設定網域連線
【重要事項】透過 Active Directory 連接器的進階選項,您可對應至 macOS 使用者獨有 ID(UID)、主要群組 ID(GID),並將群組 GID 屬性對應至 Active Directory 描述語言中的正確屬性。然而,若您稍後更改這些設定,使用者可能無法取用先前所製作的檔案。
使用目錄工具程式綁定
按一下「服務」。
按一下鎖頭圖像。
輸入管理者的使用者名稱和密碼,然後按一下「修改設定」(或使用 Touch ID)。
選擇 Active Directory,然後按一下「編輯」按鈕(看起來像隻鉛筆)。
請將 Active Directory 網域的 DNS 主機名稱輸入到您正在設定綁定的電腦上。
Active Directory 網域管理者會告訴您 DNS 主機名稱。
如有必要,編輯「電腦識別碼」。
「電腦識別碼」是在 Active Directory 網域中用來識別電腦的名稱,它會預設為電腦的名稱。您可以加以更改以符合您組織的命名方案。如果您不確定,請詢問 Active Directory 網域管理者。
【重要事項】若您的電腦名稱包含連字號,您可能無法綁定到目錄網域(如 LDAP 或 Active Directory)。若要建立綁定,請使用不含連字號的電腦名稱。
(選擇性)在「使用者經驗」面板中選擇選項。
如需更多資訊,請參閱:設定行動使用者帳號、設定使用者帳號的個人專屬檔案夾和設定 Active Directory 使用者帳號的 UNIX Shell。
(選擇性)在「對應」面板中選擇選項。
如需更多資訊,請參閱:將群組 ID、主要 UID 和 UID 對應至 Active Directory 屬性。
(選擇性)選擇進階選項。您也可以稍後再更改進階選項設定。
若進階選項被隱藏,請按一下視窗中的顯示三角形。
優先使用此網域伺服器:依照預設,macOS 使用網站資訊和網域控制器回應來判斷要使用的網域控制器。如果在此處指定相同網站的網域控制器,其會先被查詢。如果無法取得網域控制器,macOS 會回復成預設行為。
賦予管理者權限:啟用此選項時,所列 Active Directory 群組(預設為網域和企業管理者)的成員會被授予本機 Mac 的管理權限。您也可以在此處指定想要的安全性群組。
允許從樹系裡的任何網域認證:依照預設,macOS 會自動搜尋所有網域進行認證。若要將認證限制為僅 Mac 所綁定的網域,請取消勾選此註記框。
如需更多「目錄工具程式」中進階選項的相關資訊,請參閱:
按一下「綁定」,然後輸入下列資訊:
【注意】使用者必須在 Active Directory 中具有權限才能將電腦綁定到網域。
使用者名稱和密碼:請輸入 Active Directory 使用者帳號的名稱和密碼,或是 Active Directory 網域管理者需要提供您名稱與密碼,以便進行認證。
電腦 OU:請輸入您正在設定的電腦所屬的組織單位(OU)。
用於認證:如果您要讓 Active Directory 加入到電腦的認證搜尋規則中,請選擇此選項。
用於聯絡資訊:如果您要讓 Active Directory 加入到電腦的聯絡資訊搜尋規則中,請選擇此選項。
按一下「好」。
「目錄工具程式」會在您設定的電腦和 Active Directory 伺服器之間建立信任綁定。電腦的搜尋規則是依照認證時所選的選項來進行設定,且 Active Directory 已在「目錄工具程式」的「服務」面板中啟用。
依照 Active Directory 進階選項的預設設定,如果您已選擇「用於認證」或「用於聯絡資訊」,Active Directory 樹系會增加到電腦的認證搜尋規則和聯絡資訊搜尋規則。
然而,若在按一下「綁定」之前,先取消選取「管理進階選項」面板中的「允許從樹系裡的任何網域認證」,則會加入最鄰近的 Active Directory 網域而非樹系。
您可以稍後再透過增加或移除 Active Directory 樹系或個人網域來更改搜尋規則。如需更多資訊,請參閱:定義搜尋規則。
使用設定描述檔綁定
設定描述檔中的目錄承載資料可設定單一 Mac 或自動化數百部 Mac 電腦來綁定到 Active Directory。如同使用其他設定描述檔的承載資料,您可以透過以下方式手動部署目錄承載資料,例如,使用工序指令、作為 MDM 登記的一部分或使用用戶端管理的解決方案。
承載資料是設定描述檔的一部分,並允許管理者管理 macOS 的特定部分。您依「目錄工具程式」中的操作在「描述檔管理程式」中選擇相同的功能。然後,選擇 Mac 電腦將如何取得設定描述檔。
從 Mac App Store 下載 macOS Server。
前往「描述檔管理程式輔助說明」,然後設定「描述檔管理程式」。
在「描述檔管理程式輔助說明」中打開「目錄」設定,以製作 Active Directory 承載資料。
使用指令行綁定
您可以在「終端機」App 中使用 dsconfigad
指令來將 Mac 綁定到 Active Directory。
例如,下列指令可用來將 Mac 綁定到 Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
在您將 Mac 綁定到網域後,便可使用 dsconfigad
在「目錄工具程式」中設定管理選項:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
進階指令行選項
Active Directory 的原生支援包含您在「目錄工具程式」中沒有看到的選項。若要查看這些進階選項,請在設定描述檔中使用「目錄」承載資料,或使用 dsconfigad
指令行工具。
打開 dsconfigad man 頁面來檢閱指令行選項。
電腦物件密碼間隔
當 Mac 系統被綁定到 Active Directory 時,它會設定電腦帳號密碼,其會儲存在系統鑰匙圈中並由 Mac 自動更改。預設的密碼間隔是每隔 14 天,但您可以使用目錄承載資料或 dsconfigad
指令行工具來設定您規則所要求的任何間隔。
將數值設為 0 會停用自動更改帳號密碼:dsconfigad -passinterval 0
【注意】電腦物件密碼會儲存為系統鑰匙圈中的一個密碼值。若要取得密碼,請打開「鑰匙圈存取」,選擇系統鑰匙圈,然後選擇「密碼」類別。尋找看起來像 /Active Directory/DOMAIN 的項目,其中 DOMAIN 是 Active Directory 網域的 NetBIOS 名稱。按兩下此項目,然後勾選「顯示密碼」註記框。視需要以本機管理者進行認證。
命名空間支援
macOS 支援使用相同的簡稱(或登入名稱)來認證多位使用者,其存在於 Active Directory 樹系內的不同網域中。以「目錄」承載資料或 dsconfigad
指令行工具來啟用命名空間支援後,一個網域中的使用者可在次要網域中作為使用者時,具有相同的簡稱。兩位使用者皆必須使用其網域名稱加上其簡稱(網域\簡稱)來登入,就像登入 Windows PC 一樣。若要啟用此功能支援,請使用下列指令:
dsconfigad -namespace <forest>
封包簽署和加密
Open Directory 用戶端可簽署和加密用來與 Active Directory 進行通訊的 LDAP 連線。有了 macOS 中的簽署 SMB 支援,應不再需要將網站的安全性規則降級來納入 Mac 電腦。經過簽署和加密的 LDAP 連線也不再需要透過 SSL 來使用 LDAP。若需要 SSL 連線,請使用下列指令來設定 Open Directory 使用 SSL:
dsconfigad -packetencrypt ssl
請注意,網域控制器上所使用的憑證必須受信任,SSL 加密才會成功。如果網域控制器憑證不是由 macOS 原生受信任的系統根所發出,請在「系統」鑰匙圈中安裝並信任該憑證鏈。macOS 中預設信任的憑證機構位於「系統根」鑰匙圈中。若要安裝憑證和建立信任,請執行下列其中一項操作:
使用設定描述檔中的憑證承載資料來輸入根與任何必要的中繼憑證
使用位於「/應用程式/工具程式」中的「鑰匙圈存取」
依下列方式使用安全性指令:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
限制動態 DNS
macOS 依預設會嘗試為所有介面更新其在 DNS 中的「位址」(A)記錄。若有設定多個介面,此操作可能會在 DNS 中造成多筆記錄。若要管理此行為,請使用「目錄」承載資料或 dsconfigad
指令行工具,來指定更新動態網域名稱系統(DDNS)時要使用的介面。指定介面的 BSD 名稱以關聯 DDNS 更新項目。BSD 名稱與「裝置」欄位相同,藉由執行此指令傳回:
networksetup -listallhardwareports
在工序指令中使用 dsconfigad
時,您必須包含用來綁定到網域的純文字密碼。一般而言,沒有其他管理者權限的 Active Directory 使用者會被委派將 Mac 電腦綁定到網域的責任。此使用者名稱和密碼組會儲存在工序指令中。工序指令在綁定後為自己執行安全性刪除是常見的操作,這樣此資訊便不會再存放於儲存裝置上。