Сценарии белых списков приложений Mac для родительского контроля - у кого-нибудь есть успех?
Хотя большая часть наших учетных записей управляется через менеджера рабочей группы, мы часто настраиваем локальные учетные записи, которые будут использоваться для сдачи государственных экзаменов на конец семестра в учреждении K-12, где я работаю.
Было бы неплохо заблокировать компьютеры таким образом, чтобы студенты могли использовать свой текстовый процессор только во время экзамена и не имели доступа к Интернету. Я создал тестовую учетную запись локального пользователя и настроил некоторые параметры в разделе "Родительский контроль". Затем я смог экспортировать их:
dscl . -mcxexport /Users/testuser -o parental_controls.plist
И повторно импортировать их для хорошего эффекта:
dscl . -mcximport /Users/testuser parental_controls.plist
Наблюдая за файловой системой при этом, я заметил, что приложения, которые я внес в белый список, были подписаны в фоновом режиме Родительским контролем, и это запомнилось в настройках. Мой экспортированный plist выложен так (переформатирован для удобства чтения):
<key>appID</key>
<data>+t4MAAAAACgAAAABAAAACAAAABQOiCi6O1EFrBaCbNrFU4pEjwH8zg==</data>
<key>bundleID</key>
<string>com.microsoft.Word</string>
<key>displayName</key>
<string>Word</string>
<key>path</key>
<string>/Applications/Microsoft Office 2008/Microsoft Word.app</string>
Я нашел хорошее руководство по кодированию. К сожалению, это говорит о том, что вам нужен собственный сертификат для подписи приложений. [И, поскольку это уже становилось все более трудоемким, чем я думал, и я могу просто перейти на 60 компьютеров вручную и сделать это с помощью сценария цепочки для ключей, чтобы создать новый сертификат кодовой подписи, чтобы затем я мог подписать некоторые конкретные приложения, чтобы затем включить родительский контроль кажется местом, где лежит безумие.]
Я проверил, чтобы увидеть, что произойдет, если я удалю ключ, а управляемый пользователь не сможет запустить приложение.
Есть ли разумный способ либо
- Сценарий этого процесса
- возможно я могу использовать существующий сертификат?
- возможно, у Apple есть утилита родительского контроля CLI, которую я могу вызвать, которая подпишет их?
- управлять локальной учетной записью из Workgroup Manager для всей лаборатории?
- или иным образом выполнить те же действия для многих компьютеров?
2 ответа
Я не уверен, что это то, что вы ищете, но вы можете ограничить использование приложений с помощью Workgroup Manager на уровне группы компьютеров.
Очевидно, вам нужен OS X Server с OpenDirectory. Затем вы можете определить группу компьютеров в Workgroup Manager, добавить компьютеры Mac, которые вы хотите использовать для экзамена, и в диалоговом окне настроек для этой группы ограничить количество приложений. Полагаю, вам понадобится одна и та же версия рассматриваемых приложений на каждом компьютере.
Но я должен признать, что я никогда не проверял это на самом деле, просто сделал короткое доказательство концепции несколько лет назад, когда я играл с Tiger Server, прежде чем развернуть его.
Я хотел упомянуть, что когда вы настраиваете Белые / Черные списки приложений в Workgroup Manager, это позволит вам распределять объекты по пути, а не только по подписанному ключу приложения. Возможно даже сделать это для локального пользователя или группы, а затем импортировать / экспортировать значения.