OS X Benutzerrechte Grundlagen

[jan-w]

Hallo zusammen,

eigentlich wollte ich diese Frage im KFKA-Forum stellen, aber anscheinend haben aktive Mitglieder nicht das Recht, dort Themen zu erstellen.

Egal, ich habe mal ein, zwei grundlegende Fragen zur Benutzerverwaltung unter Mac OS. In den Eigenschaften einer Datei kann man Rechte für verschiedene Benutzer vergeben. Das sind z. B. System (ich schätze root?), admin, staff, wheel, everyone oder mein eigener Benutzername ("ich").

Kann mir einer sagen, was es mit den Benutzern "staff", "wheel" und "everyone" auf sich hat? Ich weiß nicht, was der Unterschied zwischen diesen Usern ist.

Es geht mir darum, dass ich bald das neue MacBook meiner Eltern konfigurieren möchte. Bisher habe ich nur mit getrennten Usern gearbeitet, meine Eltern sollen sich nun mit getrennten Accounts einige Dinge teilen. Fotos, Musik, Adressbuch und Kalender sollen beiden zur Verfügung stehen. Wie das geht weiß ich schon, aber ich mache mir Sorgen, ob ich dem "Für alle Benutzer"-Ordner trauen kann. Haben auch Benutzer von Außen das Recht, auf diesen Ordner zuzugreifen? Und ist es generell clever, diese Daten außerhalb der Benutzerordner aufzubewahren?

Vielen Dank für eure Hilfe! Bitte seid nicht böse, wenn ich nicht sofort antworte, übers Wochenende werde ich nicht in der Stadt sein .

 

[Toddy]

Wenn es sich um ein privates Notebook handelt würde ich mir gar nicht die Mühe machen, da viel abzusichern.

Dass das Notebook abhanden kommt ist an sich schon umwahrscheinlich (deine Eltern werden es sicher nicht allzu häufig außer Haus mitnehmen, oder?), und selbst wenn dürften eh kaum sensible Daten darauf zu finden sein.

Also einfach in den "für alle Benutzer" Ordner mit den gemeinsamen Daten und gut ist

Zu deinen konkreten Fragen kann ich dir aber leider auch nichts sagen.

Viele Grüße

T.

 

[jan-w]

Danke für die Antwort! Genau, das MacBook wird überwiegend zuhause sein, nur ab und an werden sie es mit zum Rest der Familie nehmen (iPhoto - die moderne Version der Diashow ).

Ich habe nur die Sorge, dass jeder beliebige Mensch über das Internet auf den gemeinsamen Ordner zugreifen kann, weil "everyone" Zugriff auf den Ordner hat. Oder ist mit "everyone" nur jeder Benutzer des Computers gemeint? Diese Flut an unterschiedlichen Benutzern hat mich etwas verwirrt.

 

[below]

Ich habe nur die Sorge, dass jeder beliebige Mensch über das Internet auf den gemeinsamen Ordner zugreifen kann, weil "everyone" Zugriff auf den Ordner hat. Oder ist mit "everyone" nur jeder Benutzer des Computers gemeint? Diese Flut an unterschiedlichen Benutzern hat mich etwas verwirrt.

Also, dazu müsste sich der beliebige Mensch auf Deinem Rechner erstmal einloggen. Das musst Du erst einrichten, und dann braucht der "Besucher" immer noch Benutzername und Passwort

Alex

 

[Mitglied 87099]

Und was spricht dagegen, folgendes mal auszuprobieren: öffne die Infos des Ordners "Für alle Benutzer" und füge explizit den Benutzer deines Vaters sowie den Benutzer deiner Mutter mit "Lese und Schreibrechten" hinzu. Danach setzt du die Rechte der Benutzer "System", "wheel" und "everyone" auf "Keine" oder löschst sie gänzlich aus der Liste.

Wenn deine Eltern immer noch Zugriff auf dieses Verzeichnis haben ist doch alles in Butter

 

[Rastafari]

Kann mir einer sagen, was es mit den Benutzern "staff", "wheel" und "everyone" auf sich hat? Ich weiß nicht, was der Unterschied zwischen diesen Usern ist.

Das sind keine Benutzer, sondern Benutzergruppen.
(Achte auf das unterschiedliche Symbol.)

"staff"
(evtl auch als "Users" angezeigt) ist die Gruppe aller lokal am Rechner konfigurierten Benutzer. Falls du von Windows kommst: Dort entspricht das etwa der Gruppe "Benutzer".

"wheel"
ist die private Gruppe des root-Benutzers (aka 'superuser').
Unter Linuxoiden heisst diese Gruppe ebenfalls 'root'.
('wheel' ist typisch für alle BSD-Ableger, so wie OS X einer ist.)
Ungefähres Windows-Gegenstück: "NT-AUTORITÄT SYSTEM"

"everyone"
ist eine implizite Gruppe, in der man immer Mitglied ist, egal ob man am Rechner ein Anmeldekonto besitzt oder nicht. Im Grunde also die ganze Welt, soweit sie mit deinem Rechner überhaupt in Kontakt treten kann.
Windows-Pendant: "Jeder".

Ein paar Gruppen nach denen du nicht gefragt hast, die dir aber trotzdem begegnen werden:

Die Gruppe "admin"
(Auch als "Administratoren" angezeigt bei GUI-Programmen, die die volle Namensauflösung beherrschen.)
In dieser Gruppe sind (zusätzlich zu "staff") all diejenigen Benutzer Mitglied, die "den Computer verwalten dürfen", sprich: Die ein Administratorkonto besitzen.

"nobody"
ist ein impliziter Name für alle, die auf den Rechner zugreifen wollen, aber weder ein Konto noch eine Gruppenmitgliedschaft besitzen. Die Gesamtmenge aller völlig unbekannten Konten also.
(Gewissermassen die Differenz zwischen "staff" und "everyone")

 

[below]

"staff"
(evtl auch als "Users" angezeigt) ist die Gruppe aller lokal am Rechner konfigurierten Benutzer. Falls du von Windows kommst: Dort entspricht das etwa der Gruppe "Benutzer".

Warum gibt mit dann Directory Services nur "root" als Group Member dafür aus? Verstehe ich die Ausgabe nicht?

% dscl . -read Groups/staff
AppleMetaNodeLocation: /Local/Default
GeneratedUID: ABCDEFAB-CDEF-ABCD-EFAB-CDEF00000014
GroupMembers: FFFFEEEE-DDDD-CCCC-BBBB-AAAA00000000
GroupMembership: root
Password: *
PrimaryGroupID: 20
RealName: Staff
RecordName: staff
RecordType: dsRecTypeStandard:Groups
SMBSID: S-1-5-32-545

Alex

 

[Rastafari]

Warum gibt mit dann Directory Services nur "root" als Group Member dafür aus? Verstehe ich die Ausgabe nicht?

Ich nehme an das ist SnowLeo?
Mach dir mal keinen Kopf, dort müssen nur diejenigen Gruppenmitglieder verzeichnet sein, die keinen eigenen lokalen User-Eintrag besitzen, bei den üblichen Benutrzereinträgen ist dieser separate Eintrag optional. (Mitgliedschaften können auch aus den Einträgen zu den Benutzerkonten vererbt werden.)
Du kannst das ganz leicht nachprüfen:

id [i]username[/i]

 

[below]

Ich nehme an das ist SnowLeo?
Mach dir mal keinen Kopf, dort müssen nur diejenigen Gruppenmitglieder verzeichnet sein, die keinen eigenen lokalen User-Eintrag besitzen, bei den üblichen Benutrzereinträgen ist dieser separate Eintrag optional.

Richtig, 10.6

Aber wie frage ich jetzt ab, welche Mitglieder die Gruppe "staff" hat? Ich dachte immer, seit 10.5 sei da dscl autoritativ.

Alex

 

[jan-w]

Und was spricht dagegen, folgendes mal auszuprobieren [...]

Ok, jeder Andere wäre wohl sofort drauf gekommen, nur ich mal wieder nicht . Danke dir, wird später mal getestet.

Rastafari, danke für die ausführliche Erklärung. Dass es Benutzergruppen sind, habe ich mir gedacht, ich hatte mich falsch ausgedrückt.

Es hat jedenfalls gut geklappt, sie können jetzt die Fotos und die Musik gemeinsam benutzen . Das Adressbuch wollte nicht so ganz, wäre wohl auch problematisch, weil der eigene Benutzer ja besonders markiert wird. Ist wohl besser, wenn ich das getrennt lasse.

 

[salome]

Wenn deine Eltern die Familie mit Fotos beglücken wollen, dann sollen sie doch mal Dropbox ansehen.
Da darf sich jedes Familienmitglied alle Fotos anschauen, wann es will und niemand wird mit Diashows oder deren Nachfolgerinnen belästigt.
sali

 

[jan-w]

Nur ein kleiner Teil meiner Familie ist mit einem Computer ausgestattet, der andere Teil ist im Rentneralter . Und dieser Teil wird wohl weiter mit Diashows beglückt (was sie übrigens auch wollen).

Aber die Dropbox ist auf den Laptops meiner Eltern installiert, die wird hauptsächlich als USB-Stick Ersatz mißbraucht, weil meine Eltern keinen eigenen Drucker mehr haben. Und natürlich auch, weil ich mir so 250 MB mehr Speicher sichern konnte .

Ich frag mich ja immernoch, wie die Dropbox-Macher jedem User 2-3 GB schenken können. Decken die kostenpflichtigen Versionen wirklich all die Speicher- und Traffickosten? Naja, das Ding hat sich bei meiner letzten Semesterarbeit wirklich beweisen können. Wenn ich groß bin, denke ich über eine größere Version nach .

 

[salome]

Anscheinend rentiert es sich. Es kolmmt ja auch alle Augenblicke, die Aufforderung, die box zu erweitern.
Wir nutzen sie tatsächlich als Photoalbum aus aller Welt - entfernte Domizile, Arbeits- und Vergnügungsreisen geben ständiges Futter. Und ich nutze sie auch zum Datentausch, um die mailbox nicht zu überlasten.
Wenn aber das gemeinsame Betrachten (und Kommentieren) der Bilder Freude macht, ist es auch gut!
salome