Konfigurere tilgang til et Active Directory-domene


Ved hjelp av Active Directory-pluginmodulen i Katalogtilgang kan du konfigurere Mac OS X for tilgang til grunnleggende brukerkontoinformasjon i et Active Directory-domene på en Windows-tjener. Active Directory-pluginmodulen genererer alle egenskaper som er nødvendige for Mac OS X-godkjenning. Ingen endringer i Active Directory-skjemaet er nødvendige. Active Directory-pluginmodulen vil likevel gjenkjenne og få tilgang til standard Mac OS X-oppføringstyper og -egenskaper, for eksempel egenskapen som er nødvendig for Mac OS X-klientadministrasjon, hvis Active Directory-skjemaet er blitt utvidet til å inkludere dem.

Viktig: Et avansert valg for Active Directory-pluginmodulen gjør det mulig å tilordne Mac OS X-UID-egenskapen (UID = unik ID) til en passende egenskap som har blitt lagt til i Active Directory-skjemaet. Hvis du endrer innstillingen for dette standardtypevalget senere, kan det hende at brukere mister tilgang til filer de tidligere har opprettet.

  1. Klikk på Tjenester i Katalogtilgang.
  2. Hvis låssymbolet er låst, klikker du på det og skriver inn brukernavn og passord for en administratorbruker.
  3. Marker Active Directory i listen over tjenester, og klikk på Konfigurer.
  4. Oppgi DNS-navnene for tjenerne som er verter for Active directory-«foresten» og -domenet som maskinen du konfigurer skal bli medlem av.

    Administratoren for Active Directory-domenet kan gi deg navnene på «foresten» og domenet. Hvis du har én forest med ett domene, oppgir du det samme navnet for «foresten» og domenet.

  5. Angi datamaskin-IDen, som er navnet maskinen du konfigurerer har blitt tildelt i Active Directory-domenet.

    Hvis du ikke er sikker på hva du skal angi, kan du spørre administratoren for Active Directory-domenet.

  6. Klikk på Bind, godkjenn som en bruker som har rettigheter til å opprette en forbindelse til Active Directory-domenet, og klikk på OK.

    Navn og passord: Det kan hende at du kan godkjenne ved å angi navnet og passordet for Active Directory-brukerkontoen. Hvis ikke, kan administratoren for Active Directory-domenet gi deg et navn og passord.

    OU: Angi organisasjonsenheten (OU) for maskinen du konfigurerer.

  7. Alternativt kan du konfigurere de avanserte innstillingene.

    Hvis de avanserte innstillingene er skjult, klikker du på Vis avanserte innstillinger.

    «Legg siste brukerpålogging i buffer for frakoblet bruk»: Velg denne innstillingen hvis du vil aktivere bruken av frakoblet pålogging uten å endre Active Directory-skjemaet. Dette er standardinnstillingen for brukere som logger seg på maskinen. En tilsvarende mulighet finnes i administrerte innstillinger for administrerte klienter i et Open Directory-domene og de fleste LDAP-katalogdomener. Hvis en bruker har reelle administrerte klientinnstillinger, ignoreres denne innstillingen.

    «Godkjenn over flere domener»: Velg denne innstillingen for å tillate at brukere fra alle domenene i «forest» kan godkjenne på maskinen. Hvis dette valget ikke er krysset av, vil en liste med bestemte domener i «foresten» vises når du konfigurerer en egendefinert godkjenningssøkeinnstilling slik at du kan legge til domener enkeltvis til søkeinnstillingen.

    «Foretrukket domenetjener»: Velg denne innstillingen for å angi DNS-navnet til tjeneren med Active Directory-domenet du vil bruke som standard. Hvis tjeneren senere blir utilgjengelig, vil Active Directory-pluginmodulen automatisk bruke en annen tjener i nærheten i «foresten». Hvis du ikke krysser av for denne innstillingen, vil Active Directory-pluginmodulen automatisk finne det nærmeste Active Directory-domenet i «foresten».

    «Knytt UID til egenskap»: Hvis Active Directory-skjemaet er blitt utvidet slik at det inneholder en unik UID for hver bruker, vanligvis fordi Active Directory-tjeneren allerede er konfigurert slik at den støtter UNIX-maskiner, kan du angi egenskapen som inneholder UIDen. Hvis du ikke har valgt denne innstillingen, genereres automatisk en UID basert på Active Directorys standard GUID-egenskap.

    «Tillat administrering av»: Velg denne innstillingen hvis du vil oppgi en liste med grupper der medlemmene har tillatelse til å utføre administrative oppgaver på maskinen (installere programvare for eksempel). Bruk komma til å skille gruppenavnene i listen. Av sikkerhetsårsaker må gruppenavn oppføres sammen med domenenavnet de tilhører (for eksempel ADS\Domain Admins,IL2\Domain Admins). Dette alternativet er nyttig hvis du har skrivebordsadministratorer som trenger administrativ tilgang, men som ikke er domeneadministratorer.

Hvis du vil at maskinen skal ha tilgang til Active Directory-domenet du nettopp konfigurerte, må du forsikre deg om at Active Directory er aktivert i Tjenester-panelet.

I tillegg må du Iegge til Active Directory-domenet i en egendefinert søkeinnstilling i Godkjenning- eller Kontakter-panelet i Katalogtilgang.

Andre hjelpemner inneholder framgangsmåten for å aktivere Active Directory-tjenesten og definere egendefinerte søkeinnstillinger.