Perder los derechos administrativos

Tengo un puñado de Mac con Mavericks y más. Cada Mac es utilizada generalmente por 1-3 personas. Cada persona es miembro de un grupo AD específico.

Antes de la implementación, agregamos ese grupo de AD al campo "Permitir administración por" con el formato "dominio\nombre de grupo". Antes de la implementación y poco después de la implementación, los usuarios finales pudieron administrar las Mac sin problemas. Podrían escalar procesos con sus credenciales.

Desde entonces, ninguna de las Mac reconoce a nuestros usuarios como administradores, incluido yo mismo (estoy en una membresía de grupo AD separada que se agregó al mismo tiempo). Luego comenzamos a ingresar a cada perfil de usuario y marcamos la casilla de verificación "Permitir que el usuario administre esta computadora", que nuevamente funcionó por un tiempo pero ya no lo hace.

Hemos comenzado a recurrir a la cuenta de usuario del administrador local para realizar la autenticación manualmente cuando sea necesario, pero no podemos compartir esa contraseña con los usuarios finales.

El siguiente enlace es lo que usé como referencia: https://support.apple.com/en-us/HT202112

¿Hay algo que nos estamos perdiendo? ¿Por qué el comportamiento administrativo funcionaría durante un tiempo y luego simplemente se detendría?

Editar: ¿Esto no es un duplicado del usuario de AD como administrador en la Mac? . He intentado todos los pasos descritos en el enlace al que hice referencia originalmente. El problema clave es que en realidad obtengo privilegios de administrador local durante un período corto, pero luego, por alguna razón inexplicable, todos los usuarios, excepto el administrador, pierden sus privilegios y ya no aumentan los privilegios.

¡Esto no fue y todavía no es un duplicado! Pero hay que mejorar la redacción del eslogan...

Respuestas (1)

Este tipo de dolor no es prácticamente evitable. La solución es desvincular sus computadoras macOS del dominio y usar un producto como Nomad o Apple Enterprise Connect para obtener la sincronización de contraseñas, certificados kerberos que permiten el inicio de sesión único sin todo el dolor de la vinculación.

Las alternativas son Nomad de código abierto (que existe junto con su versión comercial Jamf Connect) y Enterprise Connect que integra una contraseña local sin necesidad de vincularse a AD.

¡Gracias por las recomendaciones! Sé que Apple siempre ha sido duro con la integración de AD, pero esperaba que fuera algo que estaba haciendo mal. En la pequeña lectura que hice, parece que mi problema está relacionado con la creación de una cuenta móvil en la Mac local cuando está vinculada a un dominio. Todavía no estoy seguro de qué se está rompiendo exactamente, pero al menos sé que no soy solo yo. ¡Gracias de nuevo!
No, la unión de AD con Catalina fue un mundo de dolor, puede evitarlo por un tiempo o tal vez para siempre, pero la mayoría de las organizaciones / personas finalmente deciden que es más una molestia que un beneficio vincularse con el tiempo, ya que los costos de soporte borran cualquier "ganancia" creyeron darse cuenta. Desde Catalina, tanto Apple como otros proveedores realmente han hecho que sea más atractivo buscar archivos a través de SMB, enlazar de forma ligera o estrecha con AD y AD en sí mismo ahora se ejecuta en Azure en la nube y muchas empresas deberían reevaluar esto. Aficionados, sigue siendo un pasatiempo que requiere mucho tiempo, pero claramente ya no es una situación de no/nunca.
Perder los derechos administrativos
RespuestasAquíPolítica de privacidad1y, 0v