整合 Active Directory

您可以使用 Active Directory 连接器（位于“目录实用工具”的“服务”面板中）来配置 Mac，以访问 Windows 2000 或更高版本服务器上 Active Directory 域中的基本用户帐户信息。

Active Directory 连接器根据 Active Directory 的用户帐户生成 macOS 鉴定所需的所有属性。它还支持 Active Directory 鉴定策略，包括密码更改、过期、强制更改和安全选项。因为该连接器支持这些功能，所以您无需更改 Active Directory 域模式来获得基本用户帐户信息。

当 macOS 完全与 Active Directory 整合后，用户：

• 需遵守组织的域密码策略

• 使用相同的凭证通过鉴定并获得访问受保护资源的权限

• 为“Active Directory 证书服务”服务器所签发的用户和机器证书身份

• 可以自动遍历“分布式文件系统”(DFS) 命名空间并装载相应的底层“服务器信息块”(SMB) 服务器

除了支持鉴定策略，Active Directory 连接器也支持以下内容：

• 所有 Windows Active Directory 域的数据包加密和数据包签名选项：此功能为打开状态，默认为“允许”。可以使用命令 dsconfigad 将默认设置更改为“停用”或“需要”。数据包加密和数据包签名选项确保所有进出 Active Directory 域用于记录查找的数据都受到保护。

• 动态生成唯一的 ID：控制器根据 Active Directory 域中用户帐户的全局唯一标识符 (GUID) 生成唯一的用户 ID 和首选群组 ID。为每个用户帐户生成的用户 ID 和首选群组 ID 是相同的，即使是用该帐户登录不同的 Mac 电脑。请参阅将群组 ID、首选 GID 和 UID 映射至 Active Directory 属性。

• Active Directory 复制和故障转移：Active Directory 连接器会寻找多个域控制器，然后确定最近的一个。如果一个域控制器变为不可用，该连接器将使用附近的另一个域控制器。

• 发现 Active Directory 网域树系中的所有域：可以配置该连接器，允许来自该网域树系中任何域的用户在 Mac 电脑上鉴定。或者，可以只允许在客户端上鉴定特定的域。请参阅控制在 Active Directory 网域树系中所有域的鉴定。

• 装载 Windows 个人文件夹：有人使用 Active Directory 用户帐户登录 Mac 时，Active Directory 连接器可以将 Active Directory 用户帐户中指定的 Windows 网络个人文件夹装载为用户的个人文件夹。如果 Active Directory 模式扩展为包括网络个人文件夹，可以指定是使用由 Active Directory 的标准 homeDirectory 属性还是 macOS 的 homeDirectory 属性指定的网络个人文件夹。

• 使用 Mac 上的本地个人文件夹：可以配置连接器，以便在 Mac 的启动宗卷中创建本地个人文件夹。在这种情况下，该连接器还将用户的 Windows 网络个人文件夹（在 Active Directory 用户帐户中指定）装载为网络宗卷（如共享点）。使用“访达”，用户可以在 Windows 个人文件夹网络宗卷和本地 Mac 个人文件夹之间拷贝文件。

• 创建用户的移动帐户：Mac 的启动宗卷中有移动帐户的本地个人文件夹。（用户还有一个网络个人文件夹，该文件夹在用户的 Active Directory 帐户中指定。）请参阅设置移动用户帐户。

• 使用 LDAP 进行访问，使用 Kerberos 进行鉴定：Active Directory 连接器不使用 Microsoft 专用的 Active Directory Services Interface（Active Directory 服务接口，ADSI）获得目录或鉴定服务。

• 检测和访问可扩展模式：如果 Active Directory 模式已经扩展为包括 macOS 记录类型（对象类）和属性，那么 Active Directory 连接器将对其进行检测和访问。例如，可以使用 Windows 管理工具将 Active Directory 模式更改为包括 macOS 管理的客户端属性。此模式更改使 Active Directory 连接器能够支持 macOS 服务器对被管理客户端进行的设置。