Компания собирается нанять меня в качестве своего ИТ-отдела. Админ. (У них на данный момент нет Админа). В интервью они заявили, что одна из вещей, которые они хотят, чтобы я сделал, - это установить контроллер домена MS. Дело в том, что это компания, занимающаяся графическим дизайном, у которой около 100 клиентов Mac и, возможно, 5 клиентов Windows. Итак, помимо учетных данных для входа и сетевых ресурсов, какая в этом польза? Должен ли я просто сказать им, чтобы они использовали OSX-эквивалент AD? Насколько сложно изучить AD OSX?
Вам, вероятно, лучше выбрать здесь подход «золотого треугольника». Это означает наличие Open Directory на некоторых серверах OS X, Active Directory на серверах Windows и настройку Kerberos для пересылки запросов аутентификации с серверов OD на серверы AD.
Таким образом, вы получаете централизованную аутентификацию и авторизацию на платформе Windows, и вы по-прежнему можете использовать специальные инструменты Apple, такие как WGM (например, групповая политика, но отсутствует) для машин OS X, поскольку они будут привязаны к обоим каталогам.
Имея всего 5 клиентов Windows, вы можете даже просто выполнить OD и пропустить AD, пока количество клиентов Windows не вырастет.
Такие продукты как ADmitMac также существуют, чтобы облегчить это бремя управления (кошмар), хотя он больше предназначен для интеграции Mac в среду, в основном Windows, что является противоположностью тому, что вы делаете.
Последний вариант - запустить некоторые обновления схемы Apple на ваших контроллерах домена, что позволит вам использовать WGM для управления клиентами OS X без необходимости в Open Directory. Некоторые люди поступают так, и у них нет проблем. Другие люди действительно действительно боюсь запускать обновление схемы от Apple в производственном лесу - я один из таких людей, поэтому никогда не пробовал этого.
Несогласованность Apple с их клиентом AD - это кошмар. Каждая версия OSX меняет свой подход, и сложно поддерживать согласованный дизайн. Лучшее решение, которое я когда-либо находил, называлось LikeWise Enterprise. Это позволяет управлять дополнениями со стороны AD. Существует бесплатная версия, которая обеспечивает только аутентификацию пользователя и единый вход, а платная версия предоставляет вам поддержку и политики.
http://www.beyondtrust.com/Products/PowerBrokerIdentityServicesADBridge/
Это компания, которая купила аналогичный продукт и продолжает разработку программного обеспечения. Подход золотого треугольника по-прежнему работает, но, по моему опыту, управлять им было кошмаром.