mac电脑怎么限制普通用户不能修改偏好设置

这是一个复杂的问题，不好一句两句话就说清楚说透。

首先，限制普通用户的目标得确定好，做好文档，以后有变化再改变也有依据。比如，所说的“限制普通用户不能修改偏好设置”，就不明确。如果如“切换连接的WiFi，修改网络设置”，这个就比较具体。

的确有不同的方式达成管理目标，最好的是使用 Apple 的方法，可持续不依赖特定技术和人员，也就是Apple 提供的一整套的 MDM 管理规范，这个可以参考文档：Enrollment and Deployment Support。如果需要，可以联系相关技术咨询顾问以及联系 Apple 的企业支持。需要注意的是，不同的 macOS 版本对于标准的支持不同，所以从这个角度说要尽量使用最新的macOS版本，但是，也要考虑公司的关键应用 app 版本兼容等问题。MDM这是一个大工程，需要持续花费精力和金钱也很多，不是所有公司都能承担得起的。

还有就是根据特定的需求做定制，比如网络这个，个人认为通过macOS 的内置防火墙比较好，10.7 之前是 ipfw，之后的使用 OpenBSD 的 pf 了，具体可以参考 "man pfctl"。

具体到无线网络的控制，使用AirPort命令行，也是一个简单易行的方式，用它可以控制：连接方式（自动|首选网络|最近|信号最强等），限制更改需要管理员：开关Wi-Fi，切换网络，是否把连接的添加到首选列表中, 网络唤醒等等。这些可以通过执行命令获得所有的选项：/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport

当然用命令行网络设置还要搭配 networksetup 和 systemsetup 以及其它的命令才能比较好滴控制。

还有就是，通过定制 app 来控制。

控制有好多方式，就看公司的需求、能力和情况，选择适合自己的方式（当然有时会需要混合多种技术）。

那些 airport/networksetup/systemsetup 等命令需要管理员权限才能顺利变更系统设置，你前面说的既然他们都是用普通账户登录，那么无权限修改。app 也是一样的道理。最简单的方法是：使用 POSIX 的文件权限方法，可以简单地阻止普通用户的非授权修改。

使用 MDM 的好处是，即便是给用户本地管理员权限，都无法“轻松”绕过 MDM 的限制。

当然暴力破解，比如抹盘重装系统，也是无法避免的。不过，这个可以使用审计的方法发现漏洞的。

如果，仅仅是网络访问限制，那倒是还不算太难。不过，事情可能并不简单，网络限制的初衷是什么呢？不会是单单网络限制，不让大家摸鱼吧，而是为了数据安全，那么是不是要考虑限制其它的外置设备呢？比如 bluetooth和U 盘等；其它网络入侵方式，比如接入一个伪装了的个人设备，然后网络共享复制数据等等。那么要考虑，禁止 USB 设备，关掉蓝牙等，防火墙可以限制网络访问等等。

如果不想投资 ABM 以及 MDM，那么，给员工明确公司数据安全规章后，配以一个自定义的系统daemon服务，时刻监控机器的状态，比如，是否装载了外置设备，是否访问了非公司的网络共享，是否有其它网络可用，公司网络是否畅通等等，并实时登记每台机器状态和检测结果，以便统计和审计。还要有一套（简单的）系统规程的部署方法，即新机下发之前标准准备流程。

Mac 电脑还有其特殊性，文件保险箱和固件密码是两个可用技术，固件密码可以防止通过其它方式泄露数据，比如目标模式，单用户模式等，文件保险箱保护数据安全。

上面想得有点多，仅供参考。