Integrer Active Directory ved å bruke Katalogverktøy på Macen
Du kan bruke Active Directory-tilkoblingen (i Tjenester-alternativene i Katalogverktøy) til å konfigurere Macen for tilgang til grunnleggende brukerkontoinformasjon i et Active Directory-domene på en tjener som kjører Windows 2000 eller nyere.
Active Directory-tilkoblingen genererer alle attributter som er nødvendige for macOS-autentisering, fra Active Directory-brukerkontoer. Den støtter også Active Directory-autentiseringskriterier, inkludert passordendring, utløpte passord, tvungen passordendring og sikkerhetsalternativer. Ettersom tilkoblingen støtter disse funksjonene, trenger du ikke utføre oppsettendringer på Active Directory-domenet for å skaffe grunnleggende brukerinformasjon.
Merk: Datamaskiner med macOS 10.12 eller nyere kan ikke koble til Active Directory-domener som har et lavere domenefunksjonalitetsnivå enn Windows Server 2008, med mindre du eksplisitt har angitt «weak crypto». Selv om domenefunksjonalitetsnivået for alle domenene er på 2008-nivå eller nyere, er det mulig at administratoren må spesifisere bruk av Kerberos AES-kryptering for hvert enkelt domene.
Når macOS er helt integrert med Active Directory, skal brukerne:
følge organisasjonens domenepassordregler
bruke de samme opplysningene til å autentisere og få autorisasjon til sikrede ressurser
få utstedt bruker- og maskinsertifikatidentiteter fra en Active Directory Certificate Services-tjener
kunne automatisk krysse et DFS-navneområde (Distributed File System) og aktivere den riktige underliggende SMB-tjeneren (Server Message Block)
Tips: Mac-klienter får full lesetilgang til attributter som legges til katalogen. Det kan derfor være nødvendig å endre disse attributtenes tilgangskontrolliste (ACL) slik at maskingrupper kan lese attributtene som legges til.
I tillegg til støtte for autentiseringskriterier, støtter Active Directory-tilkoblingen også følgende:
Pakkekryptering og pakkesigneringsalternativer for alle Windows Active Directory-domener: Standardinnstillingen er at denne funksjonen er på med innstillingen «tillat» (allow). Du kan endre standardinnstillingen til deaktivert (disabled) eller påkrevd (required) ved hjelp av kommandoen
dsconfigad
. Pakkekrypteringen og pakkesigneringen sikrer at alle data til og fra Active Directory-domenet for oppføringsoppslag er beskyttet.Dynamisk generering av unike ID-er: Kontrolleren genererer en unik bruker-ID og primærgruppe-ID dynamisk, basert på brukerkontoens «globally unique ID» (GUID) i Active Directory-domenet. Den genererte bruker-ID-en og primærgruppe-ID-en er de samme for hver brukerkonto, selv om kontoen brukes til å logge på forskjellige Mac-datamaskiner. Les Tilordne gruppe-ID-en, den primære GID-en og UID-en til et Active Directory-attributt.
Active Directory-replikering og -failover: Active Directory-tilkoblingen kan gjenkjenne flere domenekontrollere og finner fram til den nærmeste. Hvis en domenekontroller blir utilgjengelig, bruker tilkoblingen en annen domenekontroller i nærheten.
Gjenkjenning av alle domener i en Active Directory-skog: Du kan konfigurere tilkoblingen slik at brukere fra alle domener i en skog kan logge seg på ved hjelp av en Mac-datamaskin. Alternativt kan du tillate at kun bestemte domener autentiseres på klienten. Les Kontroller autentisering fra alle domener i Active Directory-skogen.
Aktivering av Hjem-mapper i Windows: Når en bruker logger på en Mac med en Active Directory-brukerkonto, kan Active Directory-tilkoblingen aktivere Windows-nettverkshjemmappen som er angitt i Active Directory-brukerkontoen, som brukerens Hjem-mappe. Du kan angi om du vil bruke nettverks-Hjem-mappen som er spesifisert av Active Directorys standard home directory-attributt eller av home directory-attributtet til macOS (hvis Active Directory-oppsettet er utvidet slik at det inkluderer det).
Bruke en lokal Hjem-mappe på Macen: Du kan også konfigurere tilkoblingen slik at en lokal Hjem-mappe opprettes på startvolumet på Macen. I dette tilfellet aktiverer også tilkoblingen brukerens Windows-nettverkshjemmappe (spesifisert i Active Directory-brukerkontoen) som et nettverksvolum, som et delingspunkt. Ved hjelp av Finder kan brukeren da kopiere filer mellom Windows-nettverkshjemmappen og den lokale Hjem-mappen på Macen.
Oppretting av mobile kontoer for brukere: En mobil konto har en lokal Hjem-mappe på startvolumet på Macen. (Brukeren har også en nettverkshjemmappe som er spesifisert i brukerens Active Directory-konto.) Les Konfigurer mobile brukerkontoer.
Bruk LDAP for tilgang og Kerberos for autentisering: Active Directory-tilkoblingen bruker ikke Microsofts proprietære Active Directory Services-grensesnitt (ADSI) for å få tak i katalog- eller autentiseringstjenester.
Gjenkjenning og tilgang til utvidede oppsett: Hvis Active Directory-oppsettet er utvidet slik at det inkluderer macOS-oppføringstyper (objektklasser) og -attributter, vil Active Directory-tilkoblingen gjenkjenne dem og opprette forbindelser til dem. Active Directory-oppsettet kan for eksempel endres ved hjelp av Windows-administrasjonsverktøy slik at det inkluderer attributter for macOS-administrerte klienter. Denne oppsettsendringen gjør det mulig for Active Directory-tilkoblingen å bruke de MDM-løsningene som støttes.