Active Directory -hakemiston integroiminen Macin Hakemistotyökalulla
Hakemistotyökalun Palvelut-osiossa olevalla Active Directory -liittimellä voit määrittää Macin käyttämään Windows 2000 -palvelimella tai uudemmalla olevan Active Directory -domainin käyttäjätilien perustietoja.
Active Directory -liitin luo kaikki macOS:n todentamiseen tarvitsemat attribuutit Active Directory -käyttäjätileistä. Se tukee myös Active Directoryn todentamiskäytäntöjä, mukaan lukien salasanan vaihtaminen, vanheneminen, pakotettu vaihtaminen ja suojausasetukset. Koska liitin tukee näitä ominaisuuksia, Active Directory -domainin mallia ei tarvitse muuttaa käyttäjätilien perustietojen saamista varten.
Huomaa: Tietokoneet, joissa on macOS 10.12 tai uudempi, eivät voi liittyä Active Directory -domainiin, joka ei ole vähintään Windows Server 2008 -tasolla, ellet erikseen ota käyttöön heikkoa salausta. Vaikka kaikkien domainien toimintatasot olisivat 2008-tasoa tai uudempaa, ylläpitäjän on ehkä määritettävä jokainen domain käyttämään Kerberoksen AES-salausta.
Kun macOS on integroitu Active Directoryyn, käyttäjät:
ovat organisaation domainin salasanakäytäntöjen alaisia
käyttävät samoja tunnistetietoja suojattuihin resursseihin todentautumiseen
saavat käyttäjälle ja tietokoneelle varmenneidentiteetin Active Directory Certificate Services -palvelimelta
voivat käyttää DFS (Distributed File System) -nimiavaruutta ja tuoda näkyviin alla olevan SMB (Server Message Block) -palvelimen
Vinkki: Mac-verkkolaitteet olettavat saavansa täydet lukuoikeudet hakemistoon lisättyihin attribuutteihin. Siksi saattaa olla tarpeen muuttaa niiden attribuuttien pääsynhallintaluetteloa, jotta tietokoneryhmien sallitaan lukea näitä lisättyjä attribuutteja.
Active Directory -liitin tukee todentamiskäytäntöjen lisäksi seuraavia ominaisuuksia:
Pakettien salaus- ja allekirjoitusvalinnat kaikille Windows Active Directory -domaineille: Tämän toiminnon oletusasetus on ”salli”. Voit muuttaa oletusasetukseksi ”ei käytössä” tai ”vaaditaan”
dsconfigad-komennolla. Pakettien salaus ja allekirjoitus takaavat, että kaikki Active Directory -domainille tietuehakuja varten lähetetty ja siltä vastaanotettu data suojataan.Yksilöllisen tunnuksen dynaaminen luonti: Ohjain luo yksilöllisen käyttäjätunnuksen ja ensisijaisen ryhmätunnuksen Active Directory -domainissa olevan käyttäjätunnuksen GUID:n perusteella. Luotu käyttäjätunnus ja ensisijainen ryhmätunnus ovat samoja jokaiselle käyttäjätilille, vaikka tiliä käytettäisiin eri Mac-tietokoneille kirjautumiseen. Katso Ryhmätilien ryhmätunnuksen, ensisijaisen GID:n ja UID:n kuvaaminen Active Directory -attribuuttiin.
Active Directoryn -kahdentaminen ja -toipuminen: Active Directory -liitin etsii useita domainohjaimia ja käyttää niistä lähintä. Jos domainohjain lakkaa olemasta käytettävissä, liitin käyttää toista lähellä olevaa domainohjainta.
Kaikkien Active Directory -metsän domainien löytäminen: Voit määrittää liittimen sallimaan metsän kaikkien domainien käyttäjien todentautua Mac-tietokoneella. Vaihtoehtoisesti voit sallia vain tiettyjen domainien todentautumisen verkkolaitteella. Katso Todentamisen hallitseminen kaikilta Active Directory -metsän domaineilta.
Windows-kotikansioiden tuominen näkyviin: Kun joku kirjautuu Macille Active Directory -käyttäjätilillä, Active Directory -liitin voi tuoda näkyviin Active Directory -käyttäjätilissä määritetyn Windows-verkkokotikansion käyttäjän kotikansiona. Voit määrittää, käytetäänkö Active Directoryn normaalin kotihakemistoattribuutin vai macOS:n kotihakemistoattribuutin (jos Active Directory -malli on laajennettu sisältämään sen) määrittämää verkkokotikansiota.
Paikallisen kotikansion käyttäminen Macilla: Voit määrittää liittimen luomaan paikallisen kotikansion Macin käynnistystaltiolle. Tässä tapauksessa liitin tuo näkyviin myös käyttäjän Windows-verkkokotikansion (määritetty Active Directory -käyttäjätunnuksessa) verkkotaltiona, ikään kuin jakopisteenä. Käyttäjä voi kopioida Finderilla tiedostoja Windows-verkkokotikansion ja paikallisen Mac OS X -kotikansion välillä.
Liikkuvien tilien luominen käyttäjille: Liikkuvalla tilillä on paikallinen kotikansio Macin käynnistystaltiolla. (Käyttäjällä on myös verkkokotikansio kuten on määritetty käyttäjän Active Directory -tunnuksessa.) Katso Siirrettävien käyttäjätilien käyttöönottaminen.
LDAP:n käyttäminen pääsyyn ja Kerberoksen todentamiseen: Active Directory -liitin ei käytä Microsoftin suljettua ADSI (Active Directory Services Interface) -liittymää hakemisto- ja todentamispalveluiden hakemiseen.
Laajennetun mallin havaitseminen ja siihen pääsy: Jos Active Directory -malli on laajennettu sisältämään macOS-tietuetyyppejä (objektiluokkia) ja -attribuutteja, Active Directory -liitin havaitsee ne ja käyttää niitä. Active Directory -mallia voidaan muuttaa esimerkiksi Windowsin ylläpitotyökaluilla sisältämään macOS:n hallittujen verkkolaitteiden attribuutteja. Tällä mallimuutoksella Active Directory -liitin voi tukea hallittujen verkkolaitteiden asetuksia, jotka on tehty macOS Serverillä.