Como eu quase não tenho representante, ainda não posso fazer perguntas, por isso vou tentar fazer uma pergunta enquanto coloco uma resposta e espero não ser enlatada. ;)
Suponho que você tenha assegurado que a parte do GPO deste caso não é um problema, testando esse GPO em relação a um compartilhamento UNC "tradicional" em outro sistema Windows. A informação importante que falta, na minha opinião, é se os dispositivos da Synology estão ou não associados ao domínio. Muitas unidades NAS baseadas em Linux, como Synology, QNAP, e outros, possuem componentes de software integrados que permitem a participação em domínios do Active Directory. Se o dispositivo está ou não participando do domínio, isso afeta a solução.
Dito isto, tenho instalações remotas na minha rede interconectadas com circuitos T1. Nós exigimos o uso de backups de imagens Acronis em todos os sistemas devido aos requisitos do sistema. Assim, o backup remoto de imagens de vários GB de estações de trabalho do Windows em T1s é um não-inicial. Então, colocamos unidades Drobo NAS em cada segmento local para superar isso e nos dar um pouco de tolerância a falhas. Esses Drobos em particular não têm a capacidade de participar do domínio do AD.
Para ativar os compartilhamentos UNC conforme configurados, tivemos que configurar duas coisas principais. Primeiro, criamos entradas DNS estáticas nos servidores DNS para permitir a resolução correta de nomes. Em segundo lugar, tivemos que "soltar" duas políticas que a DISA normalmente recomenda para a maioria dos membros do domínio. Nós apenas soltamos essas políticas no servidor de backup, e as estações de trabalho foram copiadas em sites de "link lento", já que esses eram os únicos sistemas que precisavam acessar os respectivos compartilhamentos:
- Configuração do computador \ Configurações do Windows \ Configurações de segurança \ Opções de segurança:
- Microsoft Network Client: assinar digitalmente as comunicações (sempre) = desativado
- Microsoft Network Client: Enviar senha não criptografada para servidores SMB de terceiros = Ativado
- Servidor de rede da Microsoft: assinar digitalmente as comunicações (sempre) = desativado
Os GPOs para "Assinar digitalmente as comunicações, se negociados" ainda estão definidos como Ativados, atenuando um pouco do risco de segurança envolvido. Depois que ativamos essas alterações, os compartilhamentos puderam ser acessados imediatamente por meio do caminho UNC, enquanto anteriormente era impossível.
É por isso que eu disse anteriormente que, dependendo se os seus NASes podem participar do domínio ou não, determinam o caminho da solução. Se eles podem participar, o DNS e as políticas de grupo "SMB" não devem ser um problema para você e, portanto, a solução estaria em outro lugar. Se eles NÃO PODEM participar (como os meus NASes), então esta pode ser a sua solução.