Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
整合 Mac 電腦與 Active Directory
你可以設定 Mac 以從 Windows 2000(或以上版本)伺服器取用 Active Directory 網域裡的基本使用者帳號資訊。Active Directory 連接器會於「目錄管理程式」裡的「服務」面板中列出,連接器會從 Active Directory 使用者帳號的標準屬性中產生 macOS 認證需要的所有屬性。該連接器亦支援 Active Directory 認證規則,包含密碼更動、帳號有效期限、強制更動,以及安全性選項。由於連接器支援這些功能,你無須更改 Active Directory 網域的描述語言,就能取得使用者帳號的基本資訊。
【注意】Active Directory 網域的最低網域功能等級至少需為 Windows Server 2008,否則 macOS 不會加入 Active Directory 網域,除非你明確啟用「弱加密」。即使所有網域的網域功能等級皆為 2008 或更高等級,管理者可能需明確指定每個網域信任,以使用 Kerberos AES 加密。
Mac 如何使用 DNS 來查詢 Active Directory 網域
macOS 使用「網域名稱系統」(DNS)來查詢內部部署 Active Directory 網域的拓樸。其使用 Kerberos 來使用者與群組解決方案的處理認證和 Lightweight Directory Access Protocol(LDAPv3)。
當 macOS 與 Active Directory 完全整合時,使用者適用下列作業:
受組織的網域密碼規則約束
使用相同的憑證來認證並取得受保護資源的授權
可以從「Active Directory 憑證服務」伺服器收到使用者和機器憑證的識別身分
可自動穿越分散式檔案系統(DFS)命名空間並裝載正確的基本伺服器訊息區塊(SMB)伺服器。
如需更多在不綁定的情況下連接到 DFS 的相關資訊,請參閱下面的「分散式檔案系統」命名空間支援。
你也可以使用行動裝置管理(MDM)解決方案中的目錄承載資料來配置這些設定,然後將該承載資料推播到組織內的所有 Mac 電腦。如需更多資訊,請參閱:「目錄」MDM 承載資料設定。
Mac 用戶端會以完整的讀取權限來存取已經加入目錄的屬性。因此,可能需要更改這些屬性的連線權限控制列表(ACL),以許可電腦群組讀取這些加入的屬性。
網域密碼規則
綁定時(以及之後的定期間隔),macOS 會查詢 Active Directory 網域來取得密碼規則。系統會為 Mac 上所有網路帳號和行動帳號強制執行這些規則。
網路帳號可用時,在嘗試登入期間,macOS 會查詢 Active Directory 來決定需要更改密碼前的時間長度。依照預設,若需要在 14 天內更改密碼,則登入視窗便會要求使用者更改密碼。若使用者更改密碼,該更動會發生在 Active Directory 和行動帳號(若有設定)中,而登入鑰匙圈的密碼會被更新。若使用者關閉此密碼要求,登入視窗會持續詢問使用者,直到到期的前一天。使用者必須在 24 小時內更改密碼才能繼續登入。macOS 管理者可藉由輸入下列命令,從命令列來更改登入視窗的預設到期通知:defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <天數>。
【注意】macOS 不支援使用 Active Directory「密碼設定物件」(PSO)的細部密碼規則。當計算密碼到期時,僅會使用預設網域規則。
分散式檔案系統命名空間支援
如果 Mac 綁定至 Active Directory,macOS 支援穿越分散式檔案系統(DFS)命名空間。綁定至 Active Directory 的 Mac 會查詢 Active Directory 中的 DNS 伺服器與網域控制器,以針對特定命名空間自動解析適用的「伺服器訊息區塊」(SMB)伺服器。
你可以使用 Finder 中的「連接伺服器」功能來指定 DFS 命名空間的完全合格的網域名稱(FQDN),其包含要裝載網路檔案系統的 DFS 根。在 Mac 上,按一下桌面來打開 Finder,在「前往」選單中選擇「連接伺服器」,然後輸入 smb://resources.betterbag.com/DFSroot。
macOS 會使用任何可用的 Kerberos 許可證並裝載基本「伺服器訊息區塊」(SMB)伺服器和路徑。在部分 Active Directory 設定中,你可能需要為含有完整 Active Directory 網域名稱的網路介面,在 DNS 設定中填入「搜尋網域」欄位。
【提示】如果 DFS 環境設定為在轉介中使用完全合格的網域名稱,你可以取用和穿越 DFS 共享而無需綁定至 Active Directory。只要 Mac 可以解析適用的伺服器主機名稱,連線就會成功且無需 Mac 綁定至目錄。