Ενσωμάτωση Active Directory με χρήση του Βοηθήματος καταλόγου στο Mac
Μπορείτε να χρησιμοποιήσετε το στοιχείο σύνδεσης Active Directory (στις επιλογές «Υπηρεσίες» στο Βοήθημα καταλόγου) για να ρυθμίσετε τις παραμέτρους του Mac σας ώστε να προσπελάζει βασικές πληροφορίες λογαριασμών χρηστών σε έναν τομέα Active Directory σε διακομιστή Windows 2000 ή μεταγενέστερη έκδοση.
Το στοιχείο σύνδεσης Active Directory δημιουργεί όλα τα χαρακτηριστικά που απαιτούνται για τον έλεγχο ταυτότητας macOS από λογαριασμούς χρηστών Active Directory. Υποστηρίζει επίσης πολιτικές ελέγχου ταυτότητας Active Directory, όπως αλλαγές συνθηματικών, λήξη ισχύος, επιβαλλόμενες αλλαγές και επιλογές ασφάλειας. Καθώς το στοιχείο σύνδεσης υποστηρίζει αυτές τις λειτουργίες, δεν χρειάζεται να κάνετε αλλαγές σχήματος στον τομέα Active Directory για τη λήψη βασικών πληροφοριών λογαριασμού χρήστη.
Σημείωση: Οι υπολογιστές με macOS 10.12 ή μεταγενέστερες εκδόσεις δεν μπορούν να συμμετέχουν ενεργά σε έναν τομέα Active Directory χωρίς λειτουργικό επίπεδο τομέα τουλάχιστον Windows Server 2008, εκτός κι αν ενεργοποιήσετε ρητά την «αδύναμη κρυπτογράφηση». Ακόμη κι αν τα λειτουργικά επίπεδα τομέα όλων των τομέων είναι 2008 ή μεταγενέστερα, ο διαχειριστής πρέπει να καθορίσει ρητά την αξιοπιστία κάθε τομέα για χρήση κρυπτογράφησης Kerberos AES.
Όταν το macOS είναι πλήρως ενσωματωμένο με το Active Directory, οι χρήστες:
Υπόκεινται στις πολιτικές συνθηματικών του τομέα του οργανισμού
Χρησιμοποιούν τα ίδια διαπιστευτήρια για έλεγχο ταυτότητας και για λήψη εξουσιοδοτήσεων σε ασφαλείς πόρους
Λαμβάνουν ταυτότητες πιστοποιητικών χρήστη και μηχανήματος από έναν διακομιστή Υπηρεσιών Πιστοποιητικών Active Directory
Μπορούν να πραγματοποιήσουν αυτόματη διέλευση σε χώρο ονόματος Distributed File System (DFS) και να προσαρτήσουν τον κατάλληλο υποκείμενο διακομιστή Server Message Block (SMB)
Συμβουλή: Οι πελάτες Mac αναμένουν πλήρη πρόσβαση ανάγνωσης σε χαρακτηριστικά που προστίθενται στον κατάλογο. Συνεπώς, ίσως είναι απαραίτητο να αλλάξετε τη λίστα ελέγχου πρόσβασης (ACL) αυτών των προστιθέμενων χαρακτηριστικών ώστε να επιτρέπεται η ανάγνωσή τους από ομάδες υπολογιστών.
Εκτός από την υποστήριξη πολιτικών ελέγχου ταυτότητας, το στοιχείο σύνδεσης Active Directory υποστηρίζει επίσης τα ακόλουθα:
Επιλογές κρυπτογράφησης πακέτων και υπογραφής πακέτων για όλους τους τομείς Active Directory των Windows: Αυτή η λειτουργικότητα είναι ενεργοποιημένη από προεπιλογή και ρυθμισμένη στο «να επιτρέπεται». Μπορείτε να αλλάξετε την προεπιλεγμένη ρύθμιση σε «απενεργοποιημένη» ή «απαιτείται» χρησιμοποιώντας την εντολή
dsconfigad
. Οι επιλογές κρυπτογράφησης πακέτων και υπογραφής πακέτων διασφαλίζουν την προστασία όλων των δεδομένων που διακινούνται προς και από τον τομέα Active Directory για αναζητήσεις εγγραφών.Δυναμική δημιουργία μοναδικών αναγνωριστικών: Ο ελεγκτής δημιουργεί δυναμικά ένα μοναδικό αναγνωριστικό χρήστη και ένα αναγνωριστικό κύριας ομάδας με βάση το καθολικά μοναδικό αναγνωριστικό (GUID) του χρήστη στον τομέα Active Directory. Το παραγόμενο αναγνωριστικό χρήστη και αναγνωριστικό κύριας ομάδας είναι ίδια για κάθε λογαριασμό χρήστη, ακόμη και αν ο λογαριασμός χρησιμοποιείται για την είσοδο σε διαφορετικούς υπολογιστές Mac. Δείτε την ενότητα Αντιστοίχιση του αναγνωριστικού ομάδας, του GID κύριας ομάδας και του UID σε χαρακτηριστικό Active Directory.
Αναπαραγωγή Active Directory και ανάκτηση από αστοχία: Το στοιχείο σύνδεσης Active Directory ανακαλύπτει πολλούς ελεγκτές τομέων και προσδιορίζει τον πλησιέστερο. Αν διακοπεί η διαθεσιμότητα ενός ελεγκτή τομέα, το στοιχείο σύνδεσης χρησιμοποιεί κάποιον άλλο γειτονικό ελεγκτή τομέα.
Ανακάλυψη όλων των τομέων σε ένα δάσος Active Directory: Μπορείτε να ρυθμίσετε τις παραμέτρους του στοιχείου σύνδεσης ώστε οι χρήστες από οποιονδήποτε τομέα του δάσους να μπορούν να πραγματοποιούν έλεγχο ταυτότητας σε έναν υπολογιστή Mac. Εναλλακτικά, έχετε τη δυνατότητα να επιτρέψετε τον έλεγχο ταυτότητας μόνο συγκεκριμένων τομέων στον πελάτη. Δείτε την ενότητα Έλεγχος του ελέγχου ταυτότητας από όλους τους τομείς στο δάσος Active Directory.
Προσάρτηση φακέλων αφετηρίας Windows: Όταν κάποιος συνδέεται σε ένα Mac χρησιμοποιώντας έναν λογαριασμό χρήστη Active Directory, το στοιχείο σύνδεσης Active Directory έχει τη δυνατότητα να προσαρτήσει τον δικτυακό φάκελο αφετηρίας των Windows που καθορίζεται στον λογαριασμό χρήστη Active Directory ως τον φάκελο αφετηρίας του χρήστη. Μπορείτε να καθορίσετε αν θα χρησιμοποιείται ο δικτυακός φάκελος αφετηρίας που προσδιορίζεται από το τυπικό χαρακτηριστικό καταλόγου αφετηρίας του Active Directory ή από το χαρακτηριστικό καταλόγου αφετηρίας του macOS (εφόσον το σχήμα Active Directory έχει επεκταθεί ώστε να το περιλαμβάνει).
Χρήση τοπικού φακέλου αφετηρίας στο Mac: Μπορείτε να ρυθμίσετε τις παραμέτρους του στοιχείου σύνδεσης ώστε να δημιουργήσει έναν τοπικό φάκελο αφετηρίας στον τόμο εκκίνησης του Mac. Σε αυτήν την περίπτωση, το στοιχείο σύνδεσης επίσης θα προσαρτά τον δικτυακό φάκελο αφετηρίας Windows του χρήστη (που καθορίζεται στον λογαριασμό χρήστη Active Directory) ως τόμο δικτύου, όπως ένα σημείο κοινής χρήσης. Χρησιμοποιώντας το Finder, ο χρήστης μπορεί έπειτα να αντιγράφει αρχεία μεταξύ του δικτυακού τόμου φακέλου αφετηρίας των Windows και του τοπικού φακέλου αφετηρίας του Mac.
Δημιουργία φορητών λογαριασμών για χρήστες: Ένας φορητός λογαριασμός έχει έναν τοπικό φάκελο αφετηρίας στον τόμο εκκίνησης του Mac. (Ο χρήστης έχει επίσης έναν δικτυακό φάκελο αφετηρίας όπως καθορίζεται στον λογαριασμό Active Directory του.) Δείτε την ενότητα Διαμόρφωση φορητών λογαριασμών χρηστών.
LDAP για πρόσβαση και του Kerberos για έλεγχο ταυτότητας: Το στοιχείο σύνδεσης Active Directory δεν χρησιμοποιεί το αποκλειστικό πρόσθετο ADSI (Active Directory Services Interface, Διεπαφή υπηρεσιών Active Directory) της Microsoft για τη λήψη υπηρεσιών καταλόγου ή ελέγχου ταυτότητας.
Εντοπισμός και πρόσβαση σε εκτεταμένο σχήμα: Αν το σχήμα Active Directory έχει επεκταθεί ώστε να περιλαμβάνει τύπους εγγραφών (κλάσεις αντικειμένων) και χαρακτηριστικά macOS, το στοιχείο σύνδεσης Active Directory τα εντοπίζει και τα προσπελάζει. Για παράδειγμα, το σχήμα Active Directory μπορεί να αλλάξει με χρήση των εργαλείων διαχείρισης των Windows ώστε να περιλαμβάνει χαρακτηριστικά πελάτη macOS με δυνατότητα διαχείρισης. Αυτή η αλλαγή σχήματος επιτρέπει στο στοιχείο σύνδεσης Active Directory να χρησιμοποιεί υποστηριζόμενες λύσεις διαχείρισης φορητών συσκευών (MDM).