Tengo un puñado de Mac con Mavericks y más. Cada Mac es utilizada generalmente por 1-3 personas. Cada persona es miembro de un grupo AD específico.
Antes de la implementación, agregamos ese grupo de AD al campo "Permitir administración por" con el formato "dominio\nombre de grupo". Antes de la implementación y poco después de la implementación, los usuarios finales pudieron administrar las Mac sin problemas. Podrían escalar procesos con sus credenciales.
Desde entonces, ninguna de las Mac reconoce a nuestros usuarios como administradores, incluido yo mismo (estoy en una membresía de grupo AD separada que se agregó al mismo tiempo). Luego comenzamos a ingresar a cada perfil de usuario y marcamos la casilla de verificación "Permitir que el usuario administre esta computadora", que nuevamente funcionó por un tiempo pero ya no lo hace.
Hemos comenzado a recurrir a la cuenta de usuario del administrador local para realizar la autenticación manualmente cuando sea necesario, pero no podemos compartir esa contraseña con los usuarios finales.
El siguiente enlace es lo que usé como referencia: https://support.apple.com/en-us/HT202112
¿Hay algo que nos estamos perdiendo? ¿Por qué el comportamiento administrativo funcionaría durante un tiempo y luego simplemente se detendría?
Editar: ¿Esto no es un duplicado del usuario de AD como administrador en la Mac? . He intentado todos los pasos descritos en el enlace al que hice referencia originalmente. El problema clave es que en realidad obtengo privilegios de administrador local durante un período corto, pero luego, por alguna razón inexplicable, todos los usuarios, excepto el administrador, pierden sus privilegios y ya no aumentan los privilegios.
Este tipo de dolor no es prácticamente evitable. La solución es desvincular sus computadoras macOS del dominio y usar un producto como Nomad o Apple Enterprise Connect para obtener la sincronización de contraseñas, certificados kerberos que permiten el inicio de sesión único sin todo el dolor de la vinculación.
Las alternativas son Nomad de código abierto (que existe junto con su versión comercial Jamf Connect) y Enterprise Connect que integra una contraseña local sin necesidad de vincularse a AD.
klanomath