首先,为什么加域呢?现在趋势是云化服务和管理,尽量避免终端机的管理,通过降低人工和本地服务器服务等,极大降低 TCO,并释放生产力。
我们这里,全市 230 个地点,保守说:Win 2 万多台,Mac 1 万多台。从 Windows 域向云转化中,现在的域除了登录认证外,几乎没有太大意义了。当然即便是完全迁移到 Azure 后,也有域概念。
具体操作 Mac 加入域,如果是使用 AD 域账户登录,一定开启移动账户。加入域的操作:
- GUI:参考 Directory Utility (目录实用工具) app
- 命令行:参考 dsconfigad
- 描述文件绑定:参考 configuration profile
最好是先用 GUI 调试成功后,再调试命令行。Mac 加入域后,Mac 与域服务器的通信似乎比 Win 要多很多,所以可能要增加域服务器。
另外,Windows 域与 Mac 的 LDAPv3 在账户属性定义可能不一样的,要不通过映射,要不修改 AD 域以做应对,参考 Apple 的 Directory Utility User Guide (
https://support.apple.com/zh-cn/guide/directory-utility/diru39a25fa2/mac )
还有另外一种方式,不在系统级别加入域,Mac 用户使用自己的账户登录后,使用如 NoMad 来连接 AD 域。
如果需要最大限度的管理,最好创建一个统一的本地管理员账户,其它的都是普通用户账户。
目前来说,Mac 我们用 MDM 管理,设备都是“DEP (设备注册计划)”的,后期使用 MDM 部署管理和 app 分发等。Apple 的 DEP 和 ABM 、ASM 配合 MDM,就是它的云服务构架,基本无需考虑加 AD 域的烦恼了。