Ich habe eine Handvoll Macs mit Mavericks und höher. Jeder Mac wird im Allgemeinen von 1-3 Personen verwendet. Jede Person ist Mitglied einer bestimmten AD-Gruppe.
Vor der Bereitstellung haben wir diese AD-Gruppe zum Feld „Verwaltung zulassen durch“ im Format „Domäne\Gruppenname“ hinzugefügt. Vor der Bereitstellung und kurz nach der Bereitstellung konnten die Endbenutzer die Macs ohne Probleme verwalten. Sie könnten Prozesse mit ihren Anmeldeinformationen eskalieren.
Seitdem erkennt keiner der Macs unsere Benutzer mehr als Administratoren an, mich eingeschlossen (ich bin in einer separaten AD-Gruppenmitgliedschaft, die gleichzeitig hinzugefügt wurde). Wir gingen dann in jedes Benutzerprofil und aktivierten das Kontrollkästchen "Benutzer darf diesen Computer verwalten", was wiederum eine Zeit lang funktionierte, aber nicht mehr.
Wir haben damit begonnen, auf das lokale Administrator-Benutzerkonto zurückzugreifen, um uns bei Bedarf manuell zu authentifizieren, aber wir können dieses Passwort nicht mit Endbenutzern teilen.
Den folgenden Link habe ich als Referenz verwendet: https://support.apple.com/en-us/HT202112
Gibt es etwas, was wir vermissen? Warum sollte das Verwaltungsverhalten eine Zeit lang funktionieren und dann einfach aufhören?
Bearbeiten: Dies ist kein Duplikat von AD User als Administrator auf dem Mac? . Ich habe alle Schritte ausprobiert, die in dem Link beschrieben sind, auf den ich ursprünglich verwiesen habe. Das Hauptproblem ist, dass ich tatsächlich für kurze Zeit lokale Administratorrechte erhalte, aber dann aus unerklärlichen Gründen alle Benutzer außer dem Administrator ihre Rechte verlieren und keine Rechte mehr eskalieren.
Diese Art von Schmerz ist praktisch nicht vermeidbar. Die Lösung besteht darin, Ihre macOS-Computer von der Domäne zu trennen und ein Produkt wie Nomad oder Apple Enterprise Connect zu verwenden, um die Kennwortsynchronisierung zu erhalten, Kerberos-Zertifikate, die eine einmalige Anmeldung ohne den ganzen Aufwand der Bindung ermöglichen.
Alternativen sind das Open Source Nomad (das neben seiner kommerziellen Version Jamf Connect existiert) und Enterprise Connect, das ein lokales Passwort integriert, ohne sich an AD binden zu müssen.
klanomath