Puede modificar las propiedades de com.apple.loginwindow.netaccounts y com.apple.access_loginwindow para crear un acceso de inicio de sesión personalizado. Esto también se puede lograr a través de terceros proveedores. Centrify es un buen complemento de Mac AD de terceros que permite configurar zonas (usuarios / grupos de AD) para el acceso de inicio de sesión. También hay opciones de MCX y perfil para configurar el acceso a la ventana de inicio de sesión. A continuación se muestra la forma en que he llegado a trabajar con la modificación de los archivos com.apple para el acceso personalizado.
Centrify Link
Enlace original a la guía que usé --- > La respuesta está a mitad de camino en los comentarios.
Puede editar y agregar grupos de AD manualmente con dseditgroup . Primero verifique si existen los dos archivos:
/private/var/db/dslocal/nodes/Default/groups/com.apple.loginwindow.netaccounts
y
/private/var/db/dslocal/nodes/Default/groups/com.apple.access_loginwindow
Si esos archivos existen, continúe con " Agregar los grupos a la ventana de acceso_login " a continuación. Si no existen, deberá crearlos con:
dscl . -create /Groups/com.apple.loginwindow.netaccounts
dscl . -create /Groups/com.apple.loginwindow.netaccounts PrimaryGroupID $GID1
dscl . -create /Groups/com.apple.loginwindow.netaccounts Password \*
dscl . -create /Groups/com.apple.loginwindow.netaccounts RealName "Login Window's custom net accounts"
dscl . -create /Groups/com.apple.access_loginwindow
dscl . -create /Groups/com.apple.access_loginwindow PrimaryGroupID $GID2
dscl . -create /Groups/com.apple.access_loginwindow Password \*
dscl . -create /Groups/com.apple.access_loginwindow RealName "Login Window ACL"
Deberá cambiar $ GID1 y $ GID2 en el script anterior a un número GID gratuito, tanto para los archivos com.apple.loginwindow.netaccounts y com.apple.access_loginwindow. Puede usar este script para verificar si el sistema utiliza un GID.
dscl . -list /Groups PrimaryGroupID | grep $desiredGID
Cambiar $ desiredGID a un número que desee verificar es gratuito. (Utilicé 206 para netaccounts y 235 para acess_loginwindow de la guía enlazada anteriormente, y siempre estaban abiertas)
"Agregar los grupos a la ventana de acceso_login"
dseditgroup -o edit -n /Local/Default -u admin -p -a ADgroup -t group com.apple.loginwindow.netaccounts
Cambie ADgroup por el nombre del grupo de Active Directory al que desea permitir el acceso en la ventana de inicio de sesión. (Por ejemplo, "Equipo de ventas"). También cambie admin a su cuenta de administrador de usuario local. Se le pedirá la contraseña.
Luego agregue com.apple.loginwindow.netaccounts al archivo com.apple.access_loginwindow.
dseditgroup -o edit -n /Local/Default -u admin -p -a com.apple.loginwindow.netaccounts -t group com.apple.access_loginwindow
dseditgroup -o edit -n /Local/Default -a localaccounts -t group com.apple.access_loginwindow
Vuelve a cambiar admin a tu cuenta de administrador local. La primera agrega el archivo que contiene los grupos de AD anidados, la segunda línea permite que sus cuentas locales en la computadora inicien sesión. Ahora, si va a Preferencias del sistema - > Usuarios & Grupos - > Opciones de inicio de sesión - > Opciones junto a "Permitir a los usuarios de la red iniciar sesión en la ventana de inicio de sesión". Debería ver en la lista los grupos de AD que desea que tengan acceso al equipo.
