在 Mac 上的「目錄工具程式」中設定網域連線
重要事項:透過 Active Directory 連接器的進階選項,你可對應至 macOS 用户獨有 ID(UID)、主要群組 ID(GID),並將群組 GID 屬性對應至 Active Directory 描述語言中的正確屬性。然而,如你稍後更改這些設定,用户可能無法取用先前所製作的檔案。
使用目錄工具程式綁定
在 Mac 上的「目錄工具程式」App 中,按一下「服務」。
按一下鎖頭圖像。
輸入管理員的用户名稱和密碼,然後按一下「修改設定」(或使用 Touch ID)。
選擇 Active Directory,然後按一下「編輯所選服務的設定」按鈕 。
請將 Active Directory 網域的 DNS 主機名稱輸入到你正在設定綁定的電腦上。
Active Directory 網域管理員會告訴你 DNS 主機名稱。
如有必要,編輯「電腦識別碼」。
「電腦識別碼」是在 Active Directory 網域中用來識別電腦的名稱,它會預設為電腦的名稱。你可以加以更改以符合你機構的命名方案。如果你不確定,請詢問 Active Directory 網域管理員。
重要事項:如你的電腦名稱包含連字號,你可能無法綁定到目錄網域(如 LDAP 或 Active Directory)。如要建立綁定,請將你的電腦名稱更改為不含連字號。
如進階選項被隱藏,請按一下「顯示選項」旁的顯示三角形。你也可以稍後再更改進階選項設定。
(選擇性)選擇「用户體驗」選項。
請參閲:設定流動用户帳户、設定用户帳户的個人專屬資料夾,以及設定 Active Directory 用户帳户的 UNIX Shell。
(選擇性)選擇「對應」選項。
(選擇性)選擇「管理」選項。
優先使用此網域伺服器:依照預設,macOS 使用網站資料和網域控制器回應來判斷要使用的網域控制器。如果在此處指定相同網站的網域控制器,其會先被查詢。如果無法取得網域控制器,macOS 會回復成預設行為。
賦予管理員權限:啟用此選項時,所列 Active Directory 群組(預設為網域和企業管理員)的成員會被授予本機 Mac 的管理權限。你也可以在此處指定想要的保安群組。
允許從樹系裏的任何網域認證:依照預設,macOS 會自動搜尋所有網域進行認證。如要將認證限制為只 Mac 所綁定的網域,請取消剔選此註記框。
按一下「綁定」,然後輸入下列資料:
附註:用户必須在 Active Directory 中具有權限才能將電腦綁定到網域。
用户名稱和密碼:請輸入 Active Directory 用户帳户的名稱和密碼,或是 Active Directory 網域管理員需要提供你名稱與密碼,以便進行認證。
電腦 OU:請輸入你正在設定的電腦所屬的機構單位(OU)。
用於認證:如果你要讓 Active Directory 加入到電腦的認證搜尋規則中,請選擇此選項。
用於通訊錄:如果你要讓 Active Directory 加入到電腦的通訊錄搜尋規則中,請選擇此選項。
按一下「好」。
「目錄工具程式」會在你設定的電腦和 Active Directory 伺服器之間建立信任綁定。電腦的搜尋規則是依照認證時所選的選項來進行設定,且 Active Directory 已在「目錄工具程式」的「服務」面板中啟用。
依照 Active Directory 進階選項的預設設定,如果你已選擇「用於認證」或「用於通訊錄」,Active Directory 樹系會增加到電腦的認證搜尋規則和通訊錄搜尋規則。
然而,如在按一下「綁定」之前先取消選取「管理」進階選項中的「允許從樹系裏的任何網域認證」,則會加入最鄰近的 Active Directory 網域而非樹系。
你可以稍後再透過增加或移除 Active Directory 樹系或個人網域來更改搜尋規則。請參閲:定義搜尋規則。
使用設定描述檔綁定
設定描述檔中的目錄承載資料可設定單一 Mac 或自動化數百部 Mac 電腦來綁定到 Active Directory。如同使用其他設定描述檔的承載資料,你可以透過以下方式手動部署目錄承載資料,例如,使用工序指令、作為 MDM 登記的一部分或使用用户端管理的解決方案。
承載資料是設定描述檔的一部分,並允許管理員管理 macOS 的特定部分。請聯絡你的 MDM 廠商以取得製作設定描述檔的指示。
使用命令列綁定
你可以在「終端機」App 中使用 dsconfigad
指令來將 Mac 綁定到 Active Directory。
例如,下列指令可用來將 Mac 綁定到 Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
在你將 Mac 綁定到網域後,便可使用 dsconfigad
在「目錄工具程式」中設定管理選項:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
進階命令列選項
Active Directory 的原生支援包含你在「目錄工具程式」中沒有看到的選項。如要查看這些進階選項,請在設定描述檔中使用「目錄」承載資料,或使用 dsconfigad
命令列工具。
開啟 dsconfigad man 頁面來檢閲命令列選項。
電腦物件密碼間隔
當 Mac 系統被綁定到 Active Directory 時,它會設定電腦帳户密碼,其會儲存在系統鑰匙圈中並由 Mac 自動更改。預設的密碼間隔是每隔 14 天,但你可以使用目錄承載資料或 dsconfigad
命令列工具來設定你規則所要求的任何間隔。
將數值設為 0 會停用自動更改帳號密碼:dsconfigad -passinterval 0
附註:電腦物件密碼會儲存為系統鑰匙圈中的一個密碼值。如要取得密碼,請打開「鑰匙圈存取」,選擇系統鑰匙圈,然後選擇「密碼」類別。尋找看起來像 /Active Directory/DOMAIN 的項目,其中 DOMAIN 是 Active Directory 網域的 NetBIOS 名稱。按兩下此項目,然後剔選「顯示密碼」註記框。視需要以本機管理員進行認證。
命名空間支援
macOS 支援使用相同的簡稱(或登入名稱)來認證多位用户,其存在於 Active Directory 樹系內的不同網域中。以「目錄」承載資料或 dsconfigad
命令列工具來啟用命名空間支援後,一個網域中的用户可在次要網域中作為用户時,具有相同的簡稱。兩位用户皆必須使用其網域名稱加上其簡稱(網域\簡稱)來登入,就像登入 Windows PC 一樣。如要啟用此功能支援,請使用下列指令:
dsconfigad -namespace <forest>
封包簽署和加密
Open Directory 用户端可簽署和加密用來與 Active Directory 進行通訊的 LDAP 連線。有了 macOS 中的簽署 SMB 支援,應不再需要將網站的保安規則降級來納入 Mac 電腦。經過簽署和加密的 LDAP 連線也不再需要透過 SSL 來使用 LDAP。如需要 SSL 連線,請使用下列指令來設定 Open Directory 使用 SSL:
dsconfigad -packetencrypt ssl
請注意,網域控制器上所使用的憑證必須受信任,SSL 加密才會成功。如果網域控制器憑證不是由 macOS 原生受信任的系統根所發出,請在「系統」鑰匙圈中安裝並信任該憑證鏈。macOS 中預設信任的憑證機構位於「系統根」鑰匙圈中。如要安裝憑證和建立信任,請執行下列其中一項操作:
使用設定描述檔中的憑證承載資料來輸入根與任何必要的中繼憑證
使用位於「/應用程式/工具程式」中的「鑰匙圈存取」
依下列方式使用保安指令:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
限制動態 DNS
macOS 依預設會嘗試為所有介面更新其在 DNS 中的「地址」(A)記錄。如有設定多個介面,此操作可能會在 DNS 中造成多筆記錄。如要管理此行為,請使用「目錄」承載資料或 dsconfigad
命令列工具,來指定更新動態網域名稱系統(DDNS)時要使用的介面。指定介面的 BSD 名稱以關聯 DDNS 更新項目。BSD 名稱與「裝置」欄位相同,藉由執行此指令傳回:
networksetup -listallhardwareports
在工序指令中使用 dsconfigad
時,你必須包含用來綁定到網域的純文字密碼。一般而言,沒有其他管理員權限的 Active Directory 用户會被委派將 Mac 電腦綁定到網域的責任。此用户名稱和密碼組會儲存在工序指令中。工序指令在綁定後為自己執行保安刪除是常見的操作,這樣此資料便不會再存放於儲存裝置上。