Zugriffsrechte für neue Benutzer

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Ich habe macOS HighSierra auf einer SSD Platte in meinem MacBook Pro installiert. Zudem habe ich das CD Laufwerk gegen die HDD getauscht und verwende diese als Datenspeicher.

Jetzt habe ich versehentlich einem Nutzer Zugriffsrecht auf die komplette HDD gegeben und würde dies gerne rückgängig machen. Geht das? Mit dem normalen ändern der Zugriffsrechte über die Information des Ordners ist mir das nicht gelungen. Gibt es eine andere Methode?

Zudem habe ich das Problem, dass nun jeder neu angelegte Nutzer automatisch Zugriff auf die komplette HDD hat. Das macht für mich natürlich nicht so viel Sinn.

Ich habe viel über die Änderungen von Zugriffsrechten gelesen - aber zu diesem speziellen Thema konnte ich keine Informationen finden.

Hat jemand eine Idee?
 

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Bisher hatte der andere Nutzer auf meinem System zu der Festplatte keinen Zugriff (Ordner wurden angezeigt, aber waren mit einem roten Stoppschild gekennzeichnet).

Über die Informationen komme ich leider nicht weiter, da der Nutzer gar nicht aufgeführt wird und ich ihn erst hinzufügen muss (dabei aber gleich R oder RW Rechte zuweisen muss - aber genau das will ich ja nicht).
 

double_d

Baumanns Renette
Registriert
08.03.12
Beiträge
5.975
Hier noch ein Artikel zum Verständnis von Benutzerrechten:
https://support.apple.com/kb/PH25796?viewlocale=de_DE&locale=fr_CH

Wenn Du Admin bist und bei Aufruf der Einstellungen nur Deinen Account , Staff und Jeder siehst, dann dürften bei Staff nun die Rechte bei Schreiben/Lesen stehen auf dem Volume. Nach meinem Kenntnisstand ist jeder lokale Benutzer bei macOS automatisch in der Gruppe "Staff" und in der Gruppe "Jeder" sind auch Systemprozesse eingebunden.

In der Praxis arbeite ich selbst mit Standardbenutzern am Mac und der Admin liegt "einstellungsmäßig" brach. Einzig an meinem iMac habe ich ein weiteres Benutzerkonto für meine Frau eingerichtet. Ohne weitere Einstellungen hat sie Zugriff auf alle Volume an diesem Mac, es sind ihr nur die Benutzerordner der anderen User (Admin, Meiner) verwehrt, so wie mir der Zugriff auf ihren Benutzerordner verwehrt ist. Diese sind, wenn man sich dorthin navigiert, mit Deinem zitierten "Stoppschild" gekennzeichnet.

Vielleicht kannst Du ein Screenshot machen?
 

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Ich versuche das mit den Gruppen heute Abend mal. Der Nutzer ist ein "Standard" und hat eben direkt Zugriff auf die HDD - und das würde ich eben gerne ändern und bekomme es nicht hin. Vielleicht klappt das, wenn ich mit Gruppen arbeite.
 

MACaerer

Charlamowsky
Registriert
23.05.11
Beiträge
12.987
Normalerweise hat jeder Benutzer nur den erlaubten Zugriff auf sein eigenes Benutzerkonto und nicht auf die der anderen. Ist eventuell im Informationsdialohg die Option "Eigentümer auf diesem Volume ignorieren" aktiviert.

MACaerer
 

Macbeatnik

Golden Noble
Registriert
05.01.04
Beiträge
34.207
Jeder Benutzer hat Zugriff auf die Ordner direkt auf der Festplatte, nur die Ordner der anderen Benutzer hier die Ausnahme des Öffentlichen Ordner und der vom Nutzer auf der ersten Ebene des Benutzerordner angelegten Ordner sind für andere Nutzer gesperrt.
 

MACaerer

Charlamowsky
Registriert
23.05.11
Beiträge
12.987
Stimmt, allerdings beschränkt sich das auf Nurlesen-Zugriffe.

MACaerer
 

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Ich habe jetzt nochmal ein paar Sachen (u.a. mit Gruppen) ausprobiert und es scheint so zu sein, dass es jeder neue Nutzer per Default Zugriff (Leserechte) auf die lokale Festplatte hat. Kennt jemand eine Möglichkeit die Zugriffsrechte einzuschränken? Entweder auf die gesamte Festplatte oder einzelne Ordner? Über das Fenster "Information" funktioniert das leider nicht.
 

Macbeatnik

Golden Noble
Registriert
05.01.04
Beiträge
34.207
Warum sollte der Nutzer denn keine Zugriffsrechte zum lesen auf die Platte haben, wenn man deine Gründe dafür wusste, könnte man helfen, so sieht es so aus, als ob du das Prinzip eines multiuser System nicht verstanden hast oder einen falschen Ansatz verfolgst.
 

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Mein Grund ist eigentlich recht einfach: Ich habe auf der Festplatte (HDD, nicht die SSD aus der das System und meine Benutzer-Ordner liegen) Daten liegen, die nicht für alle Benutzer an meinem System zugänglich sein sollen. Jetzt hatte ich gehofft, dass ich bestimmten Nutzern den Zugriff auf diese Daten verweigern kann.
 

double_d

Baumanns Renette
Registriert
08.03.12
Beiträge
5.975
die nicht für alle Benutzer an meinem System zugänglich sein sollen. Jetzt hatte ich gehofft, dass ich bestimmten Nutzern den Zugriff auf diese Daten verweigern kann.
Ich kann das Problem, welches jetzt neuerlich für Dich auftaucht nicht nachvollziehen. Die lokalen Benutzer am Mac hatten doch schon immer Zugriff auf das Volume (HDD). Hast Du das vorher nicht gemerkt, oder warum kommst Du darauf, dass es plötzlich bei Dir so ist?

Bisher hatte der andere Nutzer auf meinem System zu der Festplatte keinen Zugriff (Ordner wurden angezeigt, aber waren mit einem roten Stoppschild gekennzeichnet).
Genau das kann eigentlich ohne einen Eingriff nicht sein. Ein neu erstellter Benutzer hat, bis auf die Benutzerordner der anderen Benutzer immer Zugriff auf alle Volumes des Systems und den darin enthaltenen Ordnern. Ebenso wie auf alle Apps und Programme. Es wird lediglich für ihn ein neuer Benutzerordner erstellt und er bekommt die Möglichkeit sich selbst mit seiner AppleID anzumelden (iCloud und Dienste).

Hast Du Dir die verlinkten Artikel mal durchgelesen? Dort steht doch ausführlich beschrieben, wie man diese Ordner behandelt.

Als Lösung für einzelne Ordner würde ich jetzt sagen, öffnest Du die Informationen des Ordners und im unteren Bereich fügst Du als Admin die lokalen Benutzer hinzu, welchen der Zugriff verwehrt werden soll und entziehst ihnen explizit die Berechtigung. Was anderes "Einfaches" fällt mir nicht ein.
Wenn Du grob den Gruppen "Staff" und "Jeder" die Berechtigung entziehst, dann kann es sein, dass Du selbst an bestimmte Daten nicht mehr dran kommst, weil in den Gruppen eben auch "Systemprozesse" mit integriert sind, die ebenfalls Berechtigungen benötigen.

Aber nochmal, damit Du da jetzt nicht Dein ganzes System verbiegst: Lass die Finger von den Berechtigungen, wenn Du da einem für Dich ahnungslosen Konzept gegenüber stehst. Eigentlich ist nach der Installation von macOS und dem Einrichten von Admin und Standardbenutzern auf dieser Ebene alles so, wie es für einen normalen Betrieb sein soll.
 
  • Like
Reaktionen: Scotch

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Ich kann das Problem, welches jetzt neuerlich für Dich auftaucht nicht nachvollziehen. Die lokalen Benutzer am Mac hatten doch schon immer Zugriff auf das Volume (HDD). Hast Du das vorher nicht gemerkt, oder warum kommst Du darauf, dass es plötzlich bei Dir so ist?
Das ist ja genau mein Problem. In der Vergangenheit hatten neue Nutzer keinen Zugriff auf das Volume ("rotes Stoppschild"). Seit ich versehentlich das gesamte Volume für den Nutzer freigegeben habe kann ich das nicht rückgängig machen und alle neuen Nutzer haben automatisch Zugriff.

Hast Du Dir die verlinkten Artikel mal durchgelesen? Dort steht doch ausführlich beschrieben, wie man diese Ordner behandelt.
Den Artikel habe ich gelesen - vielen Dank für den Link. Leider funktioniert das Sperren eines Nutzers auf Ordnerebene nicht, da ich zwar den Nutzer hinzufügen kann - ihm aber nur entweder Lese oder Lese&Schreibrechte geben kann. Die Auswahl "keine Rechte" wird mir nicht angezeigt.
Lass die Finger von den Berechtigungen, wenn Du da einem für Dich ahnungslosen Konzept gegenüber stehst. Eigentlich ist nach der Installation von macOS und dem Einrichten von Admin und Standardbenutzern auf dieser Ebene alles so, wie es für einen normalen Betrieb sein soll.
Ich würde mich an der Stelle nicht notwendigerweise als ahnungslos bezeichnen. Aber ich möchte sicher nicht das System zu sehr verbiegen. Leider funktioniert das System aktuell eben nicht wie es aus meiner Sicht im normalen Betrieb sein sollte (Admin kann Zugriffsrechte für lokale Ordner per Nutzer definieren).
 

double_d

Baumanns Renette
Registriert
08.03.12
Beiträge
5.975
Das ist ja genau mein Problem. In der Vergangenheit hatten neue Nutzer keinen Zugriff auf das Volume ("rotes Stoppschild").
Das ist ja der Punkt, den ich bezweifle, oder an dem wir aneinander vorbei reden.
Außer den eigentlichen Benutzerordnern und deren Unterordnern hat jeder anderer lokale Benutzer automatisch Zugriff, zumindest lesend, auf die restlichen Ordner der Systemplatte und allen anderen Volumes.

Hier ist ein Workarround, den ich durch Googlesuche bei Macwelt gefunden habe, um außerhalb der Benutzerordner den Zugriff auf bestimmte Ordner zu verwehren. Nutzung auf eigene Gefahr, denn solange wir nicht von den gleichen Dingen sprechen, kann das hier sein, dass Du etwas ganz anderes machen willst oder gemacht hast, als wir hier vermuten.

https://www.macwelt.de/tipps/Tipps-...lb-des-Benutzerordners-schuetzen-3131326.html

Ich bat Dich auch mal ein paar Screenshots zu machen, so dass wir sehen, wo Du Dich aufhältst um irgendwelche Rechte für Benutzer zu ändern.
Im verlinkten Artikel ist auch der wichtige Hinweis von @MACaerer bezüglich "Eigentümer auf diesem Volume ignorieren" aufgeführt.
Das hattest Du bereits geprüft?
Kannst Du Dich in etwa denn erinnern, wie es dazu überhaupt kam, dass Du irgendwelche Rechte an der HDD verändert hast?
Das geht ja auch nicht eben so mit einem falschen Klick über den Finder. Da muss man schon in die Einstellungen und gezielt mit Admin-Passwort arbeiten.
 

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Ich verstehe, dass es normalerweise anders sein sollte und alle Nutzer per default Zugriff auf alle Ordner haben sollten (außer Benutzerordner natürlich). Bei mir war das nicht der Fall ('rotes Stoppschild") bis ich vor einigen Tagen dem Nutzer explizit Zugriff gegeben habe.

Hier (über Nutzer und Freigaberechte) habe ich dem Nutzer Sara-Rebecca (Christian Schanz bin ich/Admin) Zugriff auf das gesamte Volumen gegeben:

upload_2018-1-9_14-59-49.png
Hier sieht man, dass ich die Nutzungsrechte von Sara-Rebecca nicht einschränken kann:
upload_2018-1-9_15-2-35.png
Die Struktur des Computers sieht wie folgt aus:

upload_2018-1-9_15-21-33.png

Deinen Link lese ich heute Abend mal durch und schaue, ob mir das hilft.

Vielen Dank für Deine Hilfe.
 

Anhänge

  • upload_2018-1-9_14-56-38.png
    upload_2018-1-9_14-56-38.png
    81 KB · Aufrufe: 18

double_d

Baumanns Renette
Registriert
08.03.12
Beiträge
5.975
Hier (über Nutzer und Freigaberechte) habe ich dem Nutzer Sara-Rebecca (Christian Schanz bin ich/Admin) Zugriff auf das gesamte Volumen gegeben:
Also im Finder die HDD ausgewählt, die Informationen aufgerufen und beim Punkt "Freigabe und Zugriffsrechte" den Benutzer explizit hinzugefügt. Richtig? In den Einstellungen dort (das Zahnrad) kann man ja auch noch angeben, ob das auf alle Unterordner angewendet werden soll. Hast Du das auch gemacht?

Aber eigentlich reicht es aus, in genau diesem Dialog den Benutzer einfach zu löschen. Fertig. Damit hat der Benutzer genauso viel Rechte an dem Volume, wie er vorher durch die Gruppe "staff" auch hatte. Und ich wette, dass "staff" vorher auch schon "Lesen/Schreiben" hatte. Das ist völlig normal, sobald von irgendeinem Benutzer außerhalb seines Benutzerordners ein Ordner angelegt wurde, oder eine externe Festplatte angesteckt wurde, oder ein zweites internes Volume eingebaut wird, dass jeder andere Nutzer darauf auch volle Lese/Schreibrechte hat.

Wie gesagt, wenn Du dem Nutzer nun den Zugriff auf bestimmte Ordner verwehren willst, dann folge der Anleitung aus dem Macwelt Artikel. Mit entfernen des Benutzers aus der Liste der Benutzer in den Informationen des Volumes (HDD), sind auch seine Rechte daran wieder auf den Ursprung zurückgefahren. "Rebecca" wird dann nur durch die Zugehörigkeit der Gruppe "staff" noch Rechte an dem Volume haben. Eine andere Lösung kann ich Dir jetzt nicht anbieten, weil mir nicht wirklich klar ist, warum die Benutzer vorher nicht systemseitig auf die HDD zugreifen hätten können.

Es sei denn, die ist noch mit Benutzerordnern von einer früheren OS X Installation belegt gewesen. Die SSD ist ja nachträglich erst dazugekommen, oder? Hast Du dann das System neu installiert? Demnach die konkrete Frage: Bist Du sicher, dass "MacintoshHD" nicht Deine Systemplatte ist?

Ich hab das jetzt alles mal bei mir nachgespielt mit extra neu angelegten Benutzern und etlichen Szenarien. Ich komme immer wieder zu dem Ergebnis, dass ein Löschen des Benutzers in dem Berechtigungen zum Volume den Ursprungszustand wieder herstellt.

Letzte Frage für den Moment:
Wie sieht es in den Einstellungen unter "Freigaben" bei Dir aus? Auch hier mal bitte ein Screenshot.
Das wäre nun noch eine Möglichkeit, wo ein Benutzer explizit Berechtigungen zu bestimmten Ordnern oder Laufwerken kriegen könnte.
 

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Und ich wette, dass "staff" vorher auch schon "Lesen/Schreiben" hatte. Das ist völlig normal, sobald von irgendeinem Benutzer außerhalb seines Benutzerordners ein Ordner angelegt wurde, oder eine externe Festplatte angesteckt wurde, oder ein zweites internes Volume eingebaut wird, dass jeder andere Nutzer darauf auch volle Lese/Schreibrechte hat.
Ich kann es Dir leider nicht mehr zeigen, da ich es ja irgendwie geändert habe ;)

Es sei denn, die ist noch mit Benutzerordnern von einer früheren OS X Installation belegt gewesen. Die SSD ist ja nachträglich erst dazugekommen, oder? Hast Du dann das System neu installiert? Demnach die konkrete Frage: Bist Du sicher, dass "MacintoshHD" nicht Deine Systemplatte ist?
Die SSD Platte ist die Systemplatte und das System wurde dort neu installiert.

Ich werde heute Abend mal die Anleitung aus der Macwelt durchgehen und schauen, ob das zum Ziel führt. Ansonsten werde ich die Platte mal formatieren und schauen was passiert - vielleicht ist da etwas korrupt (wobei die Zugriffsrechte ja vermutlich eher auf der SSD gespeichert sind :oops:)

Hier doch die Freigaben. Hier habe ich eigentlich nie etwas geändert:
upload_2018-1-9_17-50-55.png
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Über die Informationen komme ich leider nicht weiter, da der Nutzer gar nicht aufgeführt wird

Nutzer nicht aufgeführt = kein Zugriff. Wenn er doch Zugriff hat, stimmen deine Gruppenberechtigungen nicht (oder der Benutzer ist einer Gruppe zugeordnet, in der er nicht sein sollte).

Kennt jemand eine Möglichkeit die Zugriffsrechte einzuschränken?

Ja, aber das hilft dir nicht, da das von dir beschriebene Verhalten unter macOS nicht normal ist - dafür solltest du erst mal die Ursache finden. Normalerweise hat selbst ein Admin-Account unter macOS so ohne weiteres erst mal keine Zugriffsrechte auf die Benutzerordner (außer seinem eigenen). Soll heissen: Man kann auch nicht "mal eben" (schon gar nicht über den Finder) irgendeinem Benutzer Zugriff auf fremde Benutzerordner geben. Was ist mit @MACaerer Frage aus #6?

Jetzt hatte ich gehofft, dass ich bestimmten Nutzern den Zugriff auf diese Daten verweigern kann.

Ja natürlich geht das - aber reden wir jetzt noch über den Benutzerordner (also $HOME - typischerweise /Users/<Benutzername> unter macOS), oder über irgendwelche anderen Ordner? Die sind standardmässig immer von allen anderen Nutzern eines Mac zu benutzen, da die Gruppe staff dafür Rechte kriegt und bei einer Standardkonfiguration alle Nutzer zu dieser Gruppe gehören.

Ein neu erstellter Benutzer hat, bis auf die Benutzerordner der anderen Benutzer immer Zugriff auf alle Volumes des Systems und den darin enthaltenen Ordnern. E

Der Vollständigkeit halber: Das ist so natürlich nicht richtig. Ein Standardbenutzer (kein Admin) hat auf viele Dateien (allerdings nur wenige Ordner) einer Standard-macOS-Installation keinen Zugriff. Allerdings fällt das i.d.R. nicht auf, da man da so ohne weiteres i.d.R. über den Finder nie landet ;)

Ebenso wie auf alle Apps und Programme.

... die nicht in einem lokalen Benutzerorder installiert wurden (es gibt auch $HOME/Applications!).

Wenn Du grob den Gruppen "Staff" und "Jeder" die Berechtigung entziehst, dann kann es sein, dass Du selbst an bestimmte Daten nicht mehr dran kommst, weil in den Gruppen eben auch "Systemprozesse" mit integriert sind, die ebenfalls Berechtigungen benötigen.

Für staff ist das so - deswegen geht das über den Finder so ohne weiteres gar nicht erst ;) "Jeder" entspricht dem "other"-Bit in der ACL - solange mindestens ein gültiger Benutzer rw-Rechte hat, kann man die gefahrlos entfernen. Systemprozesse gehören zur Gruppe "System" bzw. (selten) "wheel" (wheel sind root-Privilegien) - von beiden Finger weg, wenn man nicht sehr genau weiss, was man tut.

Das ist ja genau mein Problem. In der Vergangenheit hatten neue Nutzer keinen Zugriff auf das Volume ("rotes Stoppschild").

Was auch immer der Grund für dein "rotes Stoppschild" war (tatsächlich ist es übrigens ein "keine Durchfahrt"-Schild): Du kannst das nicht "mal eben" ändern. Entweder hast du versucht, ein HFS-Volume zu mounten, für das du keinen Zugriff hast, aber dann kannst du nicht "mal eben" Rechte ändern und "das Schild ist weg". Selbst wenn "nur" die erweiterten Zugriffsrechte von macOS verbogen waren kriegt man das ohne Kommandozeilentools nicht geändert. Oder du hast irgendwann das Volume mit einem anderen Dateisystem formatiert, z.B. um es auch an einem PC nutzen zu können - dann ist dein "Stoppschild" automatisch weg, da dann alle Standardbenutzer rw-Zugriff haben. Warum/wieso/weshalb hat @double_d ausführlich dargelegt. In diesem Fall kannst du auch nicht alle die hier beschriebenen Rechte vergeben, weil einige HFS-exklusiv sind.

Also irgendein Schritt fehlt hier in deiner Geschichte.

Hier ist ein Workarround, den ich durch Googlesuche bei Macwelt gefunden habe

Finger weg!
 

puravida73

Granny Smith
Registriert
07.07.17
Beiträge
13
Gelöst: Ich habe gestern Abend wie in der Anleitung aus dem Macwelt-Artikel die Zugriffsrechte von "staff" gelöscht. Und siehe da - die "keine Durchfahrt"-Zeichen bei den Nutzer sind wieder da und Rechte für einzelne Nutzer können gewünscht vergeben werden. Ich vermute, dass der Nutzer der Gruppe "staff" zugeordnet war (wobei mir nicht klar ist, ob bzw wo ich das eingestellt haben könnte).

Vielen Dank für Eure Hilfe!
 

double_d

Baumanns Renette
Registriert
08.03.12
Beiträge
5.975
Ich vermute, dass der Nutzer der Gruppe "staff" zugeordnet war (wobei mir nicht klar ist, ob bzw wo ich das eingestellt haben könnte).
Was mir auffällt....ich meine es auch nicht böse....Du liest die ganzen Hinweise und Ratschläge nicht richtig. :)

Ich habe mein Wissen, oder auch mein Unwissen ausschließlich aus unzähligen Berichten, Artikeln, Diskussionen und den Selbstversuchen an meinen Systemen. Daher kann es sein, dass ich auch mal "erklärhaft" falsch liege.
Da gibt es dann aber zum Glück User wie @Scotch, die das ergänzen, korrigieren oder einfach nur etwas verständlicher erklären können.
Darauf solltest Du hören. ;)

Ich habe weiter oben irgendwo geschrieben, dass die Benutzer eines Mac, bereits beim Anlegen mindestens einer Gruppe zugeordnet sind. Und dies ist in meinen Augen die Gruppe "staff". Da tut also niemand etwas bewusst dafür, einen einzelnen Benutzer dort hinzuzufügen. Der ist da automatisch drin.
Vielleicht kann @Scotch das fachlich komplettieren oder richtig stellen, aber im Groben müsste es so sein.

Du hast aber tatsächlich irgendwelche Rechte an dem Volumen geändert, und dies zufälligerweise zu einem Zeitpunkt, an dem eh bereits an den Rechten oder an Deinem System etwas verkniesknaddelt war. Von mir aus auch systemseitig, ohne Dein bewusstes Zutun.
Insgesamt kann man aber sagen, dass der Ablauf Deiner Handlungen und das nachfolgende Ergebnis nicht dem normalen Handling entsprechen und es sich bei Dir um eine einzigartige Situation durch einen "Fehler" am System gehandelt hat.
Problem und Lösung entsprechen nicht dem Standardvorgehen und sind hier u. U. auch wieder nur ein Zufallsprodukt.

Man sollte daher auch nichts weiter für eventuelle Nacharbeiten an Rechten oder Usern ableiten.
Für den einen Benutzer hast Du nun ein für Dich zufriedenstellendes Ergebnis erzielt. Der nächste Benutzer, den Du anlegst, stellt Dich vor die gleichen Probleme. ;) Die eigentliche Ursache ist ja bisher noch nicht gefunden und gefixt worden.