Administratorrechte verlieren

Ich habe eine Handvoll Macs mit Mavericks und höher. Jeder Mac wird im Allgemeinen von 1-3 Personen verwendet. Jede Person ist Mitglied einer bestimmten AD-Gruppe.

Vor der Bereitstellung haben wir diese AD-Gruppe zum Feld „Verwaltung zulassen durch“ im Format „Domäne\Gruppenname“ hinzugefügt. Vor der Bereitstellung und kurz nach der Bereitstellung konnten die Endbenutzer die Macs ohne Probleme verwalten. Sie könnten Prozesse mit ihren Anmeldeinformationen eskalieren.

Seitdem erkennt keiner der Macs unsere Benutzer mehr als Administratoren an, mich eingeschlossen (ich bin in einer separaten AD-Gruppenmitgliedschaft, die gleichzeitig hinzugefügt wurde). Wir gingen dann in jedes Benutzerprofil und aktivierten das Kontrollkästchen "Benutzer darf diesen Computer verwalten", was wiederum eine Zeit lang funktionierte, aber nicht mehr.

Wir haben damit begonnen, auf das lokale Administrator-Benutzerkonto zurückzugreifen, um uns bei Bedarf manuell zu authentifizieren, aber wir können dieses Passwort nicht mit Endbenutzern teilen.

Den folgenden Link habe ich als Referenz verwendet: https://support.apple.com/en-us/HT202112

Gibt es etwas, was wir vermissen? Warum sollte das Verwaltungsverhalten eine Zeit lang funktionieren und dann einfach aufhören?

Bearbeiten: Dies ist kein Duplikat von AD User als Administrator auf dem Mac? . Ich habe alle Schritte ausprobiert, die in dem Link beschrieben sind, auf den ich ursprünglich verwiesen habe. Das Hauptproblem ist, dass ich tatsächlich für kurze Zeit lokale Administratorrechte erhalte, aber dann aus unerklärlichen Gründen alle Benutzer außer dem Administrator ihre Rechte verlieren und keine Rechte mehr eskalieren.

Dies war und ist kein Duplikat! Aber der Wortlaut der Fangleine muss verbessert werden...

Antworten (1)

Diese Art von Schmerz ist praktisch nicht vermeidbar. Die Lösung besteht darin, Ihre macOS-Computer von der Domäne zu trennen und ein Produkt wie Nomad oder Apple Enterprise Connect zu verwenden, um die Kennwortsynchronisierung zu erhalten, Kerberos-Zertifikate, die eine einmalige Anmeldung ohne den ganzen Aufwand der Bindung ermöglichen.

Alternativen sind das Open Source Nomad (das neben seiner kommerziellen Version Jamf Connect existiert) und Enterprise Connect, das ein lokales Passwort integriert, ohne sich an AD binden zu müssen.

Vielen Dank für die Empfehlungen! Ich weiß, dass Apple mit der AD-Integration schon immer grob war, aber ich hatte gehofft, dass ich etwas falsch gemacht habe. In der kleinen Lektüre, die ich gemacht habe, sieht es so aus, als ob mein Problem mit der Erstellung eines mobilen Kontos auf dem lokalen Mac zusammenhängt, wenn es an eine Domäne gebunden ist. Was genau kaputt ist, weiß ich noch nicht, aber zumindest weiß ich, dass es nicht nur mir so geht. Danke nochmal!
Nein - die AD-Bindung bis zu Catalina war eine Welt voller Schmerzen, Sie können es für eine Weile oder vielleicht für immer umgehen, aber die meisten Organisationen / Personen entscheiden schließlich, dass es mehr Aufwand als Nutzen ist, sich im Laufe der Zeit zu binden, da die Supportkosten jeden "Gewinn" zunichte machen. Sie dachten, sie hätten es begriffen. Da Catalina sowohl Apple als auch andere Anbieter es wirklich attraktiver gemacht haben, Dateien über SMB zu durchsuchen, leicht oder fest an AD zu binden und AD selbst jetzt in Azure in der Cloud ausgeführt wird, sollten viele Unternehmen dies neu bewerten. Hobbyisten, es ist immer noch ein zeitintensives Hobby, aber nicht eindeutig keine Nein / Nie-Situation mehr.
Administratorrechte verlieren
AntwortenHierDatenschutz-Bestimmungen1y, 0v