了解域和LDAP

域和LDAP都是网络管理中非常重要的工具。域提供了集中管理和高安全性的优势，而LDAP则提供了灵活性和标准化的好处。两者结合使用，可以实现高效、安全的网络资源管理。

什么是域？

域是一种网络结构，用于集中管理和控制网络资源。域控制器（Domain Controller, DC）是管理域的核心服务器，负责用户身份验证、权限管理和资源分配。在计算机网络中，域是一个逻辑分组，通常包含一组计算机、用户和其他资源，它们通过域控制器进行集中管理。域提供了一种安全管理用户和资源访问的方式。用户只需一个账号即可访问域内的所有资源，这种集中管理简化了网络管理，提高了安全性和可控性。

域的优点

1. 集中管理：管理员可以通过域控制器集中管理用户账户、计算机和其他资源。

2. 安全性：域提供了更高的安全性，通过组策略（Group Policy）可以统一配置安全设置。

3. 单点登录（SSO）：用户只需登录一次即可访问域内的所有资源。

什么是LDAP？

LDAP（Lightweight Directory Access Protocol）是一种用于访问和管理目录服务的协议。目录服务是一种特殊的数据库，专门用于存储和检索信息，如用户、组、设备等。LDAP协议通常用于验证用户身份和查找用户信息，是实现单点登录和统一身份管理的重要工具。

LDAP的优点

1. 标准化：LDAP是一个开放标准，广泛支持各种操作系统和应用程序。

2. 灵活性：可以存储各种类型的信息，不仅限于用户和组。

3. 扩展性：可以通过扩展模式（schema）来适应不同的需求。

域和LDAP的主要区别

1. 域主要用于管理和组织网络内的计算机和资源，通过域控制器实现集中管理。

2. LDAP主要用于访问和管理目录服务，通过协议与目录服务器通信，实现用户身份验证和信息查找。

域与LDAP的关系

虽然域和LDAP是不同的概念，但它们经常一起使用。域控制器通常使用LDAP协议来存储和检索用户信息。例如，微软的Active Directory（AD）就是一个基于LDAP的目录服务，用于管理域内的资源。

域/LDAP的优点

1. 统一管理：通过LDAP协议，域控制器可以统一管理用户和资源。通过单一界面，简化了账户和权限的管理，提高了效率。

2. 增强安全性：通过组策略，你可以统一配置和强制执行安全设置，确保每台设备都符合公司的安全标准。

3. 单点登录 (SSO)：员工可以使用同一个账号访问所有域内资源，无需记忆多个密码，提升了使用体验并减少了密码相关的问题。

域/LDAP在NAS中的使用场景

集中管理和认证

• 单点登录 (SSO)：用户可以使用单一账号登录NAS，简化了用户管理。

• 组策略：通过域控制器，管理员可以对NAS进行策略管理，统一配置权限。

• 用户权限管理：用户可以访问NAS上的共享文件夹，基于用户和用户组访问权限。

示例场景

• 新员工入职：通过域/LDAP，你只需创建一个账号，即可使用该账号访问所有域内的资源，快速上手工作。

• 资源共享：不同部门共享同一台NAS设备，但仅能访问各自的文件夹，确保数据安全。

• 人员变动：当员工角色变更时，通过调整其域账户的用户组权限，确保其访问权限及时更新。

• 员工离职：迅速禁用离职员工的域账户，立即终止其对所有公司资源的访问，确保数据安全。

配置和使用指南

在UGOS Pro配置域

1. 打开控制面板，点击【域/LDAP】选项。

2. 点击“加入域/LDAP”，进入域/LDAP加入向导。

3. 在服务器信息栏中，你需要选择服务器类型，填写服务器地址和DNS服务器。请根据你搭建的服务器选择对应的类型。设置完成后点击“下一步”。

1. 填写域账号和域密码，在高级设置中你可以设置“更新用户/组列表”的同步时间间隔，系统会按照这个时间间隔更新用户/组列表。设置完成后点击“下一步”。

1. 系统将检测你的配置是否正确，若检测通过你可以点击“确认”。

1. 若检测失败请按照提示检查链接设置是否正确，点击“详情”可以查看失败的原因。

1. 再接下来的弹窗中阅读弹窗提醒，确认无误后点击“确定”。

1. 添加成功后你可以在【域/LDAP】中查看和管理你的服务器信息和域用户、域用户组。

退出域

1. 在【域/LDAP】选项中，点击“退出域”。

2. 在二次确认的弹窗中点击“确定”。

3. 输入当前登录的管理员账号的密码，点击“提交”。

4. 退出后，如需再次加入域需要重新配置并连接。

在UGOS Pro配置LDAP

1. 打开控制面板，点击【域/LDAP】选项。

2. 点击“加入域/LDAP”，进入域/LDAP加入向导。

3. 在服务器信息栏中，你需要选择服务器类型，填写服务器地址和DNS服务器。请根据你搭建的服务器选择对应的类型。设置完成后点击“下一步”。

1. 请填写Bind DN/账号、密码和BASE DN，加密模式支持SSL/TLS、STARTTLS两种模式，可以按需设置。

2. 在高级设置中你可以设置“更新用户/组列表”的同步时间间隔，系统会按照这个时间间隔更新用户/组列表。设置完成后点击“下一步”。

1. 系统将检测你的配置是否正确，若检测通过你可以点击“确认”。

1. 若检测失败请按照提示检查链接设置是否正确，点击“详情”可以查看失败的原因。

1. 再接下来的弹窗中阅读弹窗提醒，确认无误后点击“确定”。

1. 添加成功后你可以在【域/LDAP】中查看和管理你的服务器信息和域用户、域用户组。点击“测试”可以查看服务器的连接状态，在“高级设置”中你可以设置“更新用户/组列表”的同步时间间隔，系统会按照这个时间间隔更新用户/组列表。

退出LDAP

1. 在【域/LDAP】选项中，点击“退出域”。

2. 在二次确认的弹窗中点击“确定”。

3. 输入当前登录的管理员账号的密码，点击“提交”。

4. 退出后，如需再次加入LDAP需要重新配置并连接。

修改域/LDAP的用户/用户组权限

• 在成功连接域/LDAP后，你可以在“域用户”和“域用户组”查看域同步给NAS的用户和用户组信息，如果你在域更新了用户和用户组信息，但是NAS中还没有同步的话，你可以手动点击“更新域数据”同步用户和用户组信息。

• 域用户的个人文件夹默认是关闭状态，如果你需要为开启个人文件夹，请选择要开启个人文件夹的用户，点击“编辑”，在域用户信息中勾选“启用TA的个人文件夹”，点击“保存”使设置生效。你还可以设置用户的共享文件夹使用限额和文件夹访问权限，点击“编辑”，在权限与设置中修改文件夹的访问权限，点击“使用限额”可以设置用户的共享文件夹最大使用额度，修改完成后点击“保存”使设置生效。

• 如果你的域用户权限是普通用户，共享文件夹的访问权限默认都是“禁止访问”，你需要手动修改共享文件夹的访问权限，选择需要修改权限的普通用户，点击“编辑”，在“权限与设置”中修改你需要访问的共享文件夹权限，修改完成后点击“保存”使设置生效。

• 如果你希望批量修改用户的共享文件夹权限，你可以在域服务器中将用户添加至域用户组，随后你可以在【域/LDAP】的域用户组中修改用户组的共享文件夹权限，选择你需要修改权限的域用户组点击“编辑”，在“权限与设置”中修改你需要访问的共享文件夹权限，修改完成后点击“保存”使设置生效。

使用域/LDAP账号登录UGOS Pro

如果需要使用域用户登录UGOS Pro，请在【域/LDAP】的域用户列表中找到对应的域用户名。然后，使用该域用户的名称和域用户的密码登录UGOS Pro。

注意事项

1. 退出域时，如果勾选“”保留域用户的个人空间数据，域用户创建的个人文件夹不会被删除。

2. 域用户和用户组的权限与在域服务器上设置的权限一致。如果需要更改在NAS中的权限（例如，将普通用户变为管理员），请在【域/LDAP】的“域用户”中手动编辑和修改。

3. 在实际应用中，若需实现用户统一身份认证与访问控制，可以通过搭建域控（AD域）或 LDAP 目录服务来实现，建议使用 Windows Server 2012 R2 或更高版本 来搭建域或 LDAP 服务。