新しいOpen Directoryユーザーを作成します。
Open Directory サーバーには、サーバー自体にのみログオンできるローカルユーザーアカウント、ディレクトリ内のコンピュータにログオンしてサーバー上のサービスを使用できるネットワークユーザーアカウント、サービスへのアクセスにのみ使用できるネットワークサービスアカウントの 3 種類のユーザーがあります。さまざまなユーザータイプの表示、作成、編集は、Users 項目で行うことができます。
ネットワーク・ユーザを作成する際には、フルネーム、ショートネーム、パスワードのほか、電子メールアドレスを入力する必要があります。ContactsサービスはOpen Directoryから名前と電子メールアドレスを入力するので、入力した情報が正確で間違いがないことを確認することが重要です。ホームフォルダのドロップダウンメニューから、標準のネットワークアカウントかサービスアカウントか、アカウントの種類を選択できます。
ファイル共有サービスにユーザのホームフォルダを保存する共有ファイルを設定した場合、ネットワークユーザのプロファイルをログオンしているMacデバイスに保存させるか、サーバに保存させるかを選択することもできます。後者のオプションは、マイクロソフトのローミングプロファイルに相当するもので、ログインやファイル処理はネットワーク遅延のために遅くなるかもしれませんが、すべてのユーザファイルや設定は、ユーザが現在ログインしているどのコンピュータでも利用できるため、利便性が大幅に向上します。
ディスククォータ]フィールドを使用して、ユーザープロファイルが使用できるサーバーストレージの量を制限することができます。この割り当て容量はサービス全体に適用されるわけではないことに注意してください - メールアカウントには独自の割り当て容量があり、Time Machineバックアップメカニズムも同様です。
ユーザ・パネルでは、パスワード・ポリシーを設定することもできます。ユーザがサーバ上の自分のメール・アカウントにアクセスすることを許可しない場合は、[メール・オプションの編集]フィールドでメールを転送するアカウントを個別に設定できます。ユーザがサーバ上の自分のメールアカウントにアクセスすることを許可しない場合は、[メールオプションの編集]フィールドでメールを転送する個々のアカウントを設定できます。
グループを使って多数のユーザーを管理すれば、個人で管理するよりも生産性が大幅に向上します。
管理すべきユーザ数が多い場合、ユーザをグループ化して管理設定を行うことで、生産性を大幅に向上させることができます。グループに対してディスククォータやホームディレクトリを設定することはできませんが、サービスに対するグループのアクセスを許可またはブロックしたり、グループごとに個別のファイル共有、Wikiページ、グループメーリングリストを提供したりすることはできます。さらに、サービスが有効になっていれば、グループメンバーを自動的にメッセージアプリケーションにバインドできます。
Active Directoryとの比較
Open Directoryは、本格的なActive Directoryよりもはるかにシンプルな設定プロセスであることは確かです。Server.appでユーザーとグループを設定する難しさも、以前のWorkgroup Managerよりずっとシンプルです。家庭や小規模のMacビジネス環境では、設定可能なレベルが低いため、確かに参入障壁が緩和され、あまり時間をかけずにディレクトリを立ち上げて実行することが可能です。
しかし、このシンプルさは機能性を犠牲にしています。特に、Open DirectoryにはAvtice Directoryのようなソフトウェアのインストール機能がありません。管理者はサードパーティ製アプリケーションのインストールやパッチ適用をApple Remote Desktopやサードパーティ製品に頼らなければなりません。
もう一つ欠けている機能は、WindowsコンピュータをOpen Directoryサーバにバインドできないことです。WindowsとOS Xコンピュータのネットワークを適切に管理するために、Appleは現在、サーバ管理者がMacデバイスをActive DirectoryサーバとOpen Directoryサーバの両方にバインドすることを推奨しています。この "マジックトライアングル "と呼ばれる構成は、Active DirectoryサーバーがWindowsコンピュータの認証とセットアップを行い、さらにMacデバイスの認証を行い、Open DirectoryサーバーがMacデバイスのセットアップを制御するというものです。これは深刻な機能不足ですが、多くの企業が長い間気づいていなかったことです。Active Directoryは企業内で非常にユビキタスであるため、OS X Serverは一般的に、既存のディレクトリを置き換えるのではなく、既存のディレクトリと統合する機能だけが必要なのです。
設定ファイルマネージャー ()
Open Directoryに続き、Profile ManagerはOS X Serverで注目のサービスです。プロファイルを作成し、MacやiOSデバイスに配布することで、電子メールアカウントからパスワード要件、ドックアイコンまで、システム上のほとんどすべての設定を自動的に行うことができます。クライアントが提供されたプロファイルの1つをインストールすると、プッシュ通知メカニズムを使って設定のアップデートを自動的に公開できます。
設定ファイルは.mobileconfigの形式で作成されます, お気づきかもしれませんが, iPhoneの設定ユーティリティとApple Configuratorで作成された設定ファイルと同じです, 前者はまた、Macデバイスを管理するために使用することができることを除いて.Profile Managerを有効にしたら、Device Managementを開き、必要な設定(組織名、メールアドレス、SSL証明書など)を入力すれば、デバイス管理の本番です。
デフォルトでは、プロファイルは "Settings for Everyone "と呼ばれ、Webベースのプロファイルマネージャーポータルを通じて設定または置換することができます。メール、VPN、カレンダーなど、すでに設定されているサービスについては、"Include configuration for services" ダイアログボックスをチェックすることで、ネットワークに接続しているすべてのユーザーがこれらのサービスにアクセスできるようにすることができます。より詳細で具体的なオプションが必要な場合は、Server.app の [Open Profile Manager] リンクをクリックするか、ブラウザで /profilemanager と入力してください。
Profile Managerのプロファイルは、ユーザー、ユーザーグループ、デバイス、デバイスグループに公開できます。上のイメージは一般的に使用されている "Settings for Everone "プロファイルを示しています。
Profile Managerでは、Open Directoryで作成されたすべてのユーザーとグループを表示できます。現在表示されていませんが、デバイスとグループの入力フィールドを表示することもできます。この機能を使用するには、Profile Managerのログインページに移動し、/myprofiesディレクトリを見て、管理する必要があるすべてのデバイスを確認する必要があります。OS X 10.7、10.8、または10.9を実行しているiPhone、iPad、iPod Touch、およびMacデバイスが含まれ、ほぼ同じ方法で管理できます。ほぼ同じ方法で管理できます。それ以前のバージョンの OS X デバイスは Profile Manager をサポートしていませんが、Workgroup Manager を使って管理することができます。
Profile Managerに含まれるiOSとMacデバイスのリモートロックとクリアは、iCloudとExchange Serverでも実現できますが、Exchange Serverがなく、iCloudの管理をユーザーに任せていない場合、状況はかなり悲惨です。
ウェブユーザーアカウントでログインすると、デバイスを登録するための大きな青いボタンが表示されます。登録が完了すると、管理者用のプロファイル管理画面が表示され、新しい設定を表示、編集、プッシュすることができます。自己署名SSL証明書を使用している場合、Profileタブの組織のTrust Profileからデバイスにプロファイルをインストールする必要があります。ユーザーがプッシュされたプロファイルを削除し、それによってセキュリティ侵害が発生する可能性があることを望まない場合は、このオプションが正しく処理されていることを確認してください。
デバイスが登録されると、管理者はそのコンテンツを表示、ロック、消去することができ、デバイスをグループにまとめることで管理プロセスを簡素化できます。MACアドレス、UDID、IMEIコード、モデルやソフトウェア固有の情報など、ハードウェア固有の情報はサーバーに保存され、iOSデバイスの場合は最終ログイン時のバッテリー残量も表示できます。管理者にとっては、ハードウェアの状態を追跡するための非常に強力なツールとなります。また、管理者が介入しなくても、ユーザーはデバイスをロックしたり、消去したりすることができます。
Mavericksのリリースでは、いくつかの新しいアプリ配布オプションも追加されました。特に、AppleのVolume Purchase Programmeを通じて入手したアプリやメディアをユーザーに配布できるようになり、企業や教育機関のニーズに応えられるようになりました。これは、Appleが教科書市場に新たに参入することに沿ったものだと思われます。またProfile Managerは、iOS Developer Enterprise Programmeを通じて、社内で開発されたアプリケーションの配布も可能にします。
テックリパブリックのウェブサイトでは、ボリューム購入プログラムの詳細について、申請者の実際の身元を確認する方法、ボリューム購入申請に必要な認証に合格しているかどうかなど、詳しく説明しています。審査に合格したら、ボリューム購入トークンをダウンロードし、コンテンツ管理用のServer.appにプラグインする必要があります。OS X Serverと一括購入サイトを併用することで、アプリケーションのインストールとアンインストールを自動化し、ライセンスの使用状況を追跡することができます。
同じ設定を共有する必要がある複数のデバイスをグループ化することで、例えばMacデバイスを「コンピュータ」タブで分けるなど、管理プロセスを大幅に簡素化できます。
iOSの設定アプリまたはOS Xのシステム環境設定に適用されるほぼすべての項目は、Profile Managerによって生成された.mobileconfigファイルから制御できます。編集」をクリックすると、iOSとOS Xのメール、VPN、セキュリティ、Wi-Fiを含む、設定可能な特定の項目がすべて表示されます。また、独自のカスタム.plistファイルをアップロードしてOS Xコンピュータに適用することで、Profile Managerに含まれていないサードパーティ製アプリを設定したり、ボリュームライセンスされたiOSアプリをデプロイしたりすることもできます。
Profile Managerはディレクトリ管理者にとって強力なツールですが、家庭で多くのOS XやiOSデバイスを使う人にとっても非常に便利です。一元化されたコンフィギュレーション管理の方が簡単か、それともデバイスを一つ一つ手動でコンフィギュレーションする方が簡単か。明らかに、答えはあなたの持っているデバイスの数に依存します。
