Įvedę „Mac“ kompiuterius į esamą IT aplinką, bet kuris „Windows“ administratorius gali jaustis šiek tiek neteisingas. Kalbant apie užduotis ir nustatymus, viskas yra pažįstama, tačiau pakankamai suktai, kad iš pradžių atrodytų šiek tiek svetima. Mūsų nuolatinė „Mac“ valdymo patarimų serija yra čia, kad padėtų jums saugiai ir produktyviai įdiegti „Mac“.
Pirmoje šios serijos dalyje apžvelgiau esminius „Mac“ integravimo į įmonės aplinką reikalavimus, įskaitant tai, kaip juos prijungti prie įmonės sistemų. Apskritai, norint diegti dideles „Mac“ sistemas, norint sėkmingai naudotis, dažnai reikia unikalių įgūdžių ir įrankių rinkinio. Tas pats pasakytina ir apie valdymo politikos taikymą „Mac“ kompiuteriams, kuriuos aptariu šiame straipsnyje. Čia gausite „Mac“ politikos apžvalgą ir įžvalgas, kaip planuoti jų diegimo strategiją.
Paskutinėje serijos dalyje apžvelgsiu konkrečius įrankius, naudojamus taikant politiką, taip pat įrankius, siūlančius papildomas valdymo ir diegimo funkcijas.
„Mac“ valdymo politikos atnaujinimas
Kaip tvarkyti „Mac“, yra masto klausimas. Organizacijų, turinčių nedaug „Mac“ kompiuterių, specialistai dažnai gali konfigūruoti kiekvieną „Mac“ kompiuterį atskirai arba sukurti vieną sistemos vaizdą, taikantį vienodą konfigūraciją kiekvienam „Mac“. Didesnėse organizacijose iššūkiai yra sudėtingesni. Skirtingi vartotojai ar skyriai turės skirtingus konfigūracijos poreikius ir jiems reikės skirtingų prieigos teisių. Be to, jie dažnai turės konfigūracijos poreikių, susijusių su atskirais vartotojais ir grupėmis, taip pat poreikių, susijusių su konkrečiais „Mac“ kompiuteriais, atsižvelgiant į jų naudojimą (o kartais ir aparatinę įrangą). Dėl to rankinė konfigūracija yra tiesiog per mažai efektyvi. Čia svarbiausia automatika.
Šiuo tikslu „Apple“ siūlo daugybę politikų, kurios gali būti taikomos jūsų „Mac“ parkui, siekiant užtikrinti saugumo reikalavimus, padėti automatiškai konfigūruoti „Mac“ mašinas pagal konkrečius profilius ir įgalinti bei apriboti prieigą prie tinklo išteklių.
Jei jau esate susipažinę su „Windows“ grupės politika, jums bus malonu žinoti, kad galite visiškai valdyti „Mac“ vartotojo patirtį panašiu būdu, naudodamiesi „Apple“ politika, skirta „Mac“. Dauguma šių strategijų gali būti taikomos konkretiems „Mac“ (arba „Mac“ grupėms) arba konkrečioms vartotojų abonementams (arba grupės narystėms). Tačiau kai kurias strategijas galima susieti tik su „Mac“ arba su vartotojų abonementais. Kuriant „Mac“ valdymo strategiją labai svarbu žinoti, kaip galima konfigūruoti strategijas.
Pvz., Kaip ir „Windows“ grupės politikoje, su vartotojų poreikiais ir prieigos valdymu susijusi politika dažnai valdoma atsižvelgiant į grupės narystę, susijusią su skyriumi, darbo vaidmenimis ir kitais veiksniais. Departamentų programų ir „Mac“ saugos nustatymo reikalavimus geriausia nustatyti atsižvelgiant į „Mac“ (arba „Mac“ grupę), o ne į vartotojus (ar grupės narystes). Kai kurios strategijos, pvz., Energijos taupymo priemonės, pagal numatytuosius nustatymus yra skirtos „Mac“, o ne vartotojui.
Politikos diegimo smulkmena
„Mac“ valdymo strategijos, kaip ir „iOS“, konfigūracijos profiliuose saugomos kaip XML duomenys. Šie profiliai gali būti taikomi „Mac“ kompiuteriams vienu iš trijų būdų: rankiniu būdu sukuriant ir paskirstant juos atskiriems „Mac“ / vartotojams per nemokamą „Apple Configurator 2“ programą; diegiant MDM / EMM sprendimą; arba naudojant tradicinius darbalaukio valdymo paketus.
Jei nuspręsite paskirstyti konfigūracijos profilius rankiniu būdu, turėsite juos naudoti naudodami „OS X Server Server Profile Manager“, tada gautus profilius reikės rankiniu būdu įdiegti kiekviename „Mac“. Atidarytas profilis paragins vartotoją įdiegti įtrauktą politiką. Naudojant šį metodą, nėra visiškai automatizuoto būdo paskirstyti konfigūracijos profilius nenaudojant papildomų diegimo įrankių. Jei juos diegiate pasikliaujate vartotojais, o ne IT darbuotojais, gali būti sunku užtikrinti, kad jie buvo įdiegti. Dėl to rankiniu būdu paskirstyti profilius gali būti paprasčiausias variantas, tačiau didesnėms organizacijoms jis greičiausiai yra mažiau idealus ar net perspektyvus.
(Pastaba: pats „Profile Manager“ yra „Apple“ skirtas MDM sprendimas, kuris gali būti naudojamas politikoms išstumti kitų MDM / EMM pasiūlymų būdu, be rankinio konfigūravimo profilių kūrimo.)
„Apple Configurator 2“ programa gali būti naudojama profiliams / strategijoms įdiegti prijungtuose „Mac“ kompiuteriuose ir „iOS“ įrenginiuose. Tai suteikia paprastą, nemokamą sprendimą, užtikrinantį profilių / strategijų įdiegimą ir veikimą. Tačiau norint konfigūruoti, reikia, kad kiekvienas valdomas „Mac“ būtų USB ryšiu prijungtas prie „Mac“, kuriame veikia „Apple Configurator 2“. Dėl to „Apple Configurator 2“ yra puiki priemonė mažoms įmonėms ir švietimo organizacijoms, kurios dažnai turi paprastą politikos poreikių rinkinį, tačiau tai yra neefektyvi „Mac“ valdymo strategija, jei reikia sukonfigūruoti daug „Mac“.
Čia gali padėti MDM / EMM įrankiai, nes „Mac“ strategijas galima pritaikyti naudojant tą pačią MDM sistemą, kurią naudoja „iOS“ įrenginiai. Dauguma pardavėjų, palaikančių „iOS“ valdymą, palaiko ir „Mac“ valdymą. Taigi, tai yra verslui tinkama galimybė, ypač todėl, kad daugelis organizacijų jau naudoja tokius sprendimus „iOS“ ir „Android“ įrenginiams valdyti.
Kitas variantas, tinkamas naudoti įmonėse, yra tradicinis darbalaukio valdymo paketas, apimantis tiek „Apple“ specifinius komplektus, tokius kaip „JAMF“ „Casper Suite“, tiek daugialypius komplektus, tokius kaip „LanDesk Management Suite“ ir „Symantec Management Platform“. Šie apartamentai ne tik taiko politiką, bet ir dažnai siūlo valdymo ir diegimo įrankius. Atsižvelgiant į programų populiarumą, daugelis organizacijų dažnai jau naudoja tokius įrankius, arba jų papildomos funkcijos gali būti pakankamai įtikinamos investuoti į jas (daugiau apie šiuos įrankius rasite šios serijos trečioje dalyje).
Jei nerimaujate dėl „Mac“ strategijų, pagrįstų XML, būkite tikri: administratoriams paprastai nereikia tiesiogiai kurti ar redaguoti „Mac“ valdymo politikoje naudojamų XML duomenų. Dauguma „Apple“ ir trečiųjų šalių įrankių suteikia intuityvią vartotojo sąsają, kad nustatytų politikos parinktis, ir jie tvarko būtiną XML kūrimą po gaubtu. Viena išimtis yra „Custom Settings“ politika, skirta nurodyti įdiegtų programų parametrus ir papildomas OS X funkcijas, aptarta vėliau šiame straipsnyje. Konfigūruojant pasirinktinius nustatymus reikės patekti į XML žarnas.
Pagrindinę „Mac“ valdymo politiką turi žinoti kiekvienas administratorius
„Apple“ pateikia svaiginančią „Mac“ valdymo politikos variantų spektrą, tačiau dažniausiai naudojamas konkretus 13 strategijų rinkinys, kuris yra pats svarbiausias valdant ir saugant „Mac“ kompiuterius įmonės aplinkoje. Kiekviena iš šių pagrindinių valdymo strategijų taikoma „Mac“ kompiuteriams arba vartotojams, nebent nurodyta kitaip:
- Tinklas: konfigūruoti tinklo parametrus, įskaitant „Wi-Fi“ konfigūraciją ir kai kurias „Ethernet“ ryšio detales.
- Sertifikatas: diegiant skaitmeninius sertifikatus, naudojamus užšifruotame ryšyje organizacijoje, taip pat kai kuriuos konkrečių paslaugų tapatybės duomenis (daugelis tinklo paslaugų saugiam ryšiui ir autentifikavimui priklauso nuo sertifikatų).
- SCEP: Apibrėžti sertifikatų įsigijimo ir (arba) atnaujinimo iš CA (sertifikato institucijos) nustatymus naudojant SCEP (paprastą sertifikatų registravimo protokolą). SCEP suteikia automatizuotą parinktį, leidžiančią įrenginiams įsigyti / atnaujinti sertifikatus. Jis naudojamas kaip „Apple“ MDM registracijos proceso dalis „iOS“ įrenginiams ir taip pat gali būti naudojamas „Mac“ registracijai į valdomą aplinką. SCEP konfigūracija skirsis priklausomai nuo CA ir susijusių valdymo įrankių.
- „Active Directory“ sertifikatas: pateikti „Active Directory“ sertifikatų serverių autentifikavimo informaciją. Šią politiką galima nustatyti tik vartotojų abonementams.
- Katalogas: Narystės katalogų paslaugų, įskaitant „Active Directory“ ir „Apple Open Directory“, konfigūravimui. Galima sukonfigūruoti kelias katalogų sistemas. Šią politiką galima nustatyti tik „Mac“.
- „Exchange“: konfigūruojama prieiga prie vartotojo „Exchange“ paskyros „Apple“ gimtosiose „Mail“, „Contacts“ ir „Calendar“ programose. (Tai nekonfigūruoja „Microsoft Outlook“.) Tai galima nustatyti tik vartotojo abonementams.
- VPN: „Mac“ integruoto „VPN“ kliento konfigūravimui. Galima sukonfigūruoti kelis kintamuosius. Jei jis veikia, vartotojai negalės modifikuoti VPN konfigūracijos.
- Saugumas ir privatumas: konfigūruojant keletą OS X integruotų saugos funkcijų, įskaitant „GateKeeper“ programos reputaciją ir saugos įrankį, „FileVault“ šifravimą (galima nustatyti tik „Mac“, o ne vartotojams) ir ar diagnostinius duomenis galima siųsti „Apple“.
- Mobilumas: norėdami nustatyti, ar palaikoma mobiliojo abonemento kūrimas, ir susijusius kintamuosius (informacijos apie mobiliąsias paskyras ieškokite pirmame šios serijos straipsnyje).
- Apribojimai: apriboti prieigą prie daugybės OS X funkcijų, tokių kaip „Game Center“, „App Store“, galimybė paleisti konkrečias programas, prieiga prie išorinės laikmenos, įmontuotos kameros naudojimas, prieiga prie „iCloud“, „Spotlight“ paieškos pasiūlymai, „AirDrop“ dalijimasis ir prieiga prie įvairių paslaugų OS X bendro naudojimo meniu.
- Prisijungimo langas: skirtas konfigūruoti OS X prisijungimo langą, įskaitant visus prisijungimo lango pranešimus (vadinamus reklamjuostėmis); ar vartotojas gali iš naujo paleisti ar išjungti „Mac“ neprisijungęs; ir ar papildomos informacijos apie „Mac“ galima pasiekti prisijungimo lange.
- Spausdinimas: Norėdami iš anksto sukonfigūruoti prieigą prie spausdintuvų ir nurodyti pasirinktinę poraštę visiems spausdintiems puslapiams.
- Įgaliotieji serveriai: Norint nurodyti tarpinius serverius.
Papildoma politika, siekiant suapvalinti savo parką
Be aukščiau išvardytų strategijų, „Apple“ pateikia daugybę politikos parinkčių, kaip konfigūruoti „Mac“ vartotojo patirtį. Kai kurioms organizacijoms ši politika bus naudinga visuose „Mac“ kompiuteriuose arba tik jų parko pogrupyje. Ši politika apima galimybę iš anksto sukonfigūruoti „AirPlay“; nustatyti prieigą prie „CalDAV“ serverio ir „CardDAV“ serverio programose „Kalendorius ir kontaktai“; nustatyti galimybę įdiegti papildomus šriftus; sukonfigūruoti prieigą prie LDAP serverio tik kontaktinių duomenų paieškai; iš anksto sukonfigūruoti POP ir IMAP paskyras „Mail“ programoje; sukonfigūruoti ir pridėti elementus (žiniatinklio įrašus, aplankus, programas) prie doko; nustatyti energijos taupymo nuostatas, taip pat paleidimo / išjungimo / pažadinimo / miego tvarkaraščius; įgalinti supaprastintą „Finder“ versiją ir užblokuoti tam tikras komandas, tokias kaip „Connect to Server“, „Eject Volume“, „Burn Disc“, „Go to Folder“, „Restart“ ir „Shut Down“; nurodyti elementus, kurie turėtų būti automatiškai atidaryti prisijungus; sukonfigūruoti neįgalių vartotojų prieinamumo funkcijas; nustatyti „Jabber“ paskyras programoje „Messages“; ir taip toliau.
Taip pat yra galimybė iš anksto užpildyti vartotojo abonemento tapatybę, kai yra įdiegtas profilis. Tai paprastai naudojama, kai profiliai yra įdiegti atskiruose „Mac“ kompiuteriuose. Kai „Mac“ yra prijungtas prie katalogo, vartotojo abonemento informacija gaunama iš katalogo.
Programinės įrangos naujinimo politika yra aktuali organizacijoms, diegiančioms „OS X Server“ naudoti kaip vietinį programinės įrangos naujinimo serverį. „OS X Server“ turi galimybę talpinti vietines „Apple“ programinės įrangos atnaujinimų kopijas, kad atnaujindami savo parką pagerintumėte našumą ir sumažintumėte tinklo perkrovą.
Tinkinti nustatymai: programos ar sistemos nustatymų apibrėžimo politika
Tinkintų nustatymų politika vaidina svarbų vaidmenį maksimaliai padidinant IT galimybes valdyti visą „Mac“ vartotojo patirtį. Tai leidžia administratoriui nurodyti bet kokių įdiegtų programų ir papildomų OS X funkcijų nustatymus, net jei toms programoms ar funkcijoms nėra aiškios „Apple“ apibrėžtos politikos. Kai naudojami, turi būti nurodyti programos ar funkcijos nuostatų failo XML duomenys. Lengviausias būdas naudoti šią parinktį yra sukonfigūruoti programą ar funkciją su norimu nustatymu ir rasti atitinkamą .plist failą (paprastai aplanke / Library / Preferences dabartinio vartotojo namų aplanke). Arba susijusius XML raktus ir informaciją galima įvesti rankiniu būdu.
Politikos sąveika
Kadangi strategijas galima taikyti remiantis atskirais „Mac“ kompiuteriais, „Mac“ grupėmis, atskiromis vartotojų abonementais ar vartotojų grupėmis, yra situacijų, kai vienu metu gali būti taikomos kelios strategijos. Gauta patirtis labai priklauso nuo politikos rūšies.
Dauguma strategijų prideda konfigūracijos elementą; kai yra keli šios politikos atvejai, jie taikomi visi. Pvz., Jei „Mac“ turi politiką, kurioje nurodomi „Dock“ elementai, o vartotojas yra dviejų grupių, kurios kiekviena nurodo papildomus „Dock“ elementus, narys, prisijungęs prie to „Mac“, matys visų nurodytų „Dock“ elementų rinkinį. (Kitas vartotojas, prisijungęs prie to paties „Mac“, matys „Dock“ elementus, nurodytus tam „Mac“, ir visus, nurodytus jo grupės nariams.)
Tačiau yra atvejų, kai politika negali tiesiog papildyti viena kitos. Tai ypač pasakytina apie funkcijas, kurios riboja vartotojo prieigą prie funkcijų ar funkcijų. Šiais atvejais griežčiausia politika yra ta, kuri yra vykdoma.
