作为邪恶的企业 IT 霸主,我们需要阻止新的 OS X App Store。您可能知道,10.6.6 更新会安装 App Store App,它允许用户在没有管理员权限的情况下下载和安装应用程序。
一些建议:
不要更新到 10.6.6+
使用家长控制
大概是一些 OD 政策(如果你有一个我们没有的 OD 服务器)
通过 DNS 或代理阻止应用商店
不更新至 10.6.6+ 并非真正的长期解决方案,因为它包含安全修复程序,而且无论如何新 Mac 都会附带该程序。在网络层面阻止应用商店并不能解决笔记本电脑用户的问题。
理想情况下,简单的系统偏好设置或编辑可以通过 ARD 推出的 plist 将是最好的解决方案。
请注意,问题不是应该我们封锁了应用商店,如何我们可以屏蔽应用商店。
简单更新一下,似乎您使用的不是具有管理员权限的帐户,您可能需要在首次下载应用程序进行安装时提供管理员凭据,这可能会解决部分问题。这与要求管理员和非管理员都执行的正常 OS X 权限提升行为截然不同。
答案1
如果您没有将这些计算机连接到 OpenDirectory 服务器(首选方法是通过工作组管理器限制应用程序的启动),您可以设置 App Store 应用程序的权限以不允许用户运行它:
chmod -R 000 /Applications/AppStore.app
这可以防止任何人启动该应用程序。它可以通过 ARD 推出,可以添加到您的基础映像中,也可以在启动脚本中设置。
我不知道这会对系统上运行的其他应用程序产生什么影响,所以你应该先测试一下。
答案2
iTunes Store 通过标准 HTTP(S) 端口 80 和 443 进行连接,因此我认为 Mac App Store 也是这样。
以下是 Apple 知识库中有关通过 URL 阻止 iTunes 商店的文章: http://support.apple.com/kb/HT3303
它说
为了阻止客户端计算机连接到 iTunes Store,网络管理员可以阻止互联网主机“itunes.apple.com”。
从快速 tcpdump 来看,App Store 目前似乎使用相同的 URL……
答案3
运行数据包嗅探器。运行 App Store。找出 Apple App Store 使用的地址。在外围防火墙上阻止该地址、该端口上的所有传入/传出。
答案4
您还可以编辑 Active Directory 架构,使其包含模拟 MCX 的额外信息(类似于组策略)。然后,您可以从 Mac 上的 Workgroup Manager 登录 AD 服务器,将 AD 用户/组导入为增强记录,并阻止该应用程序。阻止一件事需要做很多工作,但从长远来看,这意味着您对 Mac 的控制力更强。
以下是 Apple 网络研讨会的链接,它将引导您完成这些步骤,并 (更好、更详细地) 解释我上面所说的内容:
http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301
这是一份 PDF(不确定是否是最近的)
http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf