我们运行 Mac OS X Server 10.5.8 和 Mac OS X 10.5.8 客户端。学生使用网络登录。
有人要求我拒绝特定用户的互联网访问。有人告诉我,一个好方法是创建一个名为“禁止互联网访问”的用户工作组,并在那里管理设置。(具体来说,我告诉家长控制不允许访问任何网站,并将所有已安装的网络浏览器列入黑名单)。
现在,当用户验证登录时,他们会看到以下对话框:
Workgroups for <username>
Grade 7 Students
No Internet Access
学生不太可能愿意选择“无互联网访问”作为他们的基准组。
在工作组管理器中查看学生的记录,显示他们的主要组 ID 是 7 年级组,并且“无互联网访问”被列为他们所属的另一个组。
我查看了所有与登录有关的计算机的管理首选项。它们都设置为默认值。具体来说,计算机组的“登录”->“访问”首选项具有默认值:
- [未选中] 忽略工作组嵌套
- [选中] 合并可用的工作组设置
根据我对 Mac 管理员的提示和技巧的阅读,这应该是正确的,不应询问用户他们属于哪个组,并且应应用所有适用组的设置。我怎样才能实现这个结果?
编辑:我决定从Mac 管理技巧和窍门白皮书(通过Apple 在教育领域, 通过作者的网站)。
第 21 页写道:
使用 Leopard MCX,工作组首选项设置默认合并为一组值。这意味着用户登录时无需在数学、科学或语言艺术工作组之间进行选择,只需进行身份验证即可直接进入桌面。每个工作组的所有设置都合并在一起,为您提供所有 Dock 项目和所有其他设置的综合。
第 40 页给出了一个示例,其中设置由不同的“域”、一个计算机组、两个(用户)工作组和一个单独用户的设置组合而成。
[当 johnd 登录 leopard 客户端时,] Dock 中从左到右显示的项目依次为:计算机组、第一个工作组(按字母顺序排列)、第二个工作组、用户。工作组内的项目按字母顺序排列。
没有任何迹象表明群体是嵌套的;事实上,我看不到数学、科学和语言艺术等群体有合理的(非扁平)层次结构。
我坚信有一种方法可以应用两个不相关的用户工作组的设置,这样 OS X 10.5.x 或更高版本的用户就无需选择他们的工作组。这就是我想要实现的。
答案1
问题在于您已将用户指定为两个组的一部分。如果一切设置不正确,OS X 可能会变得非常混乱。相反,您应该使用组层次结构。
例如,用户 X 应该仅有的是“禁止上网”群组的成员,而“禁止上网”群组应该是 7 年级学生群组的成员。(是的,群组可以是其他群组的成员)。由于这两个群组设置的是无关、不冲突的管理偏好,因此这些偏好会“涓滴而下”,并全部应用于“禁止上网”群组的成员。
扩展这个想法,您可以创建一个名为“所有用户”的组,该组具有可应用于每个帐户的设置,然后创建该组的两个成员组“教师”和“学生”,并进行适当的设置,然后在“学生”下为每个年级创建组(然后在每个年级下创建一个名为“无互联网”的组,以阻止互联网访问,如果您愿意的话)。
您还可以采用不道德、不推荐的方式,直接在用户帐户上管理无互联网设置,但我强烈建议不要这样做。
答案2
通过编辑登录首选项,我可以让我的用户跳过工作组选择屏幕。(我使用的是 OS X Lion Server 10.7.3。以及匹配的 10.7 版管理工具。)
- 在工作组管理器 (WGM) 中,您需要选择要建立首选项的对象。我使用了计算机组,但我很确定您可以选择用户、用户组、计算机或计算机组。
- 选择优先在 WGM 工具栏中
- 选择登录
- 选择使用权
- 选择何时进行管理,很可能是你想要的总是
- 勾选底部的方框
Combine available workgroup settings (Mac OS X v10.5 or later) - 现在申请
