我在一家大型 IT 解决方案公司的运营部门工作,该公司主要使用 Windows。我个人是 Mac 用户,但我主要在“Mac 环境”中使用我的 Mac。
我们收到了关于将一些 Mac 纳入网络域的咨询。这样做的主要原因是身份验证(Mac 用户已经是域成员,并希望使用这些凭据登录)以及安装一些网络驱动器。
我以前没有这样做过,想知道您认为将这些 Mac 实现到域中的最佳方法。我们正在寻找免费或至少便宜的解决方案。我已经研究了一些解决方案,但希望有人在生产环境中使用过此解决方案并能提供一些反馈。
答案1
正如这里提到的,将 Mac 加入 Windows 域相对容易。此外,从 10.5 开始,可以完全通过命令行完成,包括在哪里如果您希望将计算机放置在非默认位置,请将其放置在非默认位置。事实上,我开发了这样一个脚本,供我们的工程师用作迁移系统的基础。我发现这个文档是对 Apple 自身文档的极好补充: 在 Mac OS X 上利用 Active Directory
但是,由于用户授权问题,我还没有转换环境中的 Mac。我发现这是一个大问题,但我也在安全领域工作 :) OSX 属性有 AD 扩展,因此您可以在 AD 中获得与 Windows 相同级别的配置。但是,您的 AD 环境必须扩展才能支持它们。
如果您不介意拥有不受管理的机器,任何有凭据的人都可以登录,那么请添加它们。集中身份验证几乎总是首选。不幸的是,对于我的系统来说,这个限制是一个阻碍。
有文档介绍如何设置 OSX 服务器作为 Mac 和 AD 服务器之间的中间人。您可以在所谓的“从属”模式下运行 OpenDirectory。据说,您可以像平常一样完全管理 Mac,只是身份验证会传递到 AD 框。这个想法是,您将在 OD 服务器上执行用户授权,并将 Mac 加入其中(同时将它们放入 AD kerberos 域中)。这听起来很有希望,但正如我所说,我没有成功让授权正常工作。说明也在上面链接的 pdf 中。
答案2
请参阅 Server Fault 上的这两个问题:
答案3
答案4
当您说“并安装一些网络驱动器”时,请注意,如果没有第三方软件,Mac 无法访问 DFS 共享。AdmitMac 声称它可以工作,目前可能如此;当我在大约一年前处理它时,DFS 访问是一场彻头彻尾的灾难。