Active Directory integreren
Met de Active Directory-connector (in het paneel 'Voorzieningen' in Adreslijsthulpprogramma) kun je voor een Mac de toegang configureren tot basisgegevens van gebruikersaccounts in een Active Directory-domein op een server met Windows 2000 of hoger.
De Active Directory-connector genereert alle kenmerken die vereist zijn voor de macOS-identiteitscontrole op basis van de Active Directory-gebruikersaccounts. De connector ondersteunt ook de configuraties voor de identiteitscontrole van Active Directory, waaronder het wijzigen, verlopen en geforceerd wijzigen van wachtwoorden, en beveiligingsopties. Doordat de connector deze functies ondersteunt, hoef je geen wijzigingen aan te brengen in het Active Directory-domein om over de basisgegevens van gebruikersaccounts te kunnen beschikken.
Opmerking: macOS Sierra en hoger kunnen geen verbinding maken met een Active Directory-domein als dat domein geen functionaliteitsniveau van minimaal Windows Server 2008 heeft, tenzij je expliciet 'weak crypto' inschakelt. Zelfs als alle domeinen een functioneel niveau van 2008 of later hebben, moet de beheerder mogelijk voor elk domein een vertrouwensketen tot stand brengen om Kerberos AES-codering te kunnen gebruiken. Zie het Apple Support-artikel Voorbereidingen treffen voor macOS Sierra 10.12 met Active Directory.
Wanneer macOS volledig met Active Directory is geïntegreerd, geldt het volgende:
Gebruikers moeten zich houden aan het beleid voor domeinwachtwoorden van de organisatie
Gebruikers gebruiken dezelfde toegangsgegevens om hun identiteit te verifiëren en toegang te krijgen tot beveiligde bronnen
Aan gebruikers worden certificaatidentiteiten voor gebruikers en computers verstrekt door een Active Directory Certificate Services-server
Gebruikers kunnen automatisch een DFS-naamruimte (Distributed File System) doorlopen en de juiste onderliggende SMB-server (Server Message Block) activeren
Tip: Mac-clients hebben volledige leestoegang tot kenmerken die aan de adreslijst worden toegevoegd. Daarom is het mogelijk vereist de lijst met toegangsinstellingen van die kenmerken aan te passen, zodat computergroepen deze toegevoegde kenmerken kunnen lezen.
Naast ondersteuning van identiteitscontrole biedt de Active Directory-connector ook ondersteuning voor het volgende:
Ondersteuning voor de opties voor het coderen en ondertekenen van pakketten voor alle Windows Active Directory-domeinen: Deze functie is standaard ingeschakeld als 'toestaan'. Je kunt de standaardinstelling wijzigen in 'uitgeschakeld' of 'vereist' met het commando
dsconfigad. Met de opties voor codering en ondertekening van pakketten wordt gewaarborgd dat alle gegevens van en naar het Active Directory-domein voor het zoeken naar records zijn beveiligd.Dynamische generatie van unieke ID's: De controller genereert een unieke gebruikers-ID en een primaire groeps-ID, gebaseerd op de GUID (Globally Unique ID) van de gebruikersaccount in het Active Directory-domein. De gegenereerde gebruikers-ID en primaire groeps-ID zijn voor iedere gebruikersaccount hetzelfde, zelfs als de account wordt gebruikt om op verschillende Mac-computers in te loggen. Zie De groeps-ID, primaire groeps-ID en UID koppelen aan een Active Directory-kenmerk.
Active Directory-replicatie en -failover: De Active Directory-connector detecteert meerdere domeincontrollers en stelt vast welke de dichtstbijzijnde is. Als een domeincontroller niet meer beschikbaar is, wordt door de connector een andere nabije domeincontroller gebruikt.
Detectie van alle domeinen in een Active Directory-forest: Je kunt de connector zo configureren dat gebruikers van alle domeinen in de forest toegang hebben tot een Mac-computer. Je kunt ook instellen dat alleen gebruikers van bepaalde domeinen toegang hebben tot de client. Zie Identiteitscontrole beheren vanuit alle domeinen in de Active Directory-forest.
Activering van Windows-thuismappen: Als iemand inlogt op een Mac met een Active Directory-gebruikersaccount, kan de Active Directory-connector de thuismap van het Windows-netwerk activeren die in de Active Directory-gebruikersaccount is opgegeven als de thuismap van de gebruiker. Je kunt opgeven of je de thuismap van het netwerk wilt gebruiken die is opgegeven met het standaardkenmerk voor de thuismap van Active Directory of van macOS (als het Active Directory-schema hiermee is uitgebreid).
Gebruik van een lokale thuismap op de Mac: Je kunt de connector zodanig configureren dat een lokale thuismap wordt aangemaakt op het opstartvolume van de Mac. In dat geval activeert de connector tevens de thuismap van het Windows-netwerk van de gebruiker (die is opgegeven in de Active Directory-gebruikersaccount) als een netwerkvolume, zoals een sharepoint. Via de Finder kan de gebruiker vervolgens bestanden van het netwerkvolume van de Windows-thuismap naar de lokale thuismap op de Mac kopiëren en omgekeerd.
Mobiele accounts voor gebruikers aanmaken: Een mobiele account heeft een lokale thuismap op het opstartvolume van de Mac. (De gebruiker beschikt bovendien over een netwerkthuismap, die is opgegeven in de Active Directory-account van de gebruiker.) Zie Accounts voor mobiele gebruikers configureren.
LDAP voor toegang en Kerberos voor identiteitscontrole: De Active Directory-connector maakt geen gebruik van de eigen ADSI (Active Directory Services Interface) van Microsoft voor adreslijst- of verificatieservices.
Detectie van en toegang tot een uitgebreid schema: Als het Active Directory-schema is uitgebreid met macOS-recordtypen (objectklassen) en -kenmerken, worden deze door de Active Directory-connector gedetecteerd en geopend. Het Active Directory-schema kan bijvoorbeeld met Windows-hulpprogramma's worden aangepast om door macOS beheerde clientkenmerken op te nemen. Als je het schema op deze manier wijzigt, biedt de Active Directory-connector ondersteuning voor beheerde clientinstellingen die zijn aangemaakt met macOS Server.