【2014年1月15日 51CTO外電頭條】用戶與用戶群組一直以來都由名為“工作組管理器”的服務(wù)器管理工具負(fù)責(zé)配置，現(xiàn)在該工具也依然存在；如果大家不喜歡Server.app中的控制機(jī)制的話，可以隨意使用前者。工作組管理器并不歸屬于Mavericks，用戶需要單獨(dú)進(jìn)行下載；不過Server.app中的用戶與群組單元也已經(jīng)經(jīng)過調(diào)整，其中保留了大部分早期版本所提供的重要選項(xiàng)。

創(chuàng)建一個新的Open Directory用戶。

Open Directory服務(wù)器中存在著三種不同類型的用戶：本地用戶賬戶只能登錄到服務(wù)器本身、網(wǎng)絡(luò)用戶賬戶能夠登錄到目錄當(dāng)中的計(jì)算機(jī)并使用服務(wù)器上的服務(wù)、而網(wǎng)絡(luò)服務(wù)賬戶只能被用于訪問服務(wù)。大家可以在"用戶"條目下查看、創(chuàng)建并編輯各種用戶類型。

在創(chuàng)建網(wǎng)絡(luò)用戶時，我們必須為其設(shè)置一個完整名稱、一個簡短名稱和一個密碼，另外大家也可以為其輸入一個電子郵箱地址。聯(lián)系人服務(wù)會從Open Directory當(dāng)中提取內(nèi)容以填寫名稱與郵箱地址，因此也務(wù)必保證大家輸入的信息準(zhǔn)確無誤且沒有紕漏。我們可以在Home Folder下拉菜單中選擇該賬戶的類型，即標(biāo)準(zhǔn)網(wǎng)絡(luò)賬戶或者是服務(wù)賬戶。

如果大家設(shè)置了一個共享文件來保存File Sharing服務(wù)中的用戶Home文件夾，那么也可以選擇是否讓自己的網(wǎng)絡(luò)用戶在登錄使用的Mac設(shè)備上保存自己的配置文件、或者將他們的配置文件保存在服務(wù)器端。后一種選擇相當(dāng)于蘋果版本的微軟Roaming Profiles。由于存在網(wǎng)絡(luò)延遲，登錄以及文件處理速度可能要慢一些，但所有用戶文件以及設(shè)置都將可以在用戶登錄的任何當(dāng)前計(jì)算機(jī)上使用，從而顯著提高便利性。

利用Disk Quota字段，我們可以限制用戶配置文件可以使用的服務(wù)器存儲空間。需要指出的是，這一分配數(shù)量并不適用于全部服務(wù)--郵件賬戶擁有自己的分配空間，Time Machine備份機(jī)制也是（這是一項(xiàng)新功能，我們將在后文中詳加描述）。

創(chuàng)建完成之后，大家可以在自己的服務(wù)器上管理用戶對個別服務(wù)的訪問--舉例來說，允許用戶使用郵件、但不允許其使用Time Machine或者VPN。在Users面板下，大家還可以設(shè)定密碼策略（其中包括密碼的最小長度以及有效日期范圍）；如果大家不允許用戶在服務(wù)器上訪問他們自己的郵件賬戶，則可以通過Edit Mail Options字段設(shè)置郵件轉(zhuǎn)發(fā)所指向的個別賬戶。

與個別管理相比、利用Groups管理大量用戶能夠顯著提高工作效率。

如果大家擁有大量用戶需要管理，則可以對其進(jìn)行分組并進(jìn)行設(shè)置管理，這樣能夠顯著提高工作效率。盡管大家無法為分組設(shè)定磁盤配額以及主目錄，但仍然可以允許或者阻止群組對服務(wù)的訪問并為各個群組提供獨(dú)立的文件共享、維基頁面以及群組郵件列表。除此之外，如果該服務(wù)已經(jīng)啟用、大家還可以自動將群組成員綁定在Messages應(yīng)用程序當(dāng)中。

與Active Directory進(jìn)行比照

與完全成熟的Active Directory相比，Open Directory在配置流程上無疑更為簡單。在Server.app當(dāng)中進(jìn)行用戶及群組配置的難度與早先的Workgroup Manager相比同樣簡單得多--而且這一變更自美洲獅版本以來就被固定了下來。對于家用或者小型Mac業(yè)務(wù)環(huán)境來說，更低的配置難度必然大大緩和了入門門檻，而且我們可以在無需投入太多時間的前提下建立目錄并將其投付運(yùn)行。

不過這種簡便性是以犧牲功能性為代價的。值得注意的是，Open Directory缺少Avtice Directory所具備的任何一種軟件安裝功能。管理員們必須依賴于蘋果遠(yuǎn)程桌面或者第三方產(chǎn)品（例如Casper Suite）才能實(shí)現(xiàn)第三方應(yīng)用程序的安裝與補(bǔ)丁更新。

另一項(xiàng)功能缺失（自從雪豹版本以來始終缺失）在于無法將Windows計(jì)算機(jī)綁定到Open Directory服務(wù)器當(dāng)中。為了正常打理Windows及OS X計(jì)算機(jī)所構(gòu)成的網(wǎng)絡(luò)體系，蘋果現(xiàn)在建議服務(wù)器管理員將Mac設(shè)備同時綁定在Active Directory服務(wù)器與Open Directory服務(wù)器上，這套名為"magic triangle"的配置會利用Active Directory服務(wù)器處理Windows計(jì)算機(jī)的驗(yàn)證與設(shè)置、外加Mac設(shè)備的驗(yàn)證任務(wù)，同時Open Directory服務(wù)器則負(fù)責(zé)控制Mac設(shè)備的設(shè)置內(nèi)容。這樣嚴(yán)重的功能缺失確實(shí)非同小可，雖然事實(shí)上很多企業(yè)長久以來并未注意到。Active Directory在企業(yè)中幾乎可以說無所不在，因此OS X Server一般只需要有能力與現(xiàn)有目錄進(jìn)行整合即可、而并不必取而代之。

　　配置文件管理器（Profile Manager）

在介紹完了Open Directory之后，Profile Manager堪稱OS X Server當(dāng)中最值得關(guān)注的主要服務(wù)。在它的幫助下，我們可以創(chuàng)建配置文件并將其傳播到自己的Mac及iOS設(shè)備上，從而自動配置系統(tǒng)中的幾乎一切項(xiàng)目--從電子郵箱賬戶到密碼要求再到Dock圖標(biāo)幾乎無所不包。一旦客戶端安裝了我們提供的配置文件之一，大家就可以憑借Push Notification通知機(jī)制（前提是在服務(wù)器上啟用該機(jī)制）自動發(fā)布設(shè)置更新。

配置文件的創(chuàng)建形式為.mobileconfig，大家可能已經(jīng)注意到了，這種形式與由iPhone Configuration Utility以及蘋果Configurator所創(chuàng)建的配置文件完全相同，只不過前者也能用于管理Mac設(shè)備。在大家啟用了Profile Manager之后，請打開Device Management并輸入需要的設(shè)置--包括組織名稱、電子郵件地址以及SSL證書--而后就可以動手進(jìn)行設(shè)備管理了。

在默認(rèn)狀態(tài)下，配置文件被稱為"Settings for Everyone"，而且可以通過基于Web的Profile Manager門戶進(jìn)行配置或者替換。對于那些已經(jīng)經(jīng)過配置的服務(wù)--例如郵件、VPN、日歷等等--檢查"Include configuration for services"對話框能夠非常方便地確保所有與網(wǎng)絡(luò)相連接的用戶都可以訪問這些服務(wù)。如果大家需要更多細(xì)化而具體的選項(xiàng)，則點(diǎn)擊Server.app中的Open Profile Manager鏈接、或者是在我們使用的瀏覽器中輸入/profilemanager加以訪問。

Profile Manager的配置文件能夠被發(fā)布到用戶、用戶組、設(shè)備以及設(shè)備組當(dāng)中。上圖所示為常用的"Settings for Everone"配置文件，而Profile Manager可以作為很好的功能性補(bǔ)充。

在Profile Manager之下，大家可以查看之前在Open Directory當(dāng)中已經(jīng)創(chuàng)建完成的所有用戶以及群組。我們也可以查看針對設(shè)備及設(shè)備組的輸入字段區(qū)，不過目前其中還沒有顯示內(nèi)容。為了使其正常進(jìn)行顯示，我們需要通過導(dǎo)航訪問Profile Manager登錄頁面，并在/myprofies目錄下查看所有需要管理的設(shè)備。iPhone、iPad、iPod Touch以及運(yùn)行著OS X 10.7、10.8或者10.9版本的Mac設(shè)備都包含其中，并且能夠通過幾乎相同的方式實(shí)現(xiàn)管理。其它早期版本的OS X設(shè)備不支持Profile Manager，但仍然可以利用Workgroup Manager實(shí)現(xiàn)管理，這一舊有機(jī)制我們就不再詳加論述了。

Profile Manager當(dāng)中包含的iOS及Mac設(shè)備遠(yuǎn)程鎖定與清除功能同樣可以通過iCloud以及Exchange服務(wù)器來實(shí)現(xiàn)，然而如果大家沒有Exchange服務(wù)器、又不信任用戶隨意打理iCloud，那情況就比較悲劇了。

在我們利用網(wǎng)絡(luò)用戶賬戶進(jìn)行登錄之后，大家會看到一個巨大的藍(lán)色按鈕、用于進(jìn)行設(shè)備注冊。注冊完成之后，接下來要面對的就是我們的管理員Profile Manager界面，在這里大家可以查看、編輯并推送新設(shè)置--隨心所欲進(jìn)行管理吧。如果大家使用的是自簽名SSL證書，那么可能還需要在向設(shè)備上安裝配置文件之前、首先在Profiles選項(xiàng)卡中為企業(yè)安裝Trust Profile。請注意，設(shè)置當(dāng)中包含這樣一項(xiàng)配置文件控制選項(xiàng)--是否允許用戶事后將配置文件從設(shè)備內(nèi)移除。如果大家不希望用戶移除我們推送的配置文件并由此引發(fā)潛在安全違規(guī)情況，請確保這一選項(xiàng)得到正確處理。

在設(shè)備注冊完畢后，管理員可以對其進(jìn)行查看、鎖定或者內(nèi)容清除，并且通過將設(shè)備整理分組以簡化管理流程。具體硬件信息當(dāng)中包括MAC地址、UDID、IMEI碼以及特定機(jī)型與軟件信息，這些內(nèi)容都被保存在服務(wù)器當(dāng)中--對于iOS設(shè)備來說，大家甚至可以查看最后一次登錄時的電池電量。對于管理員們來說，這是一款在追蹤硬件狀態(tài)方面異常強(qiáng)大的工具。用戶也能夠通過它實(shí)現(xiàn)設(shè)備鎖定與內(nèi)容清除，而且完全無需管理員的介入或者干預(yù)。

Mavericks版本還為我們帶來幾種新的附加應(yīng)用程序發(fā)布選項(xiàng)。值得注意的是，現(xiàn)在大家可以將通過蘋果批量采購計(jì)劃（即Volume Purchase Program）所獲得的應(yīng)用及媒體向用戶發(fā)布、旨在滿足企業(yè)以及教育機(jī)構(gòu)的實(shí)際需求。這樣的設(shè)定相信也是為了順應(yīng)蘋果向教科書市場進(jìn)軍的新一輪趨勢。批量采購計(jì)劃還可以被用于向企業(yè)交付并未公開在App Store開放下載的定制化應(yīng)用程序，而Profile Manager也將通過iOS開發(fā)者企業(yè)計(jì)劃（即Developer Enterprise Program）實(shí)現(xiàn)內(nèi)部開發(fā)應(yīng)用的發(fā)布。

Tech Republic網(wǎng)站曾經(jīng)詳盡論述過批量采購計(jì)劃的具體細(xì)節(jié)，包括如何確認(rèn)申請者的實(shí)際身份、是否已經(jīng)通過了批量采購應(yīng)用所必需的認(rèn)證等。一旦經(jīng)過審核，大家就需要下載批量采購令牌并將其接入Server.app以實(shí)現(xiàn)采購內(nèi)容管理。利用OS X Server與批量采購網(wǎng)站相配合，大家就可以實(shí)現(xiàn)自動安裝、卸載應(yīng)用程序并追蹤其許可使用情況（MaaS360等其它移動設(shè)備管理服務(wù)也提供類似的功能）。

對多臺需要共享同一套設(shè)置的設(shè)備進(jìn)行分組--舉例來說，將Mac設(shè)備劃分在計(jì)算機(jī)標(biāo)簽下--能夠大大簡化管理流程。

幾乎所有適用于iOS設(shè)置應(yīng)用或者OS X系統(tǒng)偏好設(shè)置的項(xiàng)目都可以通過Profile Manager所生成的.mobileconfig文件加以控制。點(diǎn)擊"Edit"，我們會看到所有能夠進(jìn)行設(shè)置的具體項(xiàng)目，其中郵件、VPN、安全驗(yàn)證以及無線網(wǎng)絡(luò)等設(shè)置內(nèi)容分別適用于iOS與OS X系統(tǒng)，而其它一些項(xiàng)目則專門針對iOS（例如利用iCloud進(jìn)行備份或者應(yīng)用內(nèi)購）或者OS X（例如Dock圖標(biāo)、Gatekeeper設(shè)置、遠(yuǎn)程配置文件以及打印機(jī)設(shè)置等）平臺。大家也可以上傳自己定制的.plist文件并將其應(yīng)用至OS X計(jì)算機(jī)，從而對沒有被計(jì)入Profile Manager的第三方應(yīng)用進(jìn)行配置；另外，我們還能夠部署批量許可iOS應(yīng)用。

Profile Manager對于目錄管理員來說是一款強(qiáng)大的工具，但對在家中使用大量OS X以及iOS設(shè)備的朋友們來說同樣非常實(shí)用（或者大家的孩子擁有自己的iOS設(shè)備，而我們希望通過設(shè)置對他們的使用加以限制）。大家只需要作出非常簡單的判斷：到底是集中式配置管理更方便、還是逐個對設(shè)備進(jìn)行手動配置更簡單。很明顯，答案視您所持有的設(shè)備數(shù)量而定。