mac电脑不再被边缘化,正迅速成为当今商业组织不可或缺的一部分。因此,IT部门再也不能依靠一两个专门的“Mac人”来维持自己的Mac机队。相反,Mac管理已经成为任何CIO或系统管理员在任何一天都可能面临的问题。
与此同时,管理mac的工具和技术也发生了变化。超出了他们的推传统的商业领域,Mac无法再独立于其他流程和基础架构进行管理。它们必须与现有的目录服务集成。它们需要一个高效、可扩展的部署模型,该模型与资产管理挂钩。它们需要安全、可审核的补丁管理,以及一个设备和用户管理解决方案,以保护每个Mac核心操作系统组件和应用程序的安全。
[有关管理Mac机群的免费工具的概述,请参见“为IT管理员的22个必不可少的Mac工具“|看到。InfoWorld的Mac OS X Lion前20大功能幻灯片之旅用我们的来测试你的苹果智慧苹果智商测试:第二轮.|跟上带有关键的Apple Technologies技术:苹果通讯.]
换句话说,mac接受的要求与你公司的每一台Windows PC以及越来越多的移动设备的要求相同。本Mac管理指南将帮助您将现有的支持策略扩展到Mac工作站,并提供在Mac在您的业务环境中变得越来越普遍时使用Mac的技巧和技术。
活动目录:现代Mac管理的中心
与Active Directory的集成是现代企业中Mac管理的基础,因为Active Directory中的ou(组织单位)可以作为几乎任何企业任务的骨干,从访问资源到设置组策略,再到发布更新和监视工作站。通过Active Directory, mac可以访问各种Windows Server工具和第三方解决方案,通过关闭Active Directory来确定给定任务要影响哪些对象。
在仅使用mac的环境中,苹果自己的目录服务Open directory扮演着这个角色。但随着活动目录在今天的企业中根深蒂固,扩展活动目录成为你的Mac机群的中心目录服务是你最好的选择。幸运的是,苹果和第三方开发人员已经让Active Directory在mac电脑上执行许多它在Windows客户端上执行的功能,无论是直接还是间接的。
苹果的OS X目录服务支持是围绕LDAP构建的,包括一个插件架构。该公司提供了一组插件,支持Open Directory、Active Directory和通用LDAP服务。然而,对于企业来说,这种方法的最大优势在于,它允许第三方创建额外的插件,提供比苹果每个OS X版本所包含的更强大的功能。
苹果的Active Directory插件已经稳步升级五代人前推出的OS X,OS X Lion最显著的改进是支持DFS浏览. 尽管如此,苹果对Active Directory的支持也有其局限性,因为它主要是为了提供身份验证,而它本身几乎不提供任何客户端管理功能。
加入Active Directory的Mac将拥有一个计算机帐户,您可以像任何PC一样限制对该Mac的访问。您还可以授予某些广告组的成员,例如各种管理员组、本地管理员权限。除此之外,唯一的管理功能还与用户凭据和主目录项是否缓存在Mac笔记本电脑上有关,以便用户可以在离开网络时登录,并在返回时自动同步。
苹果的一些版本的Active Directory插件在某些Active Directory环境中已经证明存在问题。由于Active Directory的可伸缩性和灵活性,排除这些问题可能是一项繁重的工作。早期版本的Lion显示了活动目录的问题,尽管10.7.2更新似乎解决了大部分问题.
利用Active Directory进行Mac客户端管理
苹果传统上依赖于客户端管理的托管首选项.托管首选项通常缩写为MCX,其作用类似于Active Directory组策略,为配置完整的用户环境提供了强大的粒度系统,包括系统设置和应用程序首选项。与组策略一样,托管首选项也可用于限制对应用程序和系统组件的访问。
托管首选项作为LDAP对象和属性存储在目录系统中。任何LDAP架构,包括Active Directory,都可以扩展为支持托管首选项,而不必依赖苹果的OS X服务器和Open Directory通过托管首选项提供客户端管理。
在Active Directory环境中实现托管首选项有三种主要方法:
扩展活动目录架构:使用Microsoft的活动目录架构分析器,您可以扫描Apple的Open Directory模式,并创建LDIF文件,该文件可以使用支持Managed Preferences数据所需的所有对象数据扩展Active Directory模式。然后,您可以使用苹果的工作组管理器(作为OS X服务器管理工具包的一部分免费提供)来填充和操作这些数据——指向运行在OS X服务器上的Active Directory域控制器,而不是Open Directory服务器。Workgroup Manager还可以为Active Directory执行少量用户管理任务,不过首选(且更安全)的选项是仅将其用于客户端管理。
OS X服务器和增强记录:通过Leopard和Leopard服务器,苹果引入了所谓的增强记录。在这种方法中,OS X Server被安装并配置为连接到现有目录,通常是Active directory。一旦加入到Active Directory, Mac服务器就会将用户数据和组从主目录导入到它维护的从目录。连接到从目录的Mac客户端依赖主目录进行身份验证、单点登录和访问网络资源,Mac服务器将属性附加到主目录的记录中,提供客户端管理和Mac相关的服务。尽管这种方法很有效,但它更适合大型组织中孤立的基于mac的部门,因为它的伸缩性不好,并且将管理限制在OS X Server的简化管理工具集上。
魔术三角:这个选项也需要OS X服务器。但是,在本例中,服务器托管一个完整的从目录系统,该系统通过使用Open directory复制进行扩展。服务器连接到Active Directory,客户端连接到Open Directory和Active Directory。在从目录中创建特定于Mac系统和用户的组,然后用Active directory用户填充。托管首选项使用这些组进行设置。这种解决方案通常使用OS X Server的高级管理工具实现,比使用增强记录更具可伸缩性。然而,这种可伸缩性仅限于Open Directory的复制参数,这些参数适用于大多数环境,但不能与Active Directory的复制参数相比。
使用Lion服务器的配置文件管理器进行基于设备的管理
通过Lion Server,苹果推出了配置文件管理器,一个独立于托管首选项的目录替代方案。Profile Manager的客户管理解决方案少于客户管理解决方案,提供管理MAC工作站和IOS设备的能力。但是,与托管首选项相反,Profile Manager是专注于设备的。这使其能够注册设备(iPhone,iPad,Mac)并将策略应用于它们,但这些策略不会根据用户帐户或组成员资格应用 - 只是设备。
由于是以设备为中心的,配置文件管理器不允许任何接近托管首选项或第三方解决方案粒度的地方。它仅仅涵盖了客户端管理的核心需求,并允许用户通过支持SCEP的基于web的界面进行自登记。当政策更新时,苹果的推送通知系统会提醒注册设备下载更新。这种组合使得配置文件管理器值得考虑作为BYOD计划的一部分,特别是如果你也将支持员工的iOS设备。
配置文件管理器很容易实现。不需要担心模式扩展或多个目录。如果您的组织需要苹果的Active Directory插件提供的集成之外的最低限度的Mac管理,配置文件管理器可能值得一看。请记住,配置文件管理器需要Lion服务器,它只支持运行Lion的mac。可伸缩性是Web服务器实现的一个因素,可以使用多个Profile Manager服务器来分配负载。随着苹果取消1U机架式Xserve硬件去年秋天,确保一个可扩展的解决方案可能很困难,这限制了Profile Manager在许多(但不是所有)环境中的功能。
单片成像vs.基于包的Mac部署
与Windows PC一样,推出和更新Mac工作站有两种核心方法。第一种方法是将系统快照捕获到磁盘映像文件中,然后通过网络或连接的驱动器将该映像推送到每个工作站。这种单片成像方法的优点是,一旦机器部署了映像,所有软件都会安装,所有配置都会预设。
另一种选择是基于包的。您从一个基本系统(苹果的库存系统或最低配置的系统映像)开始,然后在此之后部署额外的软件或配置文件。在部署具有各种应用程序和配置需求的mac时,这种方法非常有利,因为它消除了维护大量映像的需要。它还允许您简单地将包添加到安装工作流中,而不必编辑或重新创建您的原始系统映像。
在单片成像方面,Mac电脑比基于Windows的PC电脑有一个明显的优势:因为苹果同时生产操作系统和硬件,所以OSX具有高度的可移植性。一个映像可以推广到各种Mac电脑上,并且功能完善,无需进一步调整,前提是该映像中的硬件不会比OSX版本更新太多。
包安装和补丁管理
OSX依赖于特定的文件类型来安装软件和更新,很像微软的.msi格式。这些包(.pkg)或元包(.mpkg)文件由OS X安装程序服务读取,该服务将捆绑的可执行文件和支持文件安装在requeste文件系统目录中,通常为/Library或/system/Library。在Mac上打开包文件时,可以手动执行此操作,也可以在无人值守的情况下或在后台使用各种工具执行此操作。
当然,有些应用程序是在不使用包文件的情况下安装的。这些应用程序通常不需要支持文件,或者在首次启动时创建支持文件。因此,只需将它们复制到Mac的“应用程序”文件夹或用户主目录中的“应用程序”文件夹,即可安装它们,以限制仅该用户的访问权限。
其他应用程序,尤其是来自Adobe的软件,可能会使用专有安装程序。对于这些情况,如果需要,可以使用包文件工具在安装之前和之后拍摄快照,为应用程序创建适当的包文件。您还可以在单片映像中包含此类文件,或者使用支持专有格式的部署工具。
注意,包文件可以只包含文件而不包含实际的应用程序。这使得它们成为将更新后的配置文件或文档大规模部署到特定文件系统位置的理想方法。
苹果的部署和补丁管理工具
苹果提供了许多部署和安装工具。这些包括磁盘实用工具用于创建系统映像和Apple软件还原,用于在本地部署映像或使用单播或多播网络连接。包装商,作为苹果开发工具的一部分,可以用来构建包文件,并编写安装命令来在后台安装包文件,甚至通过SSH。所有这些功能都是免费的。(有关这些工具和其他免费的Mac管理工具的概述,请参见“为IT管理员的22个必不可少的Mac工具.")
就苹果提供的商业工具而言,OSX服务器NetBoot, NetInstall和NetRestore可用于简化单片映像部署,使您能够设置基于网络的部署操作,以安装各种特定的包文件。这个选项允许您将少量的基本映像与特定的软件包组合起来,在部署期间自动定制您的Mac机群。NetInstall甚至可以配置为推出非系统包集合。