17 berichten aan het bekijken - 1 tot 17 (van in totaal 17)
  • Q:
    Bijdrager
    ottocox

    Beheerders en root account

    Ik wil op mijn imac 2 beheerders(admin) accounts maken, maar ik wil slechts één daarvan de mogelijkheid geven om als root in te loggen. Met andere worden: hoe zorg ik ervoor dat één van die beheerdersaccounts niet als root kan inloggen of het root-password kan veranderen. Ik heb al wel de sudo-mogelijkheid uitgeschakeld, maar de 2e admin kan nog steeds via bijvoorbeeld adreslijstoegang de root inschakelen en het root-password veranderen. (OS 10.5)

    Alvast dank

    Otto Cox

    Bijdrager
    iJoost

    Je zit op het verkeerde niveau. (‘T is geen Windoos.;-) Eén beheerder en meerdere gewone gebruikers. En helemaal geen root-gebruik. Nergens voor nodig.

    Bijdrager
    Pieterr
    ”ottocox”

    Ik wil op mijn imac 2 beheerders(admin) accounts maken, maar ik wil slechts één daarvan de mogelijkheid geven om als root in te loggen.

    Is er hier niet sprake van een contradictie?

    An administrator account allows you to have access to all areas of the computer, install and update software, create and maintain other user accounts, and more.

    Zie ook Enabling and using the “root” user in Mac OS X .

    The root user in Mac OS X is disabled by default.

    Bijdrager
    ottocox
    ”iJoost”

    Je zit op het verkeerde niveau. (‘T is geen Windoos.;-) Eén beheerder en meerdere gewone gebruikers. En helemaal geen root-gebruik. Nergens voor nodig.

    Laat ik het dan anders formuleren: ik wil, om praktische redenen, behalve mijzelf, één ander de mogelijkheid geven programma’s en updates te installeren. Maar die wil ik dus beslist geen root- of sudo bevoegdheden geven. Hoe doe ik dat dan op een andere manier?

    Bijdrager
    Pieterr

    Er zijn genoeg programma’s die je kunt installeren zonder admin rechten. Iedere gebruiker kan die dus zelf installeren.

    Er zijn ook programma’s die je alleen kunt installeren als je ‘admin’ rechten hebt. (Als je ‘admin’ rechten hebt kun je inderdaad ook een boel andere dingen op je Mac.) Die programma’s kun jij dus maar beter zelf installeren. Dan weet je ook wat er zoal opgezet is.

    Bijdrager
    iJoost
    ”ottocox”

    Hoe doe ik dat dan op een andere manier?

    Geef ‘m zijn eigen Mac. Lijkt me de beste oplossing.
    Of spreek gewoon af dat ie root niet gebruikt…

    Bijdrager
    hendrik ijzerbroot

    Feitelijk mag een computer maar één admin (beheerder) account hebben.
    Stel je eens voor dat een supermarkt 5 beheerders heeft!
    Dat wordt me een zootje!

    Bijdrager
    Pieterr

    Admin is een verantwoordelijkheid die meerdere gebruikers kunnen hebben.
    Als je iemand die verantwoordelijkheid niet toevertrouwt, moet je hem/haar geen admin rechten geven.

    Bijdrager
    ottocox

    Toch blijft ik het ergens een beetje vreemd vinden. Je kan een admin user wel de mogelijkheid afpakken om sudo-dommando’s te geven, maar niet om de root te activeren en als root in te loggen. Terwijl dat laatste een (nog) veel groter veiligheidsrisico is.

    Bijdrager
    iJoost

    Zelfs zonder account op de computer kun je op een Mac inloggen als root. Gewoon opstarten met Appeltje-S ingedrukt. Zo lek als een mandje. Praat er even over met Apple als het je niet aan staat… zou ik zeggen.;-)

    http://www.apple.com/feedback/

    Bijdrager
    ottocox

    Ik heb nog een beetje zitten puzzelen en kom op het volgende uit:
    – ik maak een van de twee beheerders lid van de groep wheel
    – ik geef terminal (terminal.app) ook de groep wheel (in plaats van staff)
    – ik pas de permissions van terminal aan zodat die alleen door leden van de groep wheel kunnen wordne gebruikt.

    Dan heb ik als het goed is één beheerder die wel programma’s kan installeren en accounts beheren maar niet aan de unix- commando’s kan komen, en één beheerder die wel terminal kan gebruiken en -als het echt niet anders kan- ook sudo kan gebruiken en als root kan werken.

    Klopt dat zo? En zie ik een neveneffect over het hoofd (zoals het ruineren van het systeem)?

    Bijdrager
    iJoost

    Heb je een backup?

    Bijdrager
    macpro

    En een tijdelijk 3e account met alle rechten voor het geval je een van die 2 andere verkl**t en geen toegang meer hebt.

    Bijdrager
    MouseMighty

    En de installatieschijven van je Mac tevoorschijn toveren :wink:

    Bijdrager
    iJoost

    Oh, en natuurlijk kan dan nog steeds elke gebruiker gewoon een shell script in een tekst-bestandje stoppen en uitvoeren…;-)

    (Er is overigens een groot verschil tussen Unix-commando’s kunnen uitvoeren en ze als root uitvoeren. Ik krijg de indruk dat je nu iets anders probeert te bereiken als eerst…)

    Het komt me trouwens voor dat je waarschijnlijk zelf een groter “gevaar” voor je systeem bent dan die “andere” beheerder.

    Whatever, je kunt er hooguit een puinhoop van maken. En dan begin je vrolijk weer opnieuw. Toch?

    Bijdrager
    ottocox

    Het is niet zo dat ik dagelijks of zelfs wekelijks in terminal of in unix zit te rommelen. En ja, ik heb een backup en de installatieschijven bij de hand. Maar wat ik graag wil weten is of ik met deze drie specifieke opdrachten (beheerder 1 in groep wheel, terminal.app in group wheel, en permissions voor terminal.app aanpassen) mijn systeem niet ruineer (ervan uitgaande dat ik geen akelige typefouten in terminal maak).

    Bijdrager
    iJoost

    Het laatste deel kan waarschijnlijk weinig kwaad. Maar verder geen idee. En ook geen zin om het uit te zoeken, want niet de indruk dat het ergens goed voor is.;-)

    Succes ermee!

17 berichten aan het bekijken - 1 tot 17 (van in totaal 17)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.