在 Mac 上的「目錄工具程式」中設定網域連線
【重要事項】透過 Active Directory 連接器的進階選項,您可對應至 macOS 使用者獨有 ID(UID)、主要群組 ID(GID),並將群組 GID 屬性對應至 Active Directory 描述語言中的正確屬性。然而,若您稍後更改這些設定,使用者可能無法取用先前所製作的檔案。
使用目錄工具程式綁定
在 Mac 上的「目錄工具程式」App 中,按一下「服務」。
按一下鎖頭圖像。
輸入管理者的使用者名稱和密碼,然後按一下「修改設定」(或使用 Touch ID)。
選取 Active Directory,然後按一下「編輯所選服務的設定」按鈕 。
請將 Active Directory 網域的 DNS 主機名稱輸入到您正在設定綁定的電腦上。
Active Directory 網域管理者會告訴您 DNS 主機名稱。
如有必要,編輯「電腦識別碼」。
「電腦識別碼」是在 Active Directory 網域中用來識別電腦的名稱,它會預設為電腦的名稱。您可以加以更改以符合您組織的命名方案。如果您不確定,請詢問 Active Directory 網域管理者。
【重要事項】若您的電腦名稱包含連字號,您可能無法綁定到目錄網域(如 LDAP 或 Active Directory)。若要建立綁定,請使用不含連字號的電腦名稱。
若進階選項被隱藏,請按一下「顯示選項」旁邊的顯示三角形。您也可以稍後再更改進階選項設定。
(選擇性)在「使用者經驗」面板中選取選項。
請參閱:設定行動使用者帳號、設定使用者帳號的個人專屬檔案夾,以及設定 Active Directory 使用者帳號的 UNIX Shell。
(選擇性)在「對應」面板中選取選項。
(選擇性)在「管理」面板中選取選項。
優先使用此網域伺服器:依照預設,macOS 使用網站資訊和網域控制器回應來判斷要使用的網域控制器。如果在此處指定相同網站的網域控制器,其會先被查詢。如果無法取得網域控制器,macOS 會回復成預設行為。
賦予管理者權限:啟用此選項時,所列 Active Directory 群組(預設為網域和企業管理者)的成員會被授予本機 Mac 的管理權限。您也可以在此處指定想要的安全性群組。
允許從樹系裡的任何網域認證:依照預設,macOS 會自動搜尋所有網域進行認證。若要將認證限制為僅 Mac 所綁定的網域,請取消選取此註記框。
按一下「綁定」,然後輸入下列資訊:
【注意】使用者必須在 Active Directory 中具有權限才能將電腦綁定到網域。
使用者名稱和密碼:請輸入 Active Directory 使用者帳號的名稱和密碼,或是 Active Directory 網域管理者需要提供您名稱與密碼,以便進行認證。
電腦 OU:請輸入您正在設定的電腦所屬的組織單位(OU)。
用於認證:如果您要讓 Active Directory 加入到電腦的認證搜尋規則中,請選取此選項。
用於聯絡人:如果您要讓 Active Directory 加入到電腦的聯絡人搜尋規則中,請選取此選項。
按一下「好」。
「目錄工具程式」會在您設定的電腦和 Active Directory 伺服器之間建立信任綁定。電腦的搜尋規則是依照認證時所選的選項來進行設定,且 Active Directory 已在「目錄工具程式」的「服務」面板中啟用。
依照 Active Directory 進階選項的預設設定,如果您已選取「用於認證」或「用於聯絡人」,Active Directory 樹系會增加到電腦的認證搜尋規則和聯絡人搜尋規則。
然而,若在按一下「綁定」之前,先取消選取「管理進階選項」面板中的「允許從樹系裡的任何網域認證」,則會加入最鄰近的 Active Directory 網域而非樹系。
您可以稍後再透過增加或移除 Active Directory 樹系或個人網域來更改搜尋規則。請參閱:定義搜尋規則。
使用設定描述檔綁定
設定描述檔中的目錄承載資料可設定單一 Mac 或自動化數百部 Mac 電腦來綁定到 Active Directory。如同使用其他設定描述檔的承載資料,您可以透過以下方式手動部署目錄承載資料,例如,使用工序指令、作為 MDM 登記的一部分或使用用戶端管理的解決方案。
承載資料是設定描述檔的一部分,並允許管理者管理 macOS 的特定部分。您依「目錄工具程式」中的操作在「描述檔管理程式」中選取相同的功能。然後,選擇 Mac 電腦將如何取得設定描述檔。
在 Mac 上的「伺服器」App 中執行以下操作:
若要設定「描述檔管理程式」,請參閱「macOS 伺服器使用手冊」的啟動「描述檔管理程式」。
若要製作 Active Directory 承載資料,請參閱「IT 管理者的行動裝置管理設定」中的 Apple 裝置的「目錄」MDM 承載資料設定。
若您沒有「伺服器」App,可從 Mac App Store 下載。
使用指令行綁定
您可以在「終端機」App 中使用 dsconfigad
指令來將 Mac 綁定到 Active Directory。
例如,下列指令可用來將 Mac 綁定到 Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
在您將 Mac 綁定到網域後,便可使用 dsconfigad
在「目錄工具程式」中設定管理選項:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
進階指令行選項
Active Directory 的原生支援包含您在「目錄工具程式」中沒有看到的選項。若要查看這些進階選項,請在設定描述檔中使用「目錄」承載資料,或使用 dsconfigad
指令行工具。
打開 dsconfigad man 頁面來檢閱指令行選項。
電腦物件密碼間隔
當 Mac 系統被綁定到 Active Directory 時,它會設定電腦帳號密碼,其會儲存在系統鑰匙圈中並由 Mac 自動更改。預設的密碼間隔是每隔 14 天,但您可以使用目錄承載資料或 dsconfigad
指令行工具來設定您規則所要求的任何間隔。
將數值設為 0 會停用自動更改帳號密碼:dsconfigad -passinterval 0
【注意】電腦物件密碼會儲存為系統鑰匙圈中的一個密碼值。若要取得密碼,請打開「鑰匙圈存取」,選取系統鑰匙圈,然後選取「密碼」類別。尋找看起來像 /Active Directory/DOMAIN 的項目,其中 DOMAIN 是 Active Directory 網域的 NetBIOS 名稱。按兩下此項目,然後選取「顯示密碼」註記框。視需要以本機管理者進行認證。
命名空間支援
macOS 支援使用相同的簡稱(或登入名稱)來認證多位使用者,其存在於 Active Directory 樹系內的不同網域中。以「目錄」承載資料或 dsconfigad
指令行工具來啟用命名空間支援後,一個網域中的使用者可在次要網域中作為使用者時,具有相同的簡稱。兩位使用者皆必須使用其網域名稱加上其簡稱(網域\簡稱)來登入,就像登入 Windows PC 一樣。若要啟用此功能支援,請使用下列指令:
dsconfigad -namespace <forest>
封包簽署和加密
Open Directory 用戶端可簽署和加密用來與 Active Directory 進行通訊的 LDAP 連線。有了 macOS 中的簽署 SMB 支援,應不再需要將網站的安全性規則降級來納入 Mac 電腦。經過簽署和加密的 LDAP 連線也不再需要透過 SSL 來使用 LDAP。若需要 SSL 連線,請使用下列指令來設定 Open Directory 使用 SSL:
dsconfigad -packetencrypt ssl
請注意,網域控制器上所使用的憑證必須受信任,SSL 加密才會成功。如果網域控制器憑證不是由 macOS 原生受信任的系統根所發出,請在「系統」鑰匙圈中安裝並信任該憑證鏈。macOS 中預設信任的憑證機構位於「系統根」鑰匙圈中。若要安裝憑證和建立信任,請執行下列其中一項操作:
使用設定描述檔中的憑證承載資料來輸入根與任何必要的中繼憑證
使用位於「/應用程式/工具程式」中的「鑰匙圈存取」
依下列方式使用安全性指令:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
限制動態 DNS
macOS 依預設會嘗試為所有介面更新其在 DNS 中的「位址」(A)記錄。若有設定多個介面,此操作可能會在 DNS 中造成多筆記錄。若要管理此行為,請使用「目錄」承載資料或 dsconfigad
指令行工具,來指定更新動態網域名稱系統(DDNS)時要使用的介面。指定介面的 BSD 名稱以關聯 DDNS 更新項目。BSD 名稱與「裝置」欄位相同,藉由執行此指令傳回:
networksetup -listallhardwareports
在工序指令中使用 dsconfigad
時,您必須包含用來綁定到網域的純文字密碼。一般而言,沒有其他管理者權限的 Active Directory 使用者會被委派將 Mac 電腦綁定到網域的責任。此使用者名稱和密碼組會儲存在工序指令中。工序指令在綁定後為自己執行安全性刪除是常見的操作,這樣此資訊便不會再存放於儲存裝置上。