在 Mac 上的「目錄工具程式」中設定網域連線
重要事項:透過 Active Directory 連接器的進階選項,你可對應至 macOS 用户獨有 ID(UID)、主要群組 ID(GID),並將群組 GID 屬性對應至 Active Directory 描述語言中的正確屬性。 然而,如你稍後更改這些設定,用户可能無法取用先前所製作的檔案。
使用目錄工具程式綁定
在 Mac 上的「目錄工具程式」App
中,按一下「服務」。按一下鎖頭圖像。
輸入管理員的用户名稱和密碼,然後按一下「修改設定」(或使用 Touch ID)。
選擇 Active Directory,然後按一下「編輯所選服務的設定」按鈕
。請將 Active Directory 網域的 DNS 主機名稱輸入到你正在設定綁定的電腦上。
Active Directory 網域管理員會告訴你 DNS 主機名稱。
如有必要,編輯「電腦識別碼」。
「電腦識別碼」是在 Active Directory 網域中用來識別電腦的名稱,它會預設為電腦的名稱。 你可以加以更改以符合你機構的命名方案。 如果你不確定,請詢問 Active Directory 網域管理員。
重要事項:如你的電腦名稱包含連字號,你可能無法綁定到目錄網域(如 LDAP 或 Active Directory)。 如要建立綁定,請將你的電腦名稱更改為不含連字號。
如進階選項被隱藏,請按一下「顯示選項」旁的顯示三角形。 你也可以稍後再更改進階選項設定。
(選擇性)選擇「用户體驗」選項。
請參閲:設定流動用户帳户、設定用户帳户的個人專屬資料夾,以及設定 Active Directory 用户帳户的 UNIX Shell。
(選擇性)選擇「對應」選項。
(選擇性)選擇「管理」選項。
優先使用此網域伺服器: 依照預設,macOS 使用網站資料和網域控制器回應來判斷要使用的網域控制器。 如果在此處指定相同網站的網域控制器,其會先被查詢。 如果無法取得網域控制器,macOS 會回復成預設行為。
賦予管理員權限: 啟用此選項時,所列 Active Directory 群組(預設為網域和企業管理員)的成員會被授予本機 Mac 的管理權限。 你也可以在此處指定想要的保安群組。
允許從樹系裏的任何網域認證: 依照預設,macOS 會自動搜尋所有網域進行認證。 如要將認證限制為只 Mac 所綁定的網域,請取消剔選此註記框。
按一下「綁定」,然後輸入下列資料:
附註:用户必須在 Active Directory 中具有權限才能將電腦綁定到網域。
用户名稱和密碼: 請輸入 Active Directory 用户帳户的名稱和密碼,或是 Active Directory 網域管理員需要提供你名稱與密碼,以便進行認證。
電腦 OU: 請輸入你正在設定的電腦所屬的機構單位(OU)。
用於認證: 如果你要讓 Active Directory 加入到電腦的認證搜尋規則中,請選擇此選項。
用於通訊錄: 如果你要讓 Active Directory 加入到電腦的通訊錄搜尋規則中,請選擇此選項。
按一下「好」。
「目錄工具程式」會在你設定的電腦和 Active Directory 伺服器之間建立信任綁定。 電腦的搜尋規則是依照認證時所選的選項來進行設定,且 Active Directory 已在「目錄工具程式」的「服務」面板中啟用。
依照 Active Directory 進階選項的預設設定,如果你已選擇「用於認證」或「用於通訊錄」,Active Directory 樹系會增加到電腦的認證搜尋規則和通訊錄搜尋規則。
然而,如在按一下「綁定」之前先取消選取「管理」進階選項中的「允許從樹系裏的任何網域認證」,則會加入最鄰近的 Active Directory 網域而非樹系。
你可以稍後再透過增加或移除 Active Directory 樹系或個人網域來更改搜尋規則。 請參閲:定義搜尋規則。
使用設定描述檔綁定
設定描述檔中的目錄承載資料可設定單一 Mac 或自動化數百部 Mac 電腦來綁定到 Active Directory。 如同使用其他設定描述檔的承載資料,你可以透過以下方式手動部署目錄承載資料,例如,使用工序指令、作為 MDM 登記的一部分或使用用户端管理的解決方案。
承載資料是設定描述檔的一部分,並允許管理員管理 macOS 的特定部分。 請聯絡你的 MDM 廠商以取得製作設定描述檔的指示。
使用命令列綁定
你可以在「終端機」App 中使用 dsconfigad 指令來將 Mac 綁定到 Active Directory。
例如,下列指令可用來將 Mac 綁定到 Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>在你將 Mac 綁定到網域後,便可使用 dsconfigad 在「目錄工具程式」中設定管理選項:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>進階命令列選項
Active Directory 的原生支援包含你在「目錄工具程式」中沒有看到的選項。 如要查看這些進階選項,請在設定描述檔中使用「目錄」承載資料,或使用 dsconfigad 命令列工具。
開啟 dsconfigad man 頁面來檢閲命令列選項。
電腦物件密碼間隔
當 Mac 系統被綁定到 Active Directory 時,它會設定電腦帳户密碼,其會儲存在系統鑰匙圈中並由 Mac 自動更改。 預設的密碼間隔是每隔 14 天,但你可以使用目錄承載資料或 dsconfigad 命令列工具來設定你規則所要求的任何間隔。
將數值設為 0 會停用自動更改帳號密碼: dsconfigad -passinterval 0
附註:電腦物件密碼會儲存為系統鑰匙圈中的一個密碼值。 如要取得密碼,請打開「鑰匙圈存取」,選擇系統鑰匙圈,然後選擇「密碼」類別。 尋找看起來像 /Active Directory/DOMAIN 的項目,其中 DOMAIN 是 Active Directory 網域的 NetBIOS 名稱。 按兩下此項目,然後剔選「顯示密碼」註記框。 視需要以本機管理員進行認證。
命名空間支援
macOS 支援使用相同的簡稱(或登入名稱)來認證多位用户,其存在於 Active Directory 樹系內的不同網域中。 以「目錄」承載資料或 dsconfigad 命令列工具來啟用命名空間支援後,一個網域中的用户可在次要網域中作為用户時,具有相同的簡稱。 兩位用户皆必須使用其網域名稱加上其簡稱(網域\簡稱)來登入,就像登入 Windows PC 一樣。 如要啟用此功能支援,請使用下列指令:
dsconfigad -namespace <forest>
封包簽署和加密
Open Directory 用户端可簽署和加密用來與 Active Directory 進行通訊的 LDAP 連線。 有了 macOS 中的簽署 SMB 支援,應不再需要將網站的保安規則降級來納入 Mac 電腦。 經過簽署和加密的 LDAP 連線也不再需要透過 SSL 來使用 LDAP。 如需要 SSL 連線,請使用下列指令來設定 Open Directory 使用 SSL:
dsconfigad -packetencrypt ssl
請注意,網域控制器上所使用的憑證必須受信任,SSL 加密才會成功。 如果網域控制器憑證不是由 macOS 原生受信任的系統根所發出,請在「系統」鑰匙圈中安裝並信任該憑證鏈。 macOS 中預設信任的憑證機構位於「系統根」鑰匙圈中。 如要安裝憑證和建立信任,請執行下列其中一項操作:
使用設定描述檔中的憑證承載資料來輸入根與任何必要的中繼憑證
使用位於「/應用程式/工具程式」中的「鑰匙圈存取」
依下列方式使用保安指令:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
限制動態 DNS
macOS 依預設會嘗試為所有介面更新其在 DNS 中的「地址」(A)記錄。 如有設定多個介面,此操作可能會在 DNS 中造成多筆記錄。 如要管理此行為,請使用「目錄」承載資料或 dsconfigad 命令列工具,來指定更新動態網域名稱系統(DDNS)時要使用的介面。 指定介面的 BSD 名稱以關聯 DDNS 更新項目。 BSD 名稱與「裝置」欄位相同,藉由執行此指令傳回:
networksetup -listallhardwareports
在工序指令中使用 dsconfigad 時,你必須包含用來綁定到網域的純文字密碼。 一般而言,沒有其他管理員權限的 Active Directory 用户會被委派將 Mac 電腦綁定到網域的責任。 此用户名稱和密碼組會儲存在工序指令中。 工序指令在綁定後為自己執行保安刪除是常見的操作,這樣此資料便不會再存放於儲存裝置上。