集成 Mac 电脑与 Active Directory你可以配置 Mac 来访问 Windows 2000(或更高版本)服务器 Active Directory 域中的基本用户账户信息。“目录实用工具”的“服务”面板中列出了 Active Directory 连接器,它能根据 Active Directory 用户账户中的标准属性生成 macOS 认证所需的全部属性。该连接器还支持 Active Directory 认证策略,包括密码更改、过期、强制更改和安全选项。因为该连接器支持这些功能,所以你无需更改 Active Directory 域模式即可获取基本用户账户信息。
【注】macOS 将无法加入域功能级别低于 Windows Server 2008 的 Active Directory 域,除非你启用“弱加密方法”。即使所有域的域功能级别为 2008 或更高版本,管理员可能还需要明确指定每个域信任使用 Kerberos AES 加密。
Mac 如何使用 DNS 查询 Active Directory 域macOS 使用域名系统 (DNS) 查询预置 Active Directory 域的拓扑结构。它使用 Kerberos 来进行认证,使用轻型目录访问协议 (LDAPv3) 作为用户和群组的解决方案。
当 macOS 完全与 Active Directory 整合后,用户:
需遵守组织的域密码策略
使用相同的凭证通过认证并获得受保护资源的访问权限
可收到来自 Active Directory 证书服务服务器的用户和机器证书身份
可以自动遍历“分布式文件系统” (DFS) 命名空间并装载相应的底层“服务器信息块” (SMB) 服务器。
有关连接到 DFS 而不绑定的更多信息,请参阅下方的“分布式文件系统命名空间支持”。
你也可以使用移动设备管理 (MDM) 解决方案中的“目录”有效负载来配置这些设置,然后将该有效负载推送给组织中的所有 Mac 电脑。有关更多信息,请参阅“目录” MDM 有效负载设置。
Mac 客户端假定对添加到目录的属性具有完全的读取许可。因此,非常有必要更改这些属性的访问控制列表 (ACL),以允许电脑群组来读取这些添加的属性。
域密码策略绑定时(以及之后的定周期时段),macOS 会向 Active Directory 域查询密码策略。这些策略强制应用于 Mac 上的所有网络和移动账户。
如果在网络账户可用时尝试登录,macOS 会查询 Active Directory 以确定要求更改密码之前的时间长度。默认情况下,如果要求在 14 天内更改密码,登录窗口会要求用户进行更改。如果用户更改密码,更改会体现在 Active Directory 和移动账户(如果已配置)中,且登录钥匙串密码会更新。如果用户关闭密码请求,登录窗口会在过期日之前一直询问用户。用户必须在 24 小时内更改密码以正常登录。macOS 管理员可用通过键入以下命令行来更改登录窗口的默认过期通知:defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int
【注】macOS 不支持使用 Active Directory 密码设置对象 (PSO) 的多元密码策略。计算密码过期时仅使用默认域策略。
分布式文件系统命名空间支持如果 Mac 已绑定到 Active Directory,则 macOS 支持遍历分布式文件系统 (DFS) 命名空间。绑定至 Active Directory 的 Mac 在 Active Directory 域中查询 DNS 和域控制器,从而自动将合适的“服务器信息块” (SMB) 服务器解析为特定的命名空间。
你可以使用“访达”中的“连接服务器”功能来指定 DFS 命名空间的完全限定域名 (FQDN),它包括装载网络文件系统的 DFS 根目录。点按桌面打开“访达”,在“前往”菜单中选取“连接服务器”命令,然后输入 smb://resources.betterbag.com/DFSroot。
macOS 会使用任何可用的 Kerberos 票据并装载底层“服务器信息块” (SMB) 服务器和路径。在某些 Active Directory 配置中,你可能需要在 DNS 配置中针对网络接口,使用完全限定 Active Directory 域名填充“搜索域”栏。
【提示】如果 DFS 环境配置为在参考中使用完全限定域名,则你可以访问和遍历 DFS 共享而无需绑定到 Active Directory。只要 Mac 能够解析适当服务器的主机名,则无需 Mac 绑定到目录即可成功连接。
发布日期:2021 年 10 月 27 日另请参阅目录实用工具使用手册:在 Mac 上使用“目录实用工具”整合 Active Directory目录实用工具使用手册:在 Mac 上的“目录实用工具”中配置域访问目录实用工具使用手册:Mac 上的 Active Directory 和移动性