1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

Frage zu Adminstratorrechten

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Tobi1051, 17.02.06.

  1. Tobi1051

    Tobi1051 Uelzener Rambour

    Dabei seit:
    29.12.05
    Beiträge:
    371
    Hallo,

    bedingt durch den Trojaner, der gestern aufgetaucht ist, keimt die Diskussion wieder auf, dass man es tunlichst lassen soll, als Administrator angemeldet zu sein. Bei Windows kann man ja standardmäßig generell alle Dateien schreiben. Bei Linux, wenn man sich als root anmeldet, ebenfalls.

    Allerdings verstehe ich das Prinzip bei Mac OS X noch nicht ganz so. Ich habe Tiger. Ich melde mich als Benutzer "user" an. Folglich kann ich eigentlich auch nur Programme und Dateien öffnen, die mir gehören oder die einer Gruppe gehören, der ich angehöre. (Außer natürlich die Dateien sind für alle freigegen.) Was passiert jedoch, wenn ich in der Benutzerverwaltung "Der Benutzer darf diesen Computer verwalten" anhake. Werde ich dann Mitglied in Administratorgruppen wie root oder wheel? Bekomme ich eine niedrigere UID zugewiesen? Wenn ich root-Programme ausführen will, muss ich aber trotzdem noch sudo ausführen und ein Passwort eingeben.

    Im Prinzip interessieren mich die technischen Hintergründe, die passieren, wenn ich den Schalter setze. Ich möchte bitte keine Diskussion über das für und wider des Themas. Kann mich da mal wer aufklären?

    Danke!

    Gruß
    Tobi
     
  2. Wenn du für den Benutzer die Option "Der Benutzer darf diesen Computer verwalten" aktivierst, bekommt dieser User Administratoren Rechte. Dieser User ist dann Administrator aber nicht Root. Der Root User muss extra aktiviert werden (im NetInfo Manager).

    Da du die Option "Der Benutzer darf diesen Computer verwalten" bei deinem(?) Benutzer aber aktivieren kannst, gibt es schon einen Admin in deinem System, bei mir gibt es nur einen Admin (mich) und da ist diese Option aktiviert und lässt sich logischerweise auch nicht deaktivieren.

    Sehe für mich kein Problem darin als Admin zu arbeiten, root User bleibt aber deaktiviert.
     
  3. Schomo

    Schomo Russet-Nonpareil

    Dabei seit:
    15.11.04
    Beiträge:
    3.749
    Du bist als user einer Art Super User (su), das hat Apple genau wegen solcher Viren eingeführt. Als Administrator (root) sich einzuloggen sollte man tunlichst bleiben lassen, wenn man nicht weiss was man da macht. Als Super User kannst du zwar alles installieren was du willst, und hast fast alle Rechte, aber eben nicht alle. Soweit ich gelesen haben langen aber gerade diese Super User Rechte, um diesen Wurm zu aktivieren. Aber der Wurm verlangt die Eingabe deines Passwortes.
    Ich frage mich ehrlich wie doof man sein muß, um beim Öffnen eines Bildes nach einem Passwort gefragt zu werden und dieses dann auch noch einzugeben. Ich meine jetzt keinen von euch damit.

    Gruß Schomo
     
  4. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.893
    Die wichtigste Änderung besteht darin, dass du zu einem Mitglied der besonders privilegierten Gruppe #80 (admin) wirst.

    Damit erlangst du das Recht, in Bereichen Änderungen vorzunehmen, wo diese Gruppe Schreibrecht besitzt.
    Das umfasst die Ordner /Applications/ (Programme) sowie die lokale /Library/.
    Für Zugriffe auf den Bereich /System/ brauchst du nach wie vor ein Kennwort, da diese Zone zur Gruppe "wheel" gehört, ebenso wie die unsichtbaren Strukturen des Unix-Unterbaus.

    Ausserdem erlangst du als Mitglied der Gruppe "admin" die Möglichkeit, dir nach einer Authentifizierung (erneute Kennworteingabe) vorübergehend und beschränkt dir die Rechte des Benutzers "root" anzueignen.

    Das wäre mal das wesentlichste...

    Eine Gruppe "root" wie bei anderen Unix-Varianten gibt es bei BSD-Systemen nicht.
    Die Gruppe "wheel" trägt hier die Nummer Null und ist damit quasi die "Privatgruppe" des Benutzers "root". Der Unterschied liegt aber nur im Namen, der Verwechslungen zwischen Benutzer und Gruppe vermeiden soll. Technisch gesehen ist es völlig egal, ob das nun "wheel", "apfelsaft" oder "blaukraut" heisst. Die Magie liegt in der Nummer.
     
  5. Tobi1051

    Tobi1051 Uelzener Rambour

    Dabei seit:
    29.12.05
    Beiträge:
    371
    Unter Linux kann man ebenfalls den root-Account sperren und alles über den Befehl sudo machen. Um sudo benutzen zu können, muss man jedoch ermächtigt sein. Aber auch wenn man ermächtigt ist, arbeitet man eigentlich auf der sicheren Seite, da man bei den root-Aktionen ein Passwort eingeben muss. Mir ist momentan auch nicht bekannt, wie man das umgehen kann. Wenn das jetzt bei MacOSX genauso ist, sollte es überhaupt nicht tragisch ist, wenn man die Systemverwalter-Option angehakt hat.

    Wenn es wirklich stimmt, dass bei diesem Trojaner ebenfalls ein Passwort eingegen wird, habe ich absolut kein Problem damit. Wer hier sein Passwort eintippt, ist selbst schuld.

    Tobi
     
  6. Tobi1051

    Tobi1051 Uelzener Rambour

    Dabei seit:
    29.12.05
    Beiträge:
    371
    @Rastafari

    Danke, das ist doch das, was ich wissen wollte.

    Tobi
     
  7. moornebel

    moornebel Pomme Miel

    Dabei seit:
    13.04.04
    Beiträge:
    1.488
    Das Passwort wird bei dem TrojViraner nur bei nicht Admin-Usern abgefragt. Admin-User sehen davon nichts. So zumindest wird es überall geschrieben.

    Grüsselchen
    moornebel
     
  8. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.893
    Das Problem ist weitreichender als es aussieht.
    Es wird höchste Zeit für Apple, das bereits begonnene Authorisierungskonzept mittels digitaler Signatur fertigzustellen, um Administratoren eine "sichere Applikationsumgebung" bieten zu können.

    (Ich nehme an, das "Verwalten" des Computers wird unter MOX eines Tages die Existenz einer iSight Kamera oder ähnliches erfordern. Ich bin mir sicher, dass ich mir das gar nicht wünsche.)
     
  9. Fabolu

    Fabolu Gast

    Hallo,

    ich habe bislang immer einen Admin-Account genutzt, aber es gibt dafür eigentlich keinen wirklichen Grund. Daher wollte ich jetzt auf einen normalen Nutzer-Account wechseln. Ich habe dazu einen neuen Admin-Benutzer eingerichtet und mir die "Administration des Rechners" in den Systemeinstellungen entzogen.

    Im Mac OS X-Betrieb ist das auch alles fein. Installiere ich nun Programme, werde ich kurz nach Admin-Rechten gefragt und fertig ist die Sache. Mit diesem Schritt behält man also auch selbst deutlich mehr Überblick, wann man etwas "gefährliches" machen könnte.

    Ich würde aber trotzdem gerne als eingeschränkte Nutzer im Terminal "sudo" nutzen können, da ich hier gar nicht den Benutzer wechseln kann. Daher meine Frage, wie die Einstellung in sudoers (ich schätze mal, dass man in dieser Datei etwas ändern muss unter /private/etc/sudoers ) aussieht.
     
  10. KayHH

    KayHH Gast

    Moin Fabolu,

    „man sudoers“ im Terminal hilft weiter. Es gibt dort auch ein paar Beispiele.


    Gruss KayHH
     
  11. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.893
    su Adminstratorname

    Alles andere ist Murx
     

Diese Seite empfehlen