楔子

即便近年來綠聯(lián)、極空間等新晉NAS品牌飛速崛起，但是也從來沒有誰能夠撼動群暉在NAS領(lǐng)域第一梯隊Top.1的位置。只能說羅馬不是一天建成的，一套成熟可靠的NAS系統(tǒng)也不可能一蹴而就，就連綠聯(lián)的產(chǎn)品經(jīng)理也直言“我們是在摸著群暉的屁股”過河，群暉DSM系統(tǒng)在業(yè)內(nèi)的地位可見一斑。也正因如此，更穩(wěn)定、數(shù)據(jù)更安全、更適合辦公使用的群暉始終是企業(yè)部署NAS的首選。

接下來我們就來聊一聊如何利用群暉DSM搭建企業(yè)數(shù)據(jù)服務(wù)中心，群暉家用的小伙伴也可以順道看看優(yōu)化下自己的NAS設(shè)置邏輯。

老牌群暉 VS 新晉NAS品牌相比有哪些明顯優(yōu)勢

▼就事論事，無意拉踩。

toB思維 VS toC思維

▼新晉NAS品牌多把NAS設(shè)備當做一件數(shù)碼產(chǎn)品，主打一個簡單易用；對于高強度的數(shù)據(jù)安全性、用戶賬號權(quán)限管理這類主要面向于商業(yè)、辦公類型用戶的服務(wù)則屬于聊勝于無的狀態(tài)。群暉則不同，DSM系統(tǒng)的設(shè)計初衷就是面向于商業(yè)、企業(yè)服務(wù)，對于原始數(shù)據(jù)的安全性、數(shù)據(jù)使用的安全性都擺在第一要位。

在群暉DSM內(nèi)我們能夠看到諸如Active Backup for Business（ABB）、Hyper Backup、Snapshot Replication等多種為數(shù)據(jù)安全量身定做的應(yīng)用。

穩(wěn)定使用 VS 高頻更新

▼對于注重NAS數(shù)據(jù)安全性的用戶來說，系統(tǒng)并不是更新的越勤快越好，穩(wěn)定性與數(shù)據(jù)安全性才是第一要務(wù)。早前極空間更新升級過一次存儲池，原本用來做存儲數(shù)據(jù)的m.2 SSD必須先將數(shù)據(jù)備份出來，升級完之后該SSD將只能外部掛載，對于原本就沒有部署幾個Docker容器的家庭用戶來說可能這沒什么，但是對于企業(yè)來說，這很有可能足以讓運維人員加幾晚的班，甚至可能影響到整個公司的工作流程運作。

功能演示用設(shè)備，群暉DS923+

▼群暉DS923+是一款高性能的四盤位塔式NAS設(shè)備，在外觀上主打一個商務(wù)簡約，與群暉DS423+、群暉DS920+等幾乎無異。DS923+搭載AMD Ryzen R1600雙核4線程處理器，支持DDR4 ECC內(nèi)存，最大可擴展至32GB，對于多任務(wù)處理和數(shù)據(jù)密集型應(yīng)用均能游刃有余。

▼DS923+本身搭載有4個3.5英寸（兼容2.5英寸）盤位，可以通過DX517擴展柜增加至9個硬盤位，DS923+內(nèi)置兩個M.2 2280 NVMe SSD插槽，可以用作高速緩存或者是獨立的高速存儲池，對于企業(yè)來說使用將SSD用作緩存無疑是最優(yōu)解，如果是家用則可以配專用的SSD做存儲。設(shè)備接口上DS923+配備有兩個1Gb RJ-45端口，并且支持通過E10G22-T1-Mini 10GbE RJ-45配將將NAS升級到萬兆。

員工工號、權(quán)限管理

▼新興的NAS系統(tǒng)都喜歡說所有用戶的數(shù)據(jù)賬號獨立，尊重你的隱私，但是從我作為普通家用用戶的角度看過去，一旦更換其他品牌NAS設(shè)備，遷移家人同步到NAS上的數(shù)據(jù)就成了一個相當糟心的事情：指望家人自己搞定完全是癡心妄想；找家人要賬號，說好的隱私呢，凡此種種。

普通家用尚且如此，更何況是動輒幾十人、上百人的企業(yè)。

對于企業(yè)NAS應(yīng)用來說，我們希望運維人員只做系統(tǒng)的運維，不要涉及到業(yè)務(wù)數(shù)據(jù)；希望每個部門內(nèi)部能夠協(xié)同工作，但是又不被其他部門看到數(shù)據(jù)；希望人員能夠帶著自己的數(shù)據(jù)在企業(yè)內(nèi)平滑流動（調(diào)崗）；希望涉及到需要多個部門（人員）協(xié)同的項目，數(shù)據(jù)只有指定部門（人員）能看得到。

以上這些，對于群暉DSM來說很簡單，但是對于其他NAS系統(tǒng)來說卻不見得。

以部門為單位的員工工號權(quán)限規(guī)劃

▼其實NAS的用戶權(quán)限說白了就是對人的管理，以部門為視角的員工工號選線管理只需要按照下圖的邏輯進行規(guī)劃就好。

▼在群暉的控制面板-用戶與群組中我們可以找到相應(yīng)的功能。

創(chuàng)建運維組，屏蔽運維人員的數(shù)據(jù)訪問權(quán)限

▼很多時候在一般企業(yè)技術(shù)和業(yè)務(wù)是分開的，我們不希望技術(shù)人員能夠看到企業(yè)內(nèi)的業(yè)務(wù)數(shù)據(jù)或者其他信息，進而保證公司商業(yè)秘密的安全， 這樣我們首次開始配置群暉NAS的時候最好就新建一個運維組。具體操作菜單：控制面板-用戶與群組-用戶群組-新增。

▼創(chuàng)建好組名之后會進入到添加成員環(huán)節(jié)，這時候我們還沒有創(chuàng)建其他員工工號，可以先直接點擊下一步跳過，在分配共享文件夾訪問權(quán)限時，可以對所有的共享文件夾都禁止訪問，這樣該用戶組下的運維人員就看不到公司共享數(shù)據(jù)了。

▼應(yīng)用權(quán)限分配這里個人建議是應(yīng)用權(quán)限最好都給到運維組，這樣員工在使用的過程中遇到問題直接找運維人員解決就好。

▼接著我們?yōu)檫\維組新建業(yè)務(wù)人員，操作路徑為控制面板-用戶與群組-用戶賬號-新增。

▼運維人員屬于管理員系列賬戶，這里要同時勾選群暉默認的administrators用戶組與我們剛剛創(chuàng)建好運維用戶組。

▼按照群暉的權(quán)限邏輯，禁止訪問的優(yōu)先級＞可讀寫＞只讀，故而最終運維用戶將完整繼承剛剛創(chuàng)建的運維組禁止訪問的權(quán)限設(shè)置。

▼此時的運維人員看不到NAS中的任何數(shù)據(jù)。運維工號應(yīng)當是企業(yè)內(nèi)的大權(quán)限工號，運維人員除了掌握運維工號之外，應(yīng)當創(chuàng)建歸屬于自己部門的工號，個人的數(shù)據(jù)應(yīng)當獨立于運維工號。當需要在系統(tǒng)內(nèi)進行參數(shù)設(shè)置、功能調(diào)試時再登陸運維工號。

巧用雙重驗證機制提高數(shù)據(jù)安全、運維安全性

▼有細心的小伙伴可能就發(fā)現(xiàn)了：欸？那運維人員豈不是可以自己修改用戶組的權(quán)限，最終訪問數(shù)據(jù)么。這時候我們就可以使用群暉的登陸雙重驗證機制，通過一個人保管密碼，一個人保管二次登陸驗證服務(wù)的手段來實現(xiàn)在DSM操作時需要上級授權(quán)或者是操作人、復(fù)核人同時在場，進而監(jiān)督、控制運維工號安全使用的目的。

▼群暉DSM的雙重驗證登陸支持批準登錄（Synology Secure Sigh In APP），驗證碼登陸、硬件安全密鑰等多種方式，大家在實際應(yīng)用中視對數(shù)據(jù)安全的重視成都靈活使用就好。

設(shè)置業(yè)務(wù)部門文件夾（共享文件夾）

▼不同部門的工作內(nèi)容不同，需要訪問到的數(shù)據(jù)也不同，比如人力部的考勤、工資文件絕對不能被其他部門看到，但是老板要能看到，比如市場營銷部門簽訂的重要合同也不能讓其他部門看到，但是老板要能看得到這樣，這就涉及到了部門共享文件夾與群組匹配的問題。為了方便管理，我們可以為每個部門單獨創(chuàng)建一個共享文件夾（業(yè)務(wù)部門文件夾）。

▼另外我們還需要在文件服務(wù)中，開啟SMB下的對沒有權(quán)限的用戶隱藏共享文件夾，避免通過相關(guān)業(yè)務(wù)部門文件夾被沒有權(quán)限的用戶嘗試連接，像這樣看起來很基礎(chǔ)的功能，但是在大多數(shù)新進NAS品牌上是沒有這么嚴謹?shù)?，群暉的?yōu)勢就是這樣顯而易見。在設(shè)置的過程中我們可以先不勾選響應(yīng)部門群組，之后統(tǒng)一規(guī)劃。

設(shè)置特殊安全文件夾，WriteOnce固化企業(yè)重要數(shù)據(jù)

▼除了普通的業(yè)務(wù)部門共享文件夾之外，群暉DSM還可以創(chuàng)建加密保護共享文件夾，以及使用WriteOnce功能保護共享文件夾數(shù)據(jù)。WriteOnce提供了兩種模式，分別是企業(yè)模式與法規(guī)模式，兩者之間的區(qū)別是管理員是否支持覆寫，在法規(guī)模式下管理員可以覆寫，企業(yè)模式下就連管理員都不能覆寫，進而大大加強數(shù)據(jù)的安全性，另外啟用Write功能的共享文件夾回收站功能會自動禁用。

▼像是我所處的證券行業(yè)，有大量的數(shù)據(jù)諸如開戶時雙錄視頻、電子協(xié)議等監(jiān)管要求保存不少于二十年，使用WriteOnce功能歸檔保存資料可以設(shè)置自動鎖定時間以及鎖定年限，這樣監(jiān)管要求的重要數(shù)據(jù)保存就變得相當簡單了，再也也不必擔心啥數(shù)據(jù)數(shù)據(jù)因操作風(fēng)險被誤刪除了。

▼公司簽訂的重要合同文件，財務(wù)報告、審計報告等文件都可以統(tǒng)統(tǒng)丟進來。

部門文件夾與用戶群組的匹配

▼進入到共享文件夾對剛剛設(shè)置好的部門文件夾進行編輯，在全線位置選擇本地群組，為每個部門關(guān)聯(lián)相應(yīng)的部門文件夾（共享文件夾）即可。這里提醒一下，可以在建設(shè)用戶群組的時候設(shè)計一個【公司高層】組，給到這個用戶組所有部門的文件夾權(quán)限。

用其他NAS沒有的細致權(quán)限管理搞定有外部參與的，以項目為視角的權(quán)限管理

▼通過上面的操作我們可以看出來一個在群暉DSM中共享文件夾是可以關(guān)聯(lián)到多個用戶群組或者是單用戶的，以此我們就可以設(shè)計出一套以項目為視角的用戶工號與權(quán)限管理邏輯。

舉一個例子，比如說公司想要采購、上線一個App，那就需要業(yè)務(wù)部門做業(yè)務(wù)測試，技術(shù)部門搭建換件，外部軟件供應(yīng)商提供軟件安裝包，財務(wù)部門核算成本等等工作。

▼通常情況下，部門之間的協(xié)同工作并不會用到同一業(yè)務(wù)部門的所有人，這時候我們以項目名稱創(chuàng)建一個共享文件夾，同時從本地用戶中匹配即可。

▼正如前面所說，這種項目性的工作很有可能不是僅僅涉及到企業(yè)內(nèi)員工，還會有外部單位人員參與。對于外部人員，我們可能只想獲取他們的數(shù)據(jù)（比如安裝包之類的），并不想將本企業(yè)的進度、工作內(nèi)容相關(guān)透露給外部人員，這時候就可以用到群暉DSM超級細致的權(quán)限管理功能了。我們在項目共享文件夾下面分辨創(chuàng)建幾個不同小組的文件夾，并專門給外部人員匹配一個文件夾。

▼在項目共享文件夾下的小組文件夾點擊右鍵進入屬性。

▼項目文件夾下的子文件夾也可以歸屬到部門群組或者是特定的人。

▼切換到權(quán)限Tab頁還可以對共享文件夾下的子文件夾配置用戶群組限制讀取與寫入，可以將具體權(quán)限細化到 創(chuàng)建文件/創(chuàng)建文件夾/寫入屬性/刪除子文件夾和文件項目。我們大可以只給軟件供應(yīng)商一個創(chuàng)建文件/文件夾的寫入權(quán)限，讓項目上線前的所有歷史版本都安安靜靜的躺在里面，軟件維護商沒有辦法自行刪除。

▼此外還可以控制到子文件夾/此文件夾，以及讀取/寫入的細分權(quán)限等等。

個人辦公、企業(yè)生產(chǎn)力神器Drive套件

▼到目前為止，仍然沒有一家NAS系統(tǒng)將團隊文件管理、數(shù)據(jù)同步、版本控制做的像群暉這樣好的，從18年接觸NAS到現(xiàn)在，從群暉DSM6.2的老版本群暉到現(xiàn)在的DSM7.2.2新版本群暉，Drive桌面應(yīng)用程序一直都是我個人的最佳生產(chǎn)力拍檔。它就無聲的運行在那里，保證經(jīng)常用到的文檔，素材不論在哪臺電腦上都能使用 。

▼上面提到的是Drive的數(shù)據(jù)同步功能，但Drive的實力完全不止于此，Drive整個分成了3個套件，分別是Drive、Drive ShareSync、Drive管理控制臺。Drive ShareSync可以鏈接兩臺群暉NAS設(shè)備，實時同步團隊文件夾。

▼在控制臺中-團隊文件夾-共享文件夾-啟用即可開啟團隊文件夾，通過Drive可以實現(xiàn)版本控制，不必擔心由于誤操作造成文件修改、版本不對的情況，通過Drive控制臺，還可以實時查看連接的用戶，以及企業(yè)內(nèi)高頻訪問的文件，

▼此外，針對企業(yè)商用，Drive還提供了包括遠程擦除、限制下載以及水印等高級功能，水印位置可以自行設(shè)置文本，也可以通過變量Username（用戶賬號）、Accesstime（訪問時間）進行控制，水印的效果類似于釘釘企業(yè)微信聊聊天中截圖聊天窗口會顯示當前用戶姓名，進而降低重要數(shù)據(jù)流出的風(fēng)險。

▼對于團隊協(xié)作來說，Drive團隊文件夾效率是遠優(yōu)于File Station的，上傳簡單、分享也簡單，在Drive頁面中，點擊如圖所示圖標就可以分享文件，在受邀者列表里面輸入需要分享用戶的名字即可選擇，支持非強匹配搜索。

▼文件使用權(quán)限上也有預(yù)覽、查看、編輯、管理等不同選項，文件權(quán)限管理在群暉DSM中幾乎無處不在。

▼使用Synology Office編輯過的文件會生成一個額外的文檔，在歷史版本中能夠看到編輯過的版本哦，版本控制絕對是群暉相較其他品牌NAS巨大的優(yōu)勢之一。

保護企業(yè)數(shù)據(jù)安全，群暉Active Backup for Business

▼別覺得數(shù)據(jù)安全、勒索病毒離我們很遠，真要是趕上了哭都來不及，前幾天一個群友就不幸遇到了，因為沒有做好備份，只能唱一首《涼涼》

▼群暉整機備份 Active Backup for Business（ABB）功能可以集中備份物理服務(wù)器、文件服務(wù)器、計算機（Mac OS、Windows）、虛擬機、群暉NAS。通過使用 ABB 企業(yè)可以從單一控制臺輕松保護多個IT環(huán)境以及不限數(shù)量的備份任務(wù)，也能通過單一控制臺設(shè)置和監(jiān)控所有備份任務(wù)。同時ABB還支持增量備份和數(shù)據(jù)去重以減少備份時間和提高存儲效率。

▼ABB支持批量部署PC備份任務(wù)，運維人員壓力-1，對Win PC 或者Mac集中化備份之后，ABB還提供有裸機備份和還原功能，保護設(shè)備免受勒索病毒的侵擾。另外ABB允許將備份復(fù)制到異地的群暉NAS上，對數(shù)據(jù)安全的保障再+1。數(shù)據(jù)庫運維人員還可以配合Microsoft Volume Shadow Copy Service實現(xiàn)對數(shù)據(jù)庫進行備份。

Snapshot Replication快照， NAS上的土地廟（存檔點）

▼快照是一種數(shù)據(jù)保護技術(shù)，它可以記錄存儲卷或共享文件夾在特定時間點的狀態(tài)，如果發(fā)生數(shù)據(jù)意外刪除或修改，可以通過快照迅速恢復(fù)至之前的狀態(tài)，而且快照通常只記錄自上次創(chuàng)建快照以來數(shù)據(jù)的變化，是不是和《黑神話 悟空》里面的土地廟很像，沒錯，它就是一個存檔點。快照功能在群暉DSM上看起來稀松平常，但是新晉NAS品牌搭載的系統(tǒng)大多都還沒有提供快照功能。

▼群暉DSM提供了Snapshot Replication快照服務(wù)，用戶可以手動對共享文件夾進行“拍照”，也可以通過設(shè)置進行定時定期拍照，時間間隔完全可以按照企業(yè)的需求進行自定義?？煺毡Ａ舨呗陨希饶芸刂谱钚驴煺盏臄?shù)量，也能設(shè)置保留近幾天的快照，進而避免占用NAS硬盤太大的空間。

Hyper Backup 保護數(shù)據(jù)中心的數(shù)據(jù)安全

▼如果說Active Backup for Business是一把保護企業(yè)全體員工數(shù)據(jù)安全的瑞士軍刀的話，那么Hyper Backup與Snapshot Replication就是這把刀的刀鞘，通過對群暉NAS上的數(shù)據(jù)進行備份進而保護整個企業(yè)的數(shù)據(jù)。Hyper Backup的備份功能項目包括文件夾、套件、群暉NAS完整的系統(tǒng)、以及LUN。

▼備份文件的目的地也多種多要，包括群暉自家的C2云存儲、另一臺群暉NAS設(shè)備或者是本地的共享文件夾、USB設(shè)備、云供應(yīng)商或者是Webdav服務(wù)器等等。

▼版本控制體現(xiàn)在群暉DSM系統(tǒng)里的方方面面，Hyper Backup同樣可以保留多個版本的備份，配合群暉的重復(fù)數(shù)據(jù)監(jiān)測技術(shù)，可以做到只備份變化的部分，不必擔心經(jīng)常備份會占用NAS太多的存儲空間。同樣企業(yè)也可以根據(jù)自己的需求制定備份計劃，保留多少個備份版本。

不在陰溝里翻船，完整支持13種Windows ACL權(quán)限

▼SMB掛載NAS共享文件夾看起來像是很簡單的一件事情，但是翻車卻也不是絕無可能，下面的圖片就是今年發(fā)生的一個案例，評論區(qū)有老哥只出可能是共享協(xié)議不穩(wěn)定的鍋，具體是什么咱也不知道，不好說。但就像前面說的，新興NAS品牌的系統(tǒng)往往更注重個人用戶使用體驗，對于團隊協(xié)作還處于摸著群暉的屁股過河的階段，群暉始終是企業(yè)辦公的第一選擇。

寫在最后

群暉的NAS設(shè)備以其穩(wěn)定性以及數(shù)據(jù)安全性著稱，而這正符合中小企業(yè)以及一切關(guān)注數(shù)據(jù)安全的用戶。

對于小微型團隊或者處于初創(chuàng)期的工作室，可以先按照實際需求出發(fā)，選擇群暉J系列或者數(shù)字系列的產(chǎn)品；

不過還是建議咬咬牙上Plus系列，也不會貴太多，DS224+就是不錯的選擇；

如果預(yù)算并不是十分緊張的話則最好選購Plus系列及以上的NAS設(shè)備；

對于已經(jīng)成規(guī)模的小型企業(yè)，而且在線協(xié)同處理文件頻率較高的話，強烈建議選用帶有Nvme緩存的423+、723+、923+等設(shè)備；

對于大型企業(yè)來說，那最好的無遺就是群暉的架式服務(wù)器了。

「雙11全民創(chuàng)作季」它終于來啦！帶#雙11給你種草#、#雙11購后曬#分享購物攻略經(jīng)驗、入手心得，不僅可以抽取AirPods4、3元E卡，還能贏iPhone 16 Pro/華為P70 Pro，快來參與活動吧，活動詳情戳

作者聲明本文無利益相關(guān)，歡迎值友理性交流，和諧討論～

,