Ответы пользователя по тегу Системное администрирование
  • Каким образом возможно заблокировать удаление профиля MDM в macOS без ABM?

    @elbrus56
    Увы, но полностью заблокировать удаление enroll-профиля невозможно, а ABM можно обойти.

    https://ringomdm.ru/tpost/5lljke57m1-udalenie-enro...
    Ответ написан
  • Как убрать диски из boot-pool в TrueNAS (SCALE 22)?

    @elbrus56
    Это похоже или на баг, или на фичу именно SCALE. Пишут, что в Core такого нет.

    Поэтому остается только опция через терминал, полностью копируя разметку диска, чтобы у системы голова не поехала.

    Но на самом деле проще действительно сохранить конфиг и по новой установить. Даже пароли сохранятся.
    Ответ написан
    1 комментарий
  • Почему низкая скорость ZFS?

    @elbrus56
    Какие данные?

    Что с фрагментацией?
    Ответ написан
  • Использование Apple Business Manager в России?

    @elbrus56
    Вы можете зарегистрироваться в ABM только от имени юр. лица, которое зарегистрировано в стране, где ABM работает.

    При этом вы можете использовать часть возможностей ABM в России.

    Использовать DEP при этом нельзя, так как устройства должны быть куплены и привязаны к ABM в той же стране, где зарегистрировано лицо.
    Ответ написан
    Комментировать
  • Менеджмент MacOS. Аналоги Active directory для MacOS?

    @elbrus56
    Ок, давайте рассмотрим вопрос в различных аспектах. Прежде всего, не будем вдаваться в подробности того, почему такой вопрос вообще возник. Может у компании аудит на горизонте, или бюджеты не освоены или у CTO ачивка намечается. А отдуваться админу, конечно.

    Тут уже написали, что Windows подход не работает, но это не совсем так. Устроить огораживание на Mac можно, но это уже неэффективно. И это первая ошибка в подходе закоренелого Windows-админа, воображение которого волею судеб оказалось заперто в рамках того, с чем он привык работать.

    Отдельно добавлю, что формулировки вопросов на Тостере сегодня показывают грустную картину отсутствия инженерного подхода. Ну да ладно.

    Итак.

    Менеджмент Mac
    Все как привыкли? gpupdate запустил и счастлив. Если у AD есть свои политики и механизмы, то Apple со своей стороны сделало свои, которые работают только под управлением сервера MDM, который вы можете реализовать самостоятельно, потому что это, по сути, веб-сервер и БД, которые для доставки используют APNS. Функционал MDM ограничен тем, что добавило в него Apple. И каждый год он обновляется. Где-то он круче AD, где-то нет. Например, для 10.15 добавили Activation Lock. Что касается коммуникации с сервером - вы не привязаны к конкретному офису, достаточно доступа в Интернет. А так как команды “прилетают” через Push - о NAT думать не надо.

    Но не политиками едиными. На Windows мы ещё и скрипты используем, батники запускать любим. А что с MDM? Сам по себе сервер MDM скрипты не выполняет, но решения MDM, которые продаются сегодня, (Jamf, Workspace One, Mobileron, Filewave, Fleetsmith...) предлагают возможности установки агента, который будет эти функции выполнять. И заметьте, что скрипты полностью не перекрывают функционал MDM, это заблокировано на уровне системы в целях безопасности.

    Что касается интеграции с AD, Azure AD, Microsoft 365 - решения есть (Nomad, Jamf Connect), но это уже надстройки к MDM.

    Задача (задачи?) минимум
    Подключение
    Вы же на Windows не через механизмы AD подключаетесь (если отбросить аутентификацию и авторизацию), а через определенный протокол, который обеспечивает определенная служба, которую можно включить вручную или через AD. На Mac почти также, просто протокол другой.

    Блокировка
    Это зашито в протоколе MDM и Works like magic. Но желательно к этому включить пароль прошивки и Activation Lock

    Задача (задачи) максимум
    Централизованный сетап пк с macos возможности схожие с AD
    С настройками разобрались, теперь надо ставить ПО. MDM ставить PKG не умеет (ну почти), поэтому пользуемся решениями вендоров, которые по сути выполняют команды в терминале. Учимся паковать Skype в PKG, меня настройки, боремся с TCC, UAKEL и что там еще...

    Соответственно читаем:
    Apple Device Managemnet за авторством Charles Edge и Rick Trouton
    Если сложно - можно и Arek Dreyer почитать
    Bash Cookbook
    Python
    Про упаковку приложений в PKG

    САМЫЙ ВАЖНЫЙ АБЗАЦ
    Когда мы (мак-админы) объясняем Windows-админам то, как происходит современное управление устройствами Apple, у последних (у админов) происходит катарсис и в лучшем случае просветление.
    Почему? Потому что в современном мире вы не даете все права, а потом отбираете их по кусочкам. Вы даете пользователю только то, что ему требуется для работы. Это нелегко понять, особенно с первого раза.
    Ответ написан
    2 комментария
  • Как найти скрытое системное расширение Kaspersky в Mac OS X?

    @elbrus56
    Проверьте автозагрузки с помощью https://www.peterborgapps.com/lingon/
    Ответ написан
    Комментировать
  • Стоит ли использовать ZFS поверх RAID5?

    @elbrus56
    ZFS не рекомендуется использовать поверх RAID с точки зрения производительности, износа дисков. ZFS (если упрощенно) пишет данные таким образом, чтобы попадать логическим блоком (не путать яблоком ФС) в физический. Если этого не происходит - появляется overhead.
    Ответ написан
    Комментировать