Konfiguration „Verzeichnisdienst“ (macOS-Geräterichtlinie)

Mit der Konfiguration Verzeichnisdienst geben Sie eine Active-Directory-Domäne an, der ein Mac beitritt, wenn ihm die Richtlinie zugewiesen wird.

Hinweis: Wenn Sie hier dieselbe Domäne konfigurieren, die Sie für das Sophos Central Self Service Portal verwenden, wird die dem Mac zugewiesene macOS-Benutzerrichtlinie auf alle Active-Directory-Benutzer angewendet, die sich an dem Mac anmelden.

Allgemeine Einstellungen

Einstellung

Beschreibung

Domain-Hostname

Der DNS-Host-Name der Active-Directory-Domäne.

AD-Administratorname

Die Anmeldeinformationen des Kontos, das für die Verbindung mit dem Active-Directory-Server verwendet wird.

Dieser Benutzer muss berechtigt sein, Geräte zur Active-Directory-Datenbank hinzuzufügen.

Kennwort

Organisationseinheit (OU)

Die Organizational Unit (OU) in der Active-Directory-Datenbank, welcher der beitretende Computer hinzugefügt wird.

Benutzereinstellungen

Einstellung

Beschreibung

Mobilen Account erstellen

macOS erstellt einen mobilen Account, wenn sich ein Netzwerk-Benutzer zum ersten Mal anmeldet.

Bei einem mobilen Account können sich Benutzer auch dann ihre Active-Directory-Anmeldeinformationen verwenden, wenn der Mac nicht mit dem Active-Directory-Server verbunden ist.

Bestätigung vor Erstellung mobiler Accounts einholen

Der Benutzer entscheidet, ob ein mobiler Account erstellt wird.

Lokalen Benutzerordner erzwingen

Wenn Sie dieses Kontrollkästchen aktivieren, werden Benutzerprofile immer auf dem Startvolume angelegt. Dies ist für mobile Accounts erforderlich.

Wenn Sie das Kontrollkästchen deaktivieren, werden reine Netzwerk-Benutzerordner verwendet.

UNC-Pfad von Active Directory verwenden

macOS verwendet den im Active-Directory-Benutzerkonto angegebenen Benutzerordner.

Netzwerkprotokoll

Das Mount-Protokoll für den Benutzerordner.

Standardmäßige Benutzer-Shell

Die Kommando-Shell des Benutzers.

Wenn Sie keinen Wert angeben, wird /bin/bash verwendet.

Pfade

Einstellung

Beschreibung

UID-Attribut

Das Active-Directory-Attribut, das für die eindeutige Benutzerkennung (UID) in macOS verwendet wird.

GID-Attribut Benutzer

Das Active-Directory-Attribut, das für die Kennung der primären Gruppe (Primary Group ID) von macOS-Benutzerkonten verwendet wird.

GID-Attribut Gruppe

Das Active-Directory-Attribut, das für die Kennung von macOS-Gruppenkonten (Group ID) verwendet wird.

ACHTUNG: Wenn Sie diese Zuordnungen später ändern, können Benutzer möglicherweise nicht mehr auf ihre Dateien zugreifen.

Administration

Einstellung

Beschreibung

Bevorzugter DC-Server

Der vorrangig anzufragende Active-Directory-Domänen-Controller (DC).

Wenn Sie keinen Wert angeben, wählt macOS den Domänen-Controller anhand von Site-Informationen und Reaktionszeiten aus.

Kennwort-Vertrauensintervall (Tage)

Geben Sie an, wie häufig macOS das Kennwort seines Active-Directory-Computer-Accounts ändert.

Wenn Sie keinen Wert angeben, ändert macOS sein Kennwort alle 14 Tage.

Wenn Sie den Wert 0 angeben, ändert macOS das Kennwort nicht automatisch.

Namespace

  • Forest

    Namespace-Unterstützung wird aktiviert. Es können sich Benutzer mit dem gleichen Anmeldenamen aus verschiedenen Domänen des Active Directory Forest anmelden.

    Benutzer müssen ihren Anmeldenamen in der Form DOMAIN\name eingeben.

  • Domäne

    Namespace-Unterstützung wird deaktiviert. Benutzer müssen einen eindeutigen Anmeldenamen haben.

Paket-Signierung

macOS kann die für die Active-Directory-Kommunikation verwendeten LDAP-Verbindungen signieren und verschlüsseln.

  • Erlauben: macOS entscheidet, of die LDAP-Verbindungen signiert und/oder verschlüsselt werden.
  • Deaktivieren: macOS signiert oder verschlüsselt die LDAP-Verbindungen nicht.
  • Benötigen: macOS signiert und verschlüsselt die LDAP-Verbindungen immer.
  • SSL/TLS: macOS verwendet immer LDAP über SSL/TLS.

Paket-Verschlüsselung

Multi-Domänen-Authentifizierung

Benutzer aus allen Domänen des Active Directory Forest können sich anmelden.

Domänenadministrator-Gruppen

Eine Liste von Active-Directory-Gruppen.

Mitglieder dieser Gruppen erhalten Admin-Rechte auf dem Mac.

Um eine Gruppe hinzuzufügen, geben Sie den Active-Directory-Domänennamen, einen umgekehrten Schrägstrich und den Namen des Gruppenkontos ein. Zum Beispiel ADS\Domain Admins .

Groß- und Kleinschreibung wird unterschieden.

DDNS beschränken

Eine Liste von Netzwerk-Schnittstellen.

Standardmäßig verwendet macOS für alle Netzwerk-Schnittstellen Dynamic DNS (DDNS). Um DDNS auf bestimmte Schnittstellen zu beschränken, geben Sie deren BSD-Namen ein.

Um zum Beispiel DDNS auf den internen Ethernet-Port zu beschränken, geben Sie en0 ein.

Um mehr als eine Schnittstelle einzugeben, drücken Sie nach jedem Wert die Taste Eingabe.