Administration Via Utilisateur Groupe Admins Du Domaine

[DjMomo]

Hello,

J'ai un petit soucis au boulot. On vient le mettre en service un 1511+ DSM4.0 sur un domaine Windows. L'inclusion du NAS dans le domaine s'est bien faite, la gestion des dossiers partagés pour chaque utilisateur du domaine passe bien.

Là où ça coince, c'est que normalement, tout membre des groupes "Admins du Domaine" ou "Admins de l'entreprise" doit pouvoir gérer la configuration du NAS comme le fait le compte admin du Syno (http://usdl.synology...AServer_fra.pdf page 56) :

Les groupes de domaine Domain Admins et Enterprise Admins seront ajoutés au groupe local administrators automatiquement. En d'autres termes, les utilisateurs de domaines de ces groupes ont le droit d'administration sur le DiskStation, notamment effectuer des applications DSM/CIFS/FTP/AFP/WebDAV.

Et apparemment, ca n'a pas l'air de marcher, car un compte qui appartient à "Admins du domaine" peut se connecter, mais n'a accès qu'aux applications "simples", pas de configuration possible.

Où cela pourrait-il bien coincer ? Au niveau domaine (l'utilisateur appartient à la fois à "Admins du Domaine" et "Utilisa. du domaine") ou alors au niveau du NAS ?

Si quelqu'un a une piste....

[CoolRaoul]

Sont pas assez stupides chez syno pour utiliser le *nom* de groupe au lieu que le SID j'espère

(quoi que j'ai déjà vu ce genre de gag dans des script powershell made in microsoft..., comme quoi...)

Le serveur de domaine est installé en FR ou en EN ?

[DjMomo]

Ca l'air d'être en français (c'est pas moi l'admin du domaine ^^)

[CoolRaoul]

Ca l'air d'être en français (c'est pas moi l'admin du domaine ^^)

Je verrai bien une blague dans le genre que j'ai décris alors...

[DjMomo]

Un moyen de vérifier sur le syno ?

[CoolRaoul]

Un moyen de vérifier sur le syno ?

La je suis un peu sec, je n'ai jamais eu l'occasion de pratiquer l'intégration DSM <-> AD

Mais j'ai lu dans un autre forum (bien que sur un sujet différent) qu'un autre utilisateur avait rencontrait le meme problème et pensait à un bug:

http://forum.hardwar...1_1.htm#t521582

La connexion en "admin" vous permettra de gérer la sécurité. Je n'ai pas trouvé d'autre moyen pour paramétrer les droits avec un compte du domaine (Je pense qu'il s'agit la d'un bug !

[DjMomo]

SYNO> net groupmap list

users (S-1-5-21-1084552640-2779898280-2613794178-1201) -> users

administrators (S-1-5-21-1084552640-2779898280-2613794178-1203) -> administrators

administrators (S-1-5-21-1401663527-2853102532-3868793693-1203) -> administrators

administrators (S-1-5-21-4265028096-812065211-3552786180-1203) -> administrators

users (S-1-5-21-1401663527-2853102532-3868793693-1201) -> users

users (S-1-5-21-4265028096-812065211-3552786180-1201) -> users

SYNO> wbinfo -n "DOMAIN\admins du domaine"

S-1-5-21-614572456-4205821091-478272699-512 Domain Group (2)

Je pense en effet que c'est mal parti...

[DjMomo]

Est-ce que quelqu'un qui est dans un domaine peut tester les 2 commandes ci dessus ?

[DjMomo]

Aller hop, ticket, ca sera (peut être) plus simple.

[DjMomo]

Bon, après quelques jours d'échanges de mails avec le support, il y a bien un bug de gestion des admins de domaine et des admins de l'entreprise sous DSM 4.0. Cela va être corrigé dans la prochaine version du DSM (4.1 donc ?).

Le problème se pose dans le fichier /usr/syno/etc/smb.conf, partie [global]. Le paramètre

admin users=@admins du domaine, @admins de l'entreprise

était absent, ou alors, il semblerait qu'à la configuration, il eut été remplacé par le paramètre

admin user=@admins du domaine, @admins de l'entreprise

("s" absent à "user").

[jfd]

Donc, ouvrir le fichier avec un éditeur pour créer/modifier la ligne au bon endroit et tout devrait rentrer dans l'ordre jusqu'à la prochaine modif

[CoolRaoul]

Bon, après quelques jours d'échanges de mails avec le support, il y a bien un bug de gestion des admins de domaine et des admins de l'entreprise sous DSM 4.0. Cela va être corrigé dans la prochaine version du DSM (4.1 donc ?).

Le problème se pose dans le fichier /usr/syno/etc/smb.conf, partie [global]. Le paramètre

admin users=@admins du domaine, @admins de l'entreprise

était absent, ou alors, il semblerait qu'à la configuration, il eut été remplacé par le paramètre

admin user=@admins du domaine, @admins de l'entreprise

("s" absent à "user").

Etonnant quand même d'avoir besoin de mettre les noms de groupes localisés.

Que va-t-il se passer fasse à un AD dans une autre langue que le français? Comment DSM va-t-il décider de la langue à choisir pour les noms de groupes lorsqu'il va modifier smb.conf?

(NB: sur mon smb.conf je n'ai pas cette ligne, mais comme je ne suis pas intégré à un domaine, ceci doit expliquer cela)