macOS - Benutzer hat Zugriff auf meinen Benutzerordner - Wie Rechte vergeben?

[Sequoia]

Hallo,

ich habe meiner Tochter einen Account auf meinem MacMini M1 Ventura gemacht.

Nun bin ich in den Finder gegangen, kann dort mit Ihrem Account in meinen Benutzerornder, dort Downloads, Dokumente, usw. ansehen.

Ich dachte, ich kann nun über Ablage - Informationen - Rechte ihr die Rechte entziehen, aber das steht gar nicht zur Auswahl. Wie kann ich das hin bekommen?

Sie soll keinen Zugriff auf meine Dokumente, usw. haben.

Lieben Dank.

 

[froyo52]

Ihren Account nicht als Admin einrichten.

 

[Sequoia]

Ist er natürlich nicht.

 

[Macbeatnik]

Im Normalfall sind die Accounts komplett voneinander getrennt, du musst also in deinem Benutzer etwas an den Rechten verändert haben, denn wie gesagt ein anderer Nutzer dürfte keine deiner Ordner einsehen dürfen.

Noch ein edit, hast du die Ordner eventuell selbst erstellt?

 

[MacAlzenau]

Das Bild zeigt doch anscheinend deinen Benutzerordner an.
Wie willst du da Rechte für deine Tochter einstellen?
Da andere Benutzer für den Unterordner „Öffentlich“ Rechte haben, kann der Benutzerordner selbst nicht komplett gesperrt werden - die übrigen Unterordner dagegen müssten ein Verbrotsschild haben und keine Rechte für everyone.

Nachtrag: So sieht das bei mir aus, wenn ich von meinem Adminaccount einen anderen öffnen will (allerdings nicht Ventura):

 

[Wuchtbrumme]

Hi @Sequoia, von Admin nach Admin-User habe ich das gerade probiert und es geht nicht - jedenfalls nicht auf Downloads und Dokumente usw. (wie auch schon @MacAlzenau schreibt). Von Standard-Benutzer auf Admin habe ich noch nicht probiert aber ich wüsste nicht, warum das plötzlich gehen sollte.

 

[Sequoia]

Ich bin Admin, habe selbst erstellte Ordner:

mein Benutzer - SynologyDrive - Dokumente
mein Benutzer - SynologyDrive - Bilder
mein Benutzer - Dokumente Archiv
...
Auf all die selbst erstellten Ordner hat der "Standard Account" meiner Tochter Zugriff.

Ich habe jetzt den Ordner "SynologyDrive" für Staff auf "Briefkasten" gestellt.
Nun ist bei meiner Tochter im Account an dem Ordner ein kleiner, blauer Pfeil bei meinem Ordner.
Also sie könnte dort Sachen rein schieben, aber nichts lesen.

Das wäre soweit i.O., aber ich hätte es lieber einfach sauber getrennt.

Die Benutzerordner sind korrekt:
MacOS Festplatte - Benutzer:innen -
- mein-Accountname-Ordner
- ihr-Accountname-Ordner

Sie kann in meinen Account-Ordner gehen, da alle Ordner sehen, aber nicht mehr in die Unterordner (da sie als Briefkasten markiert sind).

Selbst an den Rechten habe ich nie was ein- oder umgestellt, da ich bisher der alleinige Nutzer des Mac war.

 

[MacAlzenau]

Sorry, bei mir war ein gedanklicher Kurzschluß im Spiel.
Ich dachte irgendwie, du wolltest für deinen Benutzerordner explizit die Rechte deiner Tochter einstellen, das geht natürlich nicht - du kannst nur pauschal allen Nicht-Admins den Zugriff verbieten (durch das Popup in deinem Screenshot war das irgendwie für mich in dem Moment weg vom Hirn).
Hier ist bei mir der Standard
ich lesen & schreiben
staff (die Gruppe) nur lesen
everyone nur lesen.
Und damit habe ich die gewünschten Rechte, andere können auf diesen Benutzer nicht zugreifen außer auf Öffentlich .

Ich bin Admin, habe selbst erstellte Ordner:

mein Benutzer - SynologyDrive - Dokumente
mein Benutzer - SynologyDrive - Bilder
mein Benutzer - Dokumente Archiv
...
Auf all die selbst erstellten Ordner hat der "Standard Account" meiner Tochter Zugriff.

Ach so, von selbsterstellten war bisher nicht die Rede... Da scheint es tatsächlich einen Bug in macOS zu geben, schon seit langem (hab ich mal gelesen) und man muß dann für diese Ordner die Rechte eigens einstellen, direkt an diesen Ordnern.

Du hast geschrieben vom Benutzerornder und dort Dokumente - das ist ~/Dokumente, nicht ~/SynologyDrive/Dokumente!

 

[Sequoia]

und man muß dann für diese Ordner die Rechte eigens einstellen, direkt an diesen Ordnern.

Genau, nur, dass man da maximal Lesen & Schreiben, Lesen, Schreiben (Briefkasten) einstellen kann.
Komplett sperren geht nicht.

Du hast geschrieben vom Benutzerornder und dort Dokumente - das ist ~/Dokumente, nicht ~/SynologyDrive/Dokumente!

Ja richtig. Ich hatte oben meinen Benutzerordner komplett sperren wollen. Auch das geht nicht.

 

[Wuchtbrumme]

die Anzeige im Finder ist eine interpretierte. Ein versucht-interpretierte. Oder anders formuliert, der Finder hat keine Ahnung von der Kombination Mac und Synology.

 

[Marcel Bresink]

Rechte ihr die Rechte entziehen, aber das steht gar nicht zur Auswahl.

Doch, natürlich steht das zur Auswahl, aber das ist oben bereits korrekt eingestellt. "Everyone: Keine Rechte" macht genau das.

Aber Du scheinst Rechte für den abgebildeten Ordner bereits verstellt zu haben, so dass zusätzliche Rechte höherer Priorität vergeben wurden, die den Zugriff ausdrücklich erlauben. Das kann man oben leider nicht sehen, da die wichtigsten Einstellungen verdeckt sind. Das steht wahrscheinlich in der ersten Zeile der Tabelle.

Der Finder arbeitet außerdem mit einer stark vereinfachten Darstellung der Rechte, die nicht der echten Einstellung entspricht. In bestimmten Fällen ist diese Vereinfachung so stark, dass die Anzeige sogar falsch ist. Die echten Rechte kannst Du im Terminal sehen.

 

[Sequoia]

der Finder hat keine Ahnung von der Kombination Mac und Synology.

Das spielt ja auch keine Rolle. Es ist ein Ordner. Egal, ob der SynologyDrive oder IchbineinOrdner heißt 😊

Everyone: Keine Rechte

Genau das hatte ich eingestellt.

Es war eingestellt (der Home Ordner):
meinName: Lesen & Schreiben
Staff: Lesen
everyone: Lesen

Das habe ich umgestellt auf:
everyone: keine Rechte

Hat nichts gebracht. Sie konnte immer noch drauf zugreifen.

Warum da nun noch ein vierter ist (oben über meinem Namen in dem Screenshot), weil ich Ihren Benutzernamen manuell hinzugefügt habe, wo es keine Auswahl gibt zu "keine Rechte".

Also für mich aktuell als Fazit:
everyone: keine Rechte hatte keine Auswirkung.
Ich musste "Staff" auf "nur schreiben" stellen, damit die Ordner nicht mehr lesbar waren.


PS: ich hatte nie an Rechten etwas verändert. Bisher war es ein Single User Mac, nun eben nur den zweiten Account hinzugefügt.
Und da dann festgestellt, dass vom zweiten Account Zugriff auf alle erstellten Ordner unter ~/BenutzernameAdmin/... vorhanden ist.

 

[Marcel Bresink]

Hat nichts gebracht. Sie konnte immer noch drauf zugreifen.

In diesem speziellen Fall liegt das daran, dass sie Mitglied der Gruppe "staff" ist. Also darf sie lesend zugreifen.

Ich musste "Staff" auf "nur schreiben" stellen, damit die Ordner nicht mehr lesbar waren.

Das ist allerdings noch viel schlimmer. Dadurch gibst Du ihr das Recht, sämtliche Daten "blind" zu löschen.

Und da dann festgestellt, dass vom zweiten Account Zugriff auf alle erstellten Ordner unter ~/BenutzernameAdmin/... vorhanden ist.

Das ist der normale Standard, und die falsche Schreibweise. Du meinst wahrscheinlich ~Admin/ . Entscheidend ist, dass jeder Ordner unterhalb dieses Ordners je nach seiner Bedeutung verschieden lesegeschützt ist.

Wie gesagt sollte allerdings niemals der Finder zum Umstellen von Rechten verwendet werden. Dabei kommt fast immer Murks raus.

 

[Sequoia]

In diesem speziellen Fall liegt das daran, dass sie Mitglied der Gruppe "staff" ist. Also darf sie lesend zugreifen.

Ja. Aber was anderes ist dort nicht einstellbar.

Mein Ziel wäre es, dass sie einfach gar nicht in meinen Benutzerordner kann.

Das ist allerdings noch viel schlimmer. Dadurch gibst Du ihr das Recht, sämtliche Daten "blind" zu löschen.

Nein, denn jetzt kommt sie zumindest in den Ordner gar nicht rein. Er hat nur einen kleinen blauen Pfeil. Könnte also nur noch Sachen rein schieben, aber den Inhalt nicht sehen (nur schreiben ist der Parameter, Briefkasten).

Das ist der normale Standard, und die falsche Schreibweise.

Nein, das meine ich schon so.
Es gibt unter ~/Benutzer:innen/ zwei Verzeichnisse. Das mit meinem Namen (Admin) und das mit Ihrem (Standardbenutzer).

 

[Marcel Bresink]

Mein Ziel wäre es, dass sie einfach gar nicht in meinen Benutzerordner kann.

Dann hätte ein "chmod go-rx ~" ausgereicht. Inzwischen ist aber Einiges verstellt, was wieder rückgängig gemacht werden muss.

Nein, denn jetzt kommt sie zumindest in den Ordner gar nicht rein.

Das glaubst Du zwar, aber Du hast ihr in Wirklichkeit volles Löschrecht erteilt. Wenn die Unterordner nicht geschützt sind, kann sie nun alle Deine Daten löschen, auch wenn sie das nicht sehen kann.

Es gibt unter ~/Benutzer:innen/ zwei Verzeichnisse.

Nein, das sind mehrere Fehler in der Schreibweise. Es gibt unter "/Users" zwei Ordner, wobei der eine ~admin/ geschrieben werden darf und der andere ~users/, wobei "admin" und "users" die Kurznamen der beiden Benutzer-Accounts sind.

~/BenutzernameAdmin/ würde etwas ganz anderes bedeuten, und zwar für Programme, die von Dir gestartet werden, der Ordner mit dem Namen /Users/admin/BenutzernameAdmin/ und für Programme, die von ihr gestartet werden, der Ordner /Users/user/BenutzernameAdmin/ .

NACHTRAG: Um das Gewünschte zu erreichen und die gefährlichen Falscheinstellungen zu entfernen, verwende den Befehl

chmod -N ~ ; chmod 0700 ~

 

[Sequoia]

Nein, das sind mehrere Fehler in der Schreibweise. Es gibt unter "/Users" zwei Ordner, wobei der eine ~admin/ geschrieben werden darf und der andere ~users/, wobei "admin" und "users" die Kurznamen der beiden Benutzer-Accounts sind.

~/BenutzernameAdmin/ würde etwas ganz anderes bedeuten, und zwar für Programme, die von Dir gestartet werden, der Ordner mit dem Namen /Users/admin/BenutzernameAdmin/ und für Programme, die von ihr gestartet werden, der Ordner /Users/user/BenutzernameAdmin/ .

Ich glaube, Du missverstehst das? Die heißen nicht BenutzernameAdmin, sondern das war ein Synonym für meinen Namen.

Unter /Macintosh/Benutzer:innen/ gibt es:
PeterMüller (das bin ich, Adminaccount)
LisaMüller (meine Tochter)

Mehr ist da nicht drin.
Unter
~/Benutzer:innen/PeterMüller/ gibt es dann:
- Desktop
- Dokumente
- Movies
- Music
- SynologyDrive
usw.

Oder habe ich hier nun was falsch verstanden?

Um das Gewünschte zu erreichen und die gefährlichen Falscheinstellungen zu entfernen, verwende den Befehl

Wo gebe ich das bei wem ein?

 

[Marcel Bresink]

Ich glaube, Du missverstehst das?

Nein.

Die heißen nicht BenutzernameAdmin, sondern das war ein Synonym für meinen Namen.

Das ist jedem klar, aber dadurch ergibt sich keine Änderung.

Unter /Macintosh/Benutzer:innen/

Da sind wieder mehrere Schreibweisefehler.

Der Finder schreibt das so, falls Deine Primärsprache auf deutsch geschaltet ist:

Macintosh HD > Benutzer:innen

Die innerhalb von macOS tatsächlich verwendete Schreibweise lautet:

/Users/

~/Benutzer:innen/PeterMüller/

Was Du meinst, schreibt der Finder so:

Macintosh HD > Benutzer:innen > PeterMüller
Was Du geschrieben hast, ist syntaktisch falsch, das müsste zum einen ~/Benutzer\:innen/PeterMüller/ heißen und würde in Programmen, die Du selbst aufrufst, vom System als

/Users/PeterMüller/Benutzer\:innen/PeterMüller/
verstanden. Das Zeichen "~" hat verschiedene Bedeutungen und wird in dem Zusammenhang hier als "Platzhalter für den absoluten Pfad des Privatordners des Benutzers, der die aktuelle Shell aufruft" ausgewertet.

Wo gebe ich das bei wem ein?

Du startest von Deinem Benutzer-Account aus das Programm "Terminal" aus dem Ordner "Dienstprogramme", dann überträgst Du per Kopieren/Einfügen die angegebene Zeile in das Terminal-Fenster und drückst am Ende die Return-Taste.

 

[Sequoia]

So schaut das aus. Wahrscheinlich habe ich die Schreibweisen einfach falsch zugeordnet:






Und den Code habe ich nun eingegeben.
Damit ist dann nun alles gut? 😊

 

[Marcel Bresink]

Ja, diese Standardeinstellung kann der Finder sogar fehlerfrei im Info-Fenster anzeigen.

 

[Sequoia]

Ganz lieben Dank. Ich logge mal eben um und schaue, ob da noch Zugriff ist.

*edit*
@Marcel Bresink ganz ganz lieben Dank!
Es ist das rote Einbahnstraßensymbol vor meinem Benutzerordner!
Klasse!!