Benutzergruppen (Staff und Wheel)

Diskutiere das Thema Benutzergruppen (Staff und Wheel) im Forum Mac OS X & macOS.

  1. PhilS1984

    PhilS1984 Thread Starter Mitglied

    Beiträge:
    85
    Zustimmungen:
    2
    Mitglied seit:
    28.07.2011
    Hi zusammen,

    ich habe gerade gesehen, dass einige Files unterschiedliche Benutzergruppen haben.
    Bei manchen habe ich nur Rechte (z.B. bei Bildern), bei anderen gibt es noch die Benutzergruppe "everyone" und bei noch anderen dann "wheel" oder "Staff".

    Was genau bedeuten diese Gruppen? Haben dadurch andere Zugriff auf die Daten oder warum haben diese Gruppen Rechte?

    Danke
     
  2. lisanet

    lisanet Mitglied

    Beiträge:
    995
    Zustimmungen:
    439
    Mitglied seit:
    05.12.2006
    Soweit ich weiß, verhält es sich mit den Gruppen wie folgt.

    "wheel" ist die ursprünglich unter BSD (das ist die ursprüngliche Basis von macOS) vorgesehene Gruppen von Usern die mittels des "su"-Kommandos root werden dürfen und damit alles auf dem System anstellen können. Durch das später eingeführte "sudo"-Kommando ist das aber faktisch nicht mehr von Bedeutung, da alle User die der Gruppe "admin" angehören, auch sudo-berechtigt sind. "sudo" ist hinsichtlich unbeabsichtigter Fehlbedienungen besser geschützt, als "su". Fazit also: "wheel" ist eher veraltet und hat faktisch keine praktische Relevanz.

    "staff" ist die Gruppe, der alle User des lokalen Systems, sprich Rechners, angehören. Die Ausgestaltung der Rechte auf dem System kann unterschiedlich sein. Zumindest ist das Leseberechtigung. Unter Debian z.B. auch Schreibrechte auf /usr/local. (allerdings sind unter Debian nicht alle User automatisch in staff)

    "everyone" ist AFAIK unter macOS die Bezeichnung für alle anderen User (also nicht der User selbst und nicht die User der jeweiligen Gruppe, also z.B. User die übers LAN zugreifen). Unter den Unix-Berechtigungen ist das mit "other" zu vergleichen.

    Die Sache mit den Rechten und den Konsequenzen ist etwas vielschichtiger.

    Grundsätzlich werden unter macOS (seit wann genau weiß ich nicht mehr, ist aber schon sehr lange so) neu angelegte Dateien (und Verzeichnisse) mit Schreib/Leserechten für den User selbst und Leserechten für die Gruppe und other/everyone angelegt.

    Das hieße erst mal grundsätzlich, dass neu angelegte Dateien/Verzeichnisse von allen Usern auf dem System gelesen werden können, WENN und NUR DANN, sie auch in Verzeichnissen liegen, zu denen Leserechte bestehen.

    Und das sieht unter macOS so aus:

    Das Home-Verzeichnis eines Users hat immer Leserechte für "staff". Nur so ist es überhaupt möglich, über die Systemeinstellungen einzelne Verzeichnisse eines Users freizugeben bzw. nicht freizugeben.

    Alle Standardverzeichnisse im Homeverzeichnis - Schreibtisch, Dokumente, Bilder, Filme, Musik, Downloads - haben NUR Lese-/Schreibrechte für den User selbst. Somit sind alle darin angelegte Dateien NICHT von anderen Usern lesebar, auch dann wenn die Datei selbst Leserechte aufweist. Das Verzeichnis muss über die Systemeinstellungen erst frei gegeben werden.

    Das Verzeichnis "Öffentlich" hat standardmäßig Lese/Schreibrechte für "staff", also für alle User auf dem System und ist standardmäßig freigegeben. Der darin befindliche Ordner "Briefkasten" hat nur Schreibrechte für alle und keine Leserechte.

    Wenn du also willst, dass Dateien, die du anlegst, NICHT von anderen Usern gelesen werden können, dann lege sie immer in den Standardverzeichnissen und Unterverzeichnissen darin an. Um mehr musst du dich dann nicht kümmern.

    Alles was du direkt in deinem Homeverzeichnis anlegst ist erst mal für alle anderen User lesbar. Wenn du das nicht willst, dann musst du die Rechte jeweils individuell ändern.
     
  3. roedert

    roedert Mitglied

    Beiträge:
    11.386
    Zustimmungen:
    2.566
    Mitglied seit:
    05.01.2011
    Im Homeverzeichnis selbst stimmt das, alle standardmäßig dort existierenden Unterverzeichnisse außer Öffentlich (Dokumente, Schreibtisch etc.) haben keinerlei Rechte für andere User.

    Edit: das hattest ja selbst geschrieben, sorry, hatte das überlesen
     
Die Seite wird geladen...
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite weitersurfst, akzeptierst du unseren Einsatz von Cookies. Akzeptieren Weitere Informationen...