Integrieren von Active Directory in der App „Verzeichnisdienste“ auf dem Mac
Mithilfe der in den Optionen „Dienste“ der App „Verzeichnisdienste“ aufgeführten ADC-Komponente (Active Directory Connector) kannst du einen Mac so konfigurieren, dass er auf grundlegende Benutzeraccountinformationen in einer Active Directory-Domain auf einem Windows-Server (Windows 2000 oder neuer) zugreifen kann.
Die ADC-Komponente generiert alle für die macOS-Authentifizierung benötigten Attribute aus Active Directory-Benutzeraccounts. Die Komponente unterstützt auch Active Directory-Richtlinien zur Authentifizierung, einschließlich Passwortänderungen, Passwortablauf, Änderungsmaßnahmen und Sicherheitsoptionen. Es ist nicht erforderlich, Schemaänderungen an der Active Directory-Domain vorzunehmen, um grundlegende Benutzeraccountinformationen zu erhalten, da die Komponente diese Funktionen ebenfalls unterstützt.
Hinweis: Ohne eine Domain-Funktionsebene mit mindestens Windows Server 2008 können Computer mit macOS 10.12 (und neuer) einer Active Directory-Domain nicht beitreten, es sei denn, die Option für schwache Kryptographie wurde ausdrücklich aktiviert. Selbst, wenn die Funktionsebenen aller Domains mit 2008 (oder neue) arbeiten, muss der Administrator evtl. für jede Domain-Vertrauenseinstellung ausdrücklich festlegen, die Kerberos AES-Verschlüsselung zu verwenden.
Wenn macOS vollständig in Active Directory integriert ist, gilt für Benutzer Folgendes:
Sie unterliegen den Richtlinien für Domain-Passwörter der Organisation
Sie verwenden dieselben Anmeldedaten für die Authentifizierung und erhalten die Autorisierung für gesicherte Ressourcen
Sie erhalten Benutzer- und Maschinen-Zertifikatidentitäten von einem Active Directory Certificate Services-Server
Sie können einen DFS-Namespace (Distributed File System) automatisch durchlaufen und den entsprechenden zugrunde liegenden SMB-Server (Server Message Block) aktivieren
Tipp: Mac-Clients setzen vollen Lesezugriff auf Attribute voraus, die dem Verzeichnis hinzugefügt werden. Deshalb kann es notwendig sein, die ACL der betreffenden Attribute zu ändern, damit Computergruppen diese hinzugefügten Attribute lesen können.
Neben den Richtlinien zur Authentifizierung unterstützt die ADC-Komponente auch:
Optionen für die Paketverschlüsselung und die Paketsignierung für alle Windows Active Directory-Domains: Für diese Funktionalität ist standardmäßig „Erlauben“ festgelegt. Du kannst die Standardeinstellung mit dem Befehl
dsconfigadin „Deaktiviert“ oder „Erforderlich“ ändern. Die Optionen für die Paketverschlüsselung und Paketsignierung stellen sicher, dass alle abgefragten Daten zur und von der Active Directory-Domain geschützt sind.Dynamisch eindeutige Benutzer-IDs erstellen: Die Komponente generiert eine eindeutige Benutzer-ID und eine primäre Gruppen-ID, basierend auf der GUID (Globally Unique ID) des Benutzeraccounts in der Active Directory-Domain. Die generierte Benutzer-ID und die Primärgruppen-ID sind bei jedem Benutzeraccount identisch, auch wenn der Account an verschiedenen Mac-Computern für die Anmeldung verwendet wird. Weitere Informationen findest du unter Zuordnen der Gruppen-ID in Gruppenaccounts zu einem Active Directory-Attribut.
Active Directory-Replikation und -Failover: Die ADC-Komponente (Active Directory Connector) erkennt mehrere Domain-Controller und ermittelt den nächstgelegenen. Wenn ein Domain-Controller nicht mehr verfügbar ist, verwendet die Komponente einen anderen, in der Nähe befindlichen Domain-Controller.
Nach allen Domains in einer Active Directory-Gesamtstruktur suchen: Du kannst die Komponente so konfigurieren, dass sich Benutzer aus einer beliebigen Domain in der Gesamtstruktur bei einem Mac-Computer anmelden können. Darüber hinaus besteht die Möglichkeit, die Authentifizierung auf dem Client auf bestimmte Domains zu beschränken. Weitere Informationen findest du unter Steuern der Authentifizierung aus allen Domains in der Active Directory-Gesamtstruktur.
Benutzerordner des Windows-Netzwerks aktivieren: Wenn sich ein Benutzer an einem Mac mit einem Active Directory-Benutzeraccount anmeldet, kann die ADC-Komponente den Benutzerordner des Windows-Netzwerks aktivieren, der im Active Directory-Benutzeraccount als Benutzerordner des betreffenden Benutzers definiert ist. Du kannst festlegen, ob der Netzwerk-Benutzerordner verwendet werden soll, der durch das standardmäßige Attribut „homeDirectory“ von Active Directory oder durch das macOS-Attribut „HomeDirectory“ definiert wird (vorausgesetzt, das Active Directory-Schema wurde entsprechend erweitert).
Lokalen Benutzerordner auf dem Mac verwenden: Du kannst die Komponente so konfigurieren, dass ein lokaler Benutzerordner auf dem Startvolume des Mac angelegt wird. In diesem Fall aktiviert die Komponente außerdem den Benutzerordner im Windows-Netzwerk (der im Active Directory-Benutzeraccount definiert ist) als Netzwerkvolume. Im Finder kann der Benutzer anschließend Dateien zwischen dem Netzwerkvolume des Windows-Benutzerordners und dem lokalen Mac-Benutzerordner kopieren.
Mobile Accounts für Benutzer erstellen: Ein mobiler Account hat einen lokalen Benutzerordner auf dem Startvolume des Mac. (Der Benutzer besitzt außerdem einen Benutzerordner im Netzwerk, der in seinem Active Directory-Account definiert ist.) Weitere Informationen findest du unter Einrichten mobiler Benutzeraccounts.
LDAP für den Zugriff und Kerberos zur Authentifizierung verwenden: Die proprietäre Microsoft-Schnittstelle ADSI (Active Directory Services Interface) wird von der ADC-Komponente nicht verwendet, um Verzeichnis- oder Authentifizierungsdienste in Anspruch zu nehmen.
Erkennung von und Zugriff auf erweiterte Schemata: Wenn das Active Directory-Schema um macOS-Datensatztypen (Objektklassen) und Attribute erweitert wurde, werden diese von der ADC-Komponente erkannt und verwendet. Zum Beispiel könnte das Active Directory-Schema mithilfe von Windows-Verwaltungswerkzeugen geändert werden, um von macOS verwaltete Clientattribute einzubeziehen. Diese Schemaänderung ermöglicht es der ADC-Komponente (Active Directory connector), unterstützte MDM-Lösungen (Mobile Device Management) zu nutzen.