一、前言：故障转移后的 “权限陷阱”—— 为何共享文件夹访问会失效？

关键认知：HA 集群默认仅同步 “共享文件夹基础权限”（本地用户 / 组权限），高级权限、域权限、应用关联权限需手动配置同步策略，这是多数用户忽略的核心点。

1. 进入 HA 集群管理界面：

• • 登录源端（主服务器）DSM→打开 “高可用性” 套件（桌面图标或控制面板中查找）；

• • 点击左侧 “集群设置”→切换到 “同步设置” 选项卡。

2. 配置权限同步范围：

• • 勾选 “共享文件夹高级权限（ACL）”（关键！同步文件级、文件夹级的精细权限）；

• • 勾选 “应用权限关联”（同步 Synology Drive、File Station 等应用与共享文件夹的权限绑定）；

• • 取消 “仅同步本地用户权限”（若使用域 / LDAP 用户，需取消此选项以同步域权限）；

3. 点击 “应用”，系统会提示 “同步范围扩展，需重新同步权限配置”，点击 “确认”，等待同步完成（约 5-10 分钟，取决于权限复杂度）。

1. 源端 AD/LDAP 配置导出：

• • 登录源端 DSM→控制面板→“域 / LDAP”→点击 “导出配置”（DSM 7.x 支持，DSM 6.x 需手动记录）；

• • 保存配置文件（如 “AD_Config.dss”），包含域控制器地址、绑定账号、用户组映射规则。

2. 目标端 AD/LDAP 配置导入：

• • 登录目标端（备用服务器）DSM→控制面板→“域 / LDAP”→点击 “导入配置”（DSM 7.x）；

• • 若为 DSM 6.x，手动录入源端配置：

• • • 域控制器地址：与源端一致（如 “ad.company.com”）；

• • • 绑定账号：使用相同的域管理员账号（如 “admin@company.com”）；

• • • 用户组映射：确保源端 “Domain Users” 映射到目标端相同本地组（如 “用户组 - 员工组”）；

3. 验证 AD 同步：

• • 源端与目标端均进入 “域 / LDAP→状态”，确认 “域连接状态” 为 “正常”，“用户同步数量” 一致（如均同步 100 个域用户）。

1. 使用 Hyper Backup 备份权限：

• • 安装 “Hyper Backup” 套件→新建备份任务→选择 “本地文件夹与 USB”；

• • 在 “备份内容” 中，勾选 “共享文件夹权限配置”（单独勾选，无需备份文件数据）；

• • 选择备份目标（如外接硬盘），设置 “备份频率” 为 “每日增量备份”，确保权限变更实时记录；

2. 手动导出权限清单：

• • 对关键共享文件夹（如 “财务数据”“项目文档”），右键点击→“属性→权限”→截图保存权限配置（含用户 / 组、读 / 写权限、拒绝规则）；

• • 用命令行导出详细权限（适合进阶用户）：

• • • 登录 SSH（控制面板→终端机→启用 SSH），执行命令：synoacltool -get /volume1/共享文件夹名称 > /volume1/权限清单.txt，将清单保存到共享文件夹。

1. 源端与目标端权限对比：

• • 源端（若故障可忽略，优先对比备份清单）：打开 File Station→右键共享文件夹→“属性→权限”；

• • 目标端：相同路径找到该共享文件夹→“属性→权限”；

• • 对比维度：本地用户 / 组权限、域用户 / 组权限、是否有拒绝权限，确保 “权限类型”“权限范围” 完全一致（如源端 “员工组 - 读 / 写”，目标端不可为 “只读”）。

2. 关键用户访问测试：

• • 用普通域用户账号（如 “user01@company.com”）登录目标端 DSM→打开 File Station；

• • 尝试访问 3 类关键共享文件夹：“全员可访问”“部门专属”“个人专属”，确认能正常打开、编辑、保存文件，无权限提示。

1. ACL 高级权限验证：

• • 目标端找到源端设置过 “文件级权限” 的文件（如 “财务报表.xlsx”）→右键→“属性→权限→高级权限”；

• • 确认 “用户级权限” 与源端一致（如 “财务组 - 读 / 写”“其他用户 - 拒绝访问”），无权限缺失。

2. 权限继承验证：

• • 目标端进入共享文件夹的子目录（如 “项目文档→Q3 报告”）→“属性→权限”；

• • 查看 “继承自” 列，确认继承自父目录（如 “继承自项目文档”），且继承的权限与源端一致，无 “继承已中断” 提示。

1. 通过 Hyper Backup 恢复权限：

• • 目标端打开 Hyper Backup→选中权限备份任务→点击 “恢复”；

• • 取消 “恢复文件数据”，仅勾选 “恢复共享文件夹权限配置”→点击 “下一步”；

• • 选择最新备份版本（如 “2024-06-10 02:00”）→点击 “开始恢复”；

• • 恢复完成后，重启目标端 “文件服务”（控制面板→文件服务→停止→启动），权限立即生效。

1. 目标端重新连接 AD 域：

• • 控制面板→域 / LDAP→点击 “重新连接”→输入域管理员账号密码→确认；

• • 等待域用户同步完成（约 1-3 分钟），进入 “用户与群组”，确认域用户显示正常（无 “未知” 标识）。

2. 手动调整域用户权限：

• • 目标端打开共享文件夹→“属性→权限”→点击 “编辑”；

• • 点击 “添加”→选择 “域用户 / 组”→找到权限缺失的用户（如 “user01@company.com”）；

• • 配置与源端一致的权限（如 “读 / 写”），取消 “拒绝” 权限→点击 “应用”。

1. 目标端进入子文件夹权限设置：

• • 右键子文件夹→“属性→权限→高级权限”；

• • 若显示 “继承已禁用”，点击 “启用继承”→弹出确认窗口，选择 “替换所有子对象权限项”（确保子文件也继承权限）；

2. 验证继承效果：

• • 查看 “继承自” 列，确认所有权限均继承自父目录；

• • 用普通用户测试访问子文件夹，确认权限与父目录一致（如父目录 “只读”，子文件夹也为 “只读”）。

1. Synology Drive 权限修复：

• • 目标端打开 “Synology Drive 管理控制台”→“团队文件夹”；

• • 找到权限不一致的共享文件夹→点击 “编辑”→“权限”；

• • 确认应用权限与源端一致（如 “允许所有用户同步”），点击 “应用”。

2. 通用应用权限修复：

• • 控制面板→“应用程序权限”（DSM 7.x）或 “权限”（DSM 6.x）；

• • 选择目标应用（如 “Photo Station”）→点击 “编辑”；

• • 确保应用对目标共享文件夹有 “读 / 写” 权限，无拒绝规则→保存后重启应用服务。

• 原因：目标端 AD/LDAP 配置未同步，或域控制器临时离线；

• 解决：

1. 1. 确认域控制器正常运行（ping 域控制器地址，如 “ping ad.company.com”）；

1. 2. 目标端重新导入源端 AD 配置（按 “前提准备 2” 操作），同步域用户后重新配置权限。

• 原因：备份的权限清单中包含已删除的用户（如离职员工），导入后权限映射失效；

• 解决：

1. 1. 目标端删除权限中的 “未知用户”（已删除用户）；

1. 2. 手动添加当前在职用户，配置与源端一致的权限。

• 原因：子文件夹存在 “显式拒绝权限”（优先级高于继承权限）；

• 解决：

1. 1. 子文件夹→“高级权限”→删除所有 “拒绝” 类型的显式权限；

1. 2. 重新启用继承，确保无显式权限覆盖继承规则。

1. 定期同步权限配置：

• • 用 Hyper Backup 设置 “每日增量备份权限”，确保权限变更实时记录；

• • 每周手动对比 1 次源端与目标端的关键共享文件夹权限（如 “财务数据”），提前发现差异。

2. 监控 AD/LDAP 同步状态：

• • 在 HA 集群 “状态监控” 中，添加 “AD/LDAP 同步状态” 监控项；

• • 若同步异常，立即触发告警（如邮件通知管理员），避免切换后权限失效。

3. 限制权限手动修改：

• • 仅授予管理员 “修改共享文件夹权限” 的权限，普通用户无权限变更；

• • 每次手动修改权限后，立即在目标端同步更新（高可用性→同步设置→手动同步）。