Ответы пользователя по тегу Active Directory
  • Active Directory в облаке и филиалы через VPN?

    @elbrus56
    Тенденция последних лет - это использование ADDS только для хранения каталога. Вовсе не обязательно заворачивать на него аутентификацию и заставлять устройства быть привязанными к домену, сейчас это решается с помощью Azure AD, Okta, Cisco Duo + MDM, которые также позволят настроить вам Federation к другим веб-службам. То, что вы пытаетесь реализовать - задача, которая в итоге была решена именно этими сервисами.
    Ответ написан
  • Менеджмент MacOS. Аналоги Active directory для MacOS?

    @elbrus56
    Ок, давайте рассмотрим вопрос в различных аспектах. Прежде всего, не будем вдаваться в подробности того, почему такой вопрос вообще возник. Может у компании аудит на горизонте, или бюджеты не освоены или у CTO ачивка намечается. А отдуваться админу, конечно.

    Тут уже написали, что Windows подход не работает, но это не совсем так. Устроить огораживание на Mac можно, но это уже неэффективно. И это первая ошибка в подходе закоренелого Windows-админа, воображение которого волею судеб оказалось заперто в рамках того, с чем он привык работать.

    Отдельно добавлю, что формулировки вопросов на Тостере сегодня показывают грустную картину отсутствия инженерного подхода. Ну да ладно.

    Итак.

    Менеджмент Mac
    Все как привыкли? gpupdate запустил и счастлив. Если у AD есть свои политики и механизмы, то Apple со своей стороны сделало свои, которые работают только под управлением сервера MDM, который вы можете реализовать самостоятельно, потому что это, по сути, веб-сервер и БД, которые для доставки используют APNS. Функционал MDM ограничен тем, что добавило в него Apple. И каждый год он обновляется. Где-то он круче AD, где-то нет. Например, для 10.15 добавили Activation Lock. Что касается коммуникации с сервером - вы не привязаны к конкретному офису, достаточно доступа в Интернет. А так как команды “прилетают” через Push - о NAT думать не надо.

    Но не политиками едиными. На Windows мы ещё и скрипты используем, батники запускать любим. А что с MDM? Сам по себе сервер MDM скрипты не выполняет, но решения MDM, которые продаются сегодня, (Jamf, Workspace One, Mobileron, Filewave, Fleetsmith...) предлагают возможности установки агента, который будет эти функции выполнять. И заметьте, что скрипты полностью не перекрывают функционал MDM, это заблокировано на уровне системы в целях безопасности.

    Что касается интеграции с AD, Azure AD, Microsoft 365 - решения есть (Nomad, Jamf Connect), но это уже надстройки к MDM.

    Задача (задачи?) минимум
    Подключение
    Вы же на Windows не через механизмы AD подключаетесь (если отбросить аутентификацию и авторизацию), а через определенный протокол, который обеспечивает определенная служба, которую можно включить вручную или через AD. На Mac почти также, просто протокол другой.

    Блокировка
    Это зашито в протоколе MDM и Works like magic. Но желательно к этому включить пароль прошивки и Activation Lock

    Задача (задачи) максимум
    Централизованный сетап пк с macos возможности схожие с AD
    С настройками разобрались, теперь надо ставить ПО. MDM ставить PKG не умеет (ну почти), поэтому пользуемся решениями вендоров, которые по сути выполняют команды в терминале. Учимся паковать Skype в PKG, меня настройки, боремся с TCC, UAKEL и что там еще...

    Соответственно читаем:
    Apple Device Managemnet за авторством Charles Edge и Rick Trouton
    Если сложно - можно и Arek Dreyer почитать
    Bash Cookbook
    Python
    Про упаковку приложений в PKG

    САМЫЙ ВАЖНЫЙ АБЗАЦ
    Когда мы (мак-админы) объясняем Windows-админам то, как происходит современное управление устройствами Apple, у последних (у админов) происходит катарсис и в лучшем случае просветление.
    Почему? Потому что в современном мире вы не даете все права, а потом отбираете их по кусочкам. Вы даете пользователю только то, что ему требуется для работы. Это нелегко понять, особенно с первого раза.
    Ответ написан
    2 комментария
  • Как настроить политику паролей мобильной учетной записи в MacOs?

    @elbrus56
    Самая исчерпывающая статья - macadminsdoc.readthedocs.io/en/master/Integration/...

    Если Мак привязан к домену, то политика паролей идёт от домена, причём если вы смените пароль пользователя домена, то запрос нового появится только при следующем логине + уведомление от связки ключей.

    Вводить Маки в домен является хотя и поддерживаемой, но не самой трендовой технологией.

    Для ваших целей лучше использовать связку MDM + Nomad

    MDM обеспечит политику паролей, а Nomad поможет с доступом к корпоративным ресурсам без привязки к домену.

    Кстати тот же Nomad синхронизирует пароль AD с локальным паролем, поэтому при смене локального пароля он рано или поздно опять превратится в доменный.
    Ответ написан
    Комментировать
  • MacBook: подключение в AD?

    @elbrus56
    Можно, зависит от сценария. Вводить в домен для установки машинного сертификата уже не обязательно, этот функционал и не только можно реализовать средствами MDM, SCEP. SSO-решений тоже хватает на рынке. Политиками GPO управлять Маками нельзя, нужно MDM/EMM решение.
    Ответ написан
  • Как перенести пользователей на MacOS?

    @elbrus56
    Когда вы привязываете Мак к домену встроенными средствами (чего Apple уже не первый год предлагает не делать), по умолчанию в окне входа у вас не будут отображаться пользователем сетевых учетных записей аки локальные. Однако вы можете отобразить там группу сетевых пользователей. Но если у вас в группе 100 пользователей - столько кружочков вы в окне входа и увидите.
    Лучше пойти другим путём: почитать про Nomad Login и Nomad, не привязывать Мак к АД, использовать локальные учетные записи. Если вам очень хочется машинных сертификатов - ставить вручную (вы же наверное Мак вручную привязали?) или через MDM.
    Ответ написан
    Комментировать