我运行一个混合环境,其中 Windows 域/Active Directory 上同时有 Mac 用户和 Windows 用户。
我曾让几个 Mac 用户升级他们的操作系统,而没有考虑这会对他们使用的软件造成的影响。
有没有办法配置 Mac 以便只有管理员用户才有权限升级操作系统?
答案1
任何本地管理员都可以升级操作系统,并且机器通常不会脱离 AD。因此,唯一明显的选择是
- 剥夺用户的管理权限。准备好面对辱骂、大喊和管理升级。缺点是你需要给他们一些权限细粒度。
- 修改
/etc/sudoers以限制他们的能力。这可能比 #1 更复杂,因为它的记录较少 - 如果您托管软件更新,请阻止更新可用。请查看这一页了解如何做到这一点。
- 使用高质量的 OSX 管理工具(我是 JAMF 的 Casper Suite 的忠实粉丝),它将允许您推送抑制更新的机器策略。
GL