Kaspars Grinvalds - stock.adobe.
Wie Sie macOS-Geräte zu Active Directory hinzufügen
Endgeräte mit macOS lassen sich ebenfalls zu Active Directory hinzufügen. Dadurch können Nutzer auf Ressourcen im Netzwerk zugreifen. Dieser Artikel bietet eine Anleitung hierfür.
Bestimmte Nutzergruppen in Unternehmen bevorzugen den Einsatz von macOS, statt auf Endgeräten mit Linux- oder Windows-Betriebssystemen zu arbeiten. Läuft das Unternehmensnetzwerk jedoch auf Windows-Basis, ist es empfehlenswert, macOS-Geräte in der Windows-Domäne anzumelden und in das Active Directory (AD) aufzunehmen. macOS ist dann in der Lage, auch Benutzeranmeldungen von Windows-Domänencontrollern zu verarbeiten.
Natürlich bleibt das Apple-Konto auf dem Mac verfügbar und Nutzer können Apple-Ressourcen verwenden. Durch die Integration in Active Directory ist es aber zusätzlich möglich, auf Ressourcen im Windows-Netzwerk zuzugreifen.
Administratoren bekommen dadurch jedoch nicht dieselben Funktionen, wie für Windows-Computer in der Domäne, zum Beispiel Gruppenrichtlinien, Skripte oder Monitoring.
Hinzufügen von macOS in Active Directory vorbereiten
Der Zugriff auf Active Directory erfolgt zunächst mit dem Hinterlegen eines Netzwerkaccount-Servers in den Systemeinstellungen von macOS. Dazu gehen Sie in den Systemeinstellungen zu Benutzer & Gruppen, wo der Menüpunkt Netzwerkaccount-Server ganz unten zu finden ist.
Klicken Sie auf Bearbeiten… und Verzeichnisdienst öffnen... . Anschließend klicken Sie auf das Schlosssymbol, um die Einstellungen bearbeiten zu können. Wenn Sie auf Active Directory doppelt tippen, können Sie an dieser Stelle den Namen oder die IP-Adresse eines Active Directory-Domänencontrollers eingeben. Damit der Zugriff auf Active-Directory-Ressourcen funktioniert, sollte die Namensauflösung optimal konfiguriert sein. Wenn die Verbindung beim ersten Mal nicht funktioniert, überprüfen Sie Namensauflösung und Benutzerdaten.
Achten Sie daher darauf, dass in den Netzwerkeinstellungen des Macs ein DNS-Server (Domain Name System) eingetragen ist, der die Server im Windows-Netzwerk und Active Directory auflösen kann.
Die Angaben dazu findet man, indem man einfach im Suchfeld der Einstellungen DNS oder DNS-Server eintippt und zu den Netzwerkeinstellungen gelangt.
Bei Such-Domains kann hier auch der FQDN (Fully Qualified Domain Name) der Active Directory-Domäne eingetragen werden, um den Zugriff auf Servern zu erleichtern.
Kennen Sie den Namen eines Domänencontrollers, können Sie diesen im Terminal mit dem Befehl nslookup auflösen (Abbildung 3). Diesen Namen tragen Sie anschließend bei Netzwerkaccount-Server ein.
Achten Sie unbedingt darauf, dass die Zeit auf dem Mac und dem Domänencontroller identisch ist. Mehr als fünf Minuten Abweichung stören die Verbindung zum Active Directory.
Active Directory-Domänencontroller mit macOS verbinden
Sobald Sie die Voraussetzungen geschaffen haben, tragen Sie den FQDN eines Domänencontrollers ein. Danach geben Sie den Namen des Macs ein, wie er in Active Directory angezeigt werden soll. An dieser Stelle benötigen Sie den Anmeldenamen und das Kennwort eines Administrators, der die Berechtigung zum Aufnehmen von Benutzern in Active Directory hat.
Über die macOS-App Verzeichnisdienste können Sie Active Directory bei Dienste auswählen - suchen Sie hierfür einfach über die Spotlight-Suche (Befehltaste + Leertaste) nach Verzeichnisdienste. Anschließend geben Sie den FQDN-Namen der Active Directory-Domäne an, in diesem Beispiel joos.int (Abbildung 4).
Bei der Anbindung öffnet sich ein Fenster in dem unter anderem angezeigt wird, in welcher Organisationseinheit das Konto integriert werden soll. Bei Optionen einblenden können Sie weitere Einstellungen vornehmen. Zum Beispiel ist es möglich, unter Administration einen Domänencontroller zu hinterlegen, der von diesem Mac standardmäßig genutzt werden soll (Abbildung 5).
Wenn die Verbindung erfolgreich war, ändert sich die Schaltfläche Einbinden zu Bindung aufheben. Außerdem ist im Hauptfenster bei Benutzer & Gruppen die Domäne zu sehen und ein grünes Symbol.
In den Active Directory-Verwaltungstools, zum Beispiel Active Directory-Benutzer und -Computer, ist nun das Konto für den Mac zu sehen. Rufen Sie die Eigenschaften auf, sehen Sie auch die Version des installierten Betriebssystems.
Ressourcen unter macOS freigeben
Wenn Sie auf dem Mac im Finder über Gehe zu eine Verbindung zu einem Server aufbauen (Mit Server verbinden), können Sie zur Authentifizierung ein Benutzerkonto aus Active Directory verwenden. Die freigegebenen Daten lassen sich anschließend auf dem Mac nutzen. Der Zugriff kann über SMB (Sever Message Block) erfolgen.
Nutzer können auf freigegebene Ressourcen entweder mit dem mobilen Benutzerkonto zugreifen, das Anwender für die Anmeldung im Active Directory anlegen können, oder bei der Verbindung erfolgt eine manuelle Authentifizierung im Active Directory.
Mobile Benutzerkonten anlegen – Anmeldung im Active Directory
Damit eine Anmeldung im Active Directory direkt nach dem Start des Macs erfolgt, besteht die Möglichkeit, mobile Benutzerkonten anzulegen. Hier können Sie auch Anmeldedaten des Active Directory verwenden. Nach der Integration in das Active Directory können Sie ein solches mobiles Konto auf folgendem Weg hinterlegen:
- Öffnen Sie die Systemeinstellungen und klicken Sie auf Benutzer & Gruppen.
- Bei Netzwerkaccount-Server klicken Sie auf Bearbeiten.
- Klicken Sie auf Verzeichnisdienste öffnen.
- Klicken Sie auf das Schlosssymbol.
- Wählen Sie Active Directory aus und klicken auf das Stiftsymbol.
- Wählen Sie Optionen einblenden.
- Aktivieren Sie Mobilen Account bei Anmeldung erstellen.
- Bestätigen Sie mit Ok.
Beim Anmelden an macOS steht die Option zum Anmelden mit einem anderen Benutzerkonto zur Verfügung. Hier kann sich der Anwender mit einem Konto im Active Directory anmelden.
