[GastForen Betriebsysteme und Dienste Apple (Hard- und Software) 10.6, Domänenwechsel überschreibt User

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

10.6, Domänenwechsel überschreibt User

Daniel Richter
Beiträge gesamt: 467

28. Mär 2011, 11:51
Beitrag # 1 von 10
Bewertung:
(4468 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo,

habe folgendes Problem:

10.6.7 installiert, Domäne war ein AD (alt.de), User haben sich an dem Mac angemeldet, Mobiler Account eingeschaltet, danach Benutzer konfiguriert.

Größere Umstellung stand an: neue Domäne (neu.de)

2 Möglichkeiten:

1. Ich habe die Rechner aus der Domäne rausgeholt und sie arbeiten normal weiter. Funktioniert!

2. Mein Problem: Rechner aus der Domäne geholt, in die neue Domäne gebracht, gleiche User auch vorhanden. Wenn ich mich jetzt mit dem User xy anmelde, legt er nicht wie Windows einen neuen Homefolder an, sondern nutzt den alten. Wenn ich mich dann anmelde, habe ich keinen Zugriff mehr auf die Ordner im Homefolder, wobei meine Bilder usw. noch vorhanden sind. Was kann ich jetzt machen, damit ich wieder mit dem User arbeiten kann und nicht zig Userprofile an den Rechnern neu einstellen muss?

Die Frage ist auch warum 10.6 nicht mit einem solchen Wechsel umgehen kann. Ich hätte erwartet, dass ein neuer Homefolder angelegt wird.

Vielen Dank für die Hilfe
Gruß Daniel
X

10.6, Domänenwechsel überschreibt User

Thomas Kaiser
Beiträge gesamt: 1299

28. Mär 2011, 15:17
Beitrag # 2 von 10
Beitrag ID: #467859
Bewertung:
(4449 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi,

Antwort auf [ Daniel Richter ] Wenn ich mich dann anmelde, habe ich keinen Zugriff mehr auf die Ordner im Homefolder, wobei meine Bilder usw. noch vorhanden sind. Was kann ich jetzt machen, damit ich wieder mit dem User arbeiten kann und nicht zig Userprofile an den Rechnern neu einstellen muss?


Evtl. liegt's ja nur daran, daß der User jetzt eine andere User-ID (UID) hat, die nicht zu der der Dateien im Home-Ordner paßt?

Keine Ahnung, ob man da bequem bzw. ohne irregeführt zu werden im System bzw. Finder nachschauen kann. Ich würd's auf der Kommandozeile machen (per "ls -la" für den Status Quo im Homedir und per "dscl" für die UID des Users -- einfach mal nach "dscl active directory" googlen)

Gruss,

Thomas


als Antwort auf: [#467831]

10.6, Domänenwechsel überschreibt User

Daniel Richter
Beiträge gesamt: 467

28. Mär 2011, 16:29
Beitrag # 3 von 10
Beitrag ID: #467865
Bewertung:
(4434 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Ausgabe von ls-la:

drwxr-xr-x+ 42 1863720430 933993946 1428 28 Mär 12:17 drichter

Systemeinstellungen/Benutzer/Erweiterte Optionen:
Benutzer-ID: 368283728
Gruppe: 192097399
UUID: 15F39050-58F5-4416-9181-6A03288A42B5

Ausgabe von dscl read drichter:

/Active Directory/All Domains/Users > read drichter
dsAttrTypeNative:accountExpires: 9223372036854775807
dsAttrTypeNative:ADDomain: dgd.local
dsAttrTypeNative:badPasswordTime: 129457775473750000
dsAttrTypeNative:badPwdCount: 0
dsAttrTypeNative:cn:
Daniel Richter
dsAttrTypeNative:codePage: 0
dsAttrTypeNative:countryCode: 0
dsAttrTypeNative:displayName:
Daniel Richter
dsAttrTypeNative:distinguishedName:
CN=Daniel Richter,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=dgd,DC=local
dsAttrTypeNative:dn:
CN=Daniel Richter,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=dgd,DC=local
dsAttrTypeNative:dSCorePropagationData: 16010101000000.0Z
dsAttrTypeNative:givenName: Daniel
dsAttrTypeNative:instanceType: 4
dsAttrTypeNative:kerberosPrincipal: drichter@DGD.LOCAL
dsAttrTypeNative:lastLogoff: 0
dsAttrTypeNative:lastLogon: 129457963465468750
dsAttrTypeNative:lastLogonTimestamp: 129455425563993875
dsAttrTypeNative:logonCount: 28
dsAttrTypeNative:memberOf: CN=vorstufen,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=dgd,DC=local
dsAttrTypeNative:msDS-RevealedDSAs:
CN=SNRODC,OU=Domain Controllers,DC=dgd,DC=local
CN=SNRODC,OU=Domain Controllers,DC=dgd,DC=local
CN=SNRODC,OU=Domain Controllers,DC=dgd,DC=local
CN=SNRODC,OU=Domain Controllers,DC=dgd,DC=local
CN=SNRODC,OU=Domain Controllers,DC=dgd,DC=local
dsAttrTypeNative:name:
Daniel Richter
dsAttrTypeNative:objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=dgd,DC=local
dsAttrTypeNative:objectClass: top person organizationalPerson user
dsAttrTypeNative:objectSid:
01050000 00000005 15000000 c9c3cc0c 2143ac4d 29e8f6b3 be040000
dsAttrTypeNative:primaryGroupID: 513
dsAttrTypeNative:pwdLastSet: 129455210154462625
dsAttrTypeNative:sAMAccountName: drichter
dsAttrTypeNative:sAMAccountType: 805306368
dsAttrTypeNative:sn: Richter
dsAttrTypeNative:userAccountControl: 66048
dsAttrTypeNative:userPrincipalName: drichter@dgd.local
dsAttrTypeNative:uSNChanged: 336074
dsAttrTypeNative:uSNCreated: 334835
dsAttrTypeNative:whenChanged: 20110325160236.0Z
dsAttrTypeNative:whenCreated: 20110325085203.0Z
AltSecurityIdentities: Kerberos:drichter@DGD.LOCAL
AppleMetaNodeLocation:
/Active Directory/dgd.local
AuthenticationAuthority: 1.0;Kerberosv5;15F39050-58F5-4416-9181-6A03288A42B5;drichter@DGD.LOCAL;DGD.LOCAL;
FirstName: Daniel
GeneratedUID: 15F39050-58F5-4416-9181-6A03288A42B5
LastName: Richter
MCXFlags:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>has_mcx_settings</key>
<true/>
</dict>
</plist>

MCXSettings:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>mcx_application_data</key>
<dict>
<key>com.apple.MCX</key>
<dict>
<key>Forced</key>
<array>
<dict>
<key>mcx_precedence</key>
<integer>500</integer>
<key>mcx_preference_settings</key>
<dict>
<key>com.apple.cachedaccounts.CreateAtLogin</key>
<true/>
<key>com.apple.cachedaccounts.WarnOnCreate</key>
<true/>
</dict>
</dict>
</array>
</dict>
<key>com.apple.dock</key>
<dict>
<key>Forced</key>
<array>
<dict>
<key>mcx_precedence</key>
<integer>500</integer>
<key>mcx_preference_settings</key>
<dict>
<key>AppItems-Raw</key>
<array/>
<key>DocItems-Raw</key>
<array/>
<key>MCXDockSpecialFolders-Raw</key>
<array>
<string>AddDockMCXOriginalNetworkHomeFolder</string>
</array>
</dict>
<key>mcx_union_policy_keys</key>
<array>
<dict>
<key>mcx_input_key_names</key>
<array>
<string>AppItems-Raw</string>
</array>
<key>mcx_output_key_name</key>
<string>static-apps</string>
<key>mcx_remove_duplicates</key>
<true/>
</dict>
<dict>
<key>mcx_input_key_names</key>
<array>
<string>DocItems-Raw</string>
</array>
<key>mcx_output_key_name</key>
<string>static-others</string>
<key>mcx_remove_duplicates</key>
<true/>
</dict>
<dict>
<key>mcx_input_key_names</key>
<array>
<string>MCXDockSpecialFolders-Raw</string>
</array>
<key>mcx_output_key_name</key>
<string>MCXDockSpecialFolders</string>
<key>mcx_remove_duplicates</key>
<true/>
</dict>
</array>
</dict>
</array>
</dict>
<key>loginwindow</key>
<dict>
<key>Forced</key>
<array>
<dict>
<key>mcx_precedence</key>
<integer>500</integer>
<key>mcx_preference_settings</key>
<dict>
<key>AutoLaunchedApplicationDictionary-raw</key>
<array>
<dict>
<key>AuthenticateAsLoginUserShortName</key>
<true/>
<key>MCX-NetworkHomeDirectoryItem</key>
<true/>
</dict>
</array>
</dict>
<key>mcx_union_policy_keys</key>
<array>
<dict>
<key>mcx_input_key_names</key>
<array>
<string>AutoLaunchedApplicationDictionary-raw</string>
</array>
<key>mcx_output_key_name</key>
<string>AutoLaunchedApplicationDictionary-managed</string>
<key>mcx_remove_duplicates</key>
<true/>
</dict>
</array>
</dict>
</array>
</dict>
</dict>
</dict>
</plist>

NFSHomeDirectory: /Users/drichter
Password: ********
PasswordPlus: ********
PrimaryGroupID: 192097399
RealName:
Daniel Richter
RecordName:
drichter
daniel richter
drichter@dgd.local
DGD\drichter
DGD\daniel richter
Daniel Richter
RecordType: dsRecTypeStandard:Users
SMBAccountFlags: 805306368
SMBGroupRID: 513
SMBLogoffTime: 0
SMBLogonTime: 129457963465468750
SMBPasswordLastSet: 129455210154462625
SMBPrimaryGroupSID: S-1-5-21-214746057-1303135009-3019302953-513
SMBSID: S-1-5-21-214746057-1303135009-3019302953-1214
UniqueID: 368283728
UserShell: /bin/bash



Was mich wundert, ist dass das AD-PlugIn unter 10.6 keinen zweiten Userordner z. B. wie Windows drichter.neu.de anlegt ...

Wo ist am Mac eigentlich die Info zu dem Mobile Account abgelegt? Früher war das ja in der netinfo.db. Ist es da immer noch? Wie kommt man da dran?


als Antwort auf: [#467859]
(Dieser Beitrag wurde von Daniel Richter am 28. Mär 2011, 16:38 geändert)

10.6, Domänenwechsel überschreibt User

Thomas Kaiser
Beiträge gesamt: 1299

28. Mär 2011, 17:18
Beitrag # 4 von 10
Beitrag ID: #467870
Bewertung:
(4419 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi,

Antwort auf [ Daniel Richter ] Ausgabe von ls-la:

drwxr-xr-x+ 42 1863720430 933993946 1428 28 Mär 12:17 drichter


Scusa, da hat das "-n" gefehlt, um die numerischen Werte anzeigen zu lassen, d.h. ein "ls -land" auf das Homeverzeichnis ist zielführender.

Antwort auf: Was mich wundert, ist dass das AD-PlugIn unter 10.6 keinen zweiten Userordner z. B. wie Windows drichter.neu.de anlegt ...


Mei, ist halt vielleicht bisserl verwirrt? Wink

Antwort auf: Wo ist am Mac eigentlich die Info zu dem Mobile Account abgelegt? Früher war das ja in der netinfo.db. Ist es da immer noch? Wie kommt man da dran?


Stichwort "Managed Client Settings (MCX)". Google-Futter wäre also "mcx active directory". Kenn' mich damit leider auch nicht so wirklich aus, v.a. in Zusammenhang mit 10.6.

Gruss,

Thomas


als Antwort auf: [#467865]

10.6, Domänenwechsel überschreibt User

Daniel Richter
Beiträge gesamt: 467

28. Mär 2011, 17:21
Beitrag # 5 von 10
Beitrag ID: #467871
Bewertung:
(4418 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo,

meine Frage war wegen dem mobilen Account, dass manchmal nach Änderung des Passwortes im AD der Mobile Account davon nichts mitbekommt :-(

Hier die Ausgabe mit ls -land (ist das gleiche Ergebnis:


drwxr-xr-x+ 42 1863720430 933993946 1428 28 Mär 16:43 drichter


als Antwort auf: [#467870]

10.6, Domänenwechsel überschreibt User

Daniel Richter
Beiträge gesamt: 467

28. Mär 2011, 18:27
Beitrag # 6 von 10
Beitrag ID: #467879
Bewertung:
(4373 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Nachdem ich nun:

cd /Users
sudo chown -R drichter drichter/

eingegeben habe, sieht es ganz gut aus. Die Ausgabe mit ls -land ergibt:

drwxr-xr-x+ 42 368283728 933993946 1428 28 Mär 18:18 /Users/drichter/

Die Findereinstellungen und die Darstellungsoptionen, die Programmzuordnungen sind zurückgesetzt. Was sonst noch nicht geht, weiss ich nicht. Ich traue mich aber noch nicht das bei 20 Clients zu erledigen.

Vielleicht muss man auch in Library usw. was ändern?
http://www.inteller.net/notes/change-user-id-on-snow-leopard


als Antwort auf: [#467871]
(Dieser Beitrag wurde von Daniel Richter am 28. Mär 2011, 18:38 geändert)

10.6, Domänenwechsel überschreibt User

Thomas Kaiser
Beiträge gesamt: 1299

29. Mär 2011, 11:17
Beitrag # 7 von 10
Beitrag ID: #467904
Bewertung:
(4301 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Antwort auf [ Daniel Richter ] Nachdem ich nun:

cd /Users
sudo chown -R drichter drichter/

eingegeben habe, sieht es ganz gut aus. Die Ausgabe mit ls -land ergibt:

drwxr-xr-x+ 42 368283728 933993946 1428 28 Mär 18:18 /Users/drichter/


Yep, jetzt paßt auch die numerische User-ID. Vielleicht gibt's auch noch einen gleichlautenden lokalen User namens "drichter" (nachgucken per "dscl . list /Users")

Antwort auf: Die Findereinstellungen und die Darstellungsoptionen, die Programmzuordnungen sind zurückgesetzt. Was sonst noch nicht geht, weiss ich nicht. Ich traue mich aber noch nicht das bei 20 Clients zu erledigen.

Vielleicht muss man auch in Library usw. was ändern?
http://www.inteller.net/notes/change-user-id-on-snow-leopard


Ja, das sollte nachgezogen werden, d.h. einfach ein

Code
find -x / -user 1863720430 -exec chown 368283728 {} \; 


hinterher. Wenn das dann paßt (kann natürlich sein, daß zwischendurch durch die abweichenden UIDs noch "irgendwas" kaputtgegangen ist), bei allen anderen Usern nachziehen.

Gruss,

Thomas


als Antwort auf: [#467879]

10.6, Domänenwechsel überschreibt User

Daniel Richter
Beiträge gesamt: 467

29. Mär 2011, 14:48
Beitrag # 8 von 10
Beitrag ID: #467932
Bewertung:
(4282 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo,

der lokale drichter war schon richtig ...

Den Find-Befehl kann man wohl nur mit root ausführen, mit sudo ist es wohl nicht ausreichend. Hat aber keine Veränderung geführt. Wenn das Profil wohl mal so ne Macke hat, dann bleibt die. Die Frage ist, was ich mit allen anderen Accounts mache ... Ist ja schon nervig, dass die Findereinstellungen, die Zuweisung Dateien/Programme usw. weg sind.

Danke für deine Mühe.

Gruß Daniel


als Antwort auf: [#467904]

10.6, Domänenwechsel überschreibt User

Thomas Kaiser
Beiträge gesamt: 1299

29. Mär 2011, 18:52
Beitrag # 9 von 10
Beitrag ID: #467944
Bewertung:
(4257 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hi,

Antwort auf [ Daniel Richter ] der lokale drichter war schon richtig ...


Heißt? Es gibt einen gleichlautenden lokalen User namens "drichter"?

Antwort auf: Den Find-Befehl kann man wohl nur mit root ausführen, mit sudo ist es wohl nicht ausreichend.


Nö, Login als root oder "su" und ein "sudo" von einem berechtigten Account aus (im Normalfall jeder Admin-Account außer man spielt an der /etc/sudoers herum) führen zu absolut identischer Situation: Allmacht, d.h. root-Rechte.

Antwort auf: Hat aber keine Veränderung geführt. Wenn das Profil wohl mal so ne Macke hat, dann bleibt die. Die Frage ist, was ich mit allen anderen Accounts mache ... Ist ja schon nervig, dass die Findereinstellungen, die Zuweisung Dateien/Programme usw. weg sind.


Also bzgl. "mobiler Accounts" ist natürlich schon dieser XML-Kram wichtig, den Dir dscl ausgespuckt hat. Wenn da MCX irgendwas versaubeutelt, weil es in einen inkonsistenten Zustand gekommen ist (evtl. dadurch bedingt, daß es eben 'ne zusätzlichen lokalen User-Account mit dem gleichen Namen wie dem Account aus dem AD im Moment des Domänen-Umhängens gab [1]), dann kann da mal gerne Schrott drinstehen. Würde ich mal mit einem frisch angelegten AD-Account, der "funktioniert" vergleichen.

Aber was meinst Du mit "die Zuweisung Dateien/Programme usw. weg sind"? Das normale Application Binding (also was passiert bei Doppelklick auf Datei bzw. welches Programm kriegt den Zuschlag) funktioniert ja per LaunchServices und völlig unabhängig von individuellen Account-Einstellungen.

Gruss,

Thomas

[1] Hab hier heute in Berlin von 'nem Apple-Systemhaus aus Stuttgart 'ne andere Applesche Konfusions-Geschichte gehört: Kunde von denen hatte ab irgendwann das Problem, daß keine Kalender-Ereignisse mehr in iCal gelandet sind. Kalender-Ereignisse bzw. Event-Einladungen wurden zwar angezeigt aber alles, was an Interaktion möglich war, war ein "OK"-Button. Und wenn man den drückte, war die Einladung weg und nirgends was im Kalender. Apple-Support ins Boot geholt (was eigentlich immer witzlos ist, weil die völlig plan- und ahnungslos sind, wenn's auch nur bisserl ans Eingemachte geht) und irgendwann selbst die Lösung gefunden: Irgendwie hat der Kunde mal wild herumgeklickt und den "Ich selbst"-Eintrag im Adreßbuch modifiziert. Und ab dem Moment wurden ihm dann zwar Einladungen noch präsentiert aber eben nur read-only bzw. "zur Kenntnis" und waren dann futsch, weil die Mail-Adresse im Adreßbuch nicht mit der des Empfängers der Einladung übereinstimmte. Kleine Ursache, große Wirkung.


als Antwort auf: [#467932]

10.6, Domänenwechsel überschreibt User

Daniel Richter
Beiträge gesamt: 467

29. Mär 2011, 19:21
Beitrag # 10 von 10
Beitrag ID: #467945
Bewertung:
(4253 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo,

es gibt keinen lokalen Benutzer, aber der mobile Account ist mit dscl /Users/drichter vorhanden.

Auch wenn ich mit sudo das ausführe erhalte ich bei manchen Dateien Permission denied.

Ich denke irgendwie darüber nach, dass der Mobile Account einfach Sch... ist. Z. B. ist es mit 10.6 so, dass wenn du mit deinem Macbook Pro und mobilem Account daheim sitzt, wo die Domäne nicht verfügbar ist, er dir auch keine Admin-Rechte gibt, weil er die Gruppe nicht findet. Hast du das auch schon festgestellt? Ich hatte den Mobilen Account immer deswegen aktiviert, damit bei einem Netzwerk- oder Servercrash die Leute weiterarbeiten können. Mittlerweile denke ich fast, wenn es nicht sauber funktioniert, dass der Mobile Account sich regelmäßig dem Account in der ADS anpasst, was z. B. das Passwort betrifft, man einen weiten Bogen drum machen kann.

Oder ist der Mobile Account auch für das Syncen der Home-Verzeichnisse verantwortlich, wenn man das Home-Verzeichnis auf einen Server legt?

Gruß Daniel


als Antwort auf: [#467904]
X