Qual o grupo do adds nativo com permissão administrativa no domínio?

Você pode usar o comando dsconfigad no app Terminal para vincular um Mac ao Active Directory.

Por exemplo, o comando a seguir pode ser usado para vincular o Mac ao Active Directory:

dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>

Após vincular o Mac ao domínio, você pode usar dsconfigad para definir as opções administrativas no Utilitário de Diretório:

dsconfigad -alldomains enable -groups domain <>, enterprise <>

Opções avançadas de linha de comando

O suporte nativo ao Active Directory inclui opções não exibidas no Utilitário de Diretório. Para ver essas opções avançadas use o payload do diretório em um perfil de configuração ou a ferramenta de linha de comando dsconfigad.

• Abra a página man do dsconfigad para analisar as opções da linha de comando.

Intervalo da senha de objeto do computador

Quando um sistema Mac está vinculado ao Active Directory, ele define uma senha de conta do computador que é armazenada nas chaves do sistema e alterada automaticamente pelo Mac. O intervalo padrão da senha é de 14 dias, mas você pode usar o payload do diretório ou a ferramenta de linha de comando dsconfigad para definir qualquer intervalo exigido por uma política.

A definição do valor em 0 desativa a alteração automática da senha da conta: dsconfigad -passinterval 0

Nota: a senha de objeto do computador é armazenada como um valor de senha nas chaves do sistema. Para recuperar a senha, abra o “Acesso às Chaves”, selecione as chaves do sistema e selecione a categoria Senhas. Encontre a entrada que contenha /Active Directory/DOMAIN, onde DOMAIN é o nome NetBIOS do domínio do Active Directory. Clique duas vezes nessa entrada e selecione a opção “Mostrar senha”. Autentique como administrador local, conforme necessário.

Suporte a nome de espaço

O macOS oferece suporte à autenticação de vários usuários com o mesmo nome abreviado (ou nome de início de sessão) existentes em domínios diferentes dentro da floresta do Active Directory. A ativação do suporte ao nome de espaço com o payload do diretório ou com a ferramenta de linha de comando dsconfigad permite que um usuário de um domínio tenha o mesmo nome abreviado que um usuário em um domínio secundário. Ambos os usuários devem iniciar a sessão usando o nome de seus domínios seguido dos nomes abreviados (DOMÍNIO/nome abreviado), de maneira similar ao início de sessão em um PC Windows. Para ativar esse suporte, use o seguinte comando:

dsconfigad -namespace <forest>

Assinatura e criptografia de pacotes

O cliente Open Directory pode assinar e criptografar as conexões LDAP usadas para a comunicação com o Active Directory. Como o macOS possui suporte assinado a SMB, não deve ser necessário rebaixar a política de segurança do local para acomodar computadores Mac. As conexões LDAP assinadas e criptografadas também eliminam qualquer necessidade de usar LDAP através de SSL. Caso as conexões SSL sejam exigidas, use o comando a seguir para configurar o uso de SSL no Open Directory:

dsconfigad -packetencrypt ssl

Note que os certificados usados nos controladores de domínio devem ser confiáveis para que a criptografia SSL funcione corretamente. Se os certificados do controlador de domínio não forem emitidos pelas raízes confiáveis do sistema nativo macOS, instale e confie na cadeia de certificado nas chaves do Sistema. No macOS, as autoridades de certificação confiáveis por padrão estão nas chaves “Raízes do Sistema”. Para instalar certificados e estabelecer confiança, faça o seguinte:

• Importe o certificado raiz e qualquer outro certificado intermediário necessário usando o payload de certificados em um perfil de configuração;

• Use o “Acesso às Chaves”, localizado em /Aplicativos/Utilitários/

• Use o comando de segurança a seguir:

  /usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>

Restrinja o DNS Dinâmico

Por padrão, o macOS tenta atualizar seu registro de Endereço (A) no DNS em todas as interfaces. Se várias interfaces estiverem configuradas, isso poderá resultar em entradas múltiplas no DNS. Para gerenciar esse comportamento, especifique qual interface usar ao atualizar o DDNS (Dynamic Domain Name System) usando o payload do diretório ou a ferramenta de linha de comando dsconfigad. Especifique o nome BSD da interface à qual associar as atualizações de DDNS. O nome BSD é o mesmo do campo Dispositivo, obtido ao executar este comando:

networksetup -listallhardwareports

Ao usar dsconfigad em um script, deve-se incluir a senha não criptografada usada para criar o vínculo ao domínio. Normalmente, um usuário do Active Directory sem nenhum outro privilégio de administrador recebe a responsabilidade de vincular os computadores Mac ao domínio. O nome e a senha desse usuário são armazenados no script. É prática corrente que o script se apague com segurança após o vínculo para que essas informações não residam mais no dispositivo de armazenamento.

O que é um grupo AD?

Como dar permissões de administrador para um usuário de domínio?

Qual é pasta padrão dos usuários e grupos do domínio?

Como dar permissão no Active Directory?