182260

So arbeitet Microsoft Active Directory mit MacOS X

Microsoft Active Directory ist eine Datenbank für Mitarbeiter und deren Rechner. Der Kontakt zum Mac und zu Mac-OS X ist nicht einfach. Wir erklären, wie Sie die Fallstricke umgehen.

Active Directory und Open Directory (das Pendant von Apple) klingen sehr ähnlich, doch in der Praxis arbeiten die beiden Verzeichnisdienste nur bei einfachen Aufgaben gleich. Für komplexere Administrationsaufgaben bedarf es einer Vermittlersoftware oder einiger Änderungen an der Datenbank von Microsoft Active Directory – eine Aufgabe, die die Verantwortlichen aber nur sehr ungern angehen.

Lücken und Lösungsansätze
Microsoft hat eine ganze Reihe von Software, die sich nur schwer mit Macs nutzen lässt. Seit Mac-OS X 10.3 bietet Apple für den Verzeichnisdienst Active Directory ein Plug-in an, dass die grundsätzlichen Daten von Active Directory liest: Benutzername, Kennwort und Benutzerverzeichnis („home directory“). Schon bei letzterem allerdings trennen sich die Gemeinsamkeiten: Das Plug-in kann SMB-Volumes mounten; nutzen kann man sie am Mac aber nur, wenn auf dem Windows-Server dafür nicht Microsoft DFS („Distributed File System“) verwendet wird.

Microsoft hat bei der Server-Software einige Jahre „Services for Macintosh“ mitgeliefert. Unter anderem stellen diese Dienste die Netz-Volumes des Windows-Servers als Freigaben für den Mac zur Verfügung („AFP volume“). Diese Dienste waren für Mac-OS 9 gedacht. Sie lassen sich mit Mac-OS X nutzen, da sie aber eine veraltete AFP-Version verwenden, kommt es immer wieder zu Problemen. Außerdem handelt man sich damit eine Sicherheitslücke ein: Das Kennwort wird unverschlüsselt oder sehr schwach zwischen Macs und Windows Server übertragen.

Ohne Zusatzsoftware wie Admitmac von Thursby kann selbst Mac-OS X 10.6 („Snow Leopard“) keine Dateien von DFS-Volumes lesen. Die Verzeichnisse sind sichtbar, doch die Dateien nicht – es fehlt das Recht, den Inhalt eines Ordners zu lesen. Richtig spannend wird es erst, wenn man Active Directory nutzt, um Benutzern bestimmte Rechte zuzuweisen, beispielweise das Recht, bestimmte Software zu nutzen.

Apple verwendet dafür die Struktur MCX („Managed Clients for OS X“); Microsoft dagegen GPO („Group Policy Objects“). Die Hersteller Centrify und Likewise bieten Software an, die zwischen beiden Rechtemodellen übersetzt.

0 Kommentare zu diesem Artikel
182260