当今组织的环境可能包含了 Mac 和 Windows PC,并且使它们配合工作变得容易多了。以前的情况并不如此。1995 年,我开始在北卡罗来纳州罗利市的一家小型的 ISP 和服务机构工作,里面大多数员工都使用 Mac,只有少数运行 Windows。在我 1996 年离职之前,才真正实现少量互操作性。
当时,在网络方面,Mac 依赖 AppleTalk,而 Windows 使用 TCP/IP 作为它的默认协议(Apple 刚开始尝试 TCP/IP)。另外,Mac 有专有文件共享机制,而 Windows 则使用将被称为服务器消息块 (SMB) 的协议。二者不兼容,以致于我们不得不将它们隔离在单独的网络中,主要是由于 AppleTalk 的通信能力。
现在时代已经变了,您不仅可以把 Mac 放入 Windows 网络基础结构中,还可以集成一些操作系统服务。本期 Don Jones 的文章介绍将 Mac 和 Windows 联网。我将重点介绍如何使两类系统实现互操作。
Mac 与 Windows 计算机之间的互操作性需要处理软件和实现企业所需功能的操作系统服务。它还假定硬件属于基本级别,以真正实现互操作性,并往往以虚拟化充当两种平台之间的桥梁。Mac 从 AppleTalk 移动到 TCP/IP 对于实现与 Windows 的互操作性来说极其重要。您稍后还将了解到,移动到基于 Intel 的体系结构至少也同样重要。
Active Directory
是的,没错。请看图 1,您会看到我在家里面安装的测试 Active Directory 域,而 iMac 是成员之一。
图 1 包含 Mac 的 Active Directory 域(单击图像可查看大图)
自 OS X 首度推出以来,ISV 就构建了在某种程度上可将 Mac 集成到 Active Directory 的工具(或是相反地,甚至允许您将组策略推送到 Mac 客户端)。2007 年发布的 OS X 10.5(“Leopard”)直接集成部分支持,允许您将 Mac 轻松加入 Windows Active Directory 域。
Mac 在其自己的环境中使用 Apple 的 LDAP 目录,即 Open Directory。虽然 Open Directory 和 Active Directory 使用的架构不同,但 Mac 能够加入目录意味着您可以开始集中管理它们。您很可能采用 Active Directory 基础结构,并且不用费多少功夫,就能够将 Mac 集成到 Active Directory 中。
若要在不使用第三方工具的情况下将 Mac 集成到 Active Directory 中,您必须拥有运行 Mac OS X 10.5 或更高版本并以 Intel 或 PowerPC 为基础的 Mac。启动系统并登录之后,打开 Applications 文件夹,并浏览至 Utilities 文件夹。您在该处会找到一个命名很符合逻辑的实用程序,名为 Directory Utility,直接启动它。如果您的 Mac 已经具有相关的 Open Directory 关系,将会在此处显示。否则,您将看到类似于图 2 所示的结果。
图 2 Mac 的 Directory Utility(单击图像可查看大图)
首先将左下角的锁解除锁定,然后提供您的管理凭据。然后单击 + 符号添加目录。对话框打开时,选择 Active Directory,您将看到图 3 中的对话框。
图 3 添加 Active Directory 目录(单击图像可查看大图)
这与将 Windows 系统加入 Active Directory 的体验并没有太大不同,只不过它全都出现在同一页上,而且似乎不接受旧式凭据 (domain\user)。凭据必须以较新的 user@domain.tld 形式提供。加入之后,即可看到 Directory Utility 中列出的目录(见图 4)。请注意,如果您只加入几台计算机,或想要使用 GUI,Directory Utility 是迅速完成这项任务的方法。若是您想要从脚本加入若干台计算机,或更加熟悉 Terminal(Mac 命令 shell),也可以运行 dsconfigad,如下所示(都在同一行键入):
图 4 Mac 上的 Active Directory(单击图像可查看大图)
请注意,如果打算将 Mac 同时加入到 Active Directory 和 Open Directory 中,则建议每次都先将它加入到 Active Directory 中,再加入到 Open Directory 中。
现在已将系统加入到 Active Directory,然后能做什么?唯一提供对 Exchange 的本机邮件和日历访问的 Mac 电子邮件客户端,即 Microsoft Entourage,在枚举目录属性的功能上,并不如 Microsoft Outlook 丰富。所以除了提供管理功能之外,Directory Utility(也可以在 /Applications/Utilities 文件夹中找到)还允许您查看用户、组及更多的目录属性(见图 5)。
图 5 Directory Utility 允许您查看用户和组的属性(单击图像可查看大图)
如前所述,有些应用程序可帮助您从 Active Directory,甚至是从组策略本身来管理 Mac 系统 — 管理时几乎是把 Mac 当成 Windows 系统。请看一看 ADmitMac 或 Centrify DirectControl 等应用程序,这些不过是当中的几个例子。
Exchange
多年来,要将 Mac 连接到 Exchange,意味着需要 Mac 用户使用 POP3/SMTP 或 Internet 消息访问协议 (IMAP) 来访问 Exchange,或只是使用 Outlook Web Access。不过,所有这些一点都比不上完整的 Exchange/Outlook 体验。
适用于 Mac 的 Microsoft Office 2004 和 2008 版都通过 Entourage(与 Mac OS X Mail 一样,但缺乏本机的日历功能)提供全面的 Exchange 支持。虽然不能得到 Active Directory 与通讯簿全面集成的丰富功能,但您所享有的推送电子邮件体验(还有会议请求、联系人和日历)要比使用 Internet 协议访问 Exchange 更加完善。Entourage 支持所有最新版本的 Microsoft Exchange。
请注意,Apple 的默认 Web 浏览器 Safari,在通过 Web 连接到 Exchange 时只支持 Outlook Web Access Light。(Internet Explorer 是唯一支持完整 Outlook Web Access 功能的浏览器)。
网络访问保护
如果您使用的是 Windows Server 2008,并且正在部署网络访问保护 (NAP),不妨留意一下 Microsoft 已将它的 NAP 体系结构授权给 UNet 和 Avenda 两家供应商,为 Mac(以及 Linux)构建客户端。
OCS 和 Messenger
随着 Messenger for Mac 7 应用程序最新版本(对最初随适用于 Mac 的 Microsoft Office 2008 版发布的版本的更新)的发行,它也提供了对其他 MSN Messenger/Live Messenger 用户的支持。在 Windows 组织中同样重要的是,它现在支持对企业实施的 Office Communications Server (OCS) 的访问。图 6 中的屏幕快照显示 Messenger“帐户”的“公司”区域,您可在此处指定用于连接到 OCS 的信息。
图 6 您可以指定用于将 Messenger 连接到 OCS 的信息(单击图像可查看大图)
连接回 Windows
Microsoft 提供适用于 Macintosh 的 Remote Desktop 客户端版本已有一段时间。Microsoft 在去年发布了非常不错的新版本 Remote Desktop Connection Client 2(今年进行了更新),可允许 Mac 连接回 Windows — 甚至是连接回 Windows Vista 或 Windows Server 2008 系统。图 7 显示适用于 Mac 的 Remote Desktop。此版本支持驱动器、打印机和音频重定向,但缺乏其他设备重定向。它还添加了同时建立多个连接的功能。
图 7 将 Mac 连接到 Windows(单击图像可查看大图)
信息权限管理
正如我在 2008 年 11 月的“桌面文件”专栏中提到的,Microsoft 现在并不支持从 Microsoft Office for Mac 2004 或 2008 中访问信息权限管理 (IRM) 保护的文档(请参阅“无法在 Office for Macintosh 上打开 IRM 保护的文档”)。这些版本可以打开 Office Open XML 文档 — 2008 版提供本机支持,而 2004 版则在安装最新更新和格式转换器之后提供本机支持。但是两个版本都无法直接打开受 IRM 保护的文档,而 Mac 自身也不具备任何方法与受 IRM 保护的电子邮件交互。
如果 Mac 用户需要能够访问受 IRM 保护的内容,最快速的方法是使用适用于 Mac 的一种虚拟化技术,并运行加入域的 Windows 实例,这允许管理并方便与 IRM 集成。Windows 系统将被配备企业授权的 Office 2003 或 Office 2007 副本,并配置为与 IRM 配合使用。
此解决方案带来的唯一复杂性是,您现在除了 Mac 之外还要管理另一个 Windows 系统。当然,这是虚拟化这把双刃剑的效果之一,即如果不妥善管理,Windows 安装可能会传播出去。此外,还必须学习在 Windows 和 Mac 上使用 Office,这也是潜在的挑战。
除了虚拟化之外,唯一的替代方法对最终用户来说更困难,需要安装另一个 Windows。您可以使用 Boot Camp 卷,在上面安装 Windows 并依照上述方式来配置,但直接在 Mac 上的 Boot Camp 卷中运行(稍后会详细讨论 Boot Camp)。让我们简单了解一下 Mac 上的 Boot Camp 和虚拟化。讨论 Boot Camp 和虚拟化的前提是使用基于 Intel 的 Macintosh。旧式基于 PowerPC 的 Mac 只能通过软件仿真产品(例如 Microsoft Virtual PC)提供仿真,而不能提供真正的虚拟化。
共同的平台
几年前,Apple 从基于 PowerPC 的体系结构移动到 Intel x86,从而使商用硬件可以在降低平台成本的同时提高性能。对有些人来说也同样重要的是,Mac 现在有了与 Windows 共同的平台,不过 Mac 使用的是可扩展固件接口 (EFI) 而不是 BIOS。而且它们使用 GUID 分区表 (GPT) 分区类型,而不是 32 和 64 位 Windows 所使用的主引导记录 (MBR) 分区类型。
Apple 所出售的第一批系统全都是单核,而且仅限 x86。如今出售的所有 Mac 系统则都具备 x64 处理能力,而且有双核处理器 — 在使用虚拟化软件时提供非常令人满意的体验,在本地通过 Boot Camp 运行 Windows XP 或带有 Aero 的 Windows Vista 时提供绝佳的体验。
通过使用 EFI 和 GPT(顺便提一下,这两者大体上都是由 Intel 设计而成,并且由 Intel Itanium 64 位处理器体系结构所采用),Apple 在很大程度上避免了 BIOS 体系结构所拥有的传统复杂性,并且实现了比 Windows 更灵活的磁盘分区方案。MBR 磁盘在创建卷的数量、类型和大小限制方面有许多限制。GPT 则经过专门设计,消除了这些限制。
由于移动到了 x86 体系结构,围绕使 Mac OS 运行 Windows XP 的编程社区有所发展。为实现此目的而出现的复杂性相当明显,因为 32 位 Windows 既不支持 EFI 也不支持 GPT。Apple 创建了一个简单的实用程序,称为 Boot Camp,最初可以下载试用,现在则专门包含在 Mac OS X 10.5 中。通过提供 BIOS 仿真以及极具创意的“覆盖”分区格式(通过这种格式磁盘使用匹配的 MBR 和 GPT 分区条目进行分区),Windows 能从自己的卷上引导,而 Mac 继续留在自己的卷上。
Boot Camp 非常容易使用;它可即时地将磁盘重新分区,并帮助安装 Windows。Boot Camp 的唯一缺点是,您必须将 Mac 重新引导到 Windows,然后再次重新引导以返回 Mac,才能切换操作系统环境。简言之,它的效果不错 — 特别是对《TechNet 杂志》读者之类的技术爱好者(不过我得坦白说,实际过程太不方面,我不太喜欢)。
如果用户有个应用程序需要访问计算机的实际硬件(例如占用大量图形资源的应用程序或是通过 FireWire 连接的外围设备),那么 Boot Camp 可能正是他所需的。但虚拟化可提供几乎相同的体验,不过有一些限制。Boot Camp 最大的问题可能在于它们的本机配置,Windows 无法访问 Mac HFS+ 格式的卷,而 Macs 无法写入(虽然可以读取)NTFS 格式的卷。
我想花点时间来介绍一下两个免费的实用程序和一个商业产品,它们可使 Boot Camp 使用起来甚至更加容易。免费的rEFIt 实用程序允许您使用 Mac 并创建比 BootCamp 单个卷方案更加灵活的引导配置(通过 Boot Camp 只能安装一个 Windows 实例)。使用 rEFIt,我可以在 Macintosh 上实现三重引导:Mac OS X(首先安装)、Windows XP(使用 Boot Camp 安装),以及 Windows Vista Ultimate(使用 rEFIt 安装)。使用 rEFIt 时需谨慎(请阅读相关文档)— 此工具非常强大,如果使用不当,可能会破坏系统。
另一个免费的工具是 NTFS-3G 实用程序,不仅允许 Mac OS X 读取,也允许写入 NTFS 格式的卷。最后,据我所知,MacDrive 7($49.95/系统)是使 Boot Camp 引导的 Windows 卷读取并写入 Mac OS X HFS+ 格式的卷的唯一方法。
虚拟化
虽然 Connectix(将仿真和虚拟化工具出售给 Microsoft 的公司),为 Mac 开发了 Virtual PC 产品,但这个产品其实是仿真产品,而非虚拟化产品。实际上,它在基于 PowerPC 的计算机模拟 x86 指令集。结果虽然可行,但速度并不能满足日常需要。现在,Microsoft 的 Virtual PC 产品仅适用于基于 PowerPC 的旧版 Mac。但自从 Apple 顺应潮流而转移到 x86 体系结构以来,已为 Mac 提供了至少三个完全不同的虚拟化产品。有些甚至还提供 GPU 仿真,允许更多占用大量图形资源的应用程序(或者更确切地说是游戏)在 Mac 上运行 — 并且性能与在物理硬件上运行时相同或接近。
主要的 Mac 虚拟化产品是 VMware Fusion 和 Parallels Desktop for Mac。这两种产品除了允许您通过 Boot Camp 引导之外,实际上还允许您引导相同的 Boot Camp 分区(同时具备了二者的优点),并实现了“透明”模式,在这种模式下,在 Windows 虚拟机上运行的应用程序实际上看起来就像直接在 Mac 上运行一样。它们还支持在 Mac 和 Windows 虚拟机之间拖放。
请注意,虚拟化 IRM 客户端有可能避开 IRM 保护 — 对在 Mac 上运行的 Windows VM 执行屏幕捕获相对来说比较容易。不过,正如我在 2008 年 11 月“桌面文件”专栏中提到的,IRM 只有在您遇到“模拟漏洞”之后才发挥作用,恶意用户从虚拟机上很容易办到,这一点需要注意。
当然,如果您可以为 Mac(或任何其他平台)用户提供与 Windows 用户相同的易用性体验,就再好不过了。但是有些工具(如 IRM、SQL Server 应用程序或 Microsoft .NET 应用程序)无法本机运行,必须从以虚拟化形式或在 Boot Camp(或二者)下运行的 Windows 安装中才能使用。并且任何需要高端 GPU 或 DirectX 10 的应用程序都必须借助通过 Boot Camp 运行的 Windows 安装才能运行。当您有需要使用 Mac 的用户时,虚拟化为仅能用于 Windows 的应用程序提供了最佳的桥梁。
总结
现在,随着移动到基于 Intel x86 的体系结构,能够在本机使用的大量应用程序以及强大虚拟化/本机引导解决方案的推出,实现 Mac/Windows 平台的互操作比以往更加容易。对于组织中的 Mac 用户,需要隔离在单独的网络中,无法简单地与 Windows 计算机共享文件都以成为过去。
dsconfigad –f –a computername –domain yourforest .yourdomain.tld –u domainaccount –p domainpassword –lu localadminaccount –lp localadminpassword
文章出处:TechNet中文网
【编辑推荐】
【责任编辑:张浩 TEL:(010)68476606】