Einstieg in MacOS und Benutzerverwaltung mit ADDS

[BillyGates]

Guten Tag udn einen schönen 1. Advent wünsche ich,

dies ist mein erster Beitrag hier im Forum. Ich hoffe ich habe das richtige Forum gewählt. Nun zum Thema.

Nachdem ich immer auf Android, Windows und Linux Geräten unterwegs war, werde ich nun auf ein MacBook Pro 2023 mit M3Pro-Chip umsteigen (Iphone 15 seit Herbst).
Wie auch mein Thinkpad, werde ich das MacBook privat und geschäftlich verwenden.

Im Büro muss das MacBook in den Windows Active Directory Domain Services (ADDS) eingebunden werden. Ich habe dazu schon mehre Videos angeschaut und ich sollte
das mit dem einbinden hinbekommen.

Ich habe hierzu aber ein paar Fragen zur Benutzerverwaltung unter MacOS.

Mein Plan ist zuerst einen Adminaccount (Admin, ohne AppleID) anzulegen, dann einen privaten Benutzer (z.B. Billy, mit privater Apple-ID) und dann über den
Windows Server einen Geschäftsaccount (z.B. Büro ohne AppleID) für die Arbeit einbinden.

Ist dies der richtige Weg wenn man private und geschäftliche Daten auf dem Gerät trennen möchte? So habe ich es bis jetzt bei Windows gehandhabt.
Können Accounts (Admin, Büro) ohne AppleID sinnvoll genutzt werden oder muss jeder Account eine AppleID haben? Also auch der Admin?
Kann ein bereits angelegter Benutzer z.B. Billy nachträglich in die ADDS eingebunden werden? Also quasi als privat / geschäftlich Account benutzt werden?

MFG Billy

 

[lisanet]

ganz schön viele Fragen... ich antworte mal eher grundsätzlich.

Vergiss auf dem Mac erst mal eine Trennung von Admin und normalem User für deinen privaten dinge. Das bringt rein gar nichts. Da auch ein Admin immer nur mit User-Rechten unterwegs ist und erst dann, wenn eine Aktion tatsächlich Admin-Rechte erfordert, er durch die Eingabe seines Passwortes auch Admin-Rechte erhält. Also Lesestoff dazu such nach Beschreibungen zum "sudo" Kommando und Prinzip

Die Trennun privat - gewerblich ist sinnvoll, wenn man keinen Bock hat, die Daten in separaten Verzeichnissen zu machen. Ein Schutz im Sinne von "niemand außer dem geschäftlichen Account kann auf die Daten dieses Accounts zugreigen" ist nicht vorhanden. Der Admin, also der private Account, kann immer darauf zugreifen.

Eine Trennung der AppleID von privat zu gewerblich macht Sinn, da so zumindest der Sync von Kalender/Kontakten und eventuelle iCloudNutzung nicht vermischt wird.

Eine Trennun der AppleID je Account ist Blödsinn und schafft nur Probleme. Spätestens wenn du mal updates machst oder nach einiger Zeit die AppleIDs zusammenlegen willst. Das geht nämlich nicht. Sie eine AppleID als personenbezogen an, nicht als macOS-Account-bezogen

Alles andere ergibt sich aus diesen Grundsätzen.

 

[BillyGates]

Hey lisanet, danke für die schnelle Antwort, ich schreibe in deinen Text...

ganz schön viele Fragen... ich antworte mal eher grundsätzlich.
Hehe ja, da kommen bestimmt noch mehr.

Vergiss auf dem Mac erst mal eine Trennung von Admin und normalem User für deinen privaten dinge. Das bringt rein gar nichts. Da auch ein Admin immer nur mit User-Rechten unterwegs ist und erst dann, wenn eine Aktion tatsächlich Admin-Rechte erfordert, er durch die Eingabe seines Passwortes auch Admin-Rechte erhält. Also Lesestoff dazu such nach Beschreibungen zum "sudo" Kommando und Prinzip
Ja, da muss ich wohl erstmal wieder umdenken. Jetzt wo du es schreibst erinnere ich mich wieder an das Prinzip unter Linux. Es gibt halt nur Benutzer und bei sicherheitskritischen Aktionen muss der "SuperUser" ran.

Die Trennun privat - gewerblich ist sinnvoll, wenn man keinen Bock hat, die Daten in separaten Verzeichnissen zu machen. Ein Schutz im Sinne von "niemand außer dem geschäftlichen Account kann auf die Daten dieses Accounts zugreigen" ist nicht vorhanden. Der Admin, also der private Account, kann immer darauf zugreifen.
Okay, auch das hilft mir schon mal weiter. Jeder kann also auf alle Benutzerverzeichnisse auf dem Rechner zugreifen. Dann erfolgt die Trennung quasi nur zur Übersichtlichkeit. Was auch nicht so wild ist, weil meine privaten Daten auf dem Macbook liegen werden und geschäftliche Dateien ausschließlich auf dem Firmen-Server und für unterwegs in OneDrive.

Eine Trennung der AppleID von privat zu gewerblich macht Sinn, da so zumindest der Sync von Kalender/Kontakten und eventuelle iCloudNutzung nicht vermischt wird.
Ist eigentlich auch in Ordnung weil privat die Icloud für Mail, Kalender, Kontakten, Notizen, usw. genutzt wird und geschäftliche Termine, Mails, Kontakte, etc. über Outlook verwaltet und "gesynced" werden.

Eine Trennun der AppleID je Account ist Blödsinn und schafft nur Probleme. Spätestens wenn du mal updates machst oder nach einiger Zeit die AppleIDs zusammenlegen willst. Das geht nämlich nicht. Sie eine AppleID als personenbezogen an, nicht als macOS-Account-bezogen
Gut. Also nur eine AppleID für das Gerät(e).

Alles andere ergibt sich aus diesen Grundsätzen.
Mmh. Was bedutet das jetzt. Ich schalte das Gerät an. Leg meinen Benutzer "Billy" mit einer AppleID an und vergebe ein sudo pw und dann wird ein zweiter Benutzer über die das ADDS eingebunden mit dem ich mich im Firmennetzwerk "bewegen" kann, richtig?

 

[lisanet]

Mmh. Was bedutet das jetzt. Ich schalte das Gerät an. Leg meinen Benutzer "Billy" mit einer AppleID an und vergebe ein sudo pw und dann wird ein zweiter Benutzer über die das ADDS eingebunden mit dem ich mich im Firmennetzwerk "bewegen" kann, richtig?

jain.

Der erste Account im Mac ist ein Admin-Account. Das sudo-pw ist das des Accounts, da gibts nichts extra. In diesem Account meldest du dich mit deiner AppleID an.

Den geschäftlichen Account legst du als normalen useraccount an.

Fertig.

 

[BillyGates]

jain.

Der erste Account im Mac ist ein Admin-Account. Das sudo-pw ist das des Accounts, da gibts nichts extra. In diesem Account meldest du dich mit deiner AppleID an.

Den geschäftlichen Account legst du als normalen useraccount an.

Fertig.

Alles klar. Danke erstmal. Das hat mir geholfen.

 

[MrChad]

Ergänzend darf ich dann noch auf die praktische Option zum "schnellen Benutzerwechsel" hinweisen:

• https://support.apple.com/de-de/guide/mac-help/mchlp2439/mac

Im Endeffekt bleiben 2 oder mehr Benutzer gleichzeitig eingeloggt und man holt sich nur das jeweilige GUI in den Vordergrund.

 

[BillyGates]

Moin. Erst einmal hat es mit der Einrichtung der Benutzer, ADDS etc. alles super funktioniert. Der Mac ist eingerichtet.

Einziges Problem zurzeit ist das Drucken im Netzwerk (ich weiß das Thema kam bestimmt schon öfter vor)

Angaben: MacBook Pro M3, MacOS 14.2,
Der Drucker Ricoh MP3003 SP ist im Netzwerk angemeldet und über die IP Adresse erreichbar. Die aktuelle Treiberversion von
der Herstellerseite ist installiert. Der Drucker ist einsatzbereit und wenn man die Seite eingerichtet hat und auf drucken klickt
startet der Drucker auch den Vorgang. Nur nach ca. 10 Sekunden wird wieder abgebrochen.

Woran könnte es liegen?

(Hinweis: Als ich den Treiber noch nicht von der Herstellerseite geladen hatte, konnte ich zumindest Drucken, allerdings nur S/W und lustigerweise funktiert das Drucken über Windows welches in Parallels installiert ist problemlos)

 

[MrChad]

Einziges Problem zurzeit ist das Drucken im Netzwerk

Die aktuelle Treiberversion von
der Herstellerseite ist installiert.

Wenn ich das auf den Herstellerseiten lese,

• Dieses PPD-Installationsprogramm wird zur Installation einer PPD-Datei (Postscript Printer Description) auf Max OS X verwendet. PPD-Dateien enthalten Beschreibungen von Druckerfunktionen wie Papierformate, Anzahl der Papierfächer und Duplexdruck. Sobald die PPD-Datei mithilfe des PPD-Installationsprogramm auf dem System installiert ist, kann der PS-Treiber, der zusammen mit Mac OS X geliefert wird, die Information in der PPD-Datei verwenden, um den Drucker zu steuern und seine gesamten Funktionen zu nutzen.

dann erinnert's mich an die Release Notes zu V14 Sonoma (Deepl-Maschinen-Übersetzung)
https://developer.apple.com/documentation/macos-release-notes/macos-14-release-notes

macOS hat die Funktionalität zur Konvertierung von PostScript- und EPS-Dateien in das PDF-Format entfernt. Infolgedessen gibt CoreGraphics' CGPSConverter beim Aufruf einen Fehler zurück, ImageIO konvertiert keine EPS-Dateien mehr, NSEPSImageRep zeigt keine EPS-Dateien an und PMPrinterPrintWithFile akzeptiert keine PostScript-Datei für Nicht-PostScript-Druckwarteschlangen.

Auf Deutsch:
Was der Hersteller da beschreibt, kann so nicht funktionieren. Entweder die Beschreibung ist falsch oder die PPD-Datei funktioniert unter V14 Sonoma nicht. Von den Versionsbezeichnungen sieht es so aus, als ob sie einfach die alte Version (ungetestet ?) umkopiert hätten.

Vermutliche Abhilfe könnte sein, den Drucker ganz ohne Herstellertreiber per Airprint (= treiberlos) zu betreiben.

 

[MrChad]

Nachdem ich immer auf Android, Windows und Linux Geräten unterwegs war

PS: Der Mac verhält sich immer etwas störrisch mit (älteren) 3rdParty Druckern.

Wenn du noch Windows / Linux -Maschinen rumstehen hast, dann kannst du die evtl. als zwischengeschalteten "Druckserver" missbrauchen. Hier z.B. läuft dafür ein Raspi mit CUPS und avahi.

Von Apple erfährt man dazu (etwas lapidar) das:

• https://support.apple.com/de-de/guide/mac-help/mchlp2437/mac

 

[BillyGates]

Hey, okay. Ich habe den Drucker noch mal neu hinzugefügt und Airprint angewählt. Das hat, auf den ersten Blick, das Problem gelöst. Danke für die Erläuterungen. Ich teste mal weiter ob noch etwas auffällt.

 

[lisanet]

Wenn du noch Windows / Linux -Maschinen rumstehen hast, dann kannst du die evtl. als zwischengeschalteten "Druckserver" missbrauchen. Hier z.B. läuft dafür ein Raspi mit CUPS und avahi.

... das Drucksystem von macOS ist CUPS. CUPS wird sogar von Apple entwickelt/maintained und als open-source heraus gegeben.

 

[BillyGates]

Moin moin und ein frohes neues Jahr 2024!

Ich sitze gerade vor einen Problem:

Ich habe vor längerer Zeit einen VPN Zugang über die FritzBox im Büro eingerichtet. In MacOS habe über CiscoIPsec die
Anmeldedaten eingegeben und die Verbindung "ins Büro" funktioniert auch von außerhalb. Nur leider ist der Daten-Server nicht
erreichbar.
Hättet Ihr dazu einen Lösungsansatz. Ich bin kein Netzwerkprofi und noch Anfänger in MacOS. Wenn Ihr noch Informationen
benötigt bitte melden.

 

[BillyGates]

Zur Info:
Lösung war anstatt > Gehe zu > mit Server verbinden > smb://servername einzugeben habe die interne ip > smb://192.xxx.x.xx des Servers
eingegeben. Ohne VPN hatte es auch mit dem Namen geklappt aber nun funktioniert alles.

 

[MrChad]

anstatt > Gehe zu > mit Server verbinden > smb://servername

In einer VPN-Situation kommen die Host/NetBIOS-Namen (ohne Punkt-irgendwas) nicht richtig rüber. Es funktionieren aber i.d.R. die fully-qualified DNS-Namen, wie

• servername.local
• servername.fritz.box (oder entsprechend)

Nach meiner unmaßgeblichen Meinung sind die weniger störungsanfällig als IPv4-Nummern.

 

[lisanet]

servername.loca

das funktioniert nicht, da ein VPN in einem anderen Subnetz läuft und derartige mDNS-Namen nicht über Subnetze hinweg aufgelöst werden