macOS integrado ao Microsoft Active Directory

No post anterior, falamos sobre a importância em ter um ambiente de computadores e usuários gerenciados por uma solução centralizada e que o Microsoft Active Directory (o famoso “AD”), uma das ferramentas mais utilizadas neste cenário, permite fazer o gerenciamento de usuários, computadores e permissões de acesso aos recursos da rede.

O processo de integração do Windows ao AD é bem simples, bastando utilizar sua versão Professional (do 7 ou 10, por exemplo) e procurar pela função Propriedades do Sistema / Nome do Computador (imagem abaixo). Clicar em “Alterar” para definir um nome para o computador (exemplo: PC-005) e, em “Membro de”, inserir o domímio da rede (domínio do Active Directory, como por exemplo, “domain.local” ou “dominio-local.com.br”). Feito isso, o sistema solicitará uma credencial de administrador para autorizar o ingresso do host ao domínio e, após o processo de integração, solicitará a reinicialização do Windows. Feito isso, já é possível realizar o acesso através de usuários do Active Directory e efetuar o gerenciamento do dispositivo através de políticas de rede (ACL).

Inserindo um computador com Windows no Domínio

O processo de integração do macOS (OS X) ao AD não é tão simples quanto do Windows, mas não chega a ser complicado. Neste artigo, demonstrarei como integrar o macOS 10.13 (High Sierra) ao Microsoft Active Directory do Windows Server 2016 usando a função nativa do próprio macOS.

Ambiente e configuração de rede

No ambiente utilizado, o DHCP da rede já entrega a todos os dispositivos conectados (seja via cabo ou wireless) as configurações de rede padrão, sendo o DNS primário o endereço IP do servidor principal (PDC) do Active Directory (Windows Server) e o DNS secundário (opcional), o endereço IP do servidor auxiliar do Active Directory (BDC). Esta configuração é obrigatória pois, caso contrário, os hosts (computadores e dispositivos) não encontrariam o endereço do domínio.

Ingressando o Mac no AD

Acesse o System Preferences (Preferências do Sistema) e, em Sharing (Compartilhamento), confirme se o nome do computador está de acordo com sua rede ou preferência:

macOS – Preferências do Sistema

Ainda no System Preferences, clique em Users & Groups. Desbloqueie a alteração de configurações clicando no cadeado e inserindo a senha de um administrador do sistema. Clique em Login Options e então em Join. Na janela que se abrirá (imagem abaixo), entre com o domínio da sua rede (domínio do Active Directory) e clique em OK.

macOS – Users and Groups

Confira o nome do computador e entre com as credenciais de algum usuário administrador do Active Directory para autorizar a integração.

macOS – Active Directory Settings

Se a integração tiver sido realizada com sucesso, a informação do Network Account Server exibirá um status de “ok” ao lado do domínio da rede:

macOS – Network Account Server = Ok

Ainda nesta mesma tela, clique no botão Edit e então em Open Directory Utility:

No Directory Utility, clique sobre o Active Directory e em suas opções, marque “Create mobile account at login” e desmarque “Require confirmation before creating a mobile account“, conforme imagem abaixo:

macOS – Directory Utility

Estas opções do Directory Utility garantem que o macOS possa ser acessado mesmo quando estiver fora da rede local (fora de alcance ao controlador de domínio).

Feito isso você já poderá logar no macOS com os usuários disponíveis no AD. A cada login com um novo usuário, o sistema criará um perfil exclusivo (interface e estrutura de diretórios) para este usuário, assim como no Windows.

No Active Directory (Windows Server), o objeto do host estará na OU padrão Computers:

Mac cadastrado no Active Directory

Como permitir que um user local ou do AD seja Administrador no macOS

Para que um usuário comum ou administrador do AD também faça a gestão do sistema (user local), você precisa fazer o login no macOS com o usuário desejado do AD e, em seguida, efetuar logout. Após, logar com uma conta Administrador local do macOS e então configurar a conta desejada do AD como Administrador local (System Preferences / Users & Groups). Isso permitirá que a conta em questão seja administrador do sistema local.

Esta configuração não tornará o usuário administrador no AD (no domínio), somente no sistema operacional local (macOS). É importante manter uma conta Administrador local do macOS ativa para possíveis manutenções.

macOS – Users and Groups

Acesso Remoto ao macOS

Para permitir o acesso remoto ao seu Mac (via VNC, Apple Remote Desktop ou SSH), ative as opções de compartilhamento (imagem abaixo) e efetue os ajustes necessários, como selecionando quais usuários terão permissão para este acesso:

macOS – Sharing Config

Curiosidade: você sabia que o macOS é um sistema baseado em Unix assim como o Linux? Isso quer dizer que o Mac também possui um terminal e muitos dos seus comandos são idênticos aos do Linux.

*Com informações de: Microsoft – Windows em Dominio; Apple – Directory Utility; Microsoft – Nomenclatura do AD.

Leave a Reply