
Das Active Directory Plug-In
Sie können Mac OS X dafür konfigurieren, auf grundlegende Benutzer-Account-Informationen in einer Active Directory Domain eines Servers mit Windows 2000 oder Windows 2003 zuzugreifen. Dies wird durch ein Active Directory Plug-In für das Programm "Verzeichnisdienste" ermöglicht. Dieses Active Directory Plug-In ist im Bereich "Dienste" des Programms "Verzeichnisdienste" aufgeführt.
Sie müssen keine Schemaänderungen an der Active Directory Domain vornehmen, um grundlegende Benutzer-Account-Informationen zu erhalten. Möglicherweise müssen Sie die standardmäßige ACL (Access Control List) bestimmter Attribute ändern, sodass Computer-Accounts die Fähigkeit haben, die Eigenschaften zu lesen. Das Active Directory Plug-In generiert alle für die Mac OS X Identifikationsüberprüfung benötigten Attribute aus Standardattributen in Active Directory Benutzer-Accounts. Das Plug-In unterstützt auch Richtlinien von Active Directory für die Identifikationsüberprüfung, einschließlich Kennwortänderungen, -ablauf und vorgeschriebene Änderung.
Das Active Directory Plug-In generiert dynamisch eine eindeutige Benutzer-ID und eine primäre Gruppen-ID. Dies basierend auf der GUID (Globally Unique ID) des Benutzer-Accounts in der Active Directory Domain. Die generierte Benutzer-ID und primäre Gruppen-ID sind immer die Gleichen für jeden Benutzer-Account, selbst wenn der Account verwendet wird, um sich an verschiedenen Mac OS X Computern anzumelden. Alternativ können Sie das Active Directory Plug-In veranlassen, die Benutzer-ID einem von Ihnen angegebenen Active Directory Attribut zuzuordnen.
Wenn sich ein Benutzer mit einem Active Directory Benutzer-Account bei Mac OS X anmeldet, erstellt das Active Directory Plug-In ein privates Verzeichnis auf dem Startvolume des Mac OS X Computers. Das Plug-In weist Mac OS X auch an, das Windows Privatverzeichnis des Benutzers (wie im Active Directory Benutzer-Account angegeben) auf dem Schreibtisch als Netzwerkvolume zu aktivieren. Mithilfe des Finder kann der Benutzer Dateien zwischen dem Windows Privatverzeichnis im Netzwerkglobus und dem Mac OS X Privatverzeichnis kopieren.
Jedes Mal, wenn sich ein Benutzer mit einem Active Directory Benutzernamen und Kennwort an Mac OS X anmeldet, kann das Active Directory Plug-In die Daten der Identifikationsüberprüfung auf dem Mac OS X Computer im Cache zwischenspeichern. Der Benutzer kann sich erneut an demselben Computer anmelden, wenn der Computer nicht mit dem Netzwerk verbunden ist. Sie können das Zwischenspeichern von Berechtigungen im Cache aktivieren oder deaktivieren.
Wenn das Active Directory Schema um Mac OS X Datensatztypen (Objektklassen) und Attribute erweitert wurde, werden diese vom Active Directory Plug-In automatisch erkannt und verwendet. Zum Beispiel könnte das Active Directory Schema mithilfe von Windows Verwaltungswerkzeugen geändert werden, um Mac OS X Server Attribute verwalteter Clients einzubeziehen. Nach dieser Schemaänderung wäre das Active Directory Plug-In in der Lage, Einstellungen für verwaltete Clients zu unterstützen, die im Modul "Einstellungen" des Arbeitsgruppen-Managers vorgenommen wurden. Mac OS X Clients setzen vollen Lesezugriff auf Attribute voraus, die dem Verzeichnis hinzugefügt werden. Deshalb kann es notwendig sein, die ACL der betreffenden Attribute zu ändern, damit Computer-Accounts diese hinzugefügten Attribute lesen können.
Das Active Directory Plug-In erkennt automatisch alle Domains in einer Active Directory Gesamtstruktur. Sie können das Plug-In so konfigurieren, dass sich Benutzer aus einer beliebigen Domain in der Gesamtstruktur an einem Mac OS X Computer identifizieren können. Die Identifikationsüberprüfung für mehrere Domains kann auch deaktiviert werden, um nur bestimmten Domains zu erlauben, sich am Client zu identifizieren.
Das Active Directory Plug-In unterstützt in vollem Umfang Active Directory Replikation und -Failover. Es erkennt mehrere Domain-Controller und ermittelt den nächstgelegenen. Wenn ein Domain-Controller nicht mehr verfügbar ist, wechselt das Plug-In automatisch zu einem anderen Domain-Controller in der Nähe.
Das Active Directory Plug-In verwendet LDAP, um auf die Active Directory Benutzer-Accounts zuzugreifen, und Kerberos, um sie zu identifizieren. Das Active Directory Plug-In verwendet nicht proprietäre Microsoft Schnittstelle ADSI (Active Directory Services Interface), um Verzeichnis- oder Identifikationsüberprüfungsdienste in Anspruch zu nehmen.