OS X Mavericks: Nutzung erweiterter Active Directory-Optionen in einem Konfigurationsprofil
Es kann ein Konfigurationsprofil verwendet werden, um OS X für den Beitritt zu einer Active Directory-Domain zu konfigurieren.
In OS X Mavericks können erweiterte Active Directory-Optionen, die über Verzeichnisdienste oder das Befehlszeilenprogramm dsconfigad verfügbar sind, auch mithilfe eines Konfigurationsprofils eingestellt werden.
Beginnen Sie mit einer OS X-Payload "Verzeichnis", die im Profil-Manager erstellt wird.
Laden und sichern Sie das Profil, um es manuell bearbeiten zu können.
Folgende Active Directory-Konfigurationsschlüssel können zur Payload "Verzeichnis" des Typs "com.apple.DirectoryService.managed" hinzugefügt werden. Beachten Sie, dass manche Einstellungen nur übernommen werden, wenn der zugehörige Flag-Schlüssel auf "true" gesetzt ist. Zum Beispiel muss "ADPacketEncryptFlag" auf "true" gesetzt sein, um den Schlüssel "ADPacketEncrypt" auf "enable" (aktivieren) einstellen zu können.
Schlüssel | Typ | Beschreibung |
|---|---|---|
HostName | Zeichenfolge | Die Active Directory-Domain, der beigetreten werden soll |
UserName | Zeichenfolge | Benutzername des Accounts, der für den Beitritt zur Domain genutzt wird |
Password | Zeichenfolge | Passwort des Accounts, das für den Beitritt zur Domain genutzt wird |
ADOrganizationalUnit | Zeichenfolge | Die Organisationseinheit (OU), welcher das beitretende Computer-Objekt zugefügt wird |
ADMountStyle | Zeichenfolge | Das zu verwendende Protokoll für Netzwerk-Benutzerordner: "afp" oder "smb" |
ADCreateMobileAccountAtLoginFlag | Boolescher Wert | Schlüssel "ADCreateMobileAccountAtLogin" aktivieren oder deaktivieren |
ADCreateMobileAccountAtLogin | Boolescher Wert | Mobilen Account bei Anmeldung erstellen |
ADWarnUserBeforeCreatingMAFlag | Boolescher Wert | Schlüssel "ADWarnUserBeforeCreatingMA" aktivieren oder deaktivieren |
ADWarnUserBeforeCreatingMA | Boolescher Wert | Benutzer vor Erstellung eines mobilen Accounts warnen |
ADForceHomeLocalFlag | Boolescher Wert | Schlüssel "ADForceHomeLocal" aktivieren oder deaktivieren |
ADForceHomeLocal | Boolescher Wert | Lokalen Benutzerordner unbedingt anlegen |
ADUseWindowsUNCPathFlag | Boolescher Wert | Schlüssel "ADUseWindowsUNCPath" aktivieren oder deaktivieren |
ADUseWindowsUNCPath | Boolescher Wert | UNC-Pfad von Active Directory verwenden, um den Benutzerordner im Netzwerk abzuleiten |
ADAllowMultiDomainAuthFlag | Boolescher Wert | Schlüssel "ADAllowMultiDomainAuth" aktivieren oder deaktivieren |
ADAllowMultiDomainAuth | Boolescher Wert | Authentifizierung aus jeder Domain in der Gesamtstruktur ermöglichen |
ADDefaultUserShellFlag | Boolescher Wert | Schlüssel "ADDefaultUserShell" aktivieren oder deaktivieren |
ADDefaultUserShell | Zeichenfolge | Standardmäßige Benutzer-Shell, z. B. "/bin/bash" |
ADMapUIDAttributeFlag | Boolescher Wert | Schlüssel "ADMapUIDAttribute" aktivieren oder deaktivieren |
ADMapUIDAttribute | Zeichenfolge | Eindeutige Kennung (UID) dem Attribut zuordnen |
ADMapGIDAttributeFlag | Boolescher Wert | Schlüssel "ADMapGIDAttribute" aktivieren oder deaktivieren |
ADMapGIDAttribute | Zeichenfolge | Eindeutige Benutzerkennung (GID) dem Attribut zuordnen |
ADMapGGIDAttributeFlag | Boolescher Wert | Schlüssel "ADMapGGIDAttributeFlag" aktivieren oder deaktivieren |
ADMapGGIDAttribute | Zeichenfolge | Eindeutige Gruppenkennung (GID) dem Attribut zuordnen |
ADPreferredDCServerFlag | Boolescher Wert | Schlüssel "ADPreferredDCServer" aktivieren oder deaktivieren |
ADPreferredDCServer | Zeichenfolge | Bevorzugter Domain-Server |
ADDomainAdminGroupListFlag | Boolescher Wert | Schlüssel "ADDomainAdminGroupList" aktivieren oder deaktivieren |
ADDomainAdminGroupList | Mehrere Zeichenfolgen | Verwaltung durch angegebene Active Directory-Gruppen ermöglichen |
ADNamespaceFlag | Boolescher Wert | Schlüssel "ADNamespace" aktivieren oder deaktivieren |
ADNamespace | Zeichenfolge | Namenskonvention für primäres Benutzerkonto festlegen: "forest" oder "domain"; (standardmäßig: "domain") |
ADPacketSignFlag | Boolescher Wert | Schlüssel "ADPacketSign" aktivieren oder deaktivieren |
ADPacketSign | Zeichenfolge | Signierung für Pakete: "allow" (zulassen), "disable" (deaktivieren) oder "require" (anfordern); standardmäßig: "allow" |
ADPacketEncryptFlag | Boolescher Wert | Schlüssel "ADPacketEncrypt" aktivieren oder deaktivieren |
ADPacketEncrypt | Zeichenfolge | Paketverschlüsselung: "allow" (zulassen), "disable" (deaktivieren), "require" (anfordern) oder "ssl"; standardmäßig: "allow" |
ADRestrictDDNSFlag | Boolescher Wert | Schlüssel "ADRestrictDDNS" aktivieren oder deaktivieren |
ADRestrictDDNS | Mehrere Zeichenfolgen | Dynamische DNS-Updates auf angegebene Schnittstellen beschränken (z. B. en0, en1 usw.) |
ADTrustChangePassIntervalDaysFlag | Boolescher Wert | Schlüssel "ADTrustChangePassIntervalDays" aktivieren oder deaktivieren |
ADTrustChangePassIntervalDays | Nummer | Häufigkeit der Aufforderung zur Passwortänderung für den Computer-Vertrauensaccount in Tagen ("0" ist deaktiviert) |
Ein Beispiel für erweiterte Active Directory-Einstellungen erhalten Sie durch Betrachten der Quelle dieses Beispiel-Konfigurationsprofils.
Unterstützte Methoden für die Installation eines Profils mit erweitertem Active Directory-Konfigurationsschlüssel:
Doppelklicken Sie im Finder auf die Datei .mobileconfig.
Führen Sie /usr/bin/profiles in Terminal aus.
Fügen Sie mit dem System-Image-Dienstprogramm die Aktion "Konfigurationsprofil hinzufügen" zu einem benutzerdefinierten Arbeitsablauf für die NetRestore- oder NetInstall-Image-Erstellung hinzu.
Erweiterte Active Directory-Konfigurationen können nicht direkt über den Profil-Manager implementiert werden.
