Ich hatte einen Benutzer, der eingerichtet wurde, um einen OS X-Rechner zu verwalten. Dieser Benutzer ist ein AD-Konto mit aktivierten mobilen Konten. Die AD-Gruppe des Benutzers ist so eingestellt, dass die Verwaltung mit dem Verzeichnisdienstprogramm zugelassen wird.
Ich wurde vom Benutzer von unterwegs kontaktiert und sagte, dass er ein Programm nicht installieren könne. Es würde nach einem administrativen Benutzer und Passwort fragen und einen Dialogsprung geben, wenn er seine Informationen eingab.
Als er in einem unserer Büros ankam, stellte er eine Verbindung zu deren Netzwerk her und konnte die Anwendung installieren.
Funktionieren die Einstellungen für Benutzer in einer AD-Gruppe, die zur Verwaltung des Computers berechtigt sind, nur, wenn der Computer mit AD-Servern kommuniziert, selbst wenn mobile Konten eingerichtet sind, um das Zwischenspeichern von Benutzeranmeldeinformationen zu ermöglichen? Gibt es eine Möglichkeit, die Tatsache zwischenzuspeichern, dass Benutzer Bob den Computer verwalten kann, ohne ein separates Benutzerkonto zu erstellen?
Ich habe das gleiche Problem mit unserem Mountain Lion-Image für unsere Macbook Pro-Maschinen festgestellt, wenn sie mit unserer (2008 R2)-Domäne verbunden sind. Wenn sie verbunden sind, können sie verwalten, aber wenn sie getrennt sind, wird die Fähigkeit zur Verwaltung entfernt. Ich habe sogar die Verwaltung durch die Domänenbenutzer-Sicherheitsgruppe aktiviert, aber das hat nicht geholfen.
Um dieses Problem zu beheben, stelle ich sicher, dass das mobile Konto auf dem Computer erstellt wurde, melde mich dann mit dem versteckten lokalen Administratorkonto an, trenne alle Netzwerke (schalte Wi-Fi aus und trenne den LAN-Stecker) und starte dann den Computer neu. Melden Sie sich erneut mit dem lokalen Administratorkonto an und setzen Sie dann das Flag "Benutzer darf diesen Computer verwalten" für das mobile Konto des Benutzers. Sie müssen das Macbook dann noch einmal neu starten (damit die Änderung eingebettet wird). Sie können sich dann entweder selbst mit dem lokalen Administratorkonto anmelden oder dem mobilen Benutzer erlauben, sich wieder bei der Maschine anzumelden und das Netzwerk (Wi-Fi) wieder einzuschalten oder sich je nach Ihrer Architektur wieder mit dem Netzwerk zu verbinden. Ja, es ist ein manueller Prozess, aber es ist der einzige, den ich bisher gefunden habe und der funktioniert.
Wenn der Computer mit der Domäne verbunden ist, kann er die Domänensicherheitsgruppe validieren, der der Benutzer angehört, und die Verwaltungsoption entsprechend einstellen. Ich kann nur vermuten, dass OSX KEINE Domain-Sicherheitsinformationen speichert, sodass die Sicherheitsgruppe beim Trennen von der Domain nicht ermittelt werden kann, sodass es auf die Option „lokales“ mobiles Konto zurückgreift (die wir jetzt so eingestellt haben, dass sie die Verwaltung ermöglicht). Ich weiß nicht, ob dasselbe Problem bei der Verwendung von Open Directory auftritt.
Ich hoffe das hilft.