Hallo,
wir besitzen ca 60 iMacs an denen sich ca. 2000 Benutzer anmelden. Seitdem wir von MAC Xserver auf Windows AD umgestiegen sind, haben wir massive Probleme, welche ich bisher noch nicht beheben könnte. Die home Order der Benutzer liegen auf einem Windows 2012 R2 Server, die iMac`s sind mit 10.11.3 bespielt. Für die Umstellung wurde alles neu aufgesetzt, also kein altes System wurde übernommen/überschrieben. Für die iMacs wurde ein Image erstellt und dieses an alle iMacs verteilt. Der AD wird unter Systemeinstellung - Benutzer - Anmeldeoptionen - Netzwerkaccoount Server eingebunden. In den Einstellungen wurde die Checkbox "Lokalen Benutzerordner unbedingt auf dem Startvolume anlegen" deaktiviert. Das Netzwerkprotokoll ist auf smb gestellt.
Welche Probleme sind vorhanden?
1. Erstellt der Benutzer einen neuen Ordner, oder eine Datei, kann er diese manchmal nicht mehr löschen oder bearbeiten, bzw. umbenennen. Wenn ich dann auf dem Windows Server in das entsprechende Home Verzeichnis schaue, befindet sich auf einmal einen Benutzer "jeder" der keine Rechte hat. Wenn ich diesen lösche, kann der angemeldete Benutzer den Ordern oder Datei löschen. Wie dieser "jeder" Benutzer dahin kommt, ist mir ein Rätsel.
2. Ein weiteres Problem ist, das in der Konsole folgeden Fehlermeldung kommt:
01.06.16 22:24:04,897 automountd[416]: mount of /home/mweeenbo failed: Authentication error
01.06.16 22:25:04,897 automountd[416]: mount of /home/erdfasee failed: Authentication error
Irgendwie möchte er, wenn ich z.B. als Admin angemeldet bin, sich mit den home Ordner von anderen Benutzern verbinden. Die Liste ist sehr lang, also er versucht ständig andere zu mounten. Ist mir ein Rätsel warum er das macht.
3. Manche Benutzer können eine App nicht starten, wechseln sie den iMac, dann können sie diese App starten.

Vielleicht hat jemand auch solche Erfahrungen gesammelt und hat eine Lösung parat. Danke

Ja, wir haben mit so was Erfahrung, und machen das beruflich. Solcher Support ist allerdings Teil unseres Business, und wird daher nicht über öffentliche Foren abgewickelt, sondern über normalen geschäftlichen Umgang.

Ein erster, noch kostenfreier Tipp: Wie schaut's aus mit 10.11.5 als Client OS?

Grundsätzlich gebe ich Hannes da Recht. Aber auch von mir ein kleiner Tip:
https://www.powerbrokeropen.org

Hat mir schon bei div. Umgebungen und Problemen mit dem AD geholfen.

Danke für die Antworten, 10.11.5 habe ich noch nicht probiert. Bisher nur 10.11.3. Angeblich soll smb bei 10.11.5 sehr langsam sein, daher bin ich noch bei 10.11.3.

@kay1
danke für den Link, allerdings kann ich das Programm nicht auf einem Client installieren. Die aktuelle Version ist nicht mit 10.11 kompatibel.

http://www.heise.de/mac-and-i/meldung/OS-X-10-11-5-Abhilfe-fuer-SMB-Probleme-3222725.html

@Hannes Gnad

Danke für den Link, bin gerade dabei ein neues Image 10.11.5 zu erstellen. Werde es einmal damit versuchen. Ich hoffe sehr, dass es sich dadurch bessert.

Ich hab nun ein frisches 10.11.05 auf einem iMac installiert und mit dem AD verbunden. Auf dem Windows Server, wo die "homes" sind, habe ich ein ganz neues Verzeichnis angelegt und dies Freigegeben. Nun starte ich den iMac und gebe meine Zugangsdaten ein, er connected sich mit dem AD und legt auf dem Windows Server die entsprechenden Ordner an.
Pictures
Music
Movies
Library
Downloads
Documents
Desktop

Allerdings kann ich in keinen Ordern eine Datei schreiben! Auf dem iMac erstelle ich einen Ordner, der ist kurz zu sehen und dann ist der sofort wieder weg. Auf dem Windows Server, kann ich den Ordner Desktop erst gar nicht öffnen, da ich die Rechte nicht habe. Wenn ich auf den Ordner gehe und unter Sicherheit nachschaue, sehe ich dort einen Benutzer "jeder" mit speziellen Berechtigungen! Erst wenn ich diesen entferne, kann ich den Ordner öffnen und sehe meine erstellen Ordner. Woher kommt dieser blöde User "jeder", der blockiert mir immer alles.

Sobald der iMac automtisch vom System Ordner erstellt, macht der den User "jeder" rein, kann ich das abstellen?

Vermutlich dadurch, dass du die Berechtigungen entweder für die Freigabe selbst oder den physikalisch vorhandenen Ordner änderst.

Wir möchten auch bald auf AD umstellen (ca 400 Macs). Derzeit sind wir aber noch in der Test-Phase. Rollout ist für Ende Jahr geplant.

Hier findest du bestimmt Hilfe:
Das Thema wurde dort auch schon diskutiert und sonst sind sie da auch immer sehr hilfsbereit. Dort sind sehr erfahrene Systemadmins unterwegs.

Dann würde ich das White Paper von Apple zu AD-Intergration mal lesen (zwar für 10.10, aber immer noch aktuell):

Wieso wechselt man überhaupt auf die Windows Platform? (Vor alle wenn die Probleme bekannt sind?)

Weil die Qualität von OS X Server mittlerweile absolut ungenügend ist, insbesondere für grössere Umgebungen. OS X Server hat keine Zukunft bei uns. Wir sind schon lange dabei alle Server auf Linux oder Windows zu migrieren.

• Die User-Veraltung von mehr als 200 Benutzern im Server Admin ist schrecklich (träge, Änderungen werden nicht übernommen, Delegation von Verwaltungsrechten nicht oder nur ungenügend möglich, ...).
• Es ist keine Server-Grade Hardware vorhanden. OD erledigt alle Passwortanfragen aller Systeme (auch Mail, Wlan, ...). Ein Ausfall führt dazu, dass sich niemand mehr anmelden kann. Deshalb ist entsprechend solide Hardware Pflicht (≠MacMini oder MacPro) mit z.B. zwei Netzteilen, Raid, ...
• Mac OS X Server lässt sich aus Lizenz-Gründen nicht nur umständlich virtualisieren (Apple Hardware ist zwingend). Die Verwaltung von virtualisierten Servern ist sehr viel komfortabler (besonders in grösseren Umgebungen).

Das ist nur eine kleine Auswahl... Apple fokussiert sich auf iPhones&co. Mac OS X Server interessiert sie schon lange nicht mehr.

Danke für die Antwort

Hmmm.
Bei unseren Macs (10 Töffs) verzichte ich auf Server-gespeicherte Profil-Daten (wäre zwar schon interessant aber ein riesen Challenge) und setze für den Server-Zugriff (auch 2012r2) auf Acronis Access Connect mit AFP - das bringt richtig Tempo...

Nun ja.

Als ich damals mal mit dem Windows 2000 Server herumexperimentiert hatte, musste ich schnell feststellen, dass man die Sicherheitseinstellungen für den selbst erstellten Ordner eben passend modifizieren muss, sonst funktioniert das nicht einwandfrei.

Da musst du also in den Windows-Explorer und die Berechtigungen für diesen Ordner anpassen. Die "Jeder"-Berechtigung sollte als erstes entfernt werden.

Administratoren und SYSTEM müssen Vollzugriff auf den Ordner haben.

Du musst aber in der Microsoft Management Console den Pfad für die Benutzerprofile entsprechend festlegen.

Ich meine so:

\\SERVER-NAME\%USERPROFILES%\%USERNAME%

%USERPROFILES% = der Ordner, in dem die Benutzerprofile liegen.

%USERNAME% = Name des Benutzers

Dann sollte es funktionieren.

Ach ja, die Berechtigungen für die Freigabe bitte auch entsprechend anpassen.

Ah, hier haben wir was:



wichtig ist auch, dass ihr die Computer richtig über "Active Directory Benutzer und Computer" konfiguriert habt. Eigentlich dürften dort keine Probleme auftauchen, aber man weiß ja nie.

Hallo Steffus,

mit welchem Tool wurde das Image erstellt und wie wurde es an die Clients verteilt ?

vielleicht ist sein Windows-Server ggf. nicht richtig konfiguriert?

Denn wenn er schreibt:

daher kann es sein, dass der jeweilige Mac-Computer eventuell gar nicht bei "Active Directory Benutzer und Computer" eingetragen ist und daher der Windows-Server die Anmeldung verweigert.

Er sollte meiner Einschätzung nach erst einmal schauen, ob der Windows-Server richtig konfiguriert ist.

An Steffus

konntest du dein Problem nun lösen oder nicht?