Как нам пришлось научиться управлять маками в корпоративной сети. Решения для интеграции Mac-to-AD Подключение mac os к домену

что вы системный администратор и директор компании мечтает о переносе рабочих мест на Маки; или школа, в которой вы обслуживаете IT, выиграла тендер и скоро привезут новенькие Macbook; или в вашей редакции выбросили старые G4 и закупают парк новых iMac.

А инфраструктура на Active Directory

И если спросить вас об управлении клиентскими станциями в домене средствами Windows Server, то вероятно, что прозвучат слова “домен”, “политики”, “GPO”, “служба каталогов”.

Зачем нужна служба каталогов?

Служба каталогов упрощает жизнь пользователя и администратора. Она позволяет хранить необходимые ресурсы, – учетные записи, группы и многое-многое другое в одном месте, удобно управлять ими, связывать воедино самые разнообразные сервисы.
Интеграция компьютеров в службу каталогов позволяет принудительно установить строгие политики аутентификации и авторизации, управлять доступом к ресурсам через Single Sign-On (SSO) . Проще говоря, ограничивать доступ во имя благих целей.

Разве Мак вводится в Active Directory?

На деле macOS давно интегрируется в службы каталогов, в том числе и в Active Directory (далее AD), и для этого используется встроенный плагин AD. Мак, привязанный к домену, поддерживает политики паролей, поиск пользователей и групп, единую точку входа (SSO) с использованием Kerberos, аутентификацию 802.1X для ограничения доступа к сети как по Wi-Fi, так и по Ethernet. Ознакомиться с Best Practices от Apple по связи Мака и Ad (эпохи Mac OS X 10.10) можно по ссылке .

Хорошо. Как управлять настройками Maк?

Долгое время негласным стандартом являлось решение Magic Triangle, которое объединяло в себе возможности AD и Open Directory (далее OD), собственной службы каталогов от Apple. Работало это следующим образом: учетные записи пользователей находились в Active Directory, но так как в Windows Server нет встроенных средств для управления Маками, то политики распространялись с сервера Open Directory от Apple.
Называлась эта технология MCX – Managed Client for (OS) X и по сути, это конфигурационные кусочки XML в LDAP-записях, относящихся к пользователям, группам и компьютерам (интересные утилиты командной строки – mcxquery и mcxrefresh). Администраторы управляли настройками с помощью Workgroup Manager .
Само-собой, это повышало затраты на обслуживание, так как приходилось поддерживать еще и серверы Apple. Например, в компании IKEA для поддержки Маков на 400 площадках использовались и AD и OD.
Нельзя сказать, что Apple усиленно развивает Open Directory, да и серверы в целом. Скорее негласно предполагается, что в корпорации будет использоваться Active Directory. К тому же Apple продвигает новую технологию управления Маками под названием Mobile Device Management.

Mobile Device Management (MDM)

Новая технология управления Маками пришла с iPhone и iPad. Это отражено в ее названии – Mobile Device Management . Так Apple называет как сам набор технологий для управления, так и протокол, который позволяет отправлять команды для управления устройствами на базе iOS 4 и новее, macOS 10.7 и новее, Apple TV с iOS 7 (ныне tvOS) и новее. С помощью MDM системные администраторы могут проверять, устанавливать или удалять конфигурационные профили, заблокировать устройства и даже стирать их удаленно. Конфигурационные профили представляют из себя файлы XML с набором настроек, описанных в документации Apple. Что интересно, распространение профилей происходит так, что Маку не нужно находиться в офисной сети, достаточно иметь доступ к интернет. Протокол построен поверх HTTPS и использует PUSH-уведомления. Профили распространяются следующим образом: сервер MDM обращается к Apple Push Notification Services (APN) , далее APN путем PUSH-уведомлений сообщает устройству о том, что нужно связаться с сервером MDM, после чего Мак подключается к серверу MDM и получает информацию с настройками.
И что самое интересное, вы можете связать сервер MDM с существующим каталогом AD и создавать отдельные наборы настроек для управления Маками. Например, вы можете взять заранее подготовленную группу из AD, создать для не профили настроек для Мак и далее распространять политики средствами MDM.

Shut up and take my money!

В приложении macOS Server от Apple уже есть свой MDM сервер под названием Profile Manager . Отталкиваясь от нашего опыта и опыта наших клиентов и коллег мы не рекомендуем его использование в организациях с большим количеством Маков или iOS устройств. Profile Manager можно использовать скорее для ознакомления с технологией или пилотного проекта.
3rd party серверов MDM, работающих с Apple развелось немало: Microsoft , Vmware , Parallels , не говоря уже об . Однако если вы спросите любого мак-администратора на конференции Macsysadmin , которая состоится в начале октября в Гётеборге какой MDM выбрать, то вам ответят: “JAMF “, он же бывший “Casper Suite”. Это, пожалуй, самое простое и популярное решение MDM для устройств Apple.
Если вас заинтересует внедрение JAMF – обращайтесь к нам и мы вам поможем и с приобретением и с настройкой.

Обязательно ли привязывать Мак к AD?

Вовсе нет. Например, с помощью приложения NoMAD (аббревиатура расшифровывается как “No More Active Directory”) вы можете использовать SSO, монтировать домашнюю папку, синхронизировать пароль локального пользователя с сетевым паролем и многое другое. Причем само приложение не требует прав админстратора. И все это только с помощью тикетов Kerberos.

Что еще за Kerberos?

Kerberos - технология аутентификации, основанная на тикетах - специальных шифрованных сообщениях, которые позволяют клиенту подтвердить свою подлинность, не храня пароль и не передавая его по недоверенным каналам.
Если попытаться объяснить просто, то сначала клиент запрашивает на сервере аутентификации “тикет для выдачи тикетов” (ticket granting ticket, TGT), затем запрашивает на том же сервере тикет для доступа к нужному ресурсу, при этом сервер проверяет, что такой ресурс существует и у данного пользователя есть доступ к этому ресурсу, и уже с этим тикетом клиент может получить доступ к ресурсу. Единственный раз, когда у пользователя запрашивается пароль (но не пересылается по сети) - этап получения тикета TGT, в дальнейшем все происходит автоматически - отсюда название Single Sign-on.

Вывод

Введение Маков в домен, управление устройствами и доступом к ресурсам – задача вполне выполнимая. Вы можете взаимодействовать с каталогом как привязав Мак к домену, так и обойтись средствами 3rd party приложений. В любом случае, интеграция технологии MDM в AD поможет вам комфортно управлять устройствами Apple, основываясь на политиках вашей организации.

Мы же пока ждем релиза High Sierra и выступлений на конференции Macsysadmin 2017, которые мы будем подробно освещать с места.
Мой коллега Ильдар обещает по статье на каждое выступление!

Я работаю в операционном отделе в крупной, в основном, на базе Windows ИТ-компании. Лично я пользователь Mac, но я в основном использую свой Mac в «средах Mac».

У нас есть запрос о получении некоторых компьютеров Mac в сетевой домен. Основной причиной этого является аутентификация (пользователи Mac уже являются членами домена и хотели бы войти в систему с этими учетными данными), а также для монтирования некоторых сетевых дисков.

Я не делал этого раньше, и хотел бы знать ваши идеи о том, как реализовать эти Mac в наилучшем виде. Мы ищем бесплатное или, по крайней мере, недорогое решение для этого. Я рассмотрел некоторые из решений, но хотел бы получить отзывы от тех, кто работал с этим в производственной среде.

4 ответы

Однако я не преобразовал Mac в мою среду из-за проблемы с авторизацией пользователя. Я считаю, что это большая проблема, но я также работаю в области безопасности:) Существуют расширения AD для атрибутов OSX, поэтому вы можете получить некоторые из тех уровней конфигурации, которые вы используете с Windows в AD. Тем не менее, ваша среда AD должна быть расширена для их поддержки.

Если вы не против иметь неуправляемые машины, где кто-либо с полномочиями может войти в систему, а затем добавить их. Централизованная аутентификация почти всегда предпочтительна. К сожалению, для моих систем это ограничение было показательным стопором.

Существует документация по настройке OSX Server как посредника между компьютерами Mac и серверами AD. Вы запускаете OpenDirectory в так называемом «подчиненном» режиме. Предположительно, вы можете полностью управлять Mac, как обычно, за исключением того, что аутентификация передается в поле AD. Идея состоит в том, что вы будете выполнять авторизацию вашего пользователя на OD-сервере и присоединитесь к своим компьютерам Mac (одновременно добавив их в домен AD kerberos). Это звучит многообещающе, но, как я уже сказал, у меня не было успеха, получив разрешение работать правильно. Инструкции также приведены в pdf-формате, приведенном выше.

Возможность добавлять их в домен бесплатна - она ​​встроена в OS X и может быть автоматизирована во время развертывания с использованием DeployStudio.

Фактически управление ими с помощью групповой политики - это другая история - есть некоторые сторонние продукты, доступные как

Jesus Vigo takes a look at how to setup and configure Apple hardware running a modern version of OS X and get it communicating with a Windows Active Directory environment.

Market share in the enterprise is largely dominated by Microsoft - specifically, the reliance on the Windows Server family line to manage network resources, align desktops with corporate security policies, and maintain the flow of production amongst all the employees at a given organization. The process of administering all these systems - desktops and servers alike - are relatively straight-forward in a homogeneous environment, but what happens when OS X is introduced to the enterprise in the form of a sleek, shiny new MacBook Air or iMac?

Apple hasn’t made great inroads in this segment. However, comparing its paltry 7% market share in the desktop market to its almost 93% in the mobile device market, there"s only a matter of time before more companies begin to choose Apple products for its mobile and desktop computing duties in lieu of the generic, stalwart PCs they’ve been cycling in and out every three to five years. So, I ask you again, what do you do when your organization decides to upgrade to iMacs? How do you manage those nodes in addition to the existing Windows domain that"s already established?

Integrating Macs will initially be easier than you think! Even with little to no prior OS X knowledge, Macs will bind* to the domain with relative ease, since directory services - the underlying “file structure” of the network resources - are standards-based and operate more or less about the same across operating systems.

Note*: Binding is the term associated with joining OS X to a domain. It’s virtually identical to joining a Windows PC to a domain, complete with checking domain credentials to verify the end user has the necessary rights to add the computer to the domain.

Minimum requirements:

• Server hardware running Windows Server 2000-2012 Standard
• Active Directory Domain Services (ADDS) setup and configured
• Domain Administrator-level account
• Apple desktop or laptop running OS X 10.5+
• Switched network

I. Bind OS X to a Windows domain (10.5-10.9)

Follow these steps to bind OS X to a Windows domain:

Note**: By default, Windows will automatically create the computer object account in ADDS if one does not already exist. However, domain or enterprise admins may (and often do) restrict this as a security feature to curb random nodes from being joined to the domain. Additionally, Organizational Units (OU) may be created as a form to compartmentalize ADDS objects by one or more classifications or departments. Many enterprises will utilize OUs as a means to organize objects and accounts separately from the items created by default when a domain controller is promoted and ADDS is created.

II. Modify Directory Services settings

Your next steps will be to modify the Directory Services settings. Here"s how:

1. To ensure the highest level of compatibility between OS X and the network resources on the Windows network, certain changes must be made to the Active Directory service with the Directory Utility - so, go to System Preferences | Users & Groups, and click Login Options
2. Click the Edit… button next to Network Account Server, then click Open Directory Utility… ()
   
   
3. The Directory Utility lists various services associated with network account directories (), and it allows you to modify settings as needed
   
   
4. Double-click Active Directory to edit its configuration ()
   
   
5. Click on the arrow to unhide the Advanced Options, select User Experience, and check the following boxes:
   a. Check Force local home directory on startup disk (), which will force the creation of a profile on the local HDD for all users that logon to the node (if you plan to serve profiles remotely from a server, leave this setting unchecked)
   
   b. Check Use UNC path from Active Directory to derive network home location (), and select the network protocol to be used: smb: (Note: This setting will switch the default protocol for network resource paths from Apple’s afp: to the Windows" friendly smb: - also known as Common Internet File System, or CIFS).
   
   
6. Next, select Mappings (), which pertains to specifying unique GUIDs for certain attributes used within ADDS to identify a computer object account. OS X will generate these at random by default when bound to the domain; however, you may wish to use a particular set as generated by your enterprise admin.
   
   
7. Finally, select Administrative (), and configure the following three optional settings based on the ADDS schema setup of the organization:
   
   a. Checking Prefer this domain server will perform two-way communication to/from the domain controller of your choosing
   b. Checking Allow administration by will allow nodes to be managed by the administrator(s) who"s responsible for overseeing systems, based on security group membership or user account(s)
   c. Checking Allow authentication from any domain in the forest may or may not be necessary to ensure that the OS X computers authenticate to the proper domain, as configured by the domain/enterprise admin.

There you have it - a basic look at how to setup and configure Apple hardware running a modern version of OS X and get it communicating with a Windows Active Directory environment. I also threw in a few extra tips to help make a smooth transition and minimize errors.

One additional tip (and common best practice) is to host an Open Directory domain along with the Active Directory service. Multiple directory services will add to the burden of managing two distinct operating systems, but you’ll be surprised to find out that it may actually make administration of these systems easier! This dual-directory environment will allow Windows PCs to be maintained and managed solely through the Active Directory side, while Open Directory - when setup with OS X Server - can be used to maintain and manage the Apple computers.

Giving the Apple hardware the second directory binding to ADDS will allow them to seamlessly communicate with the Windows desktops and share file and printer resources from Windows servers and nodes, and vice-versa. This eliminates the need for costly 3rd-party software plugins. The Macs will receive much of their management directly from the domain controller hosting the Active Directory service, but it must “translate” the processes into commands that OS X will understand. Even then, it does introduce another variable when troubleshooting. And let’s be honest, the newly released OS X Server 3.0, which is only $20 in the Mac App Store, is a full-fledged server OS that’s as simplified and easy to use as OS X.

Bring Your Own Device (BYOD) - уже вполне реальная головная боль админов, у которых в корпоративной сетке появился не только Macbook топ-менеджера, но и iPad (а то и iPhone) его заместителя. Мы в этом году опросили в США более сотни сисадминов крупных компаний – что они используют для управления мобильными гаджетами в корпоративной сети, занятой преимущественно ПК под Windows. Победили варианты «ничего» и «крепкие выражения/алкоголь/слезы». При этом 45% признались, что в их компаниях уже закуплены Mac в рабочих целях. Значит, задачу уже надо решать, так как через BYOD-устройства, которыми пользуются руководители и ключевые сотрудники, может проходить информация ценой в миллионы рублей, и для них жизненно важно соответствовать корпоративным политикам.

В этом посте мы хотим рассказать, как внедряли в своей же компании собственное решение для управления Маками в корпоративной среде – Parallels Mac Management, с чего начали и с чем столкнулись в процессе (включая чисто психологические аспекты поведения своих же сотрудников). А еще - порассуждать о том, действительно ли нужен Mac в корпоративной сети (и узнать ваше мнение об этом), для чего, и кто чем пользуется для управления.

«Страшная» реальность

Будем честными – для многих компаний с точки зрения экономии затрат и ресурсов выгоднее выбирать ПК под Windows: Маки дороже, экосистема специализированных приложений под Mac OS X значительно менее развита, ими менее привычно массово управлять. Почему же продукция Apple продолжает настойчиво проникать в корпоративную среду?

Есть свое устройство поработать? А если найду?

Во-первых , это взрывной рост количества мобильных устройств - телефонов и планшетов - и их переориентация на профессиональные задачи. Становится все больше легко носимых гаджетов, способных делать все то, что совсем недавно могли делать только компьютеры. Это касается как смартфонов, так и планшетов. В 2013 году продано больше 195 млн планшетов (62% - под Android, 36% - под iOS). Тогда же количество используемых телефонов на платформах Android и iOS X в мире превысило 900 млн (доля iPhone - 15,2%, Android -78,6%). И уже в этом году люди купят больше планшетов, чем портативных компьютеров.

Во-вторых – мода на BYOD, вполне возможно, отражает новые отношения между компаниями-работодателями и сотрудниками. Эти новые веяния постепенно проникают к нам с Запада, и выражаются в том, что сотрудники все реже рассматривают себя как часть организации, либо даже не входят в штат. Например, contractors («подрядчики») в США сотрудниками не считаются, компания имеет право указывать им, что делать, но не как. Штатные сотрудники ведут себя так же. При таком подходе у сотрудников меньше ограничений, и он де-факто навязывается всем участникам рынка, включая работодателей. А раз не важно, как решаются задачи, то можно использовать любые милые сердцу устройства. Вопросы их технического сопровождения редко обсуждаются, так как не связаны непосредственно с бизнесом. К тому же BYOD снимает затраты на приобретение устройств с работодателя и перекладывает их на сотрудника.

Зачем включать Mac в корпоративную среду?

• Предотвращение утраты данных на ноутбуке из-за технического сбоя или ухода пользователя из компании.
• Инвентаризация ПО и оборудования для точного планирования обновлений, соответствия лицензионным требованиям и верного прогноза расходов на ИТ.
• Упрощение удаленного администрирования – развертывание стандартных образов ОС, развертывание или обновление программных продуктов, удаленное управление для разрешения инцидентов, конфигурации, соответствующие политикам.
• Специфическая для нас цель: опыт практического применения продуктов собственной разработки.

Как начался проект внедрения

В конце 2012 года мы определили 3 потенциально пригодных продукта: Centrify User Suite Mac edition, Microsoft System Center 2012 SP1 (находившийся в тот момент на этапе Customer Technology Preview, CTP) и версия 1.0 Parallels Mac Management (далее - PMM). От Centrify отвратила необходимость платить за лицензию. Лицензия на System Center предоставляется партнерам Microsoft бесплатно в рамках программы Microsoft Partner Network (а мы ее участники). Дополнительное число клиентских лицензий (Client Management License, CML) для System Center уже купили раньше под задачу развертывания System Center Configuration Manager 2007 в российском офисе. Эти лицензии нужны и для развертывания PMM, потому что содержание Product Use Rights* на System Center 2012 явно указывало на то, что CML требуется на каждое управляемое устройство, без оговорок на происхождение агента. Кстати, и дистрибутив сервера SCCM 2012 получить можно было только при покупке CML: лицензия на сервер отсутствовала в номенклатуре Microsoft, доступ же к дистрибутиву на Volume Licensing Service Center был привязан к приобретению CML.

Возможность управления Mac на момент начала проекта была только объявлена для SCCM 2012 SP1. Выход его релиза был назначен на начало 2013 года, так что сложности были очевидны. РММ тогда согласились протестировать у себя несколько партнеров компании, и когда служба ИТ нашей собственной взялась за развертывание РММ «внутри», то появилась новая цель - быстрее получить отзывы, чтобы ускорить доработку продукта. От «своих» разработчики получали их, естественно, в более короткие сроки, потому что этот процесс через обычную цепочку «сейлз-инженер»-«продукт-менеджер»-«руководитель разработчиков» обычно затягивается. К тому же партнеры находились в США (а это разница еще и во времени, и в языке). Зато - никаких тепличных условий для нашего ИТ: обращение в техподдержку PMM в общем порядке, постановка задач на доработку в общей очереди, согласно приносимой выручке (а раз в этом случае выручки нет, то доработки будут выполнены, только если их потребует один из платящих заказчиков). В итоге у службы ИТ появился опыт по детальному описанию user case для каждой новой функции, а ее реализация зависела от того, пожелает ли получить ее один из заказчиков.

Развертывание PMM

Особо выделим задачу по удаленному администрированию Parallels Desktop для Mac (хорошо знакомый пользователям Mac продукт десктопной виртуализации, мы про него писали ) и распространению стандартных виртуальных машин для него. Удаленное администрирование включает в себя задание оптимальных настроек ВМ, активацию и установку обновлений. Стандартные виртуальные машины (Windows 8 с Office 2013) были выбраны как из соображений совместимости документов и привычки пользователей к интерфейсу Office для Windows, который значительно отличается от интерфейса Office for Mac, так и потому, что многие приложения до сих пор просто не имеют версий для Mac OS X.

Для решения всего набора задач было решено установить Primary server SCCM в Рентоне и по одной Distribution Point в офисах со значительным числом пользователей – Рентоне, Мюнхене, Сингапуре, Москве и Новосибирске. Удаленные пользователи подключаются через VPN к ближайшему из дата-центров (Рентон, Мюнхен, Москва или Сингапур), откуда их трафик пробрасывается через корпоративную сеть MPLS до Distribution Point, к которой пользователь приписан.


Наш extension интегрируется в интерфейс System Center Configuration Manager

Серверная часть PMM была установлена на Primary server. Установку клиента делали вручную, частично сами пользователи, частично – системные администраторы. Пользователям прислали письмо с гиперссылкой на дистрибутив агента, вмешательство системного администратора требовалось лишь в случаях, когда установка не заканчивалась успешно. Начиная с версии PMM 1.7 установка, включая обновление версии агента по команде SCCM, успешно выполнялась в автоматическом режиме примерно в 90% случаев. В большей части случаев, когда установка агента на компьютер, где его раньше не было, проваливалась, причиной было несоблюдение пользователем порядка установки (запустить установку можно без подключения к VPN, но для успешного завершения необходим доступ к домен-контроллеру, который доступен только через VPN). Сейчас текущая версия PMM – 3.1, детские болезни можно считать преодоленными, а дальнейшее развитие направлено на расширение функций.

Итоги развертывания

Одним из труднейших препятствий на пути внедрения PMM было изучение SCCM. У нас вообще не было опыта работы с этим продуктом, поэтому одному из системных администраторов пришлось изучать его сначала самостоятельно, а затем и на сертифицированных курсах Microsoft. Последнее позволило систематизировать самостоятельно приобретенные знания и опыт, а также получить ответы на накопившиеся за время самостоятельных попыток установки и применения SCCM вопросы. Значительная часть проблем, возникавших при установке и развертывании PMM, в итоге оказывалась обусловленной неоптимальной настройкой SCCM. ВЫВОД РАЗ: браться за развертывание PMM можно только тогда, когда в организации есть опыт работы с SCCM, а если его еще нет, то необходимо формальное обучение администратора.

Второе препятствие было психологически-юридического свойства. Некоторые сотрудники в странах ЕС возражали против установки агента, заявляя, что таким образом отдел ИТ будет вторгаться в их частную жизнь. Это противодействие пришлось преодолевать с помощью генерального поверенного, объяснявшего, что принадлежащие компании компьютеры – не место для личной информации. Такие возражения могут, однако, иметь значительно более твердую почву в случае BYOD. Поскольку технического решения для них по определению быть не может (агент, способный переустановить ОС, может получить доступ к любым данным), то решение должно лежать в договорной плоскости. ВЫВОД ДВА: Сотрудникам, работающим на условиях BYOD, следует предлагать письменно соглашаться с установкой агента как с условием заключения трудовых или договорных отношений.

Что день грядущий нам готовит

Сейчас у Parallels Mac Management самый большой рост продаж по сравнению с другими решениями Parallels – более 50% за год. Это говорит о том, что задачи включения Mac в корпоративную среду стали остро актуальными, и когда наконец-то появилась практическая возможность их решить, реализация не заставила себя ждать.

Мы можем в результате сделать следующие выводы: во-первых, помимо «ничего», «слез» и «крепких выражений» все-таки есть продукты, которые помогут решать задачи управления Маками (и даже помимо нашего собственного). Во-вторых, вам придется улаживать разные конфликтные аспекты взаимодействия ПК и Mac в одной сети, в том числе – неожиданные и психологические (не все сотрудники рассмотрят преимущества BYOD наравне с ответственностью за содержимое этого самого D).

И нам действительно интересно, что вы сами об этом думаете: нужны ли Маки в бизнес-среде и какие тут могут быть сценарии использования. Так что пишите свои соображения и вопросы в комментариях, мы постараемся ответить на каждый.

* Product Use Rights – основной документ, определяющий переданные лицензиату по программам корпоративного лицензирования права на ПО Microsoft.
Автор статьи – Виталий Хозяинов, старший руководитель проектов в Parallels (США)

Для начала я расскажу вам небольшую историю и если она вам знакома то данная статья для вас. Одним прекрасным утром вы пришли на работу и ваш босс позвонил вам и рассказал, что он приобрел новый ноутбук, который нужно срочно подключить к сети и всем сетевым ресурсам. Вы пришли к нему и поняли, что босс купит Mac. Он хочет чтобы вы ввели его новый ноутбук в домен для доступа ко всем сетевым ресурсам без авторизации. Или может быть рассказ немного отличается. Ваша организация решила расширятся и появился новый департамент графического дизайна и маркетинга, и все сотрудники этого департамента будут использовать Mac.

Что же делать в подобной ситуации? Не волнуйтесь, вы можете присоединить Mac в Windows домен и сегодня я покажу вам как это делать. В данной статье мы будем подключать Snow Leopard к домену Windows Server 2008.

Настройка сети и аккаунта в Mac

Домен Windows полностью зависит от корректной настройки DNS поэтому первое что вам нужно сделать это установить корректный адрес DNS сервера, который в моем случаем является также контроллером домена. Для этого запустите System Preferences и нажмите Network для открытия сетевых настроек.

По умолчанию ваш сетевой адаптер получает настройки через DHCP. В зависимости от настроек вашей сети вы можете установить настройки вручную выбрав опцию Manually .

Мой контроллер домена имеет IP адрес 192.168.1.172, поэтому я указываю в секции DNS Server Это значение.

Вернитесь назад в System Preferences и выберите Accounts

Нажмите на замок внизу для возможности внесения изменений. Затем нажмите кнопку Join рядом с Network Account Server

Теперь нажмите кнопку Open Directory Utility

Находясь в Directory Utility опять нажмите замок внизу, выделите строку с Active Directory и нажмите иконку с карандашом для начала редактирования.

В данном разделе вам нужно ввести информацию о домене и ID компьютера. В данном примере мой домен имеет имя hq.test.us и ID компьютера Mac . ID компьютера является именем аккаунта компьютера Mac в Windows домене.

Нажмите стрелку для отображения дополнительных опций. Это даст вам 3 дополнительных опции для конфигурирования. Для упрощения я оставляю всё по умолчанию кроме секции Administrative . Нажмите на кнопку Administrative и введите IP адрес или полное доменное имя контроллера домена в секции Prefer this domain server . Также тут можно указать какие доменные группы будут иметь полномочия администратора в Mac.

Теперь нажмите кнопку Bind и введите данные доменного пользователя, который имеет право на ввод компьютеров в домен, затем нажмите OK .

Вы будете видеть прогресс ввода в домен, состоящий из 5 шагов.

В результате компьютер введен в домен и кнопка Bind переименуется в Unbind .

Нажмите OK и затем Apply в окне Directory Utility. Закройте Directory Utility. Вы должны вернутся в окно Accounts. Обратите внимание на зеленую точку и доменное имя в разделе Network account server .

Вход под учетной записью домена на ваш Mac

В настоящий момент вы уже можете входить в Mac под учетными записями домена Windows. В окне выбора аккаунта выберите Other .

Теперь введите данные учетной записи домена.

Попробуем подключить сетевую шару. Из Finder нажмите Go а затем Connect to Server . Для использования SMB применяем следующий синтаксис:smb://servername/share и затем нажимаем Connect .

Обратите внимание что вам не нужно вводить данные для авторизации на сервере.

На этом все, это было не очень то сложно, не так ли?