
Informazioni sui plugin di Active Directory
Puoi impostare Mac OS X di modo che acceda alle informazioni dell'account di base dell'utente nel dominio di Active Directory del server Windows 2000 o Windows 2003. Per rendere questa opzione possibile è necessario un plugin Active Directory per Accesso Directory. Il plugin Active Directory è elencato nel pannello di Accesso Directory.
Non devi apportare nessuna modifica agli schemi del dominio Active Directory per ottenere informazioni di base sull'account utente. Puoi dover cambiare l'Access Control List (ACL) degli attributi specifici di modo che gli account del computer possano leggere le proprietà. I plugin di Active Directory generano tutti gli attributi richiesti per l'autenticazione di Mac OS X dagli attributi standard negli account di utente di Active Directory. I plugin supportano anche la politica sui criteri di autenticazione di Active Directory, comprese le modifiche, la scadenza e il cambiamento forzato della password.
I plugin di Active Directory generano dinamicamente una ID esclusiva di utente e una ID del gruppo principale, basata sulle GUID (Globally Unique ID) nel dominio di Active Directory. L'ID generata dell'utente e l'ID primaria del gruppo sono sempre le stesse per ogni account utente anche se l'account è usato per eseguire il login su diversi computer Mac OS X. In alternativa, puoi forzare i plugin per assegnare l'ID dell'utente a un attributo di Active Directory che specifichi.
Quando qualcuno esegue il login in Mac OS X con un account utente di Active Directory, il plugin di Active Directory crea una directory di inizio nel volume d'avvio del computer Mac OS X. I plugin inoltre dicono a Mac OS X di montare la directory di inizio dell'utente di Windows (come specificato nell'account utente di Active Directory) come punto di condivisione sulla scrivania. Usando il Finder, l'utente può copiare documenti fra la directory di inizio di Windows nel globo di Network e nella directory di inizio di Mac OS X.
Ogni volta che l'utente esegue il login in Mac OS X con un nome utente e una password di Active Directory, i plugin di Active Directory possono memorizzare le credenziali di autenticazione sul computer Mac OS X. L'utente può eseguire il login nuovamente sullo stesso computer quando il computer non è collegato al network. Puoi attivare o disattivare l'opzione per memorizzare le credenziali.
Se gli schemi di Active Directory sono stati estesi in modo tale da includere i tipi di registrazioni (classi di oggetti) e gli attributi di Mac OS X, i plugin di Active Directory possono rilevarli e accedervi automaticamente. Ad esempio, gli schemi di Active Directory possono essere modificati utilizzando gli strumenti di amministrazione di Windows per includere gli attributi dei clienti gestiti da Mac OS X Server. Questa modifica dello schema attiverà i plugin di Active Directory in modo che supportino le impostazioni del cliente gestito nel modulo Preferenze di Workgroup Manager. I clienti Mac OS X ammettono il pieno accesso di lettura agli attributi che vengono aggiunti alla directory. Pertanto, potrebbe essere necessario modificare l'ACL di quegli attributi che consentono agli account del computer di leggere questi attributi aggiunti.
I plugin di Active Directory scoprono automaticamente tutti i domini in una foresta Active Directory.Puoi configurare i plugin di modo che consentano a tutti gli utenti provenienti da qualsiasi dominio nella foresta di autenticarsi su un computer Mac OS X. L'autenticazione del dominio multiplo può essere disattivata per consentire solo ai domini specifici di autenticarsi sul cliente.
I plugin Active Directory supportano in maniera completa la replica e il failover di Active Directory. Trova i controllori dei domini multipli e determina qual'è il più vicino. Se il controllore non è disponibile, il plugin automaticamente retrocede verso un altro controllore di dominio che si trovi nelle vicinanze.
I plugin di Active Directory utilizzano LDAP per accedere agli account utente di Active Directory e Kerberos per autenticarli. I plugin di Active Directory non usano l'ADSI (Active Directory Services Interface) di un titolare Microsoft per ottenere servizi di directory o di autenticazione.