In OS X Mavericks können erweiterte Active Directory-Optionen, die über Verzeichnisdienste oder das Befehlszeilenprogramm dsconfigad verfügbar sind, auch mithilfe eines Konfigurationsprofils eingestellt werden.
- Beginnen Sie mit einer OS X-Payload "Verzeichnis", die im Profil-Manager erstellt wird.
- Laden und sichern Sie das Profil, um es manuell bearbeiten zu können.
Folgende Active Directory-Konfigurationsschlüssel können zur Payload "Verzeichnis" des Typs "com.apple.DirectoryService.managed" hinzugefügt werden. Beachten Sie, dass manche Einstellungen nur übernommen werden, wenn der zugehörige Flag-Schlüssel auf "true" gesetzt ist. Zum Beispiel muss "ADPacketEncryptFlag" auf "true" gesetzt sein, um den Schlüssel "ADPacketEncrypt" auf "enable" (aktivieren) einstellen zu können.
| Schlüssel | Typ | Beschreibung |
|---|---|---|
| HostName | Zeichenfolge | Die Active Directory-Domain, der beigetreten werden soll |
| UserName | Zeichenfolge | Benutzername des Accounts, der für den Beitritt zur Domain genutzt wird |
| Password | Zeichenfolge | Passwort des Accounts, das für den Beitritt zur Domain genutzt wird |
| ADOrganizationalUnit | Zeichenfolge | Die Organisationseinheit (OU), welcher das beitretende Computer-Objekt zugefügt wird |
| ADMountStyle | Zeichenfolge | Das zu verwendende Protokoll für Netzwerk-Benutzerordner: "afp" oder "smb" |
| ADCreateMobileAccountAtLoginFlag | Boolescher Wert | Schlüssel "ADCreateMobileAccountAtLogin" aktivieren oder deaktivieren |
| ADCreateMobileAccountAtLogin | Boolescher Wert | Mobilen Account bei Anmeldung erstellen |
| ADWarnUserBeforeCreatingMAFlag | Boolescher Wert | Schlüssel "ADWarnUserBeforeCreatingMA" aktivieren oder deaktivieren |
| ADWarnUserBeforeCreatingMA | Boolescher Wert | Benutzer vor Erstellung eines mobilen Accounts warnen |
| ADForceHomeLocalFlag | Boolescher Wert | Schlüssel "ADForceHomeLocal" aktivieren oder deaktivieren |
| ADForceHomeLocal | Boolescher Wert | Lokalen Benutzerordner unbedingt anlegen |
| ADUseWindowsUNCPathFlag | Boolescher Wert | Schlüssel "ADUseWindowsUNCPath" aktivieren oder deaktivieren |
| ADUseWindowsUNCPath | Boolescher Wert | UNC-Pfad von Active Directory verwenden, um den Benutzerordner im Netzwerk abzuleiten |
| ADAllowMultiDomainAuthFlag | Boolescher Wert | Schlüssel "ADAllowMultiDomainAuth" aktivieren oder deaktivieren |
| ADAllowMultiDomainAuth | Boolescher Wert | Authentifizierung aus jeder Domain in der Gesamtstruktur ermöglichen |
| ADDefaultUserShellFlag | Boolescher Wert | Schlüssel "ADDefaultUserShell" aktivieren oder deaktivieren |
| ADDefaultUserShell | Zeichenfolge | Standardmäßige Benutzer-Shell, z. B. "/bin/bash" |
| ADMapUIDAttributeFlag | Boolescher Wert | Schlüssel "ADMapUIDAttribute" aktivieren oder deaktivieren |
| ADMapUIDAttribute | Zeichenfolge | Eindeutige Kennung (UID) dem Attribut zuordnen |
| ADMapGIDAttributeFlag | Boolescher Wert | Schlüssel "ADMapGIDAttribute" aktivieren oder deaktivieren |
| ADMapGIDAttribute | Zeichenfolge | Eindeutige Benutzerkennung (GID) dem Attribut zuordnen |
| ADMapGGIDAttributeFlag | Boolescher Wert | Schlüssel "ADMapGGIDAttributeFlag" aktivieren oder deaktivieren |
| ADMapGGIDAttribute | Zeichenfolge | Eindeutige Gruppenkennung (GID) dem Attribut zuordnen |
| ADPreferredDCServerFlag | Boolescher Wert | Schlüssel "ADPreferredDCServer" aktivieren oder deaktivieren |
| ADPreferredDCServer | Zeichenfolge | Bevorzugter Domain-Server |
| ADDomainAdminGroupListFlag | Boolescher Wert | Schlüssel "ADDomainAdminGroupList" aktivieren oder deaktivieren |
| ADDomainAdminGroupList | Mehrere Zeichenfolgen | Verwaltung durch angegebene Active Directory-Gruppen ermöglichen |
| ADNamespaceFlag | Boolescher Wert | Schlüssel "ADNamespace" aktivieren oder deaktivieren |
| ADNamespace | Zeichenfolge | Namenskonvention für primäres Benutzerkonto festlegen: "forest" oder "domain"; (standardmäßig: "domain") |
| ADPacketSignFlag | Boolescher Wert | Schlüssel "ADPacketSign" aktivieren oder deaktivieren |
| ADPacketSign | Zeichenfolge | Signierung für Pakete: "allow" (zulassen), "disable" (deaktivieren) oder "require" (anfordern); standardmäßig: "allow" |
| ADPacketEncryptFlag | Boolescher Wert | Schlüssel "ADPacketEncrypt" aktivieren oder deaktivieren |
| ADPacketEncrypt | Zeichenfolge | Paketverschlüsselung: "allow" (zulassen), "disable" (deaktivieren), "require" (anfordern) oder "ssl"; standardmäßig: "allow" |
| ADRestrictDDNSFlag | Boolescher Wert | Schlüssel "ADRestrictDDNS" aktivieren oder deaktivieren |
| ADRestrictDDNS | Mehrere Zeichenfolgen | Dynamische DNS-Updates auf angegebene Schnittstellen beschränken (z. B. en0, en1 usw.) |
| ADTrustChangePassIntervalDaysFlag | Boolescher Wert | Schlüssel "ADTrustChangePassIntervalDays" aktivieren oder deaktivieren |
| ADTrustChangePassIntervalDays | Nummer | Häufigkeit der Aufforderung zur Passwortänderung für den Computer-Vertrauensaccount in Tagen ("0" ist deaktiviert) |
Ein Beispiel für erweiterte Active Directory-Einstellungen erhalten Sie durch Betrachten der Quelle dieses Beispiel-Konfigurationsprofils.
Unterstützte Methoden für die Installation eines Profils mit erweitertem Active Directory-Konfigurationsschlüssel:
- Doppelklicken Sie im Finder auf die Datei .mobileconfig.
- Führen Sie /usr/bin/profiles in Terminal aus.
- Fügen Sie mit dem System-Image-Dienstprogramm die Aktion "Konfigurationsprofil hinzufügen" zu einem benutzerdefinierten Arbeitsablauf für die NetRestore- oder NetInstall-Image-Erstellung hinzu.
Erweiterte Active Directory-Konfigurationen können nicht direkt über den Profil-Manager implementiert werden.