
Ställa in åtkomst till en katalogdomän
Med Active Directory-insticksfilen i Kataloginställning kan du konfigurera Mac OS X så att systemet kommer åt grundläggande information om användarkonton i en Active Directory-domän på en Windows-server. Active Directory-insticksfilen genererar alla attribut som behövs för Mac OS X-autentisering. Inga ändringar krävs i Active Directory-schemat. Active Directory-insticksfilen upptäcker och använder standardposttyper och -attribut för Mac OS X, som de attribut som behövs för Mac OS X-klienthantering, om Active Directory-schemat har utökats och inkluderar dessa attribut.
Viktigt: Med ett av de avancerade alternativen i Active Directory-insticksfilen kan du avbilda Mac OS X UID-attributet (Unique User ID) till ett attribut som finns i Active Directory-schemat. Om du senare ändrar dessa inställningar kan det innebära att användare inte längre kommer åt filer som skapats före ändringen.
- Klicka på Tjänster i Kataloginställning.
- Om symbolen med ett hänglås är låst, klickar du på den och anger ett administratörsnamn och -lösenord.
- Välj Active Directory i listan över tjänster och klicka på Ställ in.
- Ange DNS-namn för de servrar som agerar värd för de katalogträdssamlingar och Active Directory-domäner som den dator du konfigurerar kommer att bli en medlem av.
Active Directory-domänens administratör känner till namnet på trädsamlingen och domänen. Om det är en enda trädsamling med en enda domän anger du samma namn för bägge.
- Ange dator-ID, vilket är det namn datorn du konfigurerar har tilldelats i Active Directory-domänen.
Om du är osäker på vilket namn du ska ange frågar du Active Directory-domänens administratör.
- Klicka på Bind, autentisera en användare som har rätt att ansluta till Active Directory-domänen och klicka på OK.
Namn och lösenord: Det är möjligt att du kan autentisera genom att ange namn och lösenord för ditt Active Directory-användarkonto om du inte har fått något namn och lösenord från Active Directory-domänens administratör.
OU: Ange organisationsenhet (OU) för datorn som du konfigurerar.
- Det bästa är att också ställa in de avancerade alternativen.
Om de avancerade alternativen är dolda klickar du på Visa avancerade alternativ.
"Spara senaste användarinloggning i cacheminnet för nedkopplat arbete": Välj detta alternativ om du vill göra det möjligt att använda ID-handlingar i nedkopplat läge utan att göra ändringar i Active Directory-schemat. Det blir då den förvalda inställningen för användare som loggar in på datorn. Motsvarande funktion finns också i inställningarna för hanterade klienter i en Open Directory-domän, och i de flesta LDAP-katalogdomäner. Om ett användarkonto har inställningar för hanterade klienter ignoreras detta alternativ.
"Autentisera i flera domäner": Välj detta alternativ om du vill att användare från alla domäner i trädsamlingen ska autentiseras på datorn. Om det här alternativet inte är valt visas en lista över domänerna i trädsamlingen när du konfigurerar en anpassad sökpolicy för autentisering, så att du kan lägga till domänerna en och en.
"Föredra denna domänserver": Med det här alternativet anger du DNS-namnet för den server vars Active Directory-domän du vill ska vara den förvalda. Om servern blir otillgänglig vid senare tillfälle kommer Active Directory-insticksfilen automatiskt att använda en närliggande server i trädsamlingen. Om alternativet inte är valt kommer Active Directory-insticksfilen automatiskt att använda den närmaste Active Directory-domänen i trädsamlingen.
"Koppla UID till attribut": Om Active Directory-schemat har utökats till att spara ett unikt UID (User ID) för varje användare – vanligen eftersom Active Directory-servern är konfigurerad för att hantera UNIX-datorer – kan du ange det attribut som innehåller UID. Om alternativet inte är valt kommer ett UID automatiskt att genereras utifrån Active Directorys standard-GUID-attribut.
"Tillåt administration av": Ange en lista med grupper vars användare får utföra administrativa uppgifter på datorn (t.ex. installera program). Skilj gruppnamnen åt med kommatecken. Av säkerhetsskäl måste gruppnamn vara fullständiga för det domännamn de hör till (t.ex. ADS\Domain Admins,IL2\Domain Admins). Alternativet är praktiskt om det finns personer som behöver administratörsrättigheter utan att vara domänadministratörer.
Om du vill att datorn ska ansluta till den Active Directory-domän du just konfigurerat, kontrollerar du att Active Directory är aktiverat i panelen Tjänster.
Dessutom måste du lägga till Active Directory-domänen till en anpassad sökpolicy i panelen Autentisering eller Kontakter under Kataloginställning.
- Om du valde "Autentisera i flera domäner" i steg 7 kan du genom att lägga till katalogträdssamlingen till en anpassad sökpolicy för autentisering ge datorn möjlighet att autentisera användare från alla domäner i trädsamlingen.
- Om du avmarkerade "Autentisera i flera domäner" kan du lägga till domäner en och en till sökpolicyn.
I andra hjälptexter finns instruktioner om hur du aktiverar Active Directory-tjänsten och definierar anpassade sökpolicyer.