Hä, was ist nun der Unterschied? Mit einem Benutzeraccount mit Adminrechten kann ich mir IMMER alle Rechte am System und an den Daten geben.
Als kleine Demonstration: Mach mal im Terminal
Code:
sudo chown -R meinuser ~andererUser
…
Schau Dir die Ausgaben an von
- whoami
- sudo whoami
Dann überleg Dir, wer das chown oben macht. Du wechselst mit sudo den User. Kein OS X-Admin hat die nötigen Rechte zu einem chown auf andere User-Verzeichnisse. Nur Root. Keiner der OS X-Admins ist Root.
Der Unterschied zum Win-Admin ist: Der Win-Admin ist praktisch einer von mehreren "Root"-Usern und es findet kein Benutzerwechsel durch den UAC-Dialog statt, sondern ein Zugriff auf das andere Token des Admins.
Vor Vista hatten Win-Admins ungebremsten Zugriff auf alles - auch mit NTFS. Ab Vista hat jeder Win-Admin ein Admin-Token und ein Normal-Token. Die UAC setzt einen Dialog vor die Nutzung des Admin-Tokens. Das ist allerdings nicht zwingend, denn eine (optional bösartige) Software kann, auch wenn sie mit dem Normal-Token läuft, auf das Admin-Token zugreifen, ohne daß ein UAC-Dialog kommt,
weil beide Tokens zum selben User gehören und in der gleichen Login-Session laufen. Man kann sie nicht effektiv voneinander trennen. Das sagt Microsoft selbst. Siehe meinen Artikel:
http://www.macmark.de/windows_uac_security_placebo.php
Ich nehme an das macht er weil er immer und immer wieder FAT als Dateisystem annimmt statt, wie seit spätestens XP bei jedem Windows üblich, NTFS.… Standardmäßig kann ich als Admin keine fremden Verzeichnisse verändern aber, …
Der Win-Admin kann auch auf NTFS alles. Sein Admin-Token erlaubt ihm das. Wenn Du etwas genauer sehen willst, was das Admin-Token alles darf, schalte die UAC aus, dann hast Du direkten Zugriff auf Dein Admin-Token.
Zusammengefaßt:
Ein OS X-Admin hat
nie die Rechte auf andere User- oder System-Verzeichnisse. Nur Root. Der Zugriff erfordert einen Benutzerwechsel. Die Rechte sind durch
unterschiedliche Benutzer streng voneinander getrennt.
Ein Win-Admin hat
immer die Rechte auf andere User- oder System-Verzeichnisse. Die Rechte daran sind durch Admin- und Normal-Token innerhalb
desselben Users nicht streng trennbar.
Die UAC dient der Umerziehung der Entwickler, daß sie sich an normale Rechte gewöhnen. Sie ist kein Sicherheitsfeature. Der Zugriff auf das Admin-Token ist für normale Software deshalb nicht leicht, aber möglich und technisch nicht zu verhindern, weil beide Token zum
selben User gehören.
Wendet Euch auch gerne an Mark Russinovich vom Microsoft Technet. Er wird Euch exakt dasselbe sagen wie ich.