ผสมผสาน Active Directory โดยใช้ยูทิลิตี้ไดเรกทอรีบน Mac
คุณสามารถใช้ตัวเชื่อมต่อ Active Directory (ในตัวเลือกบริการของยูทิลิตี้ไดเรกทอรี) เพื่อกำหนดค่า Mac ของคุณให้เข้าถึงข้อมูลบัญชีผู้ใช้เบื้องต้นในโดเมน Active Directory ของเซิร์ฟเวอร์ Windows 2000 ขึ้นไปได้
ตัวเชื่อมต่อ Active Directory จะสร้างคุณลักษณะทั้งหมดที่ต้องใช้ในการตรวจสอบสิทธิ์ macOS จากบัญชีผู้ใช้ Active Directory ตัวเชื่อมต่อยังรองรับนโยบายการตรวจสอบสิทธิ์ของ Active Directory ซึ่งรวมถึงการเปลี่ยนแปลงรหัสผ่าน การหมดอายุ การเปลี่ยนแปลงแบบบังคับ และตัวเลือกความปลอดภัยได้อีกด้วย เนื่องจากตัวเชื่อมต่อรองรับคุณสมบัติเหล่านี้ คุณจึงไม่จำเป็นต้องเปลี่ยนเค้าร่างของโดเมน Active Directory เพื่อรับข้อมูลบัญชีผู้ใช้เบื้องต้น
หมายเหตุ: คอมพิวเตอร์ที่ใช้ macOS 10.12 ขึ้นไปไม่สามารถเข้าร่วมโดเมน Active Directory ได้โดยไม่มีระดับโดเมนที่ทำงานได้เป็น Windows Server 2008 เป็นอย่างต่ำ นอกเสียจากว่าคุณจะเปิดใช้งาน “การเข้ารหัสแบบไม่รัดกุม” อย่างชัดแจ้ง แม้ว่าระดับโดเมนที่ใช้งานได้ของโดเมนทั้งหมดเป็น 2008 ขึ้นไป ผู้ดูแลระบบอาจต้องระบุแต่ละโดเมนอย่างชัดแจ้งให้เชื่อถือการใช้การเข้ารหัส Kerberos AES
เมื่อ macOS รวมกับ Active Directory อย่างสมบูรณ์แล้ว ผู้ใช้จะ:
อยู่ภายใต้นโยบายรหัสผ่านโดเมนขององค์กร
ใช้ข้อมูลประจำตัวเดียวกันในการตรวจสอบสิทธิ์และได้รับอนุญาตให้ใช้แหล่งข้อมูลที่มีความปลอดภัย
ได้รับข้อมูลประจำตัวของใบรับรองผู้ใช้และเครื่องจักรจากเซิร์ฟเวอร์บริการออกใบรับรองของ Active Directory
สามารถข้ามเนมสเปซ Distributed File System (DFS) ได้โดยอัตโนมัติและต่อเชื่อมเซิร์ฟเวอร์ Server Message Block (SMB) ที่เหมาะสมแบบพื้นฐานได้
เคล็ดลับ: ไคลเอ็นต์ Mac สมมุติการเข้าถึงการอ่านโดยสมบูรณ์ไปที่คุณลักษณะที่เพิ่มไปที่ไดเรกทอรี ดังนั้น อาจจำเป็นที่จะเปลี่ยนแปลง ACL ของคุณลักษณะเหล่านั้นเพื่ออนุญาตกลุ่มคอมพิวเตอร์ให้อ่านคุณลักษณะที่เพิ่มเหล่านี้
เพิ่มเติมส่วนการสนับสนุนนโยบายการตรวจสอบสิทธิ์ ตัวเชื่อมต่อ Active Directory ยังสนับสนุนรายการดังต่อไปนี้
การเข้ารหัสแพ็คเกตและตัวเลือกการเซ็นชื่อแพ็คเกตของโดเมน Windows Active Directory ทั้งหมด ฟังก์ชั่นนี้เปิดตามค่าเริ่มต้นเป็น “อนุญาต” คุณสามารถปิดใช้งานการตั้งค่าเริ่มต้นหรือบังคับใช้คำสั่ง
dsconfigadการเข้ารหัสแพ็คเกตและตัวเลือกการลงชื่อแพ็คเกตทำให้มั่นใจว่าข้อมูลทั้งหมดที่ส่งไปถึงและมาจากโดเมน Active Directory สำหรับการค้นหาบันทึกจะถูกป้องกันการสร้าง ID แบบไดนามิคซึ่งไม่ซ้ำกัน: ตัวควบคุมสร้างผู้ใช้ ID เฉพาะและรวมกลุ่ม ID โดยวัดจาก ID เฉพาะของบัญชีผู้ใช้สากลในโดเมน Active Directory ID ผู้ใช้และ ID กลุ่มหลักที่สร้างขึ้นจะเป็น ID เดียวกันสำหรับบัญชีผู้ใช้แต่ละบัญชี แม้ว่าบัญชีนั้นจะถูกใช้เพื่อเข้าสู่ระบบไปที่คอมพิวเตอร์ Mac อื่น ให้ดูที่เทียบผัง ID กลุ่ม, GID หลัก และ UID ไปยังคุณลักษณะ Active Directory
การจำลองแบบ Active Directory และการย้ายเมื่อเกิดข้อผิดพลาด: ตัวเชื่อมต่อ Active Directory ค้นพบตัวควบคุมโดเมนหลายตัวและกำหนดให้เป็นตัวที่ใกล้ที่สุด ถ้าตัวควบคุมโดเมนไม่ว่าง ตัวเชื่อมต่อจะใช้ตัวควบคุมโดเมนที่ใกล้เคียง
การค้นหาโดเมนทั้งหมดใน Active Directory Forest: คุณสามารถกำหนดค่าตัวเชื่อมต่อเพื่ออนุญาตให้ผู้ใช้จากโดเมนใดๆ ใน Forest เพื่อตรวจสอบสิทธิ์บนคอมพิวเตอร์ Mac ได้ หรือ คุณสามารถอนุญาตโดเมนเฉพาะที่จะรองรับความถูกต้องบนไคลเอ็นต์ ให้ดูที่ควบคุมการตรวจสอบสิทธิ์จากโดเมนทั้งหมดใน Active Directory Forest
การต่อเชื่อมโฟลเดอร์เริ่มต้นของ Windows: เมื่อบางคนเข้าสู่ระบบไปที่ Mac โดยการใช้บัญชีผู้ใช้ Active Directory ตัวเชื่อมต่อ Active Directory จะสามารถต่อเชื่อมโฟลเดอร์เริ่มต้นของเครือข่าย Windows ที่ระบุในบัญชีผู้ใช้ Active Directory เป็นโฟลเดอร์เริ่มต้นของผู้ใช้ คุณสามารถเลือกกำหนดใช้เครือข่ายบ้านที่กำหนดโดยคุณลักษณะมาตรฐานของ Active Directory หรือโดยคุณลักษณะ Directory ที่อยู่เริ่มต้นของ macOS (ถ้าแบบแผน Active Directory รวมอยู่ด้วย)
การใช้โฟลเดอร์เริ่มต้นภายใน Mac: คุณสามารถตั้งค่าตัวเชื่อมต่อเพื่อสร้างโฟลเดอร์เริ่มต้นบนดิสก์โวลุ่มเริ่มต้นของ Mac ในกรณีนี้ ตัวเชื่อมต่อจะยังต่อเชื่อมโฟลเดอร์เริ่มต้นของเครือข่าย Windows ของผู้ใช้ (ที่ระบุในบัญชีผู้ใช้ Active Directory) เป็นโวลุ่มเครือข่าย เหมือนจุดแบ่งปันอีกด้วย โดยการใช้ Finder ผู้ใช้จะสามารถคัดลอกไฟล์ระหว่างโวลุ่มเครือข่ายโฟลเดอร์เริ่มต้นของ Windows และโฟลเดอร์เริ่มต้นของเครื่อง Mac ได้
การสร้างบัญชีผู้ใช้เคลื่อนที่: บัญชีเคลื่อนที่มีโฟลเดอร์เริ่มต้นบนดิสก์โวลุ่มเริ่มต้นของ Mac (ผู้ใช้ยังมีโฟลเดอร์เริ่มต้นเครือข่ายตามที่ระบุในบัญชี Active Directory ของผู้ใช้อีกด้วย) ให้ดูที่ตั้งค่าบัญชีผู้ใช้เคลื่อนที่
LADP สำหรับการเข้าถึงและ Kerboros สำหรับการตรวจสอบสิทธิ์: ตัวเชื่อมต่อ Active Directory ไม่ได้ใช้ส่วนติดต่อบริการ Active Directory ที่แสดงกรรมสิทธิ์ของไมโครซอฟต์ (ADSI) เพื่อเข้าถึงไดเรกทอรีหรือตรวจสอบสิทธิ์ให้กับบริการต่างๆ
การตรวจหาและเข้าถึงส่วนขยายผัง: ถ้าแบบแผน Active Directory ถูกขยายรวมไปถึงประเภทบันทึก (คลาสอ็อบเจกต์) และคุณลักษณะของ macOS ตัวเชื่อมต่อ Active Directory จะตรวจหาและเข้าถึงรายการนั้น ตัวอย่างเช่น แบบแผน Active Directory สามารถเปลี่ยนแปลงโดยการใช้เครื่องมือผู้ดูแลระบบ Windows เพื่อรวมคุณลักษณะไคลเอ็นต์ที่จัดการ macOS การเปลี่ยนแบบแผนนี้ช่วยให้ตัวเชื่อมต่อ Active Directory สามารถใช้โซลูชั่นการจัดการอุปกรณ์เคลื่อนที่ (MDM) ที่รองรับได้