Puoi modificare le proprietà di com.apple.loginwindow.netaccounts e com.apple.access_loginwindow per creare un accesso di accesso personalizzato. Questo può essere ottenuto anche attraverso i fornitori di terze parti. Centrify è un buon plug-in per Mac di terze parti che consente di impostare le zone (utenti / gruppi AD) per l'accesso. Ci sono anche opzioni MCX e profilo per impostare l'accesso alla finestra di login. Di seguito è riportato il modo in cui sono riuscito a lavorare utilizzando i file com.apple modificabili per l'accesso personalizzato.
Centrify Link
Link originale alla guida che ho usato --- > La risposta è circa a metà nei commenti.
Puoi modificare e aggiungere manualmente gruppi AD con dseditgroup . Innanzitutto controlla se esistono due file:
/private/var/db/dslocal/nodes/Default/groups/com.apple.loginwindow.netaccounts
e
/private/var/db/dslocal/nodes/Default/groups/com.apple.access_loginwindow
Se questi file esistono, passa a " Aggiungi i gruppi alla finestra di accesso_login " di seguito. Se non esistono dovrai crearli con:
dscl . -create /Groups/com.apple.loginwindow.netaccounts
dscl . -create /Groups/com.apple.loginwindow.netaccounts PrimaryGroupID $GID1
dscl . -create /Groups/com.apple.loginwindow.netaccounts Password \*
dscl . -create /Groups/com.apple.loginwindow.netaccounts RealName "Login Window's custom net accounts"
dscl . -create /Groups/com.apple.access_loginwindow
dscl . -create /Groups/com.apple.access_loginwindow PrimaryGroupID $GID2
dscl . -create /Groups/com.apple.access_loginwindow Password \*
dscl . -create /Groups/com.apple.access_loginwindow RealName "Login Window ACL"
Dovrai modificare $ GID1 e $ GID2 nello script precedente con un numero GID gratuito, sia per i file com.apple.loginwindow.netaccounts e com.apple.access_loginwindow. Puoi utilizzare questo script per verificare se un sistema GID viene utilizzato dal sistema.
dscl . -list /Groups PrimaryGroupID | grep $desiredGID
Cambia $ desiredGID in un numero che desideri controllare è gratuito. (Ho usato 206 per netaccounts e 235 per acess_loginwindow dalla guida collegata sopra, ed erano sempre aperti)
"Aggiunta dei gruppi alla finestra di accesso_login"
dseditgroup -o edit -n /Local/Default -u admin -p -a ADgroup -t group com.apple.loginwindow.netaccounts
Modifica Gruppo di annunci sul nome del gruppo di Active Directory a cui desideri consentire l'accesso nella finestra di accesso. (es. "Team vendite"). Modifica anche admin nel tuo account amministratore utente locale. Richiederà la password.
Quindi aggiungi i com.apple.loginwindow.netaccessi al file com.apple.access_loginwindow.
dseditgroup -o edit -n /Local/Default -u admin -p -a com.apple.loginwindow.netaccounts -t group com.apple.access_loginwindow
dseditgroup -o edit -n /Local/Default -a localaccounts -t group com.apple.access_loginwindow
Cambia di nuovo amministratore nel tuo account amministratore locale. Il primo aggiunge il file che contiene i gruppi AD nidificati in esso, la seconda riga consente ai tuoi account locali sul computer di accedere. Ora se vai a Preferenze di sistema - > Utenti & Gruppi - > Opzioni di accesso - > Opzioni accanto a "Consenti agli utenti della rete di accedere alla finestra di accesso". Dovresti vedere i gruppi di annunci elencati che desideri consentire l'accesso al computer.
