使用 Mac 上的「目錄工具程式」整合 Active Directory

你可以使用 Active Directory 連接器（位於「目錄工具程式」的「服務」面板）來設定 Mac，讓其在 Windows 2000 或以上版本的 Active Directory 網域中取用用户帳户的基本資料。

Active Directory 連接器會從 Active Directory 用户帳户產生 macOS 認證所需的所有屬性。其亦支援 Active Directory 認證規則，包含密碼變更、帳號有效期限、強制變更，以及保安選項。由於連接器支援這些功能，你無須更改 Active Directory 網域的描述語言，就能取得用户帳户的基本資料。

當 macOS 與 Active Directory 完全整合時，用户適用下列作業：

• 受機構的網域密碼規則約束

• 使用相同的憑證來認證並取得受保護資源的授權

• 會從「Active Directory 憑證服務」伺服器收到用户和機器憑證的識別身分

• 可自動穿越分散式檔案系統（DFS）命名空間並裝載正確的基本伺服器訊息區（SMB）伺服器

除了支援認證規則外，Active Directory 連接器也支援以下項目：

• 所有 Windows Active Directory 網域的封包加密和封包簽名選項：依照預設，會啟用此功能，並設為「允許」。你可以使用 dsconfigad 指令，來將預設設定更改為停用或要求。封包加密與封包簽名選項可確保在 Active Directory 網域往來之所有資料的保安，因為記錄查詢值是受到保護的。

• 動態產生獨有 ID：控制器會根據 Active Directory 網域中用户帳户的全域唯一識別碼（GUID），產生出一個用户獨有 ID 和一個主要群組 ID。對每個用户帳户來說，即使在不同的 Mac 電腦上登入，產生出來的用户 ID 與主要群組 ID 仍會相同。請參閱：將群組 ID、主要 GID 和 UID 對應至 Active Directory 屬性。

• Active Directory 的複寫與錯誤修復：Active Directory 連接器會尋找數個網域控制站並決定使用最接近的控制站。如果無法使用網域控制器，連接器會使用另一個鄰近的網域控制器。

• 搜尋 Active Directory 樹系裏的所有網域：你可以設定連接器允許同一樹系中所有網域的用户在 Mac 電腦上進行認證。或者，你可以只允許持定網域在客户端上進行認證。請參閱：從Active Directory 樹系的所有網域控制認證。

• 裝載 Windows 個人專屬資料夾：當有人使用 Active Directory 用户帳户登入 Mac 時，Active Directory 連接器會裝載 Windows 網絡的個人專屬資料夾，此資料夾在 Active Directory 用户帳户中被指定為用户的個人專屬資料夾。你可以指定是否使用由 Active Directory 其標準個人專屬目錄屬性指定的網絡個人專屬資料夾，或由 macOS 其個人專屬目錄屬性指定的網絡個人專屬資料夾（如果 Active Directory 描述語言延伸到包含這些功能）。

• 在 Mac 上使用本機個人專屬檔案：你可以設定連接器來在 Mac 的啟動卷宗上建立本機個人專屬資料夾。在這樣的情況下，連接器也會將用户的 Windows 網絡個人專屬資料夾（Active Directory 用户帳户裏指定的目錄）作為網絡卷宗進行裝載，就像共享點一樣。使用 Finder，用户可以在 Windows 個人專屬資料夾的網絡卷宗與本機 Mac 個人專屬資料夾之間進行檔案複製的工作。

• 為用户建立流動帳户：流動帳户在 Mac 的啟動卷宗上有一個本機個人專屬資料夾。（用户在其 Active Directory 帳户裏也會有一個指定好的網絡個人專屬資料夾。）請參閱：設定流動用户帳户。

• LDAP 連線和 Kerboros 認證：Active Directory 連接器並未使用 Microsoft 專用的「Active Directory 服務介面」（ADSI）來取得目錄服務或是認證服務。

• 偵測並連接延伸的描述語言：如果 Active Directory 的描述語言已延伸為包含 macOS 的記錄類型（物件類別）和屬性，Active Directory 連接器便會偵測並取用這些設定。例如，你可以使用 Windows 管理工具更改 Active Directory 的描述語言來包含 macOS 所管理的用户端屬性設定。描述語言的此種變更將會啟用 Active Directory 連接器來使用支援的流動裝置管理（MDM）解決方案。