你可以在“终端” App 中使用 dsconfigad 命令将 Mac 绑定到 Active Directory。

例如，可以使用以下命令将 Mac 绑定到 Active Directory：

将 Mac 绑定到域后，你可以使用 dsconfigad 在“目录实用工具”中设定管理选项：

高级命令行选项

对 Active Directory 的原生支持包括在“目录实用工具”中看不到的选项。若要查看这些高级选项，请在配置描述文件中使用“目录”有效负载；或者使用 dsconfigad 命令行工具。

打开 dsconfigad man 页面来查看这些命令行选项。

电脑对象密码时间间隔

Mac 系统绑定到 Active Directory 后，它会设定电脑账户密码并将其储存在系统钥匙串中，密码由 Mac 自动更改。默认密码时间间隔为每 14 天，但你可以使用目录有效负载或者 dsconfigad 命令行工具来设定策略所需的任何时间间隔。

将值设定为 0 将停用自动更改账户密码：dsconfigad -passinterval 0

【注】电脑对象密码以密码值的形式储存在系统钥匙串中。若要获取该密码，请打开“钥匙串访问”，选择系统钥匙串，然后选择“密码”类别。查找类似“/Active Directory/DOMAIN”的条目，其中 DOMAIN 是 Active Directory 域的 NetBIOS 名称。连按此条目，然后选择“显示密码”复选框。根据需要认证为本地管理员。

命名空间支持

macOS 支持认证具有相同短名称（或者登录名）的多个用户，这些名称存在于 Active Directory 网域树系的不同域中。通过“目录”有效负载或者 dsconfigad 命令行工具启用命名空间支持，一个域中的用户可以拥有与二级域中用户相同的短名称。这两种用户都必须使用域名加短名称（DOMAIN\短名称）的方式登录，与登录 Windows PC 类似。若要启用此支持，请使用以下命令：

dsconfigad -namespace

数据包签名和加密

Open Directory 客户端可以对用来与 Active Directory 通信的 LDAP 连接进行签名和加密。借助 macOS 中签名的 SMB 支持，没有必要降低站点的安全性策略密级来适应 Mac 电脑。签名且加密的 LDAP 连接也省去了使用 LDAP over SSL 的必要。如果要求使用 SSL 连接，请使用以下命令来配置 Open Directory 以使用 SSL：

dsconfigad -packetencrypt ssl

请注意，必须信任域控制器上使用的证书，这样 SSL 加密才能成功。如果域控制器的证书不是签发自 macOS 原生受信任的系统根证书，请在系统钥匙串中安装并信任证书链。macOS 默认信任的证书颁发机构位于“系统根证书”钥匙串中。若要安装证书并建立信任，执行以下一项操作：

使用配置描述文件中的证书有效负载来导入根证书和任何必需的中间证书

使用位于“/应用程序/实用工具/”目录下的“钥匙串访问”

使用如下安全性命令：

/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain

限制动态 DNS

macOS 在默认情况下会尝试针对所有接口更新其在 DNS 中的地址 (A) 记录。如果配置了多个接口，这可能会在 DNS 中生成多个记录。若要管理此行为，请使用“目录”有效负载或者 dsconfigad 命令行工具来指定在更新“动态域名系统”(DDNS) 时要使用的接口。指定与 DDNS 更新相关联的接口 BSD 名称。BSD 名称与“设备”栏中的相同，通过运行此命令返回：

networksetup -listallhardwareports

在脚本中使用 dsconfigad 时，你必须包括用来绑定到域的明文密码。通常，没有其他管理员权限的 Active Directory 用户会负责把 Mac 电脑绑定到域。此用户名和密码对储存在脚本中。通常的做法是在绑定后，脚本会安全地自我删除，这样此信息便不再保留在储存设备上。