Configuration du service d’annuaire (stratégie d’appareil macOS)

La configuration Service d’annuaire vous permet d’indiquer un domaine Active Directory que le Mac va rejoindre lorsque la stratégie lui est assignée.

Remarque : Si le domaine Active Directory que vous configurez ici est le même domaine que vous utilisez pour portail libre-service Sophos Central, la stratégie d’utilisateur macOS assignée au Mac est appliquée à tous les utilisateurs Active Directory se connectant au Mac.

Paramètres généraux

Paramètre

Description

Nom de l’hôte du domaine

Le nom d’hôte DNS du domaine Active Directory à rejoindre.

Nom de l’administrateur AD

Les codes d’accès du compte d’utilisateur utilisé pour la connexion au serveur Active Directory.

Cet utilisateur doit avoir les autorisations d’ajouter les appareils à la base de données Active Directory.

Mot de passe

Unité organisationnelle

L’unité organisationnelle (OU) dans la base de données Active Directory à laquelle est ajouté l’ordinateur.

Expérience de l’utilisateur

Paramètre

Description

Créer un compte mobile

macOS crée un compte mobile lorsqu’un utilisateur du réseau se connecte pour la première fois.

Le compte mobile permet aux utilisateur de se connecter au Mac à l’aide de leurs codes d’accès Active Directory même si le Mac n’est pas connecté au serveur Active Directory.

Demander la confirmation avant de créer un compte mobile

L’utilisateur décide de créer un compte mobile ou pas.

Forcer le dossier d’accueil local

Sélectionnez cette case pour forcer la création de profils d’utilisateur sur le disque de démarrage. Cette opération est obligatoire pour les comptes mobiles.

Si vous déssélectionnez la case, les annuaires réseau de départ sont utilisés.

Utiliser le chemin UNC à partir d’Active Directory

macOS monte le dossier de départ dans le compte d’utilisateur Active Directory.

Protocole réseau

Le protocole de montage du dossier de départ.

Shell de l’utilisateur par défaut

Le shell de ligne de commande pour l’utilisateur.

Si le champ n’est pas rempli, /bin/bash est utilisé.

Mappage

Paramètre

Description

Attribut de l’UID

L’attribut Active Directory mappé à l’identifiant d’utilisateur unique (UID) dans macOS.

Attribut GID de l’utilisateur

L’attribut Active Directory mappé à l’identifiant de groupe principal dans les comptes d’utilisateur macOS.

Attribut GID du groupe

L’attribut Active Directory mappé à l’identifiant de groupe dans les comptes de groupe macOS.

ATTENTION : Si vous changez ces paramètres ultérieurement, les utilisateurs risquent de perdre l’accès aux fichiers créés auparavant.

Administrative

Paramètre

Description

Serveur DC préféré

Le contrôleur de domaine Active Directory consulté en premier.

Si le champ n’est pas rempli, macOS sélectionne le contrôleur de domaine en fonction des informations sur le site et du temps de réponse du contrôleur.

Intervalle de fiabilité du mot de passe en jours

Indiquez la fréquence à laquelle macOS doit changer le mot de passe de son compte d’ordinateur Active Directory.

Si le champ n’est pas rempli, macOS change son mot de passe tous les 14 jours.

Si vous définissez la valeur sur 0, macOS ne change pas le mot de passe automatiquement.

Espace de noms

  • Forêt

    La compatibilité aux espaces de nom est activée. Plusieurs utilisateurs avec le même nom de connexion pour différents domaines de la forêt Active Directory peuvent se connecter.

    Les utilisateurs doivent saisir leur nom de connexion au format DOMAINE\nom.

  • Domaine

    La compatibilité aux espaces de nom est désactivée. Les utilisateurs ont un nom de connexion unique.

Signature de paquet

macOS peut signer et chiffrer les connexions LDAP utilisées pour la communication Active Directory.

  • Autoriser : macOS décide de signer et/ou de chiffrer les connexions LDAP.
  • Désactiver : macOS ne signe ni ne chiffre les connexions LDAP.
  • Demander: macOS signe et chiffre systématiquement les connexions LDAP.
  • SSL/TLS: macOS utilise toujours LDAP sur SSL/TLS.

Chiffrement de paquet

Authentification multi-domaine

Les utilisateurs de tous les domaines de la forêt Active Directory peuvent se connecter.

Groupes d’administrateurs de domaine

Une liste des groupes Active Directory.

Les membres de ces groupes disposent des droits administratifs sur le Mac.

Pour ajouter un groupe, saisissez le nom de domaine Active Directory, une barre oblique inverse et le nom du compte de groupe. Par exemple ADS\Domain Admins.

Les entrées sont sensibles aux majuscules.

Restreindre le DDNS

Une liste des interfaces réseau.

Par défaut, macOS utilise DDNS (Dynamic DNS) pour toutes les interfaces réseau. Pour limiter DDNS à certaines interfaces, saisissez leurs noms BSD.

Par exemple, pour limiter DDNS au port Ethernet intégré, saisissez en0.

Pour saisir plus d’une interface, appuyez sur Entrée après chaque entrée.