У меня есть несколько компьютеров Mac с Mavericks и выше. Каждый Mac обычно используется 1-3 людьми. Каждый человек является членом определенной группы AD.
Перед развертыванием мы добавили эту группу AD в поле «Разрешить администрирование» в формате «домен\имя группы». Перед развертыванием и вскоре после развертывания конечные пользователи могли без проблем администрировать компьютеры Mac. Они могли эскалировать процессы со своими учетными данными.
С тех пор ни один из компьютеров Mac больше не признает наших пользователей администраторами, в том числе и я (я состою в отдельной группе AD, которая была добавлена одновременно). Затем мы начали заходить в профиль каждого пользователя и ставить флажок «Разрешить пользователю администрировать этот компьютер», что снова работало какое-то время, но больше не работает.
Мы начали использовать учетную запись локального администратора для ручной аутентификации, когда это необходимо, но мы не можем поделиться этим паролем с конечными пользователями.
Следующая ссылка — это то, что я использовал для справки: https://support.apple.com/en-us/HT202112.
Есть что-то, что мы упускаем? Почему административное поведение работает какое-то время, а потом просто прекращается?
Изменить: это не дубликат пользователя AD в качестве администратора на Mac? . Я пробовал все шаги, описанные в ссылке, на которую я изначально ссылался. Ключевая проблема заключается в том, что я действительно получаю привилегии локального администратора на короткий период, но затем по какой-то необъяснимой причине все пользователи, кроме администратора, теряют свои привилегии и больше не повышают привилегии.
Такого рода боли практически невозможно избежать. Решение состоит в том, чтобы отвязать ваши компьютеры macOS от домена и использовать такой продукт, как Nomad или Apple Enterprise Connect, чтобы получить синхронизацию паролей, сертификаты kerberos, которые позволяют использовать единый вход без всех проблем с привязкой.
Альтернативами являются Nomad с открытым исходным кодом (который существует вместе с его коммерческой версией Jamf Connect) и Enterprise Connect, который интегрирует локальный пароль без необходимости привязки к AD.
кланомат