Active Directory integreren met Adreslijsthulpprogramma op de Mac
Met de Active Directory-connector (in de opties 'Voorzieningen' in Adreslijsthulpprogramma) kun je voor een Mac de toegang configureren tot basisgegevens van gebruikersaccounts in een Active Directory-domein op een server met Windows 2000 of hoger.
De Active Directory-connector genereert alle kenmerken die nodig zijn voor authenticatie met macOS. De connector biedt ook ondersteuning voor Active Directory-authenticatieregels, waaronder wachtwoordwijzigingen, vervaldatums voor wachtwoorden, geforceerde aanpassingen en beveiligingsopties. Doordat de connector deze functies ondersteunt, hoef je geen wijzigingen aan te brengen in het Active Directory-domein om over de basisgegevens van gebruikersaccounts te kunnen beschikken.
Opmerking: Computers met macOS 10.12 of hoger kunnen geen verbinding maken met een Active Directory-domein als dat domein geen functionaliteitsniveau van minimaal Windows Server 2008 heeft, tenzij je expliciet 'weak crypto' inschakelt. Zelfs als alle domeinen een functioneel niveau van 2008 of later hebben, moet de beheerder mogelijk voor elk domein een vertrouwensketen tot stand brengen om Kerberos AES-encryptie te kunnen gebruiken.
Wanneer macOS volledig met Active Directory is geïntegreerd, geldt het volgende:
Gebruikers moeten zich houden aan het beleid voor domeinwachtwoorden van de organisatie
Dezelfde gebruikersgegevens gebruiken voor zowel de authenticatie als het verkrijgen van toegang tot beveiligde bronnen
Aan gebruikers worden certificaatidentiteiten voor gebruikers en computers verstrekt door een Active Directory Certificate Services-server
Gebruikers kunnen automatisch een DFS-naamruimte (Distributed File System) doorlopen en de juiste onderliggende SMB-server (Server Message Block) activeren
Tip: Mac-clients hebben volledige leestoegang tot kenmerken die aan de adreslijst worden toegevoegd. Daarom is het mogelijk vereist de lijst met toegangsinstellingen van die kenmerken aan te passen, zodat computergroepen deze toegevoegde kenmerken kunnen lezen.
Naast ondersteuning van authenticatieregels biedt de Active Directory-connector ook ondersteuning voor het volgende:
Ondersteuning voor de opties voor het versleutelen en ondertekenen van pakketten voor alle Windows Active Directory-domeinen: Deze functie is standaard ingeschakeld als 'toestaan'. Je kunt de standaardinstelling wijzigen in 'uitgeschakeld' of 'vereist' met het commando
dsconfigad
. Met de opties voor encryptie en ondertekening van pakketten wordt gewaarborgd dat alle gegevens van en naar het Active Directory-domein voor het zoeken naar records zijn beveiligd.Dynamische generatie van unieke ID's: De controller genereert een unieke gebruikers-ID en een primaire groeps-ID, gebaseerd op de GUID (Globally Unique ID) van de gebruikersaccount in het Active Directory-domein. De gegenereerde gebruikers-ID en primaire groeps-ID zijn voor iedere gebruikersaccount hetzelfde, zelfs als de account wordt gebruikt om op verschillende Mac-computers in te loggen. Zie De groeps-ID, primaire groeps-ID en UID koppelen aan een Active Directory-kenmerk.
Active Directory-replicatie en -failover: De Active Directory-connector detecteert meerdere domeincontrollers en stelt vast welke de dichtstbijzijnde is. Als een domeincontroller niet meer beschikbaar is, wordt door de connector een andere nabije domeincontroller gebruikt.
Detectie van alle domeinen in een Active Directory-forest: Je kunt de connector zo configureren dat gebruikers van alle domeinen in de forest zich kunnen authenticeren op een Mac-computer. Je kunt ook instellen dat alleen gebruikers van bepaalde domeinen zich kunnen authenticeren op de client. Zie Authenticatie beheren vanuit alle domeinen in de Active Directory-forest.
Activering van Windows-thuismappen: Als iemand inlogt op een Mac met een Active Directory-gebruikersaccount, kan de Active Directory-connector de thuismap van het Windows-netwerk activeren die in de Active Directory-gebruikersaccount is opgegeven als de thuismap van de gebruiker. Je kunt opgeven of je de thuismap van het netwerk wilt gebruiken die is opgegeven met het standaardkenmerk voor de thuismap van Active Directory of van macOS (als het Active Directory-schema hiermee is uitgebreid).
Gebruik van een lokale thuismap op de Mac: Je kunt de connector zodanig configureren dat een lokale thuismap wordt aangemaakt op het opstartvolume van de Mac. In dat geval activeert de connector tevens de thuismap van het Windows-netwerk van de gebruiker (die is opgegeven in de Active Directory-gebruikersaccount) als een netwerkvolume, zoals een sharepoint. Via de Finder kan de gebruiker vervolgens bestanden van het netwerkvolume van de Windows-thuismap naar de lokale thuismap op de Mac kopiëren en omgekeerd.
Mobiele accounts voor gebruikers aanmaken: Een mobiele account heeft een lokale thuismap op het opstartvolume van de Mac. (De gebruiker beschikt bovendien over een netwerkthuismap, die is opgegeven in de Active Directory-account van de gebruiker.) Zie Accounts voor mobiele gebruikers configureren.
LDAP voor toegang en Kerberos voor authenticatie: De Active Directory-connector maakt geen gebruik van de eigen ADSI (Active Directory Services Interface) van Microsoft voor adreslijst- of authenticatieservices.
Detectie van en toegang tot een uitgebreid schema: Als het Active Directory-schema is uitgebreid met macOS-recordtypen (objectklassen) en -kenmerken, worden deze door de Active Directory-connector gedetecteerd en geopend. Het Active Directory-schema kan bijvoorbeeld met Windows-hulpprogramma's worden aangepast om door macOS beheerde clientkenmerken op te nemen. Als je het schema op deze manier wijzigt, kan de Active Directory-connector ondersteunde oplossingen voor mobielapparaatbeheer (MDM) gebruiken.