Wir haben uns in den letzten Tagen ernsthaft den Kopf über dieses Problem zerbrochen. Jetzt ist es an der Zeit, andere Fachleute nach möglichen Lösungen dafür zu fragen.
Die Situation und was wir versuchen zu tun:
Wir haben einige Mac-Computer, die wir der Active Directory-Domäne des Campus hinzugefügt haben (für die wir keine Domänenadministratorrechte haben). Diese Mac-Benutzer verwenden ihre AD-Konten, um sich bei ihren Macs anzumelden, was natürlich die Authentifizierung bei den Campus-DCs über Kerberos erfordert. Wir versuchen, sie als „mobile Konten“ einzurichten, sodass sie in den meisten Fällen auf ihr Netzwerk-Home zugreifen, aber auf ein automatisch synchronisiertes lokales Home-Verzeichnis zurückgreifen können. Dieses Netzwerk-Home befindet sich auf einem von uns kontrollierten Windows 2012-Server und sie greifen über SMB darauf zu.
Aus irgendeinem Grund mounten ihre Mac-Computer den Netzwerkstandort NICHT korrekt als ihr Home-Verzeichnis. Die Benutzer haben vollen Lese-/Schreibzugriff auf den Netzwerkstandort und können ihn problemlos mounten, sobald sie sich bei ihren Macs anmelden. Das Problem scheint darin zu liegen, dass der Computer das respektiert, was wir in Active Directory als ihr Netzwerk-Home-Verzeichnis angegeben haben.
Um es noch einmal klarzustellen: Wir haben KEINE Domänenadministratorrechte für die Domäne, bei der wir uns authentifizieren. Wir haben die Möglichkeit, ein paar spezielle Attribute für die Benutzerkonten festzulegen, wie „homeDirectory“ und „unixHomeDirectory“. Ich habe den Wert für beide Attribute auf „\server.something.edu\username“ festgelegt, obwohl das Attribut „homeDirectory“ technisch gesehen nur von Windows-Benutzern verwendet werden sollte.
Hat jemand eine Lösung dafür? Wir haben unsere Google-Suchen ausgeschöpft, unzählige Threads überall durchgelesen und konnten keine Lösung finden. Das ist ungewöhnlich, denn so etwas scheint in einer Unternehmensumgebung, in der Windows und Macs zusammenarbeiten müssen, häufig der Fall zu sein.
Ich denke, der Mac SOLLTE beim Anmelden die Zeichenfolge „\server.etwas.edu\Benutzername“ aus dem Active Directory übernehmen, bereitstellen und als Netzwerk-Homepage des Benutzers festlegen.
Und damit es niemand sonst vorschlägt: Wir haben im Verzeichnisdienstprogramm des Macs bereits die richtigen Optionen auf „UNC-Pfad aus Active Directory verwenden, um Heimatstandort des Netzwerks abzuleiten“ unter Verwendung des SMB-Netzwerkprotokolls eingestellt.
Darüber hinaus sind hier einige der Zeichenfolgenformate aufgeführt, die wir für die Attribute „unixHomeDirectory“ und „homeDirectory“ in Active Directory verwendet haben, sowie ihre Ergebnisse:
//server.etwas.edu/Benutzername (Verzeichnis lokal erstellt)
://server.etwas.edu:/Benutzername (konnte es nicht finden, Home auf / setzen)
smb://server.something.edu/username (konnte es nicht finden, Home auf / setzen)
//server.etwas.edu:/Benutzername (Verzeichnis lokal erstellt)
Ich weiß, dass einiges von dem oben Gesagten albern klingt, aber wir dachten, wir probieren zufällige Formate aus, weil wir nicht einmal sicher sind, welches Format es wirklich akzeptiert.
Eine weitere wichtige Frage ist wohl, ob wir mit „unixHomeDirectory“ das richtige ActiveDirectory-Attribut festlegen. Müssen wir etwas anderes festlegen, damit der MAC es erkennt und als seinen Netzwerk-Heimatstandort verwendet?
Auf dem Mac läuft OSX 10.10 (Yosemite) und wir versuchen, ihn auf einem Windows Server 2012 zu mounten.
Vielen Dank für alle Einblicke in dieses Thema!
Antwort1
Okay, nach langem Nachforschen ist es uns gelungen, eine Lösung zu finden.
Das offensichtliche Problem: Es scheint, als ob das MAC OS die Netzwerk-Home-Synchronisierung über die GUI nicht aktiviert, selbst wenn Sie alle Optionen richtig eingestellt haben.
Hier finden Sie eine ausführbare Binärdatei: /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount
Es gibt keine Manpage, aber wenn Sie es ohne Argumente/Schalter ausführen, werden einige Optionen dafür aufgelistet.
Wir haben diese Zeile verwendet (aus demselben Verzeichnis wie die ausführbare Datei): ./createmobileaccount -vsnNutzername-u smb://irgendein-Server/Freigabe/Benutzername
Dadurch kann das mobile Konto eine Netzwerkfreigabe als echtes HOME-Verzeichnis verwenden und alle Profilelemente des Benutzers korrekt synchronisieren.
Um sicherzustellen, dass alles wie erwartet funktioniert (oder um die Synchronisierungsoptionen weiter zu konfigurieren), gehen Sie nach dem Ausführen des obigen Befehls in den Systemeinstellungen zu „Benutzer und Gruppen“. Wenn Sie den Benutzer markieren, sollte jetzt die Schaltfläche „Einstellungen …“ für das mobile Konto aktiviert sein. Hier können Sie auswählen, welche Ordner synchronisiert werden sollen, in welchen Zeitabständen usw. Sie möchten wahrscheinlich auch die Option „Status in Menüleiste anzeigen“ aktivieren. Dadurch kann das Betriebssystem ein Symbol in der Menüleiste anzeigen, damit der Benutzer schnell zwischen den lokalen und Netzwerkspeichern synchronisieren und schnell auf die Synchronisierungseinstellungen zugreifen kann.
Hoffe, das hilft jemandem. Prost!
Antwort2
Soweit ich weiß, ignoriert OS X das unixHomeDirectory-Attribut. Es verwendet das homeDirectory-Attribut, um herauszufinden, wo sich das Windows-Home befindet, und mountet es. Das homeDirectory-Attribut muss im UNC-Format vorliegen, d. h. es sollte mitzweiBackslashes und verwenden Sie Backslashes als Pfadtrennzeichen. Ich weiß nicht, ob es kritisch ist, aber im Allgemeinen gibt es auf einem Server einen einzigen freigegebenen Ordner, wobei verschiedene Benutzer ihre Homes als Unterordner dieses freigegebenen Ordners haben. Daher ist das Standardformat für den HomeDirectory-Wert etwa „\server.irgendwas.edu\sharedfolder\username“.
Wenn der OS X-Client auf die Verwendung von „mobilen“ Konten eingestellt ist, wird erstetsVerwenden Sie einen lokalen Home-Ordner auf dem Client (normalerweise /Users/Benutzername). Es wird versucht, den Netzwerk-Home-Ordner zu mounten (wenn dieser verfügbar ist) und kann so konfiguriert werden, dass zwischen diesem und dem lokalen Home-Ordner synchronisiert wird, aber der lokale Ordner wird immer direkt verwendet.