Администрирование Маков в среде Windows

Администрирование Маков в среде Windows


Direct Control позволяет вам подключаться к компьютерам под управлением Mac OS X, так же как и к другим версиям Unix/Linux, Active Directory. Вы можете организовать их работу и делегировать администрирование через организационные модули, известные как зоны. Вы можете управлять ими, используя ряд групповых политик, разработанных специально для работы с моделью управляемых предпочтений Apple.

Краткий обзор

Direct Control for Mac удовлетворяет все основные потребности пользователей. Хотя обычно Макинтоши составляют маленькую долю общего количества PC в корпоративной сети, они зачастую все еще нуждаются в доступе к ресурсам данной сети. И они все еще должны быть защищены согласно политики компании и правительственным инструкциям.

Apple действительно включила некоторую поддержку Active Directory в своей Mac OS X. Но эта поддержка ограничивает возможность пользователей получать доступ к Маку, используя учетную запись Active Directory. Это обеспечивает весьма слабую защиту локальных ресурсов, хотя, по умолчанию, в качестве нехитрых мер безопасности, и не предоставляет пользователям Active Directory права локального администратора. Однако, не обеспечивается никакой поддержки для настройки управляемой пользовательской оболочки.

Еще одним серьезным ограничением является то, что решение Active Directory от Apple при авторизации пользователей использует LDAP, а не протокол от Microsoft — ADSI, а также не поддерживает связь по безопасному LDAP. Это означает, что вы должны снизить уровень защиты домена для Windows 2003 Server, для обеспечения поддержки Мак-клиентов, которые могут подвергнуть домен Active Directory повышенному риску сетевых атак.

Direct Control for Mac предлагает полную поддержку безопасной связи с Active Directory, хотя доступ к разделению файлов и очереди печати обеспечивается "яблочной" вариацией на тему Samba, причем эта версия Samba не поддерживает безопасное подключение. Также, Directory Access использует протокол ADSI. Более того, для прямой работы с Mac OS X, Directory Access расширяет поддержку авторизации смарт-карт Active Directory.

Что более важно, Direct Control предлагает несколько серверных компонентов, которые позволяют вам осуществлять полную поддержку пользователей Макинтоша, назначая атрубуты пользовательского идентификатора (UID) и кода группы (GID), на которые полагается Mac OS X для опознавания пользователей и файловые полномочия.

Хотя все вышеперечисленные особенности делают Direct Control for Mac привлекательным решением, однако тот факт, что данная утилита включает пространство групповых политик, которое может использоваться для защиты и управления средой Mac OS X, делает ее превосходным решением.


Инсталляция и конфигурация

Установка Direct Control и его системного агента для Макинтош является чрезвычайно простой и легкой. На стороне сервера, сразу после запуска инсталлятора, нужно открыть консоль управления Centrify и настроить соответствующие организационные средства Direct Control. После этого, для простоты запуска, вы можете добавить интегрируемое приложение Centrify в любую консоль управления Microsoft. Затем, для добавления соответствующих административных шаблонов к новому или существующему объекту групповой политики, необходимо воспользоваться консолью управления групповой политикой (Group Policy Management Console) или редактором объекта групповой политики (Group Policy Object Editor).

На стороне клиента, необходимо установить системного агента для Макинтош . Это снова простой инсталлятор, который может запускаться как инсталляционный пакет Mac OS X, или как скрипт оболочки командной строки. Системный агент включает ряд инструментальных средств командной строки и дополнения для утилиты Apple Directory Access. Вы можете подсоединить ваш Макинтош к домену, используя либо инструмент командной строки, либо утилиту Directory Access.

Процесс прост и подобен подключению Windows PC к домену. В целом, инсталляционный процесс как на стороне клиента, так и на стороне сервера является очень безболезненным, даже если вы не привыкли к работе с Маками.

Зоны

Direct Control вводит тип организационного инструмента названного зонами. Они используются для присвоения необходимых атрибутов учетным записям пользователя в Mac OS X (наряду с другими версиями Unix), не изменяя основную схему на Active Directory. Каждый пользователь Макинтоша должен отнесен к какой-либо зоне, но может быть членом более одной зоны. Каждый Мак-клиент должен быть членом одной, и только одной, зоны.

При конфигурировании зоны, вы определяете атрибуты UID для пользователей данной зоны, вводя стартовый UID; каждый пользователь добавленный к зоне, получит следующий более высокий UID. Вы также определяете, какая группа Active Directory будет использоваться как первичный атрибут группы для пользователей, так же как и взаимодействующий атрибут GID.

Зоны также определяют местоположение домашнего каталога пользователей и то, какие оболочки Unix им будут доступны. Вы можете делегировать полномочия у некоторых зон, если хотите разделить административную рабочую нагрузку по управлению ими. Для создания и управления зонами используется консоль управления Centrify, но для назначения пользователям зоны, используется вкладку Centrify Profile, которая добавляется к окну свойств пользователя.

Для более эффективного управления зоны позволяют группировать сходные рабочие станции и/или пользователей. Они также позволяют решать ситуации, когда пользователи могут нуждаются в противоречивых параметрах настройки, в зависимости от того, какие компьютеры они используют, или если вы хотите ограничить, к каким из них будут иметь доступ пользователи Макинтошей. Зоны также могут быть полезны, когда вы переходите к Direct Control от других решений Active Directory, или даже от использования локальных учетных записей рабочей станции. Вы можете также генерировать сообщения о использовании компьютеров для каждой зоны, что позволит повысить рациональность их работы.

Зоны — мощный инструмент в Direct Control и они также служат изящным решением для обеспечения работы с атрибутами, необходимыми Mac OS X. Возможно, если вы впервые используете Direct Control, концепция зон и их использование может показаться немного запутанными. Хотя зоны в некоторой степени и затрагивают доступ к Макинтошам и их конфигурации, однако, не касаются непосредственно установок групповых политик. А это — именно тот раздел документации Direct Control, который вы не захотите перескочить.

Компания Centrify порадует пользователя чрезвычайно полной документацией, где могут быть найдены ответы на почти любой возможный вопрос. Однако, данная документация содержит множество Мак-специализированной информации в отдельном документе руководства Direct Control, что может помешать в отыскании ответов.

Установка групповых политик для Mac OS X

Установка групповых политик для Макинтошей, используя Direct Control, точно такая же, как при установке любой другой групповой политики. Вы создаете и связываете объекты групповой политики с определенными организационными модулями также, как и в любой другой ситуации. С административным шаблоном, добавленным к объекту групповой политики, вы можете просто пререходить к параметрам настройки, которые необходимо сконфигурировать. Centrify предоставляет детальные объяснения того, что делает каждая политика и как ее использовать  непосредственно в окне консоли управления.

Начальная групповая политика для Макинтошей, включенная Centrify в данный релиз, ограничена функциями, используемыми для защитить Mac OS X. Эти политики включают необходимость использования хранителя экрана и предписания использования пароля, для выхода из экранной заставки или "пробуждения" компьютера; окно управления входа в систему Mac OS X и быстрое переключение между пользователями; ограничение доступа к различным сетевым службам совместного использования, таким как совместное использование файлов и принтеров; конфигурирование механизма Apple Software Update и системных свойств Energy Saver; а также, ограничение доступа к окну System Preferences.

Разработчики говорят, что с самого начала они сконцентрировали внимание на групповых политиках, нацеленных на обеспечение безопасности Mac OS X, так как это является самой неотложной потребностью для многих организаций. Однако, в предстоящем выпуске, Centrify планирует предложить намного более широкий набор групповых политик, которые фактически будут дублировать все функции управления свойствами Mac OS X Server. Они включают поддержку таких вещей как: конфигурирование индивидуальной операционной среды Mac OS X, установку опций синхронизации файлов мобильных компьютеров и автоматический запуск приложений или файлов при входе в систему.

Имея возможность работать с уже существующим набором групповых политик и видеть предварительную версию будущего расширенного набора, автор был поражен успехом Centrify. Впечатления от управления Маками было точно такое же, как управление Windows компьютерами с использованием групповых политик. Любые опытные администраторы Active Directory, даже те, кто не имеет никакого опыта работы с Макинтошами, будут чувствовать себя полностью как дома. Любой опытный администратор Макинтоша также обратит внимание, что Centrify сумели продублировать компонент управления свойствами Workgroup Manager операционной системы Mac OS X Server.

Общие впечатления


Работая в течение многих лет с различными методами поддержки Маков в среда Windows Server, и работая с функциями управления свойствами Mac OS X Server, автор предъявлял высокие требования к Direct Control for Mac. Данный продукт оправдал или даже превзошел его ожидания, и он настойчиво рекомендует его любой компании, которая использует Active Directory и нуждается в поддержке нескольких Макинтошей. Есть, однако, несколько моментов, которые должны иметь в виду администраторы, рассматривающие Direct Control в качестве решения для своих систем.

Прежде всего, утилита не обеспечивает поддержку безопасных подключений при вэб-серфинге, а в добовок, предоставляет доступ к ресурсам Windows или очередям печати. Это означает, что для этих целей вам придется перенастроить политику защиты вашего домена для разрешения незашифрованных подключений или вложить деньги в стороннее решение, такое как DAVE компании Thursby. Эта программа добавляет к  Mac OS X более расширенную поддержку протоколу блока сообщения сервера Windows, включая поддержку signed SMB.

В качестве альтернативы можно рассмотреть серверные решения типа ExtremezIP от Group Logic, которые позволяют использование Apple Filing Protocol (применяемый в Mac OS X) с безопасной связью для сервера под управлением Windows .

Во вторых, Direct Control может использоваться любым опытным администратором Active Directory, независимо от опыта работы с Маками. Однако, автор предполагает, что если Вы рассматриваете это решение в качестве альтернативы, то вам лучше, по крайней мере, бегло ознакомиться с Mac OS X, основами решения проблем и сетевыми понятиями Макинтошей. Это поможет вам легче понять тонкости использования данного ПО, не потратив на это много времени.


Автор: Ryan Faas
Переводчик: Тимошенко Дмитрий
Источник: Computerworld

 01.01.2015
 (19 просмотров)