
<html>

  <head>

    <style type="text/css">

      <!--

        body { font-variant: normal; line-height: normal; margin-bottom: 1px; margin-top: 4px; margin-right: 4px; margin-left: 4px }

        p { margin-top: 0; margin-bottom: 0 }

      -->

    </style>

    

  </head>

  <body content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">Jeff&#44;</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">My name is Tom and I work in a school district that has deployed 6&#44;000 Macbooks in our 1:1. &nbsp;We are on our second year and last year they hired me on to admin the servers and the casper suite. &nbsp;It has been quite a crazy time so far. &nbsp;I can only imagine that your initial set up will be OS X server Open Directory along with users logging in with mobile accounts on their laptops. &nbsp;Mobile accounts are a god send. &nbsp;Once they sync to the machine locally&#44; the machine will authenticate locally but still get group/user policy from OS X server. &nbsp;I won&#39;t go into a superlative amount of detail but outline some basics for you. &nbsp;Assuming you are running 10.5.x server/client.</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">Toss all the applications you don&#39;t want the user to have access to in /Applications/Utilities. &nbsp;For instance I tossed in Automator and the Apple script program&#44; because the smart students figured out that those applications can be used to open unauthorized applications. &nbsp;Once I get every app I don&#39;t want them to be able to run in the /Applications/Utilities folder and all the apps installed I want in the base image in the /Applications folder I just apply an ownership change to those directories&#44; with this simple unix command.</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">sudo chown -R root:admin /Applications</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">That will change ownership of all folders under /Applications to be owned by root&#44; and in the admin group. &nbsp;Next I apply a permissions command that will modify the rwx attributes.</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">sudo chmod -R 775 /Applications</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">This means that the root user and any user in the admin group have full read-write-execute permissions&#44; while everyone else only has read and execute. &nbsp;So&#44; your hidden local administrator account will have full access as well as root &#40;but root always should&#41;.</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">Then in Work Group Manager create a nested group that includes all students. &nbsp;Manage their applications by folder in WGM&#44; saying that only applications may be ran from /Applications. &nbsp;Then&#44; next deny them access to any thing under /Applications/Utilities. &nbsp;So far this school year it has seemed to work pretty well. &nbsp;I restrict that programs can only run from the Applications folder period. &nbsp;You can&#39;t run an app from the user&#39;s desktop. &nbsp;It will not work. &nbsp;Any app that I want an admin account to have access to&#44; but no one else is simply placed in /Applications/Utilities. &nbsp;Since the utilities folder is restricted in WGM by the Application preferences.</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">Also&#44; it is my philosophy to create 2 separate hidden admin accounts. &nbsp;1 account you give out to your IT staff for management and troubleshooting of the machine&#44; and the other one you create for all the casper management. &nbsp;That way the casper management account never ever gets touched. &nbsp;I don&#39;t give anyone the casper admin account password and I don&#39;t even tell people it is on there. &nbsp;It only has one purpose&#44; to manage the machine for casper. &nbsp;Then anyone who needs admin rights to the machine I can just give them the local hidden admin account and they can use that. &nbsp;I have already had to do a massive password reset last year because of someone who left a printed password list out. &nbsp;Mass changing the password from Casper 5.13 to Casper 6 actually was kind of a pain. &nbsp;</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">I use Casper for package deployment and policies mainly&#44; as well as inventory and imaging. &nbsp;I don&#39;t manage the applications with Casper mainly because I don&#39;t like how you have to make a global exceptions list. &nbsp;If I could manage them by smart group I would be more inclined&#44; since with Open Directory I can manage all students by the all students group&#44; or a group of students by building and graduation year&#44; or an individual student account just by managing their user account specifically. &nbsp;</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">I would never give your students admin rights&#44; they could root the machine and erase whatever web filter app you have on there as well as any tracking software&#44; etc.</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">If you have any specific questions please feel free to post them.</font>    </p>

<br>      

    <p style="margin-top: 0; margin-bottom: 0">

      <font face="Lucida Grande" size="3">thx</font><br><br><br>___________________________<BR>Thomas&nbsp;Larkin<BR>TIS&nbsp;Department<BR>KCKPS&nbsp;USD500<BR><a href="mailto:tlarki@kckps.org">tlarki@kckps.org</a><BR>blackberry:&nbsp;&nbsp;913-449-7589<BR>office:&nbsp;&nbsp;913-627-0351<BR><BR><BR><BR><br><br>&gt;&gt;&gt; Jeff Strauss &lt;jstrauss@loyolahs.edu&gt; 11/02/08 11:23 AM &gt;&gt;&gt;<br>    </p>

    <div style="font-size: 10pt">

      <p style="margin-top: 0; margin-bottom: 0">

        Hi all&#44;<br><br>Next year our school of 1200 students will be going 1-to-1&#44; where every student has their own laptop that they end up purchasing &#40;over four years&#41; through the cost of tuition. I have a couple logistical questions and I would love to benefit from the experience on this list. Has anyone gone 1-to-1 that I could bounce ideas around with&#63; I&#8217;m mainly stumped by what kind of access the students should be granted: should they be given admin access on their machines&#63; How does that impair management with Casper&#63; That kind of stuff.<br><br>Any help would be appreciated.<br><br>Thanks&#33;<br>&#160;<br><b>Jeffrey A. Strauss<br style="font-weight: bold"></b>Department of Educational Technology<br><b>Systems Administrator<br style="font-weight: bold"></b>Loyola High School of Los Angeles<br>1901 Venice Blvd.<br>Los Angeles&#44; Ca 90006<br>&#40;213&#41; 381-5121 x265<br>&#160;<img src="cid:QTIJPSTRXKHQ.IMAGE.gif"><br><br>

      </p>

    </div>

  </body>

</html>