OS-X 10.5: Nach System-Update Admin-Rechte aller Accounts aufgehoben! :-(

Dieses Thema im Forum "Software" wurde erstellt von SeBiG, 27. Mai 2009.

  1. SeBiG

    SeBiG Member

    Liebe Leute, ich bin absolut verzweifelt und brauche einen Experten-Tipp! :-(((

    Ich weiss, ich bin wahnsinnig, auf dem ollen eMac von meiner kleinen Schwester ein OS-X 10.5 installieren zu wollen - aber ich habe auf anderen Geräten dieser Generation gesehen, dass es soweit sehr ordentlich läuft (wenn man nicht zu anspruchsvoll ist), wenn man die Kiste so weit wie möglich aufgebohrt hat.

    Die Installation des Systems auf dem eMac ist soweit auch völlig unproblematisch verlaufen - habe das kleine Teil an meinem PowerMac G5 im TargetDiskMode angeschlossen, von der 10.5er DVD gebootet und die interne HD des eMac als Zielvolume für die Installation angegeben, hehe. ;-)

    PROBLEMATISCH wurde die Sache erst, nachdem ich über die Software-Aktualisierung alle aktuellen Updates aufgespielt habe - seitdem ist der Account, der beim SystemStart angelegt wurde, ein "Standard"-Account ohne Admin-Rechte, und auch der ROOT-Account (!), den ich für spezielle Verwaltungsaufgaben sicherheitshalber mal angelegt habe, ist nur noch "Standard".

    Bei Apple ist diese Problematik offenbart bekannt --->

    http://support.apple.com/kb/TS1278?viewlocale=de_DE

    aber die Prozedur zum Umgehen der Problematik hat bei mir nix gefruchtet - nach dem reboot immer noch "Standard"-Account an allen Fronten.

    Ich habe weiterhin

    - von der gebooteten 10.5er-Install-DVD das Festplattendienstprogramm laufen lassen und die Benutzerrechte repariert.

    - den Root-Account deaktiviert und wieder neu angelegt

    - den Trick eingesetzt, mit dem man dem Mac vorgaukelt, er sei grade "frisch installiert" worden --->

    http://www.grobie.info/2009/03/24/mac-os-x-password-zurucksetzen-per-single-user-shell/

    ...wonach beim Neustart das Begrüssungsvideo läuft und man einen neuen User (für gewöhnlich mit Admin-Rechten) einrichten kann.

    All das hat nicht funktioniert! :-(

    Noch ein Symptom: Die Sache mit dem root-.Account ist irgendwie "schizzo" --->

    Wenn ich an einer Stelle im System rumwerkele, wo für gewöhnlich ein Admin-Passwort eingegeben werden muss, kommt der Standard-Dialog (Benutzername / PW) mit geblankten Eingabezeilen (sonst ist da immer wenigstens der aktuelle User als Eingabevorschlag). Ich kann dort "root" + "PW" eingeben, dann komme ich weiter - aber in der Benutzerverwaltung der System-Einstellungen für den root-Account ist die Box "Der Benutzer darf diesen Computer verwalten" nicht gecheckt.

    Wenn ich das Häkchen setze, kommt (ebenso wie bei jedem anderen Account auf dem Rechner) die Meldung: "Sie müssen sich abmelden und erneut anmelden, damit diese Änderung wirksam wird."

    Gesagt getan - und nach Wiederanmeldung / Reboot / Rechner an + Rechner aus ist alles wieder genauso, wie es vorher war - da müssen doch irgendwelche Schreib-Lese-Rechte geblockt sein??

    Kann mir irgendeiner weiterhelfen, um dieses Problem in den Griff zu kriegen? Gibt es irgendeinen sudo-Terminal-Befehl, der mächtig genug ist, diese Blockade auszuhebeln? (Solange, wie ich mit root+PW noch was machen kann, müsste ich das eigentlich hinbekommen.)

    Leider gibt es unter OS-X 10.5 den NetInfo-Manager nicht mehr, von dem aus man die Rechte der auf dem Rechner angelegten User mit dem Schraubenschlüssel bearbeiten kann - gibt es evt. unter 10.5 ein Dienstprogramm, welches diese Funktionen ersetzt?

    Für wirksame Tips und Hilfeleistungen wie immer dankbar = SeBiG
     
  2. DominoXML

    DominoXML New Member

  3. SeBiG

    SeBiG Member

    Domino - mein ewiger Retter! ;o) Hastu mich eigentlich abonniert oder warum antwortest Du mir immer als erster?

    Jau, wie man über die Verzeichnisdienste den root-User aktivieren / deaktivieren kann, habe ich ja auch schon ergoogelt (siehe:mein Posting) - aber wie kann ich die Einträge (u.a. Rechte) anderer bestehender User (da sind ja u.a. noch andere von Apple defaultmässig angelegte User wie "guest", "appowner", "deamon", "mailman" und wie sie alle heissen) damit so verwalten, wie das damals mit dem guten alten NetInfo Manager möglich war? Das geht aus Deinem Link (bzw. allen anderen mir bekannt Quellen) leider nicht hervor.

    Das wäre supernett - siehe oben!

    :eek:) = SeBiG
     
  4. SeBiG

    SeBiG Member

    Die Gruppe "Admin" scheint zu fehlen; zumindest wird sie unter "Benutzer und Gruppen" nicht aufgelistet (obwohl - evt. liegt das daran, dass man selber nicht als "Admin" eingeloggt ist?).

    Wenn ich die Gruppe "Admin" von Hand neu anlegen will, passiert... NIX!

    Oh Mann, ist die Kontenverwaltung unter Leopard grauuusam... Ich wünsch' mir den guten alten NetInfo-Manager zurück... :-( :-( :-(
     
  5. SeBiG

    SeBiG Member

    - Eine Gruppe namens "Doofmänner" kann ich anlegen; sie wird unter "Benutzer und Gruppen" folgerichtig gelistet.

    - Ich KANN diese Gruppe in "Admin" umbenennen; sie existert anschl. als "Admin" und ich kann einzelne Benutzer hinzufügen

    - Diese Benutzer kriegen trotzdem keine Admin-Rechte - wenn ich das Häkchen "Der Benutzer darf diesen Computer verwalten" setze und einmal zwischen diesem und einem anderen Account hin und her klicke, ist das Häkchen wieder weg.

    - Wenn ich einen neuen Benutzer anlege ("+"-Knöpchfchen drücke) und im anschl. aufpoppenden Dialog "Administrator" für diesen Account einstelle, wird der Account angelegt - allerdings ist das Häkchen "Benutzer darf diesen Computer verwalten" dann NICHT gesetzt und der als "Administrator" angelegte Account erhält das Label "Standard".
     
  6. DominoXML

    DominoXML New Member

    Abonniert habe ich Dich nicht, Du hast aber immer sehr interessante Problemfälle, welche mich selbst so stark interessieren, daß ich gerne ein Lösung finden möchte.
    Somit bin ich schon ein wenig auf deinen Account fixiert. ;)
    Das mit der ersten Antwort ist bei der hohen Beteiligung hier auch nicht wirklich schwer. :rolleyes:

    Hab mir mehrere Versionen zurecht gelegt. Hier die erste (Terminal ohne Install-Disk oder Root-User):

    Booten im single user mode, ("s" beim Starten gedrückt halten) und dann mit cd /Users and ls die Kurznamen anzeigen lassen.

    Mit dscl . read /Groups/admin GroupMembership kannst Du die User welche in der Admin-Gruppe sind anzeigen lassen. Geht übrigens auch grundsätzlich von jedem User aus.

    Danach folgende Kommandos:

    1) mount –uw /
    2) launchctl load /System/Library/LaunchDaemons/com.apple.DirectoryServices.plist
    3) dscl . append /Groups/admin GroupMembership (Kurzname)

    Melde Dich ob's geklappt hat. Wenn nicht muß ich noch ein bisschen testen bzw. Googeln.

    LG

    Volker

    Edit: Muß fix mit den Kids zum Einkaufen. Müsste in einer Stunde wieder zurück sein.
     
  7. SeBiG

    SeBiG Member

    So, bin jetzt wieder am Rechner meiner Schwester dran... ;o)

    Wir kreisen das Problem soweit ein:

    > Mit dscl . read /Groups/admin GroupMembership kannst Du die User welche
    > in der Admin-Gruppe sind anzeigen lassen.

    Wenn ich das ALS ERSTES (nach Wechsel ins User-Directory) eingebe, erhalte ich zunächst mal die Meldung vom Herrn Darwin:

    "For Single User Mode you must run the following command to enable use of dscl.
    launchctl load /System/Library/LaunchDaemons/com.apple.DirectoryServices.plist"

    Kein Problem, diese Eingabe folgt ja weiter unten in Deiner Prozedur. ;o)

    > Zuvor
    >
    > 1) mount –uw /
    > 2) launchctl load /System/Library/LaunchDaemons/com.apple.DirectoryServices.plist

    Bis dahin erscheint der Prompt wieder brav ohne Rückmeldung.

    Danach erhalte ich auf alle Befehle, die mit dscl . anfangen, wiederum die Error-Meldung:

    ""For Single User Mode you must run the following command to enable use of dscl.
    launchctl load /System/Library/LaunchDaemons/com.apple.DirectoryServices.plist"

    und wenn ich

    "launchctl load /System/Library/LaunchDaemons/com.apple.DirectoryServices.plist"

    noch einmal eingebe, die Meldung:

    "com.apple.DirectoryServices.plist: Already Loaded"


    Strange But True? = SeBiG
     
  8. SeBiG

    SeBiG Member

    Sorry, ich habe da was durcheinander geschmissen! :-(

    Es gibt zwei Dateien, die mit dscl . geloaded werden müssen, nämlich

    1) com.apple.DirectoryServices.plist

    und

    2) com.apple.DirectoryServicesLocal.plist

    Die Fehlermeldung bezog sich jeweils immer auf

    "For Single User Mode you must run the following command to enable use of dscl.
    launchctl load /System/Library/LaunchDaemons/com.apple.DirectoryServices >>> LOCAL <<< .plist"

    Gut, habe ich den auch geladen.

    Nach Eingabe Deiner Kommandos

    > dscl . read /Groups/admin GroupMembership

    erhalte ich die Fehlermeldung:

    <dscl_cmd> DS Error: -14136 (eDSRecordNotFound)

    sowie

    > dscl . append /Groups/admin GroupMembership ina <--- Name meiner Schwester

    erhalte die Fehlermeldung:

    append: Invaid Path
    <dscl_cmd> DS Error: -14009 (eDSUnknownNodeName)


    Soweit, sogut - ich hoffe, das sagt Dir was? Ist unter den gg. Umständen das Problem noch zu knacken, oder das FileSystem so gefrackt, dass ich es knicken kann?


    :-? = SeBiG
     
  9. DominoXML

    DominoXML New Member

    Hm, strange.

    Also erst mal das was ich mir so grob als Theorie zurecht gelegt habe:

    Beim Wechsel von 10.4 auf 10.5 hat Apple anscheinend die Admin-Verwaltung von "Unix" Standard auf Preferences umgestellt. Ich nehme an, daß das beim "drüberbügeln" des Updates gerne zu Problemen führt, wenn dies nicht sauber erfolgt. Spätestens beim Updade auf eine neuere 10.5.x Version geht das System davon aus seine Informationen in der neuen Form vorzufinden und versucht gar nicht erst mehr die Tiger Infos zu migrieren.

    Nach dem Neustart ist man also ausgesperrt.

    Preference Dateien haben für Entwickler einige entscheidende Vorteile. Wenn Du damit arbeitest kannst Du eine Art Grundeinstellungstemplate definieren, welches sicher stellt, daß dein Programm mit Grundvorgaben sauber funktioniert.
    Löscht jemand die Pref oder ist diese beschädigt wird automatisch wieder die Grundpref erstellt. Zwar gehen dann individuelle Einstellungen des Users verloren, jedoch hat man erst mal wieder ein Funktionierendes Programm.

    Leider habe ich mir die Doku zu com.apple.DirectoryServices.plist noch nicht angeschaut, aber die Vermutung geht dahin, daß man durch erzwungenes Neuschreiben der Pref(s) das Problem lösen könnte.

    Dies könnte folgendermaßen funktionieren:

    1. Neuinstallation mit Archivieren und Installieren. Hierbei wird das System neu geschrieben und die verfügbaren Einstellungen und Programme anschießend überführt.

    2. Installation in eine zusätzliche Partition und Ausführen des Migrationsassitenten unter einem neuen "nur install" Account um die Konten neu zu schreiben. Vorausgestzt die Platte ist weniger als halb voll (oder man hat eine zweite Platte zur Verfügung) kann man mit dem FPDP einfach eine zweite Parttition ohne Datenverlust erstellen, die Daten migrieren und die alte Parttion löschen bzw. zurückclonen.

    3. Man könnte die entsprechenden plist-Dateien im Single User Mode umbenennen oder verschieben und hoffen, daß diese automatisch wieder richtig erstellt werden bzw. diese danach händisch anpassen. Das muß ich mir aber erst noch mal genauer anschauen, da das bisher auf Vermutungen basiert.

    Drittens ist sehr interessant und ich denke ich werde das heute abend mal durchdröseln, sofern ich die Zeit finde.

    LG

    Volker
     
  10. DominoXML

    DominoXML New Member

    plist Dateien sind XML Dateien. In XML werden über Tags sogenannte Dokument-Nodes erzeugt, welche man sich ganz grob wie Datenbankfelder vorstellen kann.
    In deiner plist existieren keine Strukturen welche die Informationen aufnehmen können. (Wie der Versuch in ein Feld zu schrieben welches nicht vorhanden ist).

    Als Lösung könnte man mit dem plist-Editor eine funktionierende Plist eines anderen Rechners passend modifizieren und auf den eMac im Target-Mode transferieren.
    Soweit die Theorie...
    Wie gesagt, ich werde das mal checken...
     
  11. DominoXML

    DominoXML New Member

    Zum Gl&#252;ck gibt es Mittagspausen. Die Fenster herunter und die Katze hochgefahren. :biggrin:

    Also es ist logischerweise nicht nur eine plist im Spiel. Wenn Du im Single-User Modus bootest, dann kannst Du die admin.plist mittels cat lesen:

    cat /var/db/dslocal/nodes/Default/groups/admin.plist

    Bekommst Du kein Ergebnis ist diese entweder leer oder vermutlich in einem falschen Format.

    Also mit

    rm /var/db/dslocal/nodes/Default/groups/admin.plist

    die admin.plist l&#246;schen.

    dann die Gruppe neu erstellen:

    dseditgroup -o create -i 80 admin

    und den Eintrag von ina bzw. weiteren Kurznamen hinzuf&#252;gen

    dscl . append /groups/admin GroupMembership ina

    danach in der Konsiole einen Neustart mit

    reboot

    Hiernach m&#252;sste IMHO wieder ein Login als Admin m&#246;glich sein.

    LG

    Volker
     
  12. SeBiG

    SeBiG Member

    Hi Volker - es GIBT eine admin.plist - der Inhalt ist auch einigermaßen lang, aber ich tippe jetzt mal alles hier ein - hoffentlich Tippfehlerfrei...

    <?XML version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-/Apple/DTD PLIST 1.0/EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
    ..........<key>generateduid</key>
    ..........<array>
    ....................<STRING>ABCDEFAB-CDEF--ABCD-EFAB-CDEF00000051</string>
    ..........</array>
    ..........<key>gid</key>
    ..........<array>
    ....................<string>81</string>
    ..........</array>
    ..........<key>name</key>
    ..........<array>
    ....................<string>_appserveradm</string>
    ....................<string>appserveradm</string>
    ..........</array>
    ..........<key>passwd</key>
    ..........<array>
    ....................<string>*</string>
    ..........</array>
    ..........<key>realname</key>
    ..........<array>
    ....................<string>App Server Admins</string>
    ..........</array>
    ..........<key>smb_sid</key>
    ..........<array>
    ....................<string>S-1-5-21-181</string>
    ..........</array>
    ..........<key>users</key>
    ..........<array>
    .................... <string>ina</string>
    ..........</array

    (Die Pünktchen ".........." stehen im Text natürlich nicht drin, die habe ich nur eingefügt, weil das Macwelt-Forum keine Blanks am Zeilenanfang akzeptiert und dadurch die Strukturen verloren gehen ;-)


    Der Name "ina" ist also in der admin.plist gelistet - hinter dem letzten </array> fehlt allerdings die abschliessende Eckklammer (ich versteh' zwar nur Bahnhof, aber von der logischen Struktut der Aufbaus müsste doch jetzt eine kommen?) (oder liegt das nur an dem Root-Prompt, der dann am Ende der Zeile gleich wieder auftaucht?).

    SOLL ich diese admin.plist jetzt wirklich LÖSCHEN und neu anlegen?

    Warum zeigt die Systemverwaltung denn das Häkchen für den Benutzer nicht als gesetzt an bzw. akzeptiert die Eingabe von Benutzername + Passwort nicht für Eingriffe in Systemprozesse, wenn der Name gelistet ist. Kann das echt nur an einem fehlenden ">" liegen??

    +Grüße = SeBiG
     
  13. DominoXML

    DominoXML New Member

    Hallo SeBiG,

    wie bei z.B. HTML muß auch bei XML wenn ein so genannter Tag "aufgemacht" wird dieser wieder geschlossen werden. Dein File ist definitiv nicht vollständig sondern ab- bzw. zerhackt.

    Hier ein Beispiel wie es richtig ist:

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
    <key>generateduid</key>
    <array>
    <string>ABCDEFAB-CDEF-ABCD-EFAB-CDEF00000050</string>
    </array>
    <key>gid</key>
    <array>
    <string>80</string>
    </array>
    <key>name</key>
    <array>
    <string>admin</string>
    </array>
    <key>passwd</key>
    <array>
    <string>*</string>
    </array>
    <key>realname</key>
    <array>
    <string>Administrators</string>
    </array>
    <key>smb_sid</key>
    <array>
    <string>S-1-5-32-544</string>
    </array>
    <key>users</key>
    <array>
    <string>root</string>
    <string>Administrator</string>
    </array>
    </dict>
    </plist>


    Die Informationen stehen in den Paaren:

    <plist> </plist>
    <array> </array>
    <dict> </dict> etc.

    Ist so wie "Klammer auf" und "Klammer zu" bei mathematischen Berechnungen.

    Bei Dir fehlt also definitiv mindestens ein "Klammer zu" für </array>, </dict> und </plist>.

    Jetzt bleibt es deinem Geschmack überlassen, ob Du mit einem Editor wie pico auf der Kommandozeile das File editierst oder ob Du es löschst und wie aufgezeigt neu anlegen läßt. Defekt ist es so auf jeden Fall.

    LG

    Volker
     
  14. SeBiG

    SeBiG Member

    Domino, Du bist wieder mal mein persönlicher Held! :)

    >>> GENAU SO hat's geklappt! <<<

    Habe in dem neu angelegten Group-File die User ina + root mit dem von Dir beschriebenen Command hinzugefügt und kann jetzt unter beiden wieder "verwalten", d.h. Systemeinstellungen ändern, Programme installieren usw.

    1000x Danke! Du hast jetzt echt einen gut bei mir!!


    @ MacWelt - bitte als "how to" irgendwo featuren. ;)
     
  15. DominoXML

    DominoXML New Member

Diese Seite empfehlen