Mac OS Benutzer - Rechte extrem einschränken?

Für ein einzelnes Gerät ist der sogenannte Kiosk Modus eine Möglichkeit ein Gerät einzuschränken mittels zweier Accounts (Admin und Kiosk-User), sodass es zB. nur eine einzige Webseite oder bestimmte Apps startet.
Entsprechende Kiosk Software gibt es meines Wissens nach auch für MacOS.

MDM nutzt man idR. um viele Geräte zu verwalten. Nicht ein einzelnes.

Starte mal eine Websuche nach macOS Kiosk Mode. Da sollte sich etwas finden lassen.

Ggf. hilft aber auch der Apple Configurator weiter: https://support.apple.com/de-de/guide/apple-configurator-mac/cadbf9c172/mac

Ich würde aber, wie bereits von einigen beschrieben, die Verantwortung dafür ablehnen.
 
Ich würde deinem Chef einfach reinen Wein einschenken und dem erklären, dass du technisch nicht in der Lage bist seinen Auftrag durchzuführen. Und schon gar nicht in einer Woche!
Geht was schief, bekommst du dann den Ärger und die Verantwortung ans Jacket getackert?
Danke, aber nein danke!
:LOL:
 
Hotze schrieb:
Absolut richtig. Ein MDM betreuen bedarf einer gewissen IT Kompetenz und ist nichts was mit der Installation einer App erledigt ist.
Zum Vergrößern anklicken....
Das Problem ist, das man an ALLES denken muss. Ein Feature eingeschränkt vergessen und das Scheunentor ist offen. MDM ist nur was für Profis, leider.
 
Könnt ihr vergessen,
Geht nicht, gibt es für ihn nicht.
Ich bin eh der Arsch, egal, ob ich es nicht hinbekomme, Oder ob ich es nur halb
hinbekomme. Die Verantwortung dafür hängt schon jetzt bei mir. So einfach ist das für ihn.

Ich finde die Situation auch blöd. Genau so blöd finde ich aber auch, dass man bei Apple einen
Lehrgang machen muss, um als Admin einen zweiten Standard-Benutzer in den Möglichkeiten zu begrenzen.
Beides (!) ist aber nicht das Thema!

Das Thema ist, dass ich irgendwie den zweiten Benutzer so weit wie möglich einschränken muss,
und ich suche nach Möglichkeiten, das zu realisieren.

Ich kann natürlich alle möglichen Apps deinstallieren, denn das Installieren erfordert ja das Admin-Passwort,
welches der Standard User nicht hat. Das wäre schon eine kleine Möglichkeit. Ich versuche aber, mehr
einzuschränken. Vielleicht kann man im Hintergrund ein Apple-Script laufen lassen, welches das Ausführen
von z.B. App Store und Einstellungen verhindert, oder so.
 
vs1 schrieb:
denn das Installieren erfordert ja das Admin-Passwort,
welches der Standard User nicht hat.
Zum Vergrößern anklicken....

Solange ein Standard-User Internetzugang hat, kann er Apps installieren.

Im übrigen: zur Zeit fehlen bei vielen Firmen Fachkräfte und werden händeringend gesucht. Nur für den Fall, dass dein Chef partout die Situation nicht erkennen will oder kann.

Übrigens:

du _musst_ keinen Lehrgang machen. Du kannst dir das Wissen auch anders aneignen. Es ist aber Wissen dazu notwendig. Das liegt auch nicht an Apple, sondern am Thema MDM.
 
Cassiuzz schrieb:
Was für zwielichtige Angestellte hast du eigentlich, dass du zu solchen drastischen Mitteln greifen mußt?
:LOL::cautious:
Zum Vergrößern anklicken....
Das hat mit Zwielichtigkeit gar nichts zu tun. das Gerät wird zugenagelt samit nicht irgendein Unsinn damit eingeschleppt wird oder als Spionagetool verwendet werden kann.
In der Windowswelt sind solche Abriegelungsszenarien durchaus üblich und haben ihren berechtigten Hintergrund.

Nur weil du das nicht verstehst oder es für Mac keine vernünftige Lösungen gibt ist da was zwielichtiges dran.

Solche Sichrehitsvorkehrungen können auch ein echter GRund sein auf Macs zu verzichten weil es eben teilweise nicht geht.
Auch durch diesen Verklebungswahnsinn kann so manches Gerät aus Sicherheitsgründen ausgeschlossen werden.
 
Interessantes Thema ...

Mal auf die Schnelle (senile Bettflucht) ein paar Sachen ausprobiert.

Ist der Mac im Netzwerk eingebunden oder soll Remote-Access haben? => Sache für Profis, garnicht erst selber rumwursteln

Anschlüsse: kann man mit Consumer-Settings beim Mac nicht wie bei PC über Bios+Passwort abschalten. => Profis fragen
(es gibt Siegel-Aufkleber. Mit denen könnte man die Anschlüsse verkleben. Hat aber keinen vorbeugenden Effekt)

Mit Standard-User/Kindersicherung kann der Finder auf den Ordner Dokumente reduziert werden, d.h. angesteckte USB-Sticks können nicht ausgelesen werden.
Per FileVault/Festplattenverschlüsselung kann der Mac durch Modifikationen/Auslesen via BootStick geschützt werden.

email: mit maximalen Bordmitteln (Standard-Account, Kindersicherung ein, App-Installation blockiert, Safari blockiert) kann immer noch ein neuer email-Account erstellt werden. Inwieweit über den Schadsoftware oder andere Software heruntergeladen und installiert werden kann, habe ich nicht probiert. Vermutlich nicht möglich, weil das installieren von Apps gesperrt ist bzw. Admin-Kennwort erfordert.
Einschränkung der email-Adressaten ist aber möglich. Das Adressbuch müsste dafür einmal eingerichtet werden mit nur einer Adresse und dann für weitere Aufrufe gesperrt werden.

Verstehe noch nicht den Einsatz-Zweck des Macbooks:
- mit Numbers und Pages Input generieren und Ergebnisse an vorgegebene email-Adresse senden.
- emails Empfangen.
- keine Verbindung zu Firmen-Netzwerk (LAN/WLAN/VPN/RDP)
Da vom Nutzer des Macbooks generierte Daten auch auf anderen Wegen an andere Adresse verschickt werden könnten, ist dieser Aspekt nicht relevant.
Entscheidend ist der Aspekt, ob Schadsoftware per email-Kontakt über anderweitigen email-Kontakt an den Empfänger (Arbeitgeber) weitergeleitet werden könnte. Das kann man nicht ausschliessen, da trotz Einschränkungen ein email-Account eingerichtet werden kann und über den email mit Schadsoftware weitergeleitet werden könnte.

Falls das Macbook irgendwie Zugriff zum Firmen-Netzwerk hat, von Geheimagenten, Mafiosi, Hackern etc bedient werden soll,
dann Auftrag an Profis weitergeben.
 
Eine MDM bieten viele an, Apple, Telekom, O2, Vodafone und noch viele freie.

Persönlich würde ich nach Apple oder zu einem der Telefonanbieter tendieren

https://www.o2business.de/produkte/mobilfunk/firmenhandys/mobile-device-management/

https://geschaeftskunden.telekom.de/mobilfunk/mobile-loesungen/beratungspakete-mdm-apple

https://www.vodafone.de/business/blog/mdm-15844/

https://support.apple.com/de-de/guide/deployment/depc0aadd3fe/web

Ihr habt doch sicher ein Unternehmen was bei IT betreut. Für Die sollte MDM ein Klacks sein
 
Mister79 schrieb:
Ihr habt doch sicher ein Unternehmen was bei IT betreut. Für Die sollte MDM ein Klacks sein
Zum Vergrößern anklicken....
Na anscheinend nicht, sonst würde sich die Frage hier nicht stellen.
JamF sollte noch ein etwas einfacheres MDM sein. Kostet aber Geld.

Kiosk Modus bringt hier nichts. Lässt sich nicht wie gewünscht einschränken und auch umgehen.

Wurden die MacBooks schon angeschafft? Könnte man sonst auch schon vorkonfiguriert bei Apple bestellen.
 
Moin,

Hotze schrieb:
Wurden die MacBooks schon angeschafft?
Zum Vergrößern anklicken....
Ja, aber es geht um nur 1 Macbook!

Mister79 schrieb:
Eine MDM bieten viele an
Zum Vergrößern anklicken....
Das ist echt ein interessantes Thema.
Ich bin neugierig, und werde mich da mal einlesen.

bobesch schrieb:
Mal auf die Schnelle (senile Bettflucht) ein paar Sachen ausprobiert.
Zum Vergrößern anklicken....
Kleiner denken.
Das ist kein "Unternehmen" im großen Sinne.
Es gibt 2 Windows-PCs im Büro, 4-5 Android Smartphones, und ein paar alte Tastenhandys.
Mehr nicht. Das ist ein kleiner Laden, mit 10 Leuten. Keinen IT-ler oder sowas.
Die Anschaffung des MacBooks auch für den Einsatzzweck versteht hier niemand.

bobesch schrieb:
Verstehe noch nicht den Einsatz-Zweck des Macbooks:
Zum Vergrößern anklicken....
Ich / Wir hier auch nicht.
Es sollen wohl Stundenzettel erfasst werden.
Also, wird Textverarbeitung und Tabellen benötigt. Wobei ich nicht verstehe, warum es ein Macbook sein muss.
Die Schwierigkeiten werden ja weiter gehen, denn der Windows-PC kann ja per Default mit .pages-Dateien nichts anfangen.
Also muss auch noch ein Office für Mac her.
Die haben das alle nicht zu Ende gedacht. Und ich sitz jetzt blöd da.

bobesch schrieb:
keine Verbindung zu Firmen-Netzwerk
Zum Vergrößern anklicken....
Es gibt kein Firmen-Netzwerk. Also kein Zugang, kein Irgendwas.
Das Macbook ist hier und da irgendwo im WLAN, sonst nichts.
Es soll laufen, wie ein ganz normaler Rechner, die sollen eben nur keinen Blödsinn damit machen können.

Ich denke, es ist einfacher, den Nutzer per Schriftstück darauf festzunageln, dass er das Gerät nur
zweckgebunden einsetzen darf, und nichts Privates oder Sonstwas damit anstellen darf, was er dann zu
unterschreiben hat. Allerdings - sowie ich den Nutzer einschätze, wird den das einen Sch*** interessieren,
und Zuwiderhandlungen verlaufen im Zweifel im Sande - dann wäre es aber zu spät.
Die haben einfach nichts Gutes im Sinn, umso weniger ist diese Aktion jetzt nachvollziehbar.

Mister79 schrieb:
Ihr habt doch sicher ein Unternehmen was bei IT betreut
Zum Vergrößern anklicken....
Nein. Ich soll Schadensbegrenzung im Vorfeld betreiben. Es gibt - wie gesagt - keinen IT'ler.
Wenn was mit den Rechnern ist, werde ich angesprochen, und wenn die Fritz Box nicht läuft, klingelt
mein Telefon. Ich bin ja schon froh, dass vor 8 Jahren mal ein Synology NAS angeschafft wurde,
welches die Backups der beiden Windows-PCs nimmt und als zentraler Datenspeicher fungiert.
Das war es dann aber auch schon.
 
vs1 schrieb:
Das ist echt ein interessantes Thema.
Ich bin neugierig, und werde mich da mal einlesen.
Zum Vergrößern anklicken....
Es ist nicht nur interessant, es ist die einzige Lösung.

Die Vorteile liegen auf der Hand, komplette Verwaltung auch aus der Ferne.

Konfigurieren bevor das Gerät eingeschaltet wird, über die Seriennummer. Sprich, ein flatsch neues Gerät, ist noch original verschweißt, du konfigurierst es nach der Seriennummer und wenn der Nutzer das Gerät einschaltet, startet der Prozess und es konfiguriert sich wie von Dir vorgegeben. Installiert die Software, E-Mail Accounts usw. Das kannst du Abends noch im HomeOffice machen, du brauchst nur jemanden der ins Lager geht und ein Gerät holt und dir die Seriennummer übermittelt. Sagst Ihm auf welchen Schreibtisch er es legen soll und fertig.

Legst Dir Profile und Rechte an und kannst später immer sagen, dieses Profil für Ihn, dieses für jenen und bist durch.

Dann kann noch bestimmt werden, mit oder ohne Privatnutzung, demnach unterscheiden sich die Rechte in den Profilen und (an dieser Stelle kann ich gerne korrigiert werden) das Gerät erstellt zwei getrennte Bereiche. Privat ggf. volle Nutzung, jetzt aber geschäftlich, anderer Zugang und es ist wie vorgegeben. Kann natürlich auch später immer aus der Ferne nachkonfiguriert werden.

Was besseres gibt es in deinem Fall nicht

Wir reden hier ja über Apple. MDM gibt es auch für Windows... Mach es Dir doch für die Zukunft leicht und vom Geld her gibt es viel teurere Dinge.

Einige werden mir sicher widersprechen aber dann müsste man erst mal klären, wie groß ist die Firma, wie viele Leute, was soll überhaupt gemacht werden, was ist ein kritischer Bereich, was nur Verwaltung, welcher der 1000 Leute darf wie weit in welchem System usw. Ich denke aber, dass trifft auf Euch alles nicht zu.

Solltet Ihr mal diese Größe erreichen, dann kommt Ihr um eine eigene oder eingemietete IT nicht rum.

Edit

Ich bin ja schon froh, dass vor 8 Jahren mal ein Synology NAS angeschafft wurde,
welches die Backups der beiden Windows-PCs nimmt und als zentraler Datenspeicher fungiert.
Das war es dann aber auch schon.
Zum Vergrößern anklicken....

Ist ja auch bis zu einer gewissen Größe auch kein Thema. Eine Synology kann viel, wenn man das passende Gerät holt und erspart einem auch Exchange Einrichtungen usw. So eine DS200 (ja ist veraltet) sicher nicht.

Nettes Thema

https://www.synology.com/de-de/dsm/feature/active-backup-business/pc

Ggf. Noch einen Router von denen mit verbauen

https://www.synology.com/de-de/srm

Oder ein FS6400 Könnte schon etwas übertrieben sein, wenn ich 2 Windows Rechner bei Dir lese. Die kleinen tun es ja auch.

Dann wohl mehr eine DS3622xs+ oder DS923+

Am Ende scheint Dich so ein Thema immer häufiger zu treffen. Verstricke Dich nicht in Insellösungen und plane mal einfaches, was du auch verwalten kannst. Da bietet sich MDM (nach Einrichtung) und Synology sicher an.

Wenn ich aber lese, 2 Windows Rechner und einige Macs oder Books, dann muss es ja kein Cisco oder Lancom und Co sein, mit VLANs und getrennten Netzwerken nach Sicherheitsebene. Kann man machen, ich könnte es nicht und du vermutlich auch nicht.
 
Zuletzt bearbeitet:
Wenn es nur Stundenzettel sind würde ich den Rechner einfach vergessen und das analog per Papier machen lassen.

Eine vertrauenswürdige Person trägt das ein.

Mach eine Kalkulation was das alles kostet und selbst der analogste Chef wird das so akzeptieren…
 
vs1 schrieb:
Ja, aber es geht um nur 1 Macbook!
Zum Vergrößern anklicken....
Wegen einem MacBook so einen Aufwand?
Da reicht doch ein billiges Windows Notebook, wo sich das einfacher umsetzen lässt.

Dann such mal nach Tutorials auf YouTube und vom Apple Support. Das kriegt man schon hin. Aber es ist ein unverhältnismäßiger Aufwand und es wird nicht einfach werden.
 
Ohne Dir zu nahe treten zu wollen… für mich klingt das alles sehr sonderbar. i:o

Wenn ich einen Mitarbeiter habe, von dem soviel „Gefahr ausgeht“, dass er großen Mist baut, der nicht ehrlich ist etc… dann geht der. Und wenn das nicht geht, dann wird er ZBW (zur besonderen Verwendung) eingesetzt. Heißt: Er dreht den ganzen Tag alleine Däumchen in irgendeinem langweiligen Büro. Auf jeden Fall bekommt der keine Möglichkeit irgendwas anzustellen und Sonderequipment bekommt er schon gar nicht.

Aber anyway… Du möchtest keine näherer Details nennen und das ist natürlich auch okay. :augen:
 
Boogaboo schrieb:
Ohne Dir zu nahe treten zu wollen… für mich klingt das alles sehr sonderbar. i:o
Zum Vergrößern anklicken....
Glaub mir... für mich auch.
Diese Aktion ist nicht zu verstehen, der Chef tickt und denkt in seiner eigenen Blase.
Keiner weiß, was das soll, und warum das jetzt passiert. Das ist wirklich sonderbar.
Aber, ich bin nicht der Chef, und mit diesem Ding hab ich jetzt die A****karte.

Ich kann und will mich dazu nicht weiter äußern, und die Sinnhaftigkeit stelle ich ebenso
in Frage, wie alle Anderen hier auch, letztendlich geht es in diesem Thread aber um das "WIE",
und nicht um das "WARUM". Und genau darauf versuche ich mich zu konzentrieren.
 
Ja du musst verstehen, in so Foren hier ist es für einige Schwierig einen Wunsch zu begleiten. Sprich, man konzentriert sich auf das gewollte. Es endet immer oder oft genau an Punkte die man nicht möchte und faselt über viele Seiten warum der eine es besser weiß als der andere und man hinterfragt Dinge, die mit dem Thema nichts an der Mütze haben
 
@Mister79
Absolut... nervt mich hier auch sehr häufig hier, wenn ich immer wieder die Frage gestellt bekomme, warum ich etwas will.
Allerdings gibt es auch hier mal wieder ein "aber", denn dem Alkoholiker ist nunmal am Ende nicht damit damit geholfen, dass Du ihm ein Glas Bier gibst, wenn er danach fragt.

Auch ich muss mich immer wieder zwingen mich einmal in die Person des Helfenden zu versetzen. Zudem sind die User hier ja auch nicht alles dumme Lemminge, die einfach handeln. Einige sind auch intelligent und machen sich automatisch ihre Gedanken um wirklich helfen zu können...

Ich persönlich finde es bei allem nur wichtig, dass man höflich und respeltvoll bleibt. Und genau das gelingt hir doch gerade... ich habe höflich meine Gedanken geäußert und mit meinem Schlußsatz dennoch mein Verständnis gezeigt und der TE hat ebenfalls höflich darauf reagiert. Also alles gut... :augen:

Also zumindest "alles gut" bis auf, dass der TE immer noch keine Lösung hat undw ir immer noch nicht wissen, warum der Chef das will und um welche Firma es sich handelt... :crack:
 
Boogaboo schrieb:
Absolut... nervt mich hier auch sehr häufig hier, wenn ich immer wieder die Frage gestellt bekomme, warum ich etwas will.
Zum Vergrößern anklicken....
Das mag vielleicht nerven, aber man kann nur optimal beraten wenn man den Context dazu versteht und alles drumrum. So kommt man vielleicht auch auf andere Lösungen und Kompromisse. Das ist ist eigentlich genau das was eher nervt. Alle Infos muss man durch zig nachfragen aus der Nase ziehen. Das fängt schon mal an, dass man erstmal nach Rechner, OS Version und allem fragen muss. Wir sitzen hier nicht vor dem Problem und Signaturen interessieren mich nicht, weil ich die nicht sehe.

Ich brauche zum Helfen auf jeden Fall den IST Zustand mit ALLEN Infos.
In diesem Fall ist die Frage ja nun eigentlich beantwortet. Diese gewünschten Einschränkungen lassen sich mit einem MDM umsetzen und ja, es ist nich einfach. Man kann es auch als Laie machen, gerade bei nur einem Gerät. Das erfordert aber die Bereitschaft zu lesen. Im Forum bekommst du keine fertige Lösung. Links und Tipps wurden gepostet.

Wir warten gerne auf deine Rückmeldung aber dazu müsstest du jetzt auch mal anfangen.
 
Zurück
Oben Unten