知識中心

網域與LDAP

瞭解網域與LDAP

網域與LDAP皆是網路管理中的關鍵工具。網域提供集中化管理與強化安全性,而LDAP則具備靈活性與標準化優勢。兩者結合能實現高效且安全的網路資源管理。

何謂網域?

網域是一種用於集中管理與控制網路資源的網路架構。網域控制器(DC)作為管理網域的核心伺服器,負責用戶驗證、權限管理及資源分配。 在電腦網路中,網域作為邏輯分組,通常包含一組電腦、使用者及其他資源,皆由網域控制器集中管理。網域能安全管理使用者與資源存取權限,讓使用者僅需單一帳戶即可存取所有網域資源,從而簡化網路管理、強化安全性並提升可控性。

網域優勢

  1. 集中管理:管理員可透過 DC 集中管理使用者帳戶、電腦及其他資源。

  2. 安全性:網域提供更高安全性,可透過群組原則統一配置安全設定。

  3. 單一登入 (SSO):使用者只需登入一次即可存取所有網域資源。

何謂 LDAP?

輕量級目錄存取協定(LDAP)是用於存取與管理目錄服務的協定。目錄服務是專為儲存與檢索使用者、群組、裝置等資訊所設計的專用資料庫。LDAP 常用於使用者驗證與資訊查詢,是實現單一登入與統一身分管理的重要工具。

LDAP 的優勢

  1. 標準化:LDAP 為開放標準,獲各類作業系統與應用程式廣泛支援。

  2. 彈性:可儲存各類資訊,不限於使用者與群組。

  3. 可擴展性: 透過架構擴展適應 不同需求。

網域與 LDAP 主要差異:

  1. 網域主要透過網域控制器實現集中管理,用於管理和組織網路內的電腦與資源。

  2. LDAP 則專注於存取與管理目錄服務,透過協定與目錄伺服器通訊以實現使用者驗證與資訊查詢。

網域與 LDAP 之關聯性

儘管網域與LDAP屬不同概念,兩者常協同運作。網域控制器通常運用LDAP協定儲存與擷取使用者資訊。例如微軟的Active Directory (AD) 即是基於LDAP的目錄服務,用於管理網域資源。

網域/LDAP優勢:

  1. 統一管理:透過 LDAP,網域控制器能以單一介面統一管理使用者與資源,簡化帳戶及權限管理流程,提升效率。

  2. 強化安全性:群組原則可統一配置與執行安全設定,確保所有裝置符合企業安全標準。

  3. 單一登入:員工可憑單一帳戶存取所有網域資源,免除記憶多重密碼之需,提升使用者體驗並減少密碼相關問題。

NAS 中網域/LDAP 的應用場景

集中管理與驗證

  • 單一登入:使用者 可透過單一帳號登入 NAS,簡化使用者管理。

  • 群組原則:管理員可透過網域控制器管理 NAS 政策並統一設定權限。

  • 使用者存取管理:使用者 可依據個人及群組存取權限存取 NAS 上的共用資料夾。

應用範例

  • 新進員工入職:透過 網域/LDAP,僅需為新員工建立帳號即可存取所有網域資源,實現快速上手。

  • 資源共享:不同部門共用同一台 NAS 設備,但僅能存取各自的資料夾,確保資料安全。

  • 人事異動:當員工職位變動時,調整其網域帳戶的群組權限,即時更新存取權限。

  • 員工離職:快速停用離職員工的網域帳戶,立即終止其對所有公司資源的存取權限,確保資料安全。

配置與使用指南

在 UGOS Pro 中設定網域

  1. 開啟控制台並點擊[網域/LDAP]選項。

  2. 點擊「加入網域/LDAP」進入網域/LDAP 加入精靈。

  3. 於伺服器資訊區段中,選擇伺服器類型、輸入伺服器位址及DNS伺服器。依據您的伺服器設定選擇類型。完成設定後點擊「下一步」。

  1. 填寫網域帳號與網域密碼。於進階設定中設定「更新使用者/群組清單」的同步間隔,系統將據此更新清單。完成設定後點擊「下一步」。

  1. 系統將驗證設定。若成功,請點擊「確認」。

  1. 若檢查失敗,請依提示驗證連線設定。點擊「詳細資訊」查看失敗原因。

  1. 閱讀彈出式提醒,若所有設定正確請點擊「確定」。

  1. 成功新增後,您可在「網域/LDAP」中檢視及管理伺服器資訊、網域使用者與網域使用者群組。

退出網域

  1. 於 [網域/LDAP] 選項中,點擊「退出網域」。

  2. 在確認彈出視窗中點擊「確定」。

  3. 輸入當前登入管理員帳戶的密碼,點擊「提交」。

  4. 退出後若需重新加入網域,須重新配置並重新連線。

在 UGOS Pro 中設定 LDAP

  1. 開啟控制面板並點擊[網域/LDAP]選項。

  2. 點擊「加入網域/LDAP」進入網域/LDAP 加入精靈。

  3. 在伺服器資訊區段中,選擇伺服器類型、輸入伺服器位址及DNS伺服器。請依據您的伺服器設定選擇類型。完成設定後點擊「下一步」。

  1. 填寫綁定 DN/帳戶、密碼及 BASE DN。加密模式包含 SSL/TLS 與 STARTTLS,可依需求設定。

  2. 於進階設定中設定「更新使用者/群組清單」的同步間隔。系統將據此更新清單。完成設定後點擊「下一步」。

  1. 系統將驗證設定。若成功,請點擊「確認」。

  1. 若檢查失敗,請依提示驗證連線設定。點擊「詳細資訊」查看失敗原因。

  1. 閱讀彈出式提醒,若無誤請點擊「確定」。

  1. 成功新增後,您可在「網域/LDAP」中檢視與管理伺服器資訊、網域使用者及網域使用者群組。點擊「測試」可檢查伺服器連線狀態。在進階設定中,您可設定「更新使用者/群組清單」的同步間隔。

退出 LDAP

  1. 於 [網域/LDAP] 選項中,點擊「退出網域」。

  2. 在確認彈出視窗中點擊「確定」。

  3. 輸入當前登入的管理員帳戶密碼,點擊「提交」。

  4. 退出後若需重新加入 LDAP,須重新配置並重新連線。

修改網域/LDAP使用者/群組權限

  • 成功連接至網域/LDAP後,您可在「網域使用者」與「網域使用者群組」中檢視網域同步的使用者及群組資訊。若您在網域中更新使用者與群組資訊但 NAS 未同步,可手動點擊「更新網域資料」進行同步。

  • 預設情況下,網域使用者的個人資料夾功能為停用狀態。若要啟用,請選取使用者、點擊「編輯」,在網域使用者資訊中勾選「啟用 TA 個人資料夾」,然後點擊「儲存」。您亦可設定共用資料夾配額與存取權限。點擊「編輯」,於「權限與設定」中修改資料夾存取權限,在「配額」下設定最大使用配額,最後點擊「儲存」。

  • 若網域使用者僅具一般使用者權限,其共享資料夾存取權限預設為「拒絕存取」。請手動修改權限:選取使用者、點擊「編輯」、於「權限與設定」修改目標共享資料夾權限,最後點擊「儲存」。

  • 批次修改時,請先在網域伺服器將使用者加入網域群組。接著於「網域/LDAP」的「網域使用者群組」中修改群組權限:選取群組→點擊「編輯」→修改所需共用資料夾權限→點擊「儲存」。

使用網域/LDAP 帳戶登入 UGOS Pro

若要使用網域使用者帳戶登入 UGOS Pro,請在 [網域/LDAP] 網域使用者清單中找到對應的網域使用者名稱,再使用該網域使用者名稱與密碼登入 UGOS Pro。

注意事項

  1. 離開網域時,若勾選「保留網域用戶個人空間資料」,網域用戶建立的個人資料夾將不予刪除。

  2. 網域使用者與使用者群組的權限設定與網域伺服器設定一致。若需變更 NAS 內權限(例如將一般使用者改為管理員),請手動編輯並修改 [網域/LDAP] > "網域使用者" 下的設定。

  3. 實際應用中,為實現用戶的統一身分驗證與存取控制,可建置網域控制器(AD網域)或LDAP目錄服務。建議使用Windows Server 2012 R2或更高版本來設定網域或LDAP服務。