# Mac OS X: 禁止／防止网络用户复制app程序到桌面 ### 问题的提出:     问题是这样的，对于Mac OS X使用OD管理的网络用户来说，用户的home文件夹默认地是保存在服务器上的, 也就是说不再存放在登陆电脑的本地硬盘，这样的好处是做到集中管理用户资源，并提供一致的登陆和使用环境，Windows同样支持这样的用户管理环境。提供方便的同时也会出现问题，比如：如果用户在Desktop上存放过多的文件，那么会造成用户登陆慢,而且占用大量网路资源的问题，这是因为，系统要读取用户在服务器上的资源，最常见的就是用户下载程序存放在Desktop上,或者将/Applications里面的程序复制到桌面，以备当别的电脑没有安装该程序的时候使用，等等原因.   ### 问题的解决:     为了解决这个问题, 在教育用户正确的使用习惯的同时，可以从下面两个方式从技术上来加以限制. 题外话，有的时候只能使用技术手段，比如对于小学用户来说： - 如果只是限制用户复制应用程序，那么可以采用变更.app程序中的文件或者目录的属性的方式，因为用户运行一个程序，没有必要一定要拥有可读权限，只要运行权限，但是默认的都是everyone有读的权限，所以，可以认为变更，禁止everyone可读, 这样程序可以正常运行，用户又不能拷贝。需要注意的是，挑选文件／目录要小心，并进行充分的测试。对于管理员来说，在制作发布程序包的时候，就要考虑到这个可能。 - 上面的方法有其局限性，无法控制用户下载其它的文件保存在桌面上。这个方法就是来解决这个不足的，而且更彻底地防范用户复制在桌面上复制文件。可以把原来的用户的桌面文件夹~/Desktop/，使用软连接的方法，重新定向到一个用户只读的文件夹上，这样用户就没有写权限。但是要注意的是，有的程序默认地需要访问用户桌面, 比如FireFox，它的下载目录默认就是用户的Desktop, 这样管理员要注意这些程序的测试和设置. 当然对于已经部署的网络环境中大量已经存在的网络用户来说，系统管理员需要或者编写Login Hook脚本程序，或者修改每个用户的home。   Tony Liu June 16, 2009