Die Benutzerverwaltung unter macOS

macOS ist ein Mehrbenutzerbetriebssystem. Verschiedene Benutzer können sich so den gleichen Mac teilen. Dabei werden alle persönlichen Daten komplett voneinander getrennt verwaltet.

Um die technische Berechtigungsvergabe - wer darf was - zu vereinfachen, gibt es für die Zuordnung unterschiedliche Berechtigungsgruppen (z.B. die Administrator- und Standard-Gruppe). Wer als Benutzer einer bestimmten Gruppe zugehört, erhält somit Berechtigungen die der Gruppe zugeordnet sind.

Für den normalen täglichen Gebrauch sollte ein Benutzer angelegt werden, der zur Gruppe Standard gehört - in diesem Fall mit weniger Systemberechtigungen. Werden erweiterte Berechtigungen benötigt, in den meisten Fällen für die Installation oder das Löschen einer Software bzw. der allgemeinen Administration, wird einfach ein anderer Benutzer aus der Gruppe der Administratoren im Dialog abgefragt. Ein Ab- und wieder Anmelden ist nicht notwendig.

Hinweis: Die Trennung zwischen Standard-Benutzer und Administrator ist ein Sicherheitsaspekt. Und hilft bei der Erkennung von systemspezifischen Zugriffsversuchen, die evtl. nicht vom Benutzer selbst angestoßen wurden. Erfolgt der Versuch einer Systemänderungen, werden Sie als Standardbenutzer in Form einer Abfrage nach der Legitimation eines Administrators gefragt. Somit sind solche Zugriffsversuche sichtbar.

In Summe betrachtet, sollten als Mindestanforderung immer zwei Benutzer vorliegen. Einen für die Administration und einen für die tägliche Arbeit.

Einen Benutzer anlegen oder löschen

Für die Benutzerverwaltung ist die Rubrik Benutzer:innen & Gruppen in den Systemeinstellungen zuständig.

Zum Anlegen eines neuen Benutzers wird hierzu einfach auf den Schalter Benutzer:in hinzufügen gedrückt. Sollte dies nicht zulässig sein, wird im Dialog mit Hilfe eines Benutzernamens und Kennwortes eines Administrators die Freigabe erteilt.

Für den weiteren Dialog erscheint ein Fenster mit Stammdatenabfragen.

Dazu gehören:

• Neue:r Benutzer:in: Hiermit wird die Gruppe (Standard oder Administrator) vorgegeben.
• Vollständiger Name: Der "kosmetische" Name, in der Regel Vor- und Nachname.
• Accountname: Das ist der "technische" Benutzername, der auf Betriebssystemebene genutzt wird. Er wird automatisch aus dem vollständigen Namen abgeleitet. Darf aber überschrieben werden, dann sind allerdings Leer- und Sonder-Zeichen tabu.
• Passwort und Passwortbestätigung: Ein Kennwort zur Absicherung des neuen Benutzers.
• Passwort-Merkhilfe: Ein Knoten im Tuch als Erinnerungshilfe.

Mit dem Schalter Benutzer:in erstellen wird dann der Vorgang abgeschlossen.

Das entfernen eines Benutzers erfolgt über den Schalter mit dem "i" auf der rechten Seite zum Benutzer in der Liste. Denn dort wird der Schalter Benutzer:in löschen angeboten.

Die Übergabe vom Administrator zum Standard-Benutzer ohne Hindernisse

Wesentlich interessanter wird es, wenn man den Sicherheitsaspekt, also die Trennung zwischen Standard-Benutzer und Administrator berücksichtigen möchte, aber schon seit Kauf eines Macintosh-Rechners immer als "Administrator" unterwegs war. Die Frage liegt vor, wie ein Umzug von statten gehen kann?

Denn während der ersten Startphase von macOS (nach einem Neukauf oder einer Neuinstallation des Betriebssystems), wird das Anlegen des ersten lokalen Benutzers abgefragt. Dieser Benutzer gehört automatisch in die Gruppe der Administratoren und verfügt somit über erweiterte Systemrechte, was auch für den Betrieb absolut notwendig ist - es muss immer einen Administrator geben. Aus verschiedenen Gründen verbleibt diese Situation, bis die persönliche Sicherheitswahrnehmung geschärft wird.

Um einen Benutzer ohne große Aufwände aus der Gruppe der Administratoren in die Gruppe der Standard-Benutzer zu überführen, müssen folgende Schritte berücksichtigt werden:

1. Damit der bisherige Administrator zum Standard-Benutzer umgewandelt werden kann, ist es notwendig einen neuen Benutzer mit den gleichen Privilegien zu erstellen. Gehen Sie dazu in die Benutzer:innen & Gruppen Verwaltung der Systemeinstellung und legen einen neuen Benutzer an. Achten Sie darauf, dass die Gruppe (Neue:r Benutzer:in) auf Admin eingestellt ist und der Name als Beispiel mit Systemverwalter vergeben wird. Ein sicheres Kennwort rundet diesen Vorgang ab.

   Hinweis: Vergeben Sie als Accountname den Namen admin. So sparen sie sich Tipparbeit, wenn bei jedem Systemeingriff die entsprechende Legitimation eingeholt wird. Denn beide Angaben, sowohl der vollständige Name als auch der technische Accountname sind gültig.

2. Melden Sie sich ab und steigen gleich mit dem neuen Benutzer Systemverwalter wieder ein. Hintergrund ist, dass zum Zeitpunkt der Anmeldung eigene Änderungen als Administrator hinsichtlich der eigenen Gruppenzugehörigkeit nicht erlaubt sind. Und nur ein Administrator bestehende Administratoren bearbeiten darf.

3. Springen Sie bitte erneut in die Benutzer:innen & Gruppen Verwaltung, wählen den bisherigen Benutzer aus und klicken auf das kleine "i" am rechten Rand zum Eintrag. Im Folgedialog befindet sich, neben der Angabe des Benutzernamens und die Möglichkeit der Änderung des Kennwortes, eine Einstellung mit dem Namen:

   Benutzer:in darf diesen Computer verwalten

   Mit der Deaktivierung dieser Einstellung erfolgt ein Gruppenwechsel in die Standardgruppe. Der bisherige Benutzer ist somit ein Standard-Benutzer geworden, ohne das umständlich Daten per externen Datenträger kopiert werden müssen. Starten Sie den Mac neu und melden sich ganz normal wieder an.

Der neue Systemverwalter wird ausschließlich für administrative Tätigkeiten herangezogen. Für die tägliche Arbeit wird weiterhin der bestehende Benutzer, jetzt als Standard-Benutzer, eingesetzt. Das folgende Bild veranschaulicht die neue Situation. Der bisherige Administrator (Bademeister) ist nun Mitglied der Standard-Gruppe und wird weiterhin genutzt. Der "Systemverwalter" ist der neue Administrator.

Jeder neue Benutzer wird dann ebenfalls in die Gruppe der Standard-Benutzer gelegt. Aus Vertretungssicht kann darüber überlegt werden, einen zweiten "Administrator" zu berücksichtigen.