Я просматривал литературу по управлению ноутбуками OS X и задал кому-то несколько вопросов о сценариях использования MacBook. Я спросил кого-то более знающего, чем я, о том, можно ли взять мой Mac под свой контроль, если я посещаю другой сайт для конференции или если я подключаюсь к сети Wi-Fi в местной кофейне с политиками от сервера OS X с рабочей группой менеджер (либо законный для сайта, либо кто-то, кто использует версию OS X Server на оборудовании, которое они спрятали где-то в сети), который, по-видимому, может быть настроен для таких вещей, как ограничение моего доступа к Finder или наложение другого аккуратного управления функции.
Он сказал, что это действительно возможно, так как это будет назначено через DHCP-сервер, а сервер OS X будет считать, что мой Mac является гостем, и может выдавать ограничения, и, очевидно, мой Mac с радостью примет их, не уведомляя меня и не давая Мне нужен вариант, в отличие от Windows, которую, как мне кажется, нужно будет присоединить к домену, прежде чем он станет «управляемым» Active Directory.
Итак, как сетевые администраторы и системные администраторы с пользователями, путешествующими с MacBook, у меня вопрос: есть ли способ разумно защитить своих пользователей от взлома их машин, не прибегая к постоянному отключению сети? Или это не серьезная угроза безопасности? Какую угрозу это представляет для дорожных бойцов в вашем бизнесе?
Ваш друг потенциально прав:
Если ваш Mac настроен на привязку для автоматического получения пути поиска в каталоге, он может выполнить привязку к серверу LDAP, предоставленному DHCP. Опасность здесь в том, что root - это root, MacBook не понимает, что это не root-аккаунт из его «домашнего» каталога LDAP, и с радостью обращается с ним, как если бы он был.
Если вы установите пользовательский путь поиска в каталоге, он привяжется только к указанным вами серверам LDAP и полностью устранит проблему.
Также, как вы упомянули, если вам не нужен LDAP - например, если вы аутентифицируетесь в домене Windows AD или просто имеете локальную учетную запись, вы можете снять флажок LDAP v3.
См. Главу 2 Руководство администратора OpenDirectory для получения дополнительной информации.