OS X Mavericks Server使用教程:用户与群组

译文
系统 MacOS 新闻
用户与用户群组一直以来都由名为“工作组管理器”的服务器管理工具负责配置,现在该工具也依然存在;工作组管理器并不归属于Mavericks,用户需要单独进行下载;本文详解了OS X Mavericks Server中,用户和群组相关配置技巧。

【2014年1月15日 51CTO外电头条】用户与用户群组一直以来都由名为“工作组管理器”的服务器管理工具负责配置,现在该工具也依然存在;如果大家不喜欢Server.app中的控制机制的话,可以随意使用前者。工作组管理器并不归属于Mavericks,用户需要单独进行下载;不过Server.app中的用户与群组单元也已经经过调整,其中保留了大部分早期版本所提供的重要选项。

创建一个新的Open Directory用户。

Open Directory服务器中存在着三种不同类型的用户:本地用户账户只能登录到服务器本身、网络用户账户能够登录到目录当中的计算机并使用服务器上的服务、而网络服务账户只能被用于访问服务。大家可以在"用户"条目下查看、创建并编辑各种用户类型。

在创建网络用户时,我们必须为其设置一个完整名称、一个简短名称和一个密码,另外大家也可以为其输入一个电子邮箱地址。联系人服务会从Open Directory当中提取内容以填写名称与邮箱地址,因此也务必保证大家输入的信息准确无误且没有纰漏。我们可以在Home Folder下拉菜单中选择该账户的类型,即标准网络账户或者是服务账户。

如果大家设置了一个共享文件来保存File Sharing服务中的用户Home文件夹,那么也可以选择是否让自己的网络用户在登录使用的Mac设备上保存自己的配置文件、或者将他们的配置文件保存在服务器端。后一种选择相当于苹果版本的微软Roaming Profiles。由于存在网络延迟,登录以及文件处理速度可能要慢一些,但所有用户文件以及设置都将可以在用户登录的任何当前计算机上使用,从而显著提高便利性。

利用Disk Quota字段,我们可以限制用户配置文件可以使用的服务器存储空间。需要指出的是,这一分配数量并不适用于全部服务--邮件账户拥有自己的分配空间,Time Machine备份机制也是(这是一项新功能,我们将在后文中详加描述)。

创建完成之后,大家可以在自己的服务器上管理用户对个别服务的访问--举例来说,允许用户使用邮件、但不允许其使用Time Machine或者VPN。在Users面板下,大家还可以设定密码策略(其中包括密码的最小长度以及有效日期范围);如果大家不允许用户在服务器上访问他们自己的邮件账户,则可以通过Edit Mail Options字段设置邮件转发所指向的个别账户。

与个别管理相比、利用Groups管理大量用户能够显著提高工作效率。

如果大家拥有大量用户需要管理,则可以对其进行分组并进行设置管理,这样能够显著提高工作效率。尽管大家无法为分组设定磁盘配额以及主目录,但仍然可以允许或者阻止群组对服务的访问并为各个群组提供独立的文件共享、维基页面以及群组邮件列表。除此之外,如果该服务已经启用、大家还可以自动将群组成员绑定在Messages应用程序当中。

与Active Directory进行比照

与完全成熟的Active Directory相比,Open Directory在配置流程上无疑更为简单。在Server.app当中进行用户及群组配置的难度与早先的Workgroup Manager相比同样简单得多--而且这一变更自美洲狮版本以来就被固定了下来。对于家用或者小型Mac业务环境来说,更低的配置难度必然大大缓和了入门门槛,而且我们可以在无需投入太多时间的前提下建立目录并将其投付运行。

不过这种简便性是以牺牲功能性为代价的。值得注意的是,Open Directory缺少Avtice Directory所具备的任何一种软件安装功能。管理员们必须依赖于苹果远程桌面或者第三方产品(例如Casper Suite)才能实现第三方应用程序的安装与补丁更新。

另一项功能缺失(自从雪豹版本以来始终缺失)在于无法将Windows计算机绑定到Open Directory服务器当中。为了正常打理Windows及OS X计算机所构成的网络体系,苹果现在建议服务器管理员将Mac设备同时绑定在Active Directory服务器与Open Directory服务器上,这套名为"magic triangle"的配置会利用Active Directory服务器处理Windows计算机的验证与设置、外加Mac设备的验证任务,同时Open Directory服务器则负责控制Mac设备的设置内容。这样严重的功能缺失确实非同小可,虽然事实上很多企业长久以来并未注意到。Active Directory在企业中几乎可以说无所不在,因此OS X Server一般只需要有能力与现有目录进行整合即可、而并不必取而代之。

  配置文件管理器(Profile Manager

在介绍完了Open Directory之后,Profile Manager堪称OS X Server当中最值得关注的主要服务。在它的帮助下,我们可以创建配置文件并将其传播到自己的Mac及iOS设备上,从而自动配置系统中的几乎一切项目--从电子邮箱账户到密码要求再到Dock图标几乎无所不包。一旦客户端安装了我们提供的配置文件之一,大家就可以凭借Push Notification通知机制(前提是在服务器上启用该机制)自动发布设置更新。

配置文件的创建形式为.mobileconfig,大家可能已经注意到了,这种形式与由iPhone Configuration Utility以及苹果Configurator所创建的配置文件完全相同,只不过前者也能用于管理Mac设备。在大家启用了Profile Manager之后,请打开Device Management并输入需要的设置--包括组织名称、电子邮件地址以及SSL证书--而后就可以动手进行设备管理了。

在默认状态下,配置文件被称为"Settings for Everyone",而且可以通过基于Web的Profile Manager门户进行配置或者替换。对于那些已经经过配置的服务--例如邮件、VPN、日历等等--检查"Include configuration for services"对话框能够非常方便地确保所有与网络相连接的用户都可以访问这些服务。如果大家需要更多细化而具体的选项,则点击Server.app中的Open Profile Manager链接、或者是在我们使用的浏览器中输入/profilemanager加以访问。

Profile Manager的配置文件能够被发布到用户、用户组、设备以及设备组当中。上图所示为常用的"Settings for Everone"配置文件,而Profile Manager可以作为很好的功能性补充。

在Profile Manager之下,大家可以查看之前在Open Directory当中已经创建完成的所有用户以及群组。我们也可以查看针对设备及设备组的输入字段区,不过目前其中还没有显示内容。为了使其正常进行显示,我们需要通过导航访问Profile Manager登录页面,并在/myprofies目录下查看所有需要管理的设备。iPhone、iPad、iPod Touch以及运行着OS X 10.7、10.8或者10.9版本的Mac设备都包含其中,并且能够通过几乎相同的方式实现管理。其它早期版本的OS X设备不支持Profile Manager,但仍然可以利用Workgroup Manager实现管理,这一旧有机制我们就不再详加论述了。

Profile Manager当中包含的iOS及Mac设备远程锁定与清除功能同样可以通过iCloud以及Exchange服务器来实现,然而如果大家没有Exchange服务器、又不信任用户随意打理iCloud,那情况就比较悲剧了。

在我们利用网络用户账户进行登录之后,大家会看到一个巨大的蓝色按钮、用于进行设备注册。注册完成之后,接下来要面对的就是我们的管理员Profile Manager界面,在这里大家可以查看、编辑并推送新设置--随心所欲进行管理吧。如果大家使用的是自签名SSL证书,那么可能还需要在向设备上安装配置文件之前、首先在Profiles选项卡中为企业安装Trust Profile。请注意,设置当中包含这样一项配置文件控制选项--是否允许用户事后将配置文件从设备内移除。如果大家不希望用户移除我们推送的配置文件并由此引发潜在安全违规情况,请确保这一选项得到正确处理。

在设备注册完毕后,管理员可以对其进行查看、锁定或者内容清除,并且通过将设备整理分组以简化管理流程。具体硬件信息当中包括MAC地址、UDID、IMEI码以及特定机型与软件信息,这些内容都被保存在服务器当中--对于iOS设备来说,大家甚至可以查看最后一次登录时的电池电量。对于管理员们来说,这是一款在追踪硬件状态方面异常强大的工具。用户也能够通过它实现设备锁定与内容清除,而且完全无需管理员的介入或者干预。

Mavericks版本还为我们带来几种新的附加应用程序发布选项。值得注意的是,现在大家可以将通过苹果批量采购计划(即Volume Purchase Program)所获得的应用及媒体向用户发布、旨在满足企业以及教育机构的实际需求。这样的设定相信也是为了顺应苹果向教科书市场进军的新一轮趋势。批量采购计划还可以被用于向企业交付并未公开在App Store开放下载的定制化应用程序,而Profile Manager也将通过iOS开发者企业计划(即Developer Enterprise Program)实现内部开发应用的发布。

Tech Republic网站曾经详尽论述过批量采购计划的具体细节,包括如何确认申请者的实际身份、是否已经通过了批量采购应用所必需的认证等。一旦经过审核,大家就需要下载批量采购令牌并将其接入Server.app以实现采购内容管理。利用OS X Server与批量采购网站相配合,大家就可以实现自动安装、卸载应用程序并追踪其许可使用情况(MaaS360等其它移动设备管理服务也提供类似的功能)。

对多台需要共享同一套设置的设备进行分组--举例来说,将Mac设备划分在计算机标签下--能够大大简化管理流程。

几乎所有适用于iOS设置应用或者OS X系统偏好设置的项目都可以通过Profile Manager所生成的.mobileconfig文件加以控制。点击"Edit",我们会看到所有能够进行设置的具体项目,其中邮件、VPN、安全验证以及无线网络等设置内容分别适用于iOS与OS X系统,而其它一些项目则专门针对iOS(例如利用iCloud进行备份或者应用内购)或者OS X(例如Dock图标、Gatekeeper设置、远程配置文件以及打印机设置等)平台。大家也可以上传自己定制的.plist文件并将其应用至OS X计算机,从而对没有被计入Profile Manager的第三方应用进行配置;另外,我们还能够部署批量许可iOS应用。

Profile Manager对于目录管理员来说是一款强大的工具,但对在家中使用大量OS X以及iOS设备的朋友们来说同样非常实用(或者大家的孩子拥有自己的iOS设备,而我们希望通过设置对他们的使用加以限制)。大家只需要作出非常简单的判断:到底是集中式配置管理更方便、还是逐个对设备进行手动配置更简单。很明显,答案视您所持有的设备数量而定。

责任编辑:黄丹 来源: 51CTO.com
相关推荐

2014-04-17 11:15:32

2014-02-13 14:39:08

OS X ServerCaching

2014-02-09 15:12:32

OS X MaveriFTPSFTP

2014-02-19 11:00:40

Software UpOS X OS X M

2014-03-18 16:13:05

OS X MaveriMessages

2014-01-09 10:44:08

OS X MaveriServer.app

2014-03-14 10:40:52

2014-01-02 10:03:00

2014-01-21 14:50:16

OS X MaveriMac设备

2013-12-03 09:54:03

OS XOS X 10.9OS X Maveri

2013-10-31 10:00:58

OS X Maveri系统升级

2013-10-30 10:47:32

2013-11-04 09:28:58

2013-10-24 13:53:41

OS XOS X Maveri

2013-10-08 09:49:20

OS XOS X GM

2013-10-30 16:14:55

OS X MaveriWindows 8.1

2013-11-05 10:14:37

OS XOS X Maveri

2013-06-13 13:42:29

OS X苹果系统

2013-10-28 09:49:27

OS X Maveri苹果

2014-12-24 09:11:53

Mac OS X Se
点赞
收藏

51CTO技术栈公众号