Integrasi Active Directory menggunakan Utiliti Direktori pada Mac
Anda boleh menggunakan penyambung Active Directory (dalam pilihan Perkhidmatan dari Utiliti Direktori) untuk mengkonfigurasi Mac anda untuk mengakses maklumat akaun pengguna asas dalam domain pelayan Active Directory di Windows 2000 atau lebih baharu.
Penyambung Active Directory menjana semua atribut diperlukan untuk pengesahan macOS daripada akaun pengguna Active Directory. Ia juga menyokong dasar pengesahan Active Directory, termasuk perubahan kata laluan, tamat tempoh, perubahan dipaksa dan pilihan keselamatan. Oleh kerana penyambung menyokong ciri ini, anda tidak perlu membuat penukaran skema kepada domain Active Directory untuk mendapatkan maklumat akaun pengguna asas.
Nota: Komputer dengan macOS 10.12 atau lebih baharu tidak boleh menyertai domain Active Directory tanpa paras berfungsi domain sekurang-kurangnya Windows Server 2008, melainkan anda mendayakan “weak crypto” secara eksplisit. Walaupun paras berfungsi domain untuk semua domain adalah 2008 atau lebih baharu, pentadbir mungkin perlu menentukan secara eksplisit setiap kepercayaan domain untuk menggunakan penyulitan Kerberos AES.
Apabila macOS sudah disepadukan sepenuhnya dengan Active Directory, pengguna:
Tertakluk kepada dasar kata laluan domain organisasi
Guna kelayakan yang sama untuk mengesahkan dan mendapatkan keizinan ke sumber selamat
Ialah identiti sijil pengguna dan mesin dikeluarkan daripada pelayan Perkhidmatan Sijil Active Directory
Boleh merentasi ruang nama Sistem Fail Teragih (DFS) dan melekap pelayan mendasari Blok Mesej Pelayan yang sesuai secara automatik
Petua: Klien Mac menganggap akses bacaan penuh ke atribut yang ditambah ke direktori. Oleh itu, ia mungkin perlu untuk menukar ACL atribut tersebut untuk membenarkan kumpulan komputer membaca atribut tambahan ini.
Di samping untuk menyokong dasar pengesahan, penyambung Active Directory juga menyokong yang berikut:
Pilihan penyulitan paket dan daftar masuk paket untuk semua domain Active Directory Windows: Kefungsian ini hidup secara lalai sebagai “benarkan.” Anda boleh mengubah seting lalai untuk dinyahdayakan atau diperlukan dengan menggunakan perintah
dsconfigad. Pilihan penyulitan paket dan daftar paket memastikan semua data ke dan dari domain Active Directory untuk pencarian rekod dilindungi.Secara dinamik penjanaan ID unik: Pengawal menjana ID pengguna unik dan ID kumpulan utama berdasarkan pada ID unik secara global akaun pengguna (GUID) dalam domain Active Directory. ID pengguna dan ID kumpulan utama yang dijana adalah sama untuk setiap akaun pengguna, walaupun jika akaun digunakan untuk log masuk ke komputer Mac berbeza. Lihat Petakan ID kumpulan, GID Utama dan UID dalam akaun kumpulan ke atribut Active Directory.
Replikasi dan kegagalan Active Directory: Penyambung Active Directory menemui berbilang pengawal domain dan menentukan yang terdekat. Jika pengawal domain menjadi tidak tersedia, penyambung menggunakan pengawal domain berdekatan yang lain.
Penemuan semua domain dalam hutan Active Directory: Anda boleh mengkonfigurasi penyambung untuk membenarkan pengguna dari mana-mana domain dalam hutan untuk mengesahkan pada komputer Mac. Sebagai alternatif, anda boleh membenarkan hanya domain khusus untuk disahkan kepada klien. Lihat Kawal pengesahan daripada semua domain dalam hutan Active Directory.
Melekap folder rumah Windows: Apabila seseorang log masuk ke Mac menggunakan akaun pengguna Active Directory, penyambung Active Directory boleh memasang folder utama rangkaian Windows yang dinyatakan dalam akaun pengguna Active Directory sebagai folder induk pengguna. Anda boleh menentukan sama ada untuk menggunakan rangkaian induk ditentukan oleh atribut direktori induk standard Active Directory atau melalui atribut direktori induk macOS (jika skema Active Directory dilanjutkan untuk memasukkannya).
Menggunakan folder rumah setempat pada Mac: Anda boleh konfigurasi penyambung untuk mencipta folder rumah setempat pada volum permulaan Mac. Dalam kes ini, penyambung juga memasang folder utama rangkaian Windows (dinyatakan dalan akaun pengguna Active Directory) sebagai volum rangkaian, seperti titik perkongsian. Menggunakan Finder, pengguna boleh menyalin fail di antara volum rangkaian folder utama Windows dan folder induk Mac setempat.
Penciptaan akaun mudah alih untuk pengguna: Akaun mudah alih mempunyai folder rumah setempat pada volum permulaan Mac. (Pengguna juga mempunyai folder utama rangkaian seperti yang dinyatakan dalam akaun Active Directory pengguna.) Lihat Sediakan akaun pengguna mudah alih.
LDAP untuk akses dan Kerberos untuk pengesahan: Penyambung Active Directory tidak menggunakan Antara Muka Perkhidmatan Active Directory proprietri Microsoft (ADSI) untuk mendapatkan direktori atau perkhidmatan pengesahan.
Pengesanan dan akses ke skema diperluaskan: Jika skema Active Directory telah dilanjutkan untuk memasukkan jenis rekod macOS (kelas objek) dan atribut, penyambung Active Directory mengesan dan mengaksesnya. Sebagai contoh, skema Active Directory boleh ditukar menggunakan alatan pentadbiran Windows untuk memasukkan atribut klien terurus macOS. Perubahan skema ini mendayakan penyambung Active Directory untuk menggunakan penyelesaian pengurusan peranti mudah alih (MDM) disokong.