设定访问权限

设定访问权限

您可以使用“共享”偏好设置在每一台客户端电脑上设定访问权限,或如果您使用 OS X Server,则可以从管理员电脑远程执行此操作。

若要在客户端上进行更改,必须使用在电脑上拥有管理员权限的用户的名称和密码。

在客户端电脑设定访问权限

若要准备一台客户端电脑以进行管理,您需要在“共享”偏好设置启用“远程管理”并设定管理员访问权限。您可以为所有用户或特定用户帐户设定访问权限。

如果您创建了自定安装器软件包(可自动启用客户端设置),则可以跳过此任务。

  1. 在客户端电脑上,选取苹果菜单 >“系统偏好设置”,然后点按“共享”。

  2. 在“共享”面板中,选择“远程管理”。

  3. 若要允许电脑上拥有帐户的所有用户访问,请选择“所有用户”。

    所有用户都将拥有相同的访问权限。

  4. 若要允许特定用户访问或向用户提供特定访问权限,请选择“仅这些用户”,然后在列表中选择用户。如果您需要添加用户,请点按添加按钮 添加按钮,选择用户,然后点按“选择”。

  5. 点按“选项”。

  6. 选择您想要授予的访问权限,然后点按“好”。(若要一次选择所有选项,请在点按选项时按住 Option 键)。

    您的更改会立即生效。

  7. 如果您要更改特定用户的访问权限,请为每个用户重复步骤 4-6。

更改客户端管理员权限

您可以使用 Remote Desktop 检查和更改客户端电脑的管理员权限设置。

将客户端电脑添加到电脑列表后,您可以使用“更改客户端设置”命令来更改其管理员访问权限。

若要保持安全的 Remote Desktop 环境,请定期检查管理设置。您还可以将受限的权限分配给某些用户,以便他们仅能执行特定的任务,从而减少子管理员可能造成损害的机会。

如果您使用目录服务指定管理员权限,则无需更改客户端上的设置。

您无需在“更改客户端设置”助理的每一页上进行选择。您可以点按“继续”以移到下一组设置。

  1. 在 Remote Desktop 窗口中,选择电脑列表,然后选择一台或多台电脑。

  2. 选取“管理”>“更改客户端设置”,然后点按“继续”。

  3. 在“正在启动 Remote Desktop”中,选择以下选项,然后点按“继续”。

    • 选取是否在系统启动时启动远程管理。

    • 选取是隐藏还是显示 Remote Desktop 菜单栏图标。

  4. 在“用户帐户”中,选取是否创建可以使用 Remote Desktop 管理电脑的新用户,然后点按“继续”。

    创建新的具有 Remote Desktop 管理员权限的用户帐户不会覆盖客户端电脑上的现有用户帐户,或更改其现有用户密码。

    如果选取不创建新用户帐户,请跳至步骤 6。

  5. 在“要创建的用户”中,点按“添加”,然后输入用户的名称和密码。添加完用户之后,点按“继续”。

  6. 在“传入的访问”中,选取要授予管理员访问权限的用户,方法是执行以下一项操作:

    • 选择“启用基于目录的管理”以将访问权限授予帐户在目录服务器上的指定群组中的用户。有关信息,请参阅启用目录服务群组授权

    • 选择“设定 Remote Desktop 访问模式”来选取是将统一远程管理访问权限授予所有本地用户,还是将访问权限授予特定本地用户。如果取消选择此项,则会使用客户端电脑的设置。

    • 选取是否要为特定用户设定远程管理访问权限。如果您选取不为特定用户设定远程管理访问权限,请跳过步骤 8。

  7. 在“访问权限”中,点按“添加”来添加用户,或选择一个现有用户并点按“编辑”。提供用户的短名称并设定权限。然后点按“继续”。

    有关信息,请参阅关于访问权限

  8. 在“屏幕共享选项”中,执行以下操作,然后点按“继续”。

    • 选取当管理员在客户端电脑上请求权限时,允许客人管理员具有临时访问权限。

    • 选取是否允许电脑运行非 Apple VNC 软件来控制客户端电脑。

    有关信息,请参阅虚拟网络计算访问和控制

  9. 在“系统数据”中,输入您想要显示在“系统概览”报告中有关此电脑的信息。例如,您可以输入序列号、资产标记号或者用户的名称。然后点按“继续”。

  10. 检查设置,然后选取使用应用程序或专用任务服务器执行更改。然后点按“更改”。

    有关信息,请参阅配置远程任务服务器

    客户端配置助理将联系所有选定的电脑并更改其管理设置。

使用目录服务设定访问权限

如果客户端电脑绑定到目录服务,则您可以授予 Remote Desktop 管理员访问目录中特定群组的权限,而无需启用任何本地用户。

您可以使用“目录服务”主域中的已命名群组来授予访问权限,从而无需添加用户和密码来获得访问权限。在客户端上启用“目录服务”授权时,将在目录中检查管理员对电脑进行鉴定时所输入的用户名称和密码。如果名称属于其中一个 Remote Desktop 访问群组,系统将授予管理员分配给该群组的访问权限。

  • 请执行以下一项操作:

    • 使用名称与以下权限密钥对应的预先定义群组:ard_admin、ard_interact、ard_manage 和 ard_reports。

      如果目录中尚不存在这些群组,则可以使用保留名称创建新的群组。

      群组名称与“管理偏好设置”密钥对应,且权限与密钥相同。对应权限将自动分配给这些特殊命名群组。无需将“管理偏好设置”密钥添加到群组记录。

    • 通过任何电脑记录、任何电脑组记录或客人电脑记录中的 MCXSettings 属性创建群组和为其分配权限。

    管理权限

    ard_admin

    ard_reports

    ard_manage

    ard_interact

    生成报告

    X

    X

    X

     

    打开和退出应用程序

    X

     

    X

     

    更改设置

    X

     

    X

     

    拷贝项目

    X

     

    X

     

    删除和替换项目

    X

     

    X

     

    发送信息

    X

     

    X

    X

    重新启动和关机

    X

     

    X

     

    控制

    X

     

     

    X

    观察

    X

     

     

    X

    被观察时显示

    X

     

     

    X

启用 Remote Desktop 客人访问权限

允许没有客户端电脑的用户名称或密码的 Remote Desktop 管理员进行一次性的访问。

每次 Remote Desktop 管理员想要控制客户端电脑时,该管理员都必须请求权限。

【警告】授予控制屏幕的访问权限是 Remote Desktop 中的最强大功能,该功能允许进行无限制的访问。

  1. 在客户端电脑上,选取苹果菜单 >“系统偏好设置”,然后点按“共享”。

  2. 选择左侧列表中的“远程管理”。

  3. 点按“电脑设置”。

  4. 选择“任何人都可以请求取得控制屏幕的权限”。

  5. 点按“好”。

选取非管理员可以执行的操作

您可以控制非管理员可以使用 Remote Desktop 执行的操作。

非管理员打开 Remote Desktop 时,它将以用户模式运行。您可以控制非管理员可以在此模式中执行的任务。例如,您可能不允许非管理员拷贝或删除文件,但您可能允许他们观察屏幕及发送信息。

更改非管理员可以执行的操作不是替代在客户端电脑“系统偏好设置”的“共享”面板中启用相应的访问权限。有关信息,请参阅关于访问权限

每个任务均可独立于其他任务启用,或者您可以为非管理员用户启用所有 Remote Desktop 功能。确定您已作为管理员用户登录。

  1. 选取“Remote Desktop”>“偏好设置”。

  2. 点按“安全性”。

  3. 选择“以下功能的限制访问权限”以启用或停用功能。

另请参阅
关于访问权限