macOS システムを Windows Active Directory と統合する

macOS コンピュータオブジェクトに別途アクセス権を割り当てる必要があるかどうかを確認してください。

macOS を統合するにあたって、標準の Active Directory (AD) 環境を変更する必要はありません。以下に該当する場合は、macOS コンピュータオブジェクトに追加のアクセス権を割り当てる必要が生じます。

• 属性の権限が変更されている

• デフォルトの AD スキーマが変更されている

AD 環境によっては、全ドメインのドメインコンピュータアカウントに対して、読み取り可能にする属性数を増やす必要があります。「コンピュータ オブジェクト」「ユーザー オブジェクト」「グループ オブジェクト」の下記の属性の読み取りをドメインコンピュータアカウントに認めてください。これらの属性に対する書き込みアクセスは認めません。

AD のデフォルトスキーマ

c cn company dNSHostName department description displayName driverName facsimileTelephoneNumber givenName homeDirectory homeDrive l lastLogoff lastLogon location mail mailNickname memberOf mobile pager physicalDeliveryOfficeName postalAddress postalCode primaryGroupID printerName profilePath pwdLastSet rid sAMAccountName sAMAccountType scriptPath sn st street streetAddress telephoneNumber title url userPrincipalName userWorkstations

Apple のスキーマ拡張

Apple のスキーマ拡張に対応するようにスキーマが拡張されている場合は、上記すべての属性を AD で読み取り可能になっているはずです。さらに、以下の属性についても読み取りを許可する必要があります。

apple-category apple-computeralias apple-computer-list-groups apple-computers apple-data-stamp apple-dnsname apple-dns-domain apple-dns-nameserver apple-group-homeowner apple-group-homeurl apple-home-directory apple-imhandle apple-keyword apple-mcxflags apple-mcxsettings apple-mountDirectory apple-mountDumpFrequency apple-mountOption apple-mountPassNo apple-mountType apple-service-location apple-service-port apple-service-type apple-service-url apple-user-class apple-user-authenticationhint apple-user-homequota apple-user-homesoftquota apple-user-homeurl apple-user-mailattribute apple-user-picture apple-user-printattribute apple-webloguri apple-xmlplist gidNumber ipHostNumber loginShell macAddress uidNumber ttl

AD のスキーマツールを使って属性を変更する

以下の属性を「この属性のインデックスを作成する」および「グローバル カタログにこの属性をレプリケートする」に変更してください。

Windows 2000 のデフォルトスキーマ

macAddress apple-hwuuid

Apple のスキーマ拡張

uidNumber gidNumber

詳細設定の UID および GID のカスタムマッピングを使っている場合は、それらの属性も同様に読み取り可能にし、さらにインデックス作成とグローバルカタログへのレプリケートを設定する必要があります。