mac电脑不再被边缘化,正迅速成为当今商业组织不可或缺的一部分。因此,IT部门再也不能依靠一两个专门的“Mac人”来维持自己的Mac机队。相反,Mac管理已经成为任何CIO或系统管理员在任何一天都可能面临的问题。
沿途,管理MAC的工具和技术也发生了变化。推到他们之外传统的商业领域在美国,mac不能再独立于其他进程和基础设施进行管理。它们必须与您现有的目录服务集成。它们需要一个与资产管理挂钩的高效、可扩展的部署模型。它们需要安全的、可审计的补丁管理和设备和用户管理解决方案,以确保每个Mac的核心操作系统组件和应用程序的安全。
[有关管理Mac机群的免费工具的概述,请参见“为IT管理员的22个必不可少的Mac工具“|看到。InfoWorld的幻灯片之旅的Mac OS X Lion的前20个功能并用我们的苹果聪明地测试你的苹果聪明苹果智商测试:第二轮.|跟上苹果的关键技术技术:苹果通讯.]
换句话说,Mac采用相同的要求,适用于组织中的每个Windows PC,以及越来越多的移动设备。此MAC管理指南将帮助您将现有的支持策略扩展到MAC工作站,并为拥抱MAC提供提示和技术,因为它们在您的商业环境中变得更加普遍。
活动目录:现代Mac管理的中心
与Active Directory集成是现代企业中Mac管理的基础,因为Active Directory中的OU(组织单位)可以用作几乎任何企业任务的骨干,从而可以访问资源来设置组策略以推出更新和监控工作站。通过Active Directory,MACS访问广泛的Windows Server工具和第三方解决方案,即键关闭Active Directory以确定要使用给定任务影响的对象。
在仅使用mac的环境中,苹果自己的目录服务Open directory扮演着这个角色。但随着活动目录在今天的企业中根深蒂固,扩展活动目录成为你的Mac机群的中心目录服务是你最好的选择。幸运的是,苹果和第三方开发人员已经让Active Directory在mac电脑上执行许多它在Windows客户端上执行的功能,无论是直接还是间接的。
苹果的OS X目录服务支持是围绕LDAP构建的,包括一个插件架构。该公司提供了一组插件,支持Open Directory、Active Directory和通用LDAP服务。然而,对于企业来说,这种方法的最大优势在于,它允许第三方创建额外的插件,提供比苹果每个OS X版本所包含的更强大的功能。
苹果的Active Directory插件已经稳步升级在五代OS X之前,OS X Lion最显著的改进是支持DFS浏览.也就是说,苹果的Active Directory支持有其局限性,因为它主要是为了提供身份验证,而它本身几乎没有提供客户端管理功能。
连接到Active Directory的Mac会有一个计算机帐户,你可以像限制任何PC一样限制对该Mac的访问。您还可以授予某些AD组(如各种管理组)的成员本地管理特权。除此之外,唯一的管理功能与用户凭证和主目录项是否在Mac笔记本上缓存有关,以便用户在离开网络时可以登录,并在返回时自动同步。
某些版本的Apple的Active Directory插件已在某些Active Directory环境中证明有问题。由于Active Directory的可扩展性和灵活性,故障排除这些问题可能是繁重的。狮子的早期版本与Active Directory出现问题,尽管如此10.7.2更新似乎已解决大部分.
利用活动目录进行Mac客户端管理
苹果的传统依赖用于客户端管理的托管首选项.通常缩写为MCX,托管首选项类似于Active Directory组策略,提供功能强大的粒度系统,用于配置完整的用户环境,包括系统设置和应用程序首选项。与组策略一样,托管首选项也可用于限制对应用程序和系统组件的访问。
托管首选项存储为目录系统中的LDAP对象和属性。可以扩展任何LDAP模式,包括Active Directory,以支持托管首选项,而无需依赖Apple的OS X服务器和打开目录,以通过托管首选项提供客户端管理。
在Active Directory环境中实现托管首选项有三种主要方法:
扩展活动目录架构:使用Microsoft的Active Directory架构分析器,您可以扫描Apple的Open Directory模式,并创建LDIF文件,该文件可以使用支持Managed Preferences数据所需的所有对象数据扩展Active Directory模式。然后,您可以使用苹果的工作组管理器(作为OS X服务器管理工具包的一部分免费提供)来填充和操作这些数据——指向运行在OS X服务器上的Active Directory域控制器,而不是Open Directory服务器。Workgroup Manager还可以为Active Directory执行少量用户管理任务,不过首选(且更安全)的选项是仅将其用于客户端管理。
OS X服务器和增强记录:通过Leopard和Leopard服务器,苹果引入了所谓的增强记录。在这种方法中,OS X Server被安装并配置为连接到现有目录,通常是Active directory。一旦加入到Active Directory, Mac服务器就会将用户数据和组从主目录导入到它维护的从目录。连接到从目录的Mac客户端依赖主目录进行身份验证、单点登录和访问网络资源,Mac服务器将属性附加到主目录的记录中,提供客户端管理和Mac相关的服务。尽管这种方法很有效,但它更适合大型组织中孤立的基于mac的部门,因为它的伸缩性不好,并且将管理限制在OS X Server的简化管理工具集上。
Magic Triangle:此选项还需要OS X服务器。但是,在这种情况下,服务器托管通过使用打开的目录复制来缩放的完整辅助目录系统。该服务器连接到Active Directory,并且客户端连接到两个打开的目录和Active Directory。在辅助目录中创建特定于Mac系统和用户的组,然后用Active Directory用户填充。使用这些组设置托管的首选项。此解决方案通常使用OS X Server的高级管理工具实现,比使用增强记录更可扩展。然而,这种可扩展性仅限于打开目录的复制参数,这些参数适用于大多数环境,但不适用于Active Directory的PAR。
使用Lion服务器的配置文件管理器进行基于设备的管理
通过Lion Server,苹果推出了简介经理,是托管首选项的一个独立于目录的替代方案。与其说是一个客户端管理解决方案,不如说是一个移动设备管理工具,Profile Manager提供了管理Mac工作站和iOS设备的能力。然而,与托管首选项不同,配置文件管理器是以设备为中心的。这使IT能够注册设备(iphone、ipad、mac)并对它们应用策略,但这些策略并不基于用户帐户或组成员资格应用——只是基于设备。
由于是以设备为中心的,配置文件管理器不允许任何接近托管首选项或第三方解决方案粒度的地方。它仅仅涵盖了客户端管理的核心需求,并允许用户通过支持SCEP的基于web的界面进行自登记。当政策更新时,苹果的推送通知系统会提醒注册设备下载更新。这种组合使得配置文件管理器值得考虑作为BYOD计划的一部分,特别是如果你也将支持员工的iOS设备。
配置文件管理器很容易实现。不需要担心模式扩展或多个目录。如果您的组织需要苹果的Active Directory插件提供的集成之外的最低限度的Mac管理,配置文件管理器可能值得一看。请记住,配置文件管理器需要Lion服务器,它只支持运行Lion的mac。可伸缩性是Web服务器实现的一个因素,可以使用多个Profile Manager服务器来分配负载。随着苹果取消1U机架安装的Xserve硬件去年秋天,确保一个可伸缩的解决方案可能很困难,这限制了Profile Manager在许多(但不是所有)环境中的能力。
单片成像vs.基于包的Mac部署
与Windows pc一样,Mac工作站的推出和升级有两种核心方式。第一种方法是将系统的快照捕获到磁盘映像文件,然后通过网络或本地连接的驱动器将该映像推出到每个工作站。这种单片成像方法的优点是,一旦一台机器部署了一个映像,就可以安装所有的软件,并预先设置所有的配置。
另一个选项是基于程序包。您从基本系统开始(来自Apple或最小化的系统映像的库存系统),然后在事实之后部署其他软件或配置文件。当通过各种应用和配置需求部署MAC时,这种方法是有利的,因为它消除了维持大量图像的需要。它还允许您简单地将包添加到安装工作流程,而无需编辑或重新创建原始系统映像。
在单片成像方面,mac电脑比windows电脑有一个明显的优势:因为苹果同时生产操作系统和硬件,所以OS X非常便携。只要硬件不是比图片中的OS X版本更新太多,一张图片就可以在各种mac上发布,而且不需要进一步调整就可以完美地运行。
包装安装和补丁管理
OS X依赖特定的文件类型来安装软件和更新,很像微软的。msi格式。这些package (.pkg)或metappackage (.mpkg)文件由OS X安装服务读取,该服务将打包的可执行文件和支持文件安装在requste文件系统目录下,通常是/Library或/ system /Library。这可以在Mac上打开包文件时手动发生,也可以在无人看管或使用各种工具在后台发生。
当然,有些应用程序是不使用包文件安装的。这些应用程序通常不需要支持文件,或者它们在第一次启动时就创建了支持文件。因此,只需将它们复制到Mac的Applications文件夹或用户主目录中的Applications文件夹中,就可以安装它们,以限制只对该用户进行访问。
其他应用程序,尤其是来自Adobe的软件,可能使用专有安装程序。对于这些情况,如果需要,可以使用包文件工具在安装前后拍摄快照,为应用程序创建适当的包文件。您还可以在单个映像中包含此类文件,或者使用支持专有格式的部署工具。
注意,包文件可以只包含文件而不包含实际的应用程序。这使得它们成为将更新后的配置文件或文档大规模部署到特定文件系统位置的理想方法。
苹果的部署和补丁管理工具
Apple提供了许多部署和安装工具。这些包括磁盘实用工具用于创建系统映像和Apple Software Restore,用于在本地部署映像或使用单播或多播网络连接。包制造商,可作为Apple开发人员工具的一部分可用,可用于构建包文件和代码安装程序命令,以便在后台安装包文件,即使通过SSH也可以安装包文件。所有这些功能都可以免费提供。(有关这些和其他主要免费MAC管理工具的概述,请参阅“为IT管理员的22个必不可少的Mac工具”)。
至于苹果提供的商业工具,OS X服务器NetBoot,NetInstall和NetRestore可用于简化单片图像部署,使您能够设置基于网络的部署操作,以安装各种特定的包文件。此选项允许您将具有特定包的少量基本映像组合在部署期间自动自定义Mac舰队。NetInstall甚至可以配置为推出非系统包集合。