Läs om Active Directory-insticksfilen


Du kan konfigurera Mac OS X så att systemet kommer åt grundläggande användarkontoinformation i Active Directory-domäner på Windows 2000- eller Windows 2003-servrar. Det är möjligt tack vare Active Directory-insticksfilen för Kataloginställning. Du hittar Active Directory-insticksfilen i panelen Tjänster i Kataloginställning.

Du behöver inte göra några ändringar för Active Directory-domänens schema för att få grundläggande användarkontoinformation. Du kan behöva göra ändringar i standardbehörighetslistan för åtkomst för vissa attribut för att datorkontona ska kunna läsa egenskaperna. Active Directory-insticksfilen genererar alla attribut som krävs för Mac OS X-autentisering från standardattribut i Active Directory-användarkonton. Insticksfilen hanterar också Active Directory-autentiseringspolicyer, inklusive lösenordsändringar, tidsbegränsningar och tvingad ändring.

Active Directory-insticksfilen genererar dynamiskt ett unikt UID och ett primärt GID baserat på användarkontots GUID i Active Directory-domänen. Det genererade UID och primära GID är alltid samma för varje användarkonto, även om kontot används vid inloggning på andra Mac OS X-datorer. Ett annat alternativ är att tvinga Active Directory-insticksfilen att avbilda UID till ett Active Directory-attribut som du anger.

När någon loggar in i Mac OS X med ett Active Directory-användarkonto, skapar Active Directory-insticksfilen en hemmapp på Mac OS X-datorns startskiva. Insticksfilen talar också om för Mac OS X att användarens Windows-hemmapp (som angetts i Active Directory-användarkontot) ska visas på skrivbordet som Share Point. I Finder kan användaren sedan kopiera filer mellan Windows-hemmappen och Mac OS X-hemmappen.

Varje gång en användare loggar in i Mac OS X med ett Active Directory-användarnamn och -lösenord kan Active Directory-insticksfilen spara autentiserings-ID-handlingarna på Mac OS X-datorn. Användaren kan logga in igen på samma dator när datorn inte är ansluten till nätverket. Du kan aktivera eller avaktivera funktionen som sparar ID-handlingar.

Om Active Directory-schemat har utökats till att innehålla Mac OS X-posttyper (objektklasser) och -attribut kommer Active Directory-insticksfilen automatiskt att upptäcka och använda dem. Active Directory-schemat kan t.ex. ändras med hjälp av Windows-administratörsverktygen till att inkludera Mac OS X Server-attribut för hanterade klienter. En sådan schemaändring skulle innebära att Active Directory-insticksfilen får stöd för inställningar för hanterade klienter som gjorts i modulen Inställningar i Workgroup Manager. Mac OS X-klienter förutsätter att de har fullständiga läsrättigheter för attribut som läggs till i katalogen. Det kan därför vara nödvändigt att ändra ACL för dessa attribut så att datorkontona kan läsa dem.

Active Directory-insticksfilen upptäcker automatiskt alla domäner i en Active Directory-trädsamling. Du kan konfigurera insticksfilen så att användare från alla domäner i trädsamlingen autentiseras på en Mac OS X-dator. Autentiseringen för flera domäner kan också ställas in så att endast vissa domäner autentiseras på klienten.

Active Directory-insticksfilen har fullständigt stöd för Active Directory-replikering och failover. Insticksfilen upptäcker om det finns flera domänövervakare och bestämmer vilken som är närmast. Om en domänövervakare blir otillgänglig byter programmet automatiskt till en närliggande domänövervakare.

Active Directory-insticksfilen använder LDAP för åtkomst av Active Directory-användarkonton, och Kerberos vid autentiseringen av dem. Insticksfilen använder inte Microsofts ADSI (Active Directory Services Interface) för katalog- eller autentiseringstjänster.