Integrace služby Active Directory pomocí aplikace Adresářová utilita na Macu
Konektor Active Directory (ve volbách Služby v Adresářové utilitě) můžete použít k nakonfigurování Macu pro přístup k základním údajům o uživatelských účtech v doméně Active Directory serveru Windows 2000 nebo novějšího.
Konektor Active Directory vygeneruje všechny atributy potřebné k ověřování totožnosti v systému macOS z uživatelských účtů Active Directory. Také podporuje zásady ověřování totožnosti Active Directory, včetně změn hesla, časových údajů vypršení, vynucených změn a parametrů zabezpečení. Konektor tyto služby podporuje, a proto kvůli získání základních údajů o uživatelském účtu není nutné provádět změny schématu domény služby Active Directory.
Poznámka: Počítače se systémem macOS 10.12 nebo novějším se nemůžou připojit k doméně Active Directory bez funkční úrovně domény Windows Server 2008 nebo vyšší, pokud explicitně nepovolíte „slabé šifrování“. I tehdy, když všechny domény dosahují funkční úrovně 2008 nebo vyšší, musí správce v některých případech u každé domény explicitně nastavit důvěryhodnost pro použití šifrování Kerberos AES.
Při úplné integraci systému macOS se službou Active Directory pro uživatele platí:
Musejí respektovat pravidla pro doménové heslo organizace
Používají stejná pověření k ověření totožnosti a zajištění autorizace pro zabezpečené zdroje.
Jsou jim přiděleny identity certifikátů uživatele a zařízení ze serveru Active Directory Certificate Services
Mohou automaticky přenést obor názvů DFS (Distributed File System) a zavést vhodný nadřízený server SMB (Server Message Block)
Tip: Klientské počítače Mac předpokládají plný přístup ke čtení k atributů přidaných do adresáře. Z tohoto důvodu bude pravděpodobně nutné upravit seznam ACL těchto atributů tak, aby skupinám počítačů bylo umožněno čtení těchto přidaných atributů.
Kromě podpory zásad ověření totožnosti podporuje konektor služby Active Directory také následující možnosti:
Šifrování paketů a podepisování paketů pro všechny domény Windows Active Directory. Tato funkce je ve výchozím nastavení zapnuta (hodnota „povoleno“). Výchozí nastavení lze změnit na hodnotu „zakázáno“ nebo „vyžadováno“ pomocí příkazu
dsconfigad
. Volby šifrování a podepisování paketů umožňují zabezpečit všechna data, která jsou přenášena do domény Active Directory a z ní za účelem hledání záznamů.Dynamické generování jedinečných ID: Řadič generuje jedinečné ID uživatele a ID primární skupiny na základě globálního jedinečného ID (GUID) pro daný uživatelský účet v doméně Active Directory. Vygenerované ID uživatele a ID primární skupiny zůstává pro každý uživatelský účet shodné, i když se tento účet použije pro přihlášení k jiným počítačům Mac. Viz Přiřazení ID skupiny, primárního GID a UID k atributu Active Directory.
Replikace a převzetí služeb Active Directory při selhání: Konektor služby Active Directory vyhledá více řadičů domény a určí nejbližšího z nich. Přestane-li být některý řadič domény dostupný, konektor použije jiný blízký řadič domény.
Vyhledání všech domén v doménové struktuře Active Directory: Konektor můžete nakonfigurovat tak, aby všichni uživatelé z kterékoli domény v doménové struktuře měli povolení ověřit svou totožnost na počítači Mac. Jinou možností je povolit ověřování totožnosti v klientských počítačích pouze pro specifické domény. Viz Řízení ověřování totožnosti ze všech domén v doménové struktuře Active Directory.
Připojení domovských složek systému Windows: Jakmile se někdo přihlásí k počítači Mac pomocí uživatelského účtu Active Directory, konektor Active Directory může jako domovskou složku uživatele připojit domovskou složku sítě Windows, určenou v uživatelském účtu Active Directory. Můžete určit, zda se má použít síťová domovská složka, která je specifikována ve standardním atributu domovského adresáře pro službu Active Directory nebo v atributu domovského adresáře pro systém macOS (je-li schéma Active Directory o tento atribut rozšířeno).
Použití místní domovské složky na Macu: Konektor můžete nakonfigurovat tak, že vytvoří místní domovskou složku na startovacím svazku počítače Mac. V tomto případě konektor připojí domovskou složku uživatele v síti Windows (určenou v uživatelském účtu Active Directory) také jako síťový svazek, podobně jako bod sdílení. Uživatel poté může pomocí Finderu kopírovat soubory mezi síťovým svazkem domovské složky Windows a místní domovskou složkou Mac.
Vytváření mobilních účtů pro uživatele: Mobilní účet má místní domovskou složku na startovacím svazku počítače Mac. (Uživatel má také síťovou domovskou složku určenou v jeho účtu Active Directory.) Informace naleznete v tématu Nastavení mobilních uživatelských účtů.
Účet LDAP pro přístup a protokol Kerberos pro ověření: Konektor Active Directory pro adresářové služby ani pro služby ověřování totožnosti nepoužívá registrované rozhraní ADSI (Active Directory Services Interface) společnosti Microsoft.
Detekce rozšířeného schématu a přístup k němu: Pokud bylo schéma Active Directory rozšířeno o atributy a typy záznamů (objektové třídy) systému macOS, konektor Active Directory je vyhledá a zajistí k nim přístup. Příklad: Schéma Active Directory může být pomocí nástrojů správy Windows upraveno tak, aby obsahovalo atributy spravovaných klientů macOS. Tato úprava schématu umožní konektoru Active Directory používat podporované služby správy mobilních zařízení (MDM).