Назад | Перейти на главную страницу

Учетные записи пользователей лаборатории

Я работаю в школьном отделении (К-12). Хотя меня больше всего интересует, что хорошо работает на Mac, администраторы Windows и Linux должны столкнуться с той же проблемой и иметь аналогичные решения.

Большинство наших компьютеров в данной лаборатории - это примерно одинаковые машины. Таким образом, у нас есть лаборатории новых компьютеров, лаборатории старых компьютеров, лаборатории новых ноутбуков (с 802.11n) и лаборатории старых ноутбуков (с картами 802.11g).

Мне нужны рекомендации по типам учетных записей. Mac (и, предположительно, другие системы) поддерживает несколько типов учетных записей, которые я подробно описал ниже.

Мои конкретные вопросы:

Обновить: При описании систем, которыми вы управляете, не могли бы вы упомянуть, используют ли какие-либо пользователи или использующие ноутбуки (или беспроводные соединения), и работают ли студенты с большими файлами (например, редактируют аудио или видео?)

Типы счетов:

Локальная учетная запись

Сетевая учетная запись

Мобильные аккаунты

Они стараются быть лучшим из обоих миров. Есть две крайности: одна, когда вы синхронизируете все данные, и вторая, когда данные не синхронизируются.

Обновление - мне пришло в голову несколько вариантов, и позже я увидел, что они предлагаются в Apple Управление пользователями v10.5 документ, на стр. 142 («Использование портативных компьютеров Mac OS X с несколькими пользователями»).

Локальные учетные записи, единый вход

Плюсы:

Минусы:

Гостевые учетные записи

Плюсы:

Минусы:

В нашей лаборатории, ориентированной на Mac (университет), вот что работает:

NIS для аутентификации пользователя. Сервер Linux, хэши DES и полное имя в файле паролей Unix обеспечивают совместимость с 10.2 по 10.5. Настройка зависит от версии OSX.

NFS для домашних каталогов. Сервер Linux, NFSv3 / NFSv4. 10.5 очень чувствителен к правильной работе NFS lockd, но в остальном надежен. 10.4 не может восстановить потерянные сетевые ресурсы ... Тайм-аут означает жесткую перезагрузку (или удаленный вход по SSH и команду sudo для уничтожения демона и мягкую перезагрузку). 10.3 работает довольно хорошо. Для 10.5 мы используем automount для управления общими ресурсами, сценарий оболочки в / Library / StartupItems в более старых версиях.

Ноутбуки - это дерьмо. Из них не делают хороших "лабораторных" компьютеров. 802.1g отстой для NFS / NIS и с надежностью сети 10.4 (и без таймаутов> 2-3 секунд) является обязательным для всего, что напоминает «надежную» работу. 802.1n, вероятно, решает проблемы с пропускной способностью / производительностью, но я бы не стал пробовать использовать что-то меньшее, чем 10,5.

В наших случаях у ноутбуков есть один локальный пользователь (владелец), и мы поддерживаем только NFS по проводной сети (и назначенные им статические IP-адреса). Пользователи используют пару сценариев оболочки для увеличения и уменьшения общих ресурсов NFS по мере необходимости.

РЕДАКТИРОВАТЬ: Я должен добавить, что это для исследовательских лабораторий со степенью магистра / доктора философии. студентов, и поэтому наши данные на пользователя составляют порядка 250 ГБ +. Однако количество пользователей довольно невелико. Примерно 25 Mac и столько же рабочих станций Linux, а может быть, дюжина серверов и всего 12-15 ТБ дисков? Около 50 активных пользователей в день.

Я большой поклонник сетевых учетных записей и сетевого хранилища для всех пользователей. Я работаю в высшем учебном заведении, и мы уверены, что люди могут помнить свои пароли. Это может быть более серьезной проблемой для молодых пользователей, но, вероятно, нет. Сетевое хранилище ограничено скоростью вашей сети, но для размеров файлов и типов документов, над которыми работает большинство студентов, это не является большим ограничивающим фактором. Если это так, вы должны посмотреть, что не так с вашей сетью, и поработать над решением проблемы с инфраструктурой в ней.

Если вы используете централизованный вход с домашними каталогами, подключенными к сценарию, все данные ваших учащихся будут все время находиться в одном месте. Кроме того, это то, что большинство организаций высшего образования делают для данных о студентах, поэтому это дает им хорошую практику того, чего ожидать, когда они выйдут за пределы ваших дверей.

Мы старше, поэтому не совсем то же самое окружение. С другой стороны, у нас есть порядка 21 000 учеников, которым необходимо обучать, так что мы размером с несколько меньших школьных округов K-12. И это то, что у нас работает.

У каждого студента есть собственная учетная запись службы каталогов (фактически, три каталога: Active Directory, Novell eDirectory и NIS +). Лабораторные и классные рабочие станции сильно различаются, но на 95% они работают под управлением Windows. Мы используем сценарий входа в систему Novell для создания сопоставлений дисков. У каждого пользователя есть домашний каталог, а у многих классов есть каталог классов для общих файлов (по крайней мере, тех, которые еще не используют Blackboard). На каждой модели машины установлена ​​согласованная программная среда, и нашим специалистам по настольным компьютерам требуется некоторое время, чтобы подготовиться, когда нам нужно внести изменения.

Поскольку рабочие станции практически одноразовые, учащиеся используют либо свой домашний каталог, либо (гораздо чаще в наши дни) флэш-накопитель USB, а не локальную рабочую станцию ​​для хранения данных.

Когда мы перейдем к сценарию входа в систему на основе AD, мы будем делать то же самое. У нас есть преимущество быстрой и надежной проводной сети во всех зданиях, которые могут использоваться этими рабочими станциями. Сценарии входа в систему требуют только доступа к серверам каталогов и обычно выполняются очень быстро (пока все сопоставленные серверы работают и общаются). Мы обнаружили, что выделенные студенческие учетные записи значительно упрощают единый вход, особенно при разработке веб-сервисов, таких как студенческий портал. Нам даже удалось использовать SSO Blackboard.

Я бы порекомендовал Mac-сервер и использование Apple Directory Service для управления пользователями:

http://training.apple.com/itpro/leopard301

Это серверная часть LDAP, в некотором роде похожая на Active Directory. Поскольку вы являетесь владельцем Mac, это, вероятно, ваш лучший выбор, хотя вы / можете / аутентифицировать Mac с помощью Active Directory (и других моделей на основе LDAP), если действительно хотите.

Если вы умеете использовать Linux, вас может заинтересовать LTSP (Linux Terminal Service Project)

По сути, вам понадобится довольно надежный центральный сервер (и избыточность, как будто этого больше нет, вы в основном тост) и прилично управляемая сеть. Все будет храниться на этой машине. Мне пришлось бы проверить, но я не верю, что требуется какая-либо синхронизация (все делается на лету), поэтому потребуется НЕ МЕНЬШЕ 100 Мбит, однако, как уже упоминалось ранее, студенты не должны экономить в любом случае что-то такое большое.

Самое замечательное в этом методе то, что все настройки и программы являются «мобильными» и могут быть легко использованы как на одном компьютере, так и на другом.

Вот мой нынешний образ мышления в отношении лабораторий ноутбуков, которыми в течение дня пользуются несколько студентов. Все сводится к использованию мобильных учетных записей без синхронизации.

В каждом классе мы говорим учителю назначить конкретный компьютер определенному ученику. [Если один и тот же ученик учится в другом классе, который использует компьютеры, он почти наверняка будет использовать другой компьютер, и это нормально, так как в естествознании им не нужно будет получать доступ к заданиям по общественным наукам.] На экране входа в систему показаны пользователи, у которых есть ранее входил в данный объект; и «другой» вариант с полем ввода имени пользователя и пароля для тех, кто не входил в него раньше. После первоначального входа в систему студент должен увидеть свое имя на экране входа в систему. В противном случае у них не тот компьютер (и, хотя они могут войти в систему, ни одного из их файлов там не будет).

Нет никакой синхронизации. Учетная запись будет действовать как локальная учетная запись, за исключением того, что любой пользователь с записью в открытом каталоге может войти в систему и создать учетную запись. Мы предоставим легкий доступ к сетевому хранилищу, чтобы студенты могли создавать резервные копии своих файлов (и мы предполагаем, что большинство студентов, особенно учащихся начальной школы, не воспользуются этой возможностью).

Кроме того, я думаю, что было бы целесообразно поместить домашние папки (/ Users) в другой раздел. Таким образом, если есть логическая ошибка жесткого диска или если операционная система иным образом не работает, есть шанс, что файлы пользователя будут в порядке, и мы сможем просто повторно создать образ системного раздела.

Этот же вариант может работать для индивидуального развертывания ноутбуков и настольных компьютеров, и мы могли бы сделать это для единообразия, но я не уверен, что это оптимально в таких случаях.

Дополнение: В следующем году мы планируем запустить OS X 10.4 на наших старых компьютерах и 10.5 на новых. Мы были обеспокоены тем, что данный пользователь может использовать оба и создавать файлы с новым программным обеспечением, которые не могут быть прочитаны с помощью более старого программного обеспечения (или, что еще хуже, обновлены их базы данных iPhoto или iMovie, что сделает старое программное обеспечение непригодным для использования с их данными. ). Благодаря этой настройке без синхронизации и использования другого компьютера в разных классах проблема аккуратно избегается.

Проблема в том, что пользователи могут выполнять отдельные части своей работы на разных машинах. Я надеюсь, что если мы им кое-что объясним, они быстро поймут и не сделают этого.