Integrar o Active Directory com o Utilitário de Diretório no Mac
Pode usar o conector do Active Directory (no painel de opções “Serviços” do Utilitário de Diretório) para configurar um Mac para aceder a informações básicas relativas a contas de utilizador num domínio do Active Directory de um servidor Windows 2000 ou posterior.
O conector do Active Directory gera todos os atributos exigidos pelo macOS para autenticação a partir das contas de utilizador do Active Directory. Este também suporta políticas de autenticação do Active Directory, incluindo alterações à palavra-passe, caducidade, alterações forçadas e opções de segurança. Uma vez que o conector suporta estas funcionalidades, não é necessário efetuar alterações ao esquema no domínio do Active Directory para obter informações básicas de contas de utilizador.
Nota: os computadores com o macOS 10.12 ou posterior não podem aceder a domínios Active Directory cujo nível funcional de domínio não seja pelo menos do Windows Server 2008, exceto se for ativada explicitamente a opção “weak crypto”. Mesmo que os níveis funcionais de domínio de todos os domínios forem da versão 2008 ou posterior, o administrador poderá ter de especificar explicitamente a fidedignidade de cada domínio para usar a cifragem AES Kerberos.
Quando o macOS está completamente integrado com o Active Directory, os utilizadores:
estão sujeitos às políticas de palavra-passe de domínio da organização;
usam as mesmas credenciais para autenticar e obter autorização para recursos protegidos;
recebem identidades de certificação de utilizador e máquina a partir de um servidor de serviços certificados Active Directory;
podem cruzar automaticamente um espaço de nome DFS (Distributed File System) e montar o servidor SMB (Server Message Block) adequado subjacente.
Dica: os clientes Mac assumem acesso de leitura pleno aos atributos que são adicionados ao diretório. Por conseguinte, poderá ser necessário alterar a ACL desses atributos, para permitir que grupos de computadores leiam estes atributos adicionados.
Além de suportar políticas de autenticação, o conector do Active Directory também suporta as funcionalidades seguintes.
Cifragem de pacotes e de assinatura de pacotes para todos os domínios do Active Directory do Windows: esta funcionalidade está ligada por predefinição como “permitir”. É possível alterar a predefinição para desativado ou exigido utilizando o comando
dsconfigad
. As opções de cifragem e assinatura de pacotes garantem a proteção de todos os dados transferidos de e para o domínio do Active Directory para fins de procura de registos.Geração dinâmica de IDs exclusivos: o conector gera um ID de utilizador exclusivo e um ID de grupo principal com base no GUID (globally unique ID) da conta de utilizador no domínio do Active Directory. O ID de utilizador e o ID de grupo principal gerados são iguais para cada conta de utilizador, mesmo que a conta seja utilizada para iniciar sessão em diferentes computadores Mac. Consulte Associar o ID do grupo, o GID principal e o UID a um atributo do Active Directory.
Réplica e proteção contra falhas do Active Directory: o conector Active Directory localiza vários controladores de domínio e determina qual o mais próximo. Se um controlador de domínio ficar indisponível, o conector usa outro controlador de domínio nas proximidades.
Localização de todos os domínios numa floresta do Active Directory: é possível configurar o conector para permitir aos utilizadores de qualquer floresta autenticarem-se num computador com Mac. Em alternativa, é possível permitir que apenas domínios específicos sejam autenticados no cliente. Consulte Controlar a autenticação a partir de todos os domínios na floresta do Active Directory.
Montagem de pastas pessoais do Windows: quando alguém inicia sessão num Mac com uma conta de utilizador do Active Directory, o conector do Active Directory pode montar a pasta pessoal em rede do Windows especificada na conta de utilizador do Active Directory como a pasta pessoal do utilizador. É possível especificar se pretende utilizar a pasta pessoal em rede especificada pelo atributo homeDirectory padrão do Active Directory ou pelo atributo homeDirectory do macOS (se o esquema do Active Directory for ampliado para o incluir).
Utilização de uma pasta pessoal local no Mac: é possível configurar o conector para criar uma pasta pessoal local no volume de arranque do Mac. Neste caso, o conector também monta a pasta pessoal em rede do Windows do utilizador (especificada na conta de utilizador do Active Directory) como volume de rede, como um ponto de partilha. Utilizando o Finder, o utilizador pode então copiar ficheiros entre o volume de rede da pasta pessoal do Windows e a pasta pessoal local do Mac.
Criação de conta móvel para utilizadores: uma conta móvel possui uma pasta pessoal local no volume de arranque do Mac. (O utilizador também possui uma pasta pessoal em rede, conforme especificado na conta do Active Directory do utilizador.) Consulte contas de utilizador móveis.
LDAP para acesso e Kerberos para autenticação: o conector do Active Directory não utiliza a interface ADSI (Active Directory Services Interface) da Microsoft para obter serviços de diretório ou de autenticação.
Deteção e acesso ao esquema ampliado: se o esquema do Active Directory tiver sido ampliado para incluir tipos de registos (classes de objetos) e atributos do macOS, o conector do Active Directory deteta-os e acede aos mesmos. Por exemplo, o esquema do Active Directory pode ser alterado, utilizando as ferramentas administrativas do Windows, para incluir atributos de clientes geridos pelo macOS. Esta alteração ao esquema permite ao conector do Active Directory usar soluções de gestão de dispositivos móveis (MDM) compatíveis.