Integrere macOS-systemer med Windows Active Directory

Finn ut om du trenger å gi flere tilgangsrettigheter til macOS-dataobjekter.

Du trenger ikke å endre et standard Active Directory-miljø (AD) før du integrerer macOS-systemer. Du må kanskje tilordne flere tilgangsrettigheter til macOS-dataobjekter hvis:

• Attributtrettigheter er blitt endret

• Active Directory-standardskjemaet er blitt endret

Avhengig av Active Directory-installasjonen må du kanskje la domenedatamaskinkontoer fra alle domener lese flere attributter. La dem lese disse attributtene for «Datamaskinobjekter», «Brukerobjekter» og «Gruppeobjekter». Datamaskinkontoer bør ikke ha skrivetilgang til disse attributtene.

For Active Directory-standardskjema

c cn company dNSHostName department description displayName driverName facsimileTelephoneNumber givenName homeDirectory homeDrive l lastLogoff lastLogon location mail mailNickname memberOf mobile pager physicalDeliveryOfficeName postalAddress postalCode primaryGroupID printerName profilePath pwdLastSet rid sAMAccountName sAMAccountType scriptPath sn st street streetAddress telephoneNumber title url userPrincipalName userWorkstations

For Apple-skjemautvidelser

Har skjemaet blitt utvidet for å støtte Apple-skjemautvidelser? I så fall bør Active Directory kunne lese alle attributtene ovenfor. Følgende attributter bør også kunne leses:

apple-category apple-computeralias apple-computer-list-groups apple-computers apple-data-stamp apple-dnsname apple-dns-domain apple-dns-nameserver apple-group-homeowner apple-group-homeurl apple-home-directory apple-imhandle apple-keyword apple-mcxflags apple-mcxsettings apple-mountDirectory apple-mountDumpFrequency apple-mountOption apple-mountPassNo apple-mountType apple-service-location apple-service-port apple-service-type apple-service-url apple-user-class apple-user-authenticationhint apple-user-homequota apple-user-homesoftquota apple-user-homeurl apple-user-mailattribute apple-user-picture apple-user-printattribute apple-webloguri apple-xmlplist gidNumber ipHostNumber loginShell macAddress uidNumber ttl

Bruke Active Directory-skjemaverktøy til å endre attributter

Endre disse attributtene til å bli «Indekser dette attributtet» og «Repliker dette attributtet til den globale katalogen».

For Windows 2000-standardskjemaer

macAddress apple-hwuuid

For Apple-skjemautvidelser

uidNumber gidNumber

Bruker du en egendefinert tilordning for UID og GID i avanserte innstillinger? I så fall må disse attributtene også være tilgjengelige, indekserte og replikerte til den globale katalogen.