OS X Mavericks:構成プロファイルで高度な Active Directory のオプションを使う方法

構成プロファイルを使って、OS X を Active Directory (AD) ドメインに接続するように設定できます。

OS X Mavericks では、ディレクトリユーティリティや dsconfigad コマンドラインツールで指定できる高度な AD オプションも、構成プロファイルを使って設定することができます。

  1. 手始めに、プロファイルマネージャで作成される OS X ディレクトリペイロードを用意します。
  2. 手動で編集できるように、プロファイルを保存してダウンロードします。

次の AD 構成キーを、com.apple.DirectoryService.managed 型のディレクトリペイロードに追加することができます。一部の設定は、関連するフラグキーが「true」に設定されている場合に限り設定できます。たとえば、ADPacketEncrypt キーを「enable」に設定するためには、ADPacketEncryptFlag が「true」に設定されている必要があります。

キー 説明
HostName 文字列 接続先の Active Directory ドメイン
UserName 文字列 ドメインに接続するために使われるアカウントのユーザ名
Password 文字列 ドメインに接続するために使われるアカウントのパスワード
ADOrganizationalUnit 文字列 接続するコンピュータオブジェクトが追加される組織単位 (OU)
ADMountStyle 文字列 使用するネットワークホームプロトコル:「afp」または「smb」
ADCreateMobileAccountAtLoginFlag ブール値 ADCreateMobileAccountAtLogin キーを有効/無効にする
ADCreateMobileAccountAtLogin ブール値 ログイン時にモバイルアカウントを作成
ADWarnUserBeforeCreatingMAFlag ブール値 ADWarnUserBeforeCreatingMA キーを有効/無効にする
ADWarnUserBeforeCreatingMA ブール値 モバイルアカウントを作成する前にユーザに警告
ADForceHomeLocalFlag ブール値 ADForceHomeLocal キーを有効/無効にする
ADForceHomeLocal ブール値 ローカル・ホームディレクトリを起動ディスクに設定
ADUseWindowsUNCPathFlag ブール値 ADUseWindowsUNCPath キーを有効/無効にする
ADUseWindowsUNCPath ブール値 Active Directory からの UNC パスを使用してネットワークホームを設定
ADAllowMultiDomainAuthFlag ブール値 ADAllowMultiDomainAuth キーを有効/無効にする
ADAllowMultiDomainAuth ブール値 フォレスト内の任意のドメインから認証
ADDefaultUserShellFlag ブール値 ADDefaultUserShell キーを有効/無効にする
ADDefaultUserShell 文字列 デフォルトのユーザシェル (例:/bin/bash)
ADMapUIDAttributeFlag ブール値 ADMapUIDAttribute キーを有効/無効にする
ADMapUIDAttribute 文字列 UID を属性にマッピング
ADMapGIDAttributeFlag ブール値 ADMapGIDAttribute キーを有効/無効にする
ADMapGIDAttribute 文字列 ユーザ GID を属性にマッピング
ADMapGGIDAttributeFlag ブール値 ADMapGGIDAttributeFlag キーを有効/無効にする
ADMapGGIDAttribute 文字列 グループ GID を属性にマッピング
ADPreferredDCServerFlag ブール値 ADPreferredDCServer キーを有効/無効にする
ADPreferredDCServer 文字列 このドメインサーバを優先
ADDomainAdminGroupListFlag ブール値 ADDomainAdminGroupList キーを有効/無効にする
ADDomainAdminGroupList 文字列の配列 指定した Active Directory グループによって管理を許可
ADNamespaceFlag ブール値 ADNamespace キーを有効/無効にする
ADNamespace 文字列 プライマリユーザアカウントの命名規則を設定:「forest」または「domain」(「domain」がデフォルト)
ADPacketSignFlag ブール値 ADPacketSign キーを有効/無効にする
ADPacketSign 文字列 パケット署名:「allow」「disable」または「require」(「allow」がデフォルト)
ADPacketEncryptFlag ブール値 ADPacketEncrypt キーを有効/無効にする
ADPacketEncrypt 文字列 パケット暗号化:「allow」「disable」「require」または「ssl」(「allow」がデフォルト)
ADRestrictDDNSFlag ブール値 ADRestrictDDNS キーを有効/無効にする
ADRestrictDDNS 文字列の配列 ダイナミック DNS アップデートを、指定したインターフェイスに制限 (例:en0、en1 など)
ADTrustChangePassIntervalDaysFlag ブール値 ADTrustChangePassIntervalDays キーを有効/無効にする
ADTrustChangePassIntervalDays 数値 コンピュータ信頼アカウントのパスワード変更を要求する頻度 (日数、「0」は無効)

高度な Active Directory 設定のサンプルについては、こちらのサンプル構成プロファイルのソースをご覧いただけます。

高度な Active Directory 構成キーを指定したプロファイルは、以下の方法でインストールできます。

  • Finder で「.mobileconfig」ファイルをダブルクリックします。
  • ターミナルで「/usr/bin/profiles」を実行します。
  • システムイメージユーティリティを使って、NetRestore または NetInstall のカスタムイメージの作成ワークフローに「構成プロファイルを追加」アクションを追加します。

高度な Active Directory 構成をプロファイルマネージャから直接配備することはできません。

公開日: