Qual é a maneira mais fácil de implementar Macs em um domínio do Windows (Active Directory)?

3

Estou trabalhando no departamento de operações em uma grande empresa de soluções de TI baseada em Windows. Pessoalmente, sou usuário de Mac, mas uso principalmente meu Mac em "ambientes Mac".

Recebemos uma pergunta sobre como colocar alguns Macs no domínio da rede. A principal razão para isso é a autenticação (os usuários do Mac já são membros do domínio e gostariam de fazer login com essas credenciais) e de montar algumas unidades de rede.

Eu não fiz isso antes e gostaria de saber suas ideias sobre a melhor maneira de implementar esses Macs no domínio. Estamos procurando uma solução gratuita, ou pelo menos barata, para isso. Analisei algumas das soluções disponíveis, mas gostaria de receber alguns comentários de alguém que trabalhou com isso em um ambiente de produção.

    
por Espen 31.05.2009 / 16:05

4 respostas

3

Como já foi mencionado, unir um Mac a um domínio do Windows é relativamente fácil. Além disso, a partir de 10.5 isso pode ser feito inteiramente a partir da linha de comando, incluindo onde para colocar o computador, se você preferir colocá-lo em um local não padrão. Na verdade, desenvolvi exatamente um roteiro para os engenheiros usarem como base para a migração de sistemas. Eu encontrei este documento para ser um suplemento incrível para a própria documentação da Apple: Aproveitando o Active Directory no Mac OS X

No entanto, não converti os Macs no meu ambiente devido ao problema com a autorização do usuário. Eu acho que isso é um grande problema, mas eu também trabalho em Segurança :) Existem extensões AD para os atributos OSX, assim você pode obter alguns dos mesmos níveis de configuração que você faz com o Windows no AD. No entanto, seu ambiente do AD deve ser estendido para suportá-los.

Se você não se importa em ter máquinas não gerenciadas onde qualquer pessoa com credenciais pode fazer login, adicione-as. Ter autenticação centralizada é quase sempre preferível. Infelizmente, para os meus sistemas, essa limitação era uma parada de exibição.

Há documentação sobre a configuração de um Servidor OSX como intermediário entre seus Macs e os servidores AD. Você executa o OpenDirectory no que eles chamam de modo "subordinado". Supostamente, você pode gerenciar completamente os Macs normalmente, exceto se a autenticação for passada para a caixa AD. A idéia é que você execute sua autorização de usuário no servidor OD e junte seus Macs a ele (ao mesmo tempo, coloque-os no domínio do AD kerberos). Parece promissor, mas, como eu disse, não obtive a autorização para funcionar corretamente. As instruções também estão no pdf vinculado acima.

    
por 31.05.2009 / 16:57
0

A capacidade de adicioná-los ao domínio é gratuita - é incorporada ao OS X e pode ser automatizada durante a implantação usando o DeployStudio.

Atualmente, gerenciá-los com a funcionalidade semelhante à Diretiva de Grupo é uma história diferente - há alguns produtos de terceiros disponíveis, como AdmitMAC e Radmind que podem ajudar com isso.

Estamos adicionando nossos dispositivos Mac ao nosso domínio há alguns anos e não encontramos nenhum problema ao fazer isso. Simplifica a vida dos usuários e mantém a autenticação consistente. Seus diretórios iniciais de rede são automaticamente mapeados para um atalho na área de trabalho no login, que é outro recurso interessante.

    
por 31.05.2009 / 16:16
0

Quando você diz "e para montar algumas unidades de rede", esteja ciente de que os Macs não podem acessar os compartilhamentos DFS sem software de terceiros. AdmitMac afirma que funciona, e pode neste momento; quando eu lidei com isso cerca de um ano atrás, o acesso da DFS era um desastre absoluto.

    
por 06.06.2009 / 05:34