Controlla la risposta di E1Suave per alcuni buoni punti di partenza.
Un altro suggerimento che posso darti dalla mia esperienza personale è (ri) considerare se hai davvero bisogno che i tuoi client si autenticano alla Open Directory (OD) al login.
I due motivi (posso pensare) dove potresti voler fare questo sono:
1. Cartelle di rete domestiche
La cartella home viene automaticamente sincronizzata da e verso il server, il che può essere molto comodo quando un utente cambia computer e ha ancora accesso ai suoi file.
Il lato negativo (s): ho trovato la sincronizzazione molto buggy. In qualche modo sarebbero sorti conflitti che richiedevano un intervento manuale o la cartella home non sarebbe più stata sincronizzata. Considerando anche la facilità con cui puoi utilizzare i servizi cloud come Dropbox, Google Drive ecc per lo stesso scopo, personalmente trovo la soluzione di rete domestica inferiore alle soluzioni moderne.
In relazione a quanto sopra, i miei utenti si sono affidati troppo a questo, lasciandoli incapaci di lavorare sui file modificati a casa perché non erano sincronizzati correttamente.
E infine, in genere un utente funziona comunque su un solo computer. Per i file che dovrebbero essere disponibili sul server per più utenti, impostare le condivisioni di rete. Inoltre, sebbene la cartella di rete non venga montata automaticamente sul computer client, può comunque essere resa disponibile come condivisione di rete affinché l'utente possa inserire manualmente alcuni file personali.
2. Limitazione delle autorizzazioni utente
Questo potrebbe essere un valido motivo per fare l'autenticazione OD e sicuramente mi è sembrato un'ottima idea all'inizio. Puoi configurare estensivamente le autorizzazioni per gli utenti e i computer della rete nello strumento Amministrazione directory.
I lati negativi: alla fine lavoriamo in un ambiente molto piccolo con non molti utenti (e questo è in genere l'ambiente in cui i server Mac OS X sono comunque utilizzati) e anche l'impostazione di tutte queste autorizzazioni diverse molto di più per me, senza alcun beneficio aggiuntivo.
Quando si limita un utente, è necessario assicurarsi che le richieste di supporto extra che si otterranno poiché un utente non può fare qualcosa che deve fare in un dato momento, prevalgono su qualsiasi danno che l'utente potrebbe / potrebbe fare sul proprio computer senza queste restrizioni imposte. Personalmente ho ricevuto richieste di supporto solo dagli utenti con accesso limitato, gli utenti con un account amministratore locale potevano fare il loro lavoro senza il mio intervento.
Quando non è necessaria l'autenticazione della directory all'accesso
Anche se i tuoi utenti accedono al loro computer con un account locale, possono comunque autenticarsi per condividere le condivisioni separatamente con il loro accesso alla directory (e salvare le credenziali nel loro portachiavi). Puoi comunque utilizzare la directory per gestire facilmente questi utenti e i loro gruppi. Personalmente utilizzo il server Mac OS X per la condivisione di file e l'accesso VPN, ma quando si installa il laptop di un utente, gli creo un account amministratore locale sulla sua macchina.