Macintosh Fallstricke

Bisher habe ich nur Netzwerke mit Windows-Benutzern und gelegentlich * nix-Servern verwaltet. In Kürze werden einige Benutzer mit Macs zu unserem Netzwerk hinzugefügt. Worauf sollten Sie beim Hinzufügen von Macs zum Netzwerk achten? Hauptanliegen hier: Kompatibilität mit Active Directory und Sicherheit

Möglicherweise möchten Sie in ein Dienstprogramm investieren, das die Erstellung von .DS_Store-Dateien auf Netzwerkvolumes deaktiviert. Andernfalls werden diese kleinen Dateien überall auf Ihren Netzwerkvolumes angezeigt, wenn die Mac-Benutzer sie verwenden.

Ich benutze dafür eine App namens Cocktail .

Updates ... Obwohl OS X sich bei AD authentifizieren kann, müssen sie ihre Computer nicht aktualisieren. Stellen Sie sicher, dass Sie mit ihnen über die Installation der Updates sprechen, sobald sie veröffentlicht werden. Es gibt jedoch wirklich keine Möglichkeit, sie dazu zu zwingen.

Wenn Ihre interne Domain ist .local, haben Sie ein Problem beim Auflösen von Namen über DNS. Es gibt einen alten Artikel über Mac OS X Hinweise, der eine Lösung beschreibt:

Ich habe eine company.localDatei in erstellt /etc/resolverund diese Datei mit den Nameservern für die company.localAD-Domäne gefüllt. Auf diese Weise kann Mac OS X Standard-DNS zum Auflösen company.local(oder subdomain.company.local) verwenden, während Rendezvous weiterhin wie erwartet ausgeführt werden kann.

Der einzige Nachteil, den ich bei diesem Ansatz gesehen habe, ist, dass die Nameserver in dieser company.localDatei nicht über DHCP aktualisiert werden, sodass ich sie manuell aktualisieren muss.

Hier ist ein offizielleres Support-Dokument von Apple, das Ihre vorhandenen analysiert /etc/resolv.conf, um die Datei zu füllen /etc/resolvers.

Wenn Sie genug Macs haben, würde ich vorschlagen, einen Mac-Server hinzuzufügen - um die sogenannte "Holy Trinity" zu erstellen. Sie müssen nicht einmal einen Xserve kaufen - OSX-Server läuft auf einem Mac Mini!

Die Macs verwenden AD für alle normalen Zugriffe / Berechtigungen und den Mac-Server für Mac-spezifische Aufgaben wie Updates (Sie finden eine Mac-Version von WSUS mit dem Namen Software Update Server). Sie können auch die Mac Server-Bereitstellungsoptionen (NetInstall) für Installationen verwenden.

Einige Versionen von OSX stürzen häufig ab, wenn eine Verbindung zu einem Windows 2003-Server hergestellt wird, auf dem Active Directory aktiviert ist. Sie scheinen es irgendwann behoben zu haben, aber ich konnte Ihnen nicht sagen, wann. Also auf dem Laufenden bleiben.

Je nachdem, wer den Computer erhält, möchten Sie möglicherweise die Netzwerkanmeldung aktivieren oder nicht. Während Sie den Benutzerzugriff einschränken können (mithilfe der Kindersicherung), möchten Sie den Benutzer möglicherweise nur nicht zum Administrator machen und dabei belassen, dass sich viele Apps selbst aktualisieren und andere Apps erzeugen. Eine Einschränkung dieser Apps kann daher zu Problemen führen. Ich habe meinen Mac-Benutzern immer vollen administrativen Zugriff gewährt und nie eines der Probleme gesehen, in die meine Windows-Benutzer geraten sind, wenn sie vollen Administratorzugriff auf ihre Boxen haben. Grundsätzlich gibt es keine Spyware oder Viren für den Mac, dies erleichtert die Wartung erheblich.

Sie sollten auch beachten, dass jeder Mac über die Funktion "Internetfreigabe" verfügt, die mit einem DHCP-Server geliefert wird, was zu Problemen führen kann.

Aktivieren Sie auch imap im Austausch und lassen Sie sie die "Mail" von Apple verwenden. Es ist Welten besser als Gefolge. Auch das Adressbuch verfügt über eine integrierte ldap-Unterstützung. Dem Mac fällt nichts Besonderes ein.

Hier ist ein guter Trick. Versuchen Sie nicht, OSX selbst dazu zu bringen, eine Verbindung zu Ihrem AD herzustellen. Dies ist möglich, aber ich glaube, es ist nicht so einfach und kann einiges an Unterstützung erfordern. Kaufen Sie etwas namens "AdmitMac" von http://www.thursby.com/ - es nimmt alle Schmerzen weg und wird natürlich direkt von ihnen unterstützt. Oh, und lassen Sie Ihre Macs keine Protokolle verwenden, mit denen Sie nicht zufrieden sind. Sie sind sehr flexibel, sollten aber um Sie herum funktionieren und nicht umgekehrt.

Ich kenne einige Probleme mit dem Endbenutzer-Support, auf die Sie möglicherweise stoßen:

• Das Umbenennen des Home-Verzeichnisses eines Benutzers kann zu "fehlenden Dateien" führen.
• Während dies inzwischen behoben wurde, hatten frühere Versionen von OS X zeitweise einige AD-Integrationsprobleme.
• Das Ersetzen eines Ordners durch einen gleichnamigen Ordner kann semantische Unterschiede zu dem aufweisen, was Sie gewohnt sind.
• Es ist möglich, ein Verzeichnis (unter bestimmten Umständen) wegzublasen, indem eine Datei mit demselben Namen geschrieben wird .

Ich habe eine Weile gebraucht, um herauszufinden: Wenn Sie eine "ererbte" ACL für einen Ordner festlegen, wirkt sich dies nur auf neu erstellte Dateien aus. Das "Gotcha" ist, dass ein Benutzer eine Datei in den Ordner "schleppt und ablegt" In Frage stellen sich die Berechtigungen für den Ordner in keiner Weise (es sei denn, er wird von einem anderen Volume gezogen, wo er im Wesentlichen kopiert und eingefügt wird). Damit die Dateien die von Ihnen festgelegte geerbte ACL annehmen können, müssen sie die Berechtigungen "kopieren und einfügen" oder manuell festlegen. Vielleicht (da das ACL-Verhalten theoretisch dasselbe sein sollte) geschieht dies auch unter Windows. Ich weiß es nicht, aber es lohnt sich zu wiederholen.