Erlebnisse, wenn man neue Admins anlegt ...

Dieses Thema im Forum "Software" wurde erstellt von Delphin, 15. Januar 2007.

  1. Delphin

    Delphin Weltverbesserer

    Hallo,

    ich war vor ein paar Tagen gezwungen, einen neuen Administrator anzulegen, weil ich den alten zur Sau gemacht habe. Dabei sind mir ein paar Dinge aufgefallen.

    - ist es richtig, dass ich die Daten aus dem Benutzerordner des ersten Admins kopieren kann, wenn ich nur das Passwort des neuen Admins habe?

    - nach ein paar Tagen Testphase wollte ich den ersten Admin löschen (direkt mit Löschen des Benutzerordners). Seit dem Löschen des ersten Admins ist der zweite aber nicht mehr brauchbar: ich kann mich noch anmelden, aber sobald die Festplatten auf dem Schreibtisch erscheinen friert der Finder ein. Keine Tastenkombination wird noch angenommen, ich kann den Rechner nur noch abwürgen.
    Ich kann mich aber noch mit den anderen, einfachen Benutzern anmelden und von dort aus neue Administratoren anlegen, und zwar mit der Identität des zweiten Admins. Warum ist der zweite Admin blockiert? Habe ich mit dem ersten etwas gelöscht, was der zweite benötigt? Der dritte Admin funktioniert bis jetzt gut. Blockiere ich denn auch, wenn ich den zweiten Admin lösche?

    - ich wollte dem dritten Admin zuerst den Namen des ersten, gerade gelöschten Admins geben, aber das hat der Rechner verweigert. Werden einmal verwendete Admin-Namen gesperrt?

    Mac OS X 10.3.9

    Vielen Dank,
    Delphin
     
  2. Delphin

    Delphin Weltverbesserer

    Hallo,

    dem zweiten Problem bin ich gerade selbst auf die Spur gekommen: es ist eines meiner Startobjekte! Der BoincManager muss irgendwelche kaputten Voreinstellungen haben und sobald das System versucht, den Boinc zu starten bleibt es hängen.
    Wie kann ich mich als Benutzer anmelden, ohne dass die Startobjekte gestartet werden?

    Vielen Dank,
    Delphin
     
  3. Delphin

    Delphin Weltverbesserer

    Hallo nochmals,

    habe es mit Probieren gerade selbst herausgefunden: mit gedrückter Umschalttaste starten, dann werden die Startobjekte unterdrückt.
    Jetzt brauche ich nur noch die Antworten auf die Fragen 1 und 3 ...

    Viele Grüsse,
    Delphin
     
  4. maximilian

    maximilian Active Member

    Hallo!

    Unix kennt drei Gruppen von Benutzerrechten: "world", "group" und "owner".
    Wenn Du Dir im Terminal die Rechte einer beliebigen Datei (z.B. "MeinTest.txt" mittels des unix-Kommandos "ls -l MeinTest.txt") anschaust, dann sehen diese z.B. so aus:

    -r--rwxrwx 1 meinname meinegruppe 139810 23 Aug 1996 MeinTest.txt

    Das bedeutet: Die Datei MeinTest.txt der Größe 139810 Bytes gehört dem Benutzer "meinname", der der Gruppe "meinegruppe" angehört. Die Rechte stehen ganz vorne nach dem "-" (dort würde z.B. ein "d" stehen, wenn es ein Directory statt einer Datei wäre) in Dreiergruppen, und zwar in der Reihenfolge "world", "group" und "user". Die Buchstaben bedeuten dabei "r" Leseberechtigung (read), "w" Schreibberechtigung (write) und "x" Ausführungsberechtigung (eXecute).

    In diesem Beispiel darf also die "Welt" nur Lesen, die Angehörigen der Gruppe dürfen, genauso wie der Besitzer, Lesen, Schreiben (dazu gehört auch verschieben und Löschen) und Ausführen.

    Weleches "Berechtigungsmuster" eine neu angelegte Datei bekommt, hängt von der Einstellung "umask" im Benutzerprofil ab. Eine typische Einstellung ist die oben gezeigte, aber auch "----r--rwx" ist häufig anzutreffen.

    Damit wären Deine Fragen dann schon so gut wie beantwortet:
    Der neue Admin, der wie der alte der Gruppe der Administratoren angehört, darf auf alle Dateien des alten Administrators lesend zugreifen (also auch kopieren), aber mangels Schreibzugriff kann er sie weder löschen, noch verschieben.

    Das einfachste für Dich wäre es, wenn Du Dich als "root" (der darf alles mit allen Dateien!) anmeldest und den Benutzernamen der benötigten Dateien auf denjenigen des neuen Admin änderst. Das geht mit dem Unix-Kommando "chown", wie genau, verrät "man chown"!

    Grüße, Maximilian
     
  5. Taipan

    Taipan New Member

    Hi!


    Denke das ist andersrum, links steht der Benutzer, dann rechts davon Gruppe und Andere.
     
  6. maximilian

    maximilian Active Member

    Hallo!

    Scheint beim Mac tatsächlich so zu sein, wie Du sagst... Ich habe den Text gestern an einer IBM RS/6000 Workstation (Betriebssystem AIX) geschrieben und das Beispiel von dort ge-copy-pasted, da scheint es gerade umgekeht zu sein. Ist mir in den ganzen Jahren noch nie aufgefallen :embar:

    Ciao, Maximilian
     
  7. Delphin

    Delphin Weltverbesserer

    Hallo,

    danke.
    Aber mit dem Kopiervorgang werden die Zugriffsrechte geändert und der neue Admin kann mit den Daten tun, was er will. Der Umweg über Ruth ist gar nicht nötig. Ist das so gewollt?

    Und was ist mit der dritten Frage?

    Vielen Dank,
    Delphin
     
  8. maximilian

    maximilian Active Member

    Hallo!

    Ja, die Kopie gerhört natürlich demjenigen, der sie angfertigt hat und besitzt dessen Default-Rechte.

    Das mit dem "Umweg über Ruth" ist ein Lösungsvorschlag für die dritte Frage gewesen, bei der es ums Verschieben und Löschen ging, wenn ich sie richtig verstanden habe, die Frage!

    Grüße, Maximilian
     
  9. Delphin

    Delphin Weltverbesserer

    Hallo,

    ist das nicht ein unnötiges Sicherheitsrisiko? Was braucht ein Admin Zugriff auf die Dateien des anderen?

    Mir scheint, nicht ganz.
    Ich wollte über das Kontrollfeld Benutzer einen neuen Admin mit Namen "admin" anlegen. So hiess auch der Benutzer, den ich gelöscht habe, weil ich ihn kaputt gemacht habe. Wenn ich das versuche, kommt aber diese Fehlermeldung unten.
    Mit Deiner Lösung kann ich ja "nur" die Dateien auf einen bestehenden Benutzer umtaufen und damit keinen neuen Benutzer anlegen, oder?

    Viele Grüsse,
    Delphin
     

    Anhänge:

  10. maximilian

    maximilian Active Member

    Hallo!

    1. Ja sicher ist es das. Drum sollte es (nach meiner Meinung) auf einem unix-System ausser "root" gar niemanden mit Administratorrechten geben. Wird überall da, wo ich bisher gearbeitet habe, auch so gehandhabt!

    2. Aha, jetzt verstehe ich mehr!
    Da gibt es (mindestens) zwei Lösungen:
    Entweder Du räumst unter unix den dort offensichtlich noch vorhandenen Benutzer "admin" komplett ab (siehe z.B. diese Kurzanleitung hier:
    http://www.uwsg.iu.edu/UAU/sysadmin/useradd.html ) und baust ihn anschliessend mittels des Benutzer-Kontrollfeldes komplett neu auf, oder Du folgst meinem Vorschlag oben mit der Umbenennerei.

    Grüße, Maximilian
     
  11. Delphin

    Delphin Weltverbesserer

    Hallo,

    uiii, vor Deiner Komplettlösung habe ich ein bisschen Respekt, denn mit so einer Übung habe ich meinen ursprünglichen Admin zur Sau gemacht. Aber ich nähere mich der Materie vorerst mal. Und gleich kommt die Frage auf, ob diese Anleitung für Mac OS X auch brauchbar ist, denn:
    - wenn ich mit dem Terminal nach etc gehe fehlt die Datei shadow. Der Befehl ls gibt mir Folgendes:

    G3:/etc zeus$ ls
    6to4.conf
    afpovertcp.cfg
    aliases
    aliases.db
    amd.conf.template
    amd.map.template
    appletalk.cfg
    appletalk.nvram.en0
    auth
    authorization
    authorization.cac
    bashrc
    charset
    crontab
    csh.cshrc
    csh.login
    csh.logout
    cups
    daily
    defaults
    dumpdates
    efax.rc
    find.codes
    fonts
    fstab
    fstab.hd
    ftpusers
    gdb.conf
    gettytab
    group
    hostconfig
    hostconfig.backup.swapcop
    hostconfig~
    hosts
    hosts.equiv
    hosts.lpd
    httpd
    idmap
    inetd.conf
    kern_loader.conf
    localtime
    lowcase.dat
    mach_init.d
    mach_init_per_user.d
    mail.rc
    manpath.config
    master.passwd
    moduli
    monthly
    motd
    named.conf
    networks
    notify.conf
    ntp.conf
    openldap
    pam.d
    passwd
    pdb
    pear.conf
    periodic
    php.ini.default
    postfix
    ppp
    profile
    protocols
    racoon
    rc
    rc.backup.swapcop
    rc.boot
    rc.cleanup
    rc.common
    rc.netboot
    resolv.conf
    resolver
    rmt
    rmtab
    rpc
    rtadvd.conf
    services
    shells
    slpsa.conf
    smb.conf
    smb.conf.template
    ssh_config
    sshd_config
    sudoers
    syslog.conf
    ttys
    upcase.dat
    valid.dat
    vfs
    weekly
    xinetd.conf
    xinetd.d
    xtab
    (Ich habe das der Lesbarkeit halber unter gesetzt.)


    Und wenn ich mit Textwrangler die Datei etc/passwd öffne steht da:
    # User Database
    #
    # Note that this file is consulted when the system is running in single-user
    # mode. At other times this information is handled by one or more of:
    # lookupd DirectoryServices
    # By default, lookupd gets information from NetInfo, so this file will
    # not be consulted unless you have changed lookupd's configuration.
    # This file is used while in single user mode.
    #
    # To use this file for normal authentication, you may enable it with
    # /Applications/Utilities/Directory Access.

    Und ich finde auch keinen Eintrag, der zu einem der Benutzer passen könnte. Bei group ist es ganz ähnlich.
    Und ein Programm Directory Access gibt es unter OS X nicht, oder?

    Guten Start in den Tag,
    Delphin
     
  12. maximilian

    maximilian Active Member

    Hallo!

    Ich habe jetzt ein wenig recherchiert und festgestellt, dass bei Apple natürlich alles ein wenig anders ist am im Rest der unix-welt.

    Die Datei /etc/passwd heist bei Apple /etc/master.passwd (Du findest sie auch in Deiner Liste oben). Es wird allerdings davon abgeraten, sie von Hand zu bearbeitet. Dafür sollten unix-Kommandos wie "passwd" verwendet werden. Mit "man passwd" erhält man mehr Informationen und eine Liste verwandter Kommandos, ansonsten liefert die Rubrik "Developer" auf der Apple-Website natürlich einige Informationen.

    Viel Erfolg,

    Maximilian
     
  13. Delphin

    Delphin Weltverbesserer

    Hallo,

    bist Du sicher? Im Kopf der Datei steht wieder:

    # User Database
    #
    # Note that this file is consulted when the system is running in single-user
    # mode. At other times this information is handled by lookupd. By default,
    # lookupd gets information from NetInfo, so this file will not be consulted
    # unless you have changed lookupd's configuration.
    ##

    Wenn Du noch mehr an dem Problem basteln willst: nur zu.
    Aber so langsam gewöhne ich mich daran, meinen Admin nicht mehr admin zu nennen, und irgendwie werde ich das auch schaffen! manpages lese ich vielleicht noch, aber deswegen unter die Entwickler zu gehen sprengt die Grenzen wirklich.

    Vielen Dank für die Hilfe,
    Delphin
     

Diese Seite empfehlen