Seznam kapitol
Jako uživatelé Windows se nemusíte omezovat na systém oprávnění NASu, ale můžete využít tzv. ACL, jehož aktivace dovoluje spravovat oprávnění přímo z Windows. Nároční uživatelé si také mohou nainstalovat vlastní adresářový server. Přečtěte si, jak na to.
K aktivaci ACL není potřeba instalovat žádný speciální balíček nebo aplikaci (platí minimálně na NASu od výrobce Synology). Všechno potřebné je již obsaženo v základní instalaci firmware. Prvním krokem je přihlášení do webové administrace pomocí uživatelského účtu, který je zároveň administrátorem.
Po přihlášení přejdeme do ovládacího panelu (Control Panel), ve kterém vybereme Sdílené složky (Shared Folder), označíme odpovídající sdílenou složku, ke které si přejeme ACL aktivovat a zvolíme Edit. V novém okně pak přejdeme na záložku Windows ACL.
Pro aktivaci postačí zaškrtnout jedinou nabízenou možnost, tedy Allow editing Windows Access Control List. Po uložení je pak tato možnost aktivována. Od této chvíle můžeme využít všechny výhody, které tato volba obnáší. Pojďme si tedy ukázat, jak to funguje.
Konfigurace v rámci webové administrace
Pokud nemáme možnost přidat NAS do domény (v našem případě jsme to neudělali), primárním místem pro konfiguraci (nebo alespoň přidávání uživatelů a skupin) bude stále webové rozhraní. Je to z toho důvodu, že Windows sice dokáže zobrazit aktuální uživatele a editovat jejich oprávnění, ale jejich přidávání přímo z Windows nemusí vždy fungovat.
Pomocí ACL jsme schopni přiřadit samostatný set oprávnění ke každému objektu. To provedeme tak, že si označíme například složku, no a pomocí volby Action - Properties vyvoláme nové okno, ve kterém se přepneme do záložky Permission. Tady je již vidět určitý rozdíl oproti standardnímu seznamu uživatelů. Systém konfigurace nápadně připomíná konfiguraci oprávnění ve Windows, přičemž funguje prakticky totožně.
Můžeme zde přidat libovolný počet skupin nebo uživatelů, přičemž každá položka seznamu (ACE) může mít konfigurováno speciální oprávnění, a to včetně možnosti zdědit oprávnění nadřazené složky, eventuálně nastavit dědičnost všem vnořeným souborům, složkám, a podobně.
Na obrázku výše je vidět přidání nové položky do seznamu. U dané složky má tedy uživatel michal oprávnění ke čtení, které se vztahuje jak na složku, tak obsažené soubory (pokud není u souborů definováno jinak).
Konfigurace v rámci Windows
Nyní je ta správná chvíle k tomu, abychom se podívali také do Windows. Zobrazíme si tedy vlastnosti před chvílí konfigurované složky a přejdeme na nyní přítomnou záložku Security - tu jsme před aktivací ACL neměli k dispozici.
Jak je patrno, máme zde možnost vidět (a také upravovat) oprávnění pro jednotlivé uživatele a skupiny, a to buď pomocí tlačítka Edit a následného základního nastavení, případně kliknutím na Advanced, kde je možné editovat i speciální oprávnění (doporučeno).
Mohlo by vás zajímat
Prvním bodem, na který bychom rádi upozornili, je fakt, že po aktivaci ACL na NASu od Synology dojde k přidání skupiny Everyone ke všem složkám. To je z toho důvodu, že dosavadní oprávnění by nemusela fungovat tak, jak bychom si představovali. Proto je potřeba provést odpovídající konfiguraci, aby bylo vše nastaveno tak, jak potřebujeme (např. náhradou skupiny Everyone skupinou Friends, apod.).
Pokud nastavíte u jednotlivých složek a souborů oprávnění pomocí ACL a následně tuto službu na NASu vypnete, možnost konfigurace tímto způsobem sice již nebude k dispozici, ale oprávnění k objektům zůstávají v platnosti. Je tedy potřeba před zrušením tohoto typu autentifikace resetovat oprávnění do původního stavu, případně nastavit explicitně oprávnění pomocí příkazové řádky, čímž dojde k přepsání (resp. zrušení) ACL záznamů.
Pokud máte doma doménový controller, je určitě výhodnější přidat NAS do domény. Tím získáme přístup k adresářové službě domény (Active Directory), takže na NASu již není potřeba nic dělat a vše budeme moct pohodlně konfigurovat z Windows tak, jak jsme zvyklí.
Pokud vlastní doménový controller nemáte a přesto byste rádi využívali výhod společné databáze uživatelů a skupin (např. pro více zařízení), doporučili bychom instalaci vlastního adresářového serveru (Directory Server), jehož instalaci a konfiguraci se věnujeme v další kapitole.
