Mengintegrasi Active Directory menggunakan Utilitas Direktori di Mac
Anda dapat menggunakan konektor Active Directory (di pilihan Layanan Utilitas Direktori) untuk mengonfigurasi Mac Anda untuk mengakses informasi akun pengguna dasar di domain Active Directory pada server Windows 2000 atau lebih baru.
Konektor Active Directory membuat semua atribut yang diperlukan untuk pengesahan macOS dari akun pengguna Active Directory. Konektor juga mendukung kebijakan pengesahan Active Directory, termasuk perubahan, kedaluwarsa, perubahan paksa, dan pilihan keamanan kata sandi. Karena konektor mendukung fitur-fitur ini, Anda tidak perlu membuat perubahan skema ke domain Active Directory untuk mendapatkan informasi akun pengguna dasar.
Catatan: Komputer dengan macOS 10.12 atau lebih baru tidak dapat bergabung dengan domain Active Directory tanpa level fungsional domain setidaknya Windows Server 2008, kecuali Anda secara eksplisit mengaktifkan “kripto lemah”. Bahkan jika level fungsional domain dari semua domain adalah 2008 atau lebih baru, administrator mungkin perlu menentukan secara eksplisit tiap kepercayaan domain untuk menggunakan enkripsi Kerberos AES.
Saat macOS terintegrasi sepenuhnya dengan Active Directory, pengguna:
Tunduk pada kebijakan kata sandi domain organisasi
Menggunakan info pengesahan yang sama untuk mengesahkan dan memperoleh wewenang atas sumber aman
Adalah pengguna yang diterbitkan dan identitas sertifikat mesin dari server Layanan Sertifikat Active Directory
Dapat melintasi namespace Sistem File Terdistribusi (DFS) dan memasang server Blok Pesan Server (SMB) utama yang sesuai
Kiat: Klien Mac mengasumsikan akses baca penuh ke atribut yang ditambahkan ke direktori. Oleh karena itu, mungkin perlu mengubah ACL atribut tersebut untuk mengizinkan kelompok komputer membaca atribut yang ditambahkan ini.
Selain mendukung kebijakan pengesahan, konektor Active Directory juga mendukung hal berikut:
Enkripsi paket dan pilihan penandaan paket untuk semua domain Active Directory Windows: Fungsi ini menyala menurut default sebagai “izinkan”. Anda dapat mengubah pengaturan default ke dinonaktifkan atau diperlukan dengan menggunakan perintah
dsconfigad. Pilihan enkripsi paket dan penandaan paket memastikan semua data ke dan dari domain Active Directory untuk pencarian catatan dilindungi.Pembuatan ID unik secara dinamis: Pengontrol membuat ID pengguna yang unik dan ID kelompok utama secara dinamis berdasarkan ID unik secara global (GUID) akun pengguna di domain Active Directory. ID pengguna dan ID kelompok utama yang dibuat sama untuk masing-masing akun pengguna, bahkan jika akun digunakan untuk masuk ke komputer Mac yang berbeda. Lihat Memetakan ID kelompok, GID Utama, dan UID ke atribut Active Directory.
Replikasi dan kegagalan Active Directory: Konektor Active Directory ini menemukan beberapa pengontrol domain dan menentukan yang terdekat. Jika pengontrol domain menjadi tidak tersedia, konektor menggunakan pengontrol domain terdekat lainnya.
Penemuan semua domain di hutan Active Directory: Anda dapat mengonfigurasi konektor untuk mengizinkan pengguna dari domain mana pun di hutan disahkan pada komputer Mac. Sebagai alternatif, Anda dapat mengizinkan hanya domain spesifik untuk disahkan pada klien. Lihat Mengontrol pengesahan dari semua domain di hutan Active Directory.
Pemasangan folder utama Windows: Ketika seseorang masuk ke Mac menggunakan akun pengguna Active Directory, konektor Active Directory dapat memasang folder utama jaringan Windows yang ditentukan di akun pengguna Active Directory sebagai folder utama pengguna. Anda dapat menentukan apakah akan menggunakan utama jaringan yang ditentukan oleh atribut direktori utama standar Active Directory atau oleh atribut direktori utama macOS (jika skema Active Directory diperluas untuk mencakupnya).
Menggunakan folder utama lokal pada Mac: Anda dapat mengonfigurasi konektor untuk membuat folder utama lokal di volume awal komputer klien Mac. Dalam hal ini, konektor juga memasang folder utama jaringan Windows pengguna (ditentukan di akun pengguna Active Directory) sebagai volume jaringan, seperti titik berbagi. Menggunakan Finder, pengguna kemudian dapat menyalin file antara volume jaringan folder utama Windows dan folder utama Mac lokal.
Pembuatan akun seluler untuk pengguna: Akun seluler memiliki folder utama lokal di volume awal Mac. (Pengguna juga memiliki folder utama jaringan yang ditentukan di akun Active Directory pengguna.) Lihat Mengatur akun pengguna seluler.
Menggunakan LDAP untuk akses dan Kerberos untuk pengesahan: Konektor Active Directory tidak menggunakan Antarmuka Layanan Active Directory (ADSI) milik Microsoft untuk mendapatkan direktori atau layanan pengesahan.
Deteksi dan akses ke skema yang diperpanjang: Jika skema Active Directory telah diperluas untuk mencakup jenis catatan (kelas objek) macOS dan atribut, konektor Active Directory akan mendeteksi dan mengaksesnya. Misalnya, skema Active Directory dapat diubah menggunakan alat administrasi Windows untuk mencakup atribut klien macOS terkelola. Perubahan skema ini memungkinkan konektor Active Directory untuk menggunakan solusi mobile device management (MDM) yang didukung.