
瞭解 Active Directory 外掛模組
在 Windows 2000 Server 或 Windows 2003 Server 所提供的 Active Directory 網域上,您可以設定 Mac OS X 來存取使用者帳號的基本資訊。您可以透過“目錄存取”的 Active Directory 外掛模組來完成這項動作。Active Directory 外掛模組列於“目錄存取”的“服務”面板中。
您無須更改 Active Directory 網域的設定概要,就能取得使用者帳號的基本資訊。但也許需要更改特定屬性的“存取控制列表”(ACL, Access Control List)預設值,才能讓電腦帳號擁有讀取屬性的能力。Active Directory 外掛模組會以 Active Directory 使用者帳號中的標準屬性,產生出 Mac OS X 認證所需的所有屬性。此外掛模組亦支援 Active Directory 認證規則,包含更改密碼、帳號有效期限、以及強制更改等設定。
Active Directory 外掛模組會根據 Active Directory 網域中使用者帳號的“全域專屬識別碼”,自動產生出一組使用者專屬識別碼與一組主要群組識別碼。對每個使用者帳號來說,即使在不同的 Mac OS X 電腦上登入,產生出來的使用者識別碼與主要群組識別碼會永遠一樣。此外,您可以強制 Active Directory 外掛模組將使用者識別碼對應至您所指定的 Active Directory 屬性上。
當有人以 Active Directory 使用者帳號登入 Mac OS X 時,Active Directory 外掛模組會在 Mac OS X 電腦的開機磁碟卷宗上,製作該使用者的個人專屬目錄。外掛模組也會叫 Mac OS X 裝載該使用者的 Windows 個人專屬目錄(在 Active Directory 使用者帳號中的設定),並將此目錄裝載於桌面上作為一個共享取用點。使用者可以在 Network 地球圖像中的 Windows 個人專屬目錄,及 Mac OS X 的個人專屬目錄之間,使用 Finder 進行檔案拷貝的工作。
當使用者每次使用 Active Directory 的使用者名稱與密碼登入 Mac OS X 時,Active Directory 外掛模組可以在 Mac OS X 電腦上將使用者的認證憑證快取下來。此後,即使電腦未連接上網路,使用者依然可以登入這台電腦。您可以啟用或停用憑證資料的快取功能。
若 Active Directory 的設定概要已被加入 Mac OS X 的記錄類型(物件類別)與屬性,Active Directory 外掛模組會自動偵測與存取這些設定。例如,您可以使用 Windows 管理工具來修改 Active Directory 的設定概要,然後加入 Mac OS X Server 對用戶端進行管理的屬性設定。修改好設定概要後,將能讓 Active Directory 外掛模組在 Workgroup Manager(工作群組管理程式)中的 Preferences(偏好設定)模組裡,啟用管理用戶端設定的支援。對於已經加入目錄服務中的這些屬性,Mac OS X 用戶端會以完整讀入的方式進行存取。因此,若要允許電腦帳號可以讀取這些新增的屬性,可能必須修改這些屬性的 ACL 設定。
Active Directory 外掛模組會自動尋找 Active Directory 網域樹系中的所有網域。您可以設定外掛模組是否允許來自同一樹系中不同網域的使用者,於 Mac OS X 電腦上進行認證。您也可以停用多重網域的認證功能,這樣在用戶端上可以只讓特定的網域進行認證。
Active Directory 外掛模組完全支援 Active Directory 的複寫與錯誤修復功能。外掛模組會尋找數個網域控制站並決定使用最接近的控制站。如果網域控制站無法使用,外掛模組會自動換用另一個鄰近的網域控制站。
Active Directory 外掛模組是使用 LDAP 來存取 Active Directory 使用者帳號及 Kerberos 以便進行認證。Active Directory 外掛模組並未使用 Microsoft 專用的 Active Directory 服務介面(ADSI, Active Directory Services Interface)來取得目錄服務或是認證服務。