Integrasikan komputer Mac dengan Active Directory
Anda boleh mengkonfigurasikan Mac untuk mengakses maklumat akaun pengguna asas dalam domain Active Directory pada pelayan Windows 2000 (atau lebih baharu). Penyambung Active Directory disenaraikan dalam anak tetingkap Perkhidmatan pada Utiliti Direktori dan ia menjana semua atribut yang diperlukan untuk pengesahan macOS daripada atribut standard dalam akaun pengguna Active Directory. Penyambung juga menyokong dasar pengesahan Active Directory, termasuk perubahan kata laluan, tamat tempoh, perubahan dipaksa, dan pilihan keselamatan. Oleh kerana penyambung menyokong ciri ini, anda tidak perlu membuat penukaran skema kepada domain Active Directory untuk mendapatkan maklumat akaun pengguna asas.
Nota: macOS tidak boleh menyertai domain Active Directory tanpa paras berfungsi domain sekurang-kurangnya Windows Server 2008, melainkan anda mendayakan “weak crypto” secara eksplisit. Walaupun paras berfungsi domain untuk semua domain adalah 2008 atau lebih baharu, pentadbir mungkin perlu menentukan secara eksplisit setiap kepercayaan domain untuk menggunakan penyulitan Kerberos AES.
Cara Mac menggunakan DNS untuk bertanya domain Active Directory
macOS menggunakan Sistem Nama Domain (DNS) untuk bertanya topologi domain Active Directory pada premis. Ia menggunakan Kerberos untuk pengesahan dan Protokol Akses Direktori Ringan (LDAPv3) untuk resolusi pengguna dan kumpulan.
Apabila macOS sudah diintegrasikan sepenuhnya dengan Active Directory, pengguna:
Tertakluk kepada dasar kata laluan domain organisasi
Guna kelayakan yang sama untuk mengesahkan dan mendapatkan kebenaran ke sumber selamat
Boleh dikeluarkan identiti sijil pengguna dan mesin daripada pelayan Perkhidmatan Sijil Active Directory
Boleh merentasi ruang nama Sistem Fail Teragih (DFS) dan melekap pelayan mendasari Blok Mesej Pelayan yang sesuai secara automatik.
Untuk mendapatkan maklumat lanjut tentang menyambungkan ke DFS tanpa pengikatan, lihat sokongan ruang nama Sistem Fail Teragih di bawah.
Anda juga boleh menggunakan muat beban Direktori dalam penyelesaian pengurusan peranti mudah alih (MDM) anda untuk konfigurasi seting ini, kemudian menolak muat beban itu kepada semua komputer Mac dalam organisasi anda. Untuk mendapatkan maklumat lanjut, seting muat beban MDM Direktori.
Klien Mac menganggap akses bacaan penuh ke atribut yang ditambah ke direktori. Oleh itu, ia mungkin perlu untuk menukar senarai kawalan akses (ACL) atribut tersebut untuk membenarkan kumpulan komputer membaca atribut tambahan ini.
Dasar kata laluan domain
Pada masa ikatan (dan pada selang berkala selepasnya), macOS meminta dasar kata laluan pada domain Active Directory. Dasar ini dikuatkuasakan untuk semua rangkaian dan akaun mudah alih pada Mac.
Semasa percubaan log masuk ketika akaun rangkaian tersedia, macOS meminta Active Directory menentukan tempoh masa sebelum penukaran kata laluan diperlukan. Secara lalai, jika penukaran kata laluan diperlukan dalam 14 hari, tetingkap log masuk meminta pengguna menukarnya. Jika pengguna menukar kata laluan, perubahan berlaku di Active Directory dan juga di akaun mudah alih (jika dikonfigurasi) dan kata laluan rantai kunci log masuk dikemas kini. Jika pengguna menolak permintaan kata laluan, tetingkap log masuk bertanya pada pengguna sehingga hari sebelum tamat tempoh. Pengguna mesti menukar kata laluan dalam masa 24 jam untuk meneruskan log masuk. Pentadbir macOS boleh menukar pemberitahuan tamat tempoh lalai untuk tetingkap log masuk daripada garis perintah dengan menaip defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>.
Nota: macOS tidak menyokong dasar kata laluan berbintik halus menggunakan Objek Seting Kata Laluan (PSO) Active Directory. Hanya dasar domain lalai digunakan apabila mengira tarikh tamat tempoh kata laluan.
Sokongan ruang nama Sistem Fail Teragih
macOS menyokong perentasan ruang nama sistem fail teragih (DFS) jika Mac diikat ke Active Directory. Mac yang terikat ke DNS permintaan Active Directory dan pengawal domain dalam domain Active Directory untuk menyelesaikan secara automatik pelayan Blok Mesej Pelayan (SMB) untuk ruang nama tertentu.
Anda boleh menggunakan ciri Sambung ke Pelayan dalam Finder untuk menentukan nama domain penuh yang layak (FQDN) pada ruang nama DFS, yang termasuk akar DFS untuk melekapkan sistem fail rangkaian. Pada Mac, klik desktop untuk membuka Finder, pilih perintah Sambung ke Pelayan dalam menu Pergi, kemudian masukkan smb://resources.betterbag.com/DFSroot.
macOS menggunakan sebarang tiket Kerberos tersedia dan melekap ke lapisan pelayan dan laluan Blok Mesej Pelayan (SMB). Di sesetengah konfigurasi Active Directory, anda mungkin perlu mengisi medan Domain Carian dalam konfigurasi DNS mungkin diperlukan untuk antara muka rangkaian dengan nama domain Active Directory layak sepenuhnya.
Petua: Anda boleh mengakses dan merentas perkongsian DFS tanpa diikat ke Active Directory jika persekitaran DFS dikonfigurasikan untuk menggunakan nama domain penuh yang layak dalam rujukan. Selagi Mac boleh menyelesaikan nama hos pelayan yang bersesuaian, ketersambungan berjaya tanpa Mac perlu terikat kepada direktori.