Integrer Active Directory
Du kan brug Active Directory-tilbehøret (i vinduet Tjenester i Biblioteksværktøj) til at konfigurere din Mac til at bruge grundlæggende oplysninger om brugerkonti i et Active Directory-domæne på en Windows 2000-server eller en nyere server.
Active Directory-tilbehøret opretter alle de egenskaber, som kræves til macOS-godkendelse fra Active Directory-brugerkonti. Det understøtter også Active Directory-godkendelsespolitikker, inklusive ændring af adgangskode, udløb, tvungne ændringer og sikkerhedsindstillinger. Tilbehøret understøtter disse funktioner, og du behøver derfor ikke at foretage skemaændringer i Active Directory-domænet for at få grundlæggende oplysninger om brugerkonti.
Bemærk: macOS Sierra og nyere versioner kan ikke oprette forbindelse til et Active Directory-domæne uden et funktionsniveau i domænet på mindst Windows Server 2008, medmindre du udtrykkeligt slår “weak crypto” til. Selvom funktionsniveauet i alle domæner er 2008 eller en nyere version, skal administratoren muligvis udtrykkeligt angive, at hver domænegodkendelse skal bruge Kerberos AES-kryptering. Du kan få flere oplysninger i Apple-supportartiklen Bliv klar til macOS Sierra 10.12 med Active Directory.
Når macOS er helt integreret med Active Directory, vil brugere:
Være underlagt organisationens adgangskodepolitikker til domæner
Bruge de samme oplysninger til at godkende og opnå godkendelse til sikrede ressourcer
Få udstedt bruger- og computercertifikater fra en Active Directory Certificate Services-server
Kan automatisk krydse et DFS-navneområde (Distributed File System), og gøre den relevante underliggende SMB-server (Server Message Block) aktiv
Tip: Mac-klienter får fuld læseadgang til de egenskaber, der føjes til biblioteket. Derfor kan det blive nødvendigt at ændre disse egenskabers adgangskontrolliste (ACL) for at give computergrupper tilladelse til at læse de egenskaber, der tilføjes.
Ud over kriterier til godkendelse understøtter Active Directory-tilbehøret også følgende:
Indstillinger til kryptering og signering af pakker til alle Active Directory-domæner i Windows: Denne funktion er som standard slået til med “tillad”. Du kan ændre standardindstillingen, så funktionen er slået fra eller nødvendig, ved hjælp af kommandoen
dsconfigad. Indstillingerne til kryptering og signering af pakker sikrer, at alle data til og fra Active Directory-domænet til søgning efter poster beskyttes.Dynamisk oprettelse af entydige bruger-id'er: Kontrolenheden opretter et entydigt bruger-id og et primært gruppe-id baseret på brugerkontoens GUID (Globally Unique ID) i Active Directory-domænet. Det bruger-id og primære gruppe-id, der oprettes, er det samme for hver enkelt brugerkonto, selvom kontoen bruges til at logge ind på forskellige Mac-computere. Se Overfør gruppe-ID, primær GID og UID til en Active Directory-egenskab
Active Directory-dublering og “failover”: Active Directory-tilbehøret finder kontrolenheder til flere domæner og finder ud, hvilken der er nærmest. Hvis en kontrolenhed i domænet bliver utilgængelig, bruger tilbehøret en anden domænekontrolenhed i nærheden.
Registrering af alle domæner i en Active Directory-struktur: Du kan konfigurere tilbehøret, så det tillader brugere fra alle domæner i strukturen at få adgang til godkendelse på en Mac-computer. Du kan også vælge, at det kun er bestemte domæner, der skal godkendes på klienten. Se Kontroller godkendelse fra alle domæner i Active Directory-strukturen.
Aktivering af Windows-hjemmemapper: Når en person logger ind på en Mac med en Active Directory-brugerkonto, kan Active Directory-tilbehøret automatisk aktivere den Windows-hjemmemappe på netværket, der er angivet som brugerens hjemmemappe i Active Directory-brugerkontoen. Du kan anføre, om det er den hjemmemappe på netværket, som er angivet af standardegenskaben hjemmebibliotek i Active Directory eller af egenskaben hjemmebibliotek i macOS, der skal bruges (hvis Active Directory-skemaet er udvidet til at inkludere den).
Brug af en lokal hjemmemappe på Mac: Du kan konfigurere tilbehøret til at oprette en lokal hjemmemappe på Macs startenhed. I det tilfælde aktiverer tilbehøret brugerens Windows-hjemmemappe på netværket (angivet i Active Directory-brugerkontoen) som en netværksenhed på samme måde som et fælles punkt. Med Finder kan brugeren derefter kopiere arkiver mellem netværksenheden med Windows-hjemmemappen og den lokale Mac-hjemmemappe.
Oprettelse af mobile konti til brugere: En mobil konto har en lokal hjemmemappe på Macs startenhed. (Brugeren har også en hjemmemappe på netværket, som er angivet i brugerens Active Directory-konto.) Se Indstil mobile brugerkonti.
LDAP til adgang og Kerberos til godkendelse: Active Directory-tilbehøret bruger ikke Microsofts ADSI (Active Directory Services Interface) til at finde biblioteks- eller godkendelsestjenester.
Registrering af og adgang til udvidet skema: Hvis Active Directory-skemaet er blevet udvidet, så det inkluderer macOS-posttyper (objektklasser) og -egenskaber, finder og bruger Active Directory-tilbehøret dem. Active Directory-skemaet kan f.eks. ændres vha. Windows-administrationsværktøjer, så det inkluderer klientegenskaber, der administreres af macOS. Denne skemaændring gør det muligt for Active Directory-tilbehøret at understøtte administrerede klientindstillinger, der foretages ved hjælp af macOS Server.