회사에서 mac 사용자를 Windows Active Directory 환경에 통합 할 계획을 세우면서 몇 가지 테스트를 수행했습니다.
Windows 도메인에서 컴퓨터를 연결 / 제거하는 것은 간단합니다. 모든 것은 Mac의 디렉토리 유틸리티를 통해 수행 할 수 있습니다.
이 Mac에 로그인 할 수있는 활성 디렉토리 사용자 또는 그룹을 제어 할 수있는 방법이 있습니까?
Mac을 Windows 도메인에 가입시킨 후 적절한 도메인 계정을 가진 사람은 누구나 컴퓨터에 로그인 할 수 있습니다. 그리고 적절하게는 기본적으로 도메인의 모든 사람을 의미합니다.
감사!
답변
com.apple.loginwindow.netaccounts 및 com.apple.access_loginwindow의 속성을 수정하여 사용자 정의 로그인 액세스를 만들 수 있습니다. 이는 타사 공급 업체를 통해서도 달성 할 수 있습니다. Centrify 는 로그인 액세스를 위해 영역 (AD 사용자 / 그룹)을 설정할 수있는 훌륭한 타사 Mac AD 플러그인입니다. 로그인 창 액세스를 설정하는 MCX 및 프로파일 옵션도 있습니다. 다음은 사용자 정의 액세스를 위해 수정 com.apple 파일을 사용하여 작업 한 방법입니다.
내가 사용했던 가이드에 대한 원본 링크 —> 답변은 의견의 절반 정도입니다.
dseditgroup을 사용 하여 AD 그룹을 수동으로 편집하고 추가 할 수 있습니다 . 먼저 두 파일이 있는지 확인하십시오.
/private/var/db/dslocal/nodes/Default/groups/com.apple.loginwindow.netaccounts
과
/private/var/db/dslocal/nodes/Default/groups/com.apple.access_loginwindow
해당 파일이 존재 하면 아래의 ” access_loginwindow에 그룹 추가 “로 이동 하십시오 . 존재하지 않는 경우 다음을 사용하여 작성해야합니다.
dscl . -create /Groups/com.apple.loginwindow.netaccounts
dscl . -create /Groups/com.apple.loginwindow.netaccounts PrimaryGroupID $GID1
dscl . -create /Groups/com.apple.loginwindow.netaccounts Password \*
dscl . -create /Groups/com.apple.loginwindow.netaccounts RealName "Login Window's custom net accounts"
dscl . -create /Groups/com.apple.access_loginwindow
dscl . -create /Groups/com.apple.access_loginwindow PrimaryGroupID $GID2
dscl . -create /Groups/com.apple.access_loginwindow Password \*
dscl . -create /Groups/com.apple.access_loginwindow RealName "Login Window ACL"
com.apple.loginwindow.netaccounts 및 com.apple.access_loginwindow 파일 모두에 대해 위 스크립트에서 $ GID1 및 $ GID2 를 무료 GID 번호 로 변경해야 합니다. 이 스크립트를 사용하여 시스템에서 GID를 사용하고 있는지 확인할 수 있습니다.
dscl . -list /Groups PrimaryGroupID | grep $desiredGID
$ desiredGID 를 확인하려는 숫자로 변경 하면 무료입니다. (위의 링크에서 netaccounts에는 206을, acess_loginwindow에는 235를 사용했으며 항상 열려있었습니다)
“access_loginwindow에 그룹 추가”
dseditgroup -o edit -n /Local/Default -u admin -p -a ADgroup -t group com.apple.loginwindow.netaccounts
로그인 창에서 ADgroup 을 액세스를 허용하려는 Active Directory 그룹의 이름으로 변경하십시오 . (예 : “영업팀”). 또한 관리자 를 로컬 사용자 관리자 계정으로 변경 하십시오. 암호를 묻는 메시지가 나타납니다.
그런 다음 com.apple.loginwindow.net 계정을 com.apple.access_loginwindow 파일에 추가하십시오.
dseditgroup -o edit -n /Local/Default -u admin -p -a com.apple.loginwindow.netaccounts -t group com.apple.access_loginwindow
dseditgroup -o edit -n /Local/Default -a localaccounts -t group com.apple.access_loginwindow
다시 관리자 를 로컬 관리자 계정으로 변경 하십시오. 첫 번째는 AD 그룹이 중첩되어있는 파일을 추가하고 두 번째 행은 컴퓨터의 로컬 계정으로 로그인 할 수있게합니다. 이제 시스템 환경 설정-> 사용자 및 그룹-> 로그인 옵션-으로 이동하면 > “로그인 창에서 네트워크 사용자 로그인 허용”옆의 옵션 . 컴퓨터에 액세스하도록 허용 된 AD 그룹이 표시되어야합니다.