Домен и Synology: полная инструкция по интеграции 🔐 Windows Server, Active Directory и сетевого хранилища

Развернуть полноценную домашнюю или офисную инфраструктуру, где компьютеры, сервер и NAS работают как единый организм — мечта почти каждого администратора. Я помню, когда в 2018 году впервые столкнулся с этой задачей: три компьютера, Synology DS416+, контроллер домена на Windows Server 2016 и полный хаос с правами доступа. Сегодня этот процесс стал для меня рутиной, и я готов поделиться всеми подводными камнями, которые за эти годы собрал.

В этой статье я разберу, как ввести компьютеры Windows в домен Active Directory, подключить Synology NAS к этому домену и настроить разграничение доступа так, чтобы каждый пользователь видел только то, что ему положено. Материал актуален для Windows Server 2025, DSM 7.2 и свежих версий Windows 10/11 Pro.

Как всё это работает изнутри: короткий экскурс в протоколы

Перед тем как начать щёлкать по кнопкам, нужно понять, что происходит за кулисами.

Active Directory (AD) — это служба каталогов, которая хранит информацию обо всех объектах домена: пользователях, компьютерах, группах и их разрешениях. Когда вы вводите компьютер в домен, он получает уникальный объект-учётную запись в AD, и контроллер домена становится источником истины для всех учётных данных.

Aутентификация происходит через два механизма:

1. Kerberos — современный протокол, который работает, когда вы обращаетесь к серверу по DNS-имени (FQDN). Синхронизирует только часы между клиентом и DC (допуск ±5 минут), затем выдаёт билеты (TGT и TGS), используя которые клиент и сервер общаются без передачи пароля.
2. NTLMv2 — fallback-механизм, когда Kerberos недоступен (например, при обращении по IP-адресу). Медленнее, но по-прежнему безопаснее, чем открытые пароли. Synology поддерживает оба протокола, но Kerberos предпочтительнее.

SMB 3.0 (Server Message Block) — протокол обмена файлами в Windows. На Synology он вынесен в отдельный сервис. Синхронизирует разрешения Windows ACL между клиентом и NAS прозрачно — если пользователь может открыть файл на Windows, он сможет открыть его и через SMB на Synology.

DNS всё это удерживает на плаву: контроллеры домена регистрируют А-записи, клиенты ищут DC через SRV-записи, и Kerberos работает только если DNS работает идеально.

Этап 1: Подготовка контроллера домена

Я предполагаю, что Windows Server 2025 уже установлен и роль AD DS добавлена. Если нет — установите через Server Manager → Add Roles and Features → Active Directory Domain Services. На текущую дату (ноябрь 2025) актуальна версия Windows Server 2025, которая поддерживает функциональный уровень домена 2016 и выше.

Проверка и подготовка DNS

DNS — краеугольный камень всей системы. Без правильного DNS ничего работать не будет.

На контроллере домена:

# Проверяем, что DNS отвечает на SRV-запросы домена
nslookup -type=SRV _ldap._tcp.dc._msdcs.domain.local
# Должно вернуть IP контроллера домена

# Если ничего не вернулось — перестартуем DNS-сервис
Restart-Service DNS

# Проверяем, что наш домен зарегистрирован
Get-ADDomain | Select-Object DNSRoot, NetBIOSName

Создание записей для Synology:

На контроллере (в консоли DNS Manager или через PowerShell):

# Добавляем A-запись для Synology
Add-DnsServerResourceRecordA -ZoneName "domain.local" -Name "synology" -IPv4Address "192.168.1.50" -CreatePtr

Если DNS находится не на контроллере домена, а на отдельном сервере — скопируйте зону domain.local туда вручную или настройте репликацию.

На каждом компьютере, который будет в домене:

Откройте сетевые параметры, установите DNS-серверами IP контроллера домена. Для Synology то же самое — Панель управления → Сеть → Общие → DNS-серверы.

Проверка с клиента:

nslookup domain.local
nslookup synology.domain.local

Если не находит — ничего дальше не будет работать. Это не принципиально, но боль.

Создание организационной структуры (OU)

OU (Organizational Units) — это контейнеры в AD, которые помогают организовать объекты и применять групповые политики. Я всегда создаю как минимум три OU для разных типов компьютеров и пользователей.

# Создаём структуру OU
New-ADOrganizationalUnit -Name "Workstations" -Path "DC=domain,DC=local"
New-ADOrganizationalUnit -Name "Servers" -Path "DC=domain,DC=local"
New-ADOrganizationalUnit -Name "Users" -Path "DC=domain,DC=local"

# Создаём OU для отделов внутри Users
New-ADOrganizationalUnit -Name "IT" -Path "OU=Users,DC=domain,DC=local"
New-ADOrganizationalUnit -Name "Sales" -Path "OU=Users,DC=domain,DC=local"
New-ADOrganizationalUnit -Name "Management" -Path "OU=Users,DC=domain,DC=local"

Нет, это не обязательно, но вам потом благодарны будут все, кто будет наследовать эту инфраструктуру.

Этап 2: Ввод компьютеров Windows в домен

Здесь есть три пути: через GUI (медленно, но безопасно), через PowerShell (быстро для одного-двух машин) и массово через CSV (когда компьютеров больше пяти).

Способ 1: Графический интерфейс (классика)

Это медленно, но надёжно и подходит для одного-двух компьютеров.

На клиентском компьютере:

1. Откройте Settings (Win + I) или Параметры, перейдите в System → About → Advanced system settings (или просто введите sysdm.cpl в Run).
2. Нажмите на вкладку Computer Name, кнопку Change.
3. В поле "Member of" выберите опцию Domain и введите domain.local (или просто domain, если используется NetBIOS-имя).
4. Нажмите OK. Появится окно для ввода учётных данных.
5. Введите администратора домена. Формат: domain\administrator или administrator@domain.local. Можно использовать любого пользователя из группы Domain Admins.
6. После успешного присоединения появится сообщение "Welcome to the domain.local domain". Перезагрузитесь.
7. При следующем входе вы сможете авторизоваться как domain\username.

Проверка:

systeminfo | findstr /B "Domain"
# Должно вывести: Domain: domain.local

echo %userdomain%
# Должно вывести: DOMAIN

Способ 2: PowerShell для одного-двух компьютеров

# Вариант 1: Самый простой (введёте пароль в окне)
Add-Computer -DomainName domain.local -Restart

# Вариант 2: С указанием OU
$OU = "OU=Workstations,DC=domain,DC=local"
Add-Computer -DomainName domain.local -OUPath $OU -Restart

# Вариант 3: С явным указанием учётных данных (для удалённого подключения)
$DomainCred = Get-Credential -Message "Администратор домена"
$LocalCred = Get-Credential -Message "Администратор компьютера"

Add-Computer -ComputerName "192.168.1.101" `
-DomainName domain.local `
-OUPath "OU=Workstations,DC=domain,DC=local" `
-Credential $DomainCred `
-LocalCredential $LocalCred `
-Restart

Важный момент: параметр -NewName в Add-Computer НЕ меняет имя компьютера, если вы хотите переименовать — используйте Rename-Computer перед добавлением в домен.

Способ 3: Массовый ввод из CSV

Когда у вас 5+ компьютеров, экономится кучу времени. Я это делаю регулярно.

Создаём файл computers.csv:

ComputerName,IP,OU
WKS-Office-01,192.168.1.101,OU=Workstations,OU=Moscow,DC=domain,DC=local
WKS-Office-02,192.168.1.102,OU=Workstations,OU=Moscow,DC=domain,DC=local
WKS-Office-03,192.168.1.103,OU=Workstations,OU=Moscow,DC=domain,DC=local

PowerShell-скрипт:

# Импортируем CSV
$computers = Import-Csv -Path 'C:\computers.csv'

# Запрашиваем учётные данные один раз
$domainCred = Get-Credential -Message "Администратор домена (domain\admin)"

foreach ($computer in $computers) {
try {
# Переименовываем компьютер (если текущее имя не совпадает с нужным)
$session = New-PSSession -ComputerName $computer.IP `
-Credential (Get-Credential -Message "Локальный админ на $($computer.IP)")

# Меняем имя (если требуется)
Invoke-Command -Session $session `
-ScriptBlock {
Rename-Computer -NewName $Using:computer.ComputerName -Restart -Force
}

Start-Sleep -Seconds 30 # Ждём перезагрузки

# Подключаемся заново и добавляем в домен
$session = New-PSSession -ComputerName $computer.IP `
-Credential (Get-Credential)

Invoke-Command -Session $session `
-ScriptBlock {
Add-Computer -DomainName 'domain.local' `
-OUPath $Using:computer.OU `
-Credential $Using:domainCred `
-Restart -Force
}

Remove-PSSession $session
Write-Host "✅ $($computer.ComputerName) успешно добавлен в домен" -ForegroundColor Green
}
catch {
Write-Host "❌ Ошибка при добавлении $($computer.ComputerName): $_" -ForegroundColor Red
}
}

Реальный совет: Я обычно сначала предварительно создаю учётные записи компьютеров в AD, чтобы избежать проблем с разрешениями, когда обычный пользователь пытается добавить машину:

powershell$computers | ForEach-Object {
New-ADComputer -Name $_.ComputerName `
-Path $_.OU `
-Enabled $true
}

После этого при присоединении не потребуется полный доступ к AD.

🔖Дорогие гости и подписчики канала. Если наши материалы приносят вам пользу, вы всегда можете поддержать команду символическим переводом. Любая помощь мотивирует писать для Вас больше полезного и качественного контента безо всяких подписок.🙏🤝🙏🤝🙏

💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰

Или сделать любой перевод по QR-коду через СБП. Быстро, безопасно и без комиссии.(Александр Г.)

С уважением, Команда "Т.Е.Х.Н.О Windows & Linux".

Этап 3: Подключение Synology к домену

Это самая деликатная часть. Я видел, как люди часами бились, потому что забывали, что DNS нужно проверить ещё до того, как прикасаться к Synology.

Предварительные проверки на Synology

1. Синхронизация времени. Это критично для Kerberos. Откройте Панель управления → Региональные параметры → Время. Включите синхронизацию с NTP-сервером. Я обычно выбираю pool.ntp.org или указываю IP контроллера домена как NTP-сервер (если он сконфигурирован).
2. DNS-серверы. Панель управления → Сеть → Общие. Убедитесь, что в DNS указаны IP адреса контроллеров домена. Если указан другой DNS (например, 8.8.8.8) — домен найти не сможет.
3. FQDN и имя Synology. Хорошо, если имя Synology совпадает с DNS-записью. Откройте Панель управления → Общие параметры, проверьте имя. У вас оно должно быть создано на этапе установки.

Проверка DNS с Synology (через SSH):

# SSH на Synology с правами администратора
nslookup dc.domain.local # Должен вернуть IP контроллера
nslookup synology.domain.local # Должен вернуть IP Synology

Если не находит — все остальные действия бесполезны.

Подключение к домену через DSM

1. Откройте Панель управления → Домен/LDAP (в DSM 7.2 это может быть в другом месте, зависит от версии).
2. Нажмите вкладку "Домен" (если видите "LDAP" и "Домен" отдельно — выбирайте "Домен").
3. Выберите "Присоединиться к домену".
4. Заполните поля:

Домен: domain.local (используйте FQDN, не NetBIOS-имя!)
Сервер домена: [опционально, но я рекомендую указать] IP контроллера домена
Учётная запись: administrator@domain.local (или domain\administrator)
Пароль: пароль администратора домена

1. Нажмите OK. Synology начнёт присоединяться. Это займёт от 30 секунд до 2 минут.
2. Если видите ошибку:

• "Cannot resolve domain name" — проверьте DNS на Synology.
• "Connection timeout" — может быть блокирован порт 389 (LDAP) или 88 (Kerberos) на файерволе.
• "Invalid credentials" — проверьте пароль и формат имени пользователя.

После успешного подключения Synology начнёт кэшировать объекты домена (пользователей и группы). Кэш обновляется каждые несколько часов, но я рекомендую дождаться первого обновления перед тем, как создавать правила доступа.

Проверка статуса:

Панель управления → Домен/LDAP → вкладка Домен

Должно быть написано что-то вроде "Присоединено к домену domain.local".

Этап 4: Настройка протоколов на Synology

Теперь, когда Synology в домене, нужно убедиться, что SMB работает правильно и поддерживает Windows ACL.

Настройка SMB-сервиса

1. Панель управления → Службы файлов → SMB.
2. Основные параметры:

• ☑ Включить SMB-сервис
• Максимальный протокол SMB: SMB3 (если ваши компьютеры Windows 8 и новее, что почти гарантировано в 2025 году).
• Минимальный протокол SMB: SMB2 (отключите SMB1 — это устаревший протокол и огромная уязвимость).

1. Дополнительные параметры:

• ☑ Включить поддержку символических ссылок (если требуется, но обычно не нужно).
• ☑ Включить поддержку Windows ACL — ЭТО ОБЯЗАТЕЛЬНО для работы разрешений Active Directory.

1. Браузер сетей (Browse Master):

• Если хотите видеть Synology в "Сетевом окружении" Windows — можете включить, но это не критично в доменной среде.

1. Подпись сообщений SMB (SMB Signing):

• Она улучшает безопасность, но немного замедляет передачу. Я включаю её, но мониторю производительность.

1. Нажмите OK.

Проверка версии SMB с клиента Windows:

Get-SmbConnection | Select-Object ServerName, Dialect
# Должно вывести: ServerName = synology.domain.local, Dialect = 3.1.1 (или 3.0/3.02)

Если видите Dialect = 1.0 (CIFS) — что-то не так с настройками SMB на Synology.

Этап 5: Создание структуры общих папок

Правильная структура папок — это 80% успеха при управлении разрешениями. Я всегда планирую это на бумаге перед тем, как начать.

Пример структуры, которую я использую:

/Shared <- для общих ресурсов
/CompanyDocs
/Projects
/ProjectA
/ProjectB

/Departments <- для отделов
/IT
/Infrastructure
/Backups
/Sales
/HR

/homes <- автоматические домашние папки (если включите)
/@DH-domain.local/
/user1
/user2
/admin

/Archive <- для архива (старые проекты)

Создание общей папки с правильными настройками

1. Панель управления → Папка общего доступа → Создать.
2. Основные параметры:

Имя: CompanyDocs
Описание: Корпоративные документы (видно в Сетевом окружении)
Том: выберите доступный том
Путь: можно оставить стандартный (/volume1)

1. Дополнительные параметры:

• ☑ Включить корзину (сохранит вас от случайного удаления)
• ☑ Скрыть эту папку от "Сетевого окружения" (если это конфиденциальная информация)
• Шифрование: можно включить (AES-256), но это замедлит доступ

1. ОЧЕНЬ ВАЖНО — Разрешения:

• На этом этапе можно оставить по умолчанию, но убедитесь, что там не стоит "Нет доступа" для всех.

1. Вкладка "Продвинутые" (если видите):

• ☑ Включить Windows ACL — ОБЯЗАТЕЛЬНО
• Файловая система: Btrfs (если доступна) — даёт лучшую производительность при работе с ACL и snapshot.

1. Нажмите OK.

После создания папки:

Панель управления → Папка общего доступа → выберите папку → Редактировать → Разрешения

Этап 6: Разграничение доступа через доменных пользователей

Здесь начинается магия. Именно на этом этапе люди обычно начинают понимать, зачем нужен Active Directory.

Уровень 1: Базовые разрешения на общую папку

Это быстрый способ дать доступ группе пользователей целиком.

1. Панель управления → Папка общего доступа → выберите папку → Редактировать.
2. Вкладка Разрешения.
3. Нажмите кнопку "Добавить" (или "+ Добавить пользователя/группу").
4. Выберите тип:
   Пользователи домена
   Группы домена
5. Из списка выберите нужного пользователя или группу.
6. Назначьте разрешение:

РазрешениеЧто означаетRW (Read/Write)Полный доступ к папке: создание, чтение, запись, удалениеRO (Read Only)Только чтение, без возможности создавать или менять файлыNA (No Access)Полный запрет (имеет наивысший приоритет)

Правило приоритета разрешений:

NA (Нет доступа) > RW (Чтение/Запись) > RO (Только чтение)

То есть если пользователю назначено RW, но его группе — NA, то он получит NA. Запрет всегда выше разрешения.

Пример:

Папка: /Departments/IT

Разрешения:
- Domain\IT-Group: RW (все разработчики и сисадмины из IT могут всё)
- Domain\Finance-Group: RO (финансовый отдел может только смотреть)
- Domain\Domain Users: NA (остальные вообще ничего не видят)

Уровень 2: Расширенные разрешения Windows ACL

Когда базовых разрешений недостаточно и нужно управлять правами на уровне файлов или подпапок — используйте Windows ACL.

1. Откройте File Station (веб-интерфейс DSM).
2. Найдите нужную папку, нажмите на неё правой кнопкой → Свойства.
3. Вкладка Разрешения.
4. Если там написано "Разрешения UNIX" — нужно переключиться на "Windows ACL":
   Нажмите кнопку "Создать" или иконку редактирования
   Выберите "Windows ACL"
5. Добавьте доменного пользователя или группу:
   Нажмите "+ Добавить"
   Тип: Пользователи домена или Группы домена
   Выберите из списка
6. Настройте детальные права:

После добавления пользователя/группы вы увидите чек-боксы с разными типами разрешений:

1. Область применения: важно выбрать, к чему относятся эти права:

• Только эта папка
• Эта папка и все подпапки
• Только подпапки и файлы
• Только эта папка (не наследуется)

Практический пример конфигурации для отдела IT:

Папка: /Departments/IT
Файловая система: Btrfs (обязательна для полноценных ACL)

Разрешения:
┌─ Domain\IT-Group
│ ├─ Чтение данных: ☑ (эта папка, подпапки и файлы)
│ ├─ Создание файлов: ☑ (эта папка, подпапки и файлы)
│ ├─ Создание папок: ☑ (эта папка, подпапки и файлы)
│ └─ Удаление: ☑ (только подпапки и файлы - свои файлы удаляют, корневую не трогают)
│
├─ Domain\IT-Managers
│ └─ Полный контроль (эта папка, подпапки и файлы)
│
├─ Domain\CREATOR OWNER
│ └─ Полный контроль (только подпапки и файлы - владелец файла всё может)
│
└─ Domain\SYSTEM
└─ Полный контроль (эта папка, подпапки и файлы)

Что происходит при такой конфигурации:

• Обычный сотрудник из IT-Group может создавать файлы, читать всё и удалять свои файлы, но не может удалять файлы коллег.
• Менеджеры IT могут всё: создавать, удалять, менять права.
• Если файл создал сотрудник, то он может удалить собственный файл даже если не входит в IT-Managers.
• SYSTEM (системные процессы Synology) могут управлять всем для выполнения служебных операций.

Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и практиков.

Присоединяйся прямо сейчас.

Этап 7: Настройка главных (домашних) папок пользователей

Это полезная фишка: каждый пользователь домена получает личную папку, куда никто кроме него не может смотреть.

Включение главных папок

1. Панель управления → Домен/LDAP → вкладка "Главная папка пользователя".
2. ☑ Включить главную папку пользователя для пользователей домена.
3. Опционально: установите квоту на пользователя (например, 10 ГБ).
4. Нажмите OK.

После этого:

• На Synology создастся структура /homes/@DH-domain.local/username для каждого пользователя домена.
• Когда пользователь в первый раз подключится к \\synology\home, его домашняя папка создастся автоматически.
• Доступ получит только этот пользователь (и администраторы NAS).

Проверка:

File Station → перейдите в /homes/@DH-domain.local/

Там должны появиться папки всех пользователей, которые уже подключались.

Подключение диска в Windows:

net use H: \\synology.domain.local\home /persistent:yes

Или через GPO (об этом ниже).

Этап 8: Автоматическое подключение дисков через Group Policy

Это превращает ручное подключение дисков в полностью автоматический процесс. Когда пользователь входит в компьютер — нужные диски уже подключены.

Создание GPO на контроллере домена

1. На контроллере домена откройте Group Policy Management Console (gpmc.msc).
2. Разверните лес, домен, перейдите в нужную OU (например, "Workstations").
3. Правой кнопкой → "Create a GPO in this domain, and Link it here" → введите имя, например "Map Network Drives".
4. Правой кнопкой на созданной GPO → Edit.
5. Переходим к настройке:

User Configuration
↓
Preferences
↓
Windows Settings
↓
Drive Maps

1. Правой кнопкой в пустой области → New → Mapped Drive.

Настройка подключения диска

Вкладка "General":

Action: Create
Location: \\synology.domain.local\Departments
Label as: Отдел (S:) [видимое имя в проводнике]
Drive Letter: S:
Reconnect: ☑ (галочка - переподключать при каждом входе)
Connect as: [оставить пустым, будет использоваться текущий пользователь]

ВАЖНО: используйте FQDN (synology.domain.local), а не IP-адрес! Это необходимо для работы Kerberos-аутентификации.

Вкладка "Common":

• ☑ Item-level targeting (если хотите применять эту политику только к определённым пользователям/компьютерам).

Если включить targeting:

Нажимаем кнопку "Targeting..."
↓
Add
↓
Выбираем Security Group
↓
Выбираем из списка нужную группу домена

1. Нажимаем Apply и OK.

Применение политики на клиентах

# На компьютере в домене (с правами администратора)
gpupdate /force

После этого при следующем входе (или сразу после gpupdate) диск должен подключиться автоматически.

Проверка:

gpresult /H C:\gpreport.html
# Откройте HTML-файл в браузере
# Найдите секцию "Drive Maps" - там должна быть ваша политика

Если политика не применилась:

1. Проверьте DNS:textnslookup synology.domain.local
2. Проверьте разрешения на Synology для подключения:
   У группы пользователей должен быть хотя бы RO доступ к папке
3. Проверьте Event Viewer:textApplications and Services Logs → Group PolicyТам будут ошибки, если что-то пошло не так.

Этап 9: Разрешения для GPO Home Folders

Если вы используете GPO для автоматического подключения домашних папок (опция Home folder вместо Map as:), нужно правильно настроить разрешения на корневой папке.

На Synology для папки /homes или /PrivateFolders:

1. File Station → правой кнопкой на /homes → Свойства → Разрешения.
2. Установите вот такие разрешения:

┌─ Domain\Domain Users
│ ├─ Перебор папок/Выполнить: ☑
│ ├─ Список папок/Чтение данных: ☑
│ ├─ Чтение атрибутов: ☑
│ ├─ Создание папок/Дозапись: ☑
│ ├─ Область: Только эта папка
│ └─ Удаление: ☐ (НЕ даём права удалять саму корневую папку)
│
└─ Domain\CREATOR OWNER
└─ Полный контроль (только подпапки и файлы)

Это позволяет пользователям создавать свои папки в /homes, но не видеть чужие и не удалять корневую папку.

Практические советы из опыта

Совет 1: Всегда используйте FQDN

Когда видите в инструкции "подключитесь к \\server" — замените на \\server.domain.local. Это критично для Kerberos. IP-адреса работают, но только с NTLMv2, а это медленнее и менее безопасно.

Совет 2: Проверьте синхронизацию времени

Если вдруг после хорошей работы всё начинает ломаться и появляются странные ошибки аутентификации — первое, что нужно проверить:

w32tm /query /status
# Смотрим на Leap Seconds Server и на то, синхронизировано ли время

Для Kerberos допуск ±5 минут. Если часы сбились на 6 минут — всё сломается.

Совет 3: Кэш учётных записей AD на Synology

Synology кэширует объекты домена, и кэш обновляется каждые несколько часов. Если вы создали нового пользователя в AD, но он ещё не видит доступ к общей папке на Synology — подождите или принудительно обновите:

Панель управления → Домен/LDAP → вкладка Домен
Нажмите кнопку "Обновить" (или Resync)

Совет 4: Смотрите логи

Если что-то не работает — это не магия. Обычно есть логи:

DSM → Центр журналов → Журналы подключений [покажет, кто подключается]
DSM → Центр журналов → Аудит [менее полезно, но иногда помогает]
Windows Event Viewer → Security → смотрим логины

Совет 5: Документируйте структуру разрешений

Через полгода вы забудете, почему "Sales-Group" может видеть папку "Contracts", но не "Salary". Создайте простую таблицу:

# Структура разрешений на Synology

| Папка | Группа/Пользователь | Разрешение | Причина | Дата |
|---|---|---|---|---|
| /Departments/IT | Domain\IT-Group | RW | Сотрудники IT | 2025-11-15 |
| /Departments/IT/Confidential | Domain\IT-Managers | RW | Только мэнеджмент | 2025-11-15 |
| /Archive/2024_Q3 | Domain\Finance-Group | RO | Архив налоговой отчётности | 2025-11-15 |

Это спасает жизнь при аудитах.

Типичные проблемы и диагностика

❌ Компьютер не вводится в домен

Ошибка: "The specified domain does not exist or cannot be contacted"

Причины и решения:

1. DNS не работает. Проверьте:powershellnslookup domain.local
   nslookup dc.domain.local
2. Firewall блокирует порты. Убедитесь, что открыты:
   TCP 445 (SMB)
   TCP 389 (LDAP)
   TCP 88 (Kerberos)
   UDP 53 (DNS)
   TCP 135, UDP 123 (для RPC и NTP)
3. Контроллер домена не работает. Проверьте на DC:powershellGet-Service adws | Select-Object Status

❌ Synology не подключается к домену

Ошибка: "Authentication failed" или "Cannot resolve domain name"

Причины и решения:

1. DNS на Synology неправильно настроен.bash# На Synology через SSH
   cat /etc/resolv.conf # Смотрим, какой DNS используется
2. Время на Synology отличается от DC больше чем на 5 минут.bashdate # Проверяем текущее время
   ntpdate -q pool.ntp.org # Проверяем что говорит NTP
3. Firewall между Synology и DC блокирует нужные порты. Проверьте доступность:bashtelnet dc.domain.local 389
   telnet dc.domain.local 88

❌ Пользователи домена не видят папки на Synology

Ошибка: "Access Denied" или папка просто не отображается

Причины и решения:

1. Неправильные разрешения на папку. Проверьте:
   У пользователя или его группы должно быть хотя бы RO разрешение
   Проверьте, что базовые разрешения не переопределены Windows ACL
2. Пользователь ещё не добавлен в кэш Synology. Дождитесь синхронизации или нажмите кнопку обновления в Домен/LDAP.
3. Пользователь не входит ни в какую доменную группу. Даже если ему назначены разрешения "User1", но он не входит в созданную для этого группу — можно не найти в списке пользователей Synology.

❌ GPO не подключает диски

Ошибка: Диск не подключился после gpupdate

Причины и решения:

1. Неправильное FQDN в Location.text❌ Location: \\synology или \\192.168.1.50
   ✅ Location: \\synology.domain.local
2. Security Filtering GPO. Убедитесь, что в GPO добавлена группа "Authenticated Users" или конкретная группа пользователей, плюс "Domain Computers":
   Откройте GPO → вкладка "Scope"
   В разделе "Security Filtering" должны быть нужные группы
3. Разрешения на папку. Пользователь должен иметь доступ к папке на Synology.

Диагностика:

# На клиентском компьютере
Get-SmbMapping # Все подключённые SMB-папки
Get-NetConnection -State Listen | Where-Object LocalPort -eq 445 # Проверяем что 445 порт открыт

Производительность и оптимизация

Когда появляются проблемы с производительностью, обычно виноват один из этих факторов.

Узкие места при работе с доменом

1. Кэширование объектов AD на Synology

Первое подключение к папке на Synology может быть медленным, потому что NAS впервые синхронизирует объекты домена. На больших доменах (тысячи пользователей) это может занять минуты. Решение:

• Вручную обновите кэш через веб-интерфейс
• Увеличьте интервал синхронизации в конфиге Synology (если есть возможность)

2. Windows ACL vs базовые разрешения

Windows ACL мощнее, но медленнее. Если у вас очень большие папки (миллионы файлов) и вы включили подробное логирование операций доступа — это заметно замедлит систему.

Оптимизация:

• Используйте базовые разрешения для больших папок
• Windows ACL применяйте только где действительно нужна гибкость
• Отключите подробное логирование операций с файлами если оно включено

3. Передача по SMB

SMB с подписью сообщений (SMB Signing) или шифрованием на лету замедляет передачу. Если у вас мощный NAS и быстрая сеть — отключите подпись или включите только для критичных данных.

DSM → Службы файлов → SMB → Дополнительные параметры
Отключите или включите в зависимости от ваших потребностей

Безопасность: на что обратить внимание

Отключение SMB 1

SMB 1 — это как ездить без подушек безопасности. На Synology убедитесь, что минимальная версия SMB установлена на 2 или 3:

Панель управления → Службы файлов → SMB
Минимальный протокол SMB: SMB2 (никогда SMB1!)

На Windows-компьютерах (если используются древние версии):

# Проверить
Get-SmbServerConfiguration | Select-Object EnableSMB1Protocol

# Отключить (если включён)
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Kerberos лучше чем NTLMv2

Везде где возможно — используйте Kerberos. Он работает по DNS-имени, не передаёт пароли по сети (только билеты), и значительно более безопасен.

Для Kerberos:

• DNS должен быть идеален
• FQDN должны совпадать с SPN-записями в AD
• Часы должны быть синхронизированы

Квоты на пользователей

Ограничьте место, которое каждый пользователь может занимать:

Панель управления → Папка общего доступа → выберите папку → Редактировать → Квота

Например, 10 ГБ на пользователя. Это предотвратит ситуацию, когда один сотрудник закидывает весь NAS фильмами.

Откат изменений: на случай если что-то сломалось

Отключение от домена (Synology)

Панель управления → Домен/LDAP → вкладка Домен
Нажимаем кнопку "Выйти из домена"

Это не удаляет данные, просто отключает аутентификацию через AD.

Удаление компьютера из домена (Windows)

Remove-Computer -WorkgroupName "WORKGROUP" -Restart

Или через GUI: Settings → System → About → Advanced system settings → Computer Name → Change → выбрать Workgroup.

Откат разрешений на папку

Если что-то сломалось с ACL:

File Station → папка → Свойства → Разрешения
Нажмите "Сбросить" (если видите такую кнопку) или вручную удалите все правила и создайте заново

Чек-лист перед внедрением в production

Перед тем как давать людям доступ к "настоящей" инфраструктуре, пройдите этот чек-лист:

☑ DNS работает идеально (все SRV-записи, все A-записи, обратные зоны)
☑ Контроллер домена работает, видны все сервисы (LDAP, Kerberos, SMB)
☑ Synology подключён к домену и показывает статус "Присоединено"
☑ Минимум один компьютер введён в домен и может авторизоваться доменным пользователем
☑ Пользователь домена может зайти на компьютер и увидеть папки Synology в "Этот ПК"
☑ Все структуры папок созданы с правильными разрешениями
☑ GPO для подключения дисков создана и применена на тестовом компьютере
☑ Домашние папки работают (пользователь может подключиться к /homes)
☑ SMB-сигнинг настроен, производительность протестирована
☑ Создана таблица разрешений для документирования
☑ Протестирована диагностика проблем (DNS, Kerberos, разрешения)
☑ Сделаны резервные копии конфигураций (DC, Synology)
☑ Все документировано и скопировано в вики или Word

FAQ: вопросы, которые получаю регулярно

Вывод и рекомендации

Что вы выиграли, прочитав эту статью:

Вы теперь понимаете, как вводить Windows-компьютеры в Active Directory (три способа), как интегрировать Synology NAS в доменную инфраструктуру, и как управлять разрешениями на уровне пользователей и групп домена.

Эта архитектура масштабируется от 3 компьютеров до 300+ и обеспечивает централизованное управление доступом. Ключ к успеху — правильная подготовка (DNS!), планирование структуры OU и разрешений, и хорошее документирование.

Следующие шаги:

1. Протестируйте на одном компьютере и одной папке — не спешите разворачивать везде сразу.
2. Документируйте каждый шаг (создав себя в будущем вы будете благодарны).
3. Создайте резервные копии конфигураций DC и Synology до внедрения.
4. Подписывайтесь на мой канал "T.E.X.H.O Windows & Linux" в Яндекс.Дзене, где я регулярно разбираю именно такие техквопросы! ↪️

#ActiveDirectory #WindowsServer #Synology #NAS #SMB #Kerberos #GroupPolicy #Домен #IAM #ИнфраструктураИТ #Администрирование #Windows11 #Windows10 #ДоменныеПолитики #GPO #ACL #БезопасностьДанных #NASХранилище #ЦентрализованноеУправление #SysAdmin #ИТАдминистратор #МастерКласс #ЭтаПолезно #ПроДомены #СистемнаяАдминистрация #Windows11Pro #Локальнаясеть #Файловыйсервер #КорпоративнаяИТ