前を変え、非常に多機能になっています。SDSではグループポリシーの搭載、Windows ServerからのAD移行などの機能を備えることを承知しています。
さすがに4年前なので記憶は薄いのですが、ADSの時点ではグループポリシーの設定が見当たらなかった、もしくは非常にわかりづらかった可能性があります。
記事を書く際は可能な限り全項目を開き検証していますが、今となってはDSMのロールバックもできず確認できません。
情報が古くなってしまっていますので、また2022年のDSM 7.0に対応した記事を書いていこうと思います。
ご指摘ありがとうございました。
真摯なご回答ありがとうございます。
新しい記事楽しみにしております。
こちらこそ、現状では役に立たない可能性がある記事を指摘いただいて、助かりました。
なるべく早めに現在の最新機能を確認してゆきます。
またぜひご覧いただければ幸いです。