Verständnisfrage zu Benutzern / Adminrechte

[macandi24]

Hi Forum,

Ich mache einen Clean Install auf Mountain Lion und habe ein paar Verständnisfragen zu Benutzern:

Ist es sinnvoll nach der Installation einen Admin User zu haben und danach direkt einen User ohne Admin Rechte einzurichten und dort dann alle Einstellungen vorzunehmen? Oder hat sich diese Vorgehensweise überholt? Was ist überhaupt der Vorteil mit den doppelten Usern?

Ich habe alle Daten extern gesichert und werde sie Stück für Stück übernehmen. Der Benutzer hieß z.B. ABC, nun nach dem Clean Install habe ich den Benutzer XYZ genannt. Bekomme ich nun Probleme mit den Zugriffsrechten und werde ständig nach dem alten Passwort gefragt? Muss ich die Zugriffsrechte alle händisch ändern oder gibt es elegantere Lösungen?

Danke.

Gruß,
Macandi

 

[LosDosos]

Du richtest Dir OS X ganz normal ein.
Dann erstellst Du einen zweiten User, ebenso mit Adminrechten ausgestattet, meldest Dich unter dem an und entziehst dem Hauptuser die Adminrechte.
Dann arbeitest Du ganz normal unter dem Hauptuser, der jetzt keine Adminrechte mehr besitzt.
Ist deutlich sicherer.

 

[lundehundt]

Der wohl entscheidendste Unterschied zwischen user und admin ist der, dass der admin root rechte erlangen kann. Wenn du Daten von einer externen Platte in das home Verzeichnis deiner internen kopierst dann ist der importierend Benutzer automatisch der owner der Daten mit allen Rechten, die er im home Verzeichnis hat. Den Migrationsassistenten kennst du?

 

[lundehundt]

Ist deutlich sicherer.

vom grundsaetzlichen Sicherheitsaspekt aus betrachtet, immer nur mit dem account zu arbeiten der die fuer die jeweilige Aufgabe benoetigen Privilegien hat, hast du natuerlich recht. Nur sollte man sich klar sein, dass der admin unter OS X keine root Rechte hat. Root ist per default disabled. Ein admin kann ihn enablen und das passwort dafuer verwalten. Ein admin kann per Default nicht in anderen Home Verzeichnissen lesen oder schreiben und zum Nutzen nahezu aller Privilegien, die ihn vom "normalen" account unterscheiden, muss das Passwort in einem Dialog Fenster eingegeben werden (es reicht nicht, dass man als admin angemeldet ist). Ich personelich handhabe das pragmatischer als es ja auch von Apple geraten wird und bin als admin unterwegs. Ich nutze meinen Rechner allein und gehe sehr sorgsam mit passwort Dialogen um

 

[LosDosos]

Jupp, aber ein Schädling wie eine Variante des Flashback konnte sich unbemerkt im Hintergrund von Admin Accounts per drive-by-download einrichten und die Passwortabfrage umgehen.
Bei einem normalen User-Account ist das nicht möglich.
Wenn man sich mit Adminrechten Schadsoftware händisch installiert, hilft einem das natürlich nichts.

 

[bernie313]

Unter Mountain Lion haben sich die Berechtigungen für installs geändert.
Das mit deutlich sicherer ist damit Geschichte, aber wer's möchte kann mit standardrechten arbeiten.

 

[LosDosos]

Unter Mountain Lion haben sich die Berechtigungen für installs geändert.
Das mit deutlich sicherer ist damit Geschichte, aber wer's möchte kann mit standardrechten arbeiten.

Nope..

What about GateKeeper, the new protection technology that’s due to arrive with Mac OS X 10.8 Mountain Lion? Mac user shouldn’t rely on GateKeeper to protect them: the technology will enable users to decide they only want to run applications that come from Apple and/or the Mac App store, and developers who have identified themselves to Apple, or (like now) run any application from any source. GateKeeper will not protect Mac users from vulnerabilities in applications or system components — which means a problem with a Web browser plug-in or a low-level component like Java is out of GateKeeper’s purview — and Mountain Lion users would be just as vulnerable to something like Flashback’s drive-by attack as anyone else.

http://www.digitaltrends.com/computing/flashback-botnet-the-end-of-the-macs-malware-immunity/

 

[lundehundt]

Jupp, aber ein Schädling wie eine Variante des Flashback konnte sich unbemerkt im Hintergrund von Admin Accounts per drive-by-download einrichten und die Passwortabfrage umgehen.
Bei einem normalen User-Account ist das nicht möglich.
Wenn man sich mit Adminrechten Schadsoftware händisch installiert, hilft einem das natürlich nichts.

das ist ein schlechtes Beispiel fuer die groessere Sicherheit eines user versus admin accounts Nicht das wir uns falsch verstehen. Ich rate natürlich niemand dazu, mit dem admin unterwegs zu sein


http://reviews.cnet.com/8301-13727_...g-and-removing-the-flashback-malware-in-os-x/

To summarize, the malware has overall adopted two modes of infection. The first is where it requires administrative privileges to alter an embedded information property list within theFirefox and Safari Web browsers to contain a variable called "DYLD_INSERT_LIBRARIES" that launches the malware when these applications are run. F-Secure claims the variants of this malware are ultimately harder to detect (provided the user unknowingly supplied administrative privileges when installing the fake Flash Player installer) since it only affects these programs.


The second infection route does not target individual applications, but instead alters a more global version of the property list with the same "DYLD_INSERT_LIBRARIES" variable that will launch the malware whenever any application is opened. Because this modification is done to the user's account and not to files within the Applications folder, the attack does not require admin privileges to complete; however, it does ultimately result in a more obvious infection that will destabilize the system and lead to crashes.

Laut der Untersuchung liefen 88% der von Flashback infizieren System mit user rechten (drive-by) waehrend nur 12% das admin passwort in dem passwort dialog von Flashback eingegeben hatten.
http://news.drweb.com/?i=2410&c=5&lng=en&p=0

 

[LosDosos]

Das war mir tatsächlich neu.
Aber Gatekeeper ist zumindest auch noch nicht blind zu vertrauen, daher macht es Sinn, nicht als Admin zu arbeiten.
Halte ich mich auch nicht immer dran, empfehle ich dennoch jedem Neuling.

 

[macandi24]

Danke für die zahreichen Infos.

Was ist wenn ich dem Benutzer einen neuen Namen gebe?
Gibt es dann Probleme mit Zugriffsrechten, zb. bei Bildern, Musik, Dokumenten etc.?

 

[lundehundt]

Wenn du ueber den Finder von extern in dein internes home Verzeichnis kopierst hast du keine Probleme.

 

[punkreas]

Wenn du ueber den Finder von extern in dein internes home Verzeichnis kopierst hast du keine Probleme.

Moin,

mein problem ist wohl so ähnlich: Aus einem externen ccc-backup möchte ich zwei ordner auf einen benutzer ohne admin-rechte kopieren. Unter "informationen" habe ich "lesen und schreiben" für everyone angehakt. Wenn ich mich dann mit dem benutzer anmelde, sind die häkchen richtig, auch direkt in dem account abgelegt, aber sie haben das "einfahrt-verboten-schild".

Wie bekomme ich die auf? Ach ja: 10.5.8

Danke für tipps

punkreas

 

[LosDosos]

Logg Dich unter dem Admin ein, rufe die Eigenschaften des Ordners auf und füge mit dem + (vorher Schloss öffnen) den User hinzu, dem Du die Rechte erteilst. (auf alle Unterobjekte anwenden)

 

[punkreas]

Juhu, das war's, danke!