Ich suche nach einer Möglichkeit, einen Active Directory-Benutzer zu einem Mac hinzuzufügen und ihn die Maschine verwalten zu lassen, ohne mehr als nur diesen Benutzer zum Administrator zu machen.
Im Moment verwende ich das Verzeichnisdienstprogramm, um eine AD-Gruppe, wir nennen sie Domain Devs, zur Liste Allow Administration By: hinzuzufügen. Dies würde es Bob, Nancy, Paul und Bill ermöglichen, den Computer zu verwalten. Aber diese Maschine soll an Bob gehen, also will ich nur, dass er sie verwaltet. Ich muss dann zu den Anmeldeoptionen gehen und ihm sagen, dass er nur Bob erlauben soll, sich am Computer anzumelden.
Während Bob, Nancy, Paul und Bill es verwalten können, kann sich nur Bob anmelden.
Es besteht die Befürchtung, dass sich andere Benutzer über eine andere Anmeldemethode oder eine Sicherheitsverletzung bei der Maschine anmelden oder Zugriff darauf erhalten und Administratorrechte für das System haben.
Wir suchen nach einer Möglichkeit, etwas Ähnliches zu tun, was in Windows passiert, wenn Sie einen Benutzer in AD nehmen und diesen bestimmten Benutzer zur lokalen Administratorgruppe hinzufügen, damit Bob zu diesem bestimmten Computer hinzugefügt werden kann und über Administratorrechte und andere verfügt Domänenbenutzer können sich anmelden und haben nur eingeschränkte Benutzerrechte.
Gibt es eine Möglichkeit, einen bestimmten AD-Benutzer als Administrator zum Mac hinzuzufügen, ohne eine Gruppe in AD mit nur diesem Benutzer darin zu verwenden?
Funktioniert dieser Befehl bei Ihnen nicht?
dseditgroup -o edit -n /Local/Default -u localadmin -p -a networkuser -t user admin
Hier ist eine vereinfachte Version eines Bash-Skripts, mit dem ich alle Computer an meinem Arbeitsplatz mit Windows AD verbunden habe.
#!/usr/bin/env bash
### Obtain AD credentials
function setupAD {
echo "Enter computer name:"
read macName
clear
echo "Enter domain:"
read domainURL
clear
echo "Enter Active Directory username (e.g. userid@domain.com):"
read adAccount
clear
echo "Enter Active Directory password:"
read adPassword
clear
echo "Enter Mac local admin username:"
read localAdmin
clear
echo "Enter Mac local admin password:"
read localPassword
clear
}
### Convert $macName to spaceless string
function macNameString {
netBMacName=$(echo "$macName" | sed 's/ /-/g')
}
### Configure Computer name for networking
function configNetBIOS {
echo "$localPassword" | sudo -S scutil --set ComputerName "$macName"
echo "$localPassword" | sudo -S scutil --set HostName "$macName"
echo "$localPassword" | sudo -S scutil --set LocalHostName "$netBMacName"
echo "$localPassword" | sudo -S defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server NetBIOSName -string "$netBMacName"
}
### Setup the AD connection between Mac and AD
function configureAD {
echo "$localPassword" | sudo -S dsconfigad –f –a "$macName" –domain "$domainURL" –u "$adAccount" –p "$adPassword" –lu "$localAdmin" –lp "$localPassword"
}
### Convert $macName to spaceless string
function macNameString {
comp=$(echo "$macName" | sed 's/ /-/g')
}
### Run the setup
function runSetup {
setupAD
macNameString
configNetBIOS
configureAD
}
runSetup
exit 0
.sh
am Ende und chmod a+x
diese Datei, um es vom Terminal ausführbar zu machen.
Benutzer49099
Bart Silberstrim