您如何在开放访问的计算机实验室中保护 Macintosh 客户端？

一个相对简单但非免费的解决方案是使用 Deep Freeze (链接) 之类的东西。基本上它会让用户做几乎任何他们想做的事情，但是下次系统重新启动时，一切都会恢复到以前的状态。

家庭使用价格为 45.00 美元，可节省用于教育用途和大量许可证的费用。

你看过家长控制吗？自从我使用以来，它已经是 OS X 的一两个版本了，我听说它现在好多了。

如果每个学生都有一个硬盘，他们可以使用外部帐户。[我相信，如果您在系统偏好设置 -> 帐户中创建一个用户，然后按住 Ctrl 键单击他们的名称，然后选择“高级选项...”，您可以指定他们的主文件夹应该存在于他们的硬盘上。然后，他们只需要在登录屏幕上插入硬盘驱动器，它就会显示可以登录的外部帐户。如果您必须移动帐户，请参阅此提示。

请务必制作计算机设置的图像。[ NetRestore曾经是可以使用的工具，但它不再可用。 Deploy Studio和InstaDMG是可供研究的工具，Apple 的服务器管理工​​具包括一个图像创建工具，您应该能够在没有服务器的情况下使用它。] 使用图像，您可以将机器设置为相同，如果一个是箍的，你可以重新安装图像。

如果您选择不使用外部帐户，应该可以将 /Users 文件夹放在单独的分区上，然后再次，如果软件损坏，您可以将其重新映像到原始状态。

关于 netbooting 的想法，可以使用Mac 客户端或 Linux 机器作为 netbooting 服务器，使用 OS X Server 会容易得多。

如果您不想存储任何用户偏好等，并且如果学生根本没有个性化帐户，我会执行以下操作：

• 创建一个用户，可能没有密码
• 激活家长控制并禁止更改密码，也许还有其他设置。
• 不要让用户自动登录，而是显示带有用户图片的登录窗口。
• 使用您希望该用户的默认值配置每个应用程序
• 复制用户主目录的这个已知良好状态。
• 创建一个登录脚本，它将用户 homedir 替换为您刚刚创建的已知良好副本。有关详细信息，请参阅已完成这项工作的 Mike Bombich 的页面。
• 告诉学生他们完成后必须退出。下一个登录的人将触发恢复脚本。

通常，非管理员用户应该无法修改他们帐户之外的内容（例如 Applications 文件夹），但可以肯定的是，您可以定期使用Carbon Copy Cloner（再次是 Bombich）甚至 Apple 的 Image 服务器，它们与MacOS X 的服务器版本，并将整个系统恢复到已知的良好状态。

此外，您可以考虑 OS X 服务器是否不是一项好的投资，因为它允许对计算机和用户的配置进行更详细的限制。如果您不需要文件共享，10 用户版本就足够了，而且作为教育版本，它并不太贵。

另一个要考虑的选择是使用访客帐户。 用户以访客身份登录，他们完成工作，将其保存到硬盘驱动器上，然后注销。访客帐户被删除。

唯一的问题是 iMovie、iPhoto 等希望在特定位置找到用户的文件（尽管我相信他们可以在启动这些程序时按住选项键告诉它在哪里可以找到媒体 - 它只是' t 一个友好的选择！）。

定义“学生证明”。

我们在我工作的大学所做的就是设置模板帐户（/system/library/User Template）我们希望学生帐户的外观，然后为用户提供工作站上的正常用户权限。我们认为这种方法几乎没有问题。

会这样吗？如果不是为什么不呢？（只是为了了解您的需求是什么）。

我们实际上已将 Mac 添加到 Active Directory。这并没有真正给 AD 带来负担，只是允许工作站从已经存在的源获取用户身份验证和详细信息。

您想具体锁定哪种访问权限？

正如其他人所说，作为权宜之计，我建议从所有标准图像开始 - 这样，如果您的计算机出现问题，您可以在出现问题时将其重置为图像。

要使用 Final Cut、Adobe CS 等程序，您无需成为管理员（Acrobat 除外）。删除管理员权限会删除安装/操作系统的能力。

最后，如果您想避免它们在不同的硬盘驱动器上启动，您可以启用 Open Firmware 密码（非常类似于 BIOS 密码，但仅在您尝试访问 Open Firmware 或从另一个驱动器启动时提示）。

你应该得到 OSX 服务器——它不必在 Xserve 上运行——mac Mini 或旧 MacBook 就可以。教育副本非常便宜，它将为您提供管理 Mac 的巨大灵活性。

然后，您可以使用 NetBoot 从光盘映像引导 iMac。每次新登录都会获得一个新的操作系统。

您可以将它们锁定 - 但让我们面对现实，如果您沿着这条路线走下去，您将每隔几个月重新安装一次 OSX。