פרק 1: התקנה, הכרה ויישור קו (Setup & Fundamentals) - Instructor Reference (Asset A)¶
1. היסטוריה ופילוסופיה: אבולוציה מ-OS X ל-macOS, והמעבר ל-Apple Silicon¶
1. High-Level Theory & History האבולוציה של מערכות ההפעלה מבית אפל היא נדבך חיוני להבנת הארכיטקטורה המודרנית של ה-Mac. המעבר ממערכת ההפעלה הקלאסית (Mac OS 9) למערכת מבוססת Unix (OS X, וכיום macOS) סימן את תחילתו של עידן חדש ביציבות ואבטחה. הבסיס של macOS, המכונה Darwin, משלב את הליבה (XNU) עם רכיבי BSD, מה שמעניק למערכת עוצמה טכנית תעשייתית לצד ממשק משתמש קליל ונגיש (Aqua). נקודת המפנה ההיסטורית המשמעותית ביותר לאחרונה היא המעבר ל-Apple Silicon (ארכיטקטורה מבוססת ARM במקום ה-x86 של Intel), מהלך שהעניק לאפל שליטה מוחלטת על הסנכרון בין החומרה לתוכנה והוליד את תפיסת ה-"iOS-ification" שבה המק הופך למאובטח וסגור בדומה ל-iPhone.
2. Deep Technical Architecture ארכיטקטורת Apple Silicon מבוססת על טכנולוגיית מערכת-על-שבב (System on a Chip - SoC). בניגוד למערכות מסורתיות, ה-SoC מרכז את המעבד המרכזי (CPU), המעבד הגרפי (GPU), מנוע הלמידה החישובית (Neural Engine), וה-Secure Enclave על פיסת סיליקון אחת. מהפכה מרכזית כאן היא הזיכרון המאוחד (Unified Memory), המאפשר ל-CPU ול-GPU לגשת בדיוק לאותו מאגר זיכרון ללא צורך בהעתקת מידע, מה שמעלים צווארי בקבוק. מבחינה ניהולית, ב-Apple Silicon אין יותר רכיב SMC (System Management Controller) נפרד או NVRAM שדורש איפוס ידני קלאסי; פונקציות אלו מוטמעות ב-SoC ומתאפסות עצמאית במידת הצורך בעת אתחול קר (Cold Boot). שרשרת האתחול כולה מאובטחת באמצעות Secure Boot קריפטוגרפי, המונע הרצת קוד שאינו חתום על ידי אפל מהרגע בו המחשב נדלק.
3. Terminal Commands, Plists & Logs N/A - מכיוון שתת-פרק זה עוסק בהיסטוריה ובתיאוריה כללית של ארכיטקטורת החומרה (Apple Silicon ו-SoC), אין פקודות טרמינל או קבצי Plist ספציפיים שרלוונטיים לחלק התיאורטי הזה. חקר החומרה בפועל מבוצע במסגרת תת-הפרק של "מעבדה ראשונה".
4. Edge Cases & Troubleshooting N/A - תת-פרק זה מתמקד בהקשר ההיסטורי והתיאורטי בלבד של המעבר ל-Apple Silicon ולכן אינו מכיל מקרי קצה לפתרון תקלות ישירות.
2. חוויית פתיחת הקופסה (OOBE): צלילה ל-Setup Assistant¶
1. High-Level Theory & History חוויית פתיחת הקופסה (OOBE - Out of Box Experience) של מחשבי Mac מתוכננת להיות אינטואיטיבית ומינימליסטית. היא מנוהלת כולה על ידי תהליך שנקרא Setup Assistant. תפקידו הוא להביא משתמש חדש, או מחשב שעבר Erase All Content and Settings (EACS) (EACS), למצב עבודה שמיש במהירות הגבוהה ביותר. התהליך מנחה את המשתמש דרך בחירת שפה, חיבור לרשת, אישור הסכמי פרטיות, העברת נתונים (Migration Assistant), ויצירת החשבון המקומי (Local Account) הראשון במערכת.
2. Deep Technical Architecture
ה-Setup Assistant פועל כאפליקציה מערכתית הנמצאת בנתיב /System/Library/CoreServices/Setup Assistant.app. הריצה שלו מותנית בהיעדרותו של קובץ דגל (Flag file) נסתר במערכת הקבצים. במהלך התהליך, המערכת דורשת באופן אקטיבי חיבור לאינטרנט כדי לתקשר עם שרתי הזמן של אפל, שרתי Activation Lock (כדי לוודא שהמחשב אינו גנוב ונעול לחשבון קודם), וכן שרתי APNs כדי לבדוק האם המחשב משויך לארגון. יצירת החשבון המקומי דרך ה-Setup Assistant תמיד מנפיקה חשבון בעל הרשאות מנהל (Admin) כברירת מחדל ותעניק לו Secure Token המאפשר לו לנהל את הצפנת ה-FileVault בהמשך.
3. Terminal Commands, Plists & Logs
הימצאותו של קובץ יחיד היא זו שקובעת האם ה-Setup Assistant יופעל אוטומטית בהדלקה. הנתיב של הקובץ הוא:
/private/var/db/.AppleSetupDone
כל עוד קובץ זה קיים, המערכת מניחה שההתקנה הראשונית הושלמה.
ניתן לעקוב אחר לוגים של תהליך הסטאפ באמצעות Console על ידי סינון ל-Subsystem בשם:
com.apple.purplebuddy או פשוט חיפוש Setup Assistant.
4. Edge Cases & Troubleshooting
מקרה קצה נפוץ הוא כאשר המחשב ננעל עקב באג בשלב יצירת המשתמש, או שהחשבון הראשון שנוצר איבד הרשאות מנהל. במצב זה, תומכי IT יכולים לבצע מעקף: הפעלת המחשב ב-Recovery Mode, פתיחת Terminal ומחיקת הקובץ .AppleSetupDone באמצעות הפקודה rm /Volumes/Macintosh\ HD/private/var/db/.AppleSetupDone. הדבר מאלץ את המערכת להריץ שוב את ה-Setup Assistant בהפעלה מחדש (מבלי למחוק נתוני משתמש קיימים), מה שמאפשר ליצור חשבון Admin חדש ודרכו לטפל בבעיות. בנוסף, חסימות רשת (Firewall) שמונעות תקשורת לשרתי אפל עלולות לתקוע את התהליך במסך ה-Activation Lock.
3. היכרות עם המערכת (ה-Equalizer): ניווט ב-Finder, System Settings ומחוות¶
1. High-Level Theory & History מטרת ה-Equalizer היא לגשר על פערי הידע של משתמשים (Switchers) העוברים מ-Windows ל-Mac. בליבת הממשק הגרפי נמצא ה-Finder, סייר הקבצים שהוא למעשה קליפת הממשק (Shell) שאינה נסגרת לעולם. שיטת העבודה ב-macOS מסתמכת על שורת תפריטים (Menu Bar) עליונה וגלובלית שמתחלפת בהתאם לאפליקציה שבפוקוס, ועל ניווט אינטואיטיבי מבוסס מחוות Multi-Touch במשטח המגע במקום שימוש נוקשה בעכבר קלאסי. בנוסף, ה-System Settings (שהחליפה את ה-System Preferences הישנה) משמשת כמרכז השליטה העיקרי של המערכת, והיא המקום בו פוגש המשתמש את ההגבלות הארגוניות.
2. Deep Technical Architecture
ה-Finder הוא אפליקציית מערכת (/System/Library/CoreServices/Finder.app) המנוהלת ישירות תחת תהליך ה-launchd ברמת המשתמש. הוא עובד בסינרגיה עם ה-WindowServer, תהליך הליבה שאחראי על ציור הגרפיקה והממשק על המסך. חיפוש ה-Spotlight המובנה פועל באמצעות Background Process בשם mds (Metadata Server) המאנדקס את כל הקבצים בדיסק באופן רציף ושומר מסדי נתונים מוסתרים בתיקיית השורש של כל Volume תחת .Spotlight-V100.
3. Terminal Commands, Plists & Logs
-
לאיפוס מיידי של ה-Finder למקרה של תקיעה:
killall Finder -
הגדרות ה-Finder של המשתמש נשמרות בקובץ ה-Plist הבא:
~/Library/Preferences/com.apple.finder.plistניתן לקרוא אותן דרך הטרמינל עם הפקודהdefaults read com.apple.finder. -
לאיפוס אינדקס החיפוש של Spotlight במקרה של תקלות במציאת אפליקציות:
sudo mdutil -E /
4. Edge Cases & Troubleshooting
מקרים שבהם ה-Finder קופא לחלוטין או מציג "כדור ים" (Spinning Beach Ball) מצביעים לרוב על כונן רשת (SMB) שניתק באופן פתאומי אך ה-Finder עדיין ממתין לתשובה ממנו (Timeout), או על שחיתות בקובץ ה-plist של ההגדרות. במקרים אלו, יש להשתמש ב-Force Quit (דרך תפריט התפוח או לחיצה על Cmd+Option+Esc) כדי לאלץ את ה-Finder לבצע אתחול לתהליך שלו, או להשתמש ב-killall Finder מתוך הטרמינל. בעיות של חיפוש קבצים שאינם מופיעים ב-Spotlight נפתרות לרוב על ידי מחיקה ובנייה מחדש של האינדקס באמצעות mdutil.
4. מעבדה ראשונה: פתיחת מחשב וזיהוי חומרה¶
1. High-Level Theory & History מטרת המעבדה היא להעניק לאנשי התמיכה היכרות פיזית ווירטואלית עם החומרה, וללמד אותם כיצד לאסוף מודיעין על המכונה של הלקוח. תומך IT מקצועי חייב לדעת לאתר מזהים קריטיים: המספר הסידורי (Serial Number) אשר מהווה את תעודת הזהות של המחשב מול שרתי ניהול (MDM) ואחריות אפל, וכתובת ה-MAC האלחוטית (Wi-Fi MAC Address) הנחוצה לניהול בקרת גישה לרשת הארגונית. מעבדה זו מחברת בין הידע הגרפי לגישת ה-Command Line, ומראה שהטרמינל הוא פשוט ממשק מהיר יותר לשליפת אותו המידע.
2. Deep Technical Architecture
מערכת ההפעלה אוספת את נתוני החומרה באופן דינמי דרך ה-I/O Kit, שהיא תשתית הדרייברים של macOS (או בעולמות ה-Apple Silicon דרך עץ המכשירים ב-Device Tree שנטען ב-Boot). האפליקציה הגרפית System Information היא למעשה מעטפת (Wrapper) שקוראת ל-API המערכתי כדי להציג נתונים אלו. כלי ה-CLI המערכתי מבצע שאילתות בדיוק לאותם מאגרי מידע, מה שמבטיח עקביות מוחלטת בין מה שהמשתמש רואה לבין מה שתוכנת הניהול רואה.
3. Terminal Commands, Plists & Logs
-
לשליפת דוח חומרה בסיסי הכולל את המספר הסידורי (Serial Number):
system_profiler SPHardwareDataType -
לשליפת פרטי רשת, כולל כתובת ה-MAC של מתאם ה-Wi-Fi:
system_profiler SPNetworkDataType -
לשליפת גרסת מערכת ההפעלה המדויקת (כולל Build version):
sw_vers
4. Edge Cases & Troubleshooting
כאשר שולפים מידע דרך system_profiler באמצעות פקודות MDM או סקריפטים שרצים ברקע (בשם ה-Root או מרחוק), עלולות לצוץ שגיאות הקשורות למנגנון ה-TCC (Transparency, Consent, and Control). למשל, נתונים מסוימים או הגדרות רשת עשויים שלא להיות מוצגים אם לטרמינל או לסקריפט אין הרשאת Full Disk Access. תומך המבצע משימה זו צריך להכיר בכך שאם פקודת CLI מחזירה שגיאה של Operation not permitted או מחסירה נתונים, הבעיה היא אבטחתית ולאו דווקא חומרתית.
5. תיבול ארגוני: מסך ה-Remote Management וה-ADE¶
1. High-Level Theory & History בסביבה צרכנית רגילה, תהליך ההתקנה (Setup Assistant) נמצא בשליטה בלעדית של המשתמש. בסביבה ארגונית מודרנית, חברות משתמשות בשירות Automated Device Enrollment (ADE) כחלק מ-Apple Business Manager. תהליך זה מאפשר Zero-Touch Deployment – כלומר, היכולת של הארגון להטמיע תצורה, אבטחה, ורישום למערכת ה-MDM עוד לפני שהמשתמש הגיע לשולחן העבודה, וכל זאת ללא מגע יד של איש IT פיזית במכשיר.
2. Deep Technical Architecture
כאשר מחשב Mac מתחבר לאינטרנט במהלך מסכי ה-Setup Assistant הראשונים (מיד לאחר בחירת רשת Wi-Fi), קיים שירות מערכתי הפונה לשרתי אפל בכתובות ספציפיות (כגון iprofiles.apple.com). המחשב שולח את המספר הסידורי שלו ומקבל בחזרה קובץ JSON שמודיע לו שהוא בבעלות ארגון. ברגע שזה קורה, ה-Setup Assistant נקטע, ננעל, ומציג מסך הנקרא Remote Management. המסך מחייב את המשתמש לקבל פרופיל הרשמה (Enrollment Profile) שמונפק על ידי שרת ה-MDM הארגוני. הפרופיל מתקין את ה-MDM Agent שיעבוד ברקע וידחוף את כל ההגדרות למכשיר.
3. Terminal Commands, Plists & Logs
-
לאילוץ בדיקה מחדש מול שרתי אפל והפעלת טריגר של Automated Device Enrollment באמצעות הטרמינל (שימושי במקרה שהמחשב דלג על השלב בטעות):
sudo profiles renew -type enrollment -
צפייה בסטטוס הרישום ל-MDM:
profiles status -type enrollment -
לוגים הקשורים לתהליך ניתן למצוא ב-Console תחת חיפוש ה-Subsystem:
com.apple.ManagedClientו-mdmclient.
4. Edge Cases & Troubleshooting הכשל הנפוץ ביותר ב-Zero-Touch Deployment הוא שמסך ה-Remote Management פשוט לא מופיע. התקלה נגרמת לרוב מבעיות רשת: המשתמש מחובר ל-Captive Portal (רשת של מלון/בית קפה הדורשת לחיצה בדפדפן), או שחומת האש (Firewall) הארגונית חוסמת גישה לשרתי אפל בפורט 443 או לפורט 5223 החיוני לשירותי ה-APNs. מקרה קצה חמור נוסף במחשבי Apple Silicon מתרחש כאשר מחשב משומש מוחזר לארגון, אך המשתמש הקודם הפעיל בו צרכנית Activation Lock עם Apple ID פרטי. ה-Activation Lock חוסם את המחשב עוד בשלב רמת החומרה, לפני שלב הרשת והרישום הארגוני, מה שדורש מאנשי הניהול לעקוף זאת מרחוק באמצעות מפתח שחרור ארגוני דרך ה-MDM, אחרת המחשב הופך למשקולת נייר (Brick).