تكامل أجهزة كمبيوتر Mac مع Active Directory
يمكنك تكوين Mac للوصول إلى معلومات حساب المستخدم الأساسية في نطاق Active Directory على خادم Windows 2000 (أو أحدث). ويكون موصّل Active Directory مدرجًا في جزء الخدمات ضمن أداة الدليل، وينشئ جميع السمات المطلوبة لمصادقة macOS من السمات القياسية في حسابات مستخدم Active Directory. كما يدعم الموصل أيضًا سياسات مصادقة Active Directory، بما في ذلك تغييرات كلمة السر وتواريخ انتهاء الصلاحية والتغييرات الإجبارية وخيارات الأمن. ونظرًا لأن الموصل يدعم هذه السمات، فلن يلزمك إجراء تغييرات في مخطط قاعدة البيانات على نطاق Active Directory للحصول على معلومات حساب المستخدم الأساسية.
ملاحظة: لن يكون بإمكان macOS الانضمام إلى نطاق Active Directory دون مستوى وظيفي للنطاق لا يقل عن Windows Server 2008، إلا إذا قمت بتمكين التشفير الضعيف "weak crypto" بشكل صريح. حتى إذا كانت المستويات الوظيفية للنطاق الخاصة بجميع النطاقات هي 2008 أو أحدث، ربما يتعين على المسؤول أن يحدد بشكل صريح الثقة الخاصة بكل نطاق لاستخدام تشفير Kerberos AES.
كيفية استخدم Mac نظام DNS للاستعلام عن نطاق Active Directory
يستخدم macOS نظام أسماء النطاقات (DNS) للاستعلام عن طوبولوجيا نطاق Active Directory المحلي. ويستخدم Kerberos للمصادقة والبروتوكول الخفيف للوصول للدليل (LDAPv3) بالنسبة لحل المستخدم والمجموعة.
عند تكامل macOS بشكل تام مع Active Directory، يكون المستخدمون:
خاضعين إلى سياسات كلمات سر النطاق الخاصة بالمؤسسة
بإمكانهم استخدام بيانات الاعتماد نفسها للمصادقة والحصول على تخويل للموارد المُؤمّنة.
بإمكانهم الحصول على هويات شهادات الأجهزة والمستخدمين من خادم خدمات الشهادات في Active Directory
بإمكانهم اجتياز مساحة اسم نظام الملفات الموزعة (DFS) وتحميل خادم كتلة رسائل الخادم (SMB) الأساسي المناسب.
لمزيد من المعلومات حول الاتصال بنظام DFS دون ربط، انظر دعم مساحة اسم نظام الملفات الموزعة أدناه.
يمكنك أيضًا استخدام حمولة الدليل في حل إداة جهاز الجوال (MDM) لتكوين هذه الإعدادات، ثم دفع هذه الحمولة إلى جميع أجهزة كمبيوتر Mac في مؤسستك. لمزيد من المعلومات، انظر إعدادات حمولة MDM الخاصة بالدليل.
من المفترض أن يتمتع عملاء Mac بصلاحية الوصول الكاملة لقراءة السمات المضافة إلى الدليل. ولذلك، قد يكون من الضروري تغيير قائمة التحكم في الوصول (ACL) لتلك السمات من أجل السماح لمجموعات أجهزة الكمبيوتر بقراءة هذه السمات المضافة.
سياسات كلمة السر النطاق
في وقت الارتباط (وعلى مدار فواصل زمنية بعد ذلك)، يستعلم macOS عن سياسات كلمة السر في نطاق Active Directory. يتم فرض هذه السياسات لكل حسابات الشبكة والجوال على Mac.
أثناء محاولة تسجيل الدخول عند توفر حسابات الشبكة، يستعلم macOS في Active Directory لتحديد المدة الزمنية قبل استلزام تغيير كلمة السر. بشكل افتراضي، إذا كان تغيير كلمة السر مطلوبًا خلال 14 يومًا، فستقوم نافذة تسجيل الدخول بمطالبة المستخدم بتغييرها. إذا قام المستخدم بتغيير كلمة السر، فسيحدث هذا التغيير في Active Directory وحساب الجوال أيضًا (إذا تم تكوين أحدهما)، وسيتم تحديث كلمة سر سلسلة مفاتيح تسجيل الدخول. وإذا قام المستخدم باستبعاد طلب كلمة السر، فستقوم نافذة تسجيل الدخول بمطالبة المستخدم حتى اليوم الذي يسبق تاريخ انتهاء صلاحيتها. يجب على المستخدم تغيير كلمة السر في غضون 24 ساعة لمتابعة عملية تسجيل الدخول. يستطيع مسؤول macOS تغيير إشعار انتهاء الصلاحية الافتراضي لنافذة تسجيل الدخول من سطر الأوامر بكتابة defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>.
ملاحظة: لا يدعم macOS سياسات كلمة السر التفصيلية باستخدام كائن إعدادات كلمة السر (PSO) لـ Active Directory. ولا يتم استخدام سوى سياسة النطاق الافتراضية عند حساب انتهاء صلاحية كلمة السر.
دعم مساحة اسم نظام الملفات الموزعة
يدعم macOS اجتياز مساحات أسماء نظام الملفات الموزعة (DFS) إذا كان Mac مرتبطًا بـ Active Directory. يستعلم Mac المرتبط بـ Active Directory عن DNS ووحدات تحكم النطاق في نطاق Active Directory لتحليل خادم كتلة رسائل الخادم (SMB) المناسب تلقائيًا بحثًا عن مساحة اسم معينة.
يمكنك استخدام ميزة "اتصال بالخادم" في فايندر لتحديد اسم النطاق المؤهل بالكامل (FQDN) لمساحة اسم DFS، الذي يتضمن جذر DFS لتحميل نظام ملفات الشبكة إليه. على Mac، انقر على سطح المكتب لفتح فايندر، اختر أمر اتصال بالخادم في قائمة انتقال إلى، ثم أدخل smb://resources.betterbag.com/DFSroot.
يستخدم macOS أي تذاكر Kerberos متوفرة ويقوم بتحميل خادم Server Message Block (SMB) الأساسي والمسار. في بعض عمليات تكوين Active Directory، قد تحتاج إلى تعبئة حقل نطاقات البحث في تكوين DNS لواجهة الشبكة باسم نطاق Active Directory المؤهل كليًا.
تلميح: يمكنك الوصول إلى مشاركات DFS واجتيازها دون الربط بـ Active Directory إذا تم تكوين بيئة DFS لاستخدام أسماء النطاقات كاملة الأهلية في الإحالات. ما دام الـ Mac قادر على حل أسماء المضيفين للخوادم المناسبة، ينجح الاتصال دون الحاجة إلى ارتباط الـ Mac بالدليل.