Frage zu neuen Benutzerkonten

B

billyblue

Aktives Mitglied
Thread Starter
Dabei seit
23.08.2005
Beiträge
410
Reaktionspunkte
2
Hallo,
wenn ich in OSX Server 10.6 einen neuen User über den WGM anlege, wird automatisch unter "Erweitert" die Option "Mehrfache Anmeldung auf verwalteten Computern erlauben" aktiviert.

Wenn dieser User aber definitiv nur für Email/iCal & Co einsetzen soll, ist dies dann ein Sicherheitsrisiko?

Danke!
- bb
 
Wenn die User nur Email iCal u.ä. haben, dann kannst du unter "Allgemein" den Punkt "Auf den Account zugreifen" deaktivieren. Email geht dann trotzdem.
 
padlock962 schrieb:
Wenn die User nur Email iCal u.ä. haben, dann kannst du unter "Allgemein" den Punkt "Auf den Account zugreifen" deaktivieren. Email geht dann trotzdem.
Zum Vergrößern anklicken....

Ah wunderbar, vielen Dank - auf welche Bereiche hat das "negative" Auswirkung, wenn ich diese Option rausnehme? Also was kann der User dann nicht bzw. in welchen Fällen muss die Option drin sein?
 
Ich hab das gerade mal ausprobiert, wenn ich das so mache, wie du es vorgeschlagen hast, dann kann ich keine Email mehr abrufen.
 
Oh sorry! Ich sehe gerade, dass wir die Mails der "deaktivierten" Accounts weitergeleitet haben.
 
Und weisst du denn, wie ich dennoch verhindern kann, dass ein User unnötigen Zugriff auf Shell oder ähnliches bekommt?
 
Ich würde alle User, die nur Mail benützen dürfen in einer Gruppe zusammen schliessen und dann im Serveradmin die Zugriffe auf die Dienste beschränken und nur Mail für diese Gruppe freigeben.

-> Serveradmin ->links auf den Serverklicken (nicht auf die Dienste) -> Zugriff
Dort kann man dann pro Dienst einstellen, wer was darf. SSH z.B nur für Administrators, AFP nur für Gruppe XY und Mail nur für Gruppe Z. Das erfordert aber eine sauber "Einteilung" der Benutzer im AGM.
 
Also ich zieh bis jetzt die neu angelegten User, welche für Email sind, einfach nur bei den Berechtigungen in die Mail-Gruppe und ich glaube beim Erstellen eines Users, kommt der doch automatisch in 'stuff', aber das sollte beides kein Problem darstellen, oder?
 
Du musst bei allen Diensten, die auf diesem Server aktiviert sind, die zugelassenen Benutzer angeben.
Also "Nur folgende Benutzer und Gruppen" aktivieren und die Benutzer oder Gruppen hineinziehen. Wenn ein Service von allen benutzt werden darf, dann kannst du für diesen natürlich alle zulassen.
Die Gruppe staff ist kein Problem, sofern du diese nicht zu den zugelassenen Gruppen nimmst.
 
padlock962 schrieb:
Die Gruppe staff ist kein Problem, sofern du diese nicht zu den zugelassenen Gruppen nimmst.
Zum Vergrößern anklicken....

Yeps, den ersten Teil mache ich auch immer so, aber was meinst du mit diesem einen letzten Satz? 'staff' ist doch selbst eine Gruppe!?
 
Ja klar. Ich meine damit, dass man der Gruppe staff keine weiteren Rechte vergeben sollte. Besser eine neue erstellen.
 
Aso ok ;) Vielen Dank für deine Hilfe, demnach hab ich ja bis jetzt immer alles richtig gemacht und die User kommen nicht anderweitig auf den Server.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten