Integrer Mac-computere med Active Directory
Du kan konfigurere en Mac til at bruge grundlæggende oplysninger om brugerkonti i et Active Directory-domæne på en Windows 2000-server (eller en nyere version). Active Directory-tilbehøret vises i vinduet Tjenester i Biblioteksværktøj, og det opretter alle egenskaber, som kræves til macOS-godkendelse, på grundlag af standardegenskaber i Active Directory-brugerkonti. Tilbehøret understøtter også Active Directory-kriterier til godkendelse, inklusive ændring af adgangskode, udløb, tvungne ændringer og sikkerhedsindstillinger. Tilbehøret understøtter disse funktioner, og du behøver derfor ikke at foretage skemaændringer i Active Directory-domænet for at få grundlæggende oplysninger om brugerkonti.
Bemærk: macOS kan ikke oprette forbindelse til et Active Directory-domæne uden et domæne med et funktionsniveau på mindst Windows Server 2008, medmindre du udtrykkeligt slår "weak crypto" til. Selvom funktionsniveauet i alle domæner er 2008 eller en nyere version, skal administratoren muligvis udtrykkeligt angive, at hver domænegodkendelse skal bruge Kerberos AES-kryptering.
Sådan bruger Mac DNS til at sende forespørgsler til Active Directory-domænet
macOS bruger DNS (Domain Name System) til sende forespørgsler om topologien i Active Directory-domænet på stedet. Kerberos bruges til godkendelse, og LDAPv3 (Lightweight Directory Access Protocol) bruges til opløsning af brugere og grupper.
Når macOS er helt integreret med Active Directory, vil brugerne:
Være underlagt organisationens adgangskodepolitikker til domæner
Bruge de samme oplysninger til at godkende og opnå godkendelse til sikrede ressourcer
Kunne få udstedt bruger- og computercertifikater fra en Active Directory Certificate Services-server
Automatisk kunne krydse et DFS-navneområde (Distributed File System) og gøre den relevante underliggende SMB-server (Server Message Block) aktiv.
Du kan få flere oplysninger om at oprette forbindelse til et DFS uden sammenkædning i Understøttelse af DFS-navneområde (Distributed File System) herunder.
Du kan også bruge Directory-dataene i din løsning til administration af mobile enheder (MDM) til at konfigurere disse indstillinger og derefter overføre disse data til alle Mac-computerne i organisationen. Der er flere oplysninger under Indstillinger til MDM-data i Directory.
Mac-klienter får fuld læseadgang til de egenskaber, der føjes til biblioteket. Derfor kan det blive nødvendigt at ændre disse egenskabers adgangskontrolliste (ACL) for at give computergrupper tilladelse til at læse de egenskaber, der tilføjes.
Regler for adgangskoder til domæner
På sammenkædningstidspunktet (og med periodiske intervaller derefter) beder macOS Active Directory-domænet om dets regler for adgangskoder. Disse regler gennemtvinges for alle netværkskonti og mobile konti på en Mac.
Under et forsøg på at logge ind, mens netværkskontiene er tilgængelige, beder macOS Active Directory om at fastslå, hvor lang tid der skal gå, før en adgangskode skal skiftes. Hvis en adgangskode skal skiftes inden for 14 dage, bliver brugeren i loginvinduet som standard bedt om at skifte den. Hvis brugeren skifter adgangskode, sker ændringen i Active Directory og i den mobile konto (hvis der er konfigureret en), og adgangskoden til loginnøgleringen opdateres. Hvis brugeren lukker anmodningen om skift af adgangskode, bliver brugeren ved med at blive opfordret til at skifte den indtil dagen før udløb. Brugeren skal skifte adgangskode i løbet af 24 timer for at kunne logge ind. En macOS-administrator kan ændre standardnotifikationen om udløb til loginvinduet fra kommandolinjen ved at indtaste defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <antal dage>.
Bemærk: macOS understøtter ikke regler for adgangskoder på detaljeret niveau ved hjælp af objektet til adgangskodeindstillinger (PSO) i Active Directory. Ved beregning af udløbsdato for adgangskoder bruges udelukkende standarddomæneregler.
Understøttelse af DFS-navneområde (Distributed File System)
macOS understøtter krydsning af et DFS-navneområde (distributed file system), hvis Mac-computeren er sammenkædet med Active Directory. En Mac, der er sammenkædet med Active Directory, sender forespørgsler til domænenavneservere (DNS) og domænestyreenheder i Active Directory-domænet for automatisk at finde den relevante SMB-server (Server Message Block) til et bestemt navneområde.
Du kan bruge kommandoen Opret forbindelse til server i Finder til at angive det kvalificerede domænenavn (FQDN) på det DFS-navneområde, som indeholder DFS-root til aktivering af netværksarkivsystemet. På en Mac skal du klikke på skrivebordet for at åbne Finder, vælge kommandoen Opret forbindelse til server på menuen Gå og derefter skrive smb://resources.betterbag.com/DFSroot.
macOS bruger en tilgængelig Kerberos-billet og gør den underliggende SMB-server og -sti (Server Message Block) aktiv. I nogle Active Directory-konfigurationer kan det være nødvendigt for dig at skrive det kvalificerede Active Directory-domænenavn i feltet Søgedomæner i DNS-konfigurationen til netværksgrænsefladen.
Tip: Du kan få adgang til og krydse DFS-dele uden at sammenkæde med Active Directory, hvis DFS-miljøet er konfigureret til at bruge fuldt kvalificerede domænenavne i henvisninger. Så længe Mac-computeren kan fortolke værtsnavnene på de relevante servere, oprettes der forbindelse, uden at denne computer skal være sammenkædet med biblioteket.