OS X Mavericks:構成プロファイルで高度な Active Directory のオプションを使う方法
構成プロファイルを使って、OS X を Active Directory (AD) ドメインに接続するように設定できます。
OS X Mavericks では、ディレクトリユーティリティや dsconfigad コマンドラインツールで指定できる高度な AD オプションも、構成プロファイルを使って設定することができます。
手始めに、プロファイルマネージャで作成される OS X ディレクトリペイロードを用意します。
手動で編集できるように、プロファイルを保存してダウンロードします。
次の AD 構成キーを、com.apple.DirectoryService.managed 型のディレクトリペイロードに追加することができます。一部の設定は、関連するフラグキーが「true」に設定されている場合に限り設定できます。たとえば、ADPacketEncrypt キーを「enable」に設定するためには、ADPacketEncryptFlag が「true」に設定されている必要があります。
キー | 型 | 説明 |
---|---|---|
HostName | 文字列 | 接続先の Active Directory ドメイン |
UserName | 文字列 | ドメインに接続するために使われるアカウントのユーザ名 |
Password | 文字列 | ドメインに接続するために使われるアカウントのパスワード |
ADOrganizationalUnit | 文字列 | 接続するコンピュータオブジェクトが追加される組織単位 (OU) |
ADMountStyle | 文字列 | 使用するネットワークホームプロトコル:「afp」または「smb」 |
ADCreateMobileAccountAtLoginFlag | ブール値 | ADCreateMobileAccountAtLogin キーを有効/無効にする |
ADCreateMobileAccountAtLogin | ブール値 | ログイン時にモバイルアカウントを作成 |
ADWarnUserBeforeCreatingMAFlag | ブール値 | ADWarnUserBeforeCreatingMA キーを有効/無効にする |
ADWarnUserBeforeCreatingMA | ブール値 | モバイルアカウントを作成する前にユーザに警告 |
ADForceHomeLocalFlag | ブール値 | ADForceHomeLocal キーを有効/無効にする |
ADForceHomeLocal | ブール値 | ローカル・ホームディレクトリを起動ディスクに設定 |
ADUseWindowsUNCPathFlag | ブール値 | ADUseWindowsUNCPath キーを有効/無効にする |
ADUseWindowsUNCPath | ブール値 | Active Directory からの UNC パスを使用してネットワークホームを設定 |
ADAllowMultiDomainAuthFlag | ブール値 | ADAllowMultiDomainAuth キーを有効/無効にする |
ADAllowMultiDomainAuth | ブール値 | フォレスト内の任意のドメインから認証 |
ADDefaultUserShellFlag | ブール値 | ADDefaultUserShell キーを有効/無効にする |
ADDefaultUserShell | 文字列 | デフォルトのユーザシェル (例:/bin/bash) |
ADMapUIDAttributeFlag | ブール値 | ADMapUIDAttribute キーを有効/無効にする |
ADMapUIDAttribute | 文字列 | UID を属性にマッピング |
ADMapGIDAttributeFlag | ブール値 | ADMapGIDAttribute キーを有効/無効にする |
ADMapGIDAttribute | 文字列 | ユーザ GID を属性にマッピング |
ADMapGGIDAttributeFlag | ブール値 | ADMapGGIDAttributeFlag キーを有効/無効にする |
ADMapGGIDAttribute | 文字列 | グループ GID を属性にマッピング |
ADPreferredDCServerFlag | ブール値 | ADPreferredDCServer キーを有効/無効にする |
ADPreferredDCServer | 文字列 | このドメインサーバを優先 |
ADDomainAdminGroupListFlag | ブール値 | ADDomainAdminGroupList キーを有効/無効にする |
ADDomainAdminGroupList | 文字列の配列 | 指定した Active Directory グループによって管理を許可 |
ADNamespaceFlag | ブール値 | ADNamespace キーを有効/無効にする |
ADNamespace | 文字列 | プライマリユーザアカウントの命名規則を設定:「forest」または「domain」(「domain」がデフォルト) |
ADPacketSignFlag | ブール値 | ADPacketSign キーを有効/無効にする |
ADPacketSign | 文字列 | パケット署名:「allow」「disable」または「require」(「allow」がデフォルト) |
ADPacketEncryptFlag | ブール値 | ADPacketEncrypt キーを有効/無効にする |
ADPacketEncrypt | 文字列 | パケット暗号化:「allow」「disable」「require」または「ssl」(「allow」がデフォルト) |
ADRestrictDDNSFlag | ブール値 | ADRestrictDDNS キーを有効/無効にする |
ADRestrictDDNS | 文字列の配列 | ダイナミック DNS アップデートを、指定したインターフェイスに制限 (例:en0、en1 など) |
ADTrustChangePassIntervalDaysFlag | ブール値 | ADTrustChangePassIntervalDays キーを有効/無効にする |
ADTrustChangePassIntervalDays | 数値 | コンピュータ信頼アカウントのパスワード変更を要求する頻度 (日数、「0」は無効) |
高度な Active Directory 設定のサンプルについては、こちらのサンプル構成プロファイルのソースをご覧いただけます。
高度な Active Directory 構成キーを指定したプロファイルは、以下の方法でインストールできます。
Finder で「.mobileconfig」ファイルをダブルクリックします。
ターミナルで「/usr/bin/profiles」を実行します。
システムイメージユーティリティを使って、NetRestore または NetInstall のカスタムイメージの作成ワークフローに「構成プロファイルを追加」アクションを追加します。
高度な Active Directory 構成をプロファイルマネージャから直接配備することはできません。