Die folgende 'Story' ist mir schon 'ab und zu aufgefallen', jetzt bin ich ihr mal etwas näher auf den Grund gegangen:

Egal ob Admin oder 'normaler' User - alle Privat-Ordner anderer Benutzer (außer 'Öffentlich' und 'Web-Sites') sollen normalerweise nicht einsehbar sein!

Ein Beispiel:
Benutzer 1 (B1) sieht alle seine privaten Ordner, für diese hat er Lese+Schreibrechte.
Die Gruppe 'staff' hat keine Rechte, ebenso hat 'Andere' keine Rechte.
Dies gilt für die Ordner 'Bilder', 'Dokumente', 'Filme', 'Library', 'Musik, 'Programme' und 'Schreibtisch'.
Die Ordner 'Öffentlich' und 'Web-Sites' sind für die Gruppe 'staff' sowie für 'Andere' auf 'Nur Lesen' gestellt.

Meldet man sich als Benutzer 2 (B2) an, so kann man also die Ordner 'Öffentlich' und 'Web-Sites' von B1 lesen. Alle anderen sind nicht zugänglich, da man dafür keine Berechtigung hat.

Umgekehrt gilt obiges für B2, wenn er in den Privat-Ordner von B1 guckt.

So weit so gut und so sollte es normalerweise sein...

Nun aber das Problem:
nach einer gewissen Zeit (genaueres kann ich dazu leider nicht sagen, da es mir erst recht spät auffiel) sind die Zugriffsrechte in den jeweiligen Privat-Ordnern nicht mehr korrekt gesetzt!!!

Auch das 'Festplattendienstprogramm' von Apple und 'Cocktail' beheben diese Volume-Zugriffsrechte-Problematik nicht vollständig!

Oft sind die Ordner 'Schreibtisch' und 'Programme' betroffen (es kam bei uns aber auch schon vor, dass der Ordner 'Bilder' oder andere falsche Rechte hatten).

Die beiden Ordner 'Schreibtisch' und 'Programme' haben nämlich plötzlich Rechte, die eigentlich nur für die Ordner 'Öffentlich' und 'Web-Sites' gedacht sind (sie sind also auch für die Gruppe 'staff' sowie für 'Andere' auf 'Nur Lesen' gestellt).

Das Böse an der Sache ist, dass das System dabei nicht einmal mehr einen Unterschied zwischen 'normalen' Benutzer und einem 'Benutzer mit Admin-Rechten' macht!!!

Das heißt konkret, dass ein normaler User plötzlich sehen kann, was beim Admin auf dem Schreibtisch liegt und was er alles in seinem Programme-Ordner hat! Und umgekehrt kann der Admin dies halt auch beim normalen User sehen...

Meine Vermutung ist, dass es sich dabei um ein Lokalisierungs-Problem handelt und der Ordner 'Desktop' und 'Applications' im Privat-Ordner nicht korrekt erkannt wird.

Unser bisheriger Workaround: falls dieses Problem auftritt, die Zugriffsrechte 'von Hand' (also per Apfel+i beim jeweiligen Ordner) einstellen!

Die betroffenen Ordner (wie schon erwähnt meißtens 'Schreibtisch' und 'Programme') so einstellen, dass die Gruppe 'staff' keine Rechte hat und auch 'Andere' keine Rechte hat!



Anmerkung 1: da ich insg. 14 Macs mit MacOS X in unserer Firma administriere, denke ich, dass dieses Problem nicht nur uns betreffen dürfte... (das Problem tritt bei uns auf allen Rechnern auf!)

Anmerkung 2: außerdem ist mir das bei etlichen privaten Rechnern von Freunden aufgefallen...

Anmerkung 3: das war schon unter 10.2.6 so und hat sich auch mit 10.2.8 leider nicht geändert!!! Und wie gesagt: das 'Festplattendienstprogramm' und auch 'Cocktail' beheben diese Zugriffsrechte-Problematik nicht vollständig!!!

schön, dass Du's UNS sagst - hast Du's APPLE gesagt?

naja, bevor ich das an Apple weiterleite, wollte ich das noch mit diversen Foren abchecken, so dass WIR uns sicher sein können, dass es ein Bug ist - dann können wir es ALLE an Apple weiterleiten, was sicherlich ein größeres 'Druckmittel' ist...

Marcel_75
Ich arbeite seit über 2 Jahren unter OS-X und konnte diese Problematik bisher nicht sehen.

Bist Du sicher, daß diesen Phänomen "von selbst" auftritt oder könnte es sein, daß es Accounts bei euch gibt, denen man besser keine Admin-Rechte gegeben hätte? (Ich meine das nicht böse!)

Grüße

@steffel:
nee, nee - verstehe Deinen Einwand schon...

Also bei mir hat jeder User an seinem Rechner nur 'normale' Rechte, das Admin-Passwort und natürlich auch das root-Passwort wissen unsere Mitarbeiter definitiv nicht!

Meine zweite Vermutung wäre (falls es kein Lokalisierungs-Problem ist): dass dafür bestimmte Programme verantwortlich sind, unter Verdacht habe ich u.a. Microsofts Office-Paket...

Aber selbst wenn dem so wäre: trotzdem sollte das Festplattendienstprogramm solche Dinge wieder bereinigen!

Benutzt Du vielleicht OnyX oder ähnliche Programme? Im normalen Betrieb hab ich noch nie von Deinen Problem gehört. Ist mir völlig unverständlich. Und ist mit Sicherheit kein Fehler in OSX denke ich.

Also wie schon erwähnt:
das Problem haben nicht nur ALLE unsere Rechner in der Firma sondern auch diverse User, die ich privat kenne...

Und Onyx sowie Cocktail etc. machen bei der Zugriffsrechte-Reparatur definitiv nichts anderes als Apples Festplattendienstprogramm: alle greifen auf bestimmte Unix-Befehle zurück, um genau zu sein NetBSD-Befehle...

Probiert es doch spaßeshalber mal selbst aus: legt einen normalen oder Admin-Benutzer an, loggt Euch damit ein, startet ein paar Programme etc., loggt Euch wieder aus, repariert die Zugriffsrechte, loggt Euch ein und schaut in die Privat-Ordner anderer User - voila...

Marcel_75

Eine Änderung der Rechte von User-Verzeichnissen kann definitiv nur mit Admin-Rechten erfolgen, ansonsten hätte Darwin ein "echtes" Sicherheitsproblem

Das Aufspielen von Anwenderprogrammen in ein lokales Verzeichnis, die einen Admin erfordern, könnte m.E. dann das Problem hervorrufen.

Wie wäre das: Ein User bekommt eine Anwendung in sein Verzeichnis "Programme" installiert. Der Installer verlangt nach Admin-Rechten und kann somit sowohl die Rechte des lokalen Programme-Ordners als auch anderer lokaler User-Verzeichnisse ändern.

Ob MS-Office bei der Installation ein Admin-PW braucht, kann ich nicht mehr sagen, da meine Installation bereits fast 2 Jahre alt ist.

> Aber selbst wenn dem so wäre: trotzdem sollte das
> Festplattendienstprogramm solche Dinge wieder bereinigen!

Ich denke, das Dienstprogramm wird nur Dinge korrigieren, die von Apple selbst bestimmbar sind, also die Rechte, die Apple für seine eigenen Dateien üblicherweise verwendet. Von Änderungen, die augenscheinlich ein Admin an lokalen Verzeichnissen vorgenommen hat, werden sie (hoffentlich) die Finger lassen.

Grüße

Marcel_75

Was ist denn mit MacOS 9.x? Wenn ich damit starte, kann ich mit den OS-X Verzeichnissen machen, was ich will.

> Probiert es doch spaßeshalber mal selbst aus:

Bei mir geht nix kaputt. Allerdings repariere ich auch nie die Zugriffsrechte

Grüße

kann ich nicht nachvollziehen. Mit M$Office hats bestimmt nix zu tun. Allerdings sind die Benutzer, die unter <= 10.2.3 oder 10.2.4 (oder wars noch früher?) angelegt wurden, genau von Deinem beschriebene Problem betroffen. Ich meine mich zu erinnern, daß Apple die Rechteverwaltung da irgendwann mal umgestellt hat. Da gabs dann auch ne neue Version vom Festplatten-Dienstprogramm, genau wegen der Rechtereparatur! Also, alte Kennungen vor 10.2.3 oder .4 angelegt, sind von dem Problem betroffen.

Alle Benutzer die bei uns nach .3/.4 angelegt wurden sind völlig ok, es sei denn jemand hat da gefummelt.

Nur kannste doch als Admin mit chmod korrigieren.

Gruss

Biste sicher, daß ein jetzt neu angelegter Benutzer einen Ordner Programme hat?

Ach so, und Festplattendienstprogramm oder dikutil repariert nur die Rechte am System, nicht die von Benutzern. Wäre ja auch noch schöner. Wenn jemand unbedingt seinen Privaten Ordner freigeben will kann er das doch tun. Da kann doch nicht Festplattendienstprogramm daher kommen und und das wieder rückgängig machen!

Gruss

Hm, da ist was dran. Meine Rechte sind definitiv auch verdreht. Lediglich "Dokumente" und "Library" stehen korrekt auf 700 (drwx------). Die anderen Verzeichnisse stehen auf entweder 755, oder -noch schlimmer- 777. Ist mir aber nie aufgefallen, da ich der einzige Benutzer bin.

kester

Die müssten default für Öffentlich und Web-Sites auf 644 (drw-r--r--) und der Rest - auch Doks und Lib - auf 600 (drw-------) gesetzt sein. Es sei denn, Du willst was anderes.

wow! da hat einer ein ganz dolles Ding entdeckt!!! Ist bei mir genau das selbe: der Desktop und der Applic. Ordner sind problemlos von anderen
Benutzern einsehbar. Habs jetzt von Hand korrigiert und behalts im Auge.
Gruss Rolf

bei mir (10.2 neuinstallation) ist das verhalten korrekt. allerdings sind alle ordner die ich neu angelegt habe mit dem alle-duerfen-oeffnen zugriff versehen. das verhalten kann man aber mit umask aendern.

prinzipiell kann jedes programm die zugriff bits des users aendern. also, wer weiss?

zu zugriffsrechten gibt es einen sehr langen und sehr interessanten thread hier:



nach lesen dieses threads möchte man in der regel die apple/next-entwickler mal schnell vom fernsehturm werfen.

fazit: dass die rechte verbogen werden liegt an der systemstruktur. die dateisystemgeschichte ist so zusammen geflickt, dass es quasi unter "broken by design" läuft. fängt z.b. schon da an, dass eine unix-rechteverwaltung auf ein dateisystem gestoppelt wurde, was von haus aus keine rechte kennt usw.

So ein Schmarrn, dieser Pseudoartikel meckert nur und versteht nix.

Wo ist das Problem mit der Rechteverwaltung. Ich nutze seit 10 Jahren Unix und seit 2 Jahren OS X. Ich seh das Problem nicht.

Das Verhalten ist gleich, man solle nur verstehen wie die Unix-Rechteverwaltung tickt. Ordner sticht Unterordner ist der springende Punkt! Vom Filesystem hängt das ganze überhaupt nicht ab. Entweder das Filesystem kann sich die Bits dazu merken oder nicht. Insofern steht in dem Link Unfug.

Steffel
Das stimmt, könnte durchaus sein - oder besser gesagt - es ist mit Sicherheit so, dass das Festplattendienstprogramm nur die eigenen Apple-System-Dateien/Ordner anrührt und bei diesen gegebenenfalls die Zugriffsrechte repariert.

Und ja: es kann sein, dass ich bei einigen Usern Programme installiert habe, die Admin-Rechte verlangen! Damit könnte diese Problematik also durchaus zusammen hängen. Fragt sich trotzdem noch, warum auch der Schreibtisch-Ordner davon betroffen ist?
Werde dieses Verhalten heute noch einmal austesten, da ich einen Rechner mit einem Office-Paket neu bestücken muss und dieses installieren wir hier auch nur als normaler User, so dass ein Programme-Ordner im Home-Verzeichnis des Benutzers angelegt wird.
Werde also vorher die Zugriffsrechte von Hand korrigieren und danach mal überprüfen.

Gruß,
Marcel_75

Gaspode
ich bezweifel, dass du innerhalb von sechs minuten den 12-seitigen thread (wo leute schreiben, die jahrelang mit nextstep zu tun hatten) nebst zugehörigen links (wiederum mit artikel der darwin-entwicklern) gelesen und verstanden hast.

Steffel
Lass uns OS9 mal für diesen Thread ausklammern, das ist ja sowieso 'Sicherheitsloch Nr. 1' für OS X...

Habe OS9/Classic hier erst gar nicht auf Rechnern die mit OS X arbeiten installiert... und per Firmware das booten von CD/Firewire deaktiviert...
Ja ich weiß, auch das kann man umgehen, aber dazu muss man schön etwas Ahnung haben und recht böswillig sein - davon ist bei uns zum Glück eher nicht auszugehen.

schon etwas Ahnung haben meinte ich natürlich

lukas
Das ist auch eine Möglichkeit! Danke für den Hinweis!!! Alle Systeme wurden mit 10.2.4-CDs installiert und direkt danach auch die Benutzer angelegt. Dann folgten die Updates 10.2.5, 10.2.6, 10.2.8
An die Änderung der Rechte-Vergabe kann ich mich auch entsinnen (war glaube ich ab 10.3?) - hätte allerdings nicht gedacht, dass das auch die Home-Verzeichnisse beeinflusst...

lukas
Ja, z.B. wenn man Microsoft Office als normaler Benutzer installiert, wird so ein Verzeichniss für den Benutzer angelegt.

Also 12 Thread sind für mich nicht mehr der Artikel, da steht auch nur ahnungsloses Zeug drin.

Der wesentliche Link ist der zum Artikel von Sanchez. Und der ist uralt. Kenn ich schon. Der ist aber auch keine Erklärung für das o.g. Verhalten.

Da wird aufgezeigt was für eine Herausforderung ist die Cocoa- und vor allem Carbon-Frameworks so hinzubekommen, dass eine Anwendung die von all dem nichts weiss (Programmierer unfähig oder in den meisten Fällen einfach alte Anwendung) trotzdem mit den auf einmal verfügbaren Rechten klarkommt.

Mag sein, dass so eine Anwendung in Einzelfällen nicht nur die Rechte der Datei sondern auch des Pfades dadrüber mit anfasst.

Für das ursprünglich hier bemerkte Verhalten ist das aber keine Erklärung.

Ich empfehle Unix Power Tools 3rd Edition (inc Darwin), das ganze zu verinnerlichen und dann im Auge zu behalten was einzelne Anwendungen u.u. anrichten. Reicht ja wenn ein faules Ei darunter ist...

So das ganze soll kein Flame sein. Sorry, wenn ich so rüberkam.

Gaspode
Guter Tipp, wo bekommt man denn diese 'Unix Power Tools 3rd Edition' und gibt es dazu auch eine Anleitung, eventuell sogar auf deutsch?
Vielleicht kannst Du ja auch noch ein paar Worte dazu verlieren?
Das würde uns Mac-(Power)-Usern sicherlich helfen, denn der Großteil von uns hat sicherlich kaum solche UNIX-Erfahrung wie Du (erst recht nicht 10 Jahre).
Du bist also unser Mann...


PS an alle die diesen Thread verfolgen:
installiere jetzt Office an einem Rechner neu, habe den kompletten Programme-Ordner im Privat-Ordner des normalen Users gelöscht (darin waren Microsoft Office X, Adobe Reader 6 und CDFinder - mal sehen wer der 'Übeltäter' war... und danch die Zugriffsrechte im Home-Verzeichnis des normalen Users und des Admins von Hand korrigiert + gegenseitig überprüft.
Bin mal gespannt was sich ergibt - halte Euch auf dem Laufenen!

Anbei, meine ersten Erkenntnisse:

habe:
- den kompletten Programme-Ordner im Privat-Ordner des normalen Users gelöscht (darin waren Microsoft Office X, Adobe Reader 6 und der CDFinder)
- die Zugriffsrechte im Home-Verzeichnis des normalen Users und des Admins von Hand korrigiert + gegenseitig überprüft
- die Zugriffsrechte mit Apples Festplattendienstprogramm (als normaler User) repariert und nochmals die Zugriffsrechte im Home-Verzeichnis des normalen Users und des Admins gegenseitig überprüft

So weit alles in Ordnung!

Dann habe ich:
- Microsoft-Office als normaler User manuell installiert (ohne MSN-Messenger und ohne Kamera- und Scanner-Add-In)
Anmerkungen: die Installation erfolgt laut Installer im Ordner 'Applications', es wird kein Admin-Passwort verlangt

Es wurde ein Ordner "Programme" im Privat-Ordner des normalen Benutzers angelegt, welcher nun schon genau die von mir beschriebene Problematik aufweist:

- der normale User (ich) darf lesen & schreiben
- die Gruppe 'staff' darf nur lesen
- Andere dürfen nur lesen

Außerdem hat dieser Programme-Ordner ein normales Ordner-Icon, was man aber bekanntlich von Hand ändern kann. Immerhin zeigt der Ordner per Apfel+i bei Name & Suffix korrekt 'Applications' an.

Habe nun die Zugriffsrechte von Hand geändert und auch 'auf alle Unterobjekte angewendet'.

Bin mal gespannt, ob die Updates bis Office 10.1.5 funktionieren werden oder ob sich an den Zugriffsrechten des Programme-Ordners dann wieder was ändert. Außerdem installiere ich noch das Value Pack.

Hallo Marcel, Unix Power Tools ist ein Buch.

Was Du da mit dem Office schilderst scheint ja eindeutig ein Office-Bug zu sein. Einen Ordner Applications anzulegen für einen Benutzer ist zwar nicht verboten, aber im Normalfall ziemlich sinnlos. Speziell wenn man eine Anwendung für alle User verfügbar machen will. Der nächste Bug scheint zu sein, dass Office die Rechte der Ordner darüber mitändert. Dazu braucht es keine Admin-Rechte, denn es ist Dir ja als User freigestellt, dass Du die ganze Welt mitlesen lässt.

Da muss man also M$ auf die Finger hauen und nicht Apple.

Solche Beispiele gibt es allerdings einige. Ich habe schon viele Installer erlebt (die der Apple-Installer den man verwenden sollte sondern irgendwelche anderen wie z.B. der von Aladin) die auch vom "großen" Applications-Ordner die Rechte verdrehen.

Der Unterschied zwischen "normalem" Unix und OS X sind meiner Meinung nach also folgende: Viele OS X-Entwickler haben von solchen Dingen keine Ahnung und auch nach 2 Jahren OS X noch nicht dazugelernt und auf der anderen Seite sind wir scheinbar User die sich sowas gefallen lassen. Würde sowas bei Sun oder SuSE passieren, würde groß einer Schreien SICHERHEITSLOCH - denn nichts anderes sind diese Installerbugs!

Weiterer Punkt: Jemand der von der Unix-Seite kommt und Sachen per Shell kopiert, weiss das er hernach die Rechte entsprechend setzen muss, bzw. 'make install' macht das gleich mit. Am Mac ist man es (zu Recht) gewohnt Sachen wie z.B. ein Browser-Plugin nur per Drag and drop in den Ordner /Library/Internet Plugins fallen zu lassen. Danach sind die Recht aber eigentlich falsch, denn es sind die Rechte des Admin der die Datei dorthin hat fallen lassen.

Und für diese zwei Szenarien hat Apple eine Lösung: Ein Tool das einfach die Rechte nach bestimmten Regeln setzt.

Und genau deswegen ist Apple nicht an all diesen verdrehten Rechten schuld. Apple trifft höchstens die Schuld, dass sie auch mal den unfähigsten Programmieren Nachhilfe geben müssten!

Das einzige was in der Tat seltsam ist: Das Festplattendienstprogramm meckert immer hfs.util und der locate.database an. Einen Erklärungsversuch gibt es u.a. hier: Bleibt die Frage warum das bis heute noch so ist...

Und was sagt Apple dazu?

Naja, eigentlich logisch. Handelt es sich hier ja nicht um eine echte Datei sondern um eine PID die hier quasi ins Filesystem gespiegelt wird.

nur: unter os9 konnte man die sachen auf den systemordner ziehen und das system hat sie selber verschoben. wäre das auch unter osx so würden die rechte z.b. in /Library nicht inkonsistent werden und müssten auch nicht repariert werden, weil sich das system dann selber drum kümmern kann.

auch eine frage wäre wieso die installer nicht neben dem obligatorischen prebinding auch ein rechte-reparieren aufrufen. würde der gesamtkonsistenz entgegen kommen. der thread, der ich oben angelinkt hatte, hat in der regel auch die installer als fehlerquelle genannt.

und der ~/Applications macht schon sinn. gut, der office-installer könnte nach dem admin-pw fragen und sich nach /Applications installieren bzw. grundsätzlich fragen, ob das produkt nur für den aktuellen oder für alle user installiert werden soll. grundsätzlich in ein ~/Applications aber schon sehr sinnvoll.

@Gaspode: erst mal danke für den Buchtipp sowie die anderen Hinweise!

Hier aber, wie es weiter ging mit der Office-Installation (inkl. der Erkenntnis, dass es nicht SOOO schlimm ist, aber lest selbst):

Habe nun:
- alle Programme (Word, Excel, Powerpoint, Entourage) einmal gestartet und beendet (dass sollte man laut Micorsoft-Support-Hotline vor jedem Update machen, da beim ersten Start der Programme noch Dinge installiert/kopiert/aktualisiert werden)
- das ValuePack installiert (alles außer dem 'Windows Media Player für Mac'

Dadurch hatte sich nichts an den Zugriffsrechten geändert, obwohl durch das ValuePack sogar ein Ordner mit 'RealBasic' in den Programme-Ordner des Privat-Verzeichnisses des normalen Benutzers dazu kam! Aber so sollte es ja eigentlich auch sein...


Danach habe ich:
- das 'Office X 10.1.2 Update' installiert

Dies verlangt das Admin-Passwort!!!
An den Zugriffsrechten der Privat-Verzeichnisse des normalen Benutzers hat sich aber trotzdem nichts geändert, auch nicht an denen des Admins.

Vermutlich wird das Admin-Passwort nur benötigt, um die Log-Datei (Office X 10.1.2 Update Log) direkt auf der Systemplatte zu speichern.
Diese hat nämlich folgende Zugriffsrechte:

User System: lesen & schreiben
Gruppe Admin: lesen & schreiben
Andere: nur lesen

Auch die Updates auf 10.1.3, 10.1.4 und 10.1.5 des Office-Pakets ändern zum Glück nichts.


Bleibt mir jetzt noch zu testen, ob der Adobe Reader 6 oder eventuell der CDFinder etwas geändert hatten an den Rechten der Privat-Ordner...

Marcel_75
Ja, Office oder Du selbst legst nen Ordner Programme im home des Benutzers an. OSX macht das nicht mehr. Ist auch ein ziemlicher Quatsch. Programme gehören in /Applications. Die Benutzereinstellungen von Office werde eh im home Verzeichnis des Office Benutzers unter ~/Documents/Microsoft-Benutzerdaten abgelegt. Aber das musst Du natürlich selbst entscheiden!

oliver kurlvink
ausgesprochen amüsanter thread, sag Bescheid wenn die ins Theater kommen. Erinnert ein bisschen an die Marx-brothers.

Ergänzung:
wohlgemerkt hatte ich die Zugriffsrechte des von Microsoft erstellten Programme-Ordners des normalen Benutzers so von Hand geändert, dass nur der Benutzer Lese- & Schreibrechte hat, die Gruppe und Andere haben keine Rechte!

So eine Idee hatte ich auch: Man wirft alles nur wieder auf dem System-Folder und der Rest geht von selber, inc. dem Rechtesetzen. Hat aber auch wieder Nachteile, man baut was Nicht-Unix-mässiges ein, was "im Hintergrund agiert". Deshalb hat mir die Idee dann doch nicht so gut gefallen. Wäre aber mehr Apple-like für den User.

Im Prinzip stehen wir vor folgendem Problem: Wir wollen es genauso sicher haben wie jedes andere Unix, nicht eine einzige Datei soll auch nur ein Recht zu viel haben. Auf der anderen Seite wollen wir aber nicht mehr Gedanken damit verschwenden als zu OS9-Zeiten als jeder User alles durfte und sich auch kein Mensch daran gestört hat... Ich weiss nicht ob man das jemals erreichen wird, max. Ergebniss mit 0 Aufwand.

Ergänzung 2:
auch der Adobe Reader 6 sowie der CDFinder 4.2 richteten keinen Schaden an, beide boten sich als Programm-Ordner an, die einfach nur kopiert werden mussten.

Da vorhin jemand die Installer erwähnt hatte:
der VISE-Installer und der Aladdin-Installer, das könnten noch Kandidaten sein. Eventuell wurde ja etwas 'verbogen' beim Update von StuffIt von Version 7.0.1 auf 7.0.3?
Kann ich jetzt leider nicht ausprobieren...

Trotzdem noch einmal danke an alle Beteiligten für diesen regen Austausch in dem Thread, auch für die interessanten Links.

Hat ansonsten noch jemand weitere Hintergrundinformationen oder wertvolle Erfahrungsberichte parat?

lukas
das ist nun wirklich völliger unsinn. global verfügbare programme gehören nach /Applications. Nur für einen User verfügbare Programme gehören nach ~/Applications. Genau wie mit der Library. Wird auch so von Apple unterstützt. sorgt u.a. auch dafür, dass auch user ohne admin-rechte eigene programme installieren können und diese dann für diesen user auch sauber über das services-menu erreichbar sind.

Sinnvoll nutzen kann man das z.b., indem man eine systempartition hat und eine users-partition, am besten noch auf getrennten platten. durch neu installieren des systems und ändern des pfades für das homedir in netinfo steht dann sofort die alte arbeitsumgebung zur verfügung.

lukas
Das ist so nicht richtig. Ein Verzeichnis hat das execute bit immer gesetzt. 600 (drw-------) reicht nicht, um z.B. eine Datei in dieses Verzeichnis zu kopieren.

Je mehr Verzeichnisse ich hinsichtlich ihrer Rechte überprüfe, desto mehr rollen sich mir die Fußnägel auf. Die Rechte sind teilweise völlig unsinnig. Das soll ein Multi-User System sein? Da bin ich aber froh, dass ich der einzige Benutzer bin!

Zusammenfassend möchte ich sagen, dass:

1. Apple (und fast alle anderen Softwarehersteller) noch einige Hausaufgaben machen müssen! (bleibt höchstens noch abzuwarten, inwieweit Panther bezüglich der Zugriffsrechteverwaltung und des Filesystems Verbesserungen bringt...)

2. Jeder OS X Benutzer die eingestellten Zugriffsrechte seiner Privat-Ordner ab und an kontrollieren und gegebenenfalls für seine Bedürfnisse anpassen sollte. (ich jedenfalls finde es weniger toll, wenn andere User sehen können, was auf meinem Schreibtisch liegt, siehe Beginn dieses Threads...)

3. Wir alle uns weiterhin intensiv mit diesem neuen, faszinierenden Betriebssystem beschäftigen sollten...

wenn man ein word doc abspeichert hat es leserechte für alle

habs grad mal ausprobiert

oliver kurlvink
Na ja, ich weiß nicht, ob das so völliger Unsinn ist. Ich sag ja auch, dass muss jeder für sich selbst entscheiden. Du kannst natürlich für jeden Benutzer einen eigenen Programm Ordner anlegen oder die privaten Progs auf ne andere Partition legen. Nur so viel Private Progs, die nicht allgemein zugänglich sein sollen sind, haben wir - und ich glaube der überwiegende Teil der anderen Benutzer auch - nicht.

Bei uns jedenfalls hat jeder reale Benutzer seinen Rechner. Da kommen noch ein paar Aushilfen dazu, die auf den vorhandenen Rechnern (mit)arbeiten. Die haben eben auch ne Kennung und nutzen - und sollen das auch! - die vorhanden Programme. Gerade Office. Ich will für meine Korrespondenz nicht 5 verschiedene Formate haben. Da soll ein Briefkopf benutzt werden und der soll immer gleich aussehen und das Schreiben will ich auf allen Rechnern mit einer Textverarbeitung lesen und bearbeiten können.

Will ich den Wartungsaufwand gering halten, packe ich die Programme eben in /Applications.

Ich glaube, gerade bei der Reparatur der Rechte, schlimm genug das man das überhaupt machen muss, wird ein privater Programme Ordner eines Benutzers gar nicht berücksichtigt? Also müsste ich da auch schon wieder zu Fuß fummeln.

Und Du siehst ja mit welchen Merkwürdigkeiten Marcel bei der Installation von Office, Acrobat ... in "privaten" Programmordnern konfrontiert wird.

Nur gings ja ursprünglich darum, ob beim Anlegen eines neuen Benutzers unter OSX im home des neuen Benutzers eine Ordner Programme angelegt wird. Und passiert eben nicht durch OSX. Ist das denn bei euch anders?

kester
Stimmt, wenn die Rechte z.B. des öffentlichen Ordners des anderen Benutzers auf 600 gesetzt sind, kannste das Dok nicht einfach in den Öffentlichen Ordner des Empfängers kopieren. Ziehst Du das Dokument aber auf die Drop Box, wird das zum Empfänger kopiert. Du kannst das kopierte Ergebnis zwar nicht sehen, aber der Empfänger kriegt das und kann drauf zugreifen.

Will ich ein Dok allgemein freigeben, packe ich das in meinen Öffentlichen Ordner. Da kann sichs dann jeder rauskopieren. Das ist doch OK so, oder?

kester
tschuldigung, hab mich verschrieben: das muss heissen ... des anderen benutzers auf 644 gesetzt sind ...

Borg, ein Dokument mit Leserechten für alle (ist auch unter Linux der Standard) macht überhaupt nix.

Solange der Ordner darüber nur von Dir gelesen werden kann, sieht auch keiner die Docs darin.

Ist wie gesagt Standard-Unix Verhalten. Eine untergeordnete Datei oder Ordner kann immer nur weitere Rechte nehmen, aber nie zusätzliche Rechte geben.