Макинтош попал

До сих пор я управлял сетями только с пользователями Windows и случайным * nix сервером. Вскоре несколько пользователей с Mac будут добавлены в нашу сеть. На что нужно обратить внимание при добавлении компьютеров Mac в сеть? Ключевые проблемы здесь: совместимость с Active Directory и безопасность

Возможно, вы захотите инвестировать в утилиту, которая отключает создание файлов .DS_Store на сетевых томах. В противном случае вы обнаружите, что эти маленькие файлы появляются во всех сетевых томах, когда пользователи Mac их используют.

Я использую приложение под названием Коктейль для этого.

Обновления ... хотя OS X может проходить аутентификацию в AD, нет ничего, что требовало бы от них обновления своих компьютеров. Обязательно поговорите с ними об установке обновлений по мере их выхода. Хотя на самом деле нет никакого способа заставить их сделать это.

Если ваш внутренний домен есть .local, у вас будут проблемы с разрешением имен через DNS. Есть старая статья о Mac OS X Hints, которая описывает решение:

Я создал company.localфайл /etc/resolverи заполнил этот файл серверами имен для company.localдомена AD. Это позволяет Mac OS X использовать стандартный DNS для разрешения company.local(или subdomain.company.local), в то же время позволяя Rendezvous работать должным образом.

Единственный недостаток этого подхода заключается в том, что серверы имен в этом company.localфайле не обновляются через DHCP, поэтому я должен обновить их вручную.

Вот более официальный документ поддержки от Apple, который проанализирует ваши существующие, /etc/resolv.confчтобы заполнить файл в /etc/resolvers.

Если у вас достаточно компьютеров Mac, я бы предложил добавить сервер Mac - для создания так называемой «Святой Троицы». Вам даже не нужно покупать Xserve - сервер OSX работает на Mac Mini!

Компьютеры Mac используют AD для всех нормальных прав доступа и разрешений, а сервер Mac для Mac выполняет особые задачи, такие как обновления (вы найдете версию WSUS для Mac, называемую Software Update Server). Вы также можете использовать параметры развертывания сервера Mac (NetInstall) для установки.

Некоторые версии OSX часто аварийно завершают работу при подключении к серверу Windows 2003, на котором включен активный каталог. Кажется, они исправили это в какой-то момент, но я не могу сказать вам, когда. Так что будьте в курсе.

В зависимости от того, кто получает компьютер, вы можете или не можете включить сетевой вход в систему. Хотя вы можете ограничить доступ пользователей (используя родительский контроль), вы можете просто сделать этого пользователя не администратором и оставить это так, как многие приложения самостоятельно обновляют и порождают другие приложения, поэтому ограничение их может привести к проблемам. Я всегда предоставлял своим пользователям Mac полный доступ к администрированию и никогда не видел, чтобы возникали проблемы, с которыми я сталкивался, когда мои пользователи Windows получают полный доступ администратора к своим ящикам. По сути, для Mac нет шпионских программ или вирусов, поэтому его намного проще поддерживать.

Также следует помнить, что у каждого компьютера Mac есть возможность «общего доступа в Интернет», которая поставляется с сервером DHCP, что может вызвать проблемы.

Также включите IMAP в обмен и позвольте им использовать «Почту» Apple. Это миры лучше, чем окружение. Также в адресную книгу встроена поддержка ldap. Больше ничего особенного для Mac не приходит в голову.

Вот хороший трюк, не пытайтесь подключить сам OSX к вашей AD - это можно сделать, но я считаю, что это не так просто и может потребовать немалой поддержки. Купите что-то под названием «AdmitMac» на http://www.thursby.com/ - это избавит вас от всех проблем и, конечно, будет поддержано ими напрямую. Да, и не позволяйте вашим макам использовать какие-либо протоколы, которые вас не устраивают, они очень гибкие, но они должны работать вокруг вас, а не наоборот.

Я знаю несколько проблем с поддержкой конечных пользователей, с которыми вы можете столкнуться:

• Переименование домашнего каталога пользователя может привести к «отсутствующим файлам»
• Хотя с тех пор это было исправлено, в более ранних версиях OS X иногда возникали некоторые проблемы с интеграцией AD.
• Замена папки на папку с тем же именем может иметь семантические отличия от того, к чему вы привыкли.
• Можно уничтожить каталог (при определенных обстоятельствах), записав файл с тем же именем .

Мне потребовалось некоторое время, чтобы выяснить: если вы установите «наследовать» ACL для папки, это повлияет только на вновь созданные файлы - «получится», если пользователь «перетаскивает» файл в папку В данном случае разрешения для папки не изменятся ни в коем случае (если только она не перетаскивается из другого тома, где она, по сути, будет скопирована и вставлена). Чтобы файлы могли принять унаследованный вами ACL, они должны будут «копировать и вставлять» или вручную устанавливать разрешения ... возможно (поскольку теоретически поведение ACL должно быть таким же), это также происходит в Windows, я не Не знаю, но это стоит повторить.