Konfigurera domänåtkomst i Katalogverktyg på datorn
Viktigt: Med de avancerade alternativen i Active Directory-kontakten kan du koppla unika användar-ID (UID)-, primära grupp-ID (GID)- och grupp-GID-attribut i macOS till lämpliga attribut i Active Directory-schemat. Om du däremot ändrar dessa inställningar vid ett senare tillfälle kan det innebära att användare inte längre kommer åt filer som skapats före ändringen.
Koppla med hjälp av Katalogverktyg
Klicka på Tjänster i appen Katalogverktyg
på datorn.Klicka på låssymbolen.
Ange användarnamn och lösenord för en administratör och klicka sedan på Ändra konfiguration (eller använd Touch ID).
Markera Active Directory och klicka sedan på knappen Redigera inställningar för den valda tjänsten
.Ange DNS-värdnamnet för den Active Directory-domän till vilken du vill koppla datorn du konfigurerar.
Be Active Directory-domänens administratör om DNS-värdnamnet.
Om det behövs redigerar du datorns ID.
Ett dator-ID är det namn datorn har i Active Directory-domänen och det är förinställt till datorns namn. Du kan ändra det så att det överensstämmer med din organisations namngivningsschema. Om du är osäker frågar du Active Directory-domänens administratör.
Viktigt: Om datorns namn innehåller ett bindestreck kanske du inte kan koppla till en katalogdomän som LDAP eller Active Directory. Använd ett datornamn som inte innehåller något bindestreck när du ansluter.
Om de avancerade alternativen är gömda klickar du på visningstriangeln bredvid Visa alternativ. Du kan också ändra de avancerade alternativen senare.
(Frivilligt) Välj alternativ i panelen Användarupplevelse.
Se Ställa in flyttbara användarkonton, Ställa in hemmappar för användarkonton och Ställa in en UNIX-kommandotolk för användarkonton i Active Directory.
(Frivilligt) Välj alternativ i panelen Kopplingar.
Se Koppla grupp-ID, primärt GID och UID till ett Active Directory-attribut.
(Frivilligt) Välj alternativ i panelen Administration.
Föredra denna domänserver: Som förval använder macOS platsinformation och domänövervakarnas svarstid för att avgöra vilken domänövervakare som ska användas. Om en domänövervakare på samma plats anges här kommer den att kontrolleras först. Om domänövervakaren inte är tillgänglig återgår macOS till standardbeteendet.
Tillåt administration av: När detta alternativ är aktiverat får medlemmarna i de angivna Active Directory-grupperna (som förval domän- och företagsadministratörer) administratörsbehörighet till den lokala datorn. Du kan också ange önskade säkerhetsgrupper här.
Tillåt autentisering från alla domäner i skogen: Som förval söker macOS automatiskt efter autentisering i alla domäner. Avmarkera den här kryssrutan om du vill begränsa autentiseringen till endast de domäner som datorn är kopplad till.
Se Kontrollera autentisering från alla domäner i Active Directory-trädsamlingen.
Klicka på Koppla och ange sedan följande information:
Obs! Användaren måste ha behörighet i Katalogverktyg för att koppla en dator till domänen.
Användarnamn och lösenord: Du kan eventuellt autentisera dig genom att ange namn och lösenord för ditt Active Directory-användarkonto, eller så kanske du måste få namn och lösenord från Active Directory-domänens administratör.
Dator-OU: Ange organisationsenhet (OU) för datorn du konfigurerar.
Använd för autentisering: Markera om du vill lägga till Active Directory till datorns autentiseringssökpolicy.
Använd för kontakter: Markera om du vill lägga till Active Directory till datorns kontaktsökpolicy.
Klicka på OK.
Katalogverktyg ställer in en betrodd koppling mellan datorn du konfigurerar och Active Directory-servern. Datorns sökpolicyer ställs in i enlighet med de alternativ du valde när du autentiserade och Active Directory aktiveras i panelen Tjänster i Katalogverktyg.
Med de förvalda inställningarna för avancerade alternativ i Active Directory läggs Active Directory-trädsamlingen till i datorns autentiseringssökpolicy och kontaktsökpolicy om du markerat ”Använd för autentisering” och ”Använd för kontakter”.
Om du avmarkerar ”Tillåt autentisering från alla domäner i katalogträdet” under avancerade alternativ i panelen Administrativt innan du klickar på Koppla loss, läggs den närmaste Active Directory-domänen till istället för katalogträdet.
Du kan ändra sökpolicyerna senare genom att lägga till eller ta bort Active Directory-trädsamlingen eller enskilda domäner. Se Definiera sökpolicyer.
Koppla med hjälp av en konfigurationsprofil
Katalognyttolasten i en konfigurationsprofil kan konfigurera en enskild dator, eller automatisera hundratals Mac-datorer så att de kopplar till Active Directory. I likhet med andra nyttolaster för konfigurationsprofiler kan du driftsätta katalognyttolasten manuellt med hjälp av ett skript, som en del av en MDM-registrering, eller genom att använda en klienthanteringslösning.
Nyttolaster är en del av konfigurationsprofiler och gör det möjligt för administratörer att hantera vissa delar av macOS. Kontakta MDM-leverantören för anvisningar om hur du skapar en konfigurationsprofil.
Koppla med hjälp av kommandoraden
Du kan använda kommandot dsconfigad i appen Terminal till att koppla en dator till Active Directory.
Till exempel kan följande kommando användas för att koppla en dator till Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Efter att du kopplat en dator till domänen kan du använda dsconfigad för att ställa in administrationsalternativ i Katalogverktyg:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Avancerade kommandoradsalternativ
Det inbyggda stödet för Active Directory omfattar alternativ som du inte ser i Katalogverktyg. För att visa dessa avancerade alternativ använder du antingen katalognyttolasten i en konfigurationsprofil, eller kommandoradsverktyget dsconfigad.
Du kan granska kommandoradsalternativen genom att öppna man-sidan för dsconfigad.
Lösenordsintervall för datorobjekt
När ett Mac-system är kopplat till Active Directory ställer det in ett kontolösenord för datorn som lagras i systemets nyckelring och ändras automatiskt av datorn. Det förvalda lösenordsintervallet är var 14:e dag, men du kan använda katalognyttolasten eller kommandoradsverktyget dsconfigad för att ställa in det intervall som din lösenordspolicy kräver.
Du kan avaktivera automatisk ändring av kontolösenordet genom att ställa in värdet 0: dsconfigad -passinterval 0
Obs! Datorobjektets lösenord lagras som ett lösenordsvärde i systemets nyckelring. För att hämta lösenordet öppnar du Nyckelhanterare, markerar systemets nyckelring och markerar sedan kategorin Lösenord. Sök efter posten som ser ut som /Active Directory/DOMÄN, där DOMÄN är NetBIOS-namnet för Active Directory-domänen. Dubbelklicka på denna post och markera kryssrutan ”Visa lösenord”. Du måste autentisera dig som lokal administratör.
Namnrymdsstöd
macOS stöder autentisering av flera användare med samma kortnamn (eller inloggningsnamn) som finns på olika domäner inom Active Directory-skogen. Genom att aktivera namnrymdsstöd med katalognyttolasten eller kommandoradsverktyget dsconfigad kan en användare i en domän ha samma kortnamn som en användare i en sekundär domän. Båda användarna måste logga in med namnet på sin domän följt av sitt kortnamn (DOMÄN\kortnamn), på ett liknande sätt som när man loggar in på en Windows-dator. För att aktivera detta stöd använder du följande kommando:
dsconfigad -namespace <skog>
Paketsignering och kryptering
Open Directory-klienten kan signera och kryptera LDAP-anslutningarna som används för att kommunicera med Active Directory. Eftersom macOS stöder signerade SMB-protokoll bör det inte vara nödvändigt att nedgradera platsens säkerhetspolicy för att den ska fungera med Mac-datorer. De signerade och krypterade LDAP-anslutningarna undanröjer också behovet av att använda LDAP via SSL. Om SSL-anslutningar krävs använder du följande kommando för att konfigurera Open Directory till att använda SSL:
dsconfigad -packetencrypt ssl
Observera att certifikaten som används för domänövervakarna måste vara betrodda för att SSL-krypteringen ska lyckas. Om domänövervakarens certifikat inte har utfärdats från macOS egna betrodda systemrötter ska du installera och lita på certifikatkedjan i systemnyckelringen. De certifikatutfärdare som är betrodda som förval i macOS finns i nyckelringen Systemrötter. För att installera certifikat och lita på dem ska du göra något av följande:
Importera roten och eventuella mellanliggande certifikat med hjälp av certifikatnyttolasten i en konfigurationsprofil
Använd Nyckelhanterare som ligger /Appar/Verktyg/
Använd följande säkerhetskommando:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <sökväg/till/certifikatfil>
Begränsa Dynamisk DNS
macOS försöker uppdatera sin adresspost (A) i DNS för alla gränssnitt som förval. Om flera gränssnitt är konfigurerade kan detta orsaka flera poster i DNS. För att hantera detta beteende anger du vilket gränssnitt som ska användas när DDNS-systemet (Dynamic Domain Name System) uppdateras med hjälp av katalognyttolasten eller kommandoradsverktyget dsconfigad. Ange BSD-namnet på gränssnittet som DDNS-uppdateringarna ska associeras till. BSD-namnet är samma som enhetsfältet som returneras när du kör detta kommando:
networksetup -listallhardwareports
När du använder dsconfigad i ett skript måste du inkludera lösenordet i klartext som används för att koppla till domänen. Vanligtvis överlåts ansvaret för att koppla Mac-datorer till domänen på en Active Directory-användare utan någon annan administratörsbehörighet. Detta användarnamns- och lösenordspar lagras i skriptet. Enligt allmän praxis brukar skriptet radera sig självt på ett säkert sätt efter kopplingen så att denna information inte längre finns kvar på lagringsenheten.