L’intégration de Mac OS X dans un environnement Windows et au sein d’un Active Directory est un sujet souvent mal connu et emplis de toute sorte de mythes plus ou moins obscurs en provenance de personne autodéclarés administrateur système…
Pour celles (quoi ? on peut toujours rêver non ?) et ceux (ok) qui souhaiterait gérer correctement Mac OS X dans un Active Directory, voici un article résumant le cas de l’extension du schéma AD sur un 2008 Serveur R2
Il y a grosso modo 2 possibilités pour gérer Mac OS X dans un AD (gérer dans le sens utiliser les MCX comme on le ferait des GPO sous Windows, pas simplement gérer l’authentification) :
– Triangle magique : On rajoute un OS X Server qui viens stocker les informations normalement impossibles à stocker dans un AD (les MCX sont des fichiers XML stockés dans le serveur LDAP de l’annuaire). Cette solution est la plus utilisée, mais également la plus chère puisque demandant un OS X Server pour pas grand-chose…
– Extension de schéma : On modifie le schéma LDAP de l’AD pour y ajouter les champs manquant par rapport au schéma d’Apple, de cette manière l’AD se comporte exactement comme un OD. Cette solution n’est habituellement pas retenue, la légende veut que les administrateurs systèmes Windows aient peur de toucher au schéma LDAP…
Pour couper court à toute légende urbaine, l’extension de schéma sur un AD c’est tout à fait possible et supporté, d’ailleurs Microsoft Exchange fait des modifications de schéma lorsqu’il s’installe.
Cela n’empêche cependant pas de faire des sauvegardes de votre AD, comme avant chaque tâche administrative.
Bonjour,
Si on possède plusieurs serveur AD, faut il faire les manipulations sur l’ensemble des serveurs ?
ou bien uniquement sur le PDC ?
Merci
De ce que j’en sais. Un extension de schéma se fait depuis le PDC et se répands automatiquement sur les BDC de la forêt.
N’oubliez pas vos backups :-)
Bonjour
est ce normal que je n’ai pas accès au groupe de machine dans le « Gestionnaire de groupe de Travail ».
Il y a les users de l’AD, les groupes d’utilisateurs de l’AD, les machines de l’AD, mais pas les groupes de machines ?
avez vous une idée ?
Bonjour,
J’ai fais une tentative en suivant votre tuto et la dernière version de la doc apple pour être sur d’être à jour avec Lion :
http://seminars.apple.com/whitepaper/WP_ActiveDirectory.pdf
Mais quand je lance la commande finale :
ldifde /j . /k /i /f apple-mods.ldf /v /c “dc=X” “dc=domaine,dc=test”
Voici l’erreur que j’ai :
Connexion à « SERVEUR-01.domaine.test » en cours
Connexion en tant quutilisateur actuel en utilisant SSPI
Importation de lannuaire à partir du fichier « appleODaddAD.ldf »
Chargement des entrées
1: cn=apple-category,cn=Schema,cn=Configuration,dc=X
Entry DN: cn=apple-category,cn=Schema,cn=Configuration,dc=X
changetype: add
Attribute 0) objectClass:attributeSchema
Attribute 1) attributeId:1.3.6.1.4.1.63.1000.1.1.1.10.4
Attribute 2) ldapDisplayName:apple-category
Attribute 3) attributeSyntax:2.5.5.12
Attribute 4) adminDescription:Category for the computer or neighborhood
Attribute 5) oMSyntax:64
Attribute 6) systemOnly:FALSE
Erreur dajout sur lentrée commençant à la ligne 15 : Référence
Lerreur du côté serveur est 0x202b Une référence a été renvoyée par le serveur.
Lerreur serveur étendue est :
0000202B: RefErr: DSID-031007EF, data 0, 1 access points
ref 1: ‘x’
0 entrées modifiées.
Une erreur sest produite dans le programme
Avez-vous une idée de la raison pour laquelle le serveur refuse ?
(test fait Avec un Lion Serveur et un serveur 2008 R2)
J’ai trouvé tout seul, en fait il faut retirer les guillemets :
ldifde /j . /k /i /f apple-mods.ldf /v /c DC=X DC=domaine,DC=test
C’est ballot !
Étrange comme erreur ! Vous utilisiez l’invite de commande MS-DOS ou le PowerShell ? Pour ma part j’étais sur le PowerShell pour faire cet article.
Vielle habitude, j’ai lancé l’invite de commande MS-DOS
Bonjour,
Je n’arrive pas à comprendre comment faire fonctionner la synchronisation du dossier de départ d’un compte mobile MAC dans cette environnement.
Ma config : un serveur 2008 AD, un serveur Lion, des postes clients MAC et PC
Je voudrais que le serveur de fichier soit le Serveur Lion.
Dans mon AD, j’ai bien renseigné dans le compte utilisateur, un dossier de base connecté sur M: avec l’adresse \\Serv-lion\Users\prenom.nom, j’ai aussi essayé avec le FQDN mais cela ne fonctionne pas mieux sur le client MAC. D’après la doc Apple, un mac connecté a un AD est censé déduire le chemin du répertoire de départ mais apparement il ne le trouve pas. De plus le bouton « Règlages » dans les préférences locales de l’utilisateur est grisé. J’ai aussi un beau message d’erreur lorsque on veut créer le dossier de départ à partir du gestionnaire de groupe de travail. »Erreur de type eDSNoStdMappingAvailable (-14140) sur la ligne 1375 de /SourceCache/WorkgroupManager/WorkgroupManager-400.1/Plugins/UserAccounts/UserVolumesPluginView.mm »
Merci, si vous avez une idée.
Laissez avec le FQDN et surtout vérifié que vous avez bien coché les bonnes options dans le plug-in AD : http://blog.inig-services.com/wp-content/uploads/2011/01/Capture-d-ecran-2011-01-21-a-18.30.08.png
Merci, c’était bien la case à décocher : « Forcer l’utilisation du répertoire local … »
Je ne pensais pas que cela empêcherait une synchro manuelle.
Par contre j’ai un problème sur les droits des dossiers de départ, je ne sais pas encore pour quelle raison mais ils prennent des droits du genre Everyone -> Personnalisé -> Écriture -> Supprimer
J’ai l’impression que le partage de fichier sur Lion est beaucoup moins bien !
Bonjour
Je souhaiterais avoir quelques avis concernant l’intégration du server Mac os x Lion dans un environnement Windows 2008 avec active directory et plus de 5000 users PC.
Actuellement une dizaine d’utilisateur utilise des Mac mais sans vraiment tous les outils et le support nécessaires.
L’installation de ce mac à pour but de pouvoir gérer les mac client ( dans le futur environ 200 ) tout comme on gère actuellement les pc ( GPO, Sécurite, partage, installation à distance, prise de main ….. )
Donc Triangle Magique ou Extension de schéma ??
SVP les avantages et inconvéniant de chacun sans oublier que l’AD existant reste la source principale d’annuaire
Dans l’attente de vos réponses
Malik
Pour ma part je pense que ce sera le triangle magique, car pour ma société faire une extension de schéma AD, wooah c pas demain la veille
Donc je souhaiterais connaitre juste les inconvénients, autrement ce que j’ai besoin c’est surtout de pouvoir gerer toute la futur flotte mac sans contrainte, et bien sur tout industrialisé et automatisé
Merci d ‘avance
Vu l’entreprise, je me doute qu’une extension de schéma n’est pas envisageable ! (Au passage, surfer depuis des IP assigné à l’entreprise, c’est moyen en terme de confidentialité, surtout quand on bosse — à priori — dans la sécurité)
Sinon concernant la gestion de toute la futur flotte, si elle est futur c’est qu’elle tourne sous OS X Lion voir Moutain Lion, dans ce cas pas besoin d’avoir des MCX mais un MDM (Mobile Device Manager) qui est capable de gérer iOS et OS X depuis 10.7.
Les MCX sont aujourd’hui de l’héritage de l’ancien monde, si on cherche à construire quelque chose de stable et perrin dans le temps il faut partir sur le MDM.
Il y en a un embarqué sur OS X Lion (et surtout Moutain Lion). Il y a des tierces parties mais je ne sais pas si ça gère comme il faut OS X.