目录服务配置(macOS 设备策略)

使用目录服务配置,您可以指定将策略分配给 Mac 设备时,Mac 设备将加入的 Active Directory 域。

注: 如果您在这里配置的 Active Directory 域和您用于自助服务门户的域相同,分配给 Mac 设备的 macOS 用户策略将应用于登录到该 Mac 设备的所有 Active Directory 用户。

一般设置

设置/字段

说明

域主机名

要加入的 Active Directory 域的 DNS 主机名。

AD 管理员名称

用于连接到 Active Directory 服务器的用户帐户的凭据。

此用户必须有权在 Active Directory 数据库中添加设备。

密码

部门

Active Directory 数据库中的组织单位 (OU),加入的计算机将添加到其中。

用户体验

设置/字段

说明

创建移动帐户

网络用户首次登录时,macOS 将创建一个移动帐户。

使用移动帐户,即使在 Mac 设备未连接到 Active Directory 服务器时,用户也可以使用其 Active Directory 凭据登录 Mac 设备。

创建移动帐户前要求确认

用户可以决定是否创建移动帐户。

强制要求本地主文件夹

选中此复选框可以强制在启动磁盘上创建用户配置文件。这对于移动帐户是必须的。

如果您清除该复选框,将使用纯网络主目录。

使用来自 Active Directory 的 UNC 路径

macOS 将装载在 Active Directory 用户帐户中指定的主文件夹。

网络协议

用于装载主文件夹的协议。

默认用户 shell

针对用户的命令行 shell。

如果将此字段保留为空,将使用 /bin/bash

映射

设置/字段

说明

UID 属性

映射到 macOS 中唯一用户 ID (UID) 的 Active Directory 属性。

用户 GID 属性

映射到 macOS 用户帐户中主要组 ID 的 Active Directory 属性。

组 GID 属性

映射到 macOS 组帐户中组 ID 的 Active Directory 属性。

重要: 如果以后您更改这些映射设置,用户可能会失去访问之前创建的文件的权限。

管理

设置/字段

说明

首选 DC 服务器

首先访问的 Active Directory 域控制器 (DC)。

如果将此字段保留为空,macOS 将根据站点信息和控制器响应来选择域控制器。

密码信任间隔天数

指定 macOS 更改其 Active Directory 计算机帐户密码的频率。

如果将此字段保留为空,macOS 将每 14 天更改一次密码。

如果将值设置为 0,macOS 将不会自动更改密码。

命名空间

  • 将开启命名空间支持。在 Active Directory 林的不同域中具有相同登录名的多个用户都可以登录。

    用户必须按域\名称的格式输入其登录名。

  • 将关闭命名空间支持。用户必须有唯一的登录名。

数据包签名

macOS 可以对用于 Active Directory 通信的 LDAP 连接进行签名和加密。

  • 允许:macOS 决定是否对 LDAP 连接进行签名和/或加密。
  • 禁用:macOS 不对 LDAP 连接进行签名或加密。
  • 需要:macOS 始终对 LDAP 连接进行签名和加密。
  • SSL/TLS:macOS 始终使用 LDAP over SSL/TLS。

数据包加密

多域身份验证

Active Directory 林中所有域的用户都可以登录。

域管理员组

Active Directory 组列表。

这些组的成员将在 Mac 设备上授予管理权限。

要输入多个组,请在每次输入后按 Enter 键。

限制 DDNS

网络接口列表。

默认情况下,macOS 对所有网络接口使用动态 DNS (DDNS)。要对某些接口限制 DDNS,请输入其 BSD 名称。

例如,要对内置的以太网端口限制 DDNS,请输入 en0

要输入多个接口,请在每次输入后按 Enter 键。