macOS-Clients in Windows-Netzwerke integrieren So binden Sie macOS in Active Directory und Arbeitsgruppen ein

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Mit der Verzeichnisdienst-App in macOS kann das Apple-Betriebssystem auch an Active Directory angebunden werden. Auch eine Integration von macOS in Arbeitsgruppen ist problemlos möglich. Wir zeigen, worauf es ankommt.

Firmen zum Thema

macOS kann auch an ein Active Directory angebunden werden und funktioniert in kleineren Netzwerken auch in Windows-Arbeitsgruppen.
macOS kann auch an ein Active Directory angebunden werden und funktioniert in kleineren Netzwerken auch in Windows-Arbeitsgruppen.
(Bild: Apple / Joos)

macOS kann in Unternehmensnetzwerken an Active Directory angebunden werden und funktioniert in kleineren Netzwerken auch gemeinsam mit Windows und anderen Geräten in Arbeitsgruppen. Es besteht die Möglichkeit, ein eigenes Benutzerprofil in macOS zu erstellen, mit dem sich ein Anwender an Active Directory anmelden kann, während er sich mit seinem vorhandenen Apple-Profil an macOS anmeldet. Allerdings gibt es keine Möglichkeit, Gruppenrichtlinien aus Active Directory auf Macs anzuwenden.

Bei der Anmeldung an macOS mit einem Benutzerkonto aus Active Directory stehen die Ressourcen in Active Directory zur Verfügung, ohne dass eine erneue Anmeldung erfolgen muss. Allerdings ist die AD-Integration von macOS auch in der Version 11.x nicht sehr benutzerfreundlich und nur suboptimal gelöst. Um auf Drucker, Freigaben und andere Ressourcen zuzugreifen, ist es nicht unbedingt notwendig, den Mac in AD zu integrieren. Die Integration macht zwar auch hier vieles einfacher, es geht aber auch ohne. Wir zeigen in diesem Beitrag mehrere Möglichkeiten für die Umsetzung.

Bildergalerie
Bildergalerie mit 8 Bildern

Sinnvoll ist die Anbindung an Active Directory dann, wenn an einem Mac mehrere Benutzer mit unterschiedlichen Benutzerkonten arbeiten. Hier kann dann für jeden Benutzer ein eigenes Profil angelegt werden, das eine individuelle Anbindung an Active Directory ermöglicht.

DNS-Namensauflösung in macOS überprüfen

Um macOS in Active Directory anzubinden, muss zunächst in den Netzwerkeinstellungen auf dem Mac sichergestellt sein, dass der eingetragene DNS-Server in der Lage ist, das Active Directory zu erreichen. Um das zu testen, kann im Terminal mit „nslookup <FQDN der Domäne>“ überprüft werden, ob die Namensauflösung funktioniert. Wenn die Namensauflösung richtig konfiguriert ist, sollten im Terminal die einzelnen Domänencontroller mit ihren IP-Adressen auftauchen.

macOS in Active Directory anbinden

Die Anbindung an das Active Directory ist in macOS relativ verschachtelt. Die wichtigsten Einstellungen sind bei „Benutzer & Gruppen“ in den Systemeinstellungen zu finden. Über „Anmeldeoptionen“ kann bei „Netzwerkaccount-Server“ mit „Bearbeiten“ und „Verzeichnisdienste öffnen“ der Dienst „Active Directory“ hinzugefügt werden.

Danach erfolgt die Eingabe des Domänennamens und die Authentifizierung an der Domäne. Bei der Anbindung an die Domäne kann hier auch die Option „Mobilen Account bei Anmeldung erstellen“ aktiviert werden. Das ermöglicht anschließend das Anmelden mit einem neuen Benutzerkonto am Mac und damit die Anmeldung an Active Directory.

Die erfolgreiche Anmeldung an der Domäne wird anschließend bei „Netzwerkaccount-Server“ angezeigt. In den Einstellungen der Active-Directory-Anbindung kann bei „Optionen einblenden“ über „Pfade“ festgelegt werden, welche IDs und Active-Directory-Attribute einem Mac zugeordnet werden sollen. Die Einstellungen sind optional.

Wichtig sind die Einstellungen bei „Administration“. Hier kann festgelegt werden, welche Gruppen in Active Directory das Recht erhalten, auf dem Mac Einstellungen zu ändern. Hier können die vorhandenen Gruppen „Domain-Administratoren“ und „Unternehmens-Administratoren“ verwendet werden, oder es werden eigene Gruppen eingetragen.

Arbeitsgruppen und macOS

Über die Registerkarte „WINS“ in den Netzwerkeinstellungen kann die Arbeitsgruppe eingetragen werden, in welcher der Mac betrieben werden soll. Wenn dieser Name auch auf anderen Geräten genutzt wird, können Freigaben und Ressourcen einfacher aufgerufen werden, da die Geräte im Netzwerkbereich des Finders auftauchen.

Zugriff auf Freigaben und Ressourcen ohne Domänenbeitritt

Um auf Freigaben oder anderen Ressourcen in Active Directory zuzugreifen, ist es nicht unbedingt notwendig, den Computer in die Active-Directory-Domäne aufzunehmen. Die Konfiguration der Domäne als Arbeitsgruppen kann aber dennoch sinnvoll sein, da so die Anzeige der Geräte im Netzwerkbereich des Finders einfacher wird. Aber auch das ist optional.

Wenn ein Anwender am Mac angemeldet ist, kann er mit „Gehe zu\Mit Server verbinden“ auch eine Verbindung mit Ressourcen aufbauen, die durch Active Directory authentifiziert werden. Anschließend wird im Fenster der Name des Servers oder dessen IP-Adresse angegeben. Wird mit dem Namen gearbeitet, muss auch hier sichergestellt sein, dass in den Netzwerkeinstellungen ein DNS-Server eingetragen ist, der Servernamen in Active Directory auflösen kann.

Wenn die Ressource, zum Beispiel eine Freigabe, durch Active Directory gesichert ist, muss natürlich eine Anmeldung mit einem Domänenbenutzer erfolgen, der berechtigt ist. Die Anmeldung kann mit „<Benutzername>@<FQDN der Domäne>“ erfolgen.

Microsoft Endpoint Manager und macOS

Unternehmen, die mehrere Macs in ein Microsoft-Netzwerk einbinden müssen, können auch den Weg über den Endpoint Manager gehen. Zwar hat diese Anbindung nichts damit zu tun, wie Anwender auf Freigaben und Drucker in Active Directory zugreifen können, mit dem Endpoint Manager lassen sich aber Verwaltungsaufgaben von macOS über den Clouddienst durchführen.

Der Endpoint Manager kombiniert Funktionen des Microsoft System Center Configuration Manager mit den Cloud-basierten Tools von Intune. Über den Endpoint Manager können Windows-Geräte genauso zentral verwaltet werden, wie macOS, Android und iPhones/iPads. Für Windows-Geräte ist sogar das Umsetzen von Richtlinien möglich, ähnlich wie beim Einsatz von Active Directory.

Der Endpoint Manager bietet zum Beispiel Unterstützung für Skripte auf macOS und eine Funktion zur Verwaltung des Lebenszyklus von Apps. Das ist bei der herkömmlichen Anbindung an ein Active Directory nicht möglich. Endpoint Manager unterstützt in diesem Bereich auch „Apples Shared iPad for Business“-Funktionalität. Das ist zum Beispiel sinnvoll, wenn Anwender über iPads aber auch in macOS auf Azure-Active-Directory-Konten zugreifen sollen. Dadurch erhalten die Benutzer zwei getrennte Bereiche auf dem Gerät: einen für die Arbeit und einen für alles andere.

(ID:47353053)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist