Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Benutzerrechte OS X 10.7
Benutzerrechte OS X 10.7
palmer_69
18.03.12
10:59
Hallo Forum,
ich verwende aktuelles Betriebssystem und habe folgendes Problem:
Ich habe zwei Benutzer angelegt einen SuperUser mit Admin-Rechten und einen User mit Benutzer-Rechten.
Ich arbeite immer unter dem User. Meine Benutzerrechte sind total durcheinander manche Programme und Dateien haben als Nutzer den Superuser, mache den normalen User manche den Benutzer "Staff" ....
Wenn ich ein Programm unter dem normalen Benutzer installiert haben, kann es sein das es Superuser Rechte hat oder auch andere.
Diese Problem ist mir aufgefallen seit ich von 10.6 auf 10.7 upgedatet habe. Reparaturversuche mit den unterschiedlichen Tools wie z.B. Onyx habe ich schon durchgeführt. Ich komme aktuell nicht weiter. Meine letzte Lösungsmöglichkeit ist eine Neuinstallation.
Kennt einer dieses Problem ?
Danke
Hilfreich?
0
Kommentare
onicon
18.03.12
11:08
sudo chown -R owner:group /Path/to/File
Hilfreich?
0
Marcel Bresink
18.03.12
11:13
Deine Beschreibung ist etwas verwirrend, da Du offenbar den Begriff "Superuser" falsch verwendest. Ein Administrator sollte niemals wirklich ein "Superuser" sein.
manche Programme und Dateien haben als Nutzer den Superuser, mache den normalen User manche den Benutzer "Staff"
Du meinst wahrscheinlich "Eigentümer" statt "Nutzer" und "Staff" ist eine Benutzergruppe, kein Benutzer. Was Du beschreibst, ist völlig normal. Es kommt darauf an, wie das jeweilige Programm auf den Rechner gekommen ist. Programme, die Du per Drag & Drop installiert hast, gehören Dir. Programme, die per Installation eingerichtet wurden, gehören in der Regel dem Administrator. Programme, die per AppStore geladen wurden, gehören dem Benutzer "root".
Also kein Grund zur Sorge. Es hört sich so an, als wären die Rechte korrekt eingestellt, so wie es sein muss.
Hilfreich?
0
palmer_69
18.03.12
11:49
Vielen Dank für die Antworten.
@Marcel Bresink:
Entschuldige meine Beschreibung. Mit Superuser meine ich einen Benutzer mit Admin-Rechten.
Ich versuche es an dem Beispiel Firefox zuerklären.
Installiere ich Firefox per Drag & Drop unter meinem Benutzer funktioniert vorerst alles. Falls ein Update hereinkommt kann ich dies nicht über die Updatefunktion von Firefox installieren ( meine Vermutung die Rechte sind nicht korrekt ). Sondern ich muß mir das dmg-File herunterladen. Installiere ich nun wieder über Drag & Drop werde ich gefragt ob ich die aktuelle Datei ersetzen möchte. Ich sage ja und anschließend kommt die Meldung das ich nicht die nötige Rechte habe.
Prüfe ich die Rechte sehe ich das entweder der normale Benutzer garnicht aufgeführt ist oder der normale Benutzer hat nur "lese" Rechte. Ich muß entweder die Rechte setzen oder mich als Admnin anmelden. Meine Vorstellung währe hier das ich das Programm installieren kann.
Hilfreich?
0
Marcel Bresink
18.03.12
12:01
Das ist das richtige Verhalten. Ein normaler Benutzer darf keine Programme verändern oder aktualisieren. Das ist ja genau der Sinn davon, dass man nicht als Administrator arbeitet.
Bei Programmen, die sich selbst aktualisieren oder das "Sparkle"-Verfahren verwenden, muss man sich für das Update vorübergehend als Administrator anmelden.
Hilfreich?
0
palmer_69
18.03.12
12:07
Wenn ich als Benutzer angemeldet bin und ich ein Programm installieren möchte kommt ein PopUp Fenster damit ich hier die Daten des Admin eingeben kann.
Aber selbst nach Eingabe dieser Daten wird das Programm nicht installiert mit der Begründung keine Rechte. Ich muß dann in das Adminkonto wechseln dort die Rechte setzen und kann dann erst installieren.
Hilfreich?
0
mitzlaff
18.03.12
12:29
Das ist völlig korrekt. In den Benutzereinstellungen kann man auch den Haken setzen bei "darf diesen Computer verwalten", dann hat man Admin-Rechte. Kann man nach größeren Update-Aktionen ja auch wieder deaktivieren.
Hilfreich?
0
palmer_69
18.03.12
13:42
OK. Aber meiner Meinung hat sich das Verhalten zwischen 10.6 und 10.7 geändert.
Hilfreich?
0
sierkb
18.03.12
14:51
palmer_69
OK. Aber meiner Meinung hat sich das Verhalten zwischen 10.6 und 10.7 geändert.
Hat sich auch, siehe
Apple Developer Library: Mac OS X 10.7 Lion Release Notes (What's New in Mac OS X): Folder Permissions and Ownership
.
Einige Ordner (so z.B. auch der /Applications-Ordner) gehören nun seit Lion dem Superuser
root
bzw. der Superusergruppe
wheel
und nicht mehr wie zuvor dem Admin-Nutzer bzw. seiner admin-Gruppe:
Many folders in the System domain that were previously owned by the admin group are now owned by the wheel group.
Sprich: selbst als Admin-Benutzer, der normalerweise NICHT der Superuser
root
ist und NICHT dessen Superuser-Gruppe
wheel
angehört, muss sich nun authentifizieren, wenn er in diese Ordner (also auch in den /Applications-Ordner) schreiben will (z.B. per Drag&Drop im Finder da eine Datei reinzieen will). Das war zu Leopard- und Snow Leopard-Zeiten weniger streng gehandhabt, da hatte der Admin-Nutzer noch mehr Rechte bzw. er durfte z.B. selbstverständlich, ohne sich bei root bzw. der wheel-Gruppe die Erlaubnis zu holen, einfach in den /Applications-Ordner reinschreiben. Das darf er jetzt nicht mehr so ohne Weiteres, er muss sich dazu erst die Erlaubnis holen, sprich: authentifizieren, denn der Ordner gehört ihm nicht mehr.
MacOSX Lion ist dadurch ein Stück sicherer geworden. Vor allem vor dem Hintergrund, dass es viele Nutzer gibt, die als alleinigen Benutzer-Account nur ein Admin-Konto haben, welches ihnen dadurch mehr Rechte verschafft als sie eigentlich tatsächlich benötigen. Das ist ein unnötiges Sicherheitsrisiko. Eigentlich wäre es von Apple sinnvoll, wenn sie gleich bei Erstinbetriebnahme/Erstinstallation von MacOSX den Benutzer bestimmt darauf hinweisen bzw. es ihm abverlangen, sogleich ein Non-Admin-Benutzerkonto als Standardkonto einzurichten, welches
keine
Admin-Rechte hat und mit diesem statt dem bisherig ihm vorgesetzten Admin-Konto dann weiterarbeiten und surfen und machen und tun. Zu diesem sinnvollen Schritt als Standardvorgabe kann/konnte sich Apple aber bislang anscheinend nicht entschließen, obwohl sie genau das in ihren einschlägigen Sicherheits-Support-Dokumenten sogar dringend anempfehlen.
Vor diesem Hintergrund also sind die Maßnahmen jetzt in Lion, dass hier einige Ordner wie z.B. der /Applications-Ordner nun dem Besitzrecht des Admins entzogen worden sind und diese nun
root
und bzw. der root-Gruppe
wheel
(deren einziges Mitglied de facto der Superuser
root
ist) als Besitzer zugeteilt worden sind, sehr sinnvoll im Sinne einer höheren Sicherheit für's Gesamtsystem.
Was es übrigens auch gibt, dieses Verzeichnis nur nicht standardmäßig existiert:
~/Applications (/Users/$USER/Applications). Wenn man sich das erstellt (der Finder übersetzt es visuell automatisch in die jeweilige Landessprache, im Deutschen:
Programme
). Da kann man als Nutzer und nur für sich in seinem Nutzerverzeichnis Programme ablegen/installieren, zu denen, im Gegensatz zur zentralen Ablagestelle im System unter /Applications nur der Nutzer dann Zugriff hat. Wenn man mal als Nutzer testweise Programme ausprobiert oder so, wäre das z.B. eine sehr sinnvolle und praktische Maßnahme, derlei Programme dann erstmal nicht systemweit sondern erstmal als normaler Nutzer im eigenen Nutzer-Zuhause abzulegen. Nur mal so als mögliches Anwendungsbeispiel.
Hilfreich?
0
MacMark
18.03.12
15:19
sierkb
Einige Ordner (so z.B. auch der /Applications-Ordner) gehören nun seit Lion dem Superuser
root
bzw. der Superusergruppe
wheel
und nicht mehr wie zuvor dem Admin-Nutzer bzw. seiner admin-Gruppe:
Falsch. /Applications war in 10.6 root/admin und in 10.7 auch.
sierkb
… in den /Applications-Ordner reinschreiben. Das darf er jetzt nicht mehr so ohne Weiteres, er muss sich dazu erst die Erlaubnis holen, sprich: authentifizieren, denn der Ordner gehört ihm nicht mehr.
Falsch. Admins haben weiterhin Schreibrecht in /Applications.
„@macmark_de“
Hilfreich?
0
sierkb
18.03.12
16:47
Falsch. /Applications war in 10.6 root/admin und in 10.7 auch.
Falsch. Admins haben weiterhin Schreibrecht in /Applications.
OK, dann habe ich mich in dem Punkt geirrt und was Unrichtiges gesagt. Mea culpa und Danke für die Richtigstellung. Allerdings, lt.
:
Permissions for /Applications/
Utilities
are now mode 755 (writable only by root) instead of mode 775 (writable by the admin group).
Hilfreich?
0
almdudi
18.03.12
18:36
Nebenbei: Schon in 10.5 gibt es ein Problem, wenn man als Nicht-Admin vorhandene Programme aktualisieren will. Man kann dann zwar Admin-Name und Paßwort eingeben, man bekommt dadurch aber dennoch nicht die nötigen Rechte - anders als wenn das Programm ganz neu ist. Wechselt man dann in den Programmordner und löscht das alte Programm, kann man normal die neue Version installieren. OS X verhakelt sich da anscheinend, daß zwei Aktionen (Löschen des alten und installieren des neuen) direkt hintereinander ablaufen sollen ohne neue PW-Abfrage.
Besitzer des Programmordners ist in 10.5 übrigens System.
Hilfreich?
0
Marcel_75@work
19.03.12
10:03
Lösung für das Problem: Im Benutzer-Verzeichnis des Nicht-Admins einen Ordner "Applications" anlegen (dann bekommt er auch das korrekte Icon und kann, beispielsweise in der Seitenleiste eines Finderfensters, besser vom "normalen" Programme-Ordner unterschieden werden).
Dort dann z.B. Programme, die per Drag'n'Drop installiert werden können, hinein legen (Firefox, Skype etc.).
Dann klappt es auch mit der Aktualisierung ohne Admin-Rechte.
Hilfreich?
0
palmer_69
19.03.12
18:48
Vielen Dank für Eure Unterstützung und Lösungsvorschläge. Das sich hier etwas so grundlegend
verändert hat habe ich nicht vermutet. Ich werde den Vorschlag von Marcel_75@work ausprobieren.
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.