Consenti solo a utenti / gruppi AD specifici di accedere

Ho fatto alcuni test in quanto la mia azienda sta pianificando di integrare i nostri utenti mac nell'ambiente di directory active windows.

Unire / rimuovere computer da un dominio Windows è un gioco da ragazzi, tutto può essere fatto tramite l'Utility Directory del Mac.

C'è un modo per noi di controllare quali utenti o gruppi di directory attivi possono accedere a questo mac?

Dopo aver aderito a un dominio Mac su un dominio Windows, chiunque disponga di un account di dominio appropriato può accedere al computer. E, per correttezza, intendo chiunque dal dominio di default.

Grazie!

È possibile modificare le proprietà di com.apple.loginwindow.netaccounts e com.apple.access_loginwindow per creare un accesso di accesso personalizzato. Questo può essere ottenuto anche attraverso i fornitori di terze parti. Centrify è un buon plug-in per Mac di terze parti che consente di impostare le zone (utenti / gruppi AD) per l'accesso. Ci sono anche opzioni MCX e profilo per impostare l'accesso alla finestra di login. Di seguito è riportato il modo in cui sono riuscito a lavorare utilizzando i file com.apple modificabili per l'accesso personalizzato.

Centrify Link

Link originale alla guida che ho usato --- & gt; La risposta è circa a metà nei commenti.

È possibile modificare manualmente e aggiungere gruppi di annunci con dseditgroup . Innanzitutto controlla se i due file esistono:

/private/var/db/dslocal/nodes/Default/groups/com.apple.loginwindow.netaccounts

e

/private/var/db/dslocal/nodes/Default/groups/com.apple.access_loginwindow

Se questi file esistono, passa a " Aggiunta dei gruppi alla finestra access_login "sotto, se non esistono dovrai crearli con:

dscl . -create /Groups/com.apple.loginwindow.netaccounts
dscl . -create /Groups/com.apple.loginwindow.netaccounts PrimaryGroupID $GID1
dscl . -create /Groups/com.apple.loginwindow.netaccounts Password \*
dscl . -create /Groups/com.apple.loginwindow.netaccounts RealName "Login Window's custom net accounts"

dscl . -create /Groups/com.apple.access_loginwindow
dscl . -create /Groups/com.apple.access_loginwindow PrimaryGroupID $GID2
dscl . -create /Groups/com.apple.access_loginwindow Password \*
dscl . -create /Groups/com.apple.access_loginwindow RealName "Login Window ACL"

Dovrai cambiare $ GID1 e $ GID2 nello script precedente a un numero GID gratuito, per entrambi i file com.apple.loginwindow.netaccounts e com.apple.access_loginwindow. È possibile utilizzare questo script per verificare se un GID viene utilizzato dal sistema.

dscl . -list /Groups PrimaryGroupID | grep $desiredGID

Modificare $ desiredGID per un numero che si desidera controllare è gratuito. (Ho usato 206 per netaccounts e 235 per acess_loginwindow dalla guida collegata sopra, ed erano sempre aperti)

"Aggiunta dei gruppi alla finestra access_loginwindow"

dseditgroup -o edit -n /Local/Default -u admin -p -a ADgroup -t group com.apple.loginwindow.netaccounts

Modificare gruppo di annunci al nome del gruppo di Active Directory a cui si desidera consentire l'accesso alla finestra di accesso. (es. "Team vendite"). Anche cambiare Admin al tuo account di amministratore utente locale. Richiederà la password.

Quindi aggiungi com.apple.loginwindow.netaccessi al file com.apple.access_loginwindow.

dseditgroup -o edit -n /Local/Default -u admin -p -a com.apple.loginwindow.netaccounts -t group com.apple.access_loginwindow

dseditgroup -o edit -n /Local/Default -a localaccounts -t group com.apple.access_loginwindow

Cambia di nuovo Admin al tuo account di amministratore locale. Il primo aggiunge il file che contiene nidificato i gruppi AD, la seconda riga consente agli account locali sul computer di accedere. Ora se vai a Preferenze di sistema - & gt; Utenti e amp; Gruppi - & gt; Opzioni di accesso - & gt; Opzioni accanto a "Consenti agli utenti della rete di accedere alla finestra di accesso". Dovresti vedere i gruppi di annunci elencati che desideri consentire l'accesso al computer.