Active Directory 統合
Active Directory コネクタ(「ディレクトリユーティリティ」の「サービス」パネルにあります)を使用して、Windows 2000、またはそれ以降のサーバの Active Directory ドメインの基本的なユーザアカウント情報にアクセスするように Mac を構成できます。
Active Directory コネクタは、Active Directory ユーザアカウントからの macOS 認証に必要なすべての属性を生成します。コネクタは、パスワード変更、失効、強制変更、セキュリティオプションなどの、Active Directory 認証ポリシーもサポートしています。これらの機能がコネクタでサポートされているため、基本的なユーザアカウント情報を入手するために Active Directory ドメインのスキーマを変更する必要はありません。
注記:macOS Sierra 以降では、Windows Server 2008 以上のドメイン機能レベルのない Active Directory ドメインに参加できません(明示的に「強度の弱い暗号」を有効にしている場合を除きます)。すべてのドメインのドメイン機能レベルが 2008 以上の場合でも、Kerberos AES 暗号化を使用するには、管理者が各ドメインの信頼を明示的に指定する必要がある場合があります。詳しくは、「macOS Sierra 10.12 で Active Directory を利用する場合の準備」を参照してください。
macOS を完全に Active Directory と統合すると、ユーザは以下のようになります:
組織のドメイン・パスワード・ポリシーに従う
同じ資格情報を使用して、セキュリティ保護されたリソースの認証と承認を取得する
Active Directory 証明書サービスサーバからユーザおよびマシンの証明書 ID を発行される
自動的に Distributed File System(DFS)名前空間をスキャンして、基になる適切な Server Message Block(SMB)サーバをマウントできる
ヒント:Mac クライアントは、ディレクトリに追加された属性への完全な読み出しアクセス権を持っているものと見なします。したがって、これらの追加された属性をコンピュータグループで読み出せるように、属性の ACL を変更することが必要となる場合があります。
Active Directory コネクタは、認証ポリシーのほかに、以下もサポートしています:
すべての Windows Active Directory ドメイン用のパケット暗号化およびパケット署名オプション:この機能は、デフォルトで入(「許可」)になっています。このデフォルト設定は、
dsconfigad
コマンドを使って、無効または必須に変更することができます。パケット暗号化およびパケット署名オプションを有効にすると、Active Directory ドメインのレコードを参照するために送受信されるすべてのデータが保護されます。一意の ID を動的に生成する:コントローラにより、Active Directory ドメインにおけるユーザアカウントの GUID(Globally Unique ID)に基づいて、一意のユーザ ID とプライマリグループ ID が生成されます。生成されるユーザ ID とプライマリグループ ID は、異なる Mac コンピュータへのログインにアカウントが使用される場合であっても、各ユーザアカウントについて同一です。詳しくは、グループ ID、プライマリ GID、および UID を Active Directory 属性にマップするを参照してください。
Active Directory の複製とフェイルオーバー:Active Directory コネクタによって複数のドメインコントローラが検出され、最も近いものが決定されます。ドメインコントローラが使用できなくなった場合、コネクタによって近くにあるドメインコントローラが使用されます。
Active Directory フォレスト内のすべてのドメインを検出する機能:フォレスト内の任意のドメインのユーザが Mac コンピュータで認証されるように、コネクタを設定することができます。また、クライアントで特定のドメインのみが認証されるように設定することもできます。詳しくは、Active Directory フォレスト内のすべてのドメインからの認証を制御するを参照してください。
Windows ホームフォルダをマウントする:ユーザが Active Directory ユーザアカウントを使用して Mac にログインしたときに、Active Directory コネクタによって、Active Directory ユーザアカウントで指定されている Windows ネットワーク・ホーム・フォルダをそのユーザのホームフォルダとしてマウントできます。Active Directory スキーマが macOS のホームディレクトリ属性を含むように拡張されている場合は、Active Directory の標準のホームディレクトリ属性または macOS のホームディレクトリ属性のどちらで指定されているネットワークホームを使用するかを指定できます。
Mac 上のローカル・ホーム・フォルダを使用する:Mac の起動ボリュームにローカル・ホーム・フォルダを作成するようにコネクタを設定できます。この場合、Active Directory ユーザアカウントで指定されているユーザの Windows ネットワーク・ホーム・フォルダは、共有ポイントのようなネットワークボリュームとしてもマウントされます。Finder を使用すれば、Windows ホームフォルダのネットワークボリュームとローカルの Mac ホームフォルダとの間でファイルをコピーできます。
ユーザのモバイルアカウントを作成する:モバイルアカウントでは、Mac の起動ボリューム上にローカル・ホーム・フォルダが保持されます。(また、ユーザは、ユーザの Active Directory アカウントで指定されているネットワーク・ホーム・フォルダも保持します。)詳しくは、モバイルユーザのアカウントを設定するを参照してください。
アクセスに LDAP、認証に Kerboros:Active Directory コネクタでは、ディレクトリまたは認証サービスの取得に、Microsoft 専有の ADSI(Active Directory Services Interface)は使用しません。
拡張スキーマを検出してアクセスする:Active Directory スキーマが macOS レコードタイプ(オブジェクトクラス)と属性を含むように拡張されている場合は、Active Directory コネクタによってそれらが検出されアクセスされます。たとえば、Windows 管理ツールを使用して、macOS で管理対象クライアント属性を含むように Active Directory スキーマを変更することができます。このスキーマ変更により、Active Directory コネクタで、macOS Server で行われる管理対象クライアントの設定をサポートできるようになります。