Vous pouvez modifier les propriétés de com.apple.loginwindow.netaccounts et com.apple.access_loginwindow pour créer des accès personnalisés. Cela peut également être réalisé par des fournisseurs tiers. Centrify est un bon plugin tiers pour mac AD qui permet de définir des zones (utilisateurs/groupes AD) pour l'accès au login. Il existe également des options MCX et de profil pour définir l'accès à la fenêtre de connexion. Voici comment j'ai procédé pour modifier les fichiers com.apple afin d'obtenir un accès personnalisé.
Lien Centrify
Lien original vers le guide que j'ai utilisé ---> La réponse se trouve à peu près à mi-chemin dans les commentaires.
Vous pouvez modifier et ajouter manuellement des groupes AD avec dseditgroup . Vérifiez d'abord si les deux fichiers existent :
/private/var/db/dslocal/nodes/Default/groups/com.apple.loginwindow.netaccounts
et
/private/var/db/dslocal/nodes/Default/groups/com.apple.access_loginwindow
Si ces fichiers existent, passez à " Ajouter les groupes à la fenêtre d'accès (access_loginwindow) " ci-dessous. S'ils n'existent pas, vous devrez les créer avec :
dscl . -create /Groups/com.apple.loginwindow.netaccounts
dscl . -create /Groups/com.apple.loginwindow.netaccounts PrimaryGroupID $GID1
dscl . -create /Groups/com.apple.loginwindow.netaccounts Password \*
dscl . -create /Groups/com.apple.loginwindow.netaccounts RealName "Login Window's custom net accounts"
dscl . -create /Groups/com.apple.access_loginwindow
dscl . -create /Groups/com.apple.access_loginwindow PrimaryGroupID $GID2
dscl . -create /Groups/com.apple.access_loginwindow Password \*
dscl . -create /Groups/com.apple.access_loginwindow RealName "Login Window ACL"
Vous devrez modifier $GID1 et $GID2 dans le script ci-dessus à un numéro GID libre, à la fois pour les fichiers com.apple.loginwindow.netaccounts et com.apple.access_loginwindow. Vous pouvez utiliser ce script pour vérifier si un GID est utilisé par le système.
dscl . -list /Groups PrimaryGroupID | grep $desiredGID
Changer $desiredGID à un numéro que vous souhaitez vérifier est gratuit. (J'ai utilisé 206 pour netaccounts et 235 pour acess_loginwindow dans le guide cité plus haut, et ils étaient toujours ouverts).
"Ajouter les groupes à la fenêtre d'accès (access_loginwindow)"
dseditgroup -o edit -n /Local/Default -u admin -p -a ADgroup -t group com.apple.loginwindow.netaccounts
Changer Groupe AD au nom du groupe Active Directory auquel vous souhaitez autoriser l'accès dans la fenêtre de connexion. (ex. "Sales Team"). Modifiez également l'administration à votre compte d'utilisateur local. Il vous demandera votre mot de passe.
Ajoutez ensuite com.apple.loginwindow.netaccounts au fichier com.apple.access_loginwindow.
dseditgroup -o edit -n /Local/Default -u admin -p -a com.apple.loginwindow.netaccounts -t group com.apple.access_loginwindow
dseditgroup -o edit -n /Local/Default -a localaccounts -t group com.apple.access_loginwindow
Nouveau changement l'administration à votre compte d'administrateur local. La première ligne ajoute le fichier qui contient les groupes AD, la deuxième ligne permet aux comptes locaux de l'ordinateur de se connecter. Maintenant, si vous allez à Préférences système-->Utilisateurs et groupes-->Options de connexion-->Options à côté de "Autoriser les utilisateurs du réseau à se connecter à la fenêtre de connexion". Les groupes AD que vous souhaitez autoriser à accéder à l'ordinateur doivent être répertoriés.
![Options in SP pane]()
![Groups added from com.apple.loginwindow.netaccounts]()
