Hoe laat ik OSX om het beheerderswachtwoord vragen?

Naar aanleiding van het "virus" dat is opgedoken las ik het volgende advies:

“Download geen bestanden waarvan je niet 100% zeker bent wat erin zit, laat altijd om een admin-password vragen bij installatie of zorg dat je niet vanuit een admin-account werkt”

Ik werk altijd met een beheerdersaccount. De reden hiervoor is dat als ik met een gewone account werk, dat Photoshop Elements steeds een irritante foutmelding geeft. Los daarvan is het me opgevallen dat bij de installatie van een nieuw programma, er soms wel en soms niet om mijn admin wachtwoord wordt gevraagd. Hoe kan dat, en hoe kan ik ervoor zorgen dat er altijd om een ww wordt gevraagd?

Goede vraag. Het advies [quote:d595f270f2]"(...) laat altijd om een admin-password vragen bij installatie of zorg dat je niet vanuit een admin-account werkt"[/quote:d595f270f2] is eigenlijk niet helemaal correct gesteld. Je kan er eigenlijk überhaupt niet voor zorgen dat er altijd een admin password wordt gevraagd bij elke installatie.

Als gewone gebruiker (niet beheerder) heb je alleen schrijf permissies in je eigen home directory. Daar buiten kan jij, of een programma dat je runt, dus niets veranderen. Je kan als niet-beheerder dus zonder extra wachtwoord in te geven zo veel programma’s installeren als je wil in je eigen /Users/usernaam/Applications map, zolang die programma’s maar geen veranderingen nodig hebben buiten jou gebruikersmap.

Een gebruiker met een beheerdersaccount kan naast zijn eigen home directory ook zonder wachtwoord dingen veranderen in o.a. de /Applications map. Daarmee kan je dus heel veel applicaties installeren voor alle gebruikers, simpelweg door ze naar die map te slepen in de Finder. Maar als je als beheerder, of als een installer gestart door een beheerder, systeembestanden wil veranderen wordt nog steeds om een wachtwoord gevraagd. Daar zijn namelijk meer permissies voor nodig dan het lid zijn van de beheerdersgroep.

Daar komt dus het verschil tussen de manieren van installeren ook vandaan. Je zal als beheerder bij het installeren alleen om een wachtwoord worden gevraagd als de installer veranderingen wil maken in systeembestanden, dus buiten de home directories en /Applications map om.

Als je vaker om een wachtwoord wil worden gevraagd moet je dus in ieder geval je beheerdersstatus uitzetten. Maar dan krijg je blijkbaar problemen met Photoshop Elements. Ik weet niet of dat een vaker voorkomend probleem is, of dat het te maken heeft met een verkeerde permissie op jou systeem. Blijkbaar wil Photoshop Elements elke keer iets veranderen aan een file die buiten jou thuismap ligt, maar waar beheerders wel toegang tot hebben. Welke file dat dan is weet ik alleen niet. Iemand anders misschien? Het lijkt me in ieder geval een fout in Photoshop Elements. Als het bij anderen ook voorkomt kan je je misschien eens informeren bij Adobe Support.

Conclusie: Eigenlijk is het werken met een beheerdersaccount niet zo heel veel gevaarlijker dan zonder, zeker als je de enige gebruiker van je Mac bent. Zorg gewoon dat alleen gebruikers die je vertrouwt dat ze niet zonder nadenken dingen openen beheerdersstatus krijgen op je Mac.

Vroeger draaide ik een server op OpenBSD en FreeBSD. Hoe ik het altijd heb begrepen heb je als gewone gebruiker, die deel uitmaakt van de groep "wheel" niet ineens zomaar meer rechten, maar alleen het recht om gebruik te maken van het sudo commando. Als OSX wat gebaseerd is op het FreeBSD model dat hetzelfde heeft overgenomen, heb je als gebruiker met admin rechten dus niet zomaar zonder wachtwoord op te geven meer rechten als een gewone gebruiker, alleen het recht om sudo te gebruiken.

Als iemand hier er meer verstand van heeft en mij kan vertellen of ik het juist heb of niet, graag.
Zoals ik het hier soms uitgelegt zie is het net asof je meer kan met een admin account wat volgens mij niet juist is. Het enige recht wat je hebt is om sudo te gebruiken om ook daadwerkelijk bij systeembestanden te komen.

Je ziet overigens steeds meer linux distributies die hetzelfde doen, zoals ubuntu. Alles gaat daar via sudo, en niet meer als root.

MedahOSX: Ik weet het ook niet helemaal precies, dus ik sta ook open voor correctie en aanvulling. Maar wat jij zegt komt niet helemaal overeen met mijn ervaringen in OS X.

Als gebruiker maak je volgens mij nooit onderdeel uit van de groep wheel. Wheel is voor systeembestanden. Er is in OS X wel ook een groep admin. Volgens mij is het enige dat gebeurd als je die Administrator check-box aanvinkt in de User Preferences dat je lid wordt gemaakt van die groep. En de groep admin heeft inderdaad sudo rechten.

Bovendien hebben bepaalde mappen en bestanden, waaronder de /Applications map en de inhoud daarvan, groepsschrijfrechten voor de groep admin. Daarom hoef je als lid van admin geen wachtwoord in te typen als je daar iets wil veranderen, en als gewone gebruiker wel.

Als je recht hebt om gebruik te maken van sudo heb je trouwens volgens mij in principe dezelfde rechten als de root. Het is alleen een mechanisme dat je slechts tijdelijk die rechten geeft, en waarmee die rechten te beperken zijn tot bepaalde commando’s. Dat maakt de kans op fatale vergissingen wat kleiner.

Bedankt voor de duidelijke uitleg. Ik weet de exacte foutmelding van Photoshop Elements niet meer. Alleen dat ik vroeger niet als beheerder werkte, en uit frustratie toch weer als beheerder ging werken vanwege die foutmelding.

Wat is trouwens sudo?

sudo is een UNIX programma dat je kan gebruiken om bepaalde gebruikers tijdelijk toegang te geven tot meer rechten op het systeem.

De naam komt van su, wat op UNIX een commando is om in te loggen als de root of superuser (een speciale ‘almachtige’ gebruiker die onbeperkte toegang heeft tot het hele systeem). Het commando su is gevaarlijk als mensen op een UNIX systeem vergeten dat ze als superuser bezig zijn. Een commando dat als normale gebruiker kleine gevolgen heeft kan als superuser het systeem platleggen.

Door sudo is het eigenlijk niet meer nodig om su te gebruiken. Als je iets aan het systeem wil veranderen dan type je “sudo [i:0cedcbde26]commando[/i:0cedcbde26]”. Dat kan je lezen als “superuser do [i:0cedcbde26]commando[/i:0cedcbde26]”. , Vervolgens moet je een wachtwoord intypen en wordt gecontroleerd of je inderdaad even superuser mag zijn. Per commando moet je dus aangeven dat je iets als superuser wil doen, in plaats van dat je als superuser bent ingelogd en je onbeperkt je gang kan gaan.

Mac OS X gebruikt de functionaliteit van sudo ook achter de schermen. Als er om een beheerderswachtwoord wordt gevraagd, bijvoorbeeld bij een installatie, of bij het veranderen van bepaalde systeem preferences, dan wordt de gebruiker daarna via sudo tijdelijk even superuser.

[quote:5b3151b1be]Als gebruiker maak je volgens mij nooit onderdeel uit van de groep wheel. Wheel is voor systeembestanden. Er is in OS X wel ook een groep admin. Volgens mij is het enige dat gebeurd als je die Administrator check-box aanvinkt in de User Preferences dat je lid wordt gemaakt van die groep. En de groep admin heeft inderdaad sudo rechten.[/quote:5b3151b1be]

Ja, ik bedoelde hetzelfde, alleen zei ik het wat anders :wink:
Thanx voor de aanvulling Buzz_D

De mededeling in Photoshop Elements luidt: "Could not complete your request because the file is locked. Use the 'Get Info' command in the Finder to unlock this file". Deze krijg je zo ongeveer elke minuut, waarna je weer op OK moet klikken om verder te kunnen. Alleenin de beheerdersaccount heb je er geen last van. Dit is voor het eerst dat ik van iemand anders hoor dat hij hetzelfde probleem heeft.

Fantastisch: Google en de Adobe Knowledge Base!

http://www.adobe.com/support/techdocs/325856.html

Laat maar weten of het helpt.

Bedankt Buzz-D, het lijkt inderdaad te helpen. De permissions stonden al goed, maar " Pas toe op ingesloten onderdelen" blijkbaar nog niet.