Integrera Mac-datorer med Active Directory
Du kan ställa in en Mac för åtkomst till grundläggande användarkontoinformation i en Active Directory-domän på en Windows 2000-server (eller senare). Active Directory-kontakten finns i listan på panelen Tjänster i Katalogverktyg, och den genererar alla attribut som krävs för macOS-autentisering från standardattribut i Active Directory-användarkonton. Kontakten stöder också Active Directory-autentiseringspolicyer, inklusive lösenordsändringar, tidsbegränsningar, tvingade ändringar och säkerhetsalternativ. Eftersom kontakten fungerar med dessa funktioner behöver du inte göra några schemaändringar i Active Directory-domänen för att hämta grundläggande användarkontoinformation.
Obs! macOS kommer inte att kunna ansluta till en Active Directory-domän om domänens funktionsnivå inte är minst Windows Server 2008, såvida du inte uttryckligen aktiverar ”svag kryptering". Även om domänfunktionsnivån för alla domäner är 2008 eller senare kanske administratören aktivt måste ange varje domänförtroende för att kunna använda Kerberos AES-kryptering.
Så här använder en Mac DNS till att skicka en förfrågan till Active Directory-domänen
macOS använder DNS (Domain Name System) till att efterfråga topologin för den interna Active Directory-domänen. Det använder Kerberos för autentisering och LDAPv3 (Lightweight Directory Access Protocol) för användar- och grupplösningar.
När macOS är helt integrerat med Active Directory:
Omfattas användarna av organisationens policyer för domänlösenord.
Används samma ID-information till att autentisera och få behörighet till skyddade resurser.
Kan identiteter utfärdas för användar- och maskincertifikat från en server för Active Directory Certificate-tjänster.
Kan användarna automatiskt gå igenom en DFS-namnrymd (Distributed File System) och länka in den rätta underliggande SMB-servern (Server Message Block).
Mer information om hur du ansluter till en DFS utan koppling finns i Stöd för DFS-namnrymder (Distributed File System) nedan.
Du kan även använda nyttolasten Directory i din MDM-lösning till att göra dessa inställningar och sedan skicka nyttolasten till alla Mac-datorer i organisationen. Mer information finns i MDM-inställningar för nyttolasten Directory.
Mac-klienter får fullständiga läsrättigheter för attribut som läggs till i katalogen. Därför kan det vara nödvändigt att ändra behörighetsstyrningslistan (ACL – access control list) för de attributen så att datorgrupper tillåts att läsa dem.
Policyer för domänlösenord
Vid kopplingstillfället (och därefter med jämna mellanrum) söker macOS i Active Directory-domänen efter lösenordspolicyerna. Dessa policyer används för alla nätverk och flyttbara konton på datorn.
Om du försöker logga in medan nätverkskonton är tillgängliga söker macOS i Active Directory för att avgöra efter hur lång tid lösenordet måste ändras. Som förval uppmanar inloggningsfönstret användaren att ändra lösenordet om en ändring krävs inom 14 dagar. Om användaren ändrar lösenordet kommer ändringen att ske i både Active Directory och i det flyttbara kontot (om ett sådant har konfigurerats), och lösenordet i inloggningsnyckelringen uppdateras. Om användaren avfärdar lösenordsbegäran kommer inloggningsfönstret att uppmana användaren fram till dagen innan förfallodatumet. Användaren måste ändra lösenordet inom 24 timmar för att inloggningen ska kunna fortsätta. En macOS-administratör kan ändra det förvalda förfallomeddelandet för inloggningsfönstret från kommandoraden genom att skriva defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>.
Obs! macOS stöder inte de detaljerade lösenordspolicyer som använder PSO (Password Settings Object) i Active Directory. Endast den förvalda domänpolicyn används när förfallodatum för lösenord beräknas.
Stöd för DFS-namnrymder (Distributed File System)
macOS stöder genomgång av DFS (distributed file system)-namnrymder om datorn är kopplad till Active Directory. En Mac som är bunden till Active Directory ber DNS och domänövervakare i Active Directory-domänen att hitta rätt SMB-server (Server Message Block) för en viss namnrymd.
Du kan använda funktionen Anslut till server i Finder till att ange det fullständiga kvalificerade domännamnet (FQDN) för DFS-namnrymden, vilket omfattar DFS-roten för att länka in nätverksfilsystemet. Öppna Finder genom att klicka på skrivbordet på en Mac och välj kommandot Anslut till server i menyn Gå. Ange sedan smb://resources.betterbag.com/DFSroot.
macOS använder tillgängliga Kerberos-biljetter till att göra den underliggande SMB-servern och sökvägen tillgängliga på skrivbordet. I vissa Active Directory-konfigurationer kanske du måste fylla i det fullständiga Active Directory-domännamnet i fältet Sökdomäner i DNS-konfigurationen för nätverksgränssnittet.
Tips: Du kan ansluta till och gå igenom DFS-delningar utan koppling till Active Directory ifall DFS-miljön är konfigurerad att använda fullständigt kvalificerade domännamn i hänvisningar. Det går att ansluta utan att datorn är kopplad till katalogen så länge datorn kan hitta rätt värdnamn för rätt servrar.