Integriranje poslužitelja direktorija Active Directory pomoću Uslužnog programa direktorija na Macu
Možete koristiti Active Directory priključnicu (u opcijama Usluge Uslužnog programa direktorija) za konfiguriranje Maca da pristupa osnovnim informacijama o računu korisnika u Active Directory domeni na poslužitelju Windows 2000 ili novijem.
Active Directory priključnica generira sve atribute potrebne za macOS autorizaciju iz Active Directory računa korisnika. Priključnica također podržava Active Directory pravila autorizacije, uključujući promjene, isteke, prisilne promjene lozinke i opcije sigurnosti. S obzirom da priključnica podržava ove značajke, ne trebate napraviti shematske promjene u domeni Active Directory da biste dobili osnovne informacije o računu korisnika.
Napomena: Računala sa sustavom macOS 10.12 i novijom verzijom ne mogu pristupiti Active Directory domeni bez funkcionalne razine domene najmanje Windows Servera 2008, osim ako izričito ne omogućite "weak crypto". Čak i ako funkcionalne razine domene svih domena jesu 2008 ili novije, administrator će možda morati izričito navesti pouzdane domene koje koriste kriptiranje Kerberos AES.
Kada je macOS potpuno integriran s uslugom Active Directory, korisnici:
su podložni pravilima lozinki domene organizacije
koriste iste vjerodajnice za potvrđivanje i dobivanje autorizacije za osigurane resurse
izdaje im se identiteti certifikata korisnika i uređaja s poslužitelja Usluga za certifikate usluge Active Directory
mogu automatski zaobilaziti prostor imena Distribuiranog datotečnog sustava (DFS) i podignuti odgovarajući temeljni poslužitelj Server Message Block (SMB)
Savjet: Mac klijenti preuzimaju potpuni pristup za čitanje atributima koji se dodaju direktoriju. Stoga bi možda bilo potrebno promijeniti ACL onih atributa kako bi se računalnim grupama dopustilo da čitaju ove dodane atribute.
Uz to što podržava pravila provjere autentičnosti, Active Directory priključnica podržava i sljedeće:
Kriptiranje paketa i opcije potpisivanja paketa za sve Windows Active Directory domene: Ova je funkcionalnost standardno uključena kao "dozvoljeno". Možete mijenjati standardnu postavku u onemogućeno ili zahtijevano pomoću
dsconfigadalata komande. Opcije kriptiranja paketa i potpisivanja paketa osiguravaju da su svi podaci u i iz Active Directory domene za traženja zapisa zaštićena.Dinamično generiranje jedinstvene korisničke identifikacije: Kontroler generira jedinstveni ID korisnika i primarni ID grupe na temelju globalno jedinstvenog ID-ja (GUID) računa korisnika u Active Directory domeni. Generirani ID korisnika i primarni ID grupe isti su za svaki račun korisnika, čak i ako se račun koristi za prijavu na druga Mac računala. Pogledajte Mapiranje ID-a, primarnog GID-a i UID-a grupe na atribut za Active Directory.
Active Directory replikacija i failover: Active Directory priključnica otkriva kontrolora više domena i određuje koji je najbliži. Ako kontroler domena postane nedostupan, priključnica koristi drugi susjedni kontroler domena.
Otkrivanje svih domena u Active Directory šumi: Možete konfigurirati priključnicu kako biste dozvolili korisnicima iz bilo koje domene u šumi da se autoriziraju na Mac računalu. Ili možete dozvoliti samo nekim domenama da se autoriziraju na klijentu. Pogledajte Upravljanje autorizacijom iz svih domena u Active Directory šumi.
Podizanje Windows početnih mapa: Kad se netko prijavi na Mac pomoću Active Directory računa korisnika, Active Directory priključnica može podići početnu mapu Windows mreže određenu u Active Directory računu korisnika kao početnu mapu korisnika. Možete navesti hoćete li koristiti početnu mapu mreže koju navodi standardni atribut početnog direktorija Active Directoryja ili atribut početnog direktorija sustava macOS (ako se Active Directory shema proširi kako bi ga uključila).
Korištenje lokalne početne mape na Macu: Možete konfigurirati priključnicu kako bi izradio lokalnu početnu mapu na pokretačkom pogonu Maca. U tom slučaju priključnica također podiže početnu mapu Windows mreže korisnika (navedenu u Active Directory računu korisnika) kao mrežni pogon, poput točke dijeljenja. Pomoću Findera korisnik može zatim kopirati datoteke između mrežnog pogona Windows početne mape i lokalne Mac početne mape.
Izrada mobilnih računa za korisnike: Mobilni račun ima lokalnu početnu mapu na pokretačkom pogonu Maca. (Korisnik također ima početnu mapu mreže kako je navedeno u Active Directory računu korisnika). Pogledaj Podešavanje mobilnih korisničkih računa.
LDAP za pristup i Kerberos za provjeru autentičnosti: Active Directory priključnica ne koristi Microsoftov vlasnički Active Directory Services Interface (ADSI) za dohvat direktorija ili usluga provjere autentičnosti.
Detekcija i pristup proširenoj shemi: Ako se Active Directory shema proširila da uključuje macOS vrste zapisa (klase objekata) i atribute, Active Directory priključnica ih detektira i pristupa im. Primjerice, Active Directory shema mogla bi se mijenjati pomoću Windows administrativnih alata kako bi uključila atribute klijenata kojima upravlja macOS. Ova promjena sheme omogućuje Active Directory priključnici da koristi podržana rješenja za upravljanje mobilnim uređajem (MDM).