Active Directory 域访问配置


使用“目录访问”中列出的 Active Directory 插件,您可以配置 Mac OS X 以便访问 Windows 服务器上的 Active Directory 域中的基本用户帐户信息。Active Directory 插件生成 Mac OS X 鉴定所需的所有属性。Active Directory 模式无须修改。但是,如果 Active Directory 模式被扩展为包含了标准 Mac OS X 记录类型和属性(例如 Mac OS X 客户端管理所需的属性),则 Active Directory 插件将会检测和访问这些记录类型和属性。

重要事项:Active Directory 插件的高级选项允许您将 Mac OS X 的唯一用户 ID (UID) 属性映射至已被添加在 Active Directory 模式中的合适属性。如果日后您更改该映射选项的设置,用户可能会无法访问以前创建的文件。

  1. 在“目录访问”中点按“服务”。
  2. 如果锁图标已锁定,点按该图标,然后键入管理员的名称和密码。
  3. 在服务列表中选择“Active Directory”,然后点按“配置…”。
  4. 输入托管该 Active Directory 林和域的服务器的 DNS 名称,您正配置的电脑将属于该林和域。

    Active Directory 林和域的名称可以从 Active Directory 域的管理员处获取。如果您只有一个林并且该林只有一个域,则为该林和域输入同一名称。

  5. 输入电脑 ID,即 Active Directory 域中分配给您正在配置的电脑的名称。

    如果您不确定要输入什么名称,请询问 Active Directory 域管理员。

  6. 点按“绑定”,并以用户身份鉴定谁有权建立至 Active Directory 域的连接,然后点按“好”。

    名称和密码:您可以输入您的 Active Directory 用户帐户的名称和密码进行鉴定,否则 Active Directory 域管理员必须提供一个名称和密码。

    OU:为您正在配置的电脑输入组织单元 (OU)。

  7. 设置高级选项(可选)。

    如果高级选项处于隐藏状态,点按“显示高级选项”。

    “缓存最近的用户登录信息,以便离线操作”:选择该选项可以启用离线证书,而无须修改 Active Directory 模式。这将作为登录该电脑的用户的预设设置。Open Directory 域和多数 LDAP 目录域中的被管理客户端设置可以提供等效功能。如果某个用户帐户具有实际的被管理客户端设置,则忽略该选项。

    “在多个域中鉴定”:选择该选项则允许林中任意域的用户可以在这台电脑上进行鉴定。如果不选取,当您配置自定鉴定搜索策略时会显示林中特定域列表,这样您就可以在搜索策略中逐个添加域。

    “使用这台域服务器”:选择该选项以指定在预设情况下将使用其 Active Directory 域的服务器的 DNS 名称。如果该服务器在将来变得不可用,Active Directory 插件会自动回退到林中另一个相近的服务器。如果未选择该选项,Active Directory 插件会自动确定林中最近的一个 Active Directory 域。

    “将 UID 映射到属性”:如果 Active Directory 模式被扩展为存储了每个用户的唯一 UID(唯一用户 ID)(通常是因为 Active Directory 服务器已被配置为支持 UNIX 电脑),您就可以指定存储了此 UID 的属性。如果未选择该选项,则根据 Active Directory 的标准 GUID 属性自动生成一个 UID。

    “将管理权限赋予”:选择该选项以指定一个组别列表,让其成员可以在这台电脑上执行管理任务(例如,安装软件)。使用逗号隔开列表中的组别名称。为安全起见,组别名称必须由它们的域名称限定(例如, ADS\Domain Admins,IL2\Domain Admins)。如果您的桌面管理员需具有管理访问权限,但该管理员又不是域管理员,此选项将非常有用。

如果您想让电脑访问刚配置的 Active Directory 域,必须确定 Active Directory 已在“服务”面板中启用。

另外,您必须在“目录访问”的“鉴定”或“联系”面板中将 Active Directory 域添加在自定搜索策略中。

其他帮助主题介绍了关于启用 Active Directory 服务和定义自定搜索策略的说明。