群暉 Synology NAS 初次架設與權限控管終極教學

一、 用一分鐘看懂：什麼是 NAS 權限？

在動手之前，我們用一個簡單的「辦公大樓」比喻，你瞬間就會抓到感覺了：

• NAS 設備： 就像是公司的「實體辦公大樓」。
• 共用資料夾： 就像是大樓裡的「各部門房間」（如：財務室、設計部、行銷部）。
• 使用者（帳號）： 就像是發給每位員工的「識別證」。
• 權限設定： 就像是設定「這張識別證可以刷開哪幾扇門」。

如果全公司都共用同一組帳號密碼，萬一有人不小心把重要合約刪除、或是離職員工把資料打包帶走，後台根本查不出是誰做的。因此，幫每個人做好「獨立識別證（帳號）」，就是最簡單也最重要的安全第一步！

二、NAS 初次安裝與系統設定

第一次拿到 NAS 機器，只要照著順序來，大約 30 分鐘就能完成基本架設！

硬體安裝

1. 裝入硬碟：將硬碟依序裝入 NAS 的硬碟槽中。請記得一定要推到底，確認聽到「喀」一聲卡緊固定。
   （⚠️ 溫馨小提醒：硬碟安裝前請先上 Synology 官網查詢相容性清單，確保型號符合喔！）

2. 接上網路線：請用網路線把 NAS 連接到公司的路由器或交換器（網管型交換器）。強烈建議直接連實體線，千萬不要透過 Wi-Fi，因為備份資料需要非常穩定且高寬頻的傳輸速度。

3. 接上電源：插上電源線，按下機器正面的電源鈕開機。

4. 等待開機：靜靜等待約 1~2 分鐘，直到機器發出「嗶」一聲，代表它醒來了，開機完成！

安裝 DSM 作業系統

NAS 開機後，需要透過電腦安裝專屬的作業系統，叫做 DSM (DiskStation Manager)。

使用 Synology Assistant（建議新手使用）

1. 下載小幫手：請先用電腦前往 Synology 官網的下載中心，選擇機器型號後，下載並安裝 Synology Assistant 軟體。Windows 電腦請選 exe、Mac 請選 dmg。

2. 確認相同網路： 確保電腦跟 NAS 都是連到同一個辦公室的網路（同一個區域網路）。

3. 搜尋機器： 打開剛裝好的軟體，點擊左上角的「搜尋」按鈕。它會像雷達一樣，自動抓到區網內 NAS 的型號與 IP 位址。

4. 網頁連線： 連接點選找到的 NAS，按一下「連線」，瀏覽器就會自動開啟 NAS 的安裝設定頁面。
   （💡 小撇步：如果已知 NAS 的 IP 位址，也可以直接在瀏覽器網址列輸入 http://NAS的IP:5000 進去喔！）

5. 一鍵安裝： 點擊網頁上的「安裝」，系統就會全自動下載並安裝最新版的 DSM。中間會出現一個 10 分鐘的倒數計時畫面，這時可以去喝杯咖啡，等它自動重啟就完成了！

初始化帳號設定

機器重新啟動完成後，網頁會自動導回設定畫面，依序填入以下資訊：

• 裝置名稱： 建議填入好辨識的公司名稱或 NAS 型號（例如：Company-NAS-DS923）。
• 管理者帳號： 系統預設會顯示 admin，但為了安全防護，強烈建議改為一個不易被猜測的獨特名稱（例如：您的專屬英文名）。
• 管理者密碼： 請設定包含「大寫字母、小寫字母、數字與特殊符號」的高強度密碼，並妥善記錄保存。
• Synology 帳戶： 建議直接登入或現場註冊一組，因為後面啟動遠端存取功能會用到它。

選擇 RAID 儲存類型

這一步是影響資料安全性最關鍵的設定，請謹慎選擇！

硬碟總有一天可能會壞，RAID 就是即使壞了 1~2 顆硬碟，資料也完全不會不見的防禦機制：

企業環境請一律優先選擇 SHR 或 RAID 1。選好類型後，勾選要納入的硬碟，若是全新硬碟可略過硬碟檢查直接套用，能省下許多等待時間。點擊「套用」後，儲存空間就建立完成了，NAS 正式可以開始工作！

選好 RAID 類型後，勾選要納入的硬碟。若是全新硬碟，可略過硬碟檢查直接套用，節省等待時間。點擊「套用」後，儲存空間建立完成，NAS 正式可以使用。

三、登入 NAS 的兩種方式

方式一：網頁版登入（直覺、適合管理與找單一檔案）

在瀏覽器網址列輸入 NAS 的 IP 位址（例如：192.168.1.100），輸入帳號與密碼即可登入管理介面。

方式二：桌面捷徑 / Windows 網路磁碟 （最推薦！像本機硬碟一樣好用）

讓員工不用開網頁，直接在電腦的「我的電腦」裡就能像複製貼上檔案一樣方便：

1. 在 Windows 桌面空白處點右鍵 →「新增」→「捷徑」。
2. 位置欄位輸入 \\NAS的IP位址（例如：\\192.168.1.100）前面要加 \\ 。
   
3. 輸入自訂捷徑名稱（例如：「公司NAS」）。
4. 雙擊捷徑後輸入 NAS 帳號與密碼。勾選「記住我的憑證」保持登入狀態，重開機後自動連線。

四、遠端工作必備：新增 QuickConnect ID

下班回家、或是出差人在外面，要怎麼連回公司的 NAS 拿資料？

1. 進入 DSM 桌面，點開「控制台」➔ 點選「外部存取」。
2. 點選「Synology 帳戶」分頁，登入在初始化時申請的那組帳戶。
3. 啟用 QuickConnect，並在欄位裡為公司設定一組專屬的 ID（例如：mycompany123）。
4. 設定完成後，系統會給你一串專屬網址：http://quickconnect.to/你的ID。
   以後人在外地，只要在瀏覽器打這串網址，就能一秒連回公司，外地辦公、遠端工作超輕鬆！

 五、3 大基本權限設定

開闢部門房間（新增共用資料夾）

1. 進入「控制台」 ➔ 點選「共用資料夾」。
2. 點擊上方的「新增」按鈕 ➔ 選擇「新增共用資料夾」。
3. 填入資料夾名稱（例如：行銷部資料、財務機密區），其餘設定保持預設，點擊「下一步」。
4. 可在最後一步設定各使用者對此資料夾的讀寫權限，點擊完成後，房間就蓋好了！
   （💡 日後如果想調整，隨時到共用資料夾選取後點選「編輯」即可調整。）

幫員工發放識別證與設定權限（新增使用者帳號）

1. 進入「控制台」 ➔ 點選「使用者及群組」 ➔ 在使用者帳號分頁點擊「新增」。
2. 填入員工的帳號名稱（即登入帳號，例如 didi），密碼預設需包含「大寫字母、小寫字母、特殊符號與數字」。
3. 在設定流程中，會來到「權限設定」畫面。畫面上會條列出所有資料夾，請在名字右邊三個圓圈中依需求勾選：
   • 可讀寫 (Read/Write)： 員工可以自由看檔案、上傳、修改與刪除。適合各部門同仁對自己部門的日常使用。
   • 唯讀 (Read Only)： 員工只能看、只能下載，絕對無法刪除或修改。超適合用在「公司規章」、「設計公用素材區」、「合約範本區」。
   • 禁止存取 (No Access)： 勾了這個，員工在網頁或本機上完全看不到這個資料夾的存在。例如：不讓一般員工看到財務或人資檔案，勾這個就對了！
4. 確認無誤後點擊「完成」，員工的專屬識別證就生效了！

關閉大家都知道名字的後門（停用萬能 admin 帳號）

這是新手最常犯的資安大忌！系統預設的 admin 萬能帳號因為名字人盡皆知，是駭客最愛攻擊的目標。

請務必確認你目前是用另一組「自訂的管理員帳號」登入，然後跟著下面步驟做：

1. 同樣在「控制台」➔「使用者及群組」的清單中，找到那個預設的 admin。
2. 對著它連續點兩下滑鼠左鍵打開設定。
3. 在第一個「帳號資訊」分頁中，往下看會找到一個可以打勾的選項，叫做「停用此帳號」，請把它勾起來。
4. 按下右下角的「儲存」。這時會看到 admin 的狀態變成灰色的「已停用」，後門正式關閉！

六、群組管理與 File Station 細部控管

當公司開始成長，員工變多（超過 5-10 人以上）時，如果每來一個新人都得一個一個資料夾幫他勾選權限，主管一定會瘋掉。

這時候就要學會用「群組」和「File Station」來進行高效率管理：

1. 使用者群組設定：一秒搞定整批人

當公司有多個部門時，建議透過「群組」統一管理權限，不需逐一設定每位使用者。

與其針對「個人」設定，不如把權限綁在「部門職務」上：

1. 進入「控制台」➔「使用者及群組」 ➔ 切換到上方的「群組」分頁 ➔ 點擊「新增群組」（例如群組名稱輸入：Sales 業務部）。
2. 選擇群組成員： 勾選哪些使用者要加入此群組，把相關同仁通通拉進來。
3. 統一設定權限： 直接設定 Sales 群組可存取哪些資料夾及對應的讀/寫、唯讀或禁止存取權限。
4. 確認設定數值後，點擊「完成」。日後新進同仁只需在建帳號時將他「加入業務部群組」，即自動套用該部門的權限設定，管理效率提升 10 倍！
   

資料夾個別存取權限設定（File Station 貼身微調）

除了在使用者與群組設定權限外，也可以直接在 File Station 對個別資料夾做更細緻的權限控管：

1. 點開 NAS 桌面的 File Station（黃色資料夾圖示），找到想微調的目標資料夾。
2. 對著該資料夾點選滑鼠右鍵 ➔ 選擇「內容」 ➔ 切換到上面的「權限」分頁 ➔ 點擊「新增」按鈕。
3. 在這邊，可以挑選某個特定員工或群組，單獨去勾選或強行解除他們的「讀取」或「讀取/寫入」權限。
4. 完成後點擊右下角的「儲存」即可。此功能非常適合需要跨部門共用部分資料夾，但又需限制特定敏感情境的人員存取範圍！

七、本機備份至 NAS（用電腦自動幫同步）

設定好權限好，就要讓大家的電腦資料「自動」備份進來，再也不怕電腦突然死機。使用 Synology Drive Client 可將電腦資料自動同步或排程備份至 NAS：

1. 下載同步軟體： 請員工在自己的電腦前往 Synology 官網下載中心，下載並安裝 Synology Drive Client 桌面應用程式。
   
2. 首次連線： 安裝完成打開後，輸入公司的 QuickConnect ID 以及該員工自己的 NAS 帳號與密碼 登入。
3. 選擇任務類型：立即同步 本機與 NAS 資料夾即時雙向同步。電腦多一個字，NAS 就多一個字，適合需要高頻率共同協作的人。
   • 備份任務： 依排程（如每日深夜、或每週五）將本機資料單向備份至 NAS。最適合拿來做日常重要檔案的防震、防勒索軟體保險。
4. 選定備份來源： 選擇電腦上想要備份的資料夾（如：桌面或文件區），並在 NAS 上指定放到他自己有權限的共用資料夾內。點擊「建立同步任務」 ➔ 「完成」。

八、初次安裝 Synology Drive Client 的兩個隱藏資安神選項

備份完成後，可在 NAS 的 File Station 中看到從本機同步過來的檔案。為了防止員工在自己電腦不小心手滑誤刪檔案、連帶導致 NAS 上的檔案也跟著消失，務必要帶領員工到 Drive Client 的「全域設定」檢查以下兩個地方：

• 當應用程式重新啟動且同步連線恢復時的預設動作：務必勾選【本地端被刪除的檔案將在 Synology 儲存系統上同步進行刪除】。這樣能確保本地與雲端空間維持高度一致，不會累積一堆本地早就不需要的垃圾檔案。
• 檔案版本衝突解決方式：務必勾選【保留最近修改的版本】。這樣萬一兩個人在同一時間修改同一個檔案，系統會聰明地幫妳留下最新完成的版本，絕對不讓員工的心血被舊版本覆蓋！
  

九、日誌中心設定：抓出「是誰刪了檔案」的資安大偵探

日誌中心可記錄所有 NAS 操作行為，方便事後查閱與資安稽核：

1. 進入 NAS 桌面的「套件中心」，搜尋並安裝「日誌中心」套件。
2. 同意授權後點擊安裝，並等待系統安裝完畢。
3. 安裝完成後，主管即可在日誌中心查看所有登入紀錄、檔案操作行為（誰在上傳、誰在惡意刪除）、系統異常等完整歷史紀錄。

我們強烈建議企業環境要定期查看日誌，這能讓主管及早發現異常存取行為（例如有員工在大半夜瘋狂打包下載幾萬個檔案）。另外，當遇到人員離職時，請「停用此帳號」而不要「直接刪除」！因為停用帳號能完整保留他過去在公司裡的所有操作歷史日誌，萬一未來要查帳、對帳或找消失的合約，才留得住寶貴的數位證據！

十、其他常見維護設定：NAS 的健康定期檢查 SOP

定期維護才是關鍵！就像汽車開久了要保養，NAS 平常也有五大基礎維護工作要定期做：

1. 系統設定備份（買個後悔藥）

• 路徑：控制台 ➔ 更新與還原 ➔ 系統設定備份
• 怎麼做：建議定期點選「匯出設定」下載系統設定檔（.dss）。當 NAS 發生意外需要重新建置或換新機時，只要一秒匯入，就能快速還原所有原本設定好的複雜帳號與部門權限，不用重新抓狂！

2. 系統更新（修補安全漏洞）

• 路徑：控制台 ➔ 更新與還原 ➔ 系統更新
• 怎麼做：NAS 系統定期會推出新版本。建議定期檢查並更新至最新 DSM，以獲得最新功能與最關鍵的安全漏洞修補，把外面的駭客狠狠擋在門外。

3. Data Scrubbing 資料完整性檢測（防止檔案慢性斑駁）

• 路徑：儲存空間管理員 ➔ 儲存集區 ➔ 動作 ➔ 啟動 Data Scrubbing
• 怎麼做：Data Scrubbing 會深層掃描 NAS 內的資料是否有微小的損壞或位元錯誤。建議每隔 1~3 個月手動或排程執行一次，確保儲存在硬碟裡的企業檔案絕對完整不失真。
  

4. S.M.A.R.T. 硬碟健康檢測（硬碟壞掉前的預知大師）

• 路徑：儲存空間管理員 ➔ HDD/SSD ➔ 選擇硬碟 ➔ 健康資訊 ➔ S.M.A.R.T. 檢測
• 怎麼做：S.M.A.R.T. 可以檢測硬碟的內部物理健康狀態。建議定期執行「完整檢測」，提早掌握硬碟老化、出現壞軌或即將故障的跡象，在硬碟真正死掉前趕快換新，資料零風險！
  

5. 定期清理資源回收筒（釋放被吃掉的隱形空間）

• 路徑：左上角主選單 ➔ Synology Drive 管理主控台 ➔ 設定
• 怎麼做：同仁平常在同步資料夾裡刪除的檔案，預設都會被移到資源回收筒（#Recycle）。它們仍然會持續佔用硬碟空間！記得要定期去後台清空它，公司的 NAS 儲存容量才會當場釋放出來喔！

資安防護是持續的習慣

完成初始設定後，建議每季定期檢查硬碟健康狀態、執行資料完整性掃描，並確認備份是否正常運作。跟著這篇白話新手指南操作下來，公司的檔案備份與管理就能井然有序又安全。