In diesem Artikel möchte ich mich damit beschäftigen, wie man die Rechte von DomAdmins auf Domänenintegrierten Synology NAS einschränken kann.
Wieso sollte man eine NAS domänenintegrieren?
Der Grundgedanke dahinter ist, eine zentrale Zugriffsverwaltung zu haben. Wenn User und Gruppen aus dem AD importiert werden, kann man im Falle eines Offboardings den Benutzeraccount deaktivieren und so die Zugänge zu allen Systemen einschränken.
Auch kann man so für AD Benutzergruppen Lese- oder Schreibrechte auf der NAS konfigurieren und muss fortan Benutzer nurnoch in diese AD Gruppe aufnehmen.
Warum sollte man DomAdmins die Rechte entziehen wollen?
Es ist durchaus denkbar, dass es ein Krypto Trojaner oder eine andere Schadsoftware schafft, sich DomAdmin Privilegien zu erschleichen. Habe ich schon öfter gesehen.
Ihr wollt in diesem Falle sicher nicht, dass dann alles auf eurer NAS unbrauchbar ist. Vor allem, wenn ihr dort eure Backups einlagert.
Problemstellung
Eine Syno NAS wird in der Regel über das Webinterface konfiguriert. Hier kann die NAS dann über Control Panel > Domain / LDAP > Domain in eine Domäne aufgenommen werden.
Jetzt kann man die Zugriffsrechte auf Freigaben für Benutzer oder Gruppen aus der Domäne anpassen. Hierzu geht man auf Shared Folder > Edit > Permissions und wählt Domain Users oder Domain Groups. Allerdings sind die Felder Read only und Custom für Benutzer in der Gruppe DOM\Domänen-Administratoren ausgegraut.
Lösung
Geht nochmal in der Domänen Konfiguration auf den Reiter Domain und klickt auf Domain Options. Hier könnt ihr dann unter Domain Administrators die Gruppe aus dem herausnehmen, was die NAS unter “Domain Administrators” führt.
Dann können die Rechte auch angepasst werden.
Richtet eurer Backup Lösung jetzt noch einen dedizierten User ein und gebt diesem Schreibrechte auf dem Share.
Cheers, Ori