我们使用Mac OS X 10.5.8客户端运行Mac OS X Server 10.5.8。 学生使用networkinglogin来login。
我被要求拒绝对特定用户的互联网访问。 我被告知,一个好的方法是创build一个名为“无法访问Internet”的用户工作组并在那里pipe理设置。 (具体来说,我告诉家长控制允许访问没有网站,并列入所有安装的浏览器黑名单)。
现在,当用户进行身份validationlogin时,会看到这个对话框:
Workgroups for <username> Grade 7 Students No Internet Access 学生不太可能select“不能上网”作为他们的基础小组。
在学生的logging中查看Workgroup Manager,它显示他们的主要组ID是7级组,而“没有Internet访问”被列为他们所属的另一个组。
我查看了与login相关的所有计算机的托pipe偏好设置。 他们被设置为默认值。 具体而言,计算机组对“login” – >“访问”的偏好设置具有以下默认设置:
根据我对Macpipe理员的提示和技巧的阅读,这应该是正确的,不应该询问用户属于哪个组,应该应用来自所有适用组的设置。 我怎样才能达到这个结果?
编辑:我决定添加一些额外的信息,从Macpipe理白皮书的提示和技巧 (通过苹果在教育 ,通过作者的网站 )。
在第21页上,它说:
使用Leopard MCX,工作组首选项设置默认组合为一组值。 这意味着用户login时不必在math,科学或语言艺术工作组之间进行select,而只需进行身份validation并直接进入桌面即可。 所有这些工作组的设置都合成在一起,为您提供所有Dock项目以及所有其他设置的组合。
在第40页上,给出了一个示例,其中设置来自不同的“域”,一个计算机组,两个(用户)工作组和一个单独的用户设置。
[当johndlogin到leopard客户端时] Dock中从左到右排列的项目是:计算机组,按字母顺序排列的第一个工作组,第二个工作组,用户。 工作组中的项目按字母顺序进行。
有没有迹象表明团体是嵌套的; 事实上,对于像math,科学和语言艺术这样的组织来说,我看不出任何合理的(不平坦的)规矩。
我坚信,有两种方法可以应用来自两个不相关用户工作组的设置,以便OS X 10.5.x或更高版本的用户不需要select其工作组。 这是我想要达到的。
问题是你已经指定用户成为两个组的一部分。 如果一切设置不正确,OS X可能会变得非常困惑。 相反,你应该使用组的层次结构。
例如,用户X 只能是没有互联网组的成员,没有互联网组应该是七年级学生组的成员。 (是的,团体可以是其他团体的成员)。 由于这两个组织正在设置不相关的,不冲突的pipe理偏好,所以偏好“滴落”,并且全部应用于“无互联网”组的成员。
扩大这个想法,你可以创build一个名为“所有用户”的小组,其中包含适用于每个帐户的设置,然后是属于该小组的成员的两个小组,称为“教师”和“学生”,具有适当的设置,然后组每个年级的“学生”(如果您愿意的话,则是每个年级下的一个名为“没有互联网”的组)。
你也可以做到肮脏,不推荐的方式,并直接在用户帐户上pipe理没有互联网设置,但我会build议高度反对。
通过编辑login首选项,我可以让我的用户跳过工作组select屏幕。 (我正在使用OS X Lion Server 10.7.3以及相匹配的10.7版本的Admin Tools。)
Combine available workgroup settings (Mac OS X v10.5 or later) http://f.cl.ly/items/3p1o2R1L232v342b3y1w/Screen%20Shot%202012-04-08%20at%205.50.30%20PM.png
