Light-electric.com

IT Журнал
11 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Mac os ввести в домен

Ввод Mac в домен Windows (Active Directory)

Для начала я расскажу вам небольшую историю и если она вам знакома то данная статья для вас. Одним прекрасным утром вы пришли на работу и ваш босс позвонил вам и рассказал, что он приобрел новый ноутбук, который нужно срочно подключить к сети и всем сетевым ресурсам. Вы пришли к нему и поняли, что босс купит Mac. Он хочет чтобы вы ввели его новый ноутбук в домен для доступа ко всем сетевым ресурсам без авторизации. Или может быть рассказ немного отличается. Ваша организация решила расширятся и появился новый департамент графического дизайна и маркетинга, и все сотрудники этого департамента будут использовать Mac.

Что же делать в подобной ситуации? Не волнуйтесь, вы можете присоединить Mac в Windows домен и сегодня я покажу вам как это делать. В данной статье мы будем подключать Snow Leopard к домену Windows Server 2008.

Настройка сети и аккаунта в Mac

Домен Windows полностью зависит от корректной настройки DNS поэтому первое что вам нужно сделать это установить корректный адрес DNS сервера, который в моем случаем является также контроллером домена. Для этого запустите System Preferences и нажмите Network для открытия сетевых настроек.

По умолчанию ваш сетевой адаптер получает настройки через DHCP. В зависимости от настроек вашей сети вы можете установить настройки вручную выбрав опцию Manually.

Мой контроллер домена имеет IP адрес 192.168.1.172, поэтому я указываю в секции DNS Server Это значение.

Вернитесь назад в System Preferences и выберите Accounts

Нажмите на замок внизу для возможности внесения изменений. Затем нажмите кнопку Join рядом с Network Account Server

Теперь нажмите кнопку Open Directory Utility

Находясь в Directory Utility опять нажмите замок внизу, выделите строку с Active Directory и нажмите иконку с карандашом для начала редактирования.

В данном разделе вам нужно ввести информацию о домене и ID компьютера. В данном примере мой домен имеет имя hq.test.us и ID компьютера Mac. ID компьютера является именем аккаунта компьютера Mac в Windows домене.

Нажмите стрелку для отображения дополнительных опций. Это даст вам 3 дополнительных опции для конфигурирования. Для упрощения я оставляю всё по умолчанию кроме секции Administrative. Нажмите на кнопку Administrative и введите IP адрес или полное доменное имя контроллера домена в секции Prefer this domain server. Также тут можно указать какие доменные группы будут иметь полномочия администратора в Mac.

Теперь нажмите кнопку Bind и введите данные доменного пользователя, который имеет право на ввод компьютеров в домен, затем нажмите OK.

Вы будете видеть прогресс ввода в домен, состоящий из 5 шагов.

В результате компьютер введен в домен и кнопка Bind переименуется в Unbind.

Нажмите OK и затем Apply в окне Directory Utility. Закройте Directory Utility. Вы должны вернутся в окно Accounts. Обратите внимание на зеленую точку и доменное имя в разделе Network account server.

Вход под учетной записью домена на ваш Mac

В настоящий момент вы уже можете входить в Mac под учетными записями домена Windows. В окне выбора аккаунта выберите Other.

Теперь введите данные учетной записи домена.

В результате вы авторизуетесь на компьютер. И что делать дальше? Возможен ли доступ к сетевым ресурсам?

Попробуем подключить сетевую шару. Из Finder нажмите Go а затем Connect to Server. Для использования SMB применяем следующий синтаксис :smb://servername/share и затем нажимаем Connect.

Обратите внимание что вам не нужно вводить данные для авторизации на сервере.

На этом все, это было не очень то сложно, не так ли?

Решения для интеграции Mac-to-AD

Если необходимо обслуживать клиентов Mac наравне с клиентскими системами Windows, то потребуется решение для интеграции Mac-to-AD. Недавно я опробовал четыре продукта, которые отлично справляются с этой задачей

Еще совсем недавно использование компьютера Apple Macintosh в среде Windows предполагало массу усилий для интеграции программного обеспечения и изменения схемы Active Direcory (AD). Однако в последние годы процесс интеграции стал значительно проще, и фактически необходимые механизмы предоставляются по умолчанию. Это изменение произошло не потому, что Microsoft и Apple «раскурили трубку мира» и стали работать вместе, а в результате того, что обе компании следуют стандартам RFC 2703 и LDAP. В результате, если вы пользуетесь системой Windows Server 2003 R2 и выше или системой Apple OS X Panther (версии 10.3) и выше и перед вами стоит задача провести проверку подлинности клиентов Mac в службе AD, вам не требуется никакое специальное программное обеспечение. Достаточно просто указать путь к домашней папке, используя старый формат «в стиле NT», в свойствах пользовательского объекта AD, чтобы содержимое сетевого диска появилось на рабочем столе. Если применяется мобильная учетная запись (которую в Microsoft называют «кэшируемые учетные данные и профиль»), то пользователи могут заходить в систему при отсутствии подключения к домену — опять же без какого-либо дополнительного программного обеспечения. Но если необходимо обслуживать клиентов Mac наравне с клиентскими системами Windows, то потребуется решение для интеграции Mac-to-AD. Недавно я опробовал четыре продукта, которые отлично справляются с этой задачей.

Три из них — Centrify’s DirectControl, Likewise Software’s Likewise Enterprise и Quest Software’s Authentication Services — интегрируют компьютеры Mac и компьютеры с системами UNIX и Linux в «мир Windows». Четвертый продукт, Thursby’s ADmitMac, интегрирует только Mac.

Тестирование продуктов

Я протестировал каждый продукт в отдельной среде Windows Server 2008 AD, расположенной на сервере VMware ESXi. Пакеты DirectControl и Authentication Services устанавливал прямо на котроллер домена (DC). Следуя рекомендациям в сопроводительных документах, я установил пакет Likewise Enterprise на отдельный сервер. Система ADmitMac не требует установки серверного программного обеспечения.

В качестве клиентской системы я использовал ноутбук MacBook Pro с операционной системой X Snow Leopard (версия 10.6.7). После установки и настройки каждого продукта я проверял их возможности. Процесс тестирования включал:

  • установку программного обеспечения;
  • добавление клиентской системы Mac к домену;
  • удаление клиентской системы Mac из домена;
  • авторизацию в домене;
  • перенос пользователя;
  • использование консоли управления (если есть возможность применения);
  • изменения настроек с помощью объектов Group Policy Object (GPO);
  • добавление глобальных групп в локальные группы;
  • установку программного обеспечения на клиентскую систему Mac;
  • использование кэшированных учетных данных для входа в систему, при отсутствии подключения к домену;
  • отключение автоматического входа в систему и сообщений входа в систему с помощью объектов GPO.

DirectControl

Установка пакета DirectControl — дело нетрудное. Просто дважды щелкните мышью по файлу CentrifyDC_Console-4.4.3-win32 на контроллере домена и следуйте подсказкам. Для установки не требуется наличия базы данных или выполнения других предварительных условий, за исключением одного: опция. NET Publisher evidence verification должна быть отключена. Сделать это просто — программа установки справится со всем сама. Куда трудней было узнать, что же делает опция. NET Publisher evidence verification. После долгих поисков в Интернете я наконец обратился за разъяснениями к сотрудникам компании Centrify. Как мне удалось выяснить, отключение механизма publisher evidence verification просто ускоряет запуск консольных приложений, разрешая им запускаться без проведения длительного процесса проверки, который может вызывать проблемы в изолированных сетях, например в исследовательских лабораториях, у которых нет соединения с Интернетом.

Читать еще:  Как ввести mac в домен

После завершения процесса установки запустите консоль DirectControl. При первом запуске программы мастер установки поможет вам пройти процесс настройки зоны, используемой по умолчанию. Зоны помогают группировать по коллекциям компьютеры с системами UNIX и Linux, а также компьютеры Mac, и, кроме того, идентифицировать созданные коллекции. Группируя клиентские машины таким образом, вы легко сможете применить для них политики безопасности или политики настроек. Зоны хранятся в каталоге AD в контейнере domain.com/Program Data/Centrify/Zones.

Мастер установки также помогает установить необходимые лицензии, которые хранятся в контейнере domain.com/Program Data/Centrify/Licenses. Ни у одной программы, для которой я готовил обзор, я никогда не видел, чтобы лицензии хранились в каталоге AD. Это уникальное решение.

Следующим шагом после установки серверной части системы будет инсталляция клиентской программы на компьютер Mac с помощью пакета, соответствующего операционной системе. Для системы Mac OS X Snow Leopard используйте файл CentrifyDC-4.4.3-mac10.6.dmg. Двойной щелчок по этому файлу открывает меню, в котором есть функция Prepare, используемая для проверки наличия корректного соединения между службами DirectControl и AD и их готовности к интеграции. После появления запроса введите имя домена, и в течение нескольких секунд будет выполнено 20 тестов. Эти тесты проверяют, достаточно ли места на диске, правильно ли работает DNS, содержит ли сайт контроллер домена и многое другое. В моем случае система не прошла тест, который проверяет синхронность часов котроллера домена и клиентской системы. После того как я решил проблему, все было готово к установке клиентской программы.

Сама установка занимает всего несколько секунд, после чего система DirectControl выдает сообщение о присоединении к домену. Мне понравилась эта функция, так как она устраняет любые сомнения относительно необходимости добавления машины в домен. В окне настроек можно самостоятельно задать домашнюю папку пользователя (/home/username), идентификатор UNIX ID и идентификатор группы либо вы можете позволить механизму DirectControl’s Auto Zone настроить данные параметры автоматически. Точная настройка идентификатора UNIX ID и идентификатора группы важна, если вы интегрируете в каталог AD машину с установленной системой UNIX или Linux, но так как я интегрировал машину с системой Mac, я выбрал режим Auto Zone. Он сработал отлично.

Вести журнал непосредственно в окне настроек весьма удобно. Я случайно допустил ошибку в имени домена, и запись в журнале очень помогла в решении этой проблемы. После присоединения компьютера к домену рекомендуется перезагрузка.

После перезагрузки машины MacBook Pro я смог войти в систему как пользователь домена. Мне не пришлось дописывать имя домена domainперед именем пользователя или добавлять его в конец (@domain). Так как я первый раз вошел в систему под этой учетной записью, появился запрос на изменение пароля. После того как я ввел новый пароль, процесс загрузки продолжился.

Кэширование учетных данных работает без предварительной настройки. Чтобы протестировать эту функцию, я отсоединил сетевой кабель, отключил сетевую карту AirPort и вышел из системы. Когда я попытался войти заново, для авторизации были использованы кэшированные учетные данные, и вскоре я снова видел перед собой рабочий стол.

Вернувшись к контроллеру домена, я обнаружил новую закладку Centrify Profile на страницах свойств объектов пользователей и компьютеров в оснастке Active Directory Users and Computers. На странице свойств компьютера эта закладка содержит информацию «только для чтения», такую как версия клиентского программного обеспечения, тип используемой зоны (в моем случае Auto Zone) и сведения о том, пользуется ли клиент лицензированными или нелицензированными функциями. На странице свойства пользователя эта закладка содержит настраиваемую информацию. Хотя в этом нет необходимости, при интеграции компьютеров Mac в домен AD вы можете настраивать некоторые параметры систем UNIX и Linux, такие как идентификатор UNIX ID, имя пользователя, оболочка (/bin/bash), домашняя папка и основная группа.

Система DirectControl интегрирована в консоль Group Policy Management Console (GPMC). Как видно на экране 1, вы легко можете управлять клиентами Mac. Например, я отключил автоматический вход в систему. Как и для машин с системой Windows, для компьютера с системой OS X можно настроить автоматический вход в систему. Однако, в отличие от машин с системой Windows, эта функция не отключается в тот момент, когда компьютер присоединяется к домену. Если пользователь знает локальный пароль администратора, он может настроить машину таким образом, чтобы та загружалась без проверки пароля. Я отключил эту опцию всего за несколько кликов.

[Новичкам] Как ввести Mac в Windows доме

А что, если вы работаете в организации, достаточно крупной, в которой используются Windows Server и Active Directory, соответственно? А что, если у вас Мак? Как известно, обычные PC не умеют использовать Apple Open Directory, но зато ваш Mac умеет работать с Microsoft Active Directory и как его ввести в домен, я сейчас и расскажу.Ничего сложного в последовательности действий нет, хотя надо признать, что обычную машину на Windows ввести в AD немного проще. Пару дней назад, притащив свой MacBook на работу, решил ввести его в домен. Но не сразу сообразил куда же нужно зайти, чтобы увидеть настройки связанные с доменом. Попытка найти нужный пункт через поиск не дала результатов, хотя и выглядело все логично: работа с настройками домена должна быть в категории “Сеть”, но ее там не было.

Сначала, мне казалось, что я просто не вижу заветных иконок и пунктов. И как оказалось — их там и не было. А вот где я их нашел, раскрою секрет.
Для начала открываем меню “Системные настройки”. Нас интересует категория “Система” и в ней пункт “Пользователи и группы”.

Тут для нас припасен пункт “Параметры входа” — это именно то, что нам нужно и не нашлось в меню “Сеть”.

Снимаем замочек вводом пароля и выбираем заветную вкладку. Видите, в самом низу пункт “Сетевой сервер учетных записей”? Да, как раз его нам и нужно подключить одноименной кнопкой.

В появившемся окне вводим всю необходимую информацию: имя сервера (можно и ip), ID компьютера и связку логин-пароль для добавления машины в домен. Конечно же, у вас должны быть права в домене для такой операции.

Читать еще:  Настройка outlook для yandex свой домен

Возвращаемся на предыдущее окно и обращаем внимание на пункт “Автоматический вход”. Если ваш Mac используется в личных целях дома, а на работе вы используете учетную запись из Active Directory, то советую выставить значение “Выкл.” этого параметра. Таким образом, при старте системы вы будете попадать на форму ввода логина с паролем, где сможете использовать данные доменной учетки. Также, на всякий случай, поставьте галочку напротив пункта «Показывать меню ввода в окне входа в систему».
Остальные пункты, кроме подсказок VoiceOver можете оставить по-умолчанию.

На этом все. Даже перезагружаться не нужно (как это раздражает на Windows). Закрываем замочек, чтобы никто не смог поменять настройки без аутентификации.

Остается только только зайти в систему используя свои данные. В правом верхнем углу, рядом с часами, появилось новое меню с активной в данный момент учетной записью. Если вы решите зайти под доменной учеткой, достаточно нажать на имя пользователя и выбрать пункт “Окно входа”. Перед вами появится стандартная форма в которую нужно ввести данные вида domainnameuser и пароль (Не забывайте про имя домена!).

Переключаться между учетными записями можно в любой момент, вводя для каждой свой пароль. Переключение происходит очень быстро, а сеанс завершать не обязательно.
Все, настройка закончена. Добавлена ли наша машина, можно посмотреть в Acive Directory.

Настройка доступа к доменам в Службе каталогов на Mac

Важно! Расширенные параметры плагина Active Directory позволяют сопоставить атрибут уникального идентификатора пользователя macOS (UID), атрибут первичного идентификатора группы (GID) и атрибут группового GID соответствующим атрибутам в схеме Active Directory. Если позже Вы измените эти настройки, то пользователи могут потерять доступ к ранее созданным файлам.

Установление связи с помощью Службы каталогов

В программе «Служба каталогов» на Mac нажмите «Службы».

Нажмите значок замка.

Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).

Выберите Active Directory и нажмите кнопку «Правка» (с изображением карандаша).

Введите DNS-имя домена Active Directory, с которым Вы хотите связать конфигурируемый компьютер.

Нужное DNS-имя может подсказать администратор домена Active Directory.

В случае необходимости, отредактируйте ID компьютера.

ID компьютера — это имя, под которым данный компьютер известен в домене Active Directory. По умолчанию оно соответствует имени компьютера. ID компьютера можно изменить, чтобы он соответствовал установленной в Вашей организации схеме назначения имен. Если Вы не уверены, спросите администратора домена Active Directory.

Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.

(Необязательно) Выберите параметры на панели «Параметры».

(Необязательно) Выберите параметры на панели «Соответствия».

(Необязательно) Выберите расширенные параметры. Можно также изменить настройки дополнительных параметров позже.

Если расширенные параметры скрыты, нажмите треугольник раскрытия в окне.

Предпочесть этот сервер. По умолчанию macOS выбирает используемый контролер домена на основе информации о сайте и ответной реакции контроллера домена. Если здесь указан контроллер домена на том же сайте, он проверяется первым. Если контроллер домена недоступен, macOS возвращается к режиму по умолчанию.

Разрешить администрирование. Если этот параметр включен, члены указанных групп Active Directory (по умолчанию это администраторы домена и администраторы предприятия) получают права администратора на локальном компьютере Mac. Вы можете указать здесь требуемые группы безопасности.

Разрешить аутентификацию с любого домена из совокупности деревьев. По умолчанию macOS автоматически просматривает все домены для аутентификации. Снимите этот флажок, чтобы разрешить аутентификацию только из домена, с которым связан компьютер Mac.

Нажмите «Связать», затем введите следующую информацию.

Примечание. Пользователь должен иметь права в Active Directory на связывание компьютера с доменом.

Имя пользователя и пароль: Можно выполнить аутентификацию, введя имя и пароль учетной записи пользователя Active Directory. Либо имя и пароль должны предоставляться администратором домена Active Directory.

OU компьютера: Введите организационную единицу (OU), для компьютера, который Вы настраиваете.

Использовать для аутентификации: Выберите, если хотите добавить Active Directory к алгоритму поиска аутентификации компьютера.

Использовать для контактов: Выберите, если хотите добавить Active Directory к алгоритму поиска контактов компьютера.

Служба каталогов устанавливает надежное связывание между настраиваемым компьютером и сервером Active Directory. Алгоритм поиска компьютера настраивается в соответствии с параметрами, которые Вы выбрали при идентификации, и Active Directory включается в панели «Службы» программы «Служба каталогов».

Если Вы выбрали параметр «Использовать для аутентификации» или параметр «Использовать для контактов», то вместе с настройками по умолчанию дополнительных параметров Active Directory к алгоритму поиска идентификации компьютера и/или алгоритму поиска контактов добавляется лес Active Directory.

Но если Вы сняли флажок для параметра «Разрешить идентификацию с любого домена из совокупности деревьев» в панели расширенных параметров администратора до нажатия кнопки «Связать», то вместо леса добавляется ближайший домен Active Directory.

Позже Вы можете изменить алгоритм поиска, добавив или удалив лес Active Directory или отдельные домены. См. раздел Определение политик поиска.

Установка связи с помощью профиля конфигурации

Компонент каталога в профиле конфигурации может настроить один Mac или автоматизировать сотни компьютеров Mac на связывание с Active Directory. Как и другие компоненты профиля конфигурации, компонент каталога можно развернуть вручную, с помощью скрипта, в процессе регистрации MDM или с помощью решения для управления клиентами.

Компоненты полезной нагрузки, входящие в состав профилей конфигурации, позволяют администраторам управлять конкретными частями macOS. Вы выбираете в Менеджере профилей те же функции, которые выбрали бы в Службе каталогов. Затем Вы выбираете способ передачи профиля конфигурации на компьютеры Mac.

В приложении Server на компьютере Mac выполните следующие действия.

О том, как настроить Менеджер профилей, см. в разделе Start Profile Manager в Руководстве пользователя macOS Server.

О том, как создать полезную нагрузку Active Directory, см. в разделе Directory payload settings в руководстве Mobile Device Management Settings for IT Administrators (Настройки системы управления мобильными устройствами для системных администраторов).

Если на Вашем компьютере нет приложения Server, его можно загрузить из Mac App Store.

Установление связи с помощью командной строки

Для связывания Mac с Active Directory можно использовать команду dsconfigad в программе «Терминал».

Например, можно использовать следующую команду, чтобы установить связь Mac с Active Directory:

После связывания Mac с доменом можно настроить параметры администрирования в Службе каталогов, используя команду dsconfigad :

Расширенные параметры командной строки

Встроенная поддержка Active Directory включает параметры, не отображаемые в Службе каталогов. Для просмотра этих расширенных параметров используйте компонент каталога в профиле конфигурации или инструмент командной строки dsconfigad .

Изучите параметры командной строки, открыв man-страницу для команды dsconfigad.

Интервал смены пароля компьютера

Если система Mac связана с Active Directory, пароль учетной записи компьютера хранится в системной связке ключей и автоматически изменяется компьютером Mac. По умолчанию пароль изменяется каждые 14 дней, однако Вы можете изменить этот интервал в соответствии с требованиями политики при помощи инструмента командной строки dsconfigad .

Читать еще:  Добавьте в dns домена txt запись

Если установить значение 0, автоматическое изменение пароля учетной записи будет отключено: dsconfigad -passinterval 0

Примечание. Пароль компьютера хранится как значение пароля в системной связке ключей. Чтобы извлечь пароль, откройте Связку ключей, выберите системную связку ключей, а затем выберите категорию «Пароли». Найдите запись вида /Active Directory/ДОМЕН, где ДОМЕН — это имя NetBIOS домена Active Directory. Дважды нажмите эту запись, затем установите флажок «Показать пароль». При необходимости пройдите аутентификацию как локальный администратор.

Поддержка пространства имен

macOS поддерживает аутентификацию нескольких пользователей, имеющих одинаковые короткие имена (имена для входа), но в разных доменах леса Active Directory. Если включить поддержку пространства имен с помощью компонента каталога или инструмента командной строки dsconfigad , два пользователя в разных доменах могут иметь одинаковое короткое имя. Для входа в систему оба пользователя должны указать свой домен, а затем свое короткое имя (ДОМЕНкороткое имя), аналогично тому, как выполняется вход в систему на ПК с Windows. Для включения этой поддержки используйте следующую команду:

Подписание и шифрование пакетов

Клиент Open Directory способен подписывать и шифровать подключения LDAP, используемые для связи с Active Directory. В macOS встроена поддержка механизма подписания SMB, поэтому для подключения компьютеров Mac не требуется снижать уровень безопасности, заданный в политике сайта. Подписанные и зашифрованные подключения LDAP также устраняют потребность в использовании LDAP через SSL. Если требуется устанавливать соединения SSL, настройте Open Directory на использование SSL с помощью следующей команды:

dsconfigad -packetencrypt ssl

Учтите, что для успешного шифрования SSL необходимо, чтобы контроллеры доменов использовали надежные сертификаты. Если сертификаты контроллеров доменов получены не из встроенных надежных системных корней macOS, установите цепь сертификатов в системной связке ключей и пометьте ее как надежную. Бюро сертификации, которые по умолчанию считаются надежными в macOS, находятся в связке ключей «Системные корни». Чтобы установить сертификаты и пометить их как надежные, выполните одно из следующих действий:

Импортируйте корневой сертификат и любые необходимые промежуточные сертификаты, используя компонент сертификатов в профиле конфигурации

Используйте Связку ключей, расположенную в папке /Программы/Утилиты/

Используйте команду security:

/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain

Ограничение динамической DNS

По умолчанию macOS пытается обновить свою запись с адресом (A) в DNS для всех интерфейсов. Если настроено несколько интерфейсов, это может привести к тому, что в DNS окажется несколько записей. В этом случае укажите, какой интерфейс нужно использовать при обновлении динамической DNS (DDNS), с помощью компонента каталога или инструмента командной строки dsconfigad . Укажите имя BSD интерфейса, с которым нужно связать обновления DDNS. Имя BSD совпадает с именем устройства, возвращаемым следующей командой:

Если команда dsconfigad используется в скрипте, необходимо открытым текстом указать пароль, используемый для связывания с доменом. Обычно ответственность за связывание компьютеров Mac с доменом возлагается на пользователя Active Directory, не имеющего других прав администратора. Имя и пароль этого пользователя хранятся в скрипте. Обычно после установления связи скрипт сам себя надежно удаляет, чтобы эта информация не оставалась на устройстве хранения.

Adding a MAC to a Windows Domain — well not quite

I am a Windows SYS Admin. We already have some MAC’s, but I am not happy with the way that I CAN’T really admin them.

As we get a new MAC now, what’s the correct way to add it? (It’s never really a part of the domain — I know that)

I will have 1 admin user on this MAC, and the owner as well (total of 2 admins) — IS there a difference to which account is created first?

Can I make it, that the user’s account will be able to see his currently private folders on our File Server (SMB protocol?) — if our AD users are: first.last — can that be the login to the MAC?

Я администратор Windows SYS. У нас уже есть MAC, но я не доволен тем, как я НЕ МОГУ по-настоящему их администрировать.

Итак, мой вопрос:

Как мы получаем новый MAC теперь, что это правильный путь, чтобы добавить его? (Это никогда не является частью домена — я знаю это)

У меня будет 1 пользователь admin на этом MAC-адресе, а также владелец (всего 2 администратора) — есть ли разница, с которой создается первая учетная запись ?

Могу ли я сделать так, чтобы учетная запись пользователя могла видеть его личные папки на нашем Файловом сервере (протокол SMB?) — если наши пользователи AD: first.last — это может быть логин для MAC ?

Создан 06 ноя. 13 2013-11-06 16:27:18 Saariko

1 ответ

First off, Macs will happily bind to Active Directory domains — there’s some variation between versions of AD and OS X, but if you’re on AD 2008 or newer and OS X 10.8.3 or newer you won’t have any problems. Use the Accounts preference pane, open Directory Utility for more control, or use dsconfigad from the Terminal. Once a Mac is bound, you will see it in your AD domain’s Computers, just like anything else.

The UUIDs will be different, based on the order of account creation, but there is no functional difference between any two accounts that have been granted administrative rights. You can also specify AD groups when binding to grant admin rights (typically AD domain and enterprise admins).

Accessing the SMB share will be based upon that share’s owner and permissions. If the user logs in to the Mac with his AD credentials, they should be able to easily connect to the share; with a small amount of effort you can easily add the share to auto-mount at login.

You might want to check out AFP548 for more resources on Macs and AD.

Создан 06 ноя. 13 2013-11-06 16:41:19 da4

thanks, so if our AD users are: first.last — can that be the login to the MAC? – Saariko 06 ноя. 13 2013-11-06 16:58:53

yes, first.last would be valid for an AD-based Mac username – HairOfTheDog 07 ноя. 13 2013-11-07 05:26:03

Yes, same credentials as on the AD account. For my 2008 domain, accounts are created as firstinitial lastname @domain — after the Macs are bound, users can log in with any of the expected permutations (Lastname, Firstname, firstinitial lastname at domain or without the at domain). – da4 07 ноя. 13 2013-11-07 18:56:01

Ссылка на основную публикацию
Adblock
detector