Integre computadores Mac com o Active Directory
Você pode configurar um Mac para acessar informações básicas de contas de usuário em um domínio do Active Directory de um servidor Windows 2000 ou posterior. O conector do Active Directory aparece na lista do painel de Serviços do Utilitário de Diretório e gera todos os atributos necessários para a autenticação do macOS a partir de atributos padrão de contas de usuário do Active Directory. O conector também é compatível com as políticas de autenticação do Active Directory, incluindo alterações de senhas, validade, alterações forçadas e opções de segurança. Devido à compatibilidade do conector com tais recursos, não é necessário fazer alterações de esquema no domínio do Active Directory para obter informações básicas da conta de usuário.
Nota: o macOS não poderá se conectar a um domínio do Active Directory sem um nível funcional de domínio de, no mínimo, Windows Server 2008, a não ser que você ative “criptografia fraca” explicitamente. Mesmo se os níveis de domínio funcionais de todos os domínios forem 2008 ou posterior, pode ser necessário que o administrador especifique a confiança de cada domínio explicitamente para usar criptografia AES Kerberos.
Como o Mac usa o DNS para consultar o domínio do Active Directory
O macOS usa o Domain Name System (DNS) para consultar a topologia do domínio local do Active Directory. Ele usa Kerberos para autenticar e LDAPv3 (Lightweight Directory Access Protocol) para resolver usuários e grupos.
Quando o macOS está totalmente integrado ao Active Directory, os usuários:
Ficam sujeitos às políticas de senha de domínio da empresa
Usam as mesmas credenciais para autenticar e obter autorização a recursos protegidos
Podem receber identidades de certificado de usuário e de máquina de um servidor de Serviços de Certificado do Active Directory
Podem transitar automaticamente por um nome de espaço DFS (Distributed File System) e montar o servidor SMB (Server Message Block) subjacente apropriado.
Para obter mais informações sobre como se conectar a um DFS sem vinculação, consulte o suporte ao nome de espaço de Sistema de Arquivos Distribuídos a seguir.
Também é possível usar o payload Diretório na sua solução de gerenciamento de dispositivos móveis (MDM) para configurar esses ajustes e enviar o payload a todos os computadores Mac na organização. Para obter mais informações, consulte Ajustes do payload MDM Diretório.
Os clientes do Mac possuem acesso de leitura completo aos atributos que foram adicionados ao diretório. Portanto, pode ser necessário alterar a lista de controle de acesso (ACL) desses atributos para permitir que grupos de computadores leiam os atributos adicionados.
Políticas de senha de domínio
No momento do vínculo (e periodicamente, depois disso), o macOS consulta o domínio do Active Directory em busca de políticas de senha. Essas políticas são exigidas de todas as contas de rede e móveis em um Mac.
Durante uma tentativa de início de sessão, enquanto as contas de rede estiverem disponíveis, o macOS consulta o Active Directory para determinar em quanto tempo uma mudança de senha será exigida. Por padrão, se a mudança de senha for exigida dentro de 14 dias, a janela de início de sessão solicita o usuário a alterá-la. Se o usuário alterar a senha, a mudança ocorre tanto no Active Directory como na conta móvel (caso esteja configurada) e a senha das chaves de início é atualizada. Se o usuário ignorar a solicitação, a janela de início de sessão continuará solicitando a alteração da senha até um dia antes do vencimento. O usuário deverá alterar a senha em 24 horas para que o início de sessão prossiga. O administrador do macOS pode alterar a notificação padrão do vencimento da janela de início de sessão a partir da linha de comando. Para isso, deve digitar defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <número de dias>.
Nota: o macOS não oferece suporte a políticas de senha granulares com o PSO (Password Settings Object) do Active Directory. Apenas a política padrão do domínio é usada ao calcular o vencimento da senha.
Suporte ao espaço de nome DFS (Distributed File System)
O macOS é compatível com o trânsito de nomes de espaço do DFS (sistema de arquivos distribuídos) se o Mac estiver vinculado ao Active Directory. Um Mac vinculado ao Active Directory consulta o DNS e controladores de domínio no domínio do Active Directory para resolver o servidor SMB (Server Message Block) automaticamente em um espaço de nome específico.
Você pode usar o recurso “Conectar ao Servidor” do Finder para especificar o nome de domínio totalmente qualificado (FQDN) do nome de espaço do DFS, que inclui a raiz DFS na qual montar o sistema de arquivos de rede. No Mac, clique na mesa para abrir o Finder, escolha o comando “Conectar ao Servidor” no menu Ir e digite smb://resources.betterbag.com/DFSroot.
O macOS usa qualquer tíquete Kerberos disponível e monta o servidor SMB (Server Message Block) base e o caminho. Em algumas configurações do Active Directory, pode ser necessário preencher o campo “Domínios de Busca” na configuração DNS da interface de rede com o nome de domínio totalmente qualificado do Active Directory.
Dica: você pode acessar e transitar por compartilhamentos DFS sem vincular ao Active Directory se o ambiente DFS estiver configurado para usar nomes de domínio totalmente qualificados nas referências. Contanto que o Mac consiga resolver os nomes de host dos servidores apropriados, a conectividade é bem-sucedida sem que o Mac precise ser vinculado ao diretório.