Hallo,

hat hier jemand im Forum Erfahrung mit OS X Server als Primary Domain Controller (PDC) für Windowskisten? Möchte nämlich in absehbarer Zeit eine Active Directory (auf Win2003 Server) (sick) durch eine Mac-Lösung ersetzen

Einen PDC einzurichten ist relativ einfach, brauchst Du eigentlich nur einzuschalten, dann läufts. Ganz wichtig ist aber (wird in sämtlichen Foren immer wieder empfohelen), bei der Installation KEINE Dienste anzuwerfen. Erst muss DNS korrekt laufen, dann kannst Du alle anderen services aktivieren und hast damit dann auch relativ wenig Probleme. Ansonsten kann ich nur sagen daß under OS X Server hier im Haus seit 10 Monaten am Stück problemlos rennt.

Den PDC Dienst selbst einzurichten ist nicht mein Problem. Den hab ich bereits laufen. Das wichtige ist, dass ich wie für die Mac-Clients verschiedene Gruppenzugriffe einrichten möchte. Sprich: ich habe z.B. eine Gruppe "Mitarbeiter" und eine "Studenten". Nun gibt es eine bestimmte Menge an Rechnern, an denen sich nur User aus der Mitarbeiter-Gruppe einloggen dürfen und eine andere Menge an Rechnern, wo beide Gruppen Zugang haben.
Bei Mac-Clients ist das kein Problem, da man im WGM einfach zwei Computer-Listen anlegt und den Zugriff entsprechend setzt. Windows-Rechner tauchen aber nur in der Computer-Liste "Windows" auf. Diese auf zwei Computer-Listen aufzuspalten hab ich irgendwie nicht hinbekommen.
Gibts da irgendwie einen Trick? Diese Funktionalität wäre nämlich absolut wichtig.

Ich mach das hier über die Zugriffssteuerungsliste. Da kann ich jedem User und jeder Gruppe verschiedene Zugriffsrechte für alle Objekte vergeben. Funktioniert prima.

Kannst du das etwas genauer erklären? Wenn du z.B. zwei Windows-Rechner in deiner Domäne hast, wie verhinderst du dann den Login von einer bestimmten Gruppe auf einem der beiden Rechner?

Ach so, das würde ich einfach über verschiedene Passwörter lösen. Hier hab ich nur Zugriffe auf den Server und keine zu anderen Computern. Da hab ich Dich wohl falsch verstanden, sorry. Ist es denn wirklich nötig, daß Comp. A auf Comp B zugreift? Ich hab hier eine Freigabe, in der jeder Benutzer seine "privaten" Unterordner besitz um Daten auszutauschen, so eine Art Briefkastensystem. Durch die zentrale speicherung der Daten muss ich auch nur von einer Stelle ein Backup erstellen und da der Server 24 Stunden läuft, kann ich dies Nachts erledigen. Sollte das für Dich keine Lösung sein, sag bescheid, hab grad etwas Zeit für Experimente.

Da hab ich mich etwas unklar ausgedrückt

Ich meine keine Zugriffe von Rechner A auf B sondern nur die Authentifizierung zum lokalen Anmelden. Wenn ich die Windowskiste hochfahre, dann kommt das Anmeldefenster, in dem die Domäne ausgewählt wird, die vom OS X Server bereitgestellt wird (über den PDC-Dienst). Dann tippt der User seinen Namen und sein Passwort ein und meldet sich an. Jetzt will ich aber, dass diejenigen Benutzer, die der Gruppe "Studenten" angehören, sich an bestimmten Rechnern nicht anmelden können. Genau die gleiche Funktionalität also, die man im WGM für Mac-Clients einstellen kann, indem man für eine bestimmte Computerliste die berechtigten Gruppen angibt.

Wenn man einen Windows-Rechner zu der Domäne hinzufügt, dann taucht dieser im WGM bei den Computerlisten automatisch unter "Windows" auf. Aber leider tauchen halt alle in dieser Liste auf und lassen sich auch nicht in eine andere bewegen wie dies mit Einträgen für Mac-Rechner der Fall ist. Ich kann also nur für alle Windows-Rechner zusammen eine Beschränkung der Gruppen angeben

Ich glaub jetzt hab ich Dich verstanden. Du lädst praktisch ein Benutzerprofil vom Server, damit sich jeder Benutzer auf jedem Rechner mit SEINEM Profil anmelden kann und willst verhindern daß sich bestimmte Benutzer an bestimmten Computern anmelden können? Da brauch ich etwas das auszuprobieren, da jeder seinen "persönlichen" Rechner hat und ich mich deshlab mit dieser Thematik noch gar nicht auseinandergesetzt habe. Kann allerdings etwas dauern, da ich während der Arbeit nich wirklich am server "rummachen" will. Hast Du schon mal unter nachgeschaut? Da sind wirklich fitte Jungs unterwegs die Dir bestimmt schneller weiterhelfen können als ich hier. Ich werd dennoch "weiterforschen", schon allein weil ichs auch wissen will

Jaaa genau das Danke übrigens für deine prompte und tatkräftige Unterstützung!

Im Apple-Diskussionsforum hab ich die Frage auch schon gestellt, aber bisher leider keine verwertbare Antwort erhalten. Scheint wohl die Regel zu sein, dass in den Netzwerken immer noch ein Windows-Server mit AD vorhanden ist und der Mac-Server dann nur die Mac- und Linux-Clients verwaltet. Aber das kanns ja irgendwie nicht sein. Sollte doch nicht so kompliziert sein, das unter OS X zu realisieren.

Hallo,

ich bin mal soweit um sagen zu können, daß OS X das wohl nicht "out of the box" hinbekommt. Werd mich mal ein bischen mit samba beschäftigen, denke da gibts bestimmt ein Lösung.

Bis später...

Mit pdbedit kannst Du den User Account bearbeiten. Hier solltes Du die trusted Workstations bearbeiten können. Sollte so funktionieren wenn ichs auf die schnelle richtig verstanden habe

Danke für den Tipp. Muss nachher mal schauen, wo "pdbedit" auf dem Server rumfliegt. Wo genau hast du das gefunden, dass man das machen kann?
Wenn man damit beim User-Account diese Einschränkung machen kann, dann sollte das ja eigentlich ebenso mit Gruppen funktionieren.
Schön wärs, wenn das mit dem nächsten "kleinen" Systemupdate behoben würde und dazu nicht 10.5 nötig wird.

pdbedit gehört zu samba, musst Du leider per Terminal bedienen da wie gesagt keine GUI implementierung in OS X. Schau dir einfach die manpage dazu an, sollte relativ easy gehen. Nähere infos gibts auch auf samba.org

Ah moment, Samba ist doch nur für die Windowsfreigaben. Das hat doch keinen Einfluß auf die Windowsanmeldung an den Rechnern, oder?

Doch doch, der ganze Kram wie LDAP etc. kommt aus dem samba Packet. Nicht mit smb verwechseln

Ah ja gut dann werd ich da mal nachforschen.

Hm, also ich hab mir mal die man-page zu pdbedit angeschaut, etwas auf samba.org gestöbert und nochmal in einige Handbücher von OS X Server reingeschaut. Wenn ich das richtig verstandenhabe bedeutet "trusted workstation" leider nur, ob diese in der lokalen LDAP Datenbank enthalten sind und somit Zugriff auf den Server haben. Hat ein Windows Rechner so einen trusted Eintrag, so taucht er auch in der "Windows Computer"-Liste auf.

Leider ist die Doku von Apple nicht sehr aufschlußreich. Im PDF "Windows Services v10.4" steht zu dem Thema see the chapter on computer lists in the user management guide. und in dem PDF "User Management Admin v10.4B" dafür For information and instructions on managing the Windows Computers list and on setting up Mac OS X Server as a primary or backup domain controller (PDC or BDC), see the Windows services administration guide.

Da beißt sich die Katze in den Schwanz amp;(sick)