Salut,
Cum vacanta bate la usa, nimeni pe la munca nu mai are chef de munca, am agsit momentul oportun la munca sa ma joc cu 2 iMac-uri. Povestea in ansamblu:
Sunt consultant specializat in Microsft System Center cu focus on Configuration Manager. SCCM e o suita interesanta care te ajuta sa configurezi mii de servere, statii de lucru, faci deployment de OS, aplicatii, updates, etc. In general lucrez pentru large corporate care vor sa faca cat mai usor administrarea echipamentelor dar si utilizatorilor dintr-un singur toll. Asa ca lucrez intens cu Microsoft AD si SCCM.
Acum sunt intr-un proiect finalizat cam 70% cu 5000-6000 computere, 400-500 servere si 7-8000 smart phone-uri. Trebuie sa le administram pe toate. Pana acum deja instalate si merg:
- SCCM pentru Windows servere si statii de lucru, nu cred ca intereseaza pe nimeni aici
- SCCM + Intune pentru iOS si Android (cateva sute de ipad-uri, mii iphone 5s, si cateva sute Android). In mare compania s-a mutat de pe Android pe iOS tocmai pentru un mai bun control cu MDM (Mobile device Management) si MAM (Mobile Application Management). Clientul multumit. Controlam perfect telefoanele, aplicatiile, pierderi/inlocuiri, etc.
- SCCM + AD pentru mac OS. Aici este un pic mai complicat. Pe mobile am facut tot ce am vrut cu MDM, pe statii insa Active Directory este king, sute de group policy care fac si dreg, configureaza, ofera access la resurce, limiteaza accesul pe staii, etc. Greu de replicat pe mac din ce am vazut pana acum.
  - Aplicatii, am rezolvat usor problema cu SCCM. Instalat clientul pe OS dupa care push orice aplicatie, clientul multumit
  - Configuratii, SCCM plus shell scripts. Pe scurt creezi niste desired compliance rules cum ar fi Enable Firewall, computer-ul este verificat la 60 minute daca firewall este disable il va activa. Aici am gasit destul configuratii ce pot fi comtrolate pe mac, inca mai lucram
  - User acces, cum iMac-ul este adugat in domain orice user are acum access la orice resource cu administrare centralizata, toata lumea multumita
  - Patching, in general in large corporate sunt strategii de aplicare a patch-urilor. Cand se aplica, cui, in general exita cateva computer de test, nimic rau, se trace la aplicarea pe scara larga cu maintenance windows, etc. Aici nu am gasit o solutie. Doar enable automatic update.
  - Controlul iMac-ului, aici avem cel mai mult de lucrat. Pe statiile windows sunt securizate/configurate prin GP (Active Directory Group Policy). Daca pe windows pot controla ca utilizatorul sa nu poata singur instala nimic, gen aplicatii, browsers plugin, etc, sa nu poata deconecta computerul din domeniu, sa nu poata dezactiva hdd encryption, etc, pe mac am gasit mult mai dificil de implementat acest lucru. Work in progress.
In large corporate se minimizeaza la maxim numarul de aplicatii folosite din motive de securitate si costuri. Am gasit ceva aplicatii care ajuta dar din pacate nu sunt acceptate, e un process riguros ca o noua aplicatie sa fie implementata gen e sigura, cat de des isi face update, cine va fi owner, cine va intretine, etc, chiar daca e free are totusi costuri de administrare. Cea am gasit pana acum:
- https://www.powerbrokeropen.org/ spe ca va ajuta cu AD GP interation
- https://www.centrify.com/ AD GP
- https://www.munki.org/munki/, app management, aici avem SCCM care face cam acelasi lucru
- Si Symantec are ceva pe aici de oferit
- Cel mai util http://www.parallels.com/eu/products/mac-management/ . cam toate organizatiile mari au SCCM si acest plugin aproape ca ajuta sa nu mai fie diferente intre cum administrezi windows si mac. Ateptam cotatie si detalii comerciale.
Am luat in calcul si un server (care, maci mini? In enterprise server inseamna rack, redundancy, etc.) cu mac osx server dar pare ca nu rezolva prea multe probleme.
La sfarsit echipa de securitate va da in iMac-urile mele cu tot ce are sa vada daca sunt compliant si pot fi adaugate in reteaua corporate, in general folosesc nesus. Avem deja shophos AV si pentru mac.

Revin cu detalii.