玩转NAS 篇一：群晖开局及Dirve团队文件夹多级部门权限设置

追加修改(2022-06-09 23:45:23):
补充遗漏的步骤：除完成正文设置外，想要用户能够自助找回密码还需进行以下设置： 在“控制面板”-“用户与群组”-“高级设置”中勾选“允许非管理员用户在忘记时通过电子邮件重置”。

很多小伙伴是买NAS家庭自用，也有不少公司买NAS进行文件管理之用，而其中用到的套件以Drive为主，相比家庭使用场景公司使用时的设置过程要复杂一些，本文分享群晖NAS在公司使用场景的一些基本但重要的设置。

新机器到手首先是插硬盘，开机用Synology Assistant搜索NAS并根据引导设置硬盘格式、设置IP和管理员密码等，具体引导过程略过，但存储池格式一定要选择带冗余的，SHR或者Raid1、Raid5都可以。

一、安全设置

NAS首要用途是存数据，数据安全是头等大事，设置过程：

1、根据安全顾问引导设置

在套件中心打开“安全顾问”：

系统自带安全顾问

选择安全基线为“对于工作和业务”，如此它提出的安全设置指导的安全性会更高：

首次进入安全顾问会自动运行一次安全扫描，扫描过程大概3-5分钟：

对安全风险项进行针对性修复，修复前可以对各项风险先进行解读，双击风险项可打开风险详情，这些风险中有的为高危，需要尽可能修复，有的为低危，实在修复不了就放着问题也不大。

比如"系统"大项里的“域服务器签发已禁用”风险，它是需要局域网里有DC域控才能实现，如果只在NAS本身启用了签发并不起作用：

对公司内部的安全防范可以通过加强PC端的安全保护来保障，NAS的主要安全风险还是来自外网，NAS是提高移动办公效率的利器，所以无特殊情况必然要允许从外网访问，这里按照安全顾问的提示进行相应设置。

比如对于“已禁用自动封锁”，双击此项弹出事件详情，在详情界面点击下方“打开控制面板执行建议的操作”处“控制面板”：

在弹出的界面打勾启用自动封锁，在封锁条件里设置合适的时间长度和尝试次数，默认的5分钟10次比较宽松，如要更严格可以设成5分钟3次，我通常设置5分钟内登陆失败5次就封锁该可疑IP，封锁过期用处不大通常不开启：

其他安全设置按照安全顾问的引导一 一设置即可。

2、防火墙设置

未启用防火墙并不会在安全顾问里产生提醒，但国外想搞破坏的IP实现在太多了，几乎每天都封几个，于是设置防火墙对国外IP一律禁止访问。

设置路径在“控制面板"-"安全性”-“防火墙”，勾上“启用防火墙”和“启用防火墙通知”，然后点击“编辑规则”配置防火墙规则：

规则可以参考我的设置，主要目的就是限制国外IP，所以按顺序配置三条规则就够了，前两条是套件自动添加的（实际不需要），注意：最后一条操作为“拒绝”的一定要排在最后，如果配置完顺序不对，可以鼠标拖动调整顺序：

3、其他设置

进行硬盘健康、阵列数据一致性校验等降低数据损坏风险的相关设置。

打开“存储管理器”：

选中创建好的存储池，点击“计划数据清理”：

在弹出的清理计划配置界面勾上“启用数据清理计划”，勾上存储池（如有多个则全选），频率保持默认每六个月一次即可，由于数据校验时占用不少性能，所以勾上“仅在特定时间段运行数据清理”并点击“设置时间表”合理设置运行数据校验的时段：

再回到“存储管理器”-“HDD/SSH”-“检测计划程序”：

在弹出界面的“常规”选项卡设置检测范围和方式：

在“计划”选项卡设置时间和频率，快速方式的SMART检测速度很快，设置哪个时间点运行影响不大，主要是设置频率，建议设为每个月一次：

在“存储管理器”-“HDD/SSH”-“设置”界面设置存储运行情况的邮件报告，勾上上面三个邮件通知的选项即可：

注意：这一步的设置要在完成本文的 三、设置邮件服务后进行。

二、设置synology账号

这一步设置很简单，可以在NAS首次开机的引导过程设置，也可以进入系统后在“控制面板”的“Synology账户”设置里设置，其作用是可以备份NAS设置参数以在需要时恢复，更有用的是实现通过QuickConnect从外网访问你的NAS：

如果没有在首次开机的引导过程设置完成Synology账号，是在进入系统后再进行设置的，则QuickConnect要在设置完Synology账号后另外在“控制面板”的“外部访问”里设置：

有人会说QC速度慢，其实只要向运营商申请了分配公网IP，速度就和路由器做DDNS基本一样，而且QC还有个优势，在国家领导开大会时它也能用，而ORAY等一些免费DDNS一开会一声不吭就把你给停了。

三、设置邮件服务

当公司里有大量用户要使用NAS时，密码管理是件麻烦事，设置邮箱件服务后，当用户忘记密码就可以通过邮件自助找回密码。

设置前先要在邮件服务商那里获取SMTP连接信息，推荐用QQ邮箱，QQ邮箱设置相对简单，而且中国人基本都有QQ。

登陆邮箱首页，点击界面顶上的“设置”，进入设置界面：

再切换再“账户”页签：

往下拉直到POP3/IMAP/SMTP相关设置的位置，点击POP3/SMTP服务这一项的“开启”，按照弹出的提示发送验证短信，完成验证后获得用于SMTP连接的登陆密码：

转到NAS进行配置，设置路径为“控制面板”-“通知设置”-“电子邮件”，系统通知收件人处的收件地址只要是你能收到邮件的邮箱那可以，可以和下方设置的发件邮箱相同，“发件人”下的“服务供应商”选择“QQ”，“用户名”填写刚开启SMTP服务的邮箱账号，“密码”填写刚获得的SMTP专用登陆密码，点击“应用”后可以点击“发送测试电子邮件”进行测试：

四、权限设置

1、需求收集整理

进行具体配置之前要先做个权限矩阵表，如果没有提前收集权限需求设置起来会无从下手。我们可以列好表头，交由公司的行政管理人员来填写，比如这次模拟的表格如下：

根据表格整理出公司文件管理权限分配思路，描述出来就是：

• 总经办对下级部门的主管部门的文件有访问权限，对下级部门的子部门不关心（不需要任何权限）；

• 行政总部对本级文件有访问和修改、删除权限，对下级部门区域1和区域2行政部文件也有访问和修改、删除权限；
  

• 两个区域行政对自己的文件有访问和修改、删除权限，对上级部门文件有访问权限，对同级的兄弟部门以及其他职责的部门都没有任何权限；

• 账务部只管自己的事；

另外还需要一个用户列表用于快速导入用户，表格的列顺序按以下顺序从左往右排列，有的属性列可以不填写但即使留空也不能删除，密码可以先用统一密码，邮箱一定要用真实的邮箱。同样，这个表我们可以做好表头再由行政部门填写：

后面的设置就按照以上需求开展。

2、用户和用户组设置

按照上面表格得出有哪些用户组，用户组不支持批量导入，只能逐一手工创建，创建路径为：“控制面板”-“用户与群组”-“用户群组”,输入群组名称和说明后，后续设置保持默认点击下一步直到一个群组创建完成，然后重复创建过程将所有群组创建完毕：

进行批量导入用户，导入前需要将用户列表复制到TXT文档，只复制用户信息不需复制表头：

进行导入操作，操作路径为：“控制面板”-“用户与群组”-“用户账号”，点击“新增”旁边的小三角，点击展开的菜单中的“导入列表”，弹出导入界面：

点击“浏览”选择刚才粘贴用户信息的TXT文档，勾选“寄通知信给新用户”、“在通知邮件中显示用户密码”、“首次登陆时强制修改导入用户的密码”，点“确定”完成用户导入：

3、文件夹权限设置

按照此前收集的信息表，给每个部门创建共享文件夹，创建路径：“控制面板”-“共享文件夹”-“新增”，在创建界面填写文件夹名称、描述，勾上“在网络邻居隐藏此共享文件夹”、“对没有权限的用户隐藏子文件夹及文件”、“启用回收站”和“只允许管理员访问”，点击"下一步“：

不进行加密，直接下一步：

高级设置可以直接下一步，也可以按需设置空间配额：

确认配置无误后点“下一步”：

重点来了，这里就是分配用户权限的地方，需要参照此前收集的用户-文件夹关系矩阵表正确勾选用户权限。

本案例里是按照群组为单位分配各文件夹的权限的，所以在用户对象下拉框切换为“本地群组”视图，勾选对应群组对本文件夹的正确权限，比如当前设置的是“总经办”文件夹，按公司要求“总经办”文件夹只允许总经办本部门的用户访问，访问权限要求为读写，所以在“总经办”行“可读写”列的坐标打勾：

上面是整个部门权限需求相同时的设置方法，如果一个部门内有许多用户，需要对不同用户设置对一个文件夹有不同的权限，则可以在上面界面用户对象下拉框切换为“本地用户”视图，单独对用户进行权限分配。

如果后续有权限或用户变动，可以进入“控制面板”-“共享文件夹”选中需要修改权限的文件夹，点击“编辑”进行权限分配或修操作：

重复以上步骤完成所有部门的共享文件夹创建和权限分配。

以上方法是为所有部门及子部门都创建一个“共享文件夹”，如果子部门数量比较多，则设置起来会比较复杂，可以采取为多个同性质子部门设置一个共享文件夹的方式，在共享文件夹下为不同子部门创建不同子文件夹，比如本案例中可以为华中区行政部和华南区行政部创建一个“区域行政”的共享文件夹，里面再创建“华中区行政部”、“华南区行政部”子文件夹，这时对于行政总部用户组只需要对“区域行政”共享文件夹进行一次授权，就能继承下面的子部门文件夹权限，不需要重复设置。

最后在“Synology Drive 管理控制台”将每个部门的共享文件夹启用为团队文件夹：

后续的配置就是Drive客户端的配置了，过程相对简单，值友们如有需要后续再发文讲解。

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～