在 Mac 上使用「目錄工具程式」整合 Active Directory
你可以使用 Active Directory 連接器(位於「目錄工具程式」的「服務」選項)來設定 Mac,讓其在 Windows 2000 或更新版本的 Active Directory 網域中取用使用者帳號的基本資訊。
Active Directory 連接器會從 Active Directory 使用者帳號產生 macOS 認證所需的所有屬性。其亦支援 Active Directory 認證規則,包含密碼更動、帳號有效期限、強制更動,以及安全性選項。由於連接器支援這些功能,你無須更改 Active Directory 網域的描述語言,就能取得使用者帳號的基本資訊。
【注意】Active Directory 網域的最低網域功能等級至少需為 Windows Server 2008,否則安裝 macOS 10.12 或以上版本的電腦不會加入 Active Directory 網域,除非你明確啟用「弱加密」。即使所有網域的網域功能等級皆為 2008 或更高等級,管理者可能需明確指定每個網域信任,以使用 Kerberos AES 加密。
當 macOS 與 Active Directory 完全整合時,使用者適用下列作業:
受組織的網域密碼規則約束
使用相同的憑證來認證並取得受保護資源的授權
會從「Active Directory 憑證服務」伺服器收到使用者和機器憑證的識別身分
可自動穿越分散式檔案系統(DFS)命名空間並裝載正確的基本伺服器訊息區(SMB)伺服器
【提示】Mac 用戶端會以完整的讀取權限來存取已經加入目錄的屬性。因此,若要允許電腦群組讀取這些新增的屬性,你可能需要更改這些屬性的 ACL。
除了支援認證規則外,Active Directory 連接器也支援以下項目:
所有 Windows Active Directory 網域的封包加密和封包簽名選項:依照預設,會啟用此功能,並設為「允許」。你可以使用
dsconfigad
指令,來將預設設定更改為停用或要求。封包加密與封包簽名選項可確保在 Active Directory 網域往來之所有資料的安全性,因為記錄查詢值是受到保護的。動態產生獨有 ID:控制器會根據 Active Directory 網域中使用者帳號的全域唯一識別碼(GUID),產生出一個使用者獨有 ID 和一個主要群組 ID。對每個使用者帳號來說,即使在不同的 Mac 電腦上登入,產生出來的使用者 ID 與主要群組 ID 仍會相同。 請參閱:將群組 ID、主要 GID 和 UID 對應至 Active Directory 屬性。
Active Directory 的複寫與錯誤修復:Active Directory 連接器會尋找數個網域控制站並決定使用最接近的控制站。如果無法使用網域控制器,連接器會使用另一個鄰近的網域控制器。
搜尋 Active Directory 樹系裡的所有網域:你可以設定連接器允許同一樹系中所有網域的使用者在 Mac 電腦上進行認證。或者,你可以只允許持定網域在客戶端上進行認證。請參閱:從 Active Directory 樹系的所有網域控制認證。
裝載 Windows 個人專屬檔案夾:當有人使用 Active Directory 使用者帳號登入 Mac 時,Active Directory 連接器會裝載 Windows 網路的個人專屬檔案夾,此檔案夾在 Active Directory 使用者帳號中被指定為使用者的個人專屬檔案夾。你可以指定是否使用由 Active Directory 其標準個人專屬目錄屬性指定的網路個人專屬檔案夾,或由 macOS 其個人專屬目錄屬性指定的網路個人專屬檔案夾(如果 Active Directory 描述語言延伸到包含這些功能)。
在 Mac 上使用本機個人專屬檔案夾:你可以設定連接器來在 Mac 的啟動卷宗上建立本機個人專屬檔案夾。在這樣的情況下,連接器也會將使用者的 Windows 網路個人專屬檔案夾(Active Directory 使用者帳號裡指定的目錄)作為網路卷宗進行裝載,就像共享點一樣。使用 Finder,使用者可以在 Windows 個人專屬檔案夾的網路卷宗與本機 Mac 個人專屬檔案夾之間進行檔案拷貝的工作。
為使用者建立行動帳號:行動帳號在 Mac 的啟動卷宗上有一個本機個人專屬檔案夾。(使用者在其 Active Directory 帳號裡也會有一個指定好的網路個人專屬檔案夾。)請參閱:設定行動使用者帳號。
LDAP 連線和 Kerboros 認證:Active Directory 連接器並未使用 Microsoft 專用的「Active Directory 服務介面」(ADSI)來取得目錄服務或是認證服務。
偵測並連接延伸的描述語言:如果 Active Directory 的描述語言已延伸為包含 macOS 的記錄類型(物件類別)和屬性,Active Directory 連接器便會偵測並取用這些設定。例如,你可以使用 Windows 管理工具更改 Active Directory 的描述語言來包含 macOS 所管理的用戶端屬性設定。描述語言的此種更動將會啟用 Active Directory 連接器來使用支援的行動裝置管理(MDM)解決方案。