Ohje: OSX ja MS Active directory

[Molto bene]

Täälläkin usein keskusteltu aihe, ettenkin kun pitää perustella duuniin macin hankinta.
Lähde: http://episteme.arstechnica.com/eve/for ... 2008631931

quote:
- Ability to have Macs authenticate against the Win2K3 server
- Single sign-on, i.e. enable the Macs to authenticate once upon login, then be able to connect to network shares and intranet locations without having to keep authenticating each time



This is easy. Just bind the Macs to active directory using the built in plugin. It will work fine for what you are trying to do. You will potentially have to migrate the users files from their current local user profile to their new "AD" one. You could script this but bascially you need to:

1) Make sure their files are backed up.
2) Make sure all of their files exist in their home directory or subfolders (ie. not at the root of the drive).
3) Create a local admin account for IT on the machine if one doesn't already exist.
4) Log into this account and bind the machine to Active directory.
5) Remove the local user account from the local user/group database, but leave the home directory in-tact.
6) Change the name of the home directory from whatever it is locally to match the users shortname in AD (if isn't already the same).
7) chgrp/chown the home to the users AD UID/GID, this will change the ownership of the home directory and its files to be owned by the AD user network UID/GID.
8) If all goes well, the users should be able to log in using their AD user name and password and see their desktop/files as if nothing had changed.

Alternatively, you can just back up everyones current local homes, log in as the local IT amdmin account, blow away the local home directory and account, and then have the user log in. It will create a new local home for them with their AD UID/GID. They then can restore thier files from backup and re-setup their environment.

By virtue of being bound to AD, you will be able to use single sign on for any services that exist on servers that are also bound to the domain. It will also mount the home share listed in each user's AD user profile if it exists, and respect the domain password policy.

Make sure the Macs are set to use the AD domain controllers for their DNS servers, and also for their network time servers. Also you might want to check that an AD site is set up for the subnet(s) your Mac are on. This will make it so they seek the closest domain controller, speeding up login by reducing latency.

With respect to the shortcut issue, you really ought to just train your users to use proper URLs for sharepoints. "smb://server/share". It will work on both platforms.

[ManiMicci]

Tällainenkin saattaa olla tarpeen. Ainakin ennen Leopardia oli.

http://www.macosxhints.com/article.php? ... 2023720578

[olavik]

Moikka kaikki maccistit,

Olen ihan uusi (lue: rookie) käyttäjä. Kone pelaa hienosti (MacBook), mutta pari ongelmaa on vielä jotka pitäisi ratkoa. Ajattelin, että täältä saattaisi löytyä tietoa.

Homman nimi on seuraava: olen hankkinut koneelleni Windows Office paketin 2008, jotta saan kaikki vanhat PC:n filet pelittämään.

Paketissa on mukana mahdollisuus kytkeytyä Echange Servereihin. Probleemia tuottaa seuraava asia. Ciscon VPN-tunneli pelittää kyllä, mutta Macci ei autentikoidu palvelimelle. Eli, miten macci liitetään windows domainiin ja onko lisäksi olemassa FTP-palvelimen kansioiden synkronointoohjelmaa (PC:llä Syncback).

Tällaisilla (toivottavasti helpoilla) ongelmilla lähestyn kokeneempia macci-experttejä.

Terkuin Olavi

[securapple]

Hei!

Ensiksi pitäisi saada tietoa mikä on tuon windows forestin forest functional level(se forest mihin windows domain kuuluu).
Mikäli ollaan natiivi windows server 2003 -tasolla voi linuxeilla ja mäceillä olla ongelmia tulla mukaan

Toinen ongelmakohta on domain controllereiden tietoturva-asetukset (group policy). Erityisesti tietoliikenneyhteyksien salaus ja digitaalinen allekirjoitus.

Koita pyyttää nämä tiedot domainin administraattorilta jos saat ja pääset eteenpäin googlaamalla windows mac domain join digitally sign communications always "when possible"

-Securapple

[gramdel]

Loggaaminen windows domainiin hoidetaan directory utilitylla. Ohjelmat -> lisäohjelmat. Luultavasti jotain seuraavaan tyyliin:

Sieltä advanced settings -> services -> aktivoi active dir. -> kynän kuvaa alareunasta -> ja sieltä asetukset kuntoon.

FTP synkronoinnista en niin tiedä kun itse käytän oikeastaan pelkästään ssh servereitä, jolloin se onnistuu näppärästi rsyncillä. Transmitissa ainakin on jonkinlainen sync ominaisuus. Mutta mitenkään automaattisestihan tuota ei saa hommaa hoitamaan, mikäli se on tavoitteena.

/---
ap

[TheKraken]

CyberDuckin (FTP-softa) mukana tulee muistaakseni pari esimerkki AppleScriptiä. Muistaakseni niistä toinen on tuommoinen kansiosynkkausskripti.

Ja toki tuohon löytyy myös ihan maksullisia softia.

[Molto bene]

Mikäli tarvitse AD:sta vain oikeudet kansioihin esim. jaetuista resursseista ei siihen tarvita mitään active direcry serviceä.
- Cisco VPN-putki auki
- Finder-Go-Connect to server-kerro url-osoite, esim. smb://palvelin/resurssijako
- annat omat duunin domaintunnukset

Jos tarvitset Entourage mailin toimimaan duunin Exchangen kanssa
- Cisco VPN-putki auki
- määrittelet tilisi, toimii aika automaattisesti

[jannesil]

Hei!


Toinen ongelmakohta on domain controllereiden tietoturva-asetukset (group policy). Erityisesti tietoliikenneyhteyksien salaus ja digitaalinen allekirjoitus.

Koita pyyttää nämä tiedot domainin administraattorilta jos saat ja pääset eteenpäin googlaamalla windows mac domain join digitally sign communications always "when possible"

-Securapple

Leopardissa tuota ongelmaa ei enää ole, itsellä n.50 maccia autentikoituu AD:hen kivuttomasti ilman ongelmia. Directory utilityyn vaan oikeat tiedot. AD tunnus jolla liität koneen täytyy olla sellainen jolla on oikeudet lisätä konetilejä AD:hen.

Toinen toimiva ratkaisu on käyttää Likewisea http://www.likewisesoftware.com/ josta löytyy niin ilmainen kuin maksullinenkin versio. Tämä toimii myös Linuxeissa.

Janne

[Crimson]

Tyhmä kysymys jatkoksi:

Joudun käyttämään töistä yhtä softaa jatkuvasti Citrix Access Gateway:n kautta. Citrixiltä on näemmä tullu jokin Access Gateway Standard Edition Secure Access Client for Mac OS X - Beta.

Onko jollain henk. koht. kokemuksia kuinka homma pelaa, jos alla on OS X?

[Kamu]

Tyhmä kysymys jatkoksi:

Joudun käyttämään töistä yhtä softaa jatkuvasti Citrix Access Gateway:n kautta. Citrixiltä on näemmä tullu jokin Access Gateway Standard Edition Secure Access Client for Mac OS X - Beta.

Onko jollain henk. koht. kokemuksia kuinka homma pelaa, jos alla on OS X?

Onpa tuota parisen kuukautta tullut käytettyä. Vörkkii vallan mainiosti.

[Crimson]

Tyhmä kysymys jatkoksi:

Joudun käyttämään töistä yhtä softaa jatkuvasti Citrix Access Gateway:n kautta. Citrixiltä on näemmä tullu jokin Access Gateway Standard Edition Secure Access Client for Mac OS X - Beta.

Onko jollain henk. koht. kokemuksia kuinka homma pelaa, jos alla on OS X?

Onpa tuota parisen kuukautta tullut käytettyä. Vörkkii vallan mainiosti.

Kiitti vastauksesta!

Sitten hieman off-topiccia, mutta yrityskäyttöön liittyvä kuitenkin:

Maililla pelittää ilmeisesti jo postit hyvin Exchangen kanssa? Vaan kuinkas kalenterit iCal & Exchange? Löysin iCal Exchange -systeemin, vaan onko tuohon oikeasti jotain tapaa, jolla Exchange-kalenterit saisi toimimaan yrityskäytössä Macilla? Vai tuoko Snow Leopard tähän lopullisen ratkaisun?