¿Usuario de AD como administrador en la Mac?

Estoy buscando una manera de agregar un usuario de Active Directory a una Mac y permitirle administrar la máquina, sin convertir a más de ese usuario en administrador.

En este momento, estoy usando Directory Utility para agregar un grupo AD, lo llamaremos Domain Devs, a la lista Permitir administración por:. Esto permitiría a Bob, Nancy, Paul y Bill administrar la computadora. Pero se supone que esta máquina va a Bob, así que solo quiero que él la administre. Luego tengo que ir a las opciones de inicio de sesión y decirle que solo permita que Bob inicie sesión en la computadora.

Entonces, mientras Bob, Nancy, Paul y Bill pueden administrarlo, solo Bob puede iniciar sesión.

Existe la preocupación de que otros usuarios puedan iniciar sesión u obtener acceso a la máquina a través de otro método de inicio de sesión o violación de seguridad y tengan derechos de administración del sistema.

Estamos buscando una manera de hacer algo similar a lo que sucede en Windows cuando toma un usuario en AD y agrega ese usuario específico al grupo de administradores locales, para que Bob pueda agregarse a esa computadora específica y tener derechos de administrador y cualquier otro el usuario del dominio puede iniciar sesión y tener derechos de usuario limitados.

¿Hay alguna manera de hacer esto, agregar un usuario de AD específico a la Mac como administrador sin usar un grupo en AD con solo ese usuario?

¿Alguna vez descubriste cómo hacer esto? Estoy en la misma situación con varios usuarios que necesitan esto después de migrar a un dominio de AD.
No realmente sin la solución kludgey. Básicamente, tenemos todos los usuarios del dominio capaces de administrar la máquina, luego solo permitimos que determinados usuarios inicien sesión en ella. No es el mejor esquema de gestión por asomo.

Respuestas (2)

¿Este comando no te funciona?

dseditgroup -o edit -n /Local/Default -u localadmin -p -a networkuser -t user admin

detalles: Mac OS X: permitir la administración por cuentas de red

Aquí hay una versión simplificada de un script bash que usé para conectar todas las computadoras en mi lugar de trabajo a Windows AD.

#!/usr/bin/env bash
### Obtain AD credentials
function setupAD {
        echo "Enter computer name:"
        read macName
        clear
        echo "Enter domain:"
        read domainURL
        clear
        echo "Enter Active Directory username (e.g. userid@domain.com):"
        read adAccount
        clear
        echo "Enter Active Directory password:"
        read adPassword
        clear
        echo "Enter Mac local admin username:"
        read localAdmin
        clear
        echo "Enter Mac local admin password:"
        read localPassword
        clear
}

### Convert $macName to spaceless string
function macNameString {
        netBMacName=$(echo "$macName"  | sed 's/ /-/g')
}

### Configure Computer name for networking
function configNetBIOS {
        echo "$localPassword" | sudo -S scutil --set ComputerName "$macName"
        echo "$localPassword" | sudo -S scutil --set HostName "$macName"
        echo "$localPassword" | sudo -S scutil --set LocalHostName "$netBMacName"
        echo "$localPassword" | sudo -S defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server NetBIOSName -string "$netBMacName"
}

### Setup the AD connection between Mac and AD
function configureAD {
        echo "$localPassword" | sudo -S dsconfigad –f –a "$macName" –domain "$domainURL" –u "$adAccount" –p "$adPassword" –lu "$localAdmin" –lp "$localPassword"
}

### Convert $macName to spaceless string
function macNameString {
        comp=$(echo "$macName"  | sed 's/ /-/g')
}

### Run the setup
function runSetup {
        setupAD
        macNameString
        configNetBIOS
        configureAD
}

runSetup
exit 0
Simplemente guárdelo como algo .shal final, y chmod a+xese archivo para que sea ejecutable desde la Terminal.
¿Usuario de AD como administrador en la Mac?
RespuestasAquíPolítica de privacidad1y, 0v