一家公司即将聘请我担任其 IT 管理员。(他们目前没有管理员)。在面试中,他们表示他们希望我做的一件事是安装 MS 域控制器。问题是,他们是一家图形设计公司,拥有大约 100 个 Mac 客户端和大约 5 个 Windows 客户端。那么除了登录凭据和网络共享之外,这样做有什么好处?我应该告诉他们使用 OSX 等效的 AD 吗?学习 OSX 的 AD 有多难?
答案1
您可能最好采用“黄金三角”方法。这意味着在某些 OS X 服务器上安装 Open Directory,在 Windows 服务器上安装 Active Directory,并配置 Kerberos 以将身份验证请求从 OD 服务器转发到 AD 服务器。
这样,您就可以在 Windows 平台上集中进行身份验证和授权,并且您仍然可以为 OS X 机器使用 Apple 特定的工具,例如 WGM(想想组策略,但缺乏),因为它们将绑定到两个目录。
如果只有 5 个 Windows 客户端,您甚至可能只想执行 OD 并完全跳过 AD,直到 Windows 客户端数量增长为止。
类似产品安迪麦克也存在以帮助减轻这种管理负担(噩梦),尽管它更多的是为了将 Mac 集成到主要是 Windows 的环境中 - 这与你所做的相反。
最后一个选项是在您的域控制器上运行一些 Apple 特定的架构更新,这样您就可以使用 WGM 来管理 OS X 客户端,而根本不需要 Open Directory。有些人这样做,没有问题。其他人真的真的害怕在生产林中运行来自 Apple 的架构更新 - 我就是其中之一,所以我从未尝试过这样做。
答案2
Apple 的 AD 客户端不一致简直是一场噩梦。每个版本的 OSX 都会改变其方法,很难保持一致的设计。我发现的最佳解决方案是 LikeWise Enterprise。它允许从 AD 方面进行补充管理。有一个免费版本,仅提供用户身份验证和单点登录,付费版本可为您提供支持和政策。
http://www.beyondtrust.com/Products/PowerBrokerIdentityServicesADBridge/
这家公司收购了 Likewise 并继续开发该软件。黄金三角方法仍然可行,但根据我的经验,管理起来却是一场噩梦。