探索中国CIO人才现状 | 第四季调研报告
企业管理Mac电脑的三种方式
2015-08-07  来源:techtarget

虽然Mac电脑很少见,但也成功走入IT企业。IT必须找出与现有Windows Active Directory域整合的解决方案,并且确定所需的工具或系统。

确定如何将Mac电脑整合到Windows基础设施不是一个简单的任务,应该明确需要支持的Mac电脑数量,以及组织中现有的工具和系统的访问类型。

相比Windows电脑,许多企业员工更喜欢Mac电脑。iOS设备开始涌入企业,并且苹果也承诺了无缝集成的能力——但结果往往引发火灾。即使这样,Mac电脑在Windows大环境中仍具有一席之地。

一方面适应Mac电脑,一方面保护公司资产和控制资源,IT团队可以通过三个主要方法实现:使用现有的工具将Mac电脑和Windows电脑一起整合到活动目录(Active Directory,AD)域中;将Mac电脑整合到AD域中但是使用专属工具进行管理;第三种方法是将Mac电脑作为移动设备进行单独管理。

将Mac电脑整合到AD域中

许多IT管理员更喜欢将Mac电脑随Windows桌面一样无缝添加到AD环境中。在某种程度上,OS X可以使用这种方法,因为Mac台式机和笔记本包括加入AD域所需的客户端组件和其他标准目录服务。

将Mac绑定到域的方法相对简单,前提是用户有必要的计算机访问和域凭证。计算机加入域时,Windows Server在AD中自动创建计算机对象(除非它已经存在),就像一个Windows桌面。

Mac OS X的最新版本已经使苹果产品更容易集成,因为Mac OS X可以使用微软系统中心配置管理器(SCCM)和Exchange ActiveSync。事实上,SCCM现在支持Mac OS X 10.10(Yosemite)客户端。

然而,Mac终究不是Windows桌面,而且大多数管理产品是为Windows电脑所开发。这意味着会出现兼容性问题。缓解这些问题的一个方法是扩展AD模式,以更好地适应Mac电脑,但是这样做需要开发资源以及技术专家,对于很多组织来说有些艰难,尤其是Mac用户较少的企业。

幸运的是,管理员可以借助用于Mac OS的命令来增强现有工具的能力。管理员可以通过命令设置屏幕保护程序空闲时间、正确配置语言和文本格式、禁用校正等等。

使用AD和第三方工具

尽管AD和Mac OS X中的命令使集成简单,许多管理员发现使用其他工具更容易进行管理。管理员可以将Mac电脑加入AD域,然后使用Apple远程桌面将命令发送到Mac客户端。

另一种做法是在Mac自己的系统上实现Mac OS X Server,然后使用苹果公司的Profile Manager基于AD组设置Mac策略。这需要建立一个Open Directory域以及AD服务,这可以使远程管理更方便。AD控制着Windows和Open Directory/OS X服务器,因为Mac电脑是绑定到AD的,两种环境之间可以无缝沟通,实现共享文件和打印服务。

如果这种做法难以实现,你可以考虑Centrify User Suite(Mac版),它可以管理Mac电脑并且使用AD认证基础设施来集中管理认证、政策实施以及单点登录。另外一个常用的选择是JAMF Software的Casper Suite,这是一个全面的端点管理产品,可以与AD和Open Directory集成。

使用微软产品结合Mac与AD并不是唯一的办法。通常情况下,使用Mac电脑时最有效的方式是将它们当做Unix而不是Windows桌面。除了将它们与当前基础设施集成,在任何其他方面都可以视作单独的设备类型。

将Mac电脑作为移动设备进行管理

苹果公司自OS X 7操作系统开始,一直使用移动设备管理(MDM)模型,取代了传统的目录服务模型。这使得管理员可以使用Macs电脑、iOS和Android设备相同的管理工具。

例如,OS X 10允许管理员查询Mac电脑的iTunes账户以确定与计算机相关的Apple ID是否已经发生改变。iOS设备管理员也可以做到这一点。这有助于确保资源——如应用程序和通过苹果的Volume Purchasing Program购买的书籍对应正确的用户。

苹果的新MDM框架还允许管理员在管理设备上发起AirPlay会话,向Mac电脑推送企业应用软件和电子书。此外,苹果公司已经加强了OS X Server的平台能力,使其变得更加MDM友好。用户可以注册他们的Mac电脑,供应商可以利用逐渐增多的可用的应用程序编程接口来支持第三方安全管理解决方案。

AirWatch等新特性允许管理员管理Mac电脑与智能手机和平板电脑。通过AirWatch Mac Manager,管理员可以执行各种管理任务,如更新密码配置文件、创建电子邮件帐户管理域、授权AirPlay、分发和跟踪软件资产。

尽管许多管理产品可以与AD集成,组织也可以使用单独的工具如MobileIron或未绑定到AD的苹果服务器。管理员还可以通过虚拟专用网络实现用户访问,而且Mac电脑无需加入域。当用户使用个人Mac笔记本电脑时这种方法很有用。