Immer im admin-account arbeiten, ja oder nein?

Hello,
ist eigentlich der Unterschied zwischen einem Admin-Account und einem normalen Benutzer so gross? Was darf der Admin denn mehr, ausser im Applications-Ordner schreiben? Für eine Programminstallation muss ich doch eh wieder ein Passwort eingeben. Und ein Login-Passwort hat der auch, also ist der Account doch gegen externes Einloggen doch genauso gesichert, als wenn ich nicht als Admin arbeite?

Ich arbeite immer mit einem nicht-Admin-Account. Auch wenn manche Programme (von agnostischen Windows-Cross-Programmierern erstellt) damit Probleme haben… (Die Kalibrier-Software meines Spyders möchte ein Farbprofil nach /Library/Colors schreiben. Darf nur ein Admin-Account, ich habe mir jetzt halt von Hand dort Schreibrechte eingeräumt. Das ist nur ein Beispiel. Besonders schlimm sind zusammen-gepfuschte Installer, welche die Rechte nicht korrekt eskalieren - und meistens im allerletzten Installations-Schritt auf die Fresse fallen. Das ist für mich oft ein Grund, zu einem anderen Programm zu greifen - wer so wenig von OS X versteht, sollte besser Briefmarken sammeln - aber keine Programme dafür schreiben).

Einer der Haupt-Unterschiede ist der, dass ein Admin-Account in der Gruppe “wheel” und “admin” ist. Und die haben wesentlich mehr Schreibrechte systemweit. Man mache im Terminal nur mal einen ls -l / und ls -l /Library.

Zusätzlich ist ein Admin-Account im sudoers-File, das heisst, dass er “Sachen” darf, wenn er das Kennwort eingegeben hat. Das ist aber, wie Du gesagt hast, das kleinere Sicherheits-Problem - die Kennwortabfrage kommt ja in beiden Accountklassen.

Ich hab schon zu Dosenzeiten immer im Admin gearbeitet. Nun, OK, ich kenne viele Leute, denen ich das nicht geraten hätte … Auf dem Mini habe ich zwar mehrere Accounts, aber nur deshalb, weil meine Liebste das will: Wegen einiger Spezialitäten, die ich mag und sie nicht (aktive Ecken)
Und natürlich einen Gast - falls die Töchter da sind.
Der “geschützte Zugang” unter Windows war für die Leute, die ohne Wissen rumklicken, mit sechs Bier surfen oder schlicht nur zum Spass an den Einstellungen rumspielen ganz gut - wenn ich Maschinen für andere (zeitweise beruflich) eingerichtet habe, hab ich das gern genutzt. Und dem Kunden erst das Admin-Passwort verraten, wenn die Schulung zu Ende war.
Privat - unnötig, aber (s.o.) evtl praktisch bei mehreren Benutzern

cheers, der Uli

Sehe ich anders (bin da aber vielleicht als Server-Admin etwas vorgeschädigtbelastet). Sicherheitskonzepte sind immer mehrstufig. Du verlässt Dich darauf, dass die Sicherheitsmechanismen der Ebene 0 (das menschliche Großhirn) und 1 (die Anwendungen) sicher sind. Ok. Das hoffe ich auch. Ein nicht-Admin-Account hätte jetzt aber den Vorteil, dass wenn diese beiden Ebenen versagen, noch nicht so schnell böse Sachen™ passieren können. Vergleich dazu: nur, weil ich mich darauf verlasse, dass mein Türschloss sicher ist, lasse ich trotzdem keine großen Mengen Bargeld zu Hause herumliegen. Weil, wenn dann jemand einbrechen sollte (trotz Türschloss), ist das dann nicht so schlimm, als wenn mein gesamtes Geld auf der Kommode im Flur liegt.

Mit anderen Worten, du benutzt den Admin-Account zum identifizieren von unsicherer Software? Wenn ich solche Software trotzdem installiere und die Schreibrechte bis zur Funktionalität ändere, macht es dann noch einen Unterschied mit welchem Account ich dann damit arbeite?
Was ich meine: Wo ist der Unterschied zwischen einem aktiven und einem vorhandenen Admin-Account?

Wenn Jörg „dicht“ macht, wenn er auf solche Software trifft, zeigt doch, das er das nicht zulässt. Auf „wichtigen Rechnern“ verfahre ich genau so. Auf Älteren, die mir nur zur Arbeitserleichterung dienen und kaum noch das Mac OS X bewältigen können, habe ich nur den Admin Account. Man sollte alte Schätzchen nicht noch quälen…

Ay Jörg,

Ja, das ist richtig - ich kenne die infrage kommenden Hirne …
Als System-Admin würde ich natürlich völlig anders argumentieren … auch mit Macs. Aber weniger, weil ich da Probleme sehe, sondern eher aus Berufsethos: Was ich vermeiden kann, vermeide ich - selbst, wenn es schon von anderen ins Visier genommen wurde.

OK, ich hätte dazuschreiben sollen: Privatbereich. Und Benutzer, die mit dem Gerät lediglich ihren Normal-Kram machen, also nichts installieren wollen, ein paar bekannte Webseiten regelmässig aufsuchen, aber nicht surfen.

Schon mit Kindern im Haushalt ginge das nicht mehr …

cheers, Uli

Warum ich alle Benutzer, welche ich verwalte (also mich selbst und den meiner Frau) als nicht-Admin-Accounts anlege ist, unter anderem der: Unter Mac OS X bedeutet das (im Gegensatz zu Windows) keine riesigen Einschränkungen!

Nein! Das wäre schön, wenn das ginge. Ich merke nur, wenn ich mich mit dem Admin-Account einloggen (! also nicht nur das Kennwort eingeben) muss, dass dann der Schreiberling noch nicht mal ein funktionstüchtiges Installer-dmg hinbekommt. Ob das Programm Sch*lecht ist oder nicht, weiß ich da natürlich nicht!

[quote] Wenn ich solche Software trotzdem installiere und die Schreibrechte bis zur Funktionalität ändere, macht es dann noch einen Unterschied mit welchem Account ich dann damit arbeite?
Was ich meine: Wo ist der Unterschied zwischen einem aktiven und einem vorhandenen Admin-Account?[/quote]

Du kannst unter Mac OS X nicht Schreibrechte so ändern, dass ein Admin-Account die gleichen Rechte wie der normale hat. Systemweit gibt es tausende Verzeichnisse und Dateien, welche zur wheel- oder admin-Gruppe gehören.

Der Unterschied ist einfach der: ein angemeldeter Admin darf nach /Library schreiben. Auch ohne das Kennwort vorher eingeben zu müssen! Und das gilt auch für die Prozesse, die Admin gestartet hat: Finder, Safari, Plugins, fehlerhafte Plugins.

AHA! Also das ist anschaulich! Werd mal sofort die Accounts ändern, VIELEN DANK!! =)

Nur Vorsicht: immer einen Account als Admin-Account “auf Reserve” haben - sonst kann man sich gar trefflich ein Bein stellen unter Mac OS. :smiley:

(dann hilft nur noch eine Mac OS X-DVD)

hehe, auf jeden fall =) …aber hab solche ähnlichen dinger schon gebracht, damals unter linuks… :blush: