Една от най-често препоръчваните практики за безопасно изчисляване е да се изпълняват ежедневните ви дейности в стандартен потребителски акаунт и да се резервират административни сметки само за инсталиране на приложения, настройка на системните настройки и друго преконфигуриране на системата. Тази настройка помага за предотвратяване на злополуки, извършени в стандартен акаунт, засягащи глобалните системни ресурси. Например, атака или грешка в злонамерен софтуер в приложението ще имат по-лесен достъп до папката "Приложения", глобалните папки на библиотеката и други ресурси, отворени за администраторски профили. Следователно, като използвате акаунт със стандартни разрешения, ще помогнете за предотвратяване на проблеми или опасности от повлияване на системните ресурси без изричното ви разрешение.
Някои хора могат да имат резерви относно използването на по-рестриктивни стандартни сметки, поради страх да не са в състояние да направят промени в системата, когато е необходимо; при OS X това не би трябвало да е проблем. В повечето случаи, ако дадена задача изисква административни привилегии, системата ще поиска подходящи идентификационни данни, дори когато тези задачи се извикват от стандартен акаунт. Затова можете да продължите да работите в стандартния си профил, за да предотвратите автоматичните промени в системните настройки и ресурси и след това да бъдете подготвени за удостоверяване, когато е необходимо.
Това е лесно да се направи, когато за първи път настроите системата си, където можете да използвате помощника за настройка, за да създадете профила по подразбиране за администратор, последван от задаване на стандартни потребителски акаунти за всеки, който използва системата. Ако обаче сте работили в администраторски профил, създаването и мигрирането към нов стандартен профил ще бъде малко натоварване, тъй като ще трябва да преконфигурирате всичките си настройки, програми и онлайн услуги в допълнение към мигрирането на данните си новата система.
Въпреки това, вместо да се тревожите да мигрирате към нов профил, можете да превключите текущата си сметка от администратора към стандартен профил и по този начин да наложите същите ограничения върху нея. За да направите това, първо трябва да създадете новия администраторски акаунт в системните предпочитания „Акаунти“ (или „Потребители и групи“) и след това да излезете от текущия си профил и да влезете в новия администраторски акаунт. След като влезете в новия профил, върнете се към системните предпочитания на профилите, изберете стария администраторски акаунт и след това махнете отметката от опцията „Разреши на потребителя да администрира този компютър“, за да го понижи.
В някои редки случаи хората могат да открият, че всички акаунти в системата са стандартни, без да има достъпна администраторска опция. Тези ситуации обикновено се случват поради грешки по време на миграция или възстановяване на системата, а поради липсата на администраторски акаунт ще изисква специално внимание за пресъздаването му.
Има няколко подхода, които можете да предприемете, ако във вашата система липсва администраторски акаунт. Първият е да се използва създаването на нов администраторски акаунт, използвайки терминала в режим на единичен потребител. Режимът Single User (Единичен потребител) ще заобикаля акаунтите в системата и ще зареди системата в среда само на терминал с root права. Това позволява пълен достъп до системата чрез командния ред и ще ви позволи да промените системната директория и да създадете нов администраторски акаунт.
За да направите това, първо рестартирайте системата, като едновременно държите клавишите Command и S, докато не видите командния ред, след което изпълнете следната команда, за да позволите записването в зареждащия диск (това е изключено по подразбиране за целите на сигурността):
планина -uw /
Когато изпълните тази команда, следвайте тази процедура, за да създадете нов администраторски акаунт:
- Проверете за наличие на администраторска група със следната команда:
dscl. -read / Групи / администратор GroupMembership
- Ако администраторската група не съществува, тогава ще получите DS Error като изход, който твърди, че част не е намерена. В този случай ще трябва да създадете администраторска група, като изпълните следните команди; ако обаче съществува, преминете към стъпка 3 по-долу:
dscl. -create / Groups / Администратор
dscl. -create / Groups / Администратори на RealName
dscl. -create / Групи / администратор PrimaryGroupID 80
dscl. -create / Групи / администратор Парола \ t
dscl. -create / Групи / администратор Корените на GroupMembership
Тези команди ще създадат групата, последвана от съответното пълно име и след това ще зададат идентификатора на групата, който се използва от администраторската група в OS X. Този номер се присвоява на всички ресурси, до които групата има достъп, и присвояването му на новосъздадената администраторска група ще го направи истинска администраторска група, тъй като всеки член ще има достъп до тези ресурси. Накрая даваме на групата празна парола, така че тя ще изисква използването на паролите на членовете за работа (изисква удостоверяване) и след това ще присвои кореновия акаунт на групата.
- Задайте потребителски акаунт на администраторската група, като изпълните следната команда. В тази команда заменете USERNAME с краткото име на профила, който искате да бъде администратор. Това може да е всеки акаунт за сега:
dscl. -create / Groups / admin GroupMembership USERNAME
Тази процедура изисква да въведете голям брой команди, и тъй като грешките в Terminal команди могат да доведат до нежелани или объркващи резултати, можете алтернативно да използвате OS X помощник за настройка за пресъздаване на администраторския акаунт. За да направите това, след стартиране в режим на единичен потребител и задаване на файловата система за достъп за запис (вж. По-горе), изпълнете следната команда:
rm /var/db/.AppleSetupDone
Това ще премахне невидим файл в системата, който показва, че помощникът за настройка вече е стартиран. Следователно, като премахнете този файл и рестартирате, ще извикате помощника за настройка и ще ви даде възможност системата да ви изпълни стъпките за създаване на нов администраторски акаунт, използвайки удобен за потребителя интерфейс.
Оставете Коментар