Vielleicht haben einige von Euch schon bemerkt, daß JEDER Admin eines Rechners den passwortgeschützten Bildschirmschoner eines beliebigen Users (auch eines anderen Admins!) deaktivieren kann.

Beispiel: auf einem Rechner gibt es zwei Admins, A und B. Wenn B angemeldet ist und sein passwortgeschützter Screensaver aktiviert ist, kann A einfach herkommen und mit seinem Passwort den Screen freigeben und somit Zugang zum Desktop des B erlangen.

Es dreht sich dabei tatsächlich um "normale" Admins und nicht etwa um den Root-User, bei welchem ich die Freigabe und den Zugriff auf den Desktop der anderen User noch verstehen kann.

Das ist meiner Meinung nach eine gravierende Sicherheitslücke, die auf jeden Fall schon seit System 10.3 auf vielen Macs klafft! Dabei geht es wirklich nicht darum, daß ein Admin grundsätzlich vertrauenswürdig sein mag. Jedoch leuchtet es mir nicht ein, warum ein X-beliebiger Admin einfach Zugriff auf die gesamten Daten eines anderen Users haben darf.

Viel mehr Sinn würde doch folgendes machen:
A deaktiviert den Screen des B und kehrt auf seinen eigenen Screen (den des A!) zurück!

Was haltet ihr davon? Ich habe leider keine Forumsbeiträge dazu gefunden, wenn doch, bitte ich um einen Link. Meiner Meinung nach ist das ein gravierendes Sicherheitsloch, auch wenn das Apple anders sehen mag.

Sorry hab mich vor lauter (gravierender ) Empörung wiederholt. Muss einfach mal Dampf ablassen, die Sache nervt mich nun schon eine ganze Weile.

Ich würd' schlicht und ergreifend nicht jedem Admin-Rechte geben. Das ist ein Sicherheitsproblem!

Ja, das ist mir bewusst. Jedoch macht Gelegenheit Diebe. Natürlich kann man als Admin die Zugriffsrechte eines Homedirectories ändern, jedoch ist die Hemmschwelle viel geringer, wenn man durch einfache Passworteingabe Zugriff auf den kompletten Desktop erlangt.

Wozu ist FileVault da? Warum gibt es verschlüsselte DiskImages?
Sicher nicht dafür, daß ein X-belibiger Admin den Schutz durch einfache Passworteingabe aushebeln kann!

Ich würde die Lösung einfach geschickter finden, wenn man direkt nach Passworteingabe zum EIGENEN Desktop zurück gelangen würde.

Hallo Ataripapst, natürlich bekommt nicht jeder Adminrechte. Doch ist es nunmal so, daß in großen Netzwerken die Admins sich nicht einmal untereinander kennen müssen.

Szenario: A ist auf eine Zigarettenpause während B gemütlich mit seinem Passwort TAN-Nummern sowie die Telefonnummer der Freundin des A entführt.

da muss ich overdoze recht geben! denn, auch wenn beide admins vertrauenwürdig sind, macht es absolut keinen sinn, dass admin A zugriff auf admin's B desktop erhält - absoluter schwachsinn!!!
es muss bedenkt werden, dass, obwohl jeder admin (nicht root) zwar auf jeden user-account zugriff hat - aber da ist ja noch das fileVault!!! und dies würde somit untergraben (hab das nicht ausprobiert! - denke mir aber, dass es auch bei eingeschaltetem fileVault so sein wird)

overdoze

Das klingt wirklich nicht gut. Eigentlich sollte das nicht sein! Nur »root« sollte in einem UNIX-System die vollen Zugriffsrechte haben. Andere sollten ihre Home-Directories eigentlich sperren können.

P.S.: Nun sag' bloß nicht, daß jemand seine ganzen TAN-Nummern auf dem Rechner gespeichert hat? So leichtsinnig kann man doch nicht sein!

Ich liebe meinen Single-User-Mac.

Gute Nacht!

Ataripapst
Leichtsinn? Da ist ja noch ein harmloses Beispiel, Bank X z.B. speichert auch die TANs.
Ich habe schon Kreditkartennummern zusammen mit den passenden PINs als Textdatei auf dem Schreibtisch gesehen! Natürlich war der Rechner nichtmal passwortgeschützt. Da wird einem echt ganz anders wenn man sowas sieht.

Don Quijote hat schon recht; das ist normal und richtig so.

Wenn Admin A schlicht und einfach vergißt, sich auszuloggen und nach hause geht in einem größeren Rechnerpool, was dann? Fällt dann der Rechner aus? Muß man den neu starten?

Admin sollte halt nur jemand sein der vertrauenswürdig ist.

Ein Admin muß das dürfen, dafür ist er ja Admin! Einer der nicht über die Daten und Verzeichnisse anderer verfügen darf heißt einfacher User!
Aber warum sollte es überhaupt auf einem System mehrere Admins geben?
Nach meinem Verständnis von Sicherheit, ist ausser mir keiner Admin!
Und ich melde mich, wenn ich nur mal im Web surfen oder mal nen Brief schreiben muss, auch selber als User an. Als Admin melde ich mich nur an, wenn ich was besonderes an Systemkonfigurationen oder Updates machen muss.

Admin kann alle Benutzer entsperren, das ist normal…verstehe die AUfregung nicht.