单位的很多电脑,统一管理起来似乎变得很费力。实际上,现在操作系统的企业管理功能可是越来越强了,无论是电脑还是手机。
(1) 批量授权:不用一台一台输注册码
目前微软的各种软件,对于企业用户,大多使用 KMS 技术来激活。在内网放一台服务器,软件激活的时候自动查找这台服务器,然后就能激活上一定时间了。
在大公司,如果电脑提示微软系统盗版,可能的一个原因是:KMS 服务暂时连接不上,激活失败了。当然也可能是公司宁愿不激活也不用盗版,但是这样会被微软盯上的。
不过 KMS 现在大多用来造“假”服务器,用作盗版用途了 [微笑]。
(2) 域用户:帐号远程管理
对于办公电脑,微软的系统有一种“域”的技术,可以集中管理用户的账号。
在域里面,登录都是通过中心服务器进行的。因此密码可以远程重置,桌面的配置也可以漫游到中心服务器的“网盘”里,换台电脑还能有熟悉的感觉。
加入了域的计算机,远程控制功能远不止这些。
(3) 组策略:公司的电脑不能胡来
你或许用过“组策略”,这个功能,只有高级的 Windows 才会有。它的功能看起来跟修改注册表差不多,就是把有关的注册表里的项目命了一个名字,让人看得懂嘛。
看起来跟注册表重复的这个功能其实并不多余,因为这是给企业电脑用的。
活动目录通过组策略进行域中客户端的标准化安全管理,进而体现活动目录的作用和优势。
上面这段话大概意思就是,域里面的电脑,会通过“活动目录”接收到管理员配置好的组策略,从而可以限制电脑的功能。
那组策略具体可以干些什么呢?
- 组策略软件安装
- 组策略卸载软件
- 只允许域客户端运行某些程序
- 组策略补丁更新
- 组策略屏幕保护
- 组策略统一桌面
- 组策略设置访问指定的无线网络
- 组策略禁止使用USB
- 刷新组策略打印机
- ……
你看,网管软件有的功能差不多都有了吧,企业就方便多了。
(4) 手机上的组织
你或许有使用过 iOS 的“配置描述文件”功能。比如在安装一些应用的时候,需要用它来激活。其实这也是 iOS 的企业管理功能。
这个配置描述文件可以修改什么设置呢?
- 密码策略
- 限制设备功能(比如停用相机)
- 无线局域网设置
- 邮件服务器设置
- 凭证和密钥
- 允许使用企业应用
- ……
企业可以设置成,如果你不安装这个配置描述文件,就不让你同步企业的邮件等数据到手机上。此外 iOS 还支持移动设备管理功能(MDM),这个功能可以让管理员远程擦除手机上的数据。
Android 也是一样的。Google 专门有一个 Device Policy 应用,你在同步企业的邮件数据之前要装上它,之后设备就会根据企业的设置开启一些限制,管理员也可以远程管理、擦除设备上的数据。
你会想,手机怎么公司也要管呢?手机上有公司的数据,自然就不能太马虎嘛,最重要的是,密码不能太弱,手机丢了可以远程擦除数据。至于说不能截屏、上网要走 VPN 进公司内网之类的就更不在话下了。有时候手机是公司发的,专门用来办公的,公司自然更可以远程装个 App 之类的啦。
(5) 理想与现实
这个栏目叫理想园,自然要说一下这些个功能有没有人用。
大概的情况是,国外的大公司都会用,国内的能用上电脑的域管理就不错了。
就以公司邮箱为例子吧。
在国外,公司的邮箱通常是可以直接对外发信的,至于收信,有的可以外网有的则需要内网。如果只能内网访问的话,用一个 VPN 就可以解决问题了。
VPN、LDAP、CardDAV、Exchange 服务器,这些都是比较通用的,或开源或闭源的解决方案。邮件于是就可以被同步到“客户端”上,包括手机的客户端。数据到了手机上,安全怎么保障呢?自然就有了系统自带的安全管理措施,比如手机的密码要强,比如可以远程清数据,比如强制配置一个 VPN。
而我所见的国内的人们,很喜欢自己造轮子。办公邮箱,自己公司用用就好了,不要跟外网联通。但是外网要收邮件、办公啊,我也要手机上实现互联网 + 啊,好我们专门搞一个“安全”的 APP,用远程桌面,用专用协议,把好好一个简单的网页,弄成图像传到手机上,美其名曰“云办公”。他们往往不关心你的手机的其他部分安不安全。
至于说如果公司买了一批跑业务用的手机,我们再弄一个 APP,要什么功能,都塞到里面去,安卓版还带了远程擦除数据的功能。就是那个苹果最可恶,什么功能都不开放,我们公司的 APP 截屏也防不了,数据也清不了,垃圾(苹果:我不是已经造好了轮子嘛,是你不用)。
也不能说国内的想法就怎么样吧,偶尔还是对的。他们只是还没看到一个更大的世界,不相信别人“无偿”做好的东西。