
Meer informatie over de Active Directory-plugin
U kunt in Mac OS X de toegang configureren tot basisgegevens van gebruikersaccounts in een Active Directory-domein op een Windows 2000- of Windows 2003-server. Dit is mogelijk dankzij een Active Directory-plugin voor Adreslijsttoegang. Deze plugin staat in de lijst in het tabblad 'Voorzieningen' in Adreslijsttoegang.
U hoeft geen wijzigingen aan te brengen in het Active Directory-schema voor de basisgegevens van gebruikersaccounts. Mogelijk moet u de lijst met toegangsinstellingen voor bepaalde kenmerken wijzigen zodat de computeraccounts de eigenschappen kunnen lezen. De Active Directory-plugin genereert alle kenmerken die zijn vereist voor de Mac OS X-identiteitscontrole van standaardkenmerken in de Active Directory-gebruikersaccounts. De plugin ondersteunt ook de configuraties voor de identiteitscontrole van Active Directory, waaronder het wijzigen, verlopen en geforceerd wijzigen van wachtwoorden.
De Active Directory-plugin genereert dynamisch een unieke gebruikers-ID en een primaire groeps-ID gebaseerd op de GUID (Globally Unique ID) van de gebruikersaccount in het Active Directory-domein. De gegenereerde gebruikers-ID en primaire-groeps-ID zijn voor iedere gebruikersaccount altijd hetzelfde, zelfs als de account wordt gebruikt om op verschillende Macs in te loggen. U kunt met behulp van de Active Directory-plugin tevens de gebruikers-ID geforceerd koppelen aan een Active Directory-kenmerk dat u zelf hebt opgegeven.
Als iemand inlogt op een Mac OS X-computer met een Active Directory-gebruikersaccount, maakt de Active Directory-plugin een thuismap aan op het opstartvolume van de Mac OS X-computer. Bovendien wordt de Windows-thuismap van de gebruiker (zoals opgegeven in de Active Directory-gebruikersaccount) naar het bureaublad gekopieerd als sharepunt. Via de Finder kan de gebruiker bestanden van de Windows-thuismap in de wereldbol naar de Mac OS X-thuismap kopiëren en andersom.
U kunt instellen dat iedere keer dat een gebruiker inlogt op een Mac OS X-computer met een Active Directory-gebruikersaccount en -wachtwoord, de Active Directory-plugin de toegangsgegevens voor identiteitscontrole in de cache van de Mac OS X-computer plaatst. De gebruiker kan dan ook op de computer inloggen als de computer niet met het netwerk is verbonden. U kunt het in de cache plaatsen van toegangsgegevens in- of uitschakelen.
Als het Active Directory-schema is uitgebreid met Mac OS X-recordtypen (objectklassen) en -kenmerken, worden deze automatisch door de Active Directory-plugin gedetecteerd en geopend. Het Active Directory-schema kan bijvoorbeeld met Windows-hulpprogramma's worden aangepast om door Mac OS X Server beheerde clientkenmerken op te nemen. Als u deze aanpassing aan het schema doorvoert, biedt de Active Directory-plugin ondersteuning voor beheerde clientinstellingen die zijn aangemaakt in de module 'Preferences' van Workgroup Manager. Mac OS X-clients hebben volledige leestoegang tot kenmerken die aan de adreslijst worden toegevoegd. Daarom is het mogelijk vereist de lijst met toegangsinstellingen van die kenmerken aan te passen zodat computeraccounts deze toegevoegde kenmerken kunnen lezen.
De Active Directory-plugin detecteert automatisch alle domeinen in een Active Directory-forest. U kunt de plugin configureren zodat gebruikers van alle domeinen in de forest toegang hebben tot een Mac OS X-computer. De identiteitscontrole voor meerdere domeinen kan ook worden uitgeschakeld, zodat alleen bepaalde domeinen op de client worden geverifieerd.
De Active Directory-plugin biedt volledige ondersteuning voor Active Directory-replicatie en -failover. De plugin detecteert meerdere domeincontrollers en stelt vast welke de dichtstbijzijnde is. Als een domeincontroller niet meer beschikbaar is, schakelt de plugin automatisch over naar een andere nabije domeincontroller.
De Active Directory-plugin gebruikt LDAP om toegang te krijgen tot de Active Directory-gebruikersaccounts en Kerberos voor de identiteitscontrole. De Active Directory-plugin maakt geen gebruik van de eigen ADSI (Active Directory Services Interface) van Microsoft voor adreslijst- of verificatieservices.