Mac’teki Dizin İzlencesi’ni kullanarak Active Directory’yi tümleştirme
Mac’inizi bir Windows 2000 veya sonraki bir sunucunun bir Active Directory alanındaki temel kullanıcı hesabı bilgilerine erişecek şekilde ayarlamak üzere Active Directory bağlayıcısını (Dizin İzlencesi’nin Servisler bölümünde) kullanabilirsiniz.
Active Directory bağlayıcısı, macOS kimlik doğrulama için gereken tüm özellikleri Active Directory kullanıcı hesaplarından oluşturur. Parola değişiklikleri, kullanım süresinin sona ermesi, zorunlu değişiklikler ve güvenlik seçenekleri de dahil olmak üzere Active Directory kimlik doğrulama politikalarını da destekler. Bağlayıcı bu özellikleri desteklediği için, temel kullanıcı hesabı bilgilerini almak için plan değişiklikleri yapmanız gerekmez.
Not: macOS 10.12 veya daha yenisine sahip bilgisayarlar, “zayıf kripto”yu özellikle etkinleştirmediyseniz alan işlevi en az Windows Server 2008 düzeyinde olmadan Active Directory alanına katılamaz. Tüm alanların alan işlev seviyesi 2008 veya daha üstü olsa bile, Kerberos AES şifrelemesini kullanmak için yöneticinin, her alanın güvenliğini özellikle belirlemesi gerekebilir.
macOS Active Directory ile tamamen tümleştirildiğinde, kullanıcılar:
Kuruluşun kuruluşa özgü parola politikalarına tabidir
Kimlik doğrulaması ve güvenilir kaynaklara erişimi yetkisi kazanmak için aynı kimlik bilgilerini kullanır
Bir Active Directory Certificate Services sunucusundaki kullanıcı ve makine sertifikası sertifika kimliklerine sahip olur
Dağıtılmış Dosya Sistemi (DFS) ad alanını otomatik olarak geçebilir ve uygun temel Sunucu İleti Bloğu (SMB) sunucusunu bağlayabilir
İpucu: Mac istemcileri, dizine eklenen özellikler için tam okuma erişimi olduğunu varsayar. Bu yüzden bilgisayar gruplarının eklenen bu özellikleri okumasına izin vermek için bu özelliklerin ACL’sini (Erişim Denetimi Listesi) değiştirmek gerekli olabilir.
Kimlik doğrulama politikaları desteğinin yanı sıra, Active Directory bağlayıcısı şunlar için de destek sağlar:
Tüm Windows Active Directory alanları için paket şifreleme ve paket imzalama seçeneklerini destekler: Bu işlevsellik saptanmış olarak “izin ver” (allow) ayarıyla açıktır. Saptanmış ayarı,
dsconfigad
komutunu kullanarak etkisizleştirilmiş (disabled) veya gerekli (required) olarak değiştirebilirsiniz. Paket şifreleme ve paket imzalama seçenekleri, kayıt arama için Active Directory alanına gelen ve giden tüm verilerin korunmasını garantiler.Benzersiz kimliklerin dinamik olarak oluşturulması: Bağlayıcı, Active Directory alanındaki kullanıcı hesabının genel benzersiz kimliğini (GUID) taban alan benzersiz bir kullanıcı kimliğini ve birincil grup kimliğini dinamik olarak oluşturur. Oluşturulan kullanıcı kimliği ve birincil grup kimliği her bir kullanıcı hesabı için aynıdır (hesap farklı Mac bilgisayarlarda oturum açmak için kullanılsa bile). Grup kimliğini, birincil grup kimliğini ve kullanıcı kimliğini (UID) bir Active Directory özelliğine eşleme konusuna bakın.
Active Directory çoğaltması ve yük devretmesi: Active Directory bağlayıcısı, birden fazla alan denetleyicisini bulur ve en yakınını belirler. Alan denetleyicisi kullanılamaz duruma gelirse, bağlayıcı yakındaki başka bir alan denetleyicisini kullanır.
Active Directory ormanındaki tüm alanların bulunması: Bağlayıcıyı, ormandaki herhangi bir alanda bulunan kullanıcıların Mac bilgisayarda kimlik doğrulamasına izin verecek şekilde ayarlayabilirsiniz. Alternatif olarak istemcide yalnızca belirli alanların kimlik doğrulamasına da izin verebilirsiniz. Active Directory ormanındaki tüm alanlardan gelen kimlik doğrulamayı denetleme konusuna bakın.
Windows ana klasörlerinin bağlanması: Bir kişi Mac üzerinde Active Directory kullanıcı hesabını kullanarak oturum açarsa, Active Directory bağlayıcısı Active Directory kullanıcı hesabında belirtilen Windows ağ ana klasörünü kullanıcının ana klasörü olarak masaüstüne bağlayabilir. Active Directory’nin standart ana klasör özelliği veya macOS’un ana klasör özelliği (Active Directory planı bunu içerek şekilde genişletilmişse) tarafından belirtilen ağ ana klasörünü kullanmayı belirtebilirsiniz.
Mac’de yerel bir ana klasör kullanma: Bağlayıcıyı, Mac’in başlangıç disk bölümünde yerel ana klasör yaratacak şekilde de ayarlayabilirsiniz. Bu durumda bağlayıcı, kullanıcının Windows ağ ana klasörünü de (Active Directory kullanıcı hesabında belirtilen) paylaşım noktasına benzer şekilde ağ disk bölümü olarak masaüstüne bağlar. Bundan sonra kullanıcı Finder’ı kullanarak dosyaları Windows ana klasörünün ağ disk bölümüyle yerel Mac ana klasörü arasında kopyalayabilir.
Kullanıcılar için taşınabilir hesapların yaratılması: Taşınabilir bir hesabın, Mac’in başlangıç disk bölümünde yerel bir ana klasörü vardır. (Kullanıcı, kendisine ait Active Directory hesabında belirtildiği gibi ağ ana klasörüne de sahiptir.) Taşınabilir kullanıcı hesaplarını ayarlama bölümüne bakın.
Erişim için LDAP ve kimlik doğrulaması için Kerberos: Active Directory bağlayıcısı, dizin veya kimlik doğrulama servislerini almak için Microsoft’a özel Active Directory Hizmetleri Arabirimi’ni (ADSI) kullanmaz.
Genişletilmiş planın saptanması ve ona erişim: Active Directory planı macOS kayıt türlerini (nesne sınıflarını) ve özelliklerini içerecek şekilde genişletilirse, Active Directory bağlayıcısı onları bulup erişir. Örneğin Active Directory planı, Windows yönetim araçları kullanılarak macOS yönetilen istemci özelliklerini içerecek şekilde değiştirilebilir. Bu plan değişikliği, Active Directory bağlayıcısının macOS Server kullanılarak yapılan yönetilen istemci ayarlarını desteklemesini sağlar.