Integracija storitve Active Directory s Pripomočkom za imenik v Macu
S priključkom Active Directory (v možnostih Storitve Pripomočka za imenik) lahko Mac konfigurirate tako, da dostopa do osnovnih podatkov uporabniškega računa v domeni Active Directory strežnika Windows 2000 ali novejše različice.
Priključek Active Directory ustvari vse atribute, potrebne za preverjanje pristnosti macOS iz uporabniških računov Active Directory. Prav tako podpira pravilnike o preverjanju pristnosti Active Directory, vključno s spremembami gesel, poteki, vsiljenimi spremembami in varnostnimi možnostmi. Ker priključek podpira te funkcije, vam za dostop do osnovnih podatkov uporabniškega računa ni treba spreminjati sheme domene Active Directory.
Opomba: Računalniki z operacijskim sistemom macOS 10.12 ali novejšim se domeni Active Directory ne morejo pridružiti brez funkcijske ravni domene, ki je najmanj Windows Server 2008, razen če izrecno omogočite »šibko kriptografijo«. Tudi če so funkcionalne ravni domene za vse domene 2008 ali novejše, bo skrbnik morda moral izrecno določiti zaupanje vsake domene za uporabo šifriranja Kerberos AES.
Če je macOS povsem integriran s storitvijo Active Directory, velja naslednje:
Za uporabnike veljajo pravilniki o domenskih geslih organizacije
Uporabniki uporabljajo iste poverilnice za preverjanje pristnosti in pridobijo pooblastilo za zavarovane vire
Uporabnikom so izdane identitete na osnovi uporabniških in strojnih potrdil iz strežnika za storitve izdajanja potrdil Active Directory (ADCS)
Uporabniki lahko samodejno sistematično preiščejo imenski prostor distribuiranega datotečnega sistema (DFS) in logično priklopijo ustrezni strežnik s protokolom Server Message Block (SMB)
Namig: Odjemalci Mac pridobijo poln dostop za branje za atribute, ki so dodani v imenik. Zato bo morda treba ACL takih atributov spremeniti in skupinam računalnikov omogočiti branje teh dodanih atributov.
Priključek Active Directory poleg pravilnikov o preverjanju pristnosti podpira tudi naslednje:
Možnosti šifriranja in podpisovanja paketov za vse domene Active Directory operacijskega sistema Windows: Ta funkcija je privzeto vklopljena kot »dovoli«. Privzeto nastavitev lahko z ukazom
dsconfigadspremenite v »onemogočeno« ali »zahtevano«. Možnosti šifriranja in podpisovanja paketov omogočajo zaščito vseh podatkov, prenesenih v domeno Active Directory za iskanja zapisov ali iz nje.Dinamično ustvarjanje enoličnih ID-jev: Krmilnik ustvari enolični ID uporabnika in primarni ID skupine na podlagi globalnega enoličnega ID-ja (GUID-ja) uporabniškega računa v domeni Active Directory. Ustvarjeni ID uporabnika in primarni ID skupine sta enaka za vsak uporabniški račun, tudi če se račun uporabi za prijavo v druge računalnike Mac. Glejte Preslikava ID-ja skupine, primarnega GID-ja in UID-ja v atribut Active Directory.
Podvajanje Active Directory in preklop na drug strežnik ob izpadu: Priključek Active Directory odkrije več krmilnikov domene in določi najbližjega. Če krmilnik domene ni več na voljo, priključek uporabi drug krmilnik domene v bližini.
Odkrivanje vseh domen v gozdu Active Directory: Priključek lahko konfigurirate tako, da uporabnikom iz katerekoli domene v gozdu omogoča preverjanje pristnosti v računalniku Mac. Lahko pa v odjemalcu dovolite preverjanje pristnosti le določenih domen. Glejte Upravljanje preverjanja pristnosti iz vseh domen v gozdu Active Directory.
Logični priklop domačih map Windows: Ko se nekdo prijavi v Mac z uporabniškim računom Active Directory, lahko priključek Active Directory logično priklopi omrežno domačo mapo Windows, ki je v uporabniškem računu Active Directory določena kot domača mapa uporabnika. Določite lahko, ali naj se uporabi omrežna domača mapa, ki jo določi standardni atribut domačega imenika Active Directory ali atribut domačega imenika operacijskega sistema macOS (če je shema Active Directory razširjena in vključuje ta atribut).
Uporaba lokalne domače mape v Macu: Priključek lahko konfigurirate tako, da ustvari lokalno domačo mapo v zagonskem nosilcu Maca. V tem primeru priključek logično priklopi uporabnikovo omrežno domačo mapo Windows (določeno v uporabniškem računu Active Directory) kot omrežni nosilec, kot je točka v skupni rabi. Z aplikacijo Finder lahko uporabnik nato kopira datoteke med omrežnim nosilcem domače mape Windows in lokalno domačo mapo Mac.
Ustvarjanje mobilnih računov za uporabnike: Mobilni račun ima lokalno domačo mapo v zagonskem nosilcu Maca. (Uporabnik ima tudi omrežno domačo mapo, kot je opredeljeno v uporabniškem računu Active Directory.) Glejte Nastavljanje mobilnih uporabniških računov.
LDAP za dostop in Kerberos za preverjanje pristnosti: Priključek Active Directory za prejemanje storitev imenika ali preverjanja pristnosti ne uporablja Microsoftovega vmesnika za storitve Active Directory (ADSI).
Zaznavanje razširjene sheme in dostop do nje: Če je bila shema Active Directory razširjena in vključuje vrste (razrede objektov) oziroma atribute zapisov macOS, jih priključek Active Directory zazna in do njih dostopa. Shemo Active Directory je na primer mogoče spremeniti s skrbniškimi orodji Windows tako, da bo vključevala atribute upravljanih odjemalcev sistema macOS. Ta sprememba sheme priključku Active Directory omogoča uporabo podprtih rešitev upravljanja mobilnih naprav (MDM).