Seite 4: Detektivarbeit

Inhaltsverzeichnis

Probleme beim Arbeiten unter einem eingeschränkten Benutzerkonto, etwa mit Programmen, die ihre Konfigurationsdaten ohne Admin-Rechte nicht schreiben dürfen, sind extrem selten und leicht abzustellen. In der Regel genügt es, sein Konto in der Benutzerverwaltung kurzzeitig wieder in den Admin-Status zu erheben, die Konfiguration wie gewünscht anzupassen und sich danach die Administratorrechte wieder zu entziehen. Abmelden oder gar den Rechner neu starten ist nicht notwendig.

Will ein Programm partout nicht ohne Admin-Rechte arbeiten, kann man mit fs_usage herausfinden, woran es scheitert. Möchte man beispielsweise ermitteln, in welche Dateien iTunes schreibt, wenn man dessen Konfigurationsdialog schließt, geht man folgendermaßen vor: Zuerst öffnet man in iTunes den Konfigurationsdialog, dann startet man im Terminal die Dateiüberwachung mit

sudo fs_usage -e -f filesystem | grep -v grep | grep write | grep iTunes

und schließt danach den iTunes-Dialog.

Die Option -e verhindert, dass fs_usage durch sich selbst ausgelöste Dateimodifikationen anzeigt, -f filesystem schränkt den Fokus auf Änderungen am Dateisystem ein. Der erste grep-Aufruf eliminiert durch grep selbst ausgelöste Änderungen, der zweite lässt nur Schreibzugriffe durch. Zu guter Letzt werden alle nicht von iTunes ausgelösten Modifikationen herausgefiltert.

Im abschließenden Schritt gilt es dann, die Rechtevergabe der Dateien zu kontrollieren – entweder im Finder über den Informationsdialog oder im Terminal über ls -al.

Will eine Anwendung um jeden Preis in eine Datei schreiben, für die es nicht die Rechte besitzt, kann man ihr diese mit chmod einräumen. So setzt

chmod u+w datei

für ihren Besitzer das Schreibrecht,

chmod g+w datei

erledigt dies für die Gruppe und

chmod o+w datei

für alle anderen Konten. Für welche Variante man sich entscheidet, hängt davon ab, ob man bereits Besitzer einer Datei ist oder der Besitzergruppe angehört. Unter Umständen muss man dies im Finder anpassen, sollte aber auf alle Fälle darauf achten, dass man anderen Benutzern nicht unnötig Rechte entzieht oder gewährt. Alternativ können sich Anwender auch als Mitglied einer Gruppe eintragen.

Unter Mac OS X 10.4 kann dies die Gruppenverwaltung des kostenlosen "SharePoints" erledigen. Das Programm ist zwar primär für das Freigeben von Verzeichnissen im Netzwerk gedacht, leistet aber auch mit seiner Gruppenadministration in anderen Bereichen gute Hilfestellung. Wer lieber ein Apple-Tool nutzen möchte, greift zum Netinfo Manager oder zum Terminal:

sudo nicl / -append /groups/admin users adb

nimmt adb in die Gruppe admin auf,

sudo nicl / -delete /groups/admin users adb

entfernt ihn wieder und

niutil -resync /

aktiviert die Änderungen.

Mit Mac OS X 10.5 hat Apple den Netinfo Manager in Rente geschickt und durch die Directory Services ersetzt. Seither lautet der Befehl zum Ändern der Gruppenmitgliedschaft

sudo dscl . -append /Groups/admin GroupMembership adb

der Befehl zum Löschen aus einer Gruppe sieht so aus:

sudo dscl . -delete /Groups/admin Groupmembership adb

Das Arbeiten ohne Administratorrechte bereitet beim täglichen Arbeiten so gut wie keine Probleme und verwehrt bösartiger Software den Zugang zum System durch die Hintertür. Aber denken Sie auch an die Vordertür: Da der Installer von Mac OS X Software nur systemweit installieren kann, sind die meisten Anwender darauf konditioniert, eine Installation blind mit ihren Administratordaten abzusegnen. Installieren Sie deshalb nie Software aus einer nicht vertrauenswürdigen Quelle und informieren Sie sich im Zweifelsfall zuvor in Diskussionsforen, ob andere Anwender mit dem Objekt der Begierde eventuell schlechte Erfahrungen gemacht haben. Nur so können Sie sicher sein, dass keine Schädlinge durch die Vordertür hereinschlüpfen. (adb) (adb)