Integrarea Active Directory folosind Utilitar director pe Mac
Puteți utiliza conectorul Active Directory (din opțiunile Servicii al Utilitar director) pentru a configura Mac-ul să acceseze informațiile de bază ale contului de utilizator dintr-un domeniu Active Directory de pe un server Windows 2000 sau ulterior.
Conectorul Active Directory generează toate atributele necesare pentru autentificarea macOS din conturile de utilizator Active Directory. Acesta acceptă și politicile de autentificare Active Directory, inclusiv schimbările, expirările, schimbările forțate de parolă și opțiunile de securitate. Conectorul acceptă aceste funcționalități și nu este nevoie să faceți modificări de schemă în domeniu Active Directory pentru a obține informații de bază despre contul de utilizator.
Notă: Computerele cu macOS 10.12 sau o versiune ulterioară nu se pot conecta la un domeniu Active Directory fără un nivel funcțional al domeniului de cel puțin Windows Server 2008, dacă nu activați dvs. explicit opțiunea “criptare slabă”. Chiar dacă nivelurile funcționale ale domeniului tuturor domeniilor sunt din 2008 sau ulterioare, poate fi necesar ca administratorul să specifice explicit fiecare domeniu de încredere să utilizeze criptarea Kerberos AES.
Atunci când macOS este complet integrat cu Active Directory, utilizatorii:
Sunt supuși politicilor organizației privind parola domeniului
Utilizați aceleași acreditări pentru a vă autentifica și a obține autorizare la resurse securizate
Sunt emise identiftăți de certificat pentru utilizator și mașină de la un server Active Directory Certificate Services
Poate traversa automat un nume de spațiu Distributed File System (DFS) și poate monta serverul Server Message Block (SMB) subiacent adecvat
Sfat: clienții Mac presupun acces complet la citirea atributelor care sunt adăugate la director. Prin urmare, poate fi necesară modificarea ACL-ului atributelor respective pentru a permite grupurilor de computere să citească aceste atribute adăugate.
Pe lângă acceptarea politicilor de autentificare, conectorul Active Directory acceptă și următoarele:
Opțiuni de criptare și de semnare a pachetului pentru toate domeniile Active Directory din Windows: Această funcționalitate este activată implicit drept “permite”. Puteți schimba configurarea implicită la dezactivat sau necesar cu ajutorul comenzii
dsconfigad. Opțiunile de criptare a pachetului și de semnare a pachetului asigură protecția tuturor datelor către și dinspre domeniul Active Directory pentru căutări ale înregistrărilor.Generare dinamică de ID-uri unice: Controllerul generează un ID de utilizator unic și un ID de grup principal bazat pe ID-ul unic global al contului de utilizator (GUID) în domeniul Active Directory. ID-ul de utilizator și ID-ul de grup principal generate sunt aceleași pentru fiecare cont de utilizator, chiar și în cazul în care contul este utilizat pentru a efectua login pe computere Mac diferite. Consultați Maparea ID de grup, GID principal și UID la un atribut Active Directory.
Replicarea și comutarea Active Directory: Conectorul Active Directory descoperă mai multe controllere de domeniu și determină care este cel mai apropiat. Dacă un controller de domeniu devine indisponibil, conectorul utilizează alt controller de domeniu din apropiere.
Detectarea tuturor domeniilor dintr-o pădure Active Directory: Puteți configura conectorul pentru a permite utilizatorilor din orice domeniu din pădure să se autentifice de pe un computer Mac. Alternativ, puteți permite doar autentificarea anumitor domenii pe client. Consultați Controlul autentificării pentru toate domeniile din pădurea Active Directory.
Montarea dosarelor de reședință Windows: Atunci când cineva efectuează login pe un Mac folosind un cont de utilizator Active Directory, conectorul Active Directory poate monta dosarul de reședință de rețea Windows specificat în contul utilizatorului Active Directory ca dosar de reședință al utilizatorului. Puteți specifica dacă se folosește reședința de rețea specificată de atributul directorului de reședință standard din Active Directory sau de atributul directorului de reședință din macOS (dacă schema Active Directory este extinsă pentru a o include).
Utilizarea unui dosar de reședință de pe Mac: Puteți configura conectorul pentru a crea un dosar de reședință local pe volumul de inițializare al Mac-ului. În acest caz, conectorul montează și dosarul de reședință de rețea Windows al utilizatorului (specificat în contul de utilizator Active Directory) ca volum de rețea, similar unui punct de partajare. Apoi, utilizatorul poate copia fișierele între dosarul de reședință de rețea Windows și dosarul de reședință Mac local utilizând Finder.
Crearea de conturi mobile pentru utilizatori: Un cont mobil are un dosar de reședință local pe volumul de inițializare al Mac-ului. (De asemenea, utilizatorul are un dosar de reședință de rețea după cum este specificat în contul de utilizator Active Directory.) Consultați Configurarea conturilor mobile de utilizator.
LDAP pentru acces și Kerboros pentru autentificare: Conectorul Active Directory nu folosește Interfața de servicii Active Directory (ADSI) din proprietatea Microsoft pentru a obține servicii de director sau de autentificare.
Detectarea și accesarea schemei extinse: Dacă schema Active Directory a fost extinsă pentru a include tipurile (clasele de obiecte) și atributele înregistrărilor macOS, conectorul Active Directory le detectează și le accesează. De exemplu, schema Active Directory poate fi modificată folosind instrumentele de administrare Windows pentru a include atributele clienților administrați de macOS. Această modificare de schemă permite conectorului Active Directory să utilizeze soluții de gestionare a dispozitivelor mobile (MDM) compatibile.