Hallo Forum,

ich verwende aktuelles Betriebssystem und habe folgendes Problem:

Ich habe zwei Benutzer angelegt einen SuperUser mit Admin-Rechten und einen User mit Benutzer-Rechten.
Ich arbeite immer unter dem User. Meine Benutzerrechte sind total durcheinander manche Programme und Dateien haben als Nutzer den Superuser, mache den normalen User manche den Benutzer "Staff" ....
Wenn ich ein Programm unter dem normalen Benutzer installiert haben, kann es sein das es Superuser Rechte hat oder auch andere.

Diese Problem ist mir aufgefallen seit ich von 10.6 auf 10.7 upgedatet habe. Reparaturversuche mit den unterschiedlichen Tools wie z.B. Onyx habe ich schon durchgeführt. Ich komme aktuell nicht weiter. Meine letzte Lösungsmöglichkeit ist eine Neuinstallation.

Kennt einer dieses Problem ?

Danke

Deine Beschreibung ist etwas verwirrend, da Du offenbar den Begriff "Superuser" falsch verwendest. Ein Administrator sollte niemals wirklich ein "Superuser" sein.

Du meinst wahrscheinlich "Eigentümer" statt "Nutzer" und "Staff" ist eine Benutzergruppe, kein Benutzer. Was Du beschreibst, ist völlig normal. Es kommt darauf an, wie das jeweilige Programm auf den Rechner gekommen ist. Programme, die Du per Drag & Drop installiert hast, gehören Dir. Programme, die per Installation eingerichtet wurden, gehören in der Regel dem Administrator. Programme, die per AppStore geladen wurden, gehören dem Benutzer "root".

Also kein Grund zur Sorge. Es hört sich so an, als wären die Rechte korrekt eingestellt, so wie es sein muss.

Vielen Dank für die Antworten.

@Marcel Bresink:
Entschuldige meine Beschreibung. Mit Superuser meine ich einen Benutzer mit Admin-Rechten.

Ich versuche es an dem Beispiel Firefox zuerklären.
Installiere ich Firefox per Drag & Drop unter meinem Benutzer funktioniert vorerst alles. Falls ein Update hereinkommt kann ich dies nicht über die Updatefunktion von Firefox installieren ( meine Vermutung die Rechte sind nicht korrekt ). Sondern ich muß mir das dmg-File herunterladen. Installiere ich nun wieder über Drag & Drop werde ich gefragt ob ich die aktuelle Datei ersetzen möchte. Ich sage ja und anschließend kommt die Meldung das ich nicht die nötige Rechte habe.
Prüfe ich die Rechte sehe ich das entweder der normale Benutzer garnicht aufgeführt ist oder der normale Benutzer hat nur "lese" Rechte. Ich muß entweder die Rechte setzen oder mich als Admnin anmelden. Meine Vorstellung währe hier das ich das Programm installieren kann.

Das ist das richtige Verhalten. Ein normaler Benutzer darf keine Programme verändern oder aktualisieren. Das ist ja genau der Sinn davon, dass man nicht als Administrator arbeitet.

Bei Programmen, die sich selbst aktualisieren oder das "Sparkle"-Verfahren verwenden, muss man sich für das Update vorübergehend als Administrator anmelden.

Wenn ich als Benutzer angemeldet bin und ich ein Programm installieren möchte kommt ein PopUp Fenster damit ich hier die Daten des Admin eingeben kann.
Aber selbst nach Eingabe dieser Daten wird das Programm nicht installiert mit der Begründung keine Rechte. Ich muß dann in das Adminkonto wechseln dort die Rechte setzen und kann dann erst installieren.

Das ist völlig korrekt. In den Benutzereinstellungen kann man auch den Haken setzen bei "darf diesen Computer verwalten", dann hat man Admin-Rechte. Kann man nach größeren Update-Aktionen ja auch wieder deaktivieren.

OK. Aber meiner Meinung hat sich das Verhalten zwischen 10.6 und 10.7 geändert.

Hat sich auch, siehe

Apple Developer Library: Mac OS X 10.7 Lion Release Notes (What's New in Mac OS X): Folder Permissions and Ownership .

Einige Ordner (so z.B. auch der /Applications-Ordner) gehören nun seit Lion dem Superuser root bzw. der Superusergruppe wheel und nicht mehr wie zuvor dem Admin-Nutzer bzw. seiner admin-Gruppe:

Sprich: selbst als Admin-Benutzer, der normalerweise NICHT der Superuser root ist und NICHT dessen Superuser-Gruppe wheel angehört, muss sich nun authentifizieren, wenn er in diese Ordner (also auch in den /Applications-Ordner) schreiben will (z.B. per Drag&Drop im Finder da eine Datei reinzieen will). Das war zu Leopard- und Snow Leopard-Zeiten weniger streng gehandhabt, da hatte der Admin-Nutzer noch mehr Rechte bzw. er durfte z.B. selbstverständlich, ohne sich bei root bzw. der wheel-Gruppe die Erlaubnis zu holen, einfach in den /Applications-Ordner reinschreiben. Das darf er jetzt nicht mehr so ohne Weiteres, er muss sich dazu erst die Erlaubnis holen, sprich: authentifizieren, denn der Ordner gehört ihm nicht mehr.

MacOSX Lion ist dadurch ein Stück sicherer geworden. Vor allem vor dem Hintergrund, dass es viele Nutzer gibt, die als alleinigen Benutzer-Account nur ein Admin-Konto haben, welches ihnen dadurch mehr Rechte verschafft als sie eigentlich tatsächlich benötigen. Das ist ein unnötiges Sicherheitsrisiko. Eigentlich wäre es von Apple sinnvoll, wenn sie gleich bei Erstinbetriebnahme/Erstinstallation von MacOSX den Benutzer bestimmt darauf hinweisen bzw. es ihm abverlangen, sogleich ein Non-Admin-Benutzerkonto als Standardkonto einzurichten, welches keine Admin-Rechte hat und mit diesem statt dem bisherig ihm vorgesetzten Admin-Konto dann weiterarbeiten und surfen und machen und tun. Zu diesem sinnvollen Schritt als Standardvorgabe kann/konnte sich Apple aber bislang anscheinend nicht entschließen, obwohl sie genau das in ihren einschlägigen Sicherheits-Support-Dokumenten sogar dringend anempfehlen.

Vor diesem Hintergrund also sind die Maßnahmen jetzt in Lion, dass hier einige Ordner wie z.B. der /Applications-Ordner nun dem Besitzrecht des Admins entzogen worden sind und diese nun root und bzw. der root-Gruppe wheel (deren einziges Mitglied de facto der Superuser root ist) als Besitzer zugeteilt worden sind, sehr sinnvoll im Sinne einer höheren Sicherheit für's Gesamtsystem.

Was es übrigens auch gibt, dieses Verzeichnis nur nicht standardmäßig existiert:
~/Applications (/Users/$USER/Applications). Wenn man sich das erstellt (der Finder übersetzt es visuell automatisch in die jeweilige Landessprache, im Deutschen: Programme). Da kann man als Nutzer und nur für sich in seinem Nutzerverzeichnis Programme ablegen/installieren, zu denen, im Gegensatz zur zentralen Ablagestelle im System unter /Applications nur der Nutzer dann Zugriff hat. Wenn man mal als Nutzer testweise Programme ausprobiert oder so, wäre das z.B. eine sehr sinnvolle und praktische Maßnahme, derlei Programme dann erstmal nicht systemweit sondern erstmal als normaler Nutzer im eigenen Nutzer-Zuhause abzulegen. Nur mal so als mögliches Anwendungsbeispiel.

Falsch. /Applications war in 10.6 root/admin und in 10.7 auch.
Falsch. Admins haben weiterhin Schreibrecht in /Applications.

OK, dann habe ich mich in dem Punkt geirrt und was Unrichtiges gesagt. Mea culpa und Danke für die Richtigstellung. Allerdings, lt. :

Nebenbei: Schon in 10.5 gibt es ein Problem, wenn man als Nicht-Admin vorhandene Programme aktualisieren will. Man kann dann zwar Admin-Name und Paßwort eingeben, man bekommt dadurch aber dennoch nicht die nötigen Rechte - anders als wenn das Programm ganz neu ist. Wechselt man dann in den Programmordner und löscht das alte Programm, kann man normal die neue Version installieren. OS X verhakelt sich da anscheinend, daß zwei Aktionen (Löschen des alten und installieren des neuen) direkt hintereinander ablaufen sollen ohne neue PW-Abfrage.
Besitzer des Programmordners ist in 10.5 übrigens System.

Lösung für das Problem: Im Benutzer-Verzeichnis des Nicht-Admins einen Ordner "Applications" anlegen (dann bekommt er auch das korrekte Icon und kann, beispielsweise in der Seitenleiste eines Finderfensters, besser vom "normalen" Programme-Ordner unterschieden werden).

Dort dann z.B. Programme, die per Drag'n'Drop installiert werden können, hinein legen (Firefox, Skype etc.).

Dann klappt es auch mit der Aktualisierung ohne Admin-Rechte.

Vielen Dank für Eure Unterstützung und Lösungsvorschläge. Das sich hier etwas so grundlegend
verändert hat habe ich nicht vermutet. Ich werde den Vorschlag von Marcel_75@work ausprobieren.