Потеря административных прав

У меня есть несколько компьютеров Mac с Mavericks и выше. Каждый Mac обычно используется 1-3 людьми. Каждый человек является членом определенной группы AD.

Перед развертыванием мы добавили эту группу AD в поле «Разрешить администрирование» в формате «домен\имя группы». Перед развертыванием и вскоре после развертывания конечные пользователи могли без проблем администрировать компьютеры Mac. Они могли эскалировать процессы со своими учетными данными.

С тех пор ни один из компьютеров Mac больше не признает наших пользователей администраторами, в том числе и я (я состою в отдельной группе AD, которая была добавлена ​​одновременно). Затем мы начали заходить в профиль каждого пользователя и ставить флажок «Разрешить пользователю администрировать этот компьютер», что снова работало какое-то время, но больше не работает.

Мы начали использовать учетную запись локального администратора для ручной аутентификации, когда это необходимо, но мы не можем поделиться этим паролем с конечными пользователями.

Следующая ссылка — это то, что я использовал для справки: https://support.apple.com/en-us/HT202112.

Есть что-то, что мы упускаем? Почему административное поведение работает какое-то время, а потом просто прекращается?

Изменить: это не дубликат пользователя AD в качестве администратора на Mac? . Я пробовал все шаги, описанные в ссылке, на которую я изначально ссылался. Ключевая проблема заключается в том, что я действительно получаю привилегии локального администратора на короткий период, но затем по какой-то необъяснимой причине все пользователи, кроме администратора, теряют свои привилегии и больше не повышают привилегии.

Это не было и до сих пор не является дубликатом! Но формулировку подвоха нужно улучшить...

Ответы (1)

Такого рода боли практически невозможно избежать. Решение состоит в том, чтобы отвязать ваши компьютеры macOS от домена и использовать такой продукт, как Nomad или Apple Enterprise Connect, чтобы получить синхронизацию паролей, сертификаты kerberos, которые позволяют использовать единый вход без всех проблем с привязкой.

Альтернативами являются Nomad с открытым исходным кодом (который существует вместе с его коммерческой версией Jamf Connect) и Enterprise Connect, который интегрирует локальный пароль без необходимости привязки к AD.

Спасибо за рекомендации! Я знаю, что Apple всегда была груба с интеграцией AD, но я надеялся, что делаю что-то не так. В небольшом чтении, которое я сделал, похоже, что моя проблема связана с созданием мобильной учетной записи на локальном Mac при привязке к домену. Что именно ломается я до сих пор не уверен, но по крайней мере знаю, что это не только у меня. Еще раз спасибо!
Нет - привязка AD к Catalina была миром боли, вы можете обойти ее на некоторое время или, возможно, навсегда, но большинство организаций / людей в конечном итоге решают, что со временем привязка будет больше хлопот, чем выгода, поскольку затраты на поддержку стирают любую «выгоду» они думали, что поняли. Поскольку Catalina и Apple, и другие поставщики действительно сделали просмотр файлов через SMB более привлекательным, легко или жестко привязываются к AD, и сама AD теперь работает в Azure в облаке, и многим компаниям следует пересмотреть это. Любители, это все еще и времязатратное хобби, но не ясно, что это больше не ситуация «нет/никогда».
Потеря административных прав
СпросиСетьПолитика конфиденциальности1y, 0v