Benutzergruppen (Staff und Wheel)

PhilS1984

Aktives Mitglied
Thread Starter
Dabei seit
28.07.2011
Beiträge
116
Reaktionspunkte
7
Hi zusammen,

ich habe gerade gesehen, dass einige Files unterschiedliche Benutzergruppen haben.
Bei manchen habe ich nur Rechte (z.B. bei Bildern), bei anderen gibt es noch die Benutzergruppe "everyone" und bei noch anderen dann "wheel" oder "Staff".

Was genau bedeuten diese Gruppen? Haben dadurch andere Zugriff auf die Daten oder warum haben diese Gruppen Rechte?

Danke
 
Soweit ich weiß, verhält es sich mit den Gruppen wie folgt.

"wheel" ist die ursprünglich unter BSD (das ist die ursprüngliche Basis von macOS) vorgesehene Gruppen von Usern die mittels des "su"-Kommandos root werden dürfen und damit alles auf dem System anstellen können. Durch das später eingeführte "sudo"-Kommando ist das aber faktisch nicht mehr von Bedeutung, da alle User die der Gruppe "admin" angehören, auch sudo-berechtigt sind. "sudo" ist hinsichtlich unbeabsichtigter Fehlbedienungen besser geschützt, als "su". Fazit also: "wheel" ist eher veraltet und hat faktisch keine praktische Relevanz.

"staff" ist die Gruppe, der alle User des lokalen Systems, sprich Rechners, angehören. Die Ausgestaltung der Rechte auf dem System kann unterschiedlich sein. Zumindest ist das Leseberechtigung. Unter Debian z.B. auch Schreibrechte auf /usr/local. (allerdings sind unter Debian nicht alle User automatisch in staff)

"everyone" ist AFAIK unter macOS die Bezeichnung für alle anderen User (also nicht der User selbst und nicht die User der jeweiligen Gruppe, also z.B. User die übers LAN zugreifen). Unter den Unix-Berechtigungen ist das mit "other" zu vergleichen.

Die Sache mit den Rechten und den Konsequenzen ist etwas vielschichtiger.

Grundsätzlich werden unter macOS (seit wann genau weiß ich nicht mehr, ist aber schon sehr lange so) neu angelegte Dateien (und Verzeichnisse) mit Schreib/Leserechten für den User selbst und Leserechten für die Gruppe und other/everyone angelegt.

Das hieße erst mal grundsätzlich, dass neu angelegte Dateien/Verzeichnisse von allen Usern auf dem System gelesen werden können, WENN und NUR DANN, sie auch in Verzeichnissen liegen, zu denen Leserechte bestehen.

Und das sieht unter macOS so aus:

Das Home-Verzeichnis eines Users hat immer Leserechte für "staff". Nur so ist es überhaupt möglich, über die Systemeinstellungen einzelne Verzeichnisse eines Users freizugeben bzw. nicht freizugeben.

Alle Standardverzeichnisse im Homeverzeichnis - Schreibtisch, Dokumente, Bilder, Filme, Musik, Downloads - haben NUR Lese-/Schreibrechte für den User selbst. Somit sind alle darin angelegte Dateien NICHT von anderen Usern lesebar, auch dann wenn die Datei selbst Leserechte aufweist. Das Verzeichnis muss über die Systemeinstellungen erst frei gegeben werden.

Das Verzeichnis "Öffentlich" hat standardmäßig Lese/Schreibrechte für "staff", also für alle User auf dem System und ist standardmäßig freigegeben. Der darin befindliche Ordner "Briefkasten" hat nur Schreibrechte für alle und keine Leserechte.

Wenn du also willst, dass Dateien, die du anlegst, NICHT von anderen Usern gelesen werden können, dann lege sie immer in den Standardverzeichnissen und Unterverzeichnissen darin an. Um mehr musst du dich dann nicht kümmern.

Alles was du direkt in deinem Homeverzeichnis anlegst ist erst mal für alle anderen User lesbar. Wenn du das nicht willst, dann musst du die Rechte jeweils individuell ändern.
 
  • Gefällt mir
Reaktionen: KOJOTE, bowman, Faraway und eine weitere Person
Alles was du direkt in deinem Homeverzeichnis anlegst ist erst mal für alle anderen User lesbar. Wenn du das nicht willst, dann musst du die Rechte jeweils individuell ändern.
Im Homeverzeichnis selbst stimmt das, alle standardmäßig dort existierenden Unterverzeichnisse außer Öffentlich (Dokumente, Schreibtisch etc.) haben keinerlei Rechte für andere User.

Edit: das hattest ja selbst geschrieben, sorry, hatte das überlesen
 
Zurück
Oben Unten