Hallo zusammen,

ich habe gerade in den letzten Wochen hier im Forum öfters gelesen, dass einige von Euch sich einen Admin und einen User-Account anlegen, zuletzt hier .

Ich habe keine Ahnung, wozu das gut sein soll und welche Vorteile dies bringt. Könnt Ihr mir da helfen?

Hintergrund ist auch, dass mein neues Macbook unterwegs ist und ich ja eventuell hier nicht nur die Daten rüberziehen, sondern zusätzlich auch einen neutralen Admin anlegen könnte...

Grüße
doescher

Das wird jetzt ein Shitstorm geben aber "Root" "Admin" und "SU" sind veraltet.
Das sind Dinge die aus alten Unix und Linux Umgebungen kommen wo der Nutzer "schlimme Dinge" anrichten konnte.
Heute nicht mehr gebräuchlich oder sinnvoll in aktuelleren macOS Versionen.
Mach Dich schlau und installiere nicht alles mit Kennwort Eingabe
Solange Du nichts da hin installiert wo es nicht hingehört (wann immer nach einem Kennwort gefragt sollte man überlegen welche Quelle die Software hat) dann ist man auf der sicheren Seite.
Nimmt nur unnötig Platz weg.

Damit ein böser Trojaner nicht sofort mit Adminrechten läuft und deinen Rechner löschen kann, zum Beispiel.

Hi doescher,

das ist ganz einfach zu erklären:

Nur der Admin Account kann z.B. ohne Popup und Rückfragen Programme oder Treiber installieren. Mit dem Admin darfst du auch Dateioperationen in Betriebssystem-Ordnern durchführen. macOS fragt hier nur beim allerersten Mal und dann nie wieder.

Beim Nutzer-Account wird immer nach dem Admin-Benutzer und dessen Passwort gefragt, wenn ein Programm installiert wird. Dies ist auch der Fall, wenn zum Beispiel ein Virusprogramm einen Treiber oder ein anderes Programm installieren will. Du hast mit dem Nutzer-Account die volle Kontrolle was passiert. Heimliche Installationen sind praktisch ausgeschlossen.

Kommt bisschen darauf an, was Du Dir davon versprichst. Aus Sicherheitsperspektive gibt es das "Principle of Least Privilege": Jeder Nutzer eines Systems hat nur so viele Rechte, wie für Aufgabe nötig sind, und wenn Du an einem Word Dokument arbeitest, dann brauchst Du zunächst natürlich keine Adminrechte.

Deswegen verwenden das viele aus Selbstschutz
Gerade in den unixartigen Betriebssystem wird generell nicht empfohlen als root-User zu Arbeiten — sondern als eingeschränkter Nutzer ggf. mit sudo-Privilegien. Das ist auch so ziemlich genau das, was Apple für einen User mit Administratorrechten vorgesehen hat.

Generell, als User, der nicht in der Admin-Gruppe ist, kannst Du:

* nichts am Computer ändern, was andere Nutzer betrifft
* Ausnahme: Apps aus dem App Store installieren
* keine Anwendungen starten, die von einem Admin für Gatekeeper noch nicht freigegeben wurden
* Kindersicherung nicht deaktivieren

Als User, der in der Admin-Gruppe ist (und das ist nicht dasselbe wie der Root-User), kannst Du diese Aktionen durchführen, musst aber vorher Dein Passwort eingeben. Jetzt gibt es Nutzer, die ihren Rechner alleine verwenden, der steht vielleicht nur zu Hause, und kein Passwort gesetzt haben, da rutscht einem vielleicht manchmal eine Aktion durch, die man, mit etwas nachdenken, nicht durchführen würde. Also es beschützt Dich nicht vor Dummheiten oder bestimmten Angriffen, aber man ist vielleicht generell etwas aufmerksamer.

Der Aufwand, mit zwei Nutzern zu arbeiten — sowohl auf der Kommandozeile als auch in der Benutzeroberfläche — ist so gering, dass das eigentlich nicht weiter ins Gewicht fällt. Statt nur der Abfrage des Passworts fragt Dich macOS dann eben noch nach Deinem Admin-Benutzernamen.

Andererseits tut macOS ja auch einiges, um Dich als Nutzer der Admin-Gruppe nicht gleich ins Verderben zu laufen, wenn Du z.B. einen Installer doppelklickst: auch da musst Du in der Regel ein Passwort eintippen, bestimmte andere Aktionen wie das deaktivieren des WLANs hingegen funktionieren auch ohne Passwort wenn du in der Administratorgruppe bist.

Ich würde sagen, am Ende ist es Geschmackssache, Apple selbst schlägt das Arbeiten mit separatem Admin Account, soweit ich das finden konnte, nirgends vor, wäre sicher für viele Nutzer auch etwas zu kompliziert.
Auch als Admin-User wirst Du nach dem Passwort gefragt, wenn Du etwa einen Installer ausführst oder in Systemverzeichnisse schreiben willst — z.B. kannst Du nicht ohne einfach was aus /System oder /Library löschen oder hinzufügen.

Das war in den Betriebssystemen von Mac OS X 10.0 bis Mac OS X 10.6.8 sinnvoll, da es dort Systemordner gab, in die Administratoren ohne Rückfragen kritische Daten schreiben konnten. Das ist aber schon lange Vergangenheit. Seit Mac OS X 10.7 ist diese Trennung weitestgehend unnötig.

Es gibt in der Praxis nur noch einen Unterschied: Ein Administrator darf das Programm "sudo" auf der UNIX-Befehlszeile aufrufen. Das dürfen andere Benutzer nicht. Mithilfe von sudo darf sich ein Administrator nach Eingabe seines Kennworts vorübergehend in eine Position versetzen, in der er tatsächlich mehr darf als normale Benutzer.

Auf der grafischen Oberfläche gewährt Apple allerdings jedem Benutzer bereits die Möglichkeit, so etwas Ähnliches wie "sudo" für grafische Programme auszuführen, d.h. dieser Unterschied wurde von Apple bereits aufgeweicht. Ein normaler Benutzer muss für diesen Schritt allerdings Name und Kennwort irgendeines Administrators kennen, während für Administratoren das eigene Kennwort ausreicht.

Nein, ohne Rückfrage dürfen das Administratoren nicht. Das könnte höchstens der Systembenutzer "root", der aber normalerweise für jede Anmeldung gesperrt ist.

Nein, auch das geht nicht.

Nun, wenn eine Trojaner Adminrechte will, dann muss ich das sowohl auf einem Standard-Account als auch auf einem Admin-Account mit Kennwort/Touch ID bestätigen. In beiden Fällen erhält das Programm dann dieselben Rechte. Und selbst mit Admin-Rechten kann ein Torjaner den Rechner nicht löschen. Allenfalls kann er Daten löschen, auf die der User und jemand mit Admin-Rechten Zugriff hat. Dank SIP und Co. ist das längst nicht mehr so viel wie früher. Sogar den Zugriff auf den Desktop muss man nochmals separat bestätigen.

Ich glaube die Re-Installationen (Klick auf das Wolke-Symbol) aus dem App-Store gehen für User der Admin Gruppe ohne Passwort, zumindest bei mir. Neuinstallationen (Klick auf Laden) verlangt hingegen nach meinem Fingerabdruck bzw. Passwort.

Das ist vielleicht auch noch ein Vorteil des Users in der Admingruppe, Du kannst dich via Biometrie authentifizieren.

Das sehe ich nicht und verstehe auch nicht, warum Du das so kleinredest. Es mag nur noch wenige Unterschiede geben, aber doch entscheidende.
Das ist doch schonmal ein alles andere als trivialer Unterschied. Auch wenn Otto Normalnutzer vielleicht selber das Terminal nicht nutzt und keine Skripte schreibt, probiert er vielleicht leichtfertig welche von „irgendwo aus dem Internet“.
Und auch das ist doch ein ganz wesentlicher Unterschied aus zwei Gründen:

• Wenn ein Programm unerwarteterweise nach einem Passwort fragt, dürfte man deutlich eher stutzig werden, wenn es nicht das eigene, sondern ein Admin-Passwort ist, und nicht so schnell die Genehmigung erteilen wie bei der Frage nach dem Passwort des eigenen Nutzerkontos, das man via Social Engineering vielleicht viel gedankenloser bereit ist preiszugeben.
• Als Passwort für das eigene Nutzerkonto, das man täglich braucht, wählen viele Nutzer ein nicht nur leicht zu merkendes, sondern auch kurzes Passwort, da sie es ja täglich brauchen. Das Passwort für ein getrenntes Admin-Konto wird weit seltener gebraucht und kann also länger und sicherer ausfallen.

Für Programme stimmt das nicht. Der Ordner /Applications hat admin-Schreibrechte. Ich habe mal bei einem der von mir betreuten Nutzer eine raffinierte und fatale Attacke mitbekommen, bei der ein wesentlicher Schritt aus der unbemerkten Installation eines Programms in /Applications bestand, die nur funktionierte, weil er in seinem Nutzerkonto als admin arbeitete. Das hat er seitdem nie mehr gemacht.

Ein zusätzliches Admin-Konto ist so gut wie kein Aufwand, aber ein erheblicher Sicherheitsgewinn. Man sollte Nutzer dazu ermutigen und nicht das Gegenteil.

Dieses Argument habe ich noch nie verstanden. Wenn es ums Löschen geht, sind doch die Daten, auf die der User Zugriff hat, die einzig wichtigen/fatalen. Da ist nix mit Allenfalls, das ist das Wichtigste. Die geschützten Betriebssystemdateien hingegen sind doch komplett unwichtig – die kann man ggf. sofort wiederherstellen.

Genau das war ja mein Punkt. Mit einem Standard-Konto kann Software, die diese Rechte bekommt eben genau so viel Schaden anrichten wie bei einem Admin-Account, weil der größte Schaden eben die Daten betrifft, auf die Software, die ich selbst starte, auch zugreifen darf. Und bei Ordnern wie Schreibtisch oder Dokument, für die macOS mittlerweile gesondert Zugriffsrechte einfordert, erfolgt dies eben auch bei einem Admin-Account. Mit Standard-Account ist hier als nicht mehr gewonnen.

Das Argument kann ich nicht ganz nachvollziehen. Wenn jetzt jemand mit Standard-Account auf eine Problemlösung stößt, für die sudo im Terminal nötig ist, dann wechselt er zum Admin-Account und führt den Befehl eveb dort aus. Ist er sich nicht sicher, ob er sich ein Risiko einhandelt, lässt er es so oder so. Code mit sudo ausgeführt, kann sich auch Rechte verschaffen, auf andere Accounts zuzugreifen, insofern schützt der zusätzliche Standard-Account nur vor Programmen, die auf diese Situation nicht vorbereitet sind. Das dürfte sogar die Mehrheit sein, sind Admin-Accounts am Mac doch üblicher. Aber da resultiert der Schutz nicht aus dem Unterschied Admin/Standard, sondern aus zwei getrennten Accounts, die auch beide Adminrechte haben könnten.

Meine Zeiten mit Standard-Account sind etwas her, aber immer da, wo ich nach Zugriffsrechten gefragt wurde, musste ich die Daten des Admin-Accounts verwenden. Mir fällt aktuell nichts ein, wo man die Zugangsdaten des Standard-Accounts ausreichen, kannst du da was nennen? Vermutlich bei Zugriffen auf Desktop/Dokumente, aber „gut gemachte“ Malware würde sich damit ja begnügen.

Auf modernen Macs muss man das Passwort ja meist nur selten eingeben, deshalb kann es ja ruhig lang sein.

Meiner Erfahrung nach verwenden Leute gerade für ein selten benötigtes Kennwort lieber etwas Kurzes, was sie sich dann noch merken können.

Was hindert die Software, sich in ~/Applications zu installieren, ein Standard-Account jedenfalls nicht. Außerdem muss man die Situation mit Ventura wieder neu bewerten, weil es da nun noch die Sicherheitseinstellung "App-Verwaltung" gibt, die auch für Admins greift. Legitime Dienste wie Setapp können erst mit Erlaubnis Software in /Applications verändern.

Kommt drauf an. Muss der Nutzer ständig was mit Adminrechten machen, wird das lästig. Und da Menschen zur Bequemlichkeit neigen, kommt dann beispielsweise das kurze Passwort zum Einsatz, weil etwa Touch ID dem aktuellen Account vorbehalten ist. Oder die Trennung der Accounts gelingt nicht, weil man dann im Admin-Account doch mehr macht, als man eigentlich wollte. Alles schon gesehen.

Die Trennung der Account-Arten ist vorallem dann sinnvoll, wenn mehrere Nutzer einen Mac verwenden. Erst dann macht es einen Unterschied, ob sich Malware für alle Nutzer in /Applications einnisten kann oder nicht. Bin ich der einzige Nutzer und arbeite mit Standard-Account, kann Malware lediglich in ~/Applications (oder sonstwo in ~) dennoch die relevantesten Daten abgreifen. Viel mehr gibt's eh nicht zu holen. Und das Meiste, was die Malware nicht auf Anhieb darf, darf sie auch nicht beim Admin-Account.

Wer im falschen Sicherheitsglauben bei einem Standard-Account nachlässig ist, kann sogar ein größeres Risiko haben, als vorsichtig mit Admin-Account.

Eine weitere Ausnahme ist der Schutz der Anwender vor sich selbst. Hat jemand wenig Ahnung und nutzt quasi einen betreuten Mac, kann es auch sinnvoll sein, dass der Admin eben seinen eigenen Account hat, um etwa im Auftrag Software zu installieren. Dann hat dieser auch keinen direkten Zugriff auf private Daten. Das ist aber auch nur ein Schutz vor versehentlichem Zugriff, denn ein neugieriger „Admin“ kann sich ja nahezu alle Rechte verschaffen.

Letztlich ist bei dieser ganzen Diskussion wichtig zu unterscheiden, um welchen Anwendungsfall es hier geht. Ist man alleiniger Nutzer, hat man von einem Standard-Account so gut wie keinen Sicherheitsvorteil in macOS mehr, weil der Admin-Account eben auch nicht alles ungefragt darf. Pauschal unsinnig ist das Vorgehen dennoch nicht, für manche ist eine solche Trennung einfach wichtig, quasi der Ordnung wegen.

Dein Satz klingt anders – Allenfalls suggeriert etwas Nebensächliches. Aber egal.
Das stimmt nicht. Schadsoftware geht es ja in aller Regel nicht um das für den Eigentümer schmerzhafte Löschen von Daten; was hätte ihr Urheber davon? Eine der wichtigsten Schritte für eine typische Schadsoftware ist es, sich persistent im System zu verankern, in der Regel über Launch Deamons. Dafür braucht sie admin-Rechte. In einem Standard-Nutzerkonto muss sie explizit danach fragen, in einem admin-Konto muss sie „nur“ das Nutzer-Passwort herausfinden. Um diese und ähnliche Aktivitäten geht es.
Du brauchst doch keine besonderen Rechte, um auf den Inhalt Deiner eigenen Schreibtisch- und Dokumentenordner lesend oder schreibend zuzugreifen?
Wenn er etwas davon merkt. Aber ein bösartiges Skript, das hofft, dass der Nutzer so leichtsinnig ist und von einem Admin-Konto aus seine alltäglichen Arbeiten verrichtet, fragt ihn natürlich nicht nach dem Admin-Passwort, sondern nur nach seinem Nutzer-Passwort. Dass er damit im Hintergrund sudo ermöglicht, erfährt der leichtsinnige Nutzer doch gar nicht. Das ist der entscheidende Punkt.
Alle Daten im eigenen Schlüsselbund Lokale Objekte, zum Beispiel. (Wenn man den iCloud-Schlüsselbund aktiviert, wird dieser Schlüsselbund zum iCloud-Schlüsselbund; ob der iCloud-Schlüsselbund ebenso wie der Schlüsselbund Lokale Objekte prinzipiell das Nutzerpasswort einfordert, weiß ich nicht, da ich ihn nie benutzt habe, aber ich gehe davon aus.) Und natürlich auch alle Objekte im Schlüsselbund Anmeldung, bei denen man nie Immer freigeben angeklickt hat. An einem typischen Arbeitstag, an dem es nicht um Programminstallationen und Systemwartung geht, werde ich nie nach dem admin-Passwort gefragt, aber durchaus mehrfach nach meinem Nutzerpasswort. (Allerdings nutze ich die Schlüsselbundverwaltung extensiv.)
Dafür braucht man doch nie ein Passwort?
Was meinst Du mit modernen Macs und warum muss man da das Nutzerpasswort nur selten eingeben?
Das beruht auf einem weiteren hartnäckigen Irrtum, dem nämlich, dass sicherere Passörter schwerer zu merken sind, was unterstützt wird durch Passwort-Generatoren, die immer irgendein Zeichenkauderwelsch vorschlagen. Aber nichts ist so sicher wie ein langes Passwort, auch wenn es superleicht zu merken (aber dafür nervig zu tippen) ist wie TanteHildeIst23*soDoofWieOnkelK@rl.
In dem Sinne musst Du eine App überhaupt nicht installieren, Du kannst sie auch aus ~/Downloads starten. Aber dann ist sie zumindest keine Gefahr für andere Nutzer.
Dazu kann ich mangels Ventura ad hoc noch nichts sagen.
Dann meldet er sich eben im Admin-Konto an, denn das wäre ja dann eine klassische Administrations-Situation. Im Alltag begegnet die mir in meinem Standard-Konto aber nur sehr selten.
Wie sollte man das? An seine eigenen Dokumente kommt man ja im Admin-Konto nicht.
Das ist jetzt aber ein wenig an den Haaren herbeigezogen. So gesehen wäre es auch sicherer, im Auto ohne Sicherheitsgurte zu fahren.
Ja, das ist aber doch ein ganz entscheidender Punkt, denn fast alle Malware baut an irgendeiner Stelle auf die Nachlässigkeit des Nutzers.
Das ist aber nicht einmal die halbe Miete. Viel wichtiger ist, dass, wenn ein Admin-Nutzer einer Malware arglos sein Passwort gibt, er ihr damit via sudo root-Rechte einräumt, und gleichzeitig Passwortnachfragen weniger argwöhnisch betrachtet, da für ihn die Fälle, wo nach dem admin-Passwort gefragt wird, und Fälle, wo nach dem Nutzerpasswort gefragt wird, ja identisch und daher häufiger und ununterscheidbar sind. Ein Standardnutzer hingegen wird stets explizit darauf aufmerksam gemacht, wenn es gerade um ein admin-Passwort geht, und weiß dann ausdrücklich, dass er jetzt etwas außerhalb seines Heimordners erlauben wird.

Unter dem Strich verstehe ich einfach die Verve nicht, mit der das Arbeiten ohne explizites Admin-Konto verteidigt wird, während ein Admin-Konto so gut wie keine zusätzliche Mühe bedeutet, aber einen manchmal entscheidenden Sicherheitszugewinn bringt. (Und ich spreche da wie gesagt aus Erfahrung in meinem „betreuten Bekannten“-Kreis, der aufgrund seines Betreuers mittlerweile ausnahmslos völlig selbstverständlich und mühelos ein Admin-Konto nutzt. )

Der erste Nutzer der erstellt wird ist Admin.
jeder weitere Nutzer ist es nicht.

Wenn ich alleine an einem Rechner bin und 2 Konten habe führt es das fast ad absurdum.
Wenn ich als Nutzer B ohne Admin Adobe CC installieren will brauche ich das Admin Passwort. Bin ich selbst der Admin tipple ich das Passwort unter aktivem Nutzer B ein und die Suppe ist gelöffelt.

Wenn ich einen Rechner habe mit mehreren Nutzern, z.B. Kinder, dann bin ich als Besitzer auch der Admin und die Kinder eben nicht.

Wenn ich aber als Einzelnutzer mit dem Aluhut vor dem Rechner sitze und alle 3 Sekunden einen Hacker-Angfriff vermute sollte ich die Kiste lieber vom Netz und Strom nehmen.

Hinweis an alle, NICHTS ist sicher. WO halte ich mich im Netz und WAS tue ich da. Das muss sich jeder bewusst sein.

Das spielt nur überhaupt keine Rolle. Jeder Benutzer kann Programme auch in /Users/Shared speichern.

Der Benutzer an sich braucht keine Zugriffsrechte im technischen Sinn. Aber jedes unbekannte Programm, das dieser Benutzer aufruft, braucht für jede nicht expliziten Zugriff zusätzlich eine Datenschutzgenehmigung, die dieser Benutzer erst erteilen muss.

Da wird jetzt etwas vermischt, denn das ist ein Zugriff auf die eigenen, verschlüsselten Daten, die mit der Administratorenmitgliedschaft nichts zu tun hat.

Das stimmt so nicht. Bei jedem weiteren Nutzer kann ein Admin wählen, ob dieser neue Benutzer auch Admin sein soll.

Das ist schon klar. Das war eine Antwort auf Nebulas Frage, wo und wie es denn zu Abfragen des eigenen (Nicht-Admin-)Passwortes im eigenen Nutzerkonto überhaupt kommen könne.
Aber in seiner Eigenschaft als Nutzer, nicht als Admin, d.h., auch ein Standardnutzer kann das mit seinem Passwort. Was also dann nur ein weiteres (und eigentlich besseres) Beispiel dafür wäre, dass ein Standardnutzer, der in seinem Nutzerkonto angemeldet ist, erneut nach seinem Passwort gefragt werden kann.

So empfinde ich es auch: Ich bin der einzige Nutzer des Macs und schreibe nicht überall das Kennwort rein, wenn ich dazu aufgefordert werde .
Insofern ist es für mich wohl nicht falsch, nur den Admin-Account zu verwenden...
Danke für Eure Infos, wie immer sehr hilfreich.