AD-Benutzer als Administrator auf dem Mac?

Ich suche nach einer Möglichkeit, einen Active Directory-Benutzer zu einem Mac hinzuzufügen und ihn die Maschine verwalten zu lassen, ohne mehr als nur diesen Benutzer zum Administrator zu machen.

Im Moment verwende ich das Verzeichnisdienstprogramm, um eine AD-Gruppe, wir nennen sie Domain Devs, zur Liste Allow Administration By: hinzuzufügen. Dies würde es Bob, Nancy, Paul und Bill ermöglichen, den Computer zu verwalten. Aber diese Maschine soll an Bob gehen, also will ich nur, dass er sie verwaltet. Ich muss dann zu den Anmeldeoptionen gehen und ihm sagen, dass er nur Bob erlauben soll, sich am Computer anzumelden.

Während Bob, Nancy, Paul und Bill es verwalten können, kann sich nur Bob anmelden.

Es besteht die Befürchtung, dass sich andere Benutzer über eine andere Anmeldemethode oder eine Sicherheitsverletzung bei der Maschine anmelden oder Zugriff darauf erhalten und Administratorrechte für das System haben.

Wir suchen nach einer Möglichkeit, etwas Ähnliches zu tun, was in Windows passiert, wenn Sie einen Benutzer in AD nehmen und diesen bestimmten Benutzer zur lokalen Administratorgruppe hinzufügen, damit Bob zu diesem bestimmten Computer hinzugefügt werden kann und über Administratorrechte und andere verfügt Domänenbenutzer können sich anmelden und haben nur eingeschränkte Benutzerrechte.

Gibt es eine Möglichkeit, einen bestimmten AD-Benutzer als Administrator zum Mac hinzuzufügen, ohne eine Gruppe in AD mit nur diesem Benutzer darin zu verwenden?

Hast du jemals herausgefunden, wie das geht? Ich bin in der gleichen Situation mit mehreren Benutzern, die dies nach der Migration zu einer AD-Domäne benötigen.
Nicht wirklich ohne den kludgey Workaround. Grundsätzlich können alle Domänenbenutzer die Maschine verwalten und dann nur bestimmten Benutzern erlauben, sich anzumelden. Bei weitem nicht das beste Managementschema.

Antworten (2)

Funktioniert dieser Befehl bei Ihnen nicht?

dseditgroup -o edit -n /Local/Default -u localadmin -p -a networkuser -t user admin

Details: Mac OS X: Verwaltung durch Netzwerkkonten zulassen

Hier ist eine vereinfachte Version eines Bash-Skripts, mit dem ich alle Computer an meinem Arbeitsplatz mit Windows AD verbunden habe.

#!/usr/bin/env bash
### Obtain AD credentials
function setupAD {
        echo "Enter computer name:"
        read macName
        clear
        echo "Enter domain:"
        read domainURL
        clear
        echo "Enter Active Directory username (e.g. userid@domain.com):"
        read adAccount
        clear
        echo "Enter Active Directory password:"
        read adPassword
        clear
        echo "Enter Mac local admin username:"
        read localAdmin
        clear
        echo "Enter Mac local admin password:"
        read localPassword
        clear
}

### Convert $macName to spaceless string
function macNameString {
        netBMacName=$(echo "$macName"  | sed 's/ /-/g')
}

### Configure Computer name for networking
function configNetBIOS {
        echo "$localPassword" | sudo -S scutil --set ComputerName "$macName"
        echo "$localPassword" | sudo -S scutil --set HostName "$macName"
        echo "$localPassword" | sudo -S scutil --set LocalHostName "$netBMacName"
        echo "$localPassword" | sudo -S defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server NetBIOSName -string "$netBMacName"
}

### Setup the AD connection between Mac and AD
function configureAD {
        echo "$localPassword" | sudo -S dsconfigad –f –a "$macName" –domain "$domainURL" –u "$adAccount" –p "$adPassword" –lu "$localAdmin" –lp "$localPassword"
}

### Convert $macName to spaceless string
function macNameString {
        comp=$(echo "$macName"  | sed 's/ /-/g')
}

### Run the setup
function runSetup {
        setupAD
        macNameString
        configNetBIOS
        configureAD
}

runSetup
exit 0
Speichern Sie es einfach als etwas mit .sham Ende und chmod a+xdiese Datei, um es vom Terminal ausführbar zu machen.
AD-Benutzer als Administrator auf dem Mac?
AntwortenHierDatenschutz-Bestimmungen1y, 0v