Tenía un usuario que estaba configurado para administrar una máquina OS X. Ese usuario es una cuenta AD, con cuentas móviles habilitadas. El grupo AD del usuario está configurado para permitir la administración mediante la utilidad de directorio.
El usuario se puso en contacto conmigo mientras estaba de viaje y me dijo que no podía instalar un programa. Solicitaría un usuario administrativo y una contraseña, y daría un rebote de diálogo cuando ingresara su información.
Cuando llegó a una de nuestras oficinas, se conectó a su red y le permitió instalar la aplicación.
¿La configuración para los usuarios en un grupo de AD que pueden administrar la máquina solo funciona cuando la máquina está en comunicación con los servidores de AD, incluso con cuentas móviles configuradas para permitir el almacenamiento en caché de las credenciales de los usuarios? ¿Hay alguna manera de almacenar en caché el hecho de que el usuario Bob puede administrar la máquina sin crear una cuenta de usuario separada?
He encontrado el mismo problema con nuestra imagen de Mountain Lion para nuestras máquinas Macbook Pro cuando están conectadas a nuestro dominio (2008 R2). Cuando están conectados, pueden administrar, pero cuando están desconectados, se elimina la capacidad de administrar. Incluso habilité la administración por parte del Grupo de seguridad de usuarios de dominio, pero esto no ayudó.
Lo que hago para corregir este problema es asegurarme de que la cuenta móvil se haya creado en la máquina, luego iniciar sesión con la cuenta de administrador local oculta, desconectar todas las redes (apagar wi-fi y desconectar de la LAN), luego reiniciar la máquina. Inicie sesión una vez más con la cuenta de administrador local, luego configure el indicador "Permitir que el usuario administre esta computadora" para la cuenta móvil del usuario. Luego, debe reiniciar la Macbook una vez más (para que se incruste el cambio). Luego, puede iniciar sesión usted mismo con la cuenta de administrador local o permitir que el usuario móvil vuelva a iniciar sesión en la máquina y vuelva a encender la red (wi-fi), o vuelva a conectarse a la red, según su arquitectura. Sí, es un proceso manual, pero es el único que he encontrado hasta ahora que funciona.
Cuando la máquina está conectada al dominio, puede validar el grupo de seguridad del Dominio del que forma parte el usuario y configurar la opción de Administración de manera adecuada. Solo puedo suponer que OSX NO almacena información de seguridad del Dominio, por lo que cuando se desconecta del Dominio no se puede determinar el grupo de seguridad, por lo que vuelve a la opción de cuenta móvil "local" (que ahora hemos configurado para permitir la administración). No sé si este mismo problema se aplica al usar Open Directory.
Espero que esto ayude.