Professionelles Mac OS X Client-Management in Windows-Netzwerken

 
 
O'Reilly Verlag
1. Auflage | erschienen am 30. November 2011 | 248 Seiten
 
E-Book | ePUB ohne DRM | Systemvoraussetzungen
E-Book | PDF ohne DRM | Systemvoraussetzungen
978-3-86899-803-0 (ISBN)
 
Mac OS X ist als Client-Betriebssystem in Unternehmen weiter auf dem Vormarsch, und viele Firmen stehen nun vor der Herausforderung, nicht nur ihre Windows-Clients, sondern auch ihre Macs zentral zu verwalten. Doch welche Infrastruktur ist dafür am besten geeignet? Und was ist dabei zu beachten? In den letzten Jahren bot Apple für diesen Zweck eigene Server-Hard- und -Software an, die Sie in Ihre Active Directory-Umgebung integrieren konnten. Zwar ist auch Mac OS X Lion wieder in einer Server-Version erhältlich, sie richtet sich jedoch vorwiegend an kleinere Unternehmen, die nur einen Server und wenige Clients benötigen. Strukturen mit mehr als einem Server lassen sich mittlerweile besser mit anderen Lösungen verwalten. Mac-Clients mit Windows-Servern einrichten und verwalten: Genau hier setzt dieses Buch an. Es beschreibt, wie Sie mit Hilfe von Windows-Servern Betriebssystem und Programme auf Ihren Macs installieren und aktualisieren und wie Sie Einstellungen für Benutzer, Gruppen, Computer und Computerlisten zentral verwalten. Dafür werden sowohl Open Source-Tools als auch kommerzielle Lösungen vorgestellt. Auch für UNIX-, Linux- und Apple-Server: Vieles, was in diesem Buch behandelt wird, funktioniert ohne aufwendige Anpassungen auch auf UNIX-, Linux- und Apple-Servern. In diesem Buch finden Sie deshalb auch zahlreiche Hinweise für die zentrale Mac-Client-Verwaltung in einem UNIX-, Linux- oder Apple-Umfeld. Expertenwissen aus erster Hand: Die Autoren André Aulich und Harald Monihart haben bereits zahlreiche Server-Infrastrukturen geplant und implementiert, darunter auch heterogene Netzwerke in großen Medienunternehmen.
Deutsch
USA
9,48 MB
978-3-86899-803-0 (9783868998030)
3868998039 (3868998039)
weitere Ausgaben werden ermittelt

Kapitel 3. Einführung in die Benutzer-, Computer-und Gruppenverwaltung


In diesem Kapitel besprechen wir, wie Mac OS X mit der Verwaltung von einzelnen Benutzern und Computern sowie mit Benutzer- und Computergruppen umgeht. Dabei behandeln wir zunächst lokal verwaltete Objekte, aber auch die grundlegenden Techniken, mit denen Sie diese Verwaltungsdaten in einem zentralen Verzeichnisdienst wie Microsofts Active Directory oder Apples Open Directory ablegen.

Damit der spätere Zugriff auf einen Verzeichnisdienst funktionieren kann, müssen Sie im Vorfeld unter Systemeinstellungen ? Datum & Uhrzeit die korrekte Uhrzeit und Zeitzone sowie einen Zeitserver angeben, den alle Ihre Geräte in Ihrem Netzwerk verwenden. Die Uhrzeit darf zwischen Clients und Servern nämlich nicht mehr als fünf Minuten auseinanderlaufen, damit die Anmeldung funktioniert.

Lokale Verwaltung


Wir haben bei der Einrichtung unseres Mac ja bereits einen versteckten Clientadministrator als lokalen Benutzer eingerichtet, mit dem wir aktuell auch an der Mac-Oberfläche angemeldet sind.

Schauen wir uns nun an, wie die lokale Benutzerverwaltung genau funktioniert.

Benutzerverwaltung im lokalen Verzeichnisdienst


Lokale Benutzer werden unter Programme ? Systemeinstellungen ? Benutzer & Gruppen verwaltet.

Wenn Sie wie in Abbildung 3.1 auf das kleine Plussymbol in der linken unteren Ecke klicken, öffnet sich ein Dialog zum Anlegen eines neuen Accounts. Hier können Sie wählen, ob Sie einen Benutzer (Eintrag Standard), einen eingeschränkten Benutzer (Verwaltet durch die Kindersicherung), einen Administrator, einen nur für den Dateizugriff übers Netzwerk gültigen Benutzer (Nur Freigabe) oder eine Benutzergruppe anlegen möchten.

Wenn wir an dieser Stelle einen Benutzer anlegen, wird dadurch eine Datei unter /var/db/dslocal/nodes/Default/users erzeugt. In unserem Beispiel ist das die Datei cadmin.plist.

Wenn Sie das Terminal öffnen und darin sudo -s eingeben, erhalten Sie nach Eingabe Ihres Admin-Kennworts root-Rechte und können mit

cd /var/db/dslocal/nodes/Default/users

in die Liste mit Ihren Benutzern wechseln. Mit ls zeigen Sie diese Liste dann an. Sie werden eine ganze Menge Systembenutzer vorfinden, die im Hintergrund werkeln, aber in der grafischen Oberfläche nicht zu sehen sind.

Wenn Sie nun die Datei cadmin.plist vor sich sehen, wollen Sie vielleicht einmal hineinschauen. plist-Dateien sind XML-Dateien, die von Mac OS X häufig in Binärformate konvertiert werden, um schneller gelesen werden zu können.

Mit

plutil -convert xml1 cadmin.plist

wandeln Sie die Datei in eine Textdatei um, deren Inhalte Sie zum Beispiel mit

cat cadmin.plist

anzeigen lassen können. Darin finden Sie das verschlüsselte Kennwort des Benutzers (nur in Mac OS X 10.7, vorher lagen die Kennwort-Hashes unter /var/db/shadow/hash), den Pfad zum Benutzerverzeichnis und vieles mehr. Wenn Sie in dieser Datei Änderungen vornehmen und sie sichern, werden die Änderungen bei der nächsten Anmeldung des Benutzers aktiv.

Wollen Sie die Datei zurück ins Binärformat wandeln, erfolgt dies mit

plutil -convert binary1 cadmin.plist

Wenn Sie die Datei nicht zurückwandeln, übernimmt Mac OS X diese Aufgabe auch selbst, wenn es das nächste Mal auf die Datei zugreift.

Anstatt die Datei erst in eine Textdatei zu konvertieren, um sie zu lesen, können Sie sie mit dem Befehl

defaults read /var/db/dslocal/nodes/Default/users/cadmin

auch direkt auslesen. Der defaults-Befehl liest und schreibt Einstellungsdateien unabhängig davon, ob diese im Binär- oder Textformat vorliegen. Er kann auch einzelne Attribute lesen und schreiben, was sich für spätere Automationen anbietet.

Tipp


Vielleicht ist Ihnen aufgefallen, dass der Pfad zur cadmin.plist-Datei im oben genannten defaults-Befehl das Dateisuffix .plist nicht beinhaltet. defaults akzeptiert im Pfadnamen die Dateiendung nicht, zumindest war das bis Mac OS X 10.6 so. Seit Version 10.7 funktionieren manche Pfade auch, wenn die Endung .plist angefügt ist.

Da dies jedoch nicht bei allen Pfaden funktioniert, sollten Sie defaults weiterhin ohne die Endung .plist im Pfad verwenden.

Abbildung 3.1 Die lokale Benutzer- und Gruppenverwaltung in den Systemeinstellungen

Jetzt haben wir also gesehen, dass unser cadmin-Benutzer letztlich eine einzelne XML-Datei in unserem Dateisystem im Verzeichnis /var/db/dslocal/nodes/Default/users/ ist.

Auf dieselbe Weise werden unter /var/db/dslocal/nodes/Default/groups auch Gruppen verwaltet, die wir in den Systemeinstellungen anlegen.

Local MCX


Wir haben nun also gesehen, dass wir Benutzer und Gruppen in den Mac OS X-Systemeinstellungen anlegen können.

Einführung


Wozu benötigen wir aber überhaupt verschiedene Benutzer und Gruppen?

Die Antwort lautet kurz: weil wir verschiedenen Benutzern individuelle Ressourcen zur Verfügung stellen möchten.

Wenn wir zum Beispiel dem Benutzer »harald« eine andere E-Mail-Adresse zuteilen möchten als dem Benutzer »andre«, müssen wir diese beiden Benutzer zunächst unterscheiden. Daher bekommt jeder dieser beiden Benutzer einen eigenen Account, mit dem er sich an der Mac OS X-Oberfläche anmelden kann.

Habe ich zehn Benutzer, möchte ich vielleicht drei von ihnen zu einer Gruppe namens »Geschäftsführung« zusammenfassen, die Zugriff auf den Ordner Gehaltsabrechnungen und bestimmte Reporting-Tools auf allen Macs hat, während die anderen sieben zu der Gruppe Angestellte zusammengefasst werden, die sich nicht an den Laptops der Geschäftsführung anmelden kann, dafür aber Zugriff auf bestimmte Produktivprogramme wie die Adobe Creative Suite 5.5 und Final Cut Pro X hat.

Benutzergruppen verwenden wir also, um die Einstellungen für Benutzer mit gleichen Anforderungen nicht individuell einrichten zu müssen, sondern diese Einstellungen auf einer darüberliegenden Gruppenebene nur einmalig für alle Gruppenmitglieder vornehmen zu können.

Des Weiteren benötigen wir auch Einstellungen auf der Computerebene. Wir können zum Beispiel regeln, dass nicht jeder Benutzer Zugriff auf einen bestimmten Computer erhält oder dass auf einem Mac bestimmte Programme installiert werden sollen, bestimmte Programmeinstellungen vorgenommen werden oder dieser Rechner nur einen bestimmten Drucker verwenden darf.

Genau wie bei Benutzern fassen wir auch hier mehrere Geräte mit gleichen Anforderungen zu Gruppen zusammen, um die Administrierbarkeit zu vereinfachen.

Unter Systemeinstellungen ? Benutzer & Gruppen haben wir gesehen, dass wir Benutzer und Gruppen anlegen und rudimentär verwalten können.

Darüber hinaus bieten sich aber deutlich weitreichendere Verwaltungsmöglichkeiten auch für Computer und Computergruppen, die in dem bereits erwähnten Verzeichnis /var/db/dslocal/nodes/Default/ liegen.

Tippen Sie im Terminal (wieder mit root-Rechten) Folgendes ein:

ls /var/db/dslocal/nodes/Default/

Hier sehen Sie, dass neben Benutzern auch Gruppen, Computer, Dateifreigaben und vieles mehr mit XML-Dateien verwaltet werden können. Die Technik, die wir hier einsetzen, um unseren Client zu verwalten, heißt »Managed Client for Mac OS X«, kurz »MCX«.

Prioritäten bei konkurrierenden Einstellungen

Sie können Einstellungen sowohl für einzelne Benutzer vornehmen als auch für Benutzergruppen, Computer und Computergruppen. Dabei kann es vorkommen, dass z.B. ein Benutzer individuell das Recht erhalten hat, das Programm »Keynote« zu öffnen. Er befindet sich aber in einer Gruppe, die dieses Recht ausdrücklich nicht besitzt. Allerdings ist er in einer zweiten Gruppe, die Keynote gleichfalls öffnen darf.

Der Computer, an dem sich der Benutzer anmeldet, wird ebenfalls verwaltet, und auf diesem Mac darf Keynote geöffnet werden. Darüber hinaus befindet sich der Mac aber in einer Computergruppe, die Keynote nicht öffnen darf.

Darf unser Benutzer Keynote nun öffnen oder nicht?

Grundsätzlich gilt folgende Prioritätenreihenfolge: Benutzereinstellungen haben immer die höchste Priorität und überschreiben alle anderen Einstellungen auf den Ebenen Gruppen, Computer und Computergruppen.

Als Nächstes kommen Computereinstellungen, dann Computergruppen und zuletzt Personengruppen.

Unser Beispielbenutzer darf Keynote also öffnen.

Computer- und Benutzergruppen können auch verschachtelt sein, sodass zum Beispiel die Gruppe »Design« eine Untergruppe namens »Screen« haben könnte. Dabei haben die Einstellungen der Untergruppe Priorität gegenüber der übergeordneten Gruppe, da hier das Prinzip gilt, dass Untergruppen gegenüber übergeordneten Gruppen die spezielleren Regelungen treffen.

Local MCX verwalten


Wenn wir das lokale Verzeichnis...

Dateiformat: EPUB
Kopierschutz: ohne DRM (Digital Rights Management)

Systemvoraussetzungen:

Computer (Windows; MacOS X; Linux): Verwenden Sie eine Lese-Software, die das Dateiformat EPUB verarbeiten kann: z.B. Adobe Digital Editions oder FBReader - beide kostenlos (siehe E-Book Hilfe).

Tablet/Smartphone (Android; iOS): Installieren Sie bereits vor dem Download die kostenlose App Adobe Digital Editions (siehe E-Book Hilfe).

E-Book-Reader: Bookeen, Kobo, Pocketbook, Sony, Tolino u.v.a.m. (nicht Kindle)

Das Dateiformat EPUB ist sehr gut für Romane und Sachbücher geeignet - also für "glatten" Text ohne komplexes Layout. Bei E-Readern oder Smartphones passt sich der Zeilen- und Seitenumbruch automatisch den kleinen Displays an. Ein Kopierschutz bzw. Digital Rights Management wird bei diesem E-Book nicht eingesetzt.

Weitere Informationen finden Sie in unserer E-Book Hilfe.


Dateiformat: PDF
Kopierschutz: ohne DRM (Digital Rights Management)

Systemvoraussetzungen:

Computer (Windows; MacOS X; Linux): Verwenden Sie zum Lesen die kostenlose Software Adobe Reader, Adobe Digital Editions oder einen anderen PDF-Viewer Ihrer Wahl (siehe E-Book Hilfe).

Tablet/Smartphone (Android; iOS): Installieren Sie die kostenlose App Adobe Digital Editions oder eine andere Lese-App für E-Books (siehe E-Book Hilfe).

E-Book-Reader: Bookeen, Kobo, Pocketbook, Sony, Tolino u.v.a.m. (nur bedingt: Kindle)

Das Dateiformat PDF zeigt auf jeder Hardware eine Buchseite stets identisch an. Daher ist eine PDF auch für ein komplexes Layout geeignet, wie es bei Lehr- und Fachbüchern verwendet wird (Bilder, Tabellen, Spalten, Fußnoten). Bei kleinen Displays von E-Readern oder Smartphones sind PDF leider eher nervig, weil zu viel Scrollen notwendig ist. Ein Kopierschutz bzw. Digital Rights Management wird bei diesem E-Book nicht eingesetzt.

Weitere Informationen finden Sie in unserer E-Book Hilfe.


Download (sofort verfügbar)

21,99 €
inkl. 19% MwSt.
Download / Einzel-Lizenz
ePUB ohne DRM
siehe Systemvoraussetzungen
PDF ohne DRM
siehe Systemvoraussetzungen
Hinweis: Die Auswahl des von Ihnen gewünschten Dateiformats und des Kopierschutzes erfolgt erst im System des E-Book Anbieters
E-Book bestellen