Ein MacMini mit OSX 10.13.5 ist in ein Windows Active Directory eingebunden, um die Benutzer zu "erben". Das funktioniert auch im Prinzip. Das Blöde ist nur, alle paar Tage ist die Verbindung dann ohne sichtbaren Grund weg bzw. wird nicht aktualisiert. Die Beutzer und dereren Berechtigungen werden offenbar lokal auf dem Mac gecashed und können sich weiterhin problemlos anmelden. Das Problem ist immer nur dann zu merken, wenn auf der Windows-Seite ein neuer Benutzer hinzu kommt, dann taucht der nämlich nicht auf der Mac-Seite auf. Da hilft bisher immer nur Trennen und neu Verbinden, was aber leider ziemlich viel Nacharbeit in bestimmten Anwendungsprogrammen auf der Mac-Seite nach sich zieht, weil sich die dort gespeicherten Benutzernamen in unlesbare Zahlencodes verwandeln und jedesmal manuell neu zugeordnet werden müssen. Das behebt sich leider nicht mit der Wiederherstellung der AD-Verbindung. Kennt jmd. einen Trick oder Würg-Around, um dieses Problem zu lösen? Danke für Tips.
:
Verschoben durch Moderator
Frank E. schrieb: > Kennt jmd. einen Trick oder Würg-Around, um dieses Problem zu lösen? Ja, nimm Windows. SCNR > Ein MacMini mit OSX 10.13.5 ist in ein Windows Active Directory > eingebunden, um die Benutzer zu "erben". Die Benutzer werden nicht "geerbt". Active Directory ist ein Mechanismus zur globalen Anmeldung an einem Netzwerk. Ein AD-Benutzer wird nur auf dem Domänencontroller eingerichtet. Er kann ein lokales Profil haben, aber er ist KEIN lokaler Benutzer und wird auch nicht als solcher durchgereicht, hinzugefügt oder ähnliches. > Das Blöde ist nur, alle paar Tage ist die Verbindung dann ohne > sichtbaren Grund weg bzw. wird nicht aktualisiert. > > Die Beutzer und dereren Berechtigungen werden offenbar lokal auf dem Mac > gecashed und können sich weiterhin problemlos anmelden. Active Directory erlaubt die Anmeldung mit dem Domänenaccount über eine gewisse Zeitspanne auch ohne Verbindung zum Domänencontroller (cached credentials). Spätestens nach 30 Tagen ist aber Schluß, dann wird standardmäßig das Computerkennwort erneuert und der Rechner verliert die Vertrauensstellung zur Domäne. Die Funktion ist nur für kurzzeitiges offline Arbeiten gedacht, z.B. Homeoffice oder Dienstreisen, und kann per Gruppenrichtlinie auch weiter eingeschränkt oder ganz verhindert werden. > Das Problem ist > immer nur dann zu merken, wenn auf der Windows-Seite ein neuer Benutzer > hinzu kommt, dann taucht der nämlich nicht auf der Mac-Seite auf. Keine Ahnung, wie Apple das zurechtgefeilt hat. Wie schon gesagt, werden AD-Benutzer unter Windows nicht lokal angelegt. Lediglich ihr Userprofil kann lokal abgelegt sein (muß aber nicht). Demzufolge tauchen neu im AD angelegte Benutzer auch nicht lokal auf. Wenn ihr Profil als lokales konfiguriert ist, wird es frühestens beim ersten Anmelden mit dem Domänenaccount erzeugt. > Da hilft bisher immer nur Trennen und neu Verbinden, was aber leider > ziemlich viel Nacharbeit in bestimmten Anwendungsprogrammen auf der > Mac-Seite nach sich zieht, weil sich die dort gespeicherten > Benutzernamen in unlesbare Zahlencodes verwandeln und jedesmal manuell > neu zugeordnet werden müssen. Das behebt sich leider nicht mit der > Wiederherstellung der AD-Verbindung. Diese unlesbaren Zahlencodes sind vermutlich die SID des Users. Das ist ein eindeutiger String, der bei der Erstellung des Users erzeugt wird und diesen AD-intern identifiziert. Der Klartextname des Benutzers wird der SID zugeordnet, hat aber sonst keine Bedeutung für Berechtigungen aller Art. Wenn man den Benutzer löscht und mit gleichem Namen neu erstellt, bekommt er eine neue SID, ist für das System also ein ganz anderer User. Normalerweise bekommt man die SID nur zu sehen, wenn keine Verbindung zum Domänencontroller besteht und die SID somit nicht zum Klartextnamen übersetzt wird. Oder wenn man einem Domänenbenutzer Berechtigungen auf eine lokalen Ressource (z.B. Datei oder Ordner) erteilt und dann den Benutzer im AD löscht (verwaiste ACL). Erschwerend kommt noch hinzu, daß Apple nicht direkt mit der Windows-SID arbeitet, sondern diese in MAC-kompatible Benutzer IDs umwandelt. > Das behebt sich leider nicht mit der > Wiederherstellung der AD-Verbindung. Generell ist die Integration von Nicht-Windows Systemen in ein AD-Netzwerk um Größenordnungen fehleranfälliger. Erfahrungsgemäß kümmert sich Apple auch nur sehr beschränkt um Kompatibilität zu Windows. Wenn man, aus welchen Gründen auch immer, unbedingt einen MAC im Windowsnetzwerk betreiben möchte, muß man eben mit solchen Fehlern leben. Oder einen Spezialisten vor Ort mit der Fehlersuche beauftragen (Stundensätze ab ca. 100€).
> taucht der nämlich nicht auf der Mac-Seite auf
Du wartest nur nicht lange genug!
Das geht bei M$ doch alles nur im Schneckentempo.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.