配置域访问
【重要事项】使用 Active Directory 连接器的高级选项,可以将 macOS 的唯一用户 ID (UID)、首选群组 ID (GID) 和群组 GID 属性映射至 Active Directory 模式中的正确属性。但是,如果您稍后更改这些设置,用户可能会无法访问以前创建的文件。
使用“目录实用工具”绑定
点按“服务”。
点按锁图标。
输入管理员的用户名和密码,然后点按“修改配置”(或使用触控 ID)。
选择“Active Directory”,然后点按“编辑”按钮(外观像铅笔)。
输入您想要绑定到您正在配置的电脑的 Active Directory 域 DNS 主机名。
Active Directory 域管理员会告诉您 DNS 主机名。
如果需要,请编辑“电脑 ID”。
“电脑 ID”就是在 Active Directory 域中识别电脑的依据,它被预置为电脑的名称。您可以进行更改以符合组织的命名方案。如果您不确定,请询问 Active Directory 域管理员。
【重要事项】如果电脑名称包含连字符,您可能无法绑定到 LDAP 或 Active Directory 等目录域。若要建立绑定,请使用不包含连字符的电脑名称。
(可选)选择“用户体验”面板中的选项。
有关更多信息,请参阅设置移动用户帐户、设置用户帐户的个人文件夹,以及设定 Active Directory 用户帐户的 UNIX shell。
(可选)选择“映射”面板中的选项。
有关更多信息,请参阅将群组 ID、首选 GID 和 UID 映射至 Active Directory 属性。
(可选)选择高级选项。以后也可以更改这些高级选项设置。
如果未看到高级选项,请点按窗口中的显示三角形。
优先使用此域服务器:默认情况下,macOS 使用站点信息和域控制器响应速度来确定所要使用的域控制器。如果在此处指定相同站点中的域控制器,则会首先使用此域控制器。如果域控制器不可用,则 macOS 会复原为默认行为。
将管理权限赋予:启用此选项后,所列 Active Directory 群组的成员(默认为域管理员和企业管理员)获得本地 Mac 的管理员权限。您可以在此处指定想要的安全性群组。
允许来自网域树系中任何域的鉴定:默认情况下,macOS 会自动搜索所有域进行鉴定。若要将鉴定限制为仅 Mac 所绑定到的域,请取消选择此复选框。
有关“目录实用工具”中高级选项的更多信息,请参阅:
点按“绑定”,然后输入以下信息:
【注】用户必须在 Active Directory 中具有权限才能将电脑绑定到域。
用户名和密码:您也许能够通过输入您的 Active Directory 用户帐户的名称和密码进行鉴定;如果不能,则需要由 Active Directory 域管理员提供名称和密码。
电脑 OU:为您正在配置的电脑输入组织单元 (OU)。
用于鉴定:如果想要将 Active Directory 添加到电脑的鉴定搜索策略,请选择此选项。
用于通讯录:如果想要将 Active Directory 添加到电脑的通讯录搜索策略,请选择此选项。
点按“好”。
“目录实用工具”会在正在配置的电脑与 Active Directory 服务器之间建立信任绑定。电脑的搜索策略根据鉴定时选定的选项进行设置,并且 Active Directory 在“目录实用工具”的“服务”面板中启用。
通过 Active Directory 高级选项的默认设置,在选择了“用于鉴定”或“用于通讯录”的情况下,Active Directory 网域树系将添加到电脑的鉴定搜索策略和通讯录搜索策略中。
但是,如果在点按“绑定”之前,在“管理高级选项”面板中取消选择“允许来自网域树系中任何域的鉴定”选项,系统将添加最近的 Active Directory 域,而不添加网域树系。
可以在以后通过添加或移除 Active Directory 网域树系或单个域来更改搜索策略。有关更多信息,请参阅定义搜索策略。
使用配置描述文件绑定
配置描述文件中的目录有效负载可以配置单台 Mac,也可以自动化配置数百台 Mac 电脑,以绑定到 Active Directory。与其他配置描述文件有效负载类似,您可以在 MDM 注册过程中使用脚本,或者使用客户端管理解决方案来手动配置目录有效负载。
有效负载是配置描述文件的一部分,允许管理员管理 macOS 的特定部分。与在“目录实用工具”中一样,您可以在“描述文件管理器”中选择相同的功能。之后选取 Mac 电脑如何获取配置描述文件。
从 Mac App Store 下载 macOS 服务器。
访问“描述文件管理器帮助”,然后配置“描述文件管理器”。
在“描述文件管理器帮助”中打开“目录”设置以创建 Active Directory 有效负载。
使用命令行绑定
您可以在“终端”应用中使用 dsconfigad
命令将 Mac 绑定到 Active Directory。
例如,可以使用以下命令将 Mac 绑定到 Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
将 Mac 绑定到域后,您可以使用 dsconfigad
在“目录实用工具”中设定管理选项:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
高级命令行选项
对 Active Directory 的原生支持包括在“目录实用工具”中看不到的选项。若要查看这些高级选项,请在配置描述文件中使用“目录”有效负载;或者使用 dsconfigad
命令行工具。
打开 dsconfigad man 页面来查看这些命令行选项。
电脑对象密码时间间隔
Mac 系统绑定到 Active Directory 后,它会设定电脑帐户密码并将其储存在系统钥匙串中,密码由 Mac 自动更改。默认密码时间间隔为每 14 天,但您可以使用目录有效负载或者 dsconfigad
命令行工具来设定策略所需的任何时间间隔。
将值设定为 0 将停用自动更改帐户密码:dsconfigad -passinterval 0
【注】电脑对象密码以密码值的形式储存在系统钥匙串中。若要获取该密码,请打开“钥匙串访问”,选择系统钥匙串,然后选择“密码”类别。查找类似“/Active Directory/DOMAIN”的条目,其中 DOMAIN 是 Active Directory 域的 NetBIOS 名称。连按此条目,然后选择“显示密码”复选框。根据需要鉴定为本地管理员。
命名空间支持
macOS 支持鉴定具有相同短名称(或者登录名)的多个用户,这些名称存在于 Active Directory 网域树系的不同域中。通过“目录”有效负载或者 dsconfigad
命令行工具启用命名空间支持,一个域中的用户可以拥有与二级域中用户相同的短名称。这两种用户都必须使用域名加短名称(DOMAIN\短名称)的方式登录,与登录 Windows PC 类似。若要启用此支持,请使用以下命令:
dsconfigad -namespace <forest>
数据包签名和加密
Open Directory 客户端可以对用来与 Active Directory 通信的 LDAP 连接进行签名和加密。借助 macOS 中签名的 SMB 支持,没有必要降低站点的安全性策略密级来适应 Mac 电脑。签名且加密的 LDAP 连接也省去了使用 LDAP over SSL 的必要。如果要求使用 SSL 连接,请使用以下命令来配置 Open Directory 以使用 SSL:
dsconfigad -packetencrypt ssl
请注意,必须信任域控制器上使用的证书,这样 SSL 加密才能成功。如果域控制器的证书不是签发自 macOS 原生受信任的系统根证书,请在系统钥匙串中安装并信任证书链。macOS 默认信任的证书颁发机构位于“系统根证书”钥匙串中。若要安装证书并建立信任,请执行以下一项操作:
使用配置描述文件中的证书有效负载来导入根证书和任何必需的中间证书
使用位于“/应用程序/实用工具/”目录下的“钥匙串访问”
使用如下安全性命令:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
限制动态 DNS
macOS 在默认情况下会尝试针对所有接口更新其在 DNS 中的地址 (A) 记录。如果配置了多个接口,这可能会在 DNS 中生成多个记录。若要管理此行为,请使用“目录”有效负载或者 dsconfigad
命令行工具来指定在更新“动态域名系统”(DDNS) 时要使用的接口。指定与 DDNS 更新相关联的接口 BSD 名称。BSD 名称与“设备”栏中的相同,通过运行此命令返回:
networksetup -listallhardwareports
在脚本中使用 dsconfigad
时,您必须包括用来绑定到域的明文密码。通常,没有其他管理员权限的 Active Directory 用户会负责把 Mac 电脑绑定到域。此用户名和密码对储存在脚本中。通常的做法是在绑定后,脚本会安全地自我删除,这样此信息便不再保留在储存设备上。