Wie am sinnhaftesten Benutzerkonten verwalten

[MysterioJN]

Guten Morgen zusammen,

aktuell setzten wir für die Zugriffsberechtigungen von Nutzern eine Anbindung an eine Windows-AD ein.

Diese AD soll aber auf Grund Umfirmierung wegfallen. In der Windows AD wurden alle Benutzer und auch auf welche Ordner sie lesen, schreiben und adminrechte als 3 Windows-AD-Gruppe je Synology-Ordner verwaltet (r,w,x). Dadurch ist das ganze recht aufwendig bei der Anlage/Verwaltung.

Jetzt aber meine Fragen:

1. Welche zukünftige Berechtigungsstruktur - rein auf der Synology - wäre am sinnvollsten: LDAP, Active Directory oder normale Benutzerverwaltung?

2. Kann ich die durch die Windows AD bereits eingebundenen/berechtigten Benutzerkonten dauerhaft in die Synology übernehmen? Oder müssten wir alle rund 200 Benutzer komplett je nach Art und weiße der Entscheidung aus Frage 1 händisch neu anlegen?

Es tut mir leid das ich so fragen muss, aber die Auflösung steht bald bevor und bis dato habe ich mit dem Thema noch keine andere Erfahrung sammeln können.

Herzliche Grüße
Marco

 

[Matthieu]

Ihr wollt ernsthaft 200+ Anwender ohne AD verwalten? Für die Migration von AD-Strukturen gibt es teure Tools mit denen man sowas unterstützen kann. Viel bleibt aber erfahrungsgemäß händische Arbeit. Sorry, aber so eine Entscheidung kann in meinen Augen nur jemand Treffen der nicht vom Fach ist und für die Bedarfe der IT auf beiden Augen blind. Als Admin würde ich mich vermutlich vorab nach neuen Arbeitgebern umsehen. Sowas kann ja fast nur schiefgehen, wenn ich die Ausgangslage jetzt richtig interpretiert habe.
LDAP integriert sich mit Windows eher mäßig, vor allem der Login ist da drüber nicht praktikabel möglich. Ich habe immer noch ein wenig Hemmung davor, weil so viel an AD hängt, aber prinzipiell kann eine DS auch als AD Server agieren. Das würde ich einem AD-losen Zustand vermutlich jederzeit vorziehen. Nur über Backup etc. müsste man sich dann gute Gedanken machen!

Bei der bisherigen Struktur bin ich ehrlich gesagt der Auffassung, dass es sich zu sehr an der IT orientiert und zu wenig am tatsächlichen Geschäftsbedarf. Fast immer lassen sich Berechtigungen, unabhängig von den Ordnern, aufgrund von Abteilungs- oder Projektzugehörigkeit sowie Position (Führungskraft usw.) kategorisieren. Das würde ich auch jederzeit wieder so machen, auch wenn es hier und da zu Diskussionen führt wie "muss wirklich die gesamte Abteilung da drauf zugreifen können"? Denn, wie du schon festgestellt hast, muss es auch handhabbar bleiben.

MfG Matthieu

 

[MysterioJN]

Hmm das habe ich schon fast befürchtet. Grundlegend spricht ja nichts dagegen, die Benutzer direkt auf der Diskstation zu verwalten. Macht man im Hausgebrauch mit ggf. 198 Kindern auch xD

Nein im ernst, eine weitere Windows-AD, die ausschließlich die Synology bedient, wird neben DER seit Jahren bereits bestehenden Windows-AD des neuen Arbeitgebers (der uns geschluckt hat) nicht bestehen dürfen. Und das deren Admins dort nun auch noch Synologyzugriffe verwalten sollen, wird auch nicht passieren... "Mehrarbeit" und so ^^

Daher brauchen wir (ehemaligen Admins) eine praktische Lösung die wenigstens halbwegs vernünftig ist. Vlt ist die Synology AD-Geschichte gar nicht so schlecht.

Auf jeden Fall schon einmal großen Dank für deine erste Einschätzung.

Zum Thema Datensicherung:

Ich kann diese doch unabhängig von einer WindowsAD weiterhin wie bisher auf unsere zweite Synology durchführen (lassen) oder?

 

[Matthieu]

Hallo,
jetzt wird es schon etwas klarer.
Das Thema Backup ist etwas aus dem Zusammenhang gefallen. Da ging es um einen AD-Dienst auf der DS. Den muss man dann passend sichern. Für die bisherige Backup-Strategie ändert sich nichts.

Warum nicht die DS in die "neue" AD übernehmen? Es muss sich ja nur einmalig ein AD-Admin auf der DS anmelden zwecks Join.

MfG Matthieu

 

[Benares]

Und warum lasst ihr euch nicht in die AD eures neuen Arbeitgebers integrieren? Es ist doch kein Problem, sich da eine OU einzurichten zu lassen, wo ihr eure eigenen Gruppen und ggf. Computer pflegen dürft.
Ich arbeite in einer Firma mit 1000 mal mehr Benutzern als ihr - weltweit. Da wäre es unmöglich die alle nochmal einzurichten. Benutzer verwalten dürfen wir nicht, aber wir haben eine Sub-OU, wo wir Gruppen pflegen und Computerobjekte anlegen dürfen, egal für was wir die brauchen. Das reicht vollkommen - und wir haben die eigentliche Benutzerverwaltung vom Hals.

 

[MysterioJN]

Das wäre sicherlich wert, mit dem neuen Arbeitgeber / deren Admins zu sprechen und auch durchaus eine denkbare Möglichkeit.

Dann bleibt mir nur die Frage, wie wir externe Zugriffe (Dateiaustausch) von Redakteuren, Unis, Presse, Druckereien, Endverbraucher, etc. dann regeln, da diese definitiv nicht in der AD als Benutzer aufgenommen werden würden (bei uns hingegen waren diese in unserer alten AD und somit gleich in der Pflege). Müssten wir diese "besonderen" Benutzer dann innerhalb der DS pflegen?

Ich danke euch so sehr für die Unterstützung und bin froh, euch gefragt zu haben.

 

[Benares]

Ich habe noch keine DS im AD betrieben. Aber ich denke, dass es möglich sein sollte, dass man da lokale Gruppen für die Shares anlegen könnte, in die man dann lokale User (für die "besonderen" Benutzer) und auch AD-Gruppen (für die AD-Benutzer) aufnehmen könnte. Bei den Shares selbst würde man dann nur noch mit lokalen Gruppen arbeiten, nicht mit Benutzern.

 

[NSFH]

zuerst einmal würde ich die Vergabe von Lese- und Schreibrechten immer nur an Gruppen hängen, niemals an einzelne Personen. Gruppenregeln sind schnell geändert, die Policies für einzelne Nutzer zu überprüfen dagegen eine Qual.
Selbst wenn ihr in irgendeiner Art und Weise AD nutzen werdet, steht euch die Nutzerverwaltung der Syno immer noch parallel zur Verfügung. Über diese könntet ihr dann alle externen Nutzer via WebDav oder besser VPN auf Shares zugreifen lassen. Auch ein (S)FTP Server ist ja kein Problem.

 

[blurrrr]

Ich kenne es auch nur so, dass bei Integrationen eben eine neue OU aufgesetzt wird und die zu übernehmenden Dinge dort eingepflegt werden. Den "übernommenen" Administratoren gibt man dann entsprechend Rechte auf diese OU und alles läuft so weiter wie es bisher war. Alternativ könnte man auch auf LDAP wechseln, aber das muss jeder für sich wissen. Allerdings halte ich die Pflege von 200 Usern lokal auf einer Syno für ziemlich tödlich was den administrativen Aufwand angeht... (Das wäre auf jeden Fall der richtige Schritt in Richtung "Turnschuh-Administration). Die bisherigen AD-User und Gruppen kann man sehr einfach in ein neues AD via Script einpflegen, danach noch kurz die Syno ans AD andocken, Berechtigungen (Gruppen!) neu auf die Freigaben setzen, fertig. Da sollte man mitunter auch locker in unter einem Tag durch sein (entsprechendes Verständnis für die Scripting-Sachen natürlich vorausgesetzt). Das gleiche könnt ihr dann auch mit Druckern und Co machen und seit recht schnell damit durch. Dazu noch 1-2 Tage für evtl. auftretende Probleme und fertig. Dagegen: 200 User händisch anzulegen dürfte dagegen schon einige Zeit mehr in Anspruch nehmen (Vertipper inkl.)...