Будучи злыми корпоративными ИТ-властителями, мы должны заблокировать новый OS X App Store. Как вы, возможно, знаете, обновление 10.6.6 устанавливает приложение App Store, которое позволяет пользователям загружать и устанавливать приложения без прав администратора.
Некоторые предложения:
Не обновляйтесь до 10.6.6+
Используйте родительский контроль
Предположительно какая-то политика OD (если у вас есть OD-сервер, которого у нас нет)
Заблокируйте магазин приложений с помощью DNS или прокси
Отказ от обновления до 10.6.6+ на самом деле не является долгосрочным решением, поскольку он содержит исправления безопасности, и новые Mac в любом случае будут поставляться с ним. Блокирование магазина приложений на сетевом уровне не решает проблемы пользователей портативных компьютеров.
В идеале лучшим решением было бы простое системное предпочтение или редактирование списка, который может быть вытеснен ARD.
Обратите внимание, что вопрос не должен мы блокируем магазин приложений, это как мы можем заблокировать магазин приложений.
В качестве быстрого обновления кажется, что если вы не используете учетную запись с правами администратора, вам может потребоваться предоставить учетные данные администратора при первой загрузке приложения для его установки, что может решить некоторые проблемы. Поведение сильно отличается от обычного повышения привилегий OS X, которое задают как администраторы, так и не админы.
Если у вас нет этого компьютера, подключенного к серверу OpenDirectory (предпочтительный способ сделать это - ограничить запуск приложения через Workgroup Manager), вы можете установить разрешения для приложения App Store, чтобы пользователи не могли его запускать:
chmod -R 000 /Applications/AppStore.app
Это удерживает кого-либо от запуска приложения. Его можно вытолкнуть через ARD, добавить в базовый образ и установить в сценарии запуска.
Я понятия не имею, что это сделает с другими приложениями, работающими в системе, поэтому сначала вам следует протестировать это.
ITunes Store подключается к стандартным портам HTTP (S) 80 и 443, поэтому я предполагаю, что Mac App Store делает то же самое.
Вот статья базы знаний Apple о блокировке магазина iTunes по URL-адресу: http://support.apple.com/kb/HT3303
Это говорит
Чтобы запретить клиентским компьютерам подключаться к iTunes Store, сетевые администраторы могут заблокировать Интернет-узел itunes.apple.com.
Из быстрого tcpdump видно, что App Store использует тот же URL ... пока.
Запустите сниффер пакетов. Запустите App Store. Узнайте, какой адрес (а) использует Apple App Store. Заблокируйте все входящие / исходящие на этот адрес, на этот порт, на брандмауэре периметра.
Вы также можете изменить схему Active Directory, чтобы она содержала дополнительную информацию, имитирующую MCX (аналогично групповым политикам). Затем вы можете войти на свой сервер AD из Workgroup Manager на Mac, импортировать пользователей / группы AD в качестве расширенных записей и заблокировать приложение. Это большая работа, чтобы заблокировать что-то одно, но в конечном итоге это означает, что у вас будет намного больше контроля над своими Mac.
Вот ссылка на веб-семинар Apple, который проведет вас через шаги и объяснит (лучше и более подробно), о чем я говорил выше:
http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301
и вот PDF (не уверен, недавно ли он)
http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf