Назад | Перейти на главную страницу

Почему пользователя просят выбрать свою рабочую группу?

Мы запускаем Mac OS X Server 10.5.8 с клиентами Mac OS X 10.5.8. Студенты используют сетевые логины для того, чтобы войти в систему.

Меня попросили запретить доступ в Интернет конкретному пользователю. Мне сказали, что хороший способ сделать это - создать рабочую группу пользователей под названием «Нет доступа в Интернет» и управлять настройками там. (В частности, я сказал родительскому контролю не разрешать доступ ни к каким сайтам и занес в черный список все установленные веб-браузеры).

Теперь, когда пользователь аутентифицируется для входа в систему, его приветствует этот диалог:

Workgroups for <username>

Grade 7 Students
No Internet Access

Маловероятно, что студент захочет выбрать «Нет доступа в Интернет» в качестве своей базовой группы.

Если посмотреть в Workgroup Manager на запись ученика, он показывает, что его основной идентификатор группы - это группа класса 7, а «Нет доступа в Интернет» указан как другая группа, к которой они принадлежат.

Я просмотрел управляемые настройки для всех компьютеров, относящиеся к логинам. Для них установлены значения по умолчанию. В частности, предпочтения групп компьютеров для Логинов -> Доступ имеют значения по умолчанию:

[unchecked] Игнорировать вложенность рабочих групп
[проверено] Объединить доступные настройки рабочей группы

Основываясь на моем чтении Советов и приемов для администраторов Mac, это должно быть правильно, пользователя не следует спрашивать, к какой группе он принадлежит, и следует применять настройки из всех применимых групп. Как я могу добиться такого результата?

Изменить: я решил добавить дополнительную информацию из Советы и хитрости для Mac Management White Paper (через Apple в образовании, через сайт автора).

На странице 21 говорится:

В Leopard MCX настройки предпочтений рабочей группы по умолчанию объединены в единый набор значений. Это означает, что вместо того, чтобы выбирать между рабочими группами по математике, естествознанию или языку при входе в систему, пользователь может просто пройти аутентификацию и попасть прямо на рабочий стол. Все настройки для каждой из этих рабочих групп объединяются вместе, предоставляя вам все элементы Dock и совокупность всех остальных настроек.

На странице 40 приведен пример, в котором параметры объединены из разных «доменов», одной группы компьютеров, двух (пользовательских) рабочих групп и параметров одного отдельного пользователя.

[Когда johnd входит в клиент leopard,] элементы, расположенные в Dock слева направо: группа компьютеров, первая рабочая группа в алфавитном порядке, вторая рабочая группа, пользователь. Пункты в рабочей группе расположены в алфавитном порядке.

Нигде нет указания на то, что группы вложены; действительно, я не вижу разумной (не плоской) иерархии для таких групп, как математика, естествознание и языковое искусство.

Я твердо верю, что есть способ применить настройки из двух несвязанных пользовательских рабочих групп, так что пользователю OS X 10.5.x или новее не нужно выбирать свою рабочую группу. Это то, чего я стремлюсь достичь.

Проблема в том, что вы назначили пользователя частью двух групп. OS X может очень запутаться, если все настроено неправильно. Вместо этого вы должны использовать иерархию групп.

Например, пользователь X должен только быть членом группы «Нет Интернета», а группа «Нет Интернета» должна быть членом группы учащихся 7 класса. (да, группы могут быть членами других групп). Поскольку две группы устанавливают несвязанные, неконфликтующие управляемые предпочтения, предпочтения «просачиваются вниз» и применяются к членам группы «Нет Интернета».

Расширяя эту идею, вы можете создать группу под названием «Все пользователи», которая имеет настройки, которые вы применяете к каждой учетной записи, затем две группы, которые являются членами этой группы под названием «Учителя» и «Студенты», с соответствующими настройками, а затем группы под «Учащиеся» для каждого уровня обучения (а затем группа под каждым уровнем обучения под названием «Нет Интернета», чтобы заблокировать доступ в Интернет, если вы того пожелаете).

Вы также можете сделать это грязным, нерекомендуемым способом и управлять настройками без интернета непосредственно в учетной записи пользователя, но я бы настоятельно не советовал этого делать.

Я смог заставить своих пользователей пропустить экран выбора рабочей группы, отредактировав настройки входа. (Я использую OS X Lion Server 10.7.3, а также соответствующую версию 10.7 Admin Tools.)

В Workgroup Manager (WGM) вам нужно выбрать что-то, для чего нужно установить предпочтения. Я использовал группу компьютеров, но уверен, что вы можете выбрать пользователя, группу пользователей, компьютер или группу компьютеров.
Выбрать Предпочтения на панели инструментов WGM
Выбрать Авторизоваться
Выбрать Доступ
Выбирайте, когда им управлять, скорее всего, вы хотите Всегда
Установите флажок внизу, в котором написано Combine available workgroup settings (Mac OS X v10.5 or later)
Применить сейчас