Centrify for Mac: Anpassen des Benutzer Desktops durch Gruppenrichtlinien

Mit der Mac Integration der Centrify Infrastructure Services können Administratoren nicht nur die Anzahl der Benutzeradministrations-Tools auf eine einzige – nämlich Active Directory Users and Computers – reduzieren, sondern zusätzlich auch mittels Gruppenrichtlinien (group policies) das Login und den Desktop ihrer Benutzer aktiv gestalten. Dabei spielt es keine Rolle, ob es sich bei dem Enduser System um einen Windows PC oder Laptop, um Linux oder einen Mac handelt. Mit Centrify Infrastructure Services ist der Systemadministrator in der Lage, auch Nicht-Windows Systeme zu Domänenmitgliedern zu machen. Dies hat den großen Vorteil, daß Benutzer sich nicht nur auf Windows Maschinen mit ihrem Domänen Benutzernamen und dem passenden Kennwort einloggen können, sondern auch auf Linux- oder Mac Systemen. Außerdem fügt die Lösung dem Group Policy Management noch zusätzliche, betriebsystemspezifische Gruppenrichtlinien hinzu, die beispielsweise bewirken können, daß der Benutzer nach dem Logon auf seinem Mac mit seinen AD Credentials zusätzliche Volumes gemounted bekommt, Druckereinstellungen vorkonfiguriert werden, VPN oder Wifi Konfigurationen durchgeführt werden etc. In vielen Fällen ist es möglich, den Desktop des Benutzer „gleichartig“ zu gestalten, egal, ob er nun auf einem Windows, Linux, oder Mac System eingeloggt ist.

Wie funktioniert das Ganze: Centrify Infrastructure Services ist durch eine einzigartige und patentierte Technologie in der Lage, Linux, Unix und Mac Systeme an Windowsdomänen anzubinden. Dabei wird ein Agent auf dem Endsystem installiert, der für die Kommunikation mit dem Active Directory sorgt. Im AD wird in einer beliebigen Organizational Unit ein Computerobjekt angelegt. Somit können auch Gruppenrichtlinien mit diesem Computerobjekt verknüpft werden. Eine Schemaerweiterung ist dafür im Active Directory nicht notwendig.

 

Der folgende Screenshot zeigt die Anbindung einer Mac Gruppenrichtlinie an obige OU:

Mit Hilfe der betriebsystemspezifischen Group Policy Add-ons lassen sich nun z.B. Mac-spezifische Gruppenrichtlinien erstellen, die abhängig vom Group Policy Objekt Auswirkungen auf das Logon des Benutzers und die Gestaltung seines Desktops haben. Die Add-ons werden im Group Policy Editor geladen – vorzugsweise auf dem Windows Server, auf dem auch die Centrify Infrastructure Services installiert wurden. Somit ist eine strikte Trennung der Erweiterungen vom Group Policy Management auf der Domain Controller Maschine möglich.

Im folgenden Screenshot sieht man den Aufbau der zusätzlichen Gruppenrichtlinien im Group Policy Editor unter Computer Configuration und User Configuration. Insgesamt bietet Centrify for Mac ca. 300 zusätzliche Gruppenrichtlinien für den Mac.

 

Die Richtlinien sind nach Themen in Ordnern sortiert und lassen sich ähnlich wie Gruppenrichtlinien in Windows konfigurieren, aktivieren oder deaktivieren. Hier drei typische Beispiele aus Kundenanforderungen:

Anbindung eines Netzwerkdruckers:
Die passende Richtlinie heißt „Specify printer list (with model) und findet sich in Computer Configuration/Printing Settings. Es lassen sich damit diverse Netzwerkdrucker über verschiedene Protokolle anbinden, wie hier im Beispiel ein HP OfficeJet:

Bildschirmhintergrund:
Auch das „zwangsweise“ Auswechseln des Bildschirmhintergrunds (Wallpaper) oder des Logon Screens lassen sich per Group Policy bewerkstelligen: Hierzu muß lediglich ein Script während des Logon Prozesses angestoßen werden, welches (optional) zunächst die Wallpaper Datei von einem gemeinsamen Verzeichnis kopiert und nach /Library/Desktop Pictures/ kopiert oder direkt auf das Desktop Pictures Verzeichnis des lokalen Macs zugreift und eine dort befindliche Datei zum Wallpaper des Benutzers deklariert. Da in unserem Beispiel auf Benutzerebene konfiguriert wird, nutzen wir das Logon Script in User Configuration:

Das abschließende Beispiel zeigt das automatische Mounten von Verzeichnissen oder Volumes beim Login. Es werden für den Benutzer zwei Verzeichnisse per SMB Protokoll gemounted, alternativ wären aber auch AFP oder NFS als Protokoll möglich.

Die Administration der Benutzer und auch der Benutzerdesktops wird durch diese Zentralisierung wesentlich vereinfacht. Nicht-Windows Systeme müssen nun nicht mehr einzeln administriert werden, sondern können über die Windows Domäne und die dem Systemadministrator hinlänglich bekannten Tools wie Active Directory Users and Computers oder Group Policy Management Editor konfiguriert werden. Mac Benutzer können sich mit einer Domänenbenutzer ID einloggen. Es entfällt die Notwendigkeit, sich für verschiedene Systeme verschiedene lokale Credentials zu merken. Die Authentifizierung erfolgt über den Centrify Agent direkt am Active Directory. Sie kann zusätzlich beispielsweise mit einer Mehrfaktor Authentifizierung abgesichert werden.

Centrify for Mac vereinfacht daher entscheidend die Administration von Nicht-Windows Sytemen wie Mac OS X Workstations, Laptops oder Servern. Gleichzeitig wird das Risiko nichtkonsistenter Sicherheitsrichtlinien reduziert.