กำหนดค่าการเข้าถึงโดเมน
ข้อสำคัญ: ด้วยตัวเลือกขั้นสูงของตัวเชื่อมต่อ Active Directory คุณสามารถเทียบผังคุณลักษณะ ID ผู้ใช้เฉพาะ macOS (UID), ID กลุ่มหลัก (GID) และ GID กลุ่ม กับคุณลักษณะที่ถูกต้องในแบบแผน Active Directory ได้อย่างไรก็ตาม ถ้าคุณเปลี่ยนแปลงการตั้งค่าเหล่านี้ในภายหลัง ผู้ใช้อาจสูญเสียการเข้าถึงไฟล์ที่สร้างก่อนหน้านั้นได้
การรวมโดยใช้ยูทิลิตี้ไดเรกทอรี
คลิก บริการ
คลิกไอคอนล็อค
ป้อนชื่อผู้ดูแลระบบและรหัสผ่านของคุณ จากนั้นคลิกปรับการกำหนดค่า (หรือใช้ Touch ID)
เลือก Active Directory จากนั้นคลิกปุ่ม แก้ไข (รูปร่างคล้ายดินสอ)
ป้อนชื่อโฮสต์ DNS ของโดเมน Active Directory ที่คุณต้องการรวมไปยังคอมพิวเตอร์ที่คุณกำลังกำหนดค่า
ผู้ดูแลของโดเมน Active Directory สามารถบอกชื่อโฮสต์ DNS กับคุณได้
ถ้าจำเป็น ให้แก้ไข ID คอมพิวเตอร์
ID คอมพิวเตอร์ ซึ่งเป็นชื่อคอมพิวเตอร์ที่รู้จักในโดเมน Active Directory จะถูกตั้งค่าไว้ล่วงหน้าให้เป็นชื่อของคอมพิวเตอร์คุณสามารถเปลี่ยนชื่อคอมพิวเตอร์เพื่อให้สอดคล้องกับแบบแผนการตั้งชื่อขององค์กรคุณได้ถ้าคุณไม่แน่ใจ ให้ถามผู้ดูแลโดเมน Active Directory
ข้อสำคัญ: ถ้าชื่อคอมพิวเตอร์ของคุณมียัติภังค์ คุณอาจไม่สามารถรวมกับโดเมนไดเรกทอรีอย่าง LDAP หรือ Active Directory ได้ในการสร้างการรวม ให้ใช้ชื่อคอมพิวเตอร์ที่ไม่มียัติภังค์
(ไม่บังคับ) เลือกตัวเลือกในบานหน้าต่างประสบการณ์ใช้งานของผู้ใช้
สำหรับข้อมูลเพิ่มเติมให้ดู การตั้งค่าบัญชีผู้ใช้เคลื่อนที่, การตั้งค่าโฟลเดอร์เริ่มต้นสำหรับบัญชีผู้ใช้ และการตั้งเชลล์ UNIX สำหรับบัญชีผู้ใช้ Active Directory
(ไม่บังคับ) เลือกตัวเลือกในบานหน้าต่างการเทียบผัง
สำหรับข้อมูลเพิ่มเติม ให้ดูที่ การเทียบผัง ID กลุ่ม, GID หลัก และ UID ไปยังคุณลักษณะ Active Directory
(ไม่บังคับ) เลือกตัวเลือกขั้นสูงคุณยังสามารถเปลี่ยนแปลงการตั้งค่าตัวเลือกขั้นสูงได้ในภายหลัง
ถ้าตัวเลือกขั้นสูงถูกซ่อนอยู่ ให้คลิกสามเหลี่ยมแสดงผลในหน้าต่าง
แนะนำเซิร์ฟเวอร์โดเมนนี้: ตามค่าเริ่มต้น macOS จะใช้ข้อมูลไซต์และการตอบสนองของแถบควบคุมโดเมนเพื่อกำหนดแถบควบคุมโดเมนที่จะใช้ถ้ามีการระบุแถบควบคุมโดเมนในไซต์เดียวกันที่นี่ จะมีการปรึกษาก่อนถ้าไม่มีแถบควบคุมโดเมนให้ใช้งาน macOS จะแปลงกลับเป็นลักษณะการทำงานตามค่าเริ่มต้น
อนุญาตการจัดการโดย: เมื่อเปิดใช้งานตัวเลือกนี้ สมาชิกกลุ่ม Active Directory ในรายการ (ตามค่าเริ่มต้น คือผู้ดูแลโดเมนและผู้ดูแลส่วนองค์กร) จะได้รับสิทธิ์ของผู้ดูแลในเครื่อง Macและคุณสามารถระบุกลุ่มความปลอดภัยที่ต้องการได้ด้วย
อนุญาตการรับรองความถูกต้องจากโดเมนใดๆ ในฟอเรสต์: ตามค่าเริ่มต้น macOS จะค้นหาโดเมนทั้งหมดเพื่อรับรองความถูกต้องโดยอัตโนมัติถ้าต้องการจำกัดการรับรองความถูกต้องเฉพาะกับโดเมนที่รวมกับ Mac เท่านั้น ให้เลิกเลือกกล่องกาเครื่องหมายนี้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกขั้นสูงในยูทิลิตี้ไดเรกทอรี ให้ดู:
คลิก รวม แล้วป้อนข้อมูลต่อไปนี้:
หมายเหตุ: ผู้ใช้ต้องมีสิทธิ์ใน Active Directory เพื่อรวมคอมพิวเตอร์กับโดเมน
ชื่อผู้ใช้และรหัสผ่าน: คุณอาจสามารถรับรองความถูกต้องได้โดยการป้อนชื่อและรหัสผ่านของบัญชีผู้ใช้ Active Directory ของคุณ หรือผู้ดูแลโดเมน Active Directory อาจต้องจัดหาชื่อและรหัสผ่านมาให้คุณ
OU คอมพิวเตอร์: ป้อนหน่วยองค์กร (OU) สำหรับคอมพิวเตอร์ที่คุณกำลังกำหนดค่า
การใช้สำหรับการรับรองความถูกต้อง: เลือกว่าคุณต้องการให้เพิ่ม Active Directory ไปยังนโยบายการค้นถ้าารรับรองความถูกต้องของคอมพิวเตอร์หรือไม่
การใช้สำหรับรายชื่อ: เลือกว่าคุณต้องการให้เพิ่ม Active Directory ไปยังนโยบายการค้นหารายชื่อของคอมพิวเตอร์หรือไม่
คลิก ตกลง
ยูทิลิตี้ไดเรกทอรีจะตั้งค่าการรวมที่เชื่อถือได้ระหว่างคอมพิวเตอร์ที่คุณกำลังกำหนดค่าและเซิร์ฟเวอร์ Active Directoryนโยบายการค้นหาของคอมพิวเตอร์จะถูกตั้งค่าตามตัวเลือกที่คุณเลือกเมื่อคุณรับรองความถูกต้อง และ Active Directory จะถูกเปิดใช้ในบานหน้าต่างบริการของยูทิลิตี้ไดเรกทอรี
ด้วยค่าติดตั้งเริ่มต้นสำหรับตัวเลือกขั้นสูง Active Directory ฟอเรสต์ Active Directory จะถูกเพิ่มไปยังนโยบายการค้นถ้าารรับรองความถูกต้องและนโยบายการค้นหารายชื่อของคอมพิวเตอร์ถ้าคุณเลือก “ใช้สำหรับการรับรองความถูกต้อง” หรือ “ใช้สำหรับรายชื่อ”
อย่างไรก็ตาม ถ้าคุณไม่เลือก “อนุญาตการรับรองความถูกต้องจากโดเมนใดๆ ในฟอเรสต์” ในบานหน้าต่างตัวเลือกขั้นสูงของผู้ดูแลก่อนคลิก รวม โดเมน Active Directory ที่ใกล้ที่สุดจะถูกเพิ่มแทนโดเมนในฟอเรสต์
คุณสามารถเปลี่ยนแปลงนโยบายการค้นหาได้ภายหลังโดยการคลิกหรือการลบฟอเรสต์ Active Directory หรือโดเมนเฉพาะสำหรับข้อมูลเพิ่มเติม ให้ดูการกำหนดหลักเกณฑ์การค้นหา
การรวมโดยใช้โปรไฟล์การกำหนดค่า
เพย์โหลดไดเรกทอรีในโปรไฟล์การกำหนดค่าสามารถกำหนดค่า Mac เครื่องเดียว หรือทำให้คอมพิวเตอร์ Mac หลายร้อยเครื่องทำงานอัตโนมัติ เพื่อรวม Active Directory ได้เช่นเดียวกับเพย์โหลดโปรไฟล์การกำหนดค่าอื่นๆ คุณสามารถปรับใช้เพย์โหลดไดเรกทอรีได้ด้วยตัวเอง โดยใช้สคริปต์ เป็นส่วนหนึ่งของการลงทะเบียน MDM หรือโดยใช้โซลูชั่นการจัดการไคลเอนต์
เพย์โหลดเป็นส่วนหนึ่งของโปรไฟล์การกำหนดค่าและอนุญาตให้ผู้ดูแลระบบสามารถจัดการส่วนเฉพาะของ macOS ได้ให้คุณเลือกคุณสมบัติเดียวกันในผู้จัดการโปรไฟล์ที่คุณจะเลือกในยูทิลิตี้ไดเรกทอรีจากนั้นเลือกวิธีที่คอมพิวเตอร์ Mac จะได้รับโปรไฟล์การกำหนดค่า
ดาวน์โหลด macOS Server ได้จาก Mac App Store
ไปที่วิธีใช้ผู้จัดการโปรไฟล์ แล้วกำหนดค่าผู้จัดการโปรไฟล์
เปิดการตั้งค่าสารบบในวิธีใช้ผู้จัดการโปรไฟล์เพื่อสร้างเพย์โหลด Active Directory
การรวมโดยใช้บรรทัดคำสั่ง
คุณสามารถใช้คำสั่ง dsconfigad
ในแอพเทอร์มินัลเพื่อรวม Mac เข้ากับ Active Directory ได้
ตัวอย่างเช่น คำสั่งต่อไปนี้สามารถใช้ในการรวม Mac เข้ากับ Active Directory ได้:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
หลังจากที่คุณรวม Mac เข้ากับโดเมนแล้ว คุณสามารถใช้ dsconfigad
เพื่อตั้งค่าตัวเลือกผู้ดูแลในยูทิลิตี้ไดเรกทอรีได้:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
ตัวเลือกบรรทัดคำสั่งแบบขั้นสูง
การรองรับดั้งเดิมสำหรับ Active Directory จะมีตัวเลือกที่คุณมองไม่เห็นในยูทิลิตี้ไดเรกทอรีถ้าต้องการดูตัวเลือกขั้นสูงเหล่านี้ ให้ใช้เพย์โหลดไดเรกทอรีในโปรไฟล์การกำหนดค่า หรือเครื่องมือบรรทัดคำสั่ง dsconfigad
เริ่มตรวจสอบตัวเลือกบรรทัดคำสั่งโดยเปิดหน้าคู่มือสำหรับ dsconfigad
ช่วงเวลาสำหรับรหัสผ่านอ็อบเจกต์คอมพิวเตอร์
เมื่อรวมระบบ Mac เข้ากับ Active Directory ระบบจะตั้งรหัสผ่านบัญชีคอมพิวเตอร์ที่จัดเก็บไว้ในพวงกุญแจระบบและถูกเปลี่ยนโดยอัตโนมัติโดย Macช่วงเวลาใช้งานรหัสผ่านเริ่มต้นคือทุก 14 วัน แต่คุณสามารถใช้เพย์โหลดไดเรกทอรีหรือเครื่องมือบรรทัดคำสั่ง dsconfigad
เพื่อตั้งค่าช่วงเวลาใดๆ ที่นโยบายของคุณต้องใช้
การตั้งค่าเป็น 0 จะปิดใช้งานการเปลี่ยนรหัสผ่านบัญชีโดยอัตโนมัติ:dsconfigad -passinterval 0
หมายเหตุ: รหัสผ่านอ็อบเจกต์คอมพิวเตอร์จะถูกจัดเก็บเป็นค่ารหัสผ่านในพวงกุญแจระบบถ้าต้องการดึงข้อมูลรหัสผ่าน ให้เปิดการเข้าถึงพวงกุญแจ แล้วเลือกพวงกุญแจระบบ จากนั้นเลือกหมวดหมู่รหัสผ่านค้นหารายการที่มีลักษณะเช่น /Active Directory/DOMAIN โดย DOMAIN คือชื่อ NetBIOS ของโดเมน Active Directoryคลิกสองครั้งที่รายการนี้ แล้วเลือกกล่องกาเครื่องหมาย “แสดงรหัสผ่าน”รับรองความถูกต้องในฐานะผู้ดูแลเฉพาะเครื่องตามที่จำเป็น
การรองรับเนมสเปซ
macOS รองรับการรับรองความถูกต้องของผู้ใช้หลายคนที่มีชื่อ (หรือชื่อเข้าสู่ระบบ) ที่สั้นเหมือนกันซึ่งมีอยู่แล้วในโดเมนอื่นภายในฟอเรสต์ Active Directoryด้วยการเปิดใช้งานการรองรับเนมสเปซที่มีเพย์โหลดไดเรกทอรีหรือเครื่องมือบรรทัดคำสั่ง dsconfigad
ผู้ใช้ในหนึ่งโดเมนจะสามารถมีชื่อที่สั้นได้เหมือนกับผู้ใช้ในโดเมนรองผู้ใช้ทั้งสองคนจำเป็นต้องเข้าสู่ระบบโดยใช้ชื่อของโดเมนผู้ใช้ซึ่งตามด้วยชื่อที่สั้น (DOMAIN\short name) ซึ่งคล้ายกับการเข้าสู่ระบบไปยังพีซี Windowsถ้าต้องการเปิดใช้งานการรองรับนี้ ให้ใช้คำสั่งต่อไปนี้:
dsconfigad -namespace <forest>
การลงชื่อและการเข้ารหัสแพ็คเกต
ไคลเอ็นต์ Open Directory สามารถลงชื่อและเข้ารหัสการเชื่อมต่อ LDAP ที่ใช้สื่อสารกับ Active Directory ได้ด้วยการรองรับ SMB ที่ลงชื่อใน macOS คุณจึงไม่จำเป็นต้องดาวน์เกรดนโยบายความปลอดภัยของไซต์เพื่อปรับให้เหมาะกับคอมพิวเตอร์ Macการเชื่อมต่อ LDAP ที่ลงชื่อและเข้ารหัสแล้วยังช่วยให้ไม่ต้องใช้ LDAP ผ่าน SSL อีกด้วยถ้าต้องมีการเชื่อมต่อ SSL ให้ใช้คำสั่งต่อไปนี้ในการกำหนดค่า Open Directory เพื่อใช้ SSL:
dsconfigad -packetencrypt ssl
โปรดจำไว้ว่าใบรับรองที่ใช้ในแถบควบคุมโดเมนต้องเชื่อถือได้เพื่อให้เข้ารหัส SSL ได้สำเร็จถ้าใบรับรองของแถบควบคุมโดเมนไม่ได้กำหนดจากรากของระบบดั้งเดิมที่เชื่อถือได้ใน macOS ให้ติดตั้งและเชื่อถือลูกโซ่ใบรับรองในพวงกุญแจระบบผู้อนุมัติใบรับรองที่เชื่อถือได้ตามค่าเริ่มต้นใน macOS จะอยู่ในพวงกุญแจของรากของระบบถ้าต้องการติดตั้งใบรับรองและสร้างความเชื่อถือ ให้ปฏิบัติตามวิธีใดวิธีหนึ่งต่อไปนี้:
นำเข้ารากและใบรับรองที่จำเป็นในระดับกลางโดยใช้เพย์โหลดใบรับรองในโปรไฟล์การตั้งค่า
ใช้การเข้าถึงพวงกุญแจที่อยู่ใน /แอพพลิเคชั่น/ยูทิลิตี้/
ใช้คำสั่งความปลอดภัยดังต่อไปนี้:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
การจำกัด DNS แบบไดนามิค
macOS จะพยายามอัพเดทบันทึก Address (A) ใน DNS สำหรับอินเทอร์เฟซทั้งหมดตามค่าเริ่มต้นถ้ามีการกำหนดค่าหลายอินเทอร์เฟซ การดำเนินการนี้อาจส่งผลให้มีหลายบันทึกใน DNSถ้าต้องการจัดการลักษณะการทำงานนี้ ให้ระบุอินเทอร์เฟซที่จะใช้ในระหว่างที่อัพเดท Dynamic Domain Name System (DDNS) โดยใช้เพย์โหลดไดเรกทอรีหรือเครื่องมือบรรทัดคำสั่ง dsconfigad
ระบุชื่อ BSD ของอินเทอร์เฟซที่จะเชื่อมโยงรายการอัพเดท DDNSชื่อ BSD เป็นชื่อเดียวกับช่องอุปกรณ์ ซึ่งส่งกลับโดยสั่งทำงานคำสั่งนี้:
networksetup -listallhardwareports
ในขณะที่กำลังใช้ dsconfigad
ในสคริปต์ คุณต้องใส่รหัสผ่านข้อความธรรมดาที่ใช้ในการรวมกับโดเมนตามปกติ ผู้ใช้ Active Directory ที่ไม่มีสิทธิ์ผู้ดูแลสิทธิ์อื่นๆ จะได้รับมอบสิทธิ์ความรับผิดชอบต่อการรวมคอมพิวเตอร์ Mac เข้ากับโดเมนการจับคู่ชื่อผู้ใช้และรหัสผ่านนี้จะจัดเก็บอยู่ในสคริปต์เป็นเรื่องปกติที่สคริปต์จะลบตัวเองออกอย่างปลอดภัยหลังจากรวมกันแล้วเพื่อให้ข้อมูลนี้ไม่อยู่ในอุปกรณ์จัดเก็บอีกต่อไป