Integrera Active Directory
Du kan använda Active Directory-kontakten (i panelen Tjänster i Katalogverktyg) till att konfigurera datorn så att den kommer åt grundläggande information om användarkonton i en Active Directory-domän på en Windows 2000-server eller senare.
Active Directory-kontakten genererar alla attribut som krävs för macOS-autentisering från Active Directory-användarkonton. Den stöder också Active Directory-autentiseringspolicyer, inklusive lösenordsändringar, tidsbegränsningar, tvingade ändringar och säkerhetsalternativ. Eftersom kontakten fungerar med dessa funktioner behöver du inte göra några schemaändringar i Active Directory-domänen för att hämta grundläggande användarkontoinformation.
Obs! macOS Sierra och senare kan inte ansluta till en Active Directory-domän som har en domänfunktionsnivå som underskrider Windows Server 2008 om du inte manuellt aktiverar ”weak crypto” (svag kryptering). Även om domänfunktionsnivån för alla domäner är 2008 eller senare kanske administratören aktivt måste ange varje domänförtroende för att kunna använda Kerberos AES-kryptering. Se Apple Support-artikeln Prepare for macOS Sierra 10.12 with Active Directory.
När macOS är helt integrerat med Active Directory:
Omfattas användarna av organisationens policyer för domänlösenord
Används samma ID-information till att autentisera och få behörighet till skyddade resurser
Utfärdas identiteter för användar- och maskincertifikat från en server för Active Directory-certifikattjänster
Kan användarna automatiskt gå igenom en DFS-namnrymd (Distributed File System) och länka in den rätta underliggande SMB-servern (Server Message Block)
Tips: Mac-klienter får fullständiga läsrättigheter för attribut som läggs till i katalogen. Det kan därför vara nödvändigt att ändra standardbehörighetslistorna för tillgång för dessa attribut så att datorgrupper kan läsa dem.
Förutom stöd för autentiseringspolicyer har Active Directory-kontakten även stöd för följande:
Alternativ för paketkryptering och paketsignering för alla Active Directory-domäner i Windows: Den här funktionen är inställd som förval på ”tillåt”. Du kan ändra den förvalda inställningen till avaktiverad eller krävd genom att använda kommandot
dsconfigad. Alternativen för paketkryptering och paketsignering säkerställer att alla data för postkontroll till och från Active Directory-domänen skyddas.Generera unika ID:n dynamiskt: Övervakaren genererar dynamiskt ett unikt UID och ett primärt GID baserat på användarkontots GUID i Active Directory-domänen. Det genererade UID och primära GID är samma för varje användarkonto, även om kontot används vid inloggning på olika Mac-datorer. Se Koppla grupp-ID, primärt GID och UID till ett Active Directory-attribut.
Active Directory-replikering och failover: Active Directory-kontakten upptäcker om det finns flera domänövervakare och bestämmer vilken som är närmast. Om en domänövervakare inte är tillgänglig använder kontakten en närliggande domänövervakare.
Identifiering av alla domäner i en Active Directory-trädsamling: Du kan konfigurera insticksfilen så att användare från alla domäner i trädsamlingen autentiseras på en Mac-dator. Om du vill kan du istället ange att endast vissa domäner ska kunna autentiseras på klienten. Se Kontrollera autentisering från alla domäner i Active Directory-trädsamlingen.
Länka in Windows-hemmappar: När någon loggar in på en Mac med ett Active Directory-användarkonto kan Active Directory-kontakten göra Windows-nätverkshemmappen som är angiven i Active Directory-användarkontot till användarens hemmapp. Du kan ange om den nätverkshemmapp som är angiven av Active Directorys standardattribut för hemkataloger ska användas, eller den som är angiven av hemkatalogsattributet i macOS ska användas (om Active Directory-schemat har utökats till att inkludera det).
Använda en lokal hemmapp i datorn: Du kan konfigurera kontakten så att den skapar en lokal hemmapp på startvolymen i datorn. Om du gör det kommer kontakten att visa användarens nätverkshemmapp (som angetts i Active Directory-användarkontot) som en nätverksvolym, som en delningspunkt. I Finder kan användaren sedan kopiera filer mellan Windows-hemmappen i nätverket och den lokala Mac-hemmappen.
Skapa flyttbara konton för användare: Ett flyttbart konto har en lokal hemmapp på startenheten i datorn. (Användaren har också en nätverkshemmapp som är angiven i användarens Active Directory-konto.) Se Ställa in flyttbara användarkonton.
LDAP för åtkomst och Kerberos för autentisering: Active Directory-kontakten använder inte Microsofts ADSI (Active Directory Services Interface) för katalog- eller autentiseringstjänster.
Upptäcker och använder utökade scheman: Om Active Directory-schemat har utökats till att innehålla macOS-posttyper (objektklasser) och -attribut upptäcker och använder Active Directory-kontakten dem. Active Directory-schemat kan t.ex. ändras med hjälp av Windows-administratörsverktygen till att inkludera macOS-attribut för hanterade klienter. En sådan schemaändring innebär att Active Directory-kontakten får stöd för inställningar för hanterade klienter som gjorts i macOS Server.