【2014年1月15日 51CTO外電頭條】用戶與用戶群組一直以來都由名為“工作組管理器”的服務器管理工具負責配置，現在該工具也依然存在；如果大家不喜歡Server.app中的控制機制的話，可以隨意使用前者。工作組管理器并不歸屬于Mavericks，用戶需要單獨進行下載；不過Server.app中的用戶與群組單元也已經經過調整，其中保留了大部分早期版本所提供的重要選項。

創建一個新的Open Directory用戶。

Open Directory服務器中存在著三種不同類型的用戶：本地用戶賬戶只能登錄到服務器本身、網絡用戶賬戶能夠登錄到目錄當中的計算機并使用服務器上的服務、而網絡服務賬戶只能被用于訪問服務。大家可以在"用戶"條目下查看、創建并編輯各種用戶類型。

在創建網絡用戶時，我們必須為其設置一個完整名稱、一個簡短名稱和一個密碼，另外大家也可以為其輸入一個電子郵箱地址。聯系人服務會從Open Directory當中提取內容以填寫名稱與郵箱地址，因此也務必保證大家輸入的信息準確無誤且沒有紕漏。我們可以在Home Folder下拉菜單中選擇該賬戶的類型，即標準網絡賬戶或者是服務賬戶。

如果大家設置了一個共享文件來保存File Sharing服務中的用戶Home文件夾，那么也可以選擇是否讓自己的網絡用戶在登錄使用的Mac設備上保存自己的配置文件、或者將他們的配置文件保存在服務器端。后一種選擇相當于蘋果版本的微軟Roaming Profiles。由于存在網絡延遲，登錄以及文件處理速度可能要慢一些，但所有用戶文件以及設置都將可以在用戶登錄的任何當前計算機上使用，從而顯著提高便利性。

利用Disk Quota字段，我們可以限制用戶配置文件可以使用的服務器存儲空間。需要指出的是，這一分配數量并不適用于全部服務--郵件賬戶擁有自己的分配空間，Time Machine備份機制也是（這是一項新功能，我們將在后文中詳加描述）。

創建完成之后，大家可以在自己的服務器上管理用戶對個別服務的訪問--舉例來說，允許用戶使用郵件、但不允許其使用Time Machine或者VPN。在Users面板下，大家還可以設定密碼策略（其中包括密碼的最小長度以及有效日期范圍）；如果大家不允許用戶在服務器上訪問他們自己的郵件賬戶，則可以通過Edit Mail Options字段設置郵件轉發所指向的個別賬戶。

與個別管理相比、利用Groups管理大量用戶能夠顯著提高工作效率。

如果大家擁有大量用戶需要管理，則可以對其進行分組并進行設置管理，這樣能夠顯著提高工作效率。盡管大家無法為分組設定磁盤配額以及主目錄，但仍然可以允許或者阻止群組對服務的訪問并為各個群組提供獨立的文件共享、維基頁面以及群組郵件列表。除此之外，如果該服務已經啟用、大家還可以自動將群組成員綁定在Messages應用程序當中。

與Active Directory進行比照

與完全成熟的Active Directory相比，Open Directory在配置流程上無疑更為簡單。在Server.app當中進行用戶及群組配置的難度與早先的Workgroup Manager相比同樣簡單得多--而且這一變更自美洲獅版本以來就被固定了下來。對于家用或者小型Mac業務環境來說，更低的配置難度必然大大緩和了入門門檻，而且我們可以在無需投入太多時間的前提下建立目錄并將其投付運行。

不過這種簡便性是以犧牲功能性為代價的。值得注意的是，Open Directory缺少Avtice Directory所具備的任何一種軟件安裝功能。管理員們必須依賴于蘋果遠程桌面或者第三方產品（例如Casper Suite）才能實現第三方應用程序的安裝與補丁更新。

另一項功能缺失（自從雪豹版本以來始終缺失）在于無法將Windows計算機綁定到Open Directory服務器當中。為了正常打理Windows及OS X計算機所構成的網絡體系，蘋果現在建議服務器管理員將Mac設備同時綁定在Active Directory服務器與Open Directory服務器上，這套名為"magic triangle"的配置會利用Active Directory服務器處理Windows計算機的驗證與設置、外加Mac設備的驗證任務，同時Open Directory服務器則負責控制Mac設備的設置內容。這樣嚴重的功能缺失確實非同小可，雖然事實上很多企業長久以來并未注意到。Active Directory在企業中幾乎可以說無所不在，因此OS X Server一般只需要有能力與現有目錄進行整合即可、而并不必取而代之。

　　配置文件管理器（Profile Manager）

在介紹完了Open Directory之后，Profile Manager堪稱OS X Server當中最值得關注的主要服務。在它的幫助下，我們可以創建配置文件并將其傳播到自己的Mac及iOS設備上，從而自動配置系統中的幾乎一切項目--從電子郵箱賬戶到密碼要求再到Dock圖標幾乎無所不包。一旦客戶端安裝了我們提供的配置文件之一，大家就可以憑借Push Notification通知機制（前提是在服務器上啟用該機制）自動發布設置更新。

配置文件的創建形式為.mobileconfig，大家可能已經注意到了，這種形式與由iPhone Configuration Utility以及蘋果Configurator所創建的配置文件完全相同，只不過前者也能用于管理Mac設備。在大家啟用了Profile Manager之后，請打開Device Management并輸入需要的設置--包括組織名稱、電子郵件地址以及SSL證書--而后就可以動手進行設備管理了。

在默認狀態下，配置文件被稱為"Settings for Everyone"，而且可以通過基于Web的Profile Manager門戶進行配置或者替換。對于那些已經經過配置的服務--例如郵件、VPN、日歷等等--檢查"Include configuration for services"對話框能夠非常方便地確保所有與網絡相連接的用戶都可以訪問這些服務。如果大家需要更多細化而具體的選項，則點擊Server.app中的Open Profile Manager鏈接、或者是在我們使用的瀏覽器中輸入/profilemanager加以訪問。

Profile Manager的配置文件能夠被發布到用戶、用戶組、設備以及設備組當中。上圖所示為常用的"Settings for Everone"配置文件，而Profile Manager可以作為很好的功能性補充。

在Profile Manager之下，大家可以查看之前在Open Directory當中已經創建完成的所有用戶以及群組。我們也可以查看針對設備及設備組的輸入字段區，不過目前其中還沒有顯示內容。為了使其正常進行顯示，我們需要通過導航訪問Profile Manager登錄頁面，并在/myprofies目錄下查看所有需要管理的設備。iPhone、iPad、iPod Touch以及運行著OS X 10.7、10.8或者10.9版本的Mac設備都包含其中，并且能夠通過幾乎相同的方式實現管理。其它早期版本的OS X設備不支持Profile Manager，但仍然可以利用Workgroup Manager實現管理，這一舊有機制我們就不再詳加論述了。

Profile Manager當中包含的iOS及Mac設備遠程鎖定與清除功能同樣可以通過iCloud以及Exchange服務器來實現，然而如果大家沒有Exchange服務器、又不信任用戶隨意打理iCloud，那情況就比較悲劇了。

在我們利用網絡用戶賬戶進行登錄之后，大家會看到一個巨大的藍色按鈕、用于進行設備注冊。注冊完成之后，接下來要面對的就是我們的管理員Profile Manager界面，在這里大家可以查看、編輯并推送新設置--隨心所欲進行管理吧。如果大家使用的是自簽名SSL證書，那么可能還需要在向設備上安裝配置文件之前、首先在Profiles選項卡中為企業安裝Trust Profile。請注意，設置當中包含這樣一項配置文件控制選項--是否允許用戶事后將配置文件從設備內移除。如果大家不希望用戶移除我們推送的配置文件并由此引發潛在安全違規情況，請確保這一選項得到正確處理。

在設備注冊完畢后，管理員可以對其進行查看、鎖定或者內容清除，并且通過將設備整理分組以簡化管理流程。具體硬件信息當中包括MAC地址、UDID、IMEI碼以及特定機型與軟件信息，這些內容都被保存在服務器當中--對于iOS設備來說，大家甚至可以查看最后一次登錄時的電池電量。對于管理員們來說，這是一款在追蹤硬件狀態方面異常強大的工具。用戶也能夠通過它實現設備鎖定與內容清除，而且完全無需管理員的介入或者干預。

Mavericks版本還為我們帶來幾種新的附加應用程序發布選項。值得注意的是，現在大家可以將通過蘋果批量采購計劃（即Volume Purchase Program）所獲得的應用及媒體向用戶發布、旨在滿足企業以及教育機構的實際需求。這樣的設定相信也是為了順應蘋果向教科書市場進軍的新一輪趨勢。批量采購計劃還可以被用于向企業交付并未公開在App Store開放下載的定制化應用程序，而Profile Manager也將通過iOS開發者企業計劃（即Developer Enterprise Program）實現內部開發應用的發布。

Tech Republic網站曾經詳盡論述過批量采購計劃的具體細節，包括如何確認申請者的實際身份、是否已經通過了批量采購應用所必需的認證等。一旦經過審核，大家就需要下載批量采購令牌并將其接入Server.app以實現采購內容管理。利用OS X Server與批量采購網站相配合，大家就可以實現自動安裝、卸載應用程序并追蹤其許可使用情況（MaaS360等其它移動設備管理服務也提供類似的功能）。

對多臺需要共享同一套設置的設備進行分組--舉例來說，將Mac設備劃分在計算機標簽下--能夠大大簡化管理流程。

幾乎所有適用于iOS設置應用或者OS X系統偏好設置的項目都可以通過Profile Manager所生成的.mobileconfig文件加以控制。點擊"Edit"，我們會看到所有能夠進行設置的具體項目，其中郵件、VPN、安全驗證以及無線網絡等設置內容分別適用于iOS與OS X系統，而其它一些項目則專門針對iOS（例如利用iCloud進行備份或者應用內購）或者OS X（例如Dock圖標、Gatekeeper設置、遠程配置文件以及打印機設置等）平臺。大家也可以上傳自己定制的.plist文件并將其應用至OS X計算機，從而對沒有被計入Profile Manager的第三方應用進行配置；另外，我們還能夠部署批量許可iOS應用。

Profile Manager對于目錄管理員來說是一款強大的工具，但對在家中使用大量OS X以及iOS設備的朋友們來說同樣非常實用（或者大家的孩子擁有自己的iOS設備，而我們希望通過設置對他們的使用加以限制）。大家只需要作出非常簡單的判斷：到底是集中式配置管理更方便、還是逐個對設備進行手動配置更簡單。很明顯，答案視您所持有的設備數量而定。