Mac OS X 10.5 Fast System Deployment Practice
注:
前一篇在这里: Mac OS X 10.5快速系统部署实践-制作核心系统镜像(2) v1
本地管理员
在企业中,为了方便管理用户,每个用户都有为了完成工作而设定的各自权限。为了管理每台电脑,管理员必需要有足够的权利管理该电脑系统,所以一个具有足够高权限的本地管理员帐户就是必不可少的了。
大家都知道,Mac OS X是基于BSD的类Unix系统的,它的核心是Darwin, 是Apple早在1989年发布的,它主要从FreeBSD, NEXTSTEP等系统发展过来的,它符合 SUSv3和POSIX UNIX规范,从10.6版本开始全面升级到64位编码。在Mac里面,系统管理员一般情况下不需要使用root用户来管理系统,而一个具有管理员权限的帐户就可以完成绝大多数的系统管理工作。所以,我们第一步要做的就是建立一个管理员帐户。
其实,通过安装盘安装MAc OS X系统的时候,系统会提示用户生成第一个用户帐户,其实这个帐户就是一个管理员帐户,使用这个帐户作为企业本地管理员帐户就可以,如果这样请跳过本小节仔细阅读下一小节的内容。
使用图形界面生成一个管理员帐户也是最简单的,下面同样只给出一个屏幕截图。
使用shell命令
完全可以用shell命令来完成管理员的帐户建立:
sudo -s echo "Creating System Admin Account..." dscl . -create /Users/sysadmin dscl . -create /Users/sysadmin UserShell /bin/bash dscl . -create /Users/sysadmin RealName "System Admin" dscl . -create /Users/sysadmin UniqueID 501 dscl . -create /Users/sysadmin PrimaryGroupID 80 dscl . -create /Users/sysadmin NFSHomeDirectory /Users/sysadmin dscl . -passwd /Users/sysadmin "sadigowre4t0au4" dscl . -append /Groups/admin GroupMembership sysadmin
cp -R /System/Library/User/ Template/English.lproj /Users/zhangsan chown -R sysadmin /Users/sysadmin |
上面的bash脚本创建了真实姓名是"System Admin",Unix用户名是sysadmin的,Unix唯一ID是501的,具有管理员权限(加入到admin管理员组)的本地帐户。大家可以对比看出普通用户和管理员帐户的区别。
root用户
sudo passwd root |
当然,我们还可以使用下面的命令行来打开和禁止root用户( 对于10.5的Leopard系统测试通过,之前的系统没有测试 )
# enable root user account / usr / sbin / dsenableroot -u adminusername -p adminuserpassword -r rootpassword |
管理员帐户安全和隐藏
为了保护管理员帐户的安全,该帐户应使用适当强度的密码,这一点自不必多说;只有工作内容需要知道的人才可以知道,并教育员工确立对帐户和密码的保护和正确使用意识,以及密码的保存形式等的管理都是保证这个密码长期有效的保障。
为了系统更安全,管理员帐户名称最好对普通用户隐藏,首先普通用户没有必要知道有这么一个帐户,同时也给系统破解带来障碍。
使用图形界面可以查找不同用户的UID号码, 如下图的User ID:
使用下面的命令可以列出所有当前系统用户占用的UID:
dscl . list /Users UniqueID |
或者是命令行方式, 如下面的命令:
dscl . -create /Users/sysadmin NFSHomeDirectory /Users/sysadmin |
或者可以使用隐藏目录的命令如SetFile,来设置目录的扩展属性,使其对于图形界面Finder等隐藏。这种方式也是可以接受的,但是相比把home目录移动的方法,个人认为还是移动Home的方法更隐蔽。
sudo setfile -a V /Users/sysadmin |
上面的命令就在Finder里面隐藏了sysadmin管理员帐户的Home目录。
使用命令行的方式,例如下面的命令行隐藏了sysadmin:
sudo defaults write /Library/Preferences/com.apple.loginwindow HiddenUsersList -array-add sysadmin |
最后,测试:
一定要测试,测试的结果可能是一种方法不能解决,可能需要另外一种或者多种方法组合才能解决问题。
远程管理服务
具体设置在, System Preferences->Sharing, 选中 x和x 的两个选项,并且选择添加用户,赋予足够的权限。
对于Remote Management还需要具体设定管理员的具体权限,我这里选种了所有的权限。对于不同企业的来说很可能会不一样。
一般来说,要打开Remote Login和Remote Management两个选项,这样管理员即可以使用ssh的命令行方式管理客户机,也可以使用Apple Remote Desktop的图形方式来管理. 这两种方式都给管理员以方便远程管理。当然了,一定要注意企业内部的安全管理规定,有的情况或者并不是对所有人都适合这样的设置。
使用命令行也可以达到添加管理员用户为远程管理服务的认可权限。
主密码和FileVault
登陆窗口背景
这是一个关乎外观而无关功能的小技巧,这里只是提醒一下,也就是把默认的LoginWindow的背景画面变更为带有公司宣传或者 简单叙述 公司使用规章的背景。首先制作一张公司背景图,应该是JPG格式的,大小,存放在任何一个地方,但是最好给所有人只读的权限,比如说,保存位置在/System/Library/CoreServices/CompanyLogin.jpg
然后使用下面的语句变更背景
sudo defaults write /Library/Preferences/com.apple.loginwindow DesktopPicture /System/Library/CoreServices/CompanyLogin.jpg |
退出登录后察看是否起作用,否则请检查该图形文件的属性。
常用工具
有好多系统管理工具,这里不可能完全涵盖,只是列出一部分使用最多的。如果谁有好的建议,我们欢迎积极提出反馈。
Cocktail
Onyx
续:Mac OS X 10.5快速系统部署实践-制作核心系统镜像(3) v1
Tony Liu
2009 Calgary