Hallo zusammen,

das primäre OS auf meinem Mac ist Mojave. In einem zweiten Container habe ich jetzt BigSur installiert. Dabei ist das Problem aufgetaucht, daß ich von beiden OS problemlos auf den Benutzerordner des anderen OS zugreifen kann, obwohl für beide Ordner natürlich nur der Eigentümer Zugriff hat.

Ich vermute den Grund darin, daß die Benutzer im jeweiligen System dieselbe Benutzer-ID 501 haben. Nach dem Versuch in Systemeinstellungen-Benutzer und Gruppen die UID für martin@BigSur auf einen anderen Wert zu setzen, war der Account erwartungsgemäß kaputt.

Eigentlich möchte ich, daß von beiden OS nur auf den Shared-Ordner des jeweils anderen Containers zugegriffen werden darf und alle anderen Verzeichnisse geblockt werden.

Gruß, Martin

Ich habe auf BS einen zweiten Administrator erzeugt, der den ersten gelöscht hat. Jetzt können die Benutzer auf den jeweiligen OS nicht mehr auf die Benutzerordner des anderen OS zugreifen.

Auch wenn das funktioniert, ich finde es nicht sehr apple-like. Gibt es keine elegantere Lösung?

Wenn Benutzername und UID auf mehreren Systemen identisch sind, dann ist das halt der gleiche Benutzer.
Die 501 ist standardmäßig die UID, die gibt es also immer, wenn man nichts verändert.
Und warum willst du für den gleichen Benutzer verhindern, daß er seine Daten immer sehen kann, egal von wo aus er startet?

Zumindest auf den Libraryordner sollte nur der lokalen User zugreifen können! Auf das Problem bin ich gekommen, als ich von BS auf die Services unter Mojave zugreifen konnte. Was ist, wenn BS die Settings auf Mojave ändert?

Ein unterschiedlicher Benutzername hat übrigens keinen Effekt. Entscheidend scheint die UID zu sein.

Wenn du dir mit cmd-i auf den Benutzerordner die Zugriffsrechte anzeigen lässt, wie sehen die dann aus?

~
ich: Lesen & Schreiben
staff / everyone: Nur lesen

~/Library
ich: Lesen & Schreiben
everyone: keine

Das Problem ist ohne großen technischen Aufwand nicht lösbar.
Wenn man zwei verschiedene Betriebssysteme installiert, gibt es automatisch zwei verschiedene Exemplare der Benutzerdatenbank, die nicht miteinander kompatibel sind, da jeder Benutzer-Account weltweit einmalig ist. Die Berechtigung von Benutzern wird nicht nur aus der UID, sondern auch aus der GID, der User-UUID, der Gruppen-UUID und der Gruppenmitgliedschaft berechnet.

Um das Problem zu lösen, müsste man einen Verzeichnisdienst-Server im lokalen Netz installieren, der netzweite Accounts für alle Betriebssysteme bereitstellt. Das wird in größeren Firmen und Institutionen gemacht, z.B. über Dienste wie Microsoft Active Directory oder Apple Open Directory.

@Marcel: Das Problem besteht auch bei zwei gleichen Betriebssystemen.

Noch ein Tipp: Wenn Du auf demselben Rechner auch Windows 10 laufen läßt, mußt Du, falls Du gemeinsam genutzte Partitionen eingerichtet hast, dem Windows abgewöhnen, sich nur schlafenzulegen ("suspend to disk"), statt ordentlich herunterzufahren ("shutdown"). Das bei macOS oder Linux nicht nötig.