mikrocontroller.net

Forum: PC Hard- und Software Mac verliert immer wieder der Verbindung zum AD


Autor: Frank E. (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein MacMini mit OSX 10.13.5 ist in ein Windows Active Directory 
eingebunden, um die Benutzer zu "erben". Das funktioniert auch im 
Prinzip. Das Blöde ist nur, alle paar Tage ist die Verbindung dann ohne 
sichtbaren Grund weg bzw. wird nicht aktualisiert.

Die Beutzer und dereren Berechtigungen werden offenbar lokal auf dem Mac 
gecashed und können sich weiterhin problemlos anmelden. Das Problem ist 
immer nur dann zu merken, wenn auf der Windows-Seite ein neuer Benutzer 
hinzu kommt, dann taucht der nämlich nicht auf der Mac-Seite auf.

Da hilft bisher immer nur Trennen und neu Verbinden, was aber leider 
ziemlich viel Nacharbeit in bestimmten Anwendungsprogrammen auf der 
Mac-Seite nach sich zieht, weil sich die dort gespeicherten 
Benutzernamen in unlesbare Zahlencodes verwandeln und jedesmal manuell 
neu zugeordnet werden müssen. Das behebt sich leider nicht mit der 
Wiederherstellung der AD-Verbindung.

Kennt jmd. einen Trick oder Würg-Around, um dieses Problem zu lösen? 
Danke für Tips.

: Verschoben durch Moderator
Autor: Icke ®. (49636b65)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Frank E. schrieb:
> Kennt jmd. einen Trick oder Würg-Around, um dieses Problem zu lösen?

Ja, nimm Windows. SCNR

> Ein MacMini mit OSX 10.13.5 ist in ein Windows Active Directory
> eingebunden, um die Benutzer zu "erben".

Die Benutzer werden nicht "geerbt". Active Directory ist ein Mechanismus 
zur globalen Anmeldung an einem Netzwerk. Ein AD-Benutzer wird nur auf 
dem Domänencontroller eingerichtet. Er kann ein lokales Profil haben, 
aber er ist KEIN lokaler Benutzer und wird auch nicht als solcher 
durchgereicht, hinzugefügt oder ähnliches.

> Das Blöde ist nur, alle paar Tage ist die Verbindung dann ohne
> sichtbaren Grund weg bzw. wird nicht aktualisiert.
>
> Die Beutzer und dereren Berechtigungen werden offenbar lokal auf dem Mac
> gecashed und können sich weiterhin problemlos anmelden.

Active Directory erlaubt die Anmeldung mit dem Domänenaccount über eine 
gewisse Zeitspanne auch ohne Verbindung zum Domänencontroller (cached 
credentials). Spätestens nach 30 Tagen ist aber Schluß, dann wird 
standardmäßig das Computerkennwort erneuert und der Rechner verliert die 
Vertrauensstellung zur Domäne. Die Funktion ist nur für kurzzeitiges 
offline Arbeiten gedacht, z.B. Homeoffice oder Dienstreisen, und kann 
per Gruppenrichtlinie auch weiter eingeschränkt oder ganz verhindert 
werden.

> Das Problem ist
> immer nur dann zu merken, wenn auf der Windows-Seite ein neuer Benutzer
> hinzu kommt, dann taucht der nämlich nicht auf der Mac-Seite auf.

Keine Ahnung, wie Apple das zurechtgefeilt hat. Wie schon gesagt, werden 
AD-Benutzer unter Windows nicht lokal angelegt. Lediglich ihr Userprofil 
kann lokal abgelegt sein (muß aber nicht). Demzufolge tauchen neu im AD 
angelegte Benutzer auch nicht lokal auf. Wenn ihr Profil als lokales 
konfiguriert ist, wird es frühestens beim ersten Anmelden mit dem 
Domänenaccount erzeugt.

> Da hilft bisher immer nur Trennen und neu Verbinden, was aber leider
> ziemlich viel Nacharbeit in bestimmten Anwendungsprogrammen auf der
> Mac-Seite nach sich zieht, weil sich die dort gespeicherten
> Benutzernamen in unlesbare Zahlencodes verwandeln und jedesmal manuell
> neu zugeordnet werden müssen. Das behebt sich leider nicht mit der
> Wiederherstellung der AD-Verbindung.

Diese unlesbaren Zahlencodes sind vermutlich die SID des Users. Das ist 
ein eindeutiger String, der bei der Erstellung des Users erzeugt wird 
und diesen AD-intern identifiziert. Der Klartextname des Benutzers wird 
der SID zugeordnet, hat aber sonst keine Bedeutung für Berechtigungen 
aller Art. Wenn man den Benutzer löscht und mit gleichem Namen neu 
erstellt, bekommt er eine neue SID, ist für das System also ein ganz 
anderer User. Normalerweise bekommt man die SID nur zu sehen, wenn keine 
Verbindung zum Domänencontroller besteht und die SID somit nicht zum 
Klartextnamen übersetzt wird. Oder wenn man einem Domänenbenutzer 
Berechtigungen auf eine lokalen Ressource (z.B. Datei oder Ordner) 
erteilt und dann den Benutzer im AD löscht (verwaiste ACL).
Erschwerend kommt noch hinzu, daß Apple nicht direkt mit der Windows-SID 
arbeitet, sondern diese in MAC-kompatible Benutzer IDs umwandelt.

> Das behebt sich leider nicht mit der
> Wiederherstellung der AD-Verbindung.

Generell ist die Integration von Nicht-Windows Systemen in ein 
AD-Netzwerk um Größenordnungen fehleranfälliger. Erfahrungsgemäß kümmert 
sich Apple auch nur sehr beschränkt um Kompatibilität zu Windows. Wenn 
man, aus welchen Gründen auch immer, unbedingt einen MAC im 
Windowsnetzwerk betreiben möchte, muß man eben mit solchen Fehlern 
leben. Oder einen Spezialisten vor Ort mit der Fehlersuche beauftragen 
(Stundensätze ab ca. 100€).

Autor: --- (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> taucht der nämlich nicht auf der Mac-Seite auf

Du wartest nur nicht lange genug!
Das geht bei M$ doch alles nur im Schneckentempo.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.