在 Mac 上的「目錄工具程式」中設定網域連線
【重要事項】透過 Active Directory 連接器的進階選項,你可對應至 macOS 使用者獨有 ID(UID)、主要群組 ID(GID),並將群組 GID 屬性對應至 Active Directory 描述語言中的正確屬性。然而,若你稍後更改這些設定,使用者可能無法取用先前所製作的檔案。
使用目錄工具程式綁定
在 Mac 上的「目錄工具程式」App 中,按一下「服務」。
按一下鎖頭圖像。
輸入管理者的使用者名稱和密碼,然後按一下「修改設定」(或使用 Touch ID)。
選取 Active Directory,然後按一下「編輯所選服務的設定」按鈕 。
請將 Active Directory 網域的 DNS 主機名稱輸入到你正在設定綁定的電腦上。
Active Directory 網域管理者會告訴你 DNS 主機名稱。
如有必要,編輯「電腦識別碼」。
「電腦識別碼」是在 Active Directory 網域中用來識別電腦的名稱,它會預設為電腦的名稱。你可以加以更改以符合你組織的命名方案。如果你不確定,請詢問 Active Directory 網域管理者。
【重要事項】若你的電腦名稱包含連字號,你可能無法綁定到目錄網域(如 LDAP 或 Active Directory)。若要建立綁定,請更改電腦名稱為不含連字號的電腦名稱。
若進階選項被隱藏,請按一下「顯示選項」旁邊的顯示三角形。你也可以稍後再更改進階選項設定。
(選用)選取「使用者經驗」選項。
請參閱:設定行動使用者帳號、設定使用者帳號的個人專屬檔案夾,以及設定 Active Directory 使用者帳號的 UNIX Shell。
(選用)選取「對應」選項。
(選用)選取「管理」選項。
優先使用此網域伺服器:依照預設,macOS 使用網站資訊和網域控制器回應來判斷要使用的網域控制器。如果在此處指定相同網站的網域控制器,其會先被查詢。如果無法取得網域控制器,macOS 會回復成預設行為。
賦予管理者權限:啟用此選項時,所列 Active Directory 群組(預設為網域和企業管理者)的成員會被授予本機 Mac 的管理權限。你也可以在此處指定想要的安全性群組。
允許從樹系裡的任何網域認證:依照預設,macOS 會自動搜尋所有網域進行認證。若要將認證限制為僅 Mac 所綁定的網域,請取消選取此註記框。
按一下「綁定」,然後輸入下列資訊:
【注意】使用者必須在 Active Directory 中具有權限才能將電腦綁定到網域。
使用者名稱和密碼:請輸入 Active Directory 使用者帳號的名稱和密碼,或是 Active Directory 網域管理者需要提供你名稱與密碼,以便進行認證。
電腦 OU:請輸入你正在設定的電腦所屬的組織單位(OU)。
用於認證:如果你要讓 Active Directory 加入到電腦的認證搜尋規則中,請選取此選項。
用於聯絡人:如果你要讓 Active Directory 加入到電腦的聯絡人搜尋規則中,請選取此選項。
按一下「好」。
「目錄工具程式」會在你設定的電腦和 Active Directory 伺服器之間建立信任綁定。電腦的搜尋規則是依照認證時所選的選項來進行設定,且 Active Directory 已在「目錄工具程式」的「服務」面板中啟用。
依照 Active Directory 進階選項的預設設定,如果你已選取「用於認證」或「用於聯絡人」,Active Directory 樹系會增加到電腦的認證搜尋規則和聯絡人搜尋規則。
然而,在按一下「綁定」之前,若你取消選取「管理」進階選項中的「允許從樹系裡的任何網域認證」,則會加入最鄰近的 Active Directory 網域而非樹系。
你可以稍後再透過增加或移除 Active Directory 樹系或個人網域來更改搜尋規則。請參閱:定義搜尋規則。
使用設定描述檔綁定
設定描述檔中的目錄承載資料可設定單一 Mac 或自動化數百部 Mac 電腦來綁定到 Active Directory。如同使用其他設定描述檔的承載資料,你可以透過以下方式手動部署目錄承載資料,例如,使用工序指令、作為 MDM 登記的一部分或使用用戶端管理的解決方案。
承載資料是設定描述檔的一部分,並允許管理者管理 macOS 的特定部分。請聯絡你的 MDM 廠商以取得如何製作設定描述檔的指示。
使用指令行綁定
你可以在「終端機」App 中使用 dsconfigad
指令來將 Mac 綁定到 Active Directory。
例如,下列指令可用來將 Mac 綁定到 Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
在你將 Mac 綁定到網域後,便可使用 dsconfigad
在「目錄工具程式」中設定管理選項:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
進階指令行選項
Active Directory 的原生支援包含你在「目錄工具程式」中沒有看到的選項。若要查看這些進階選項,請在設定描述檔中使用「目錄」承載資料,或使用 dsconfigad
指令行工具。
打開 dsconfigad man 頁面來檢閱指令行選項。
電腦物件密碼間隔
當 Mac 系統被綁定到 Active Directory 時,它會設定電腦帳號密碼,其會儲存在系統鑰匙圈中並由 Mac 自動更改。預設的密碼間隔是每隔 14 天,但你可以使用目錄承載資料或 dsconfigad
指令行工具來設定你規則所要求的任何間隔。
將數值設為 0 會停用自動更改帳號密碼:dsconfigad -passinterval 0
【注意】電腦物件密碼會儲存為系統鑰匙圈中的一個密碼值。若要取得密碼,請打開「鑰匙圈存取」,選取系統鑰匙圈,然後選取「密碼」類別。尋找看起來像 /Active Directory/DOMAIN 的項目,其中 DOMAIN 是 Active Directory 網域的 NetBIOS 名稱。按兩下此項目,然後選取「顯示密碼」註記框。視需要以本機管理者進行認證。
命名空間支援
macOS 支援使用相同的簡稱(或登入名稱)來認證多位使用者,其存在於 Active Directory 樹系內的不同網域中。以「目錄」承載資料或 dsconfigad
指令行工具來啟用命名空間支援後,一個網域中的使用者可在次要網域中作為使用者時,具有相同的簡稱。兩位使用者皆必須使用其網域名稱加上其簡稱(網域\簡稱)來登入,就像登入 Windows PC 一樣。若要啟用此功能支援,請使用下列指令:
dsconfigad -namespace <forest>
封包簽署和加密
Open Directory 用戶端可簽署和加密用來與 Active Directory 進行通訊的 LDAP 連線。有了 macOS 中的簽署 SMB 支援,應不再需要將網站的安全性規則降級來納入 Mac 電腦。經過簽署和加密的 LDAP 連線也不再需要透過 SSL 來使用 LDAP。若需要 SSL 連線,請使用下列指令來設定 Open Directory 使用 SSL:
dsconfigad -packetencrypt ssl
請注意,網域控制器上所使用的憑證必須受信任,SSL 加密才會成功。如果網域控制器憑證不是由 macOS 原生受信任的系統根所發出,請在「系統」鑰匙圈中安裝並信任該憑證鏈。macOS 中預設信任的憑證機構位於「系統根」鑰匙圈中。若要安裝憑證和建立信任,請執行下列其中一項操作:
使用設定描述檔中的憑證承載資料來輸入根與任何必要的中繼憑證
使用位於「/應用程式/工具程式」中的「鑰匙圈存取」
依下列方式使用安全性指令:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
限制動態 DNS
macOS 依預設會嘗試為所有介面更新其在 DNS 中的「位址」(A)記錄。若有設定多個介面,此操作可能會在 DNS 中造成多筆記錄。若要管理此行為,請使用「目錄」承載資料或 dsconfigad
指令行工具,來指定更新動態網域名稱系統(DDNS)時要使用的介面。指定介面的 BSD 名稱以關聯 DDNS 更新項目。BSD 名稱與「裝置」欄位相同,藉由執行此指令傳回:
networksetup -listallhardwareports
在工序指令中使用 dsconfigad
時,你必須包含用來綁定到網域的純文字密碼。一般而言,沒有其他管理者權限的 Active Directory 使用者會被委派將 Mac 電腦綁定到網域的責任。此使用者名稱和密碼組會儲存在工序指令中。工序指令在綁定後為自己執行安全性刪除是常見的操作,這樣此資訊便不會再存放於儲存裝置上。