MacBook: Admin-Passwort bekannt, aber "Authentifizierung deaktiviert"

[juerschi1]

Hallo zusammen,

vielleicht hatte jemand von Euch bereits ein ähnliches Phänomen.

System:
MacBook Air (M1, 2020), 8 GB, macOS 13.1 (Ventura)

Benutzer:
2 Standard-Benutzer (ohne Verwaltungsrechte) + 1 Admin
Situation:
Passwörter für alle drei Benutzer sind bekannt; Standard-Benutzer funktionieren einwandfrei.

Seit kurzem - ohne bewusste Änderung an Benutzerkonten oder ähnlichem - kann ich mich in den Admin-Account nicht mehr einloggen.
Merkwürdig dabei ist, dass das Passwort anscheinend gar nicht geprüft wird. Es erscheinen (unabhängig, ob richtiges oder falsches Passwort verwendet wird) die Meldungen:
"Dein Account ist gesperrt" - bei versuchter Anmeldung im Startbildschirm oder
"Authentifizierung für "Admin" ist deaktiviert" - bei versuchter Anmeldung über Einstellungen/Benutzer... (über einen der beiden Standard-Accounts)

Bisher kann ich mit dem MacBook noch problemlos arbeiten, aber spätestens bei der nächsten Änderung, die Admin-Rechte benötigt, wird es doof...

Wer von Euch hat Ideen dazu?

Ein paar Sachen habe ich schon gemacht.
- reboot ;-)
- Neustart im abgesicherten Modus
- Passwort rücksetzen für Admin (geht nicht ohne Admin-Passwort)
- Verwalterrechte an anderen Benutzer geben (geht nicht ohne Admin-Passwort)
- Optionen für Passwort-rücksetzen nach Boot - dort gibt's noch die Möglichkeit (alle Passwörter vergessen - was ja nicht stimmt: habe ich noch nicht durchgeführt)


Viele Grüße
Jürgen

 

[mikne64]

Hallo,

willkommen im Forum!

Und was passiert wenn Du im letzten Screen Shot bei Systemeinstellung "Benutzer- und Gruppen" das Admin-Kennwort eingbist und auf "Schutz aufheben" klickst? Kommen dann weitere bzw. die genannten Fehlermeldungen?

Viele Grüße

 

[Schiffversenker]

Es gab vor langem mal in irgendeinem Thread den Verdacht, daß der Name „admin“ für einen Administrator Probleme bereiten könnte. Wie gesagt, damals nur ein Verdacht, und ich habe den Thread auch nicht weiter verfolgt.

 

[lisanet]

ist dein Admin-Passwort nur 1 Zeichen lang? Oder wie soll man den screenshot interpretieren?

 

[10tacle]

Passwort rücksetzen für Admin (geht nicht ohne Admin-Passwort)

Ich weiß nicht ob das bei dem Problem jetzt hilft und ob das mittlerweile überhaupt noch geht.

Aber zumindest bis vor ein paar macOS-Versionen ging das sehr wohl. Und zwar indem man macOS Recovery startet und von dort das Terminal öffnet. Da gibt es einen Befehl, um das Admin-Passwort komplett zu löschen, sodass man ein neues vergeben kann. Und dazu brauchte man das Bisherige nicht eingeben.
Habe ich vor einem Jahr oder so mal beim Mac meiner Eltern gemacht, weil der nach der Wiederherstellung via Time Machine das Passwort zum Einloggen wollte aber das keiner von uns mehr wusste (die haben immer automatische Anmeldung aktiv und machen ansonsten nix wofür man ein Admin-Passwort bräuchte).

Kannst ja mal ausprobieren ob das hilft.

https://osxdaily.com/2021/05/11/how-reset-macos-password-terminal/

 

[lisanet]

Du könntest mal versuchen im Terminal einem anderen User, mit dem du dich einloggen kannst, Admin-Rechte zu erteilen und dann von dort aus die Sache mit dem "Amin"-Admin richten.

Öfnne dazu mal das Terminal und gib ein

su admin

du wirst nach dem admin-Passwort gefragt. Klappt das, dann bist du nun als admin angemeldet und kannst dort dann dem Standard-User Admin-Rechte geben und zwar mit

sudo dscl . -merge /Groups/admin GroupMembership username

wobei "username" der Kurzname des betreffenden Standard-Users ist. (hier gefunden -> https://apple.stackexchange.com/questions/268596/using-command-line-how-to-make-the-user-an-administrator )

mit "exit" steigst du aus dem "su admin" wieder aus und dann schließt das Terminal.

 

[juerschi1]

Erstmal danke für die ersten Anregungen. Leider hatte ich die schon erfolglos probiert - überall, wo ich Adminrechte brauche, scheitert die Authentifizierung.

@mikne64 : Danke! Und genau: es kommt die im Screenshot gezeigte Fehlermeldung.

@lisanet : Das Passwort ist lang, die Fehlermeldungen unterscheiden sich nicht, ob ich es richtig oder falsch eingebe. “su” oder “sudo” funktionieren leider ebenfalls nicht, weil die Authentifizierung scheitert.

 

[Debianer]

Hast du das mal versucht?

https://support.apple.com/de-de/guide/mac-help/mh35902/mac

 

[lisanet]

“su” oder “sudo” funktionieren leider ebenfalls nicht, weil die Authentifizierung scheitert.

ist jetzt spitzfindig, aber das sudo solltest du erst machen nach dem su. Und eine Fehlermeldung bei su sieht anders aus als "Authentifizierung ... deaktiviert".

Mach doch mal nen screenshot deiner kompletten Terminal Ein- und Ausgaben. Noch besser: mach copy&paste der Ein-und ausgaben. Dann kann man besser zitieren falls nötig. Aber unbedingt in Code-Tags (so wie ich oben)

 

[lisanet]

... was mir gerade einfällt:

Das ist nicht zufällig ein Gerät das mit irgendeiner Art MDM administriert wird? Firmen-Notebook?

 

[Schiffversenker]

“su” oder “sudo” funktionieren leider ebenfalls nicht, weil die Authentifizierung scheitert.

Du meinst damit aber nicht, daß du das PW im Terminal nicht eintippen kannst?
Das wird nur nicht angezeigt beim Tippen - Vorteil für Leute, die beim Tippen auf die Tastatur starren...

 

[juerschi1]

@lisanet : "su" und "sudo" reagieren mit "su: Sorry" bzw. "Sorry, try again.". Der Rechner ist unser eigener - als nicht ferngewartet oder ähnliches. Bis vor kurzem ging auch alles. Einmal war er abgestürzt und musste ausgeschaltet werden. Vielleicht ist dabei irgendeine Datenbank oder ähnliches korrumpiert worden.

@Schiffversenker : ja, ich tippe auch, wenn es nicht angezeigt wird ;-)

@10tacle : die beschriebene Methode scheitert leider bereits kurz nach dem (Re)boot: Nach der Options-Auswahl muss man sich als ein Administrator einloggen. Da die Festplatte mit FileVault verschlüsselt ist, kann ein Terminal ohne login nicht auf die Dateien zugreifen...

@Debianer : wie die Methode, die 10tacle verlinkt hat, muss auch hier nach dem Boot ein (Admin)Passwort eingegeben werden.

Ich denke, dass irgendein Defekt dafür sorgt, dass das System denkt, Admin sei deaktiviert bzw. den Account irgendwie deaktiviert hat. Eigentlich sollte dies gar nicht auftreten können, da der einzige Admin-Zugang ja nicht gelöscht oder deaktiviert werden können sollte.
Entsprechend schlagen alle Versuche fehl, wo man sich als Admin anmelden muss. :-(
An einigen Stellen werden immerhin die in den Screenshots gezeigten Meldungen angezeigt (su und sudo sagen an sich nur sorry). Es findet aber beim Admin-Account anscheinend gar keine Passwort-Überprüfung statt, denn auf ein falsches Passwort reagiert der Mac mit Wackeln der Eingabemaske und neuem Versuch. Dies ist jedoch nur noch bei den Standard-Accounts der Fall. Bei Login-Versuchen in den Admin-Account (auch Schloss-öffnen in Systemeinstellungen) kommt (unabhängig ob falsches oder richtiges Passwort) die "deaktiviert" Meldungen...

 

[OmarDLittle]

Log dich mit irgendeinem User ein, vom Desktop dann auf das Apfelsymbol und den User abmelden. Am Loginscreen gib mehrmals das Passwort für admin falsch ein, bis du einen Button für Resetmöglichkeiten bekommst, diesen auswählen. Wenn das gar nicht kommt, nimm einen der Standarduser, aber absichtlich falsches Passwort eingeben, damit die Resetoption erscheint.

Der Mac rebootet dann in die Recovery und du kannst mit den Filevault-Recoverykey die Platte entsperren.

Anschließend bei den Utilities das Terminal wählen und resetpassword eingeben, enter drücken, damit startet der Resetassistent um für admin ein neues Passwort vergeben zu können.

Falls das nicht so funktioniert, kannst du auch direkt in die Recovery booten, dazu ausschalten, wieder einschalten und den Einschaltknopf weiter gedrückt halten bis die Optionen erscheinen. Dort dürfte es auch eine Möglichkeit geben den Filevault-Recoverykey zu nutzen.

Den Recoverykey hast du entweder bei der ersten Einrichtung von Filevault aufgeschrieben, oder er ist im iCloud gespeichert, dann will der Mac deine iCloud-Zugangsdaten haben.

Da das einzige Adminkonto deaktiviert ist und der Reset nur über die Recovery funktioniert, du aber keinen User dort zur Authentifizierung hast, ist meines Wissens der Recoverykey die einzige Möglichkeit.

 

[tocotronaut]

Account ist deaktiviert ist aber was anderes als passwort vergessen.

Ich weiß nicht, ob man dabei den Schlüsselbund neu machen muss. Klingt mir etwas zu krass.

edit: könnte aber hinkommen....
https://communities.apple.com/de/thread/252909862

Recovery -> Aktivierungsspere (AppleID) aufschließen. Dann "resetpassword"

 

[lisanet]

Ich denke, dass irgendein Defekt dafür sorgt, dass das System denkt, Admin sei deaktiviert bzw. den Account irgendwie deaktiviert hat. Eigentlich sollte dies gar nicht auftreten können, da der einzige Admin-Zugang ja nicht gelöscht oder deaktiviert werden können sollte.

das kann immer dann auftreten, wenn ein Gerät gemanaged wird. Sieh doch mal in den Systemeinstellungen nach, ob da irgendein Profil drin ist: Systemeinstellungen -> Datenschutz & Sicherheit -> unten unter "Andere"

Das kann auch ein Profil sein, das falsch erstellt wurde, parental control, VPN, u. dgl.

 

[yew]

Hi

• keine Sonderzeichen oder dergleichen im Admin-Passwort?
• ist das Tastaturlayout auch wirklich korrekt?

Gruß yew

 

[lisanet]

Im Netz findet man die Meldung "Authentifizierung deaktiviert" (oder "authentification disabled" bei macOS immer bei gemangeten Geräten / MDM

 

[OmarDLittle]

Account ist deaktiviert ist aber was anderes als passwort vergessen.

Ohne Admin kannst das Konto aber nicht aktivieren, da beißt sich die Katze in den Schwanz.

Ich weiß nicht, ob man dabei den Schlüsselbund neu machen muss. Klingt mir etwas zu krass.

Da das Passwort bekannt ist, glücklicherweise nicht, wenn man im Reset-Prozess einfach wieder das gleiche Passwort auswählt kann die Keychain weiterhin entsperrt werden. Dürfte aber nicht relevant hier sein, da der TS mit einem anderen Benutzerkonto arbeitet und das Admin-Konto wohl nur, naja, zu Admin-Zwecken verwendet (wie es ja auch best practice ist, dass man nicht mit einem Adminkonto eingeloggt arbeitet, das hat mir schon einmal bei dem Google-Chrome-Updatebug ein kaputtes MacOS erspart...).

Recovery -> Aktivierungsspere (AppleID) aufschließen. Dann "resetpassword"

Genau, wobei das nicht die iCloud-Aktivierungssperre ist die man aufheben muss sondern die Filevault-Verschlüsselung, da könnte man auch gewählt haben einen Recoverykey abzuschreiben, dann muss man den irgendwo sicher hinterlegt haben, das geschieht dann automatisch, der Mac fragt entweder nach iCloud oder er will den Key manuell eingegeben haben, dann weiß man ob der Key in der Cloud liegt - und irgendwie sollte man noch überlegen, wieso der User gesperrt wurde, das dürfte nicht von selbst einfach so passieren. Vielleicht zuviele Fehlversuche? Ich verwende selbst auch einen Standard-User plus Adminaccount wie der TS, und mir hats noch nie einen User gesperrt. Eventuell liegt es auch an einem fehlerhaften MacOS-Update, bei Ventura würde mich das nicht überraschen.

• keine Sonderzeichen oder dergleichen im Admin-Passwort?
• ist das Tastaturlayout auch wirklich korrekt?

Ist doch egal was er eingibt, das Konto ist deaktiviert.

 

[Chris Harrow]

Ich habe dieses Problem auch schon bei vielen Usern beobachtet. Die Ursache habe ich leider auch noch nicht herausgefunden. Aber ich verwende mit Erfolg diesen Workaround:

Ich melde mich am Mac des Users im Terminal mit su als lokaler Admin an und schalte für den User-Account mit folgenden 2 Befehlen den Secure Token zuerst ab und dann wieder an:

sysadminctl interactive -secureTokenOff <username> -password -
sysadminctl interactive -secureTokenOn <username> -password -

Nach beiden Befehlen muss ich mich zuerst in einem Fenster mit meinem lokalen Admin-Account anmelden (wichtig: Wenn sich der User hier anmeldet, funktioniert es nicht) und der User muss im Terminal sein Passwort eingeben. Bei Erfolg wird eine Meldung im Terminal mit "done" angezeigt.

Nach dieser Prozedur ist die Anmeldung für diesen User nicht mehr deaktiviert.