Назад | Перейти на главную страницу

Как проще всего реализовать Mac в домене Windows (Active Directory)?

Я работаю в операционном отделе большой компании, специализирующейся на ИТ-решениях, в основном работающих на Windows. Лично я являюсь пользователем Mac, но в основном использую свой Mac в «среде Mac».

У нас есть запрос о подключении некоторых компьютеров Mac к сетевому домену. Основная причина этого - проверка подлинности (пользователи Mac уже являются членами домена и хотели бы войти в систему с этими учетными данными) и смонтировать некоторые сетевые диски.

Я не делал этого раньше и хотел бы узнать ваши идеи о том, как лучше всего внедрить эти Mac в домен. Мы ищем для этого бесплатное или хотя бы недорогое решение. Я изучил некоторые из имеющихся решений, но был бы признателен за отзывы от кого-то, кто работал с этим в производственной среде.

Как уже упоминалось здесь, присоединить Mac к домену Windows относительно просто. Более того, начиная с 10.5 это можно сделать полностью из командной строки, включая где чтобы поместить компьютер, если вы предпочитаете поместить его не в место по умолчанию. Фактически, я разработал именно такой сценарий, чтобы наши инженеры могли использовать его в качестве основы для переноса систем. Я обнаружил, что этот документ является прекрасным дополнением к собственной документации Apple: Использование Active Directory в Mac OS X

Однако я не преобразовал Mac в своей среде из-за проблемы с авторизацией пользователя. Я считаю, что это большая проблема, но я также работаю в области безопасности :) Существуют расширения AD для атрибутов OSX, поэтому вы можете получить некоторые из тех же уровней конфигурации, что и в Windows в AD. Однако ваша среда AD должна быть расширена для их поддержки.

Если вы не против иметь неуправляемые машины, на которых может войти любой, у кого есть учетные данные, добавьте их. Почти всегда предпочтительнее централизованная аутентификация. К сожалению, для моих систем это ограничение было преградой.

Существует документация по настройке сервера OSX в качестве посредника между вашими Mac и серверами AD. Вы запускаете OpenDirectory в так называемом «подчиненном» режиме. Предположительно, после этого вы можете полностью управлять компьютерами Mac, как обычно, за исключением того, что аутентификация передается в поле AD. Идея состоит в том, что вы выполните авторизацию пользователя на сервере OD и присоедините к нему свои Mac (одновременно поместив их в домен AD kerberos). Это звучит многообещающе, но, как я уже сказал, мне не удалось добиться корректной работы авторизации. Инструкции также находятся в PDF-файле, ссылка на который приведена выше.

Возможность добавлять их в домен бесплатна - она ​​встроена в OS X и может быть автоматизирована во время развертывания с помощью DeployStudio.

На самом деле управление ими с помощью функций, аналогичных групповой политике, - это совсем другая история - доступны некоторые сторонние продукты, например AdmitMAC и Radmind который может в этом помочь.

Мы добавляем наши устройства Mac в наш домен уже несколько лет и на самом деле не сталкивались с какими-либо проблемами при этом. Это упрощает жизнь пользователям и обеспечивает согласованность аутентификации. Их сетевые домашние каталоги автоматически сопоставляются с ярлыком на рабочем столе при входе в систему, что является еще одной приятной функцией.

Когда вы говорите «и смонтировать некоторые сетевые диски», имейте в виду, что Mac не могут получить доступ к общим папкам DFS без стороннего программного обеспечения. AdmitMac утверждает, что это работает, и на данный момент может; когда я имел дело с этим около года назад, доступ к DFS был явной катастрофой.