Zum Inhalt

Konfiguration „Verzeichnisdienst“ (macOS-Geräterichtlinie)

Mit der Konfiguration Verzeichnisdienst legen Sie eine Active-Directory-Domäne fest, der ein Mac beitritt, wenn ihm die Richtlinie zugewiesen wird.

Hinweis

Wenn Sie hier dieselbe Domäne konfigurieren, die Sie für das Sophos Central Self Service Portal verwenden, wird die dem Mac zugewiesene macOS-Benutzerrichtlinie auf alle Active-Directory-Benutzer angewendet, die sich an dem Mac anmelden.

Allgemeine Einstellungen

Einstellung Beschreibung
Domänen-Host-Name Der DNS-Host-Name der Active-Directory-Domäne.
AD-Administratorname

Die Anmeldeinformationen des Kontos, das für die Verbindung mit dem Active-Directory-Server verwendet wird.

Dieser Benutzer muss berechtigt sein, Geräte zur Active-Directory-Datenbank hinzuzufügen.

Kennwort
Organisationseinheit (OU) Die Organizational Unit (OU) in der Active-Directory-Datenbank, welcher der beitretende Computer hinzugefügt wird.

Benutzereinstellungen

Einstellung Beschreibung
Mobilen Account erstellen

macOS erstellt einen mobilen Account, wenn sich ein Netzwerk-Benutzer zum ersten Mal anmeldet.

Bei einem mobilen Account können sich Benutzer auch dann ihre Active-Directory-Anmeldeinformationen verwenden, wenn der Mac nicht mit dem Active-Directory-Server verbunden ist.

Bestätigung vor Erstellung mobiler Accounts einholen Benutzer entscheiden, ob ein mobiler Account erstellt wird.
Lokalen Benutzerordner erzwingen

Wenn Sie diese Option einschalten, werden Benutzerprofile immer auf dem Startlaufwerk angelegt. Dies ist für mobile Accounts erforderlich.

Wenn Sie die Option ausschalten, werden reine Netzwerk-Benutzerordner verwendet.

UNC-Pfad von Active Directory verwenden macOS verwendet den im Active-Directory-Benutzerkonto angegebenen Benutzerordner.
Netzwerkprotokoll Das Protokoll für die Bereitstellung (mount) des Benutzerordner.
Standardmäßige Benutzer-Shell

Die Kommando-Shell des Benutzers.

Wenn Sie keinen Wert angeben, wird /bin/bash verwendet.

Pfade

Warnung

Wenn Sie diese Zuordnungen später ändern, können Benutzer möglicherweise nicht mehr auf ihre Dateien zugreifen.

Einstellung Beschreibung
UID-Attribut Das Active-Directory-Attribut, das für die eindeutige Benutzerkennung (UID) in macOS verwendet wird.
GID-Attribut Benutzer Das Active-Directory-Attribut, das für die Kennung der primären Gruppe (Primary Group ID) von macOS-Benutzerkonten verwendet wird.
GID-Attribut Gruppe Das Active-Directory-Attribut, das für die Kennung von macOS-Gruppenkonten (Group ID) verwendet wird.

Administration

Einstellung Beschreibung
Bevorzugter DC-Server

Der vorrangig anzufragende Active-Directory-Domänen-Controller (DC).

Wenn Sie keinen Wert angeben, wählt macOS den Domänen-Controller anhand von Site-Informationen und Reaktionszeiten aus.

Kennwort-Vertrauensintervall (Tage)

Geben Sie an, wie häufig macOS das Kennwort seines Active-Directory-Computer-Accounts ändert.

Wenn Sie keinen Wert angeben, ändert macOS sein Kennwort alle 14 Tage.

Wenn Sie den Wert 0 angeben, ändert macOS das Kennwort nicht automatisch.

Namespace
  • Gesamtstruktur: Namespace-Unterstützung wird aktiviert. Es können sich Benutzer mit dem gleichen Anmeldenamen aus verschiedenen Domänen der Active-Directory-Gesamtstruktur (Forest) anmelden.

    Benutzer müssen ihren Anmeldenamen in der Form DOMAIN\name eingeben.

  • Domäne: Namespace-Unterstützung wird deaktiviert. Benutzer müssen einen eindeutigen Anmeldenamen haben.
Paket-Signierung

macOS kann die für die Active-Directory-Kommunikation verwendeten LDAP-Verbindungen signieren und verschlüsseln.

  • Erlauben: macOS entscheidet, ob die LDAP-Verbindungen signiert und/oder verschlüsselt werden.
  • Deaktivieren: macOS signiert oder verschlüsselt die LDAP-Verbindungen nicht.
  • Benötigen: macOS signiert und verschlüsselt die LDAP-Verbindungen immer.
  • SSL/TLS: macOS verwendet immer LDAP über SSL/TLS.
Paket-Verschlüsselung
Multi-Domänen-Authentifizierung Es können sich Benutzer aus allen Domänen der Active-Directory-Gesamtstruktur anmelden.
Domänenadministrator-Gruppen

Eine Liste von Active-Directory-Gruppen.

Mitglieder dieser Gruppen erhalten Admin-Rechte auf dem Mac.

Um eine Gruppe hinzuzufügen, geben Sie den Active-Directory-Domänennamen, einen umgekehrten Schrägstrich und den Namen des Gruppenkontos ein. Zum Beispiel ADS\Domain Admins.

Groß- und Kleinschreibung wird unterschieden.

DDNS beschränken

Eine Liste von Netzwerk-Schnittstellen.

Standardmäßig verwendet macOS für alle Netzwerk-Schnittstellen Dynamic DNS (DDNS). Um DDNS auf bestimmte Schnittstellen zu beschränken, geben Sie deren BSD-Namen ein.

Um zum Beispiel DDNS auf den internen Ethernet-Port zu beschränken, geben Sie en0 ein.

Um mehr als eine Schnittstelle einzugeben, drücken Sie nach jedem Wert die Taste Eingabe.