Интеграция систем macOS со службой Windows Active Directory

В этой статье можно узнать, требуется ли предоставить расширенные права доступа к компьютерным объектам macOS.

Изменять стандартную среду службы каталогов Active Directory (AD) перед интеграцией систем macOS не требуется. Назначение расширенных прав доступа к компьютерным объектам macOS может потребоваться в следующих случаях:

• разрешения атрибутов изменены;

• настроенная по умолчанию схема AD изменена.

В зависимости от установки службы AD может потребоваться разрешить учетным записям компьютеров из всех доменов читать дополнительный объем атрибутов. Разрешите им читать такие атрибуты для элементов «Объекты компьютера», «Пользовательские объекты» и «Групповые объекты». Учетным записям компьютеров не следует предоставлять доступ на запись этих атрибутов.

Для схемы AD по умолчанию

c cn company dNSHostName department description displayName driverName facsimileTelephoneNumber givenName homeDirectory homeDrive l lastLogoff lastLogon location mail mailNickname memberOf mobile pager physicalDeliveryOfficeName postalAddress postalCode primaryGroupID printerName profilePath pwdLastSet rid sAMAccountName sAMAccountType scriptPath sn st street streetAddress telephoneNumber title url userPrincipalName userWorkstations

Для расширений схемы Apple

Была ли используемая схема расширена для поддержки расширений схемы Apple? Если это так, службе каталогов AD следует разрешить читать все атрибуты, перечисленные ранее. Кроме того, она должна иметь возможность читать следующие атрибуты:

apple-category apple-computeralias apple-computer-list-groups apple-computers apple-data-stamp apple-dnsname apple-dns-domain apple-dns-nameserver apple-group-homeowner apple-group-homeurl apple-home-directory apple-imhandle apple-keyword apple-mcxflags apple-mcxsettings apple-mountDirectory apple-mountDumpFrequency apple-mountOption apple-mountPassNo apple-mountType apple-service-location apple-service-port apple-service-type apple-service-url apple-user-class apple-user-authenticationhint apple-user-homequota apple-user-homesoftquota apple-user-homeurl apple-user-mailattribute apple-user-picture apple-user-printattribute apple-webloguri apple-xmlplist gidNumber ipHostNumber loginShell macAddress uidNumber ttl

Использование инструментов схемы AD для изменения атрибутов

Измените указанные атрибуты, установив для них значения «Индексировать этот атрибут» и «Реплицировать этот атрибут в глобальный каталог».

Для схем ОС Windows 2000 по умолчанию

macAddress apple-hwuuid

Для расширений схемы Apple

uidNumber gidNumber

Используется ли настраиваемое сопоставление для идентификаторов UID и GID в дополнительных настройках? Если это так, такие атрибуты также должны быть доступны, проиндексированы и реплицированы в глобальном каталоге.