了解 Active Directory 插件


您可以配置 Mac OS X 以便访问 Windows 2000 或 Windows 2003 服务器的 Active Directory 域中的基本用户帐户信息。“目录访问”的一个 Active Directory 插件使得实现此项操作成为可能。此 Active Directory 插件列在“目录访问”的“服务”面板中。

您无须对 Active Directory 域进行模式修改即可获取基本用户帐户信息。但必须更改特定属性的预设访问控制列表 (ACL),这样电脑帐户才能读取属性。Active Directory 插件可以根据 Active Directory 用户帐户中的标准属性生成 Mac OS X 鉴定所需的所有属性。插件还支持 Active Directory 鉴定策略,包括密码更改、期限和强制更改。

Active Directory 插件根据 Active Directory 域中的用户帐户的 Globally Unique ID(GUID,全局唯一 ID)动态生成一个唯一的用户 ID 和一个首选组别 ID。对于每个用户帐户,即使它是用于登录不同的 Mac OS X 电脑,所生成的用户 ID 和首选组别 ID 也始终相同。或者,您可以强制 Active Directory 插件将用户 ID 映射至指定的 Active Directory 属性。

当有人用 Active Directory 用户帐户登录 Mac OS X 时,Active Directory 插件会在 Mac OS X 电脑的启动宗卷上创建一个个人目录。该插件还指示 Mac OS X 装上用户的 Windows 个人目录(在 Active Directory 用户帐户中指定),并将其作为共享点装上桌面。使用 Finder,用户可以在“Network”地球图标中的 Windows 个人目录与 Mac OS X 个人目录之间拷贝文件。

每次用户使用 Active Directory 用户名称和密码登录 Mac OS X 时,Active Directory 插件可以将鉴定证书存储在 Mac OS X 电脑上的高速缓存中。当同一电脑没有连接至网络时,用户可以再次登录该电脑。您可以启用或停用证书缓存。

如果 Active Directory 模式被扩展为包含了 Mac OS X 记录类型(对象类)和属性,Active Directory 插件就会自动检测和访问它们。例如,可以使用 Windows 管理工具修改 Active Directory 模式,使其包含 Mac OS X Server 所管理的客户端属性。这种模式修改可以使 Active Directory 插件支持在“工作组管理程序”的“预置”模块中创建的被管理的客户端设置。Mac OS X 客户端会假定可以全面读取在目录中添加的属性。因此,必须修改这些属性的 ACL,以便使电脑帐户可以读取这些已添加的属性。

Active Directory 插件会自动发现 Active Directory 林中的所有域。您可以通过配置该插件,使 Active Directory 林中任意域的用户可以在 Mac OS X 电脑上进行鉴定。也可以停用多域鉴定,以便只允许特定域在客户端上鉴定。

Active Directory 插件完全支持 Active Directory 复制和失效切换。它发现多个域控制器并确定最近的那一个。如果某个域控制器不可用,该插件会自动回退至附近另一个域控制器。

Active Directory 插件使用 LDAP 来访问 Active Directory 用户帐户,并使用 Kerbero 对其进行鉴定。Active Directory 插件不使用 Microsoft 的专利 Active Directory Services Interface (ADSI),来获得目录或鉴定服务。