Jørgen Tietze <tietze@mail.dk> wrote:
>> > Mange tak for fyldigt og detaljeret svar!
>> >
>> > Principielt er der vel ikke noget i vejen for at jeg selv kan binde min
>> > mac til AD og lave kerberoskonfiguration? Kræver det særlige rettigheder
>> > på andet end den lokale maskine?
>>
>> Det kommer helt an på jeres setup.
>>
>> out of the box kan en almindelig bruger binde 5 maskine op imod AD men mange
>> adminer vælger at disable dette. Andre admiiner vælger et setup der
>> kræver at computer accounten laves i AD inden en maskine bindes på.
>
> Ok, jeg tænkte jeg ville lave et lille eksperiment hvor jeg bandt min
> hjemme-computer til netværket, da det er min arbejdscomputer indtil den
> anden kommer til at fungere tilfredsstillende. Men det er ikke sikkert
> at det vil blive et successfuldt eksperiment så.
I har ikke en IT politik hvor du under trusler om alskens ulykker har
fraskrevet dig retten til at fortage dig sådanne handlinger?
>> > Jeg kan se at der ved fjernadministratioenen er blevet rodet lidt rundt
>> > i permissions (Disk Utility har repareret i over 2 timer nu) og den
>> > mobile konto har fungeret sært indtil jeg opdagede at det tomme felt
>> > "User Name" under Accounts -> Password skulle/ kunne udfyldes (gentagne
>> > Finder-crashes ved undersøgelse af permissions). Det er indtil videre en
>> > osx uden noget ekstra installeret software.
>>
>> Jeg tror ikke han har pillet ved rettigheder. Det må hører under
>> besynderlige fejl i 10.5.n.
>>
>> Han har højst dimset med rettighederne på din egen home mappe og det
>> vil ikke dukke op som en fejl når du prøver at disme med Diskværktøs
>> agent.
>
> Det var øjensynligt Applications som Disk Utility havde i søgelyset. En
> lokal 'sysadm' bruger (den bruges til remote-admin) havde ejerskab i
> stedet for root, det blev rettet for Apples programmer og det tog
> åbenbart Disk Utility en del tid. Det virker som noget rod da det er mig
> der skal fjerne og tilføje programmer fra Applications.
Sålænge de står med umaske på 0077 er det ikke et problem da du er
medlem af admin gruppen. Det software jeg kaster ned i halsen på vores
brugere står også med vores ekvivalent til sysadmin som ejer. Det er
der intet galt i.
> Yderligere kunne en vmware-maskine ikke køre pga. forkerte tilladelser
> (sat til en bruger som ikke længere eksisterede).
>
>> I det hele taget vil jeg fraråde dig at du kører denne agent. Adminen
>> kan bevidst have sat andre rettigheder end dem Apples kvitteringer
>> har lagret
>
> Ok, kommentaren fra administratoren var at jeg skulle være administrator
> på maskinen lokalt, så jeg havde slet ikke i tankerne at Disk Utility
> kunne modarbejde AD og hans aktiviteter.
>
>> Du skal ikke pille ved din konto (andet end login-items). Det er en
>> cachet kopi af den der ligger i AD og du risikere blot at rendere din
>> cachede kopi helt ubrugelig (til admin'ens irritation)
>
> Ok, så det user ID og group ID som er sat lokalt hænger højest
> sandsynligt sammen med noget i AD? Jeg har fundet ud af at det Finder
> hele tiden crasher på er at group ID er sat til noget den ikke kan
> genkende (nemlig: 985097921). Traditionelt er group ID vist sat til 20
> for staff. Jf. diskussionerne:
> <
http://discussions.apple.com/thread.jspa?threadID=1197433>
> <
http://discussions.apple.com/thread.jspa?threadID=1228363>
985097921 er formegenlig gruppen Domain Users i jeres AD. Det er helt
normalt.
din homemappe børe være ejet af din AD user's UID og tilhøre Domain
Users GUID.
Såfremt du kører i en loklat cachet AD konto står rettigehderne
korrekt. Din computer kan blot ikke resolve GUID'et til et navn når
den ikke har online kontakt til jeres AD.
hvad siger:
"id dit-ad-shortname"
> Login Items fungerer slet ikke (System Preferences hænger), medmindre
> jeg holder alt nede under login og vælger "Disable Settings" til
> dialogboksen "This computer will be managed. Would you like to continue
> with managed settings enabled?".
>
> Det er noget rod da jeg har fået tildelt en smb-netværks-mappe, som skal
> mountes og det ville jo være nemt at gøre med login items.
Jeg vil tro at admin'en enten har lagt den derind (eller bruger
loginhook, mcx eller eller UNC til at definere din home drev
på serveren)
>> Hvorfor ikke bare forlade sig på at admin'en kan sit kram? Jeg er ikke
>> stødt på dødelige brugere der har den fornødne indsigt til at
>> kunne overtrumfe os IT. Jeg er stødt på nogen der har forsøgt med det
>> resultat at brugeren ikke kan arbejde og vi skal på sagen. Således
>> tror jeg det forholder sig i de fleste brancher hvor der anvendes Mac.
>>
>> > Vil en systemadministrator være meget ked af at man gerne vil deltage i
>> > konfigurationen selv?
>>
>> Mja, du bruger hans tid. Den kan han sikket bruge mere fornuftigt.
>
> Nej, jeg mener helt bestemt ikke jeg kan trumfe systemadministratoren.
> Det virker blot ikke som om at det er smart han bruger 4 timer på at få
> en nyinstalleret maskine til at fungere.
Jeg har brugt laaaaaangt mere end 4 timer på den ene leopard maskine
vi har i drift (aka min egen).
> Jeg spurgte ham specifikt om
> der ikke var problemer med Leopard og AD og han svarede at det skulle
> jeg da være den første til at opleve. Her tænkte jeg specifikt på at du
> tidligere har ytret at AD ikke fungerede så godt, så det undrede mig en
> del.
Er du den eneste leopard bruger eller substidiert den eneste leopard
bruger med en bærbar hos jer?
Og har i mange mac'er eller kun nogen få?
>> >> Kerberos autoconfig er i udu. Ofte konfigureres den først i 3 eller 4
>> >> forsøg på at oprette en binding. I mange tilfælde skrives der intet
>> >> til edu.mit.kerberos.
>> >
>> > Mmh, det ser ud til at den kører autoconfig. Der er på nuværende
>> > tidspunkt skrevet et "generation_id", men filen ser ellers ud til at
>> > indeholde de rigtige informationer.
>>
>> Hvor stort er jeres forrest?
>
> Det ved jeg faktisk slet ikke - det måles på hvor mange domæner der er?
Jeg spørger både om hvormange DC'ere der står i jeres skov samt om
hvor mange domainer der er i jeres AD.
--
Morten Reippuert Knudsen
<
http://blog.reippuert.dk>
Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.