Integrieren von Mac-Computern mit Active Directory
Du kannst einen Mac für den Zugriff auf grundlegende Benutzeraccountinformationen in der Active Directory-Domain eines Servers unter Windows 2000 (oder neuer) konfigurieren. Die Komponente ADC (Active Directory Connector) ist im Bereich „Dienste“ der App „Verzeichnisdienste“ aufgelistet. Sie generiert alle Attribute, die für die macOS-Authentifizierung von Standardattributen in Active Directory-Benutzeraccounts erforderlich sind. Die Komponente unterstützt auch Active Directory-Richtlinien zur Authentifizierung, einschließlich Passwortänderungen, Passwortablauf, Änderungsmaßnahmen und Sicherheitsoptionen. Es ist nicht erforderlich, Schemaänderungen an der Active Directory-Domain vorzunehmen, um grundlegende Benutzeraccountinformationen zu erhalten, da die Komponente diese Funktionen ebenfalls unterstützt.
Hinweis: Außer in Fällen, in denen die „schwache Verschlüsselung“ explizit aktiviert wird, ist macOS nicht in der Lage, einer Active Directory-Domain beizutreten, wenn deren funktionale Ebene nicht mindestens Windows Server 2008 entspricht. Selbst, wenn die Funktionsebenen aller Domains mit 2008 (oder neue) arbeiten, muss der Administrator evtl. für jede Domain-Vertrauenseinstellung ausdrücklich festlegen, die Kerberos AES-Verschlüsselung zu verwenden.
Wie Mac-Computer DNS zur Abfrage der Active Directory-Domain nutzen
macOS verwendet das Domain Name System (DNS), um die Topologie der Active Directory-Domain vor Ort zu ermitteln. Kerberos für die Authentifizierung und LDAP (Lightweight Directory Access Protocol; LDAPv3) für die Auflösung auf Benutzer- und auf Gruppenebene.
Wenn macOS vollständig in Active Directory integriert ist, gilt für Benutzer Folgendes:
Sie unterliegen den Richtlinien für Domain-Passwörter der Organisation.
Sie verwenden dieselben Anmeldedaten für die Authentifizierung und erhalten die Autorisierung für gesicherte Ressourcen.
Sie können Benutzer- und Maschinen-Zertifikatsidentitäten von einem Active Directory Certificate Services-Server erhalten.
Sie können einen DFS-Namespace (Distributed File System) automatisch durchlaufen und den entsprechenden zugrunde liegenden SMB-Server (Server Message Block) aktivieren.
Weitere Informationen zum Herstellen von Verbindungen zu einem DFS ohne Bindung findest du unten im Abschnitt „Unterstützung für Distributed File System-Namespaces“.
Du kannst diese Einstellungen auch über die Verzeichnis-Payload in deiner MDM-Lösung (Mobile Device Management) ändern und die Payload anschließend automatisch auf alle Mac-Computer in deinem Unternehmen übertragen. Weitere Informationen findest du unter Einstellungen der MDM-Payload „Verzeichnis“.
Mac-Clients setzen vollen Lesezugriff auf Attribute voraus, die dem Verzeichnis hinzugefügt werden. Daher kann es erforderlich sein, die Zugriffssteuerungsliste (access control lists, ACL) solcher Attribute zu ändern, um Computergruppen das Lesen dieser hinzugefügten Attribute zu gestatten.
Richtlinien für Domain-Passwörter
Zum Zeitpunkt des Bindungsaufbaus (und danach in regelmäßigen Intervallen) fragt macOS die Active Directory-Domain nach Richtlinien für Passwörter ab. Diese Richtlinien sind für alle Netzwerk- und Mobilaccounts auf einem Mac zwingend.
Wenn bei der Anmeldung die Netzwerkaccounts verfügbar sind, stellt macOS die Anfrage an Active Directory, die Zeitdauer festzulegen, bevor eine Passwortänderung erforderlich wird. Ist eine Passwortänderung innerhalb von 14 Tagen erforderlich, werden Benutzer im Anmeldefenster standardmäßig zum Ändern des Passworts aufgefordert. Ändert der Benutzer das Passwort, wird die Änderung in Active Directory und im mobilen Account (sofern konfiguriert) reflektiert und das Passwort für den Anmeldeschlüsselbund wird aktualisiert. Folgt der Benutzer der Änderungsanforderung nicht, wird er im Anmeldefenster bis einen Tag vor Ablauf zum Ändern aufgefordert. Der Benutzer muss das Passwort spätestens 24 Stunden vor Ablauf ändern, damit der Anmeldevorgang fortgesetzt werden kann. Ein macOS-Administrator kann die im Anmeldefenster angezeigte Standardbenachrichtigung für das Ablaufdatum über die Befehlszeile durch folgende Eingabe ändern: defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>.
Hinweis: macOS bietet keine Unterstützung für granulare Passwortrichtlinien auf der Basis des Passworteinstellungsobjekt PSO (Password Settings Object) von Active Directory. Beim Ermitteln des Ablaufs von Passwörtern wird nur die standardmäßige Domain-Richtlinie verwendet.
Unterstützung für Distributed File System-Namespaces
macOS unterstützt das Durchlaufen von Distributed File System-Namespaces (DFS), wenn der Mac an Active Directory gebunden ist. Ein Mac-Computer, für den die Bindung zu einer Active Directory-Domain hergestellt wurde, sendet Anfragen DNS und an Domaincontroller in der Active Directory-Domain, um automatisch den SMB-Server (Server Message Block) für einen bestimmten Namespace zu ermitteln.
Du kannst die Funktion „Mit Server verbinden“ im Finder zum Festlegen des vollständig qualifizierten Domain-Namens (FQDN) des DFS-Namespace verwenden, der den DFS-Root zum Aktivieren des Netzwerkdateisystems enthält. Klicke auf einem Mac auf den Schreibtisch, um den Finder zu öffnen. Wähle dann „Mit Server verbinden“ im Menü „Gehe zu“ und gib Folgendes ein: smb://resources.betterbag.com/DFSroot.
macOS verwendet daraufhin alle verfügbaren Kerberos-Tickets und aktiviert den zugrunde liegenden SMB-Server (Server Message Block) und den zugehörigen Pfad. Bei einigen Active Directory-Konfigurationen kann es erforderlich sein, im Feld „Such-Domains“ der DNS-Konfiguration für die Netzwerkschnittstelle den vollständigen Active Directory-Domain-Namen einzugeben.
Tipp: Du kannst auf DFS-Shares ohne Bindung zu Active Directory zugreifen und diese durchlaufen, wenn die DFS-Umgebung so konfiguriert ist, dass vollständig qualifizierte Domain-Namen (FQDNs) in Verweisen verwendet werden. Solange der Mac die Hostnamen der entsprechenden Server auflösen kann, ist die Konnektivität erfolgreich, ohne dass eine Bindung des Mac an das Verzeichnis erforderlich ist.