概要
QNAPをActive Directory 環境(以下AD)に追加し、QNAPの共有フォルダのアクセス権を“ADのユーザ・グループ”で設定する。
ファイルサーバが乱立するのも良くないと思いますが、ファイルサーバの空き容量が少なくなり、サーバを急遽増やしたり、余ったNASを再利用して増えたりすることもあるかと思います。
セキュリティ上、アクセス権は設定しておきたいものです。
検証環境
QNAP-01 [ファイルサーバ]
- モデル名:TS-219P Ⅱ
- CPU:Feroceon 88F6282 rev 1 (v5l) @ 2 GHz
- メモリ:512MB
- HDD:WD Red 2TB*2 [RAID-1]
- NIC:Gigabit Ethernet Adapter*2
- ファームウェア:4.2.2 Build 20160823
- IPアドレス:192.168.60.101/24
TESTSVR01 [Active Directory ドメインコントローラ]
- OS:Windows Server 2012 R2 Standard
- IPアドレス:192.168.60.100/24
- ドメイン名:test-atc.local
- 仮想サーバ
TEST-PC01 [ドメイン参加端末]
- OS:Windows 7 Enterprise 32bit
- IPアドレス:192.168.60.102/24
- 仮想端末
検証内容
共有フォルダの作成とアクセス権の確認 [QNAP]
共有フォルダを「share-folder」新規作成。
画像右側のアイコン「共有フォルダー権限の編集」ボタンを押します。
ドメイン参加前なので「ドメインユーザ」、「ドメイングループ」を選択してもなにも表示されません。
ローカルユーザ、ローカルグループはQNAPで作成したユーザ・グループが表示されます。
QNAP側にもユーザ・グループを作成して管理するのは二度手間ですし、
AD環境下なのでドメインユーザ・グループ名で一元管理するためにドメイン参加します。
QNAPのドメイン参加 [QNAP]
「クイックコンフィギュレーションウィザード」を使えばとても簡単です。
[ステップ 1]
「次へ」ボタンを押す
[ステップ 2]
完全なDNSドメイン名:参加するドメイン名を入力
NetBIOSドメイン名:自動的に入力されます。Windows Server時も同じですね。
ドメインDNSサーバー:ドメインコントローラのIPアドレスを入力
「次へ」ボタンを押すと、処理中の画面になります。
[ステップ 3]
ドメイン管理者のユーザ名:administrator
※administrator の場合が多いと思いますが、細かくユーザを管理していれば権限のあるユーザ名
ドメイン管理者のパスワード:パスワードを入力
「次へ」ボタンを押すと、処理中の画面になります。
[ステップ 4]
ドメイン参加完了です。端末をドメイン参加するより早かったです。
ADテスト環境
説明の都合、先にADサーバ側のユーザ・グループを紹介 [Active Directory ドメインコントローラ]
テストユーザ01と、テストユーザ02を作成。
テストグループのメンバーは テストユーザ01と、テストユーザ02 です。
再びアクセス権の確認 [QNAP]
「ドメインユーザ」を選択すると、ドメイン参加前には何も表示されませんでしたが、
ドメインのユーザ名が表示されるようになりました。
TEST-ATC がドメイン名で、\マークより後ろがユーザ名です。
既定は全て「アクセス拒否」です。
testuser01,02以外にもサーバ既定のユーザが確認できます。
続いて「ドメイングループ」を選択
こちらもテストグループが表示されています。
サーバ既定のグループがわらわらと表示されます。
カタカナでグループ名を作成したため、2ページ目の一番最後に表示がありました。
試しに「テストグループ」に”読み書き”できるアクセス権を振ります。
※RO、RW、Denyの説明は、図の下のほうに青文字で書かれています。
テストグループの列の”RW”にチェックを入れて、「追加」ボタンを押します。
チェックを入れると、プレビュー欄が「読み取り/書き込み」に変更されました。
最終的にこのようなアクセス権にしました。
admin ユーザ は、QNAPのローカルユーザです。※最初から権限がありました。
TEST-ATC\テストグループ は、先ほどチェックを入れたドメインのグループです。
TEST-ATC\Domain Admins は、サーバ管理者のアカウントがメンバーのグループです。
ドメイン環境下の Windows Server で作成したファイルサーバであれば、 既定でDomain Admins グループにもアクセス権が振られていましたが、 QNAPで作成した共有フォルダにはさすがに自動的にはアクセス権が振られないようです。 せっかくなので、Windows Server の様にアクセス権を追加しました。
端末側から共有フォルダへアクセス [ドメイン参加端末]
テストユーザ01でログオンしています。
共有フォルダのパス:\\qnap-01\share-folder にアクセスしてみます。
問題なく読み書きができました!
(画像は共有フォルダを開いたときの図です。)
※「@Recycle」 は QNAPの機能で共有フォルダ用のゴミ箱です。
所感
QNAPのドメイン参加はとても簡単です。
ウィザードに従って進めれば、10分もあればメンバサーバーになります。
Active Directoryが前提のお話になりましたが、
現在AD環境がなく、今後ADサーバを導入した場合でも、
QNAPはファイルサーバとして継続して活用できるのでよいのではないでしょうか。
後書き
個人的にファイルサーバが乱立した場合に嫌なのが、共有フォルダのパスがまちまちなところです。
- \\fileserver\share (例:WindowsServerの共有フォルダ)
- \\qnap-01\share (例:QNAPの共有フォルダ)
こういうのは避けたいなと思います。共有フォルダへのルートパスは統一して頂きたい。
Windows Server のDFSを使ったり、QNAPをWindowsServer側へマウントすれば良いのでしょうけど。
既に運用されている場合だと、良かれと思いパスを集約しようと思っても、
やれデスクトップのショートカット先がないとか、エクセルの関数で他のブックを参照していたのが上手くいかないとか…
少し考えるだけでもユーザ対応のほうが面倒くさいので、やはり最初が肝心なんだなと思います。
