Macintosh陷阱

到目前为止，我仅与Windows用户和偶尔的* nix服务器一起管理网络。很快，将有一些使用Mac的用户加入我们的网络。将Mac添加到网络时，需要注意哪些“陷阱”？这里的主要问题：与Active Directory的兼容性和安全性

您可能需要投资一个实用程序，该实用程序禁止在网络卷上创建.DS_Store文件。否则，当Mac用户使用这些小文件时，它们会在网络卷上弹出。

我为此使用了一个名为Cocktail的应用程序。

更新...尽管OS X可以向AD进行身份验证，但没有什么要求他们更新计算机。确保与他们讨论安装更新的过程。确实，没有任何方法可以迫使他们这样做。

如果您的内部域是.local，则将无法通过DNS解析名称。Mac OS X提示上有一篇旧文章介绍了一种解决方案：

我在中创建了一个company.local文件 /etc/resolver，并使用company.localAD域的名称服务器填充了该文件 。这使Mac OS X可以使用标准DNS进行解析company.local（或 subdomain.company.local），同时仍然允许Rendezvous正常运行。

我看到的这种方法的唯一缺点是此company.local文件中的名称服务器无法通过DHCP更新，因此我必须手动更新它们。

这是Apple提供的更正式的支持文档，它将解析您现有/etc/resolv.conf的文档以在中填充文件/etc/resolvers。

如果您有足够的Mac，我建议添加Mac服务器-创建所谓的“ Holy Trinity”。您甚至不需要购买Xserve-OSX服务器可在Mac Mini上运行！

Mac使用AD进行所有正常的访问/许可，Mac服务器使用Mac服务器执行Mac特定任务，例如更新（您会找到Mac版的WSUS，称为软件更新服务器）。您也可以使用Mac服务器部署选项（NetInstall）进行安装。

连接到启用了活动目录的Windows 2003 Server时，某些版本的OSX崩溃很多。他们似乎已将其修复，但我无法告诉您何时。因此，请保持最新状态。

根据谁获得机器，您可能会或可能不想启用网络登录。尽管您可以限制用户访问权限（使用家长控制），但您可能只想让该用户不是管理员，并让它成为管理员，因为许多应用程序会自行更新并生成其他应用程序，因此限制它们可能会带来麻烦。我一直为我的Mac用户提供完全的管理员访问权限，却从未遇到过Windows用户在对其框具有完全管理员访问权限时遇到的任何问题。Mac基本上没有间谍软件或病毒，这使其易于维护。

您还应该注意，每台Mac都具有DHCP服务器附带的“互联网共享”功能，这可能会引起麻烦。

还启用imap作为交换，让他们使用苹果的“邮件”。随随便便，这就是世界。通讯簿还内置了ldap支持。想到的Mac没什么特别的。

这是一个很好的技巧，不要费心尝试使OSX本身连接到您的AD-可以做到，但是我相信这并不是那么容易，并且可以得到相当多的支持。从http://www.thursby.com/购买名为“ AdmitMac”的东西-它消除了所有的痛苦，当然也得到了他们的直接支持。哦，不要让您的Mac使用您不满意的任何协议，它们非常灵活，但是它们应该在您周围起作用，而不是相反。

我知道您可能会遇到一些最终用户支持问题：

• 重命名用户的主目录可能会导致“文件丢失”
• 尽管此问题已得到解决，但OS X的早期版本有时会遇到一些AD集成问题。
• 用相同名称的文件夹替换文件夹可能与您在语义上有所不同。
• 通过写出具有相同名称的文件（在某些情况下）可以吹走目录。

我花了一段时间才弄清楚的一件事：如果在文件夹上设置“继承” ACL，它将仅影响新创建的文件-“陷阱”是如果用户将文件“拖放”到文件夹中有问题的是，该文件夹的权限将不会发生任何变化（除非将其从另一个卷中拖动出来，实质上是将其复制并粘贴到该文件夹​​中）。对于要采用您设置的继承ACL的文件，它们将必须“复制并粘贴”，或者手动设置权限...也许（因为ACL行为在理论上应该是相同的）在Windows上也会发生，我不这样做不知道，但是值得重复。