Konfigurasi akses domain dalam Utiliti Direktori pada Mac

1. Dalam app Utiliti Direktori pada Mac anda, klik Perkhidmatan.

2. Klik ikon kunci.

3. Masukkan nama dan kata laluan pengguna pentadbir, kemudian klik Ubah Suai Konfigurasi (atau gunakan Touch ID).

4. Pilih Active Directory, kemudian klik butang “Edit seting untuk perkhidmatan dipilih” .

5. Masukkan nama hos DNS domain Active Directory yang anda ingin ikat kepada komputer yang anda konfigurasi.

   Pentadbir domain Active Directory boleh memberitahu anda nama hos DNS.

6. Jika perlu, edit ID Komputer.

   ID Komputer adalah nama komputer dikenali dengan domain Active Directory dan dipraset ke nama komputer. Anda boleh tukarnya untuk mematuhi skema nama organisasi anda. Jika anda tidak pasti, bertanyakan pentadbir domain Active Directory.

   Penting: Jika nama komputer anda mengandungi tanda sempang, anda mungkin tidak boleh mengikat data ke domain direktori seperti LDAP atau Active Directory. Untuk membentuk ikatan, guna nama komputer yang tidak mengandungi tanda sempang.

7. Jika pilihan lanjutan disembunyikan, klik segi tiga pendedahan bersebelahan Tunjukkan Pilihan. Anda juga boleh menukar seting pilihan lanjutan kemudian.

8. (Pilihan) Pilih pilihan dalam anak tetingkap Pengalaman Pengguna.

   Lihat Sediakan akaun pengguna mudah alih, Sediakan folder utama untuk akaun pengguna dan Setkan cangkerang UNIX untuk akaun pengguna Active Directory.

9. (Pilihan) Pilih pilihan dalam anak tetingkap Pemetaan.

   Lihat Petakan ID kumpulan, GID Utama dan UID dalam akaun kumpulan ke atribut Active Directory.

10. (Pilihan) Pilih pilihan dalam anak tetingkap Pentadbiran.

    • Lebih suka pelayan domain ini: Secara lalai, macOS menggunakan maklumat laman dan tindak balas pengawal domain untuk menentukan pengawal domain yang akan digunakan. Jika pengawal domain dalam laman yang sama ditentukan di sini, ia akan dirujuk dahulu. Jika pengawal domain tidak tersedia, macOS kembali ke kelakuan lalai.

    • Benarkan pentadbiran oleh: Apabila pilihan ini didayakan, ahli kumpulan Active Directory disenaraikan (secara lalai, pentadbir domain dan perusahaan) diberikan keistimewaan pentadbiran pada Mac setempat. Anda juga boleh tentukan kumpulan keselamatan dikehendaki di sini.

    • Benarkan pengesahan dari sebarang domain dalam hutan: Secara lalai, macOS mencari semua domain untuk pengesahan secara automatik. Untuk mengehadkan pengesahan hanya ke domain yang Mac tersebut diikatkan, nyahpilih kotak semak ini.

    Lihat Kawal pengesahan daripada semua domain dalam hutan Active Directory.

11. Klik Ikat, kemudian masukkan maklumat berikut:

    Nota: Pengguna mesti mempunyai keistimewaan dalam Active Directory untuk mengikat komputer ke domain.

    • Nama Pengguna dan Kata Laluan: Anda mungkin boleh mengesahkan dengan memasukkan nama dan kata laluan akaun pengguna Active Directory atau pentadbir domain Active Directory mungkin perlu untuk memberikan nama dan kata laluan.

    • OU Komputer: Masukkan unit organisasi (OU) untuk komputer yang anda sedang konfigurasi.

    • Gunakan untuk pengesahan: Pilih jika anda mahu Active Directory ditambah ke dasar carian pengesahan komputer.

    • Guna untuk kenalan: Pilih jika anda mahu Active Directory ditambah ke dasar carian kenalan komputer.

12. Klik OK.

    Utiliti Direktori menyediakan ikatan dipercayai di antara komputer yang anda konfigurasi dan pelayan Active Directory. Dasar carian komputer disetkan mengikut pilihan anda pilih semasa anda disahkan dan Active Directory didayakan dalam anak tetingkap Perkhidmatan Utiliti Direktori.

    Dengan seting lalai untuk pilihan lanjutan Active Directory, hutan Active Directory ditambah ke dasar carian pengesahan komputer dan dasar carian kenalan jika anda memilih “Guna untuk pengesahan” atau “Guna untuk kenalan.”

    Walau bagaimanapun, jika anda nyahpilih “Benarkan pengesahan dari mana-mana domain dalam hutan” dalam anak tetingkap Pilihan Lanjutan Pentadbiran sebelum mengklik Ikat, domain Active Directory terdekat ditambah dan bukannya hutan.

    Anda boleh menukar dasar carian kemudian dengan menambah atau membuang hutan Active Directory atau domain individu. Lihat Takrifkan dasar carian.

Muatan direktori dalam profil konfigurasi boleh mengkonfigurasi Mac tunggal, atau automatikkan ratusan komputer Mac, untuk mengikat ke Active Directory. Dengan muatan profil konfigurasi pula, anda boleh gunakan muatan direktori secara manual, menggunakan skrip, sebahagian daripada pendaftaran MDM, atau menggunakan penyelesaian pengurusan klien.

Muatan ialah sebahagian daripada profil konfigurasi dan membenarkan pentadbir menguruskan bahagian tertentu macOS. Anda pilih ciri dalam Pengurus Profil sama dengan yang anda pilih dalam Utiliti Direktori. Kemudian anda pilih cara komputer Mac dapatkan profil konfigurasi.

Dalam app Server pada Mac anda, lakukan yang berikut:

• Untuk mengkonfigurasikan Pengurus Profil, lihat Mulakan Pengurus Profil dalam Panduan Pengguna macOS Server.

• Untuk mencipta muatan Active Directory, lihat seting muatan MDM Direktori untuk peranti Apple dalam Seting Pengurusan Peranti Mudah Alih untuk Pentadbir IT.

Jika anda tidak mempunyai app Server, anda boleh memuat turun app Server daripada Mac App Store.

Anda boleh gunakan perintah dsconfigad dalam app Terminal untuk mengikat Mac ke Active Directory.

Contohnya, perintah berikut boleh digunakan untuk mengikat Mac ke Active Directory:

Selepas anda mengikut Mac ke domain, anda boleh guna dsconfigad untuk setkan pilihan pentadbiran dalam Utiliti Direktori:

Pilihan garis perintah lanjutan

Sokongan asli untuk Active Directory disertakan pilihan yang anda tidak nampak dalam Utiliti Direktori. Untuk melihat pilihan lanjutan ini, guna sama ada muatan Direktori dalam profil konfigurasi atau alat garis perintah dsconfigad.

• Mula menyemak pilihan garis perintah dengan membuka halaman dsconfigad man.

Selang kata laluan objek komputer

Apabila sistem Mac diikat ke Active Directory, ia setkan kata laluan akaun komputer yang disimpan dalam rantai kunci sistem dan ditukar secara automatik oleh Mac. Selang kata laluan lalai ialah setiap 14 hari, tetapi anda boleh gunakan muatan direktori atau alat garis perintah dsconfigad untuk setkan sebarang selang yang diperlukan dasar anda.

Mengesetkan nilai ke 0 akan menyahdayakan penukaran automatik kata laluan akaun: dsconfigad -passinterval 0

Sokongan ruang nama

macOS menyokong pengesahan berbilang pengguna dengan nama pendek sama (atau nama log masuk) yang wujud dalam domain berbeza dalam hutan Active Directory. Dengan mendayakan sokongan ruang nama dalam muatan Directory atau alat garis perintah dsconfigad, pengguna di satu domain boleh mempunyai nama pendek sama dengan pengguna di domain sekunder. Kedua-dua pengguna perlu log masuk menggunakan nama domain mereka diikuti dengan nama pendek mereka (DOMAIN\nama pendek), sama dengan melog masuk ke Windows PC. Untuk dayakan sokongan ini, gunakan perintah berikut:

dsconfigad -namespace <forest>

Penandatanganan dan penyulitan paket

Klien Open Directory boleh tandatangan dan sulitkan sambungan LDAP yang digunakan untuk berkomunikasi dengan Active Directory. Dengan sokongan SMB ditandatangani dalam macOS, turun taraf dasar keselamatan laman tidak diperlukan untuk menyesuaikan komputer Mac. Sambungan LDAP ditandatangani dan disulitkan juga menyingkirkan keperluan untuk menggunakan LDAP berbanding SSL. Jika sambungan SSL diperlukan, gunakan perintah berikut untuk konfigurasi Open Directory untuk menggunakan SSL:

dsconfigad -packetencrypt ssl

Sila maklum bahawa sijil digunakan pada pengawal domain mestilah dipercayai supaya penyulitan SSL berjaya. Jika sijil pengawal domain tidak dikeluarkan daripada akar sistem dipercayai asli macOS, pasang dan percaya rantai sijil dalam rantai kunci Sistem. Autoriti sijil dipercayai secara lalai dalam macOS berada dalam rantai kunci Akar Sistem. Untuk memasang sijil dan mewujudkan kepercayaan, lakukan mana-mana yang berikut:

• Import akar dan sebarang sijil perantaraan yang diperlukan menggunakan muatan sijil dalam profil konfigurasi

• Gunakan Akses Rantai Kunci yang berada di /Aplikasi/Utiliti/

• Gunakan perintah keselamatan seperti berikut:

  /usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>

Hadkan DNS Dinamik

macOS cuba mengemas kini rekod Alamat (A) dalam DNS untuk semua antara muka secara lalai. Jika berbilang antara muka dikonfigurasi, ini mungkin menyebabkan berbilang rekod dalam DNS. Untuk mengurus kelakuan ini, tentukan antara muka yang akan digunakan apabila mengemas kini Sistem Nama Domain Dinamik (DDNS) dengan menggunakan muatan Direktori atau alat garis perintah dsconfigad. Tentukan nama BSD antara muka untuk dikaitkan dengan kemas kini DDNS. Nama BSD adalah sama seperti medan Peranti, dikembalikan dengan menjalankan perintah ini:

networksetup -listallhardwareports

Apabila menggunakan dsconfigad dalam skrip, anda mesti masukkan kata laluan teks jelas yang digunakan untuk mengikat domain. Biasanya, pengguna Active Directory yang tidak mempunyai keistimewaan pentadbir lain diberi tanggungjawab mengikat komputer Mac ke domain. Pasangan nama pengguna dan kata laluan ini disimpan dalam skrip. Adalah amalan biasa untuk skrip memadam dirinya secara selamat selepas mengikat supaya maklumat ini tidak lagi berada dalam peranti storan.