Forum: PC Hard- und Software Mac verliert immer wieder der Verbindung zum AD

Frank E. schrieb:
> Kennt jmd. einen Trick oder Würg-Around, um dieses Problem zu lösen?

Ja, nimm Windows. SCNR

> Ein MacMini mit OSX 10.13.5 ist in ein Windows Active Directory
> eingebunden, um die Benutzer zu "erben".

Die Benutzer werden nicht "geerbt". Active Directory ist ein Mechanismus 
zur globalen Anmeldung an einem Netzwerk. Ein AD-Benutzer wird nur auf 
dem Domänencontroller eingerichtet. Er kann ein lokales Profil haben, 
aber er ist KEIN lokaler Benutzer und wird auch nicht als solcher 
durchgereicht, hinzugefügt oder ähnliches.

> Das Blöde ist nur, alle paar Tage ist die Verbindung dann ohne
> sichtbaren Grund weg bzw. wird nicht aktualisiert.
>
> Die Beutzer und dereren Berechtigungen werden offenbar lokal auf dem Mac
> gecashed und können sich weiterhin problemlos anmelden.

Active Directory erlaubt die Anmeldung mit dem Domänenaccount über eine 
gewisse Zeitspanne auch ohne Verbindung zum Domänencontroller (cached 
credentials). Spätestens nach 30 Tagen ist aber Schluß, dann wird 
standardmäßig das Computerkennwort erneuert und der Rechner verliert die 
Vertrauensstellung zur Domäne. Die Funktion ist nur für kurzzeitiges 
offline Arbeiten gedacht, z.B. Homeoffice oder Dienstreisen, und kann 
per Gruppenrichtlinie auch weiter eingeschränkt oder ganz verhindert 
werden.

> Das Problem ist
> immer nur dann zu merken, wenn auf der Windows-Seite ein neuer Benutzer
> hinzu kommt, dann taucht der nämlich nicht auf der Mac-Seite auf.

Keine Ahnung, wie Apple das zurechtgefeilt hat. Wie schon gesagt, werden 
AD-Benutzer unter Windows nicht lokal angelegt. Lediglich ihr Userprofil 
kann lokal abgelegt sein (muß aber nicht). Demzufolge tauchen neu im AD 
angelegte Benutzer auch nicht lokal auf. Wenn ihr Profil als lokales 
konfiguriert ist, wird es frühestens beim ersten Anmelden mit dem 
Domänenaccount erzeugt.

> Da hilft bisher immer nur Trennen und neu Verbinden, was aber leider
> ziemlich viel Nacharbeit in bestimmten Anwendungsprogrammen auf der
> Mac-Seite nach sich zieht, weil sich die dort gespeicherten
> Benutzernamen in unlesbare Zahlencodes verwandeln und jedesmal manuell
> neu zugeordnet werden müssen. Das behebt sich leider nicht mit der
> Wiederherstellung der AD-Verbindung.

Diese unlesbaren Zahlencodes sind vermutlich die SID des Users. Das ist 
ein eindeutiger String, der bei der Erstellung des Users erzeugt wird 
und diesen AD-intern identifiziert. Der Klartextname des Benutzers wird 
der SID zugeordnet, hat aber sonst keine Bedeutung für Berechtigungen 
aller Art. Wenn man den Benutzer löscht und mit gleichem Namen neu 
erstellt, bekommt er eine neue SID, ist für das System also ein ganz 
anderer User. Normalerweise bekommt man die SID nur zu sehen, wenn keine 
Verbindung zum Domänencontroller besteht und die SID somit nicht zum 
Klartextnamen übersetzt wird. Oder wenn man einem Domänenbenutzer 
Berechtigungen auf eine lokalen Ressource (z.B. Datei oder Ordner) 
erteilt und dann den Benutzer im AD löscht (verwaiste ACL).
Erschwerend kommt noch hinzu, daß Apple nicht direkt mit der Windows-SID 
arbeitet, sondern diese in MAC-kompatible Benutzer IDs umwandelt.

> Das behebt sich leider nicht mit der
> Wiederherstellung der AD-Verbindung.

Generell ist die Integration von Nicht-Windows Systemen in ein 
AD-Netzwerk um Größenordnungen fehleranfälliger. Erfahrungsgemäß kümmert 
sich Apple auch nur sehr beschränkt um Kompatibilität zu Windows. Wenn 
man, aus welchen Gründen auch immer, unbedingt einen MAC im 
Windowsnetzwerk betreiben möchte, muß man eben mit solchen Fehlern 
leben. Oder einen Spezialisten vor Ort mit der Fehlersuche beauftragen 
(Stundensätze ab ca. 100€).