В мире Mac вы можете интегрировать системы OS X с двумя каталогами, чтобы OS X обращалась к Active Directory для аутентификации и OpenLDAP для управляемых настроек OS X.
Возможна ли следующая настройка в мире Windows: я хотел бы использовать LDAP для аутентификации домена и Active Directory для управляемых настроек.
Это возможно?
Машины Windows имеют возможность делегировать (доверять) аутентификацию одному домену Active Directory (или Windows NT старого стиля) в процессе, называемом «присоединением» к домену. Этот домен может иметь доверительные отношения с другими доменами или областями Kerberos, но это отношения между компьютерами контроллера домена и чужими доменами или областями. Клиент по-прежнему доверяет одному домену.
Понятия «управляемые предпочтения» как такового не существует. Наиболее близким к этому, вероятно, является групповая политика Active Directory. Клиент будет применять групповую политику компьютера из домена, к которому он присоединен. Однако, если пользователь из доверенного домена входит в систему, групповая политика для этого пользователя будет обрабатываться из домена, в котором находится учетная запись пользователя. Это, вероятно, настолько близко к тому, что позволяет OS X.