Admin login für bestimmte User verbieten

[Goya]

Hallo.

Ich habe einen zweiten User angelegt und möchte nicht das dieser Programme als Administrator installieren kann bzw. Systemeinstellungen ändern kann.

Ich habe diesen User nicht als Administrator angelegt sondern als Standard. Trotzdem kann er von Administrator geschützte Einstellungen ändern, er wird dann nach dem Administrator Usernamen/Passwort gefragt und kann dies eingeben. Das möchte ich komplett verbieten.

Aus welcher Gruppe muss ich den User entfernen damit er nicht mehr diese Möglichkeiten bekommt? Oder wie läuft das?

Danke.

 

[MacMo]

Soweit ich weiß, wird er das immer können.

Allerdings braucht der User ja das Password des Administrators nicht wissen und dann kann er auch keine Einstellungen mehr ändern oder Programm (de-)installieren.
Wenn du beide User betreibst macht es ja nicht so viel Sinn. Du musst das Passwort ja nicht eingeben.

Viele Grüße,
Moritz

 

[Schiffversenker]

Einfach dem anderen Benutzer erst die Adminrechte entziehen (hast du wohl gemacht) und ihm dann das NEUE Paßwort nicht verraten.
Solltest du allerdings beidesmal der gleiche physische Benutzer sein, dann solltest du nicht beim Betriebssystem Hilfe suchen sondern bei deinem Psychiater.
Ich glaube nich, daß es aktuell irgendein Betriebssytem gibt , bei dem nicht, egal wer angemeldet ist, der Admin/Root/Superuser eingreifen kann per Name und Paßwort.

 

[coffeebreak]

Ich habe diesen User nicht als Administrator angelegt sondern als Standard. Trotzdem kann er von Administrator geschützte Einstellungen ändern, er wird dann nach dem Administrator Usernamen/Passwort gefragt und kann dies eingeben. Das möchte ich komplett verbieten.

Geht nicht. Darf man fragen, warum du das willst?

 

[Goya]

Hallo.

Vielen Dank für die Antworten.

Das Passwort weiss der zweite User natürlich nicht. Es geht darum Usern überhaupt gar nicht erst die Möglichkeit zu geben aus ihrem Useraccount heraus an Administrationsrechte zu gelangen. Wie funktioniert der Admin login für andere User denn eigentlich im GUI hier? Läuft das über Sudo?

Ich kann unter UNIX doch jedem User ganz einfach verbieten überhaupt root zu werden in dem ich ihn zB nicht in die Gruppe wheel aufnehme. Dann hat er prinzipiell doch gar keine Möglichkeit von seinem Useraccount direkt nach root zu wechseln.

Diese Möglichkeit der Einschränkung suche ich auch für Admin Rechte.

 

[Schiffversenker]

Normalbenutzer können unter OS X auch nicht direkt auf root wechseln. Das hängt davon ab, wer in der sudoer-Liste eingetragen ist.

 

[bernie313]

Wenn der Standard Nutzer die passenden Passwörter nicht kennt, erlangt er auch keinerlei Admin rechte, deine Post sind da schwammig/widersprüchlich, also, was nutzt ihm ein aufploppendes Fenster in dem er ja nichts eintragen kann.

 

[Goya]

@Schiffversenker: Das schrieb ich doch. Es geht mir hier auch nicht um root Rechte sondern um Admin Rechte. Und diese gehen doch wohl über die Rechte eines Normalbenutzers hinaus.

@bernie313: Wem was wie nützt war eigentlich nicht meine Frage und auch nicht mein Anliegen. Sondern das prinzipielle Verhindern der Möglichkeit des direkten Erlangens von Adminrechten durch einen Normaluser in seinem Useraccount. Ich kann es gern auch noch anders formulieren: Selbst wenn der User den Admin Login / PW kennt, soll er nicht die Möglichkeit bekommen direkt in seinem Account Adminrechte zu erlangen.

 

[Udo2009]

Da ein Normal-User, der das Admin Paßwort nicht kennt, nichts am System machen kann, macht es keinen Unterschied, ob das Fenster erscheint oder nicht. Also erübrigt sich jede weitere Investition von Gehirnschmalz...

 

[Goya]

Hallo Udo.

Dann ist es deiner Meinung nach also auch überflüssig das unter OSX root standardmässig deaktiviert ist? Wenn man das PW nicht kennt, kann man eh nicht root werden, gell.

 

[LosDosos]

Da ein Normal-User, der das Admin Paßwort nicht kennt, nichts am System machen kann, macht es keinen Unterschied, ob das Fenster erscheint oder nicht.

Doch, das macht es sehr wohl und ich erinnere wiederholt gerne an die Flashback-Variante, in der es dem Trojaner möglich war, sich im Hintergrund als drive-by-download zu installieren und die Admin-Passwortabfrage zu umgehen.
Wieso udo das immer wieder ignoriert, obwohl ich es ihm schon öfter erklärt hatte, weiss ich nicht.
Man sollte in jedem Fall darauf achten, nicht als Admin unterwegs zu sein, wenn das nicht unbedingt nötig ist.

Also erübrigt sich jede weitere Investition von Gehirnschmalz...

Den Eindruck könnte man bekommen, ja.

 

[Udo2009]

...die Flashback-Variante, in der es dem Trojaner möglich war, sich im Hintergrund als drive-by-download zu installieren und die Admin-Passwortabfrage zu umgehen. ...

Ach ja, und das funktioniert nicht, wenn das Fenster zur Eingabe des Admin-Passwortes nicht auftaucht? Wenn der Flashback Trojaner die Passwortabfrage umgeht, dürfte es herzlich egal sein, ob das Fenster / der Dialog erscheint oder nicht....

 

[bernie313]

Nein, Udo, es hat sich bei einigen so ins Gehirn gebrannt, den Beteuerungen der jämmerlichen Programmierer der antivirenhersteller zu Glauben, auch wenn die, wie beim flashback Trojaner auf ganzer Linie ihr Versagen gezeigt haben und dann in ihren Blogs, mit horrorgeschichten ihre eigene Unfähigkeit vertuschen wollen.
Es ist eben eine Industrie die von Angst lebt und scheinbar bei leichtgläubigen auch reichlich Boden findet.
Finger weg vom den Dreck, den vermeintlich renommierte schmieden wie symantec, Sophos, intego, avast oder avira und Co fabrizieren, es sind Leute, die vermutlich anderswo kein unterkommen fanden.

 

[LosDosos]

Ach ja, und das funktioniert nicht, wenn das Fenster zur Eingabe des Admin-Passwortes nicht auftaucht? Wenn der Flashback Trojaner die Passwortabfrage umgeht, dürfte es herzlich egal sein, ob das Fenster / der Dialog erscheint oder nicht....

Nein, das ist nicht richtig.

Ein Adminaccount ist kein Fenster zu einem Dialog.

Wenn der verwendete User ein Standarduser ist statt eines Adminusers, dann ist es für Schadcode nicht möglich, sich mit Administratorrechten zu installieren.
Das gehört eigentlich zu den absoluten Basics in Punkto Sicherheitsbewusstsein.

Nein, Udo, es hat sich bei einigen so ins Gehirn gebrannt, den Beteuerungen der jämmerlichen Programmierer der antivirenhersteller zu Glauben, auch wenn die, wie beim flashback Trojaner auf ganzer Linie ihr Versagen gezeigt haben und dann in ihren Blogs, mit horrorgeschichten ihre eigene Unfähigkeit vertuschen wollen.
Es ist eben eine Industrie die von Angst lebt und scheinbar bei leichtgläubigen auch reichlich Boden findet.
Finger weg vom den Dreck, den vermeintlich renommierte schmieden wie symantec, Sophos, intego, avast oder avira und Co fabrizieren, es sind Leute, die vermutlich anderswo kein unterkommen fanden.

Das hat jetzt überhaupt nichts damit zu tun.
Es ist eben überhaupt nicht nötig, Antivirensoftware zu nutzen, wenn man stattdessen einfach nicht unter einem Admin-Account surft.

 

[cifera]

Doch, das macht es sehr wohl und ich erinnere wiederholt gerne an die Flashback-Variante, in der es dem Trojaner möglich war, sich im Hintergrund als drive-by-download zu installieren und die Admin-Passwortabfrage zu umgehen.
Wieso udo das immer wieder ignoriert, obwohl ich es ihm schon öfter erklärt hatte, weiss ich nicht.
Man sollte in jedem Fall darauf achten, nicht als Admin unterwegs zu sein, wenn das nicht unbedingt nötig ist …

Den Satz hast du wahrscheinlich falsch verstanden, es geht um einen Benutzer mit Standardrechten, der sich Admin-Rechte verschaffen kann wenn er den Adminnamen und dessen Passwort eingibt. Ist dieses Passwort dem normalen Benutzer nicht bekannt ist es in der Sache egal, ob da ein Fenster zum Eingeben der Admin-Daten erscheint oder nicht.

 

[tocotronaut]

der standardbenutzer wird sich immer ausloggen können und sich als Admin wieder anmelden.
somit gibt es KEINE Möglichkeit das erlangen von Adminrechten zu verhindern.

Voraussetzung ist allerdings immer dass Adminnutzer/Kennwort bekannt sind.

allerdings stellt sich mir gerade eine frage:
Was passiert wenn man alle anderen Nutzer löscht und sich dann selbst die Adminrechte entzieht?

 

[cifera]

…allerdings stellt sich mir gerade eine frage:
Was passiert wenn man alle anderen Nutzer löscht und sich dann selbst die Adminrechte entzieht?

Das geht nicht, ist man der einzige (Admin-)Nutzer, ist die Option die Rechte zu entziehen ausgegraut.

 

[LosDosos]

Den Satz hast du wahrscheinlich falsch verstanden, es geht um einen Benutzer mit Standardrechten, der sich Admin-Rechte verschaffen kann wenn er den Adminnamen und dessen Passwort eingibt. Ist dieses Passwort dem normalen Benutzer nicht bekannt ist es in der Sache egal, ob da ein Fenster zum Eingeben der Admin-Daten erscheint oder nicht.

Und diese Adminrechte konnte sich Flashback nicht verschaffen; er konnte unter einem Adminaccount die Passwortabfrage umgehen.

 

[LosDosos]

der standardbenutzer wird sich immer ausloggen können und sich als Admin wieder anmelden.
somit gibt es KEINE Möglichkeit das erlangen von Adminrechten zu verhindern.

Voraussetzung ist allerdings immer dass Adminnutzer/Kennwort bekannt sind.

allerdings stellt sich mir gerade eine frage:
Was passiert wenn man alle anderen Nutzer löscht und sich dann selbst die Adminrechte entzieht?

Das ist nicht möglich, Du kannst immer nur anderen Nutzern die Adminrechte entziehen, nicht dem grade verwendeten.

 

[Goya]

Ich finde es ein wenig befremdlich wenn einige sich hier einbilden für mich entscheiden zu können ob es egal ist das der Admin Login für Standarduser möglich ist oder nicht. Ich verstehe das es euch egal ist. Mir ist es aber nicht egal. Aus welchen Gründen auch immer. Ist das in eurer Welt akzeptabel?

Der Standardnutzer wird sich bei einem Remote Angriff auf zB Mail selbstverständlich nicht ausloggen und als Admin wieder einloggen können weil der Schadcode im Speicher ausgeführt wird. (In dem für Mail reservierten)

Was ich nicht verstehe ist die Gruppenverwaltung der User. Gibt es keine Admin Gruppe in der alle User sind die sich als Admin anmelden können? Verstehe das nicht, OSX ist als UNIX zertifiziert oder nicht? Wie ist das sonst gelöst?