Az Active Directory integrálása a Mac Címtár segédprogramjával
Az Active Directory-összekötővel konfigurálhat (a Címtársegédprogram Szolgáltatások ablaktáblájából) egy Macet úgy, hogy elérje a felhasználói fiókok alapvető adatait egy Windows 2000-es vagy újabb szerver Active Directory-tartományából.
Az Active Directory-összekötő az összes olyan attribútumot létrehozza az Active Directory felhasználói fiókjainak attribútumaiból, amelyre a macOS-hitelesítéshez szükség van. A csatlakozó az Active Directory hitelesítési házirendjeit, köztük a jelszómódosítást, a lejárat időpontját, a kényszerített módosításokat és a biztonsági beállításokat is támogatja. Nem szükséges sémamódosításokat végeznie az Active Directory-doménen ahhoz, hogy a felhasználói fiókok alapvető adatait le tudja kérni, mivel az összekötő támogatja ezeket a funkciókat.
Megjegyzés: A macOS 10.12 vagy újabb operációs rendszereket futtató számítógépek nem tudnak olyan Active Directory tartományhoz csatlakozni, amelynek a tartományi funkcionális szintje nem éri el legalább a Windows Server 2008-at, kivéve, ha kifejezetten engedélyezi a „gyenge titkosítás” lehetőséget. Még abban az esetben is előfordulhat, hogy a rendszergazdának kifejezetten meg kell adnia, hogy az egyes tartományok Kerberos AES titkosítást használjanak, ha az összes tartomány tartományi funkcionális szintje 2008-as vagy annál későbbi.
Ha a macOS teljesen integrálva van az Active Directoryval, a felhasználók:
A szervezet domén-jelszóházirendjei alá tartoznak
Ugyanazokat a hitelesítő adatokat használják a hitelesítéshez és a biztonságos erőforrások eléréséhez
Felhasználói és gépi szintű tanúsítványazonosítókat kapnak egy Active Directory-tanúsítványszolgáltatások kiszolgálóról
Automatikusan bejárhatják az elosztott fájlrendszerek (DFS) névterét és csatolhatják a megfelelő mögöttes SMB-kiszolgálót
Tipp: A Mac ügyfélgépek teljes olvasási jogosultságot feltételeznek a címtárhoz adott attribútumokhoz. Ezért szükség lehet az ACL módosítására az ilyen attribútumok esetében, hogy engedélyezzék a hozzáadott attribútumok olvasását a számítógépcsoportok számára.
A hitelesítési házirendeken felül az Active Directory csatlakozó a következő funkciókat is támogatja:
Csomagtitkosítás- és csomagaláírás-beállítások az összes Windows Active Directory-doménhez: Ez a funkció alapértelmezés szerint be van kapcsolva, „engedélyezés” értékkel. Az alapértelmezett beállítás „letiltva” vagy „szükséges” értékre módosítható a
dsconfigad
paranccsal. A csomagtitkosítás és a csomagaláírás lehetőség biztosítja az Active Directory-doménből érkező és oda irányuló, rekordkereséshez használt összes adat védettségét.Egyedi azonosítók dinamikus generálása: A vezérlő egy egyedi felhasználói azonosítót és egy elsődleges csoportazonosítót generál a felhasználói fiók globálisan egyedi azonosítója (GUID) alapján az Active Directory-doménben. A generált felhasználói azonosító és az elsődleges csoportazonosító minden felhasználói fiók esetében azonos, akkor is, ha a fiókot különböző Macekre történő bejelentkezéshez használják. Lásd: A csoportazonosító, az elsődleges GID-azonosító és a UID-azonosító társítása Active Directory-attribútumhoz.
Active Directory-replikáció és -feladatátadás: Az Active Directory-csatlakozó több doménvezérlőt is felfedez, és meghatározza a legközelebbit. Ha egy doménvezérlő elérhetetlenné válik, a csatlakozó egy másik közeli doménvezérlőt használ.
Az Active Directory teljes struktúrán belüli összes domén észlelése: A csatlakozót úgy is konfigurálhatja, hogy lehetővé tegye a Macről történő hitelesítést a teljes struktúra bármely doménjéhez tartozó felhasználóknak. Azt is engedélyezheti, hogy csak bizonyos domének hitelesíthessék magukat az ügyfélgépen. Lásd: Hitelesítés szabályozása az Active Directory teljes struktúrán belüli összes doménben.
Windows saját mappa felcsatolása: Ha valaki egy Active Directory felhasználói fiók segítségével jelentkezik be egy Macre, az Active Directory-csatlakozó az Active Directory felhasználói fiók által megadott Windows hálózati kezdőmappát a felhasználó saját mappájaként is felcsatolhatja. Megadhatja, hogy az Active Directory szabványos saját címtárattribútuma vagy (ha az Active Directory-séma ki van vele bővítve) a macOS saját címtárattribútuma legyen-e felhasználva a hálózati saját könyvtár meghatározásához.
Helyi saját mappa használata Macen: A csatlakozót úgy konfigurálhatja, hogy a helyi saját mappát a Mac indítókötetén hozza létre. Ebben az esetben a csatlakozó a megosztási ponthoz hasonlóan a felhasználó (az Active Directory-felhasználói fiókjában megadott) Windows hálózati kezdőmappáját is felcsatolja hálózati kötetként. A Finder használatával a felhasználó fájlokat másolhat a Windows kezdőoldal hálózati kötet és a helyi Mac saját mappa között.
Felhasználói mobil fiókok létrehozása: Egy mobilfiók helyi saját mappája a Mac indítókötetén van elhelyezve. (A felhasználónak hálózati saját mappája is van a felhasználó Active Directory-fiókjában lévő beállítás szerint.) Lásd: Mobil felhasználói fiókok beállítása.
LDAP a hozzáféréshez és Kerberos a hitelesítéshez: Az Active Directory-csatlakozó nem használja a Microsoft által fejlesztett Active Directory Services Interface (ADSI) felületet címtár átvételére vagy hitelesítési szolgáltatásokhoz.
Kiterjesztett séma felismerése és elérése: Ha az Active Directory-séma a macOS rekordtípusokkal (objektumosztályokkal) és attribútumokkal is ki van bővítve, az Active Directory-csatlakozó észleli és eléri őket. Az Active Directory-séma például módosítható úgy a Windows felügyeleti eszközök segítségével, hogy tartalmazza a macOS felügyelt ügyfél attribútumait. Ez a sémamódosítás lehetővé teszi, hogy az Active Directory-csatlakozó használhatja a támogatott mobile device management (MDM) megoldásokat.