macOS 加域能实现什么？有什么坑？

本人技术能力一般，水平有限，这是前提。
6000 端，其中 5000 个 win，1000 个 mac 。9 个办公地点，办公地之间 ipsecvpn 。
北京主域，其他地区从域，自动同步。
第一步，5000 个 win 首先加入域，策略下发执行成功率 60%，每台机器认为统计。
第二步，加入 mac，基本无策略下发成功，顶多做个同一账号登陆管理。
以上为真实经验，共楼主参考。
有大神的话别喷。

记得好多年前，世界 100 强前公司，有条 Q&A 说如何在 mac 上安装公司的软件管理工具

第一条是

先在 mac 上安装 windows 虚拟机

我们四大是本地账户，策略走 vmware 的 hub
用户的账户和 domain 一致，一个专门的密码同步软件查看本地密码与 domain 是否一致。
之前我测试过 mac 加 domain，体验基本不可用。

首先，为什么加域呢？现在趋势是云化服务和管理，尽量避免终端机的管理，通过降低人工和本地服务器服务等，极大降低 TCO，并释放生产力。

我们这里，全市 230 个地点，保守说：Win 2 万多台，Mac 1 万多台。从 Windows 域向云转化中，现在的域除了登录认证外，几乎没有太大意义了。当然即便是完全迁移到 Azure 后，也有域概念。

具体操作 Mac 加入域，如果是使用 AD 域账户登录，一定开启移动账户。加入域的操作：
- GUI：参考 Directory Utility （目录实用工具） app
- 命令行：参考 dsconfigad
- 描述文件绑定：参考 configuration profile
最好是先用 GUI 调试成功后，再调试命令行。Mac 加入域后，Mac 与域服务器的通信似乎比 Win 要多很多，所以可能要增加域服务器。

另外，Windows 域与 Mac 的 LDAPv3 在账户属性定义可能不一样的，要不通过映射，要不修改 AD 域以做应对，参考 Apple 的 Directory Utility User Guide （ https://support.apple.com/zh-cn/guide/directory-utility/diru39a25fa2/mac ）

还有另外一种方式，不在系统级别加入域，Mac 用户使用自己的账户登录后，使用如 NoMad 来连接 AD 域。

如果需要最大限度的管理，最好创建一个统一的本地管理员账户，其它的都是普通用户账户。

目前来说，Mac 我们用 MDM 管理，设备都是“DEP (设备注册计划)”的，后期使用 MDM 部署管理和 app 分发等。Apple 的 DEP 和 ABM 、ASM 配合 MDM，就是它的云服务构架，基本无需考虑加 AD 域的烦恼了。

坑：
* 加域后，别把域服务共享等等一股脑的都设定好，登录时会很慢，也不利于移动办公；应该是只实现登录认证，域服务等，等登录完成后，给用户自己需要时再连接
* Mac 管理员：如果不会 Mac 脚本，基本的 bash，或者 Python/go 等，基本上很局限了，就如同少了一条腿。不过随着 Apple 逐步完善它的 MDM API，可能将来可以完全免除脚本亦不一定。
* 最好入 DEP + ABM/ASM + MDM，这个比较符合现代趋势，完整的管理链，但是要是用好的 MDM 系统，比较费银子。
* 辅助以 Apple Remote Desktop，远程管理、协助、排错、简单部署等。那么，就需要客户端的本地管理员账户，这个可以通过 MDM 部署，但是不是所有的 MDM 可以做。
* Mac 与域之间的通讯比 Win 之间多多了，这是我们的最初的教训，所以，尽量减少与域的直接通讯。
* 别想着用微软的管理工具（比如 SCCM 等）替代 Apple 的 MDM 系统，至少目前为止是这样的。
* 如果管理公司的设备，那么只给用户普通用户，不要给管理员，否则基本就是废了。个人设备，使用自愿加入 MDM 的方式比较合理。

加域后的坑：
* 账户密码同步问题：域用户密码被在 Mac 之外的地方，用户登录后钥匙串密码同步的问题，要有机制。
* 本地加密：打开文件保险箱（ FileVault ），这个又是一个坑，综合上面的密码同步问题，要有机制，同步 FileVault 登录密码和用户真实密码，否则随着密码的变换，以后会越来越乱，或者甚至是失去了 FileVault 的目的了。当然，同步加密密钥也是一个 challenge 。
* 是否开启移动账户，取决于这个 Mac 是否需要离网登录操作。
* 开启 Mac 的硬件锁，锁密码的发布，我们使用 MDM 系统，以前使用安装包（本质是脚本）
* 管理员另一个基本技能是：手动软件重新打包以及纯管理安装包，这个是以脚本编写为基础的

感谢各位，我理解下。