在 Windows(Active Directory)域中实现 Mac 的最简单方法是什么?

在 Windows(Active Directory)域中实现 Mac 的最简单方法是什么?

我在一家大型 IT 解决方案公司的运营部门工作,该公司主要使用 Windows。我个人是 Mac 用户,但我主要在“Mac 环境”中使用我的 Mac。

我们收到了关于将一些 Mac 纳入网络域的咨询。这样做的主要原因是身份验证(Mac 用户已经是域成员,并希望使用这些凭据登录)以及安装一些网络驱动器。

我以前没有这样做过,想知道您认为将这些 Mac 实现到域中的最佳方法。我们正在寻找免费或至少便宜的解决方案。我已经研究了一些解决方案,但希望有人在生产环境中使用过此解决方案并能提供一些反馈。

答案1

正如这里提到的,将 Mac 加入 Windows 域相对容易。此外,从 10.5 开始,可以完全通过命令行完成,包括在哪里如果您希望将计算机放置在非默认位置,请将其放置在非默认位置。事实上,我开发了这样一个脚本,供我们的工程师用作迁移系统的基础。我发现这个文档是对 Apple 自身文档的极好补充: 在 Mac OS X 上利用 Active Directory

但是,由于用户授权问题,我还没有转换环境中的 Mac。我发现这是一个大问题,但我也在安全领域工作 :) OSX 属性有 AD 扩展,因此您可以在 AD 中获得与 Windows 相同级别的配置。但是,您的 AD 环境必须扩展才能支持它们。

如果您不介意拥有不受管理的机器,任何有凭据的人都可以登录,那么请添加它们。集中身份验证几乎总是首选。不幸的是,对于我的系统来说,这个限制是一个阻碍。

有文档介绍如何设置 OSX 服务器作为 Mac 和 AD 服务器之间的中间人。您可以在所谓的“从属”模式下运行 OpenDirectory。据说,您可以像平常一样完全管理 Mac,只是身份验证会传递到 AD 框。这个想法是,您将在 OD 服务器上执行用户授权,并将 Mac 加入其中(同时将它们放入 AD kerberos 域中)。这听起来很有希望,但正如我所说,我没有成功让授权正常工作。说明也在上面链接的 pdf 中。

答案2

答案3

将它们添加到域的功能是免费的 - 它内置于 OS X 中,并且可以在部署期间使用 DeployStudio 自动执行。

实际上,使用类似组策略的功能来管理它们是另一回事——有一些第三方产品可用,例如承认MAC管理者这可以帮助解决这个问题。

几年来,我们一直在将 Mac 设备添加到域中,这样做并没有遇到任何问题。它简化了用户的生活并保持身份验证的一致性。他们的网络主目录在登录时会自动映射到桌面快捷方式,这是另一个不错的功能。

答案4

当您说“并安装一些网络驱动器”时,请注意,如果没有第三方软件,Mac 无法访问 DFS 共享。AdmitMac 声称它可以工作,目前可能如此;当我在大约一年前处理它时,DFS 访问是一场彻头彻尾的灾难。

相关内容