OS X Mavericks: Nutzung erweiterter Active Directory-Optionen in einem Konfigurationsprofil

Es kann ein Konfigurationsprofil verwendet werden, um OS X für den Beitritt zu einer Active Directory-Domain zu konfigurieren.

In OS X Mavericks können erweiterte Active Directory-Optionen, die über Verzeichnisdienste oder das Befehlszeilenprogramm dsconfigad verfügbar sind, auch mithilfe eines Konfigurationsprofils eingestellt werden.

  1. Beginnen Sie mit einer OS X-Payload "Verzeichnis", die im Profil-Manager erstellt wird.

  2. Laden und sichern Sie das Profil, um es manuell bearbeiten zu können.

Folgende Active Directory-Konfigurationsschlüssel können zur Payload "Verzeichnis" des Typs "com.apple.DirectoryService.managed" hinzugefügt werden. Beachten Sie, dass manche Einstellungen nur übernommen werden, wenn der zugehörige Flag-Schlüssel auf "true" gesetzt ist. Zum Beispiel muss "ADPacketEncryptFlag" auf "true" gesetzt sein, um den Schlüssel "ADPacketEncrypt" auf "enable" (aktivieren) einstellen zu können.

Schlüssel

Typ

Beschreibung

HostName

Zeichenfolge

Die Active Directory-Domain, der beigetreten werden soll

UserName

Zeichenfolge

Benutzername des Accounts, der für den Beitritt zur Domain genutzt wird

Password

Zeichenfolge

Passwort des Accounts, das für den Beitritt zur Domain genutzt wird

ADOrganizationalUnit

Zeichenfolge

Die Organisationseinheit (OU), welcher das beitretende Computer-Objekt zugefügt wird

ADMountStyle

Zeichenfolge

Das zu verwendende Protokoll für Netzwerk-Benutzerordner: "afp" oder "smb"

ADCreateMobileAccountAtLoginFlag

Boolescher Wert

Schlüssel "ADCreateMobileAccountAtLogin" aktivieren oder deaktivieren

ADCreateMobileAccountAtLogin

Boolescher Wert

Mobilen Account bei Anmeldung erstellen

ADWarnUserBeforeCreatingMAFlag

Boolescher Wert

Schlüssel "ADWarnUserBeforeCreatingMA" aktivieren oder deaktivieren

ADWarnUserBeforeCreatingMA

Boolescher Wert

Benutzer vor Erstellung eines mobilen Accounts warnen

ADForceHomeLocalFlag

Boolescher Wert

Schlüssel "ADForceHomeLocal" aktivieren oder deaktivieren

ADForceHomeLocal

Boolescher Wert

Lokalen Benutzerordner unbedingt anlegen

ADUseWindowsUNCPathFlag

Boolescher Wert

Schlüssel "ADUseWindowsUNCPath" aktivieren oder deaktivieren

ADUseWindowsUNCPath

Boolescher Wert

UNC-Pfad von Active Directory verwenden, um den Benutzerordner im Netzwerk abzuleiten

ADAllowMultiDomainAuthFlag

Boolescher Wert

Schlüssel "ADAllowMultiDomainAuth" aktivieren oder deaktivieren

ADAllowMultiDomainAuth

Boolescher Wert

Authentifizierung aus jeder Domain in der Gesamtstruktur ermöglichen

ADDefaultUserShellFlag

Boolescher Wert

Schlüssel "ADDefaultUserShell" aktivieren oder deaktivieren

ADDefaultUserShell

Zeichenfolge

Standardmäßige Benutzer-Shell, z. B. "/bin/bash"

ADMapUIDAttributeFlag

Boolescher Wert

Schlüssel "ADMapUIDAttribute" aktivieren oder deaktivieren

ADMapUIDAttribute

Zeichenfolge

Eindeutige Kennung (UID) dem Attribut zuordnen

ADMapGIDAttributeFlag

Boolescher Wert

Schlüssel "ADMapGIDAttribute" aktivieren oder deaktivieren

ADMapGIDAttribute

Zeichenfolge

Eindeutige Benutzerkennung (GID) dem Attribut zuordnen

ADMapGGIDAttributeFlag

Boolescher Wert

Schlüssel "ADMapGGIDAttributeFlag" aktivieren oder deaktivieren

ADMapGGIDAttribute

Zeichenfolge

Eindeutige Gruppenkennung (GID) dem Attribut zuordnen

ADPreferredDCServerFlag

Boolescher Wert

Schlüssel "ADPreferredDCServer" aktivieren oder deaktivieren

ADPreferredDCServer

Zeichenfolge

Bevorzugter Domain-Server

ADDomainAdminGroupListFlag

Boolescher Wert

Schlüssel "ADDomainAdminGroupList" aktivieren oder deaktivieren

ADDomainAdminGroupList

Mehrere Zeichenfolgen

Verwaltung durch angegebene Active Directory-Gruppen ermöglichen

ADNamespaceFlag

Boolescher Wert

Schlüssel "ADNamespace" aktivieren oder deaktivieren

ADNamespace

Zeichenfolge

Namenskonvention für primäres Benutzerkonto festlegen: "forest" oder "domain"; (standardmäßig: "domain")

ADPacketSignFlag

Boolescher Wert

Schlüssel "ADPacketSign" aktivieren oder deaktivieren

ADPacketSign

Zeichenfolge

Signierung für Pakete: "allow" (zulassen), "disable" (deaktivieren) oder "require" (anfordern); standardmäßig: "allow"

ADPacketEncryptFlag

Boolescher Wert

Schlüssel "ADPacketEncrypt" aktivieren oder deaktivieren

ADPacketEncrypt

Zeichenfolge

Paketverschlüsselung: "allow" (zulassen), "disable" (deaktivieren), "require" (anfordern) oder "ssl"; standardmäßig: "allow"

ADRestrictDDNSFlag

Boolescher Wert

Schlüssel "ADRestrictDDNS" aktivieren oder deaktivieren

ADRestrictDDNS

Mehrere Zeichenfolgen

Dynamische DNS-Updates auf angegebene Schnittstellen beschränken (z. B. en0, en1 usw.)

ADTrustChangePassIntervalDaysFlag

Boolescher Wert

Schlüssel "ADTrustChangePassIntervalDays" aktivieren oder deaktivieren

ADTrustChangePassIntervalDays

Nummer

Häufigkeit der Aufforderung zur Passwortänderung für den Computer-Vertrauensaccount in Tagen ("0" ist deaktiviert)

Ein Beispiel für erweiterte Active Directory-Einstellungen erhalten Sie durch Betrachten der Quelle dieses Beispiel-Konfigurationsprofils.

Unterstützte Methoden für die Installation eines Profils mit erweitertem Active Directory-Konfigurationsschlüssel:

  • Doppelklicken Sie im Finder auf die Datei .mobileconfig.

  • Führen Sie /usr/bin/profiles in Terminal aus.

  • Fügen Sie mit dem System-Image-Dienstprogramm die Aktion "Konfigurationsprofil hinzufügen" zu einem benutzerdefinierten Arbeitsablauf für die NetRestore- oder NetInstall-Image-Erstellung hinzu.

Erweiterte Active Directory-Konfigurationen können nicht direkt über den Profil-Manager implementiert werden.

Veröffentlichungsdatum: