Ich habe FileVault mit zwei Benutzern aktiviert:
Ich möchte, dass AdminGuy:
Mit anderen Worten: Kann AdminGuy das Laufwerk einfach entsperren, aber dann einen Anmeldebildschirm öffnen, damit OtherGuy sich stattdessen anmelden kann?
10.8.
Per @ DeepanshuUtkarshs Link ist dies das Verhalten, das ich ändern möchte:
Das Benutzerkonto, das das Laufwerk entsperrt hat, wird nach Abschluss des Startvorgangs bei seinem eigenen Konto angemeldet, ohne dass eine erneute Anmeldung erforderlich ist.
Wenn Sie den Mac einem Benutzer ohne Entsperrfunktionen zur Verfügung stellen möchten, melden Sie sich an und wählen Sie dann, wenn Sie Ihren eigenen Desktop sehen, „Abmelden (Benutzername)“ aus dem Apple-Menü (). Sie können auch die Festplatte entsperren und dann den Namen des anderen Benutzers aus dem Menüleistenelement „Schneller Benutzerwechsel“ (erscheint als Name des aktuell angemeldeten Benutzers) oben rechts auf dem Bildschirm auswählen.
Zwei Tage nachdem ich diese Antwort hinzugefügt hatte, veröffentlichte Apple ein technisches Whitepaper: Best Practices for Deploying FileVault 2 – Deploying OS X Full Disk Encryption Technology (PDF). Auf einen Blick scheint einiges von dem, was ich unten beschreibe, von Apple wie folgt beschrieben zu werden:
Verwenden Sie in Schritt 4 oben eine Methode, die den Apple_Boot-Slice (manchmal als Boot OS X, manchmal als Recovery HD bezeichnet) beibehält, während das JHFS+-Startvolume wiederhergestellt wird.
Um diese Antwort zu validieren, habe ich für diesen Schritt das Festplatten-Dienstprogramm verwendet. (Ich bin mit den Wiederherstellungsfunktionen von Time Machine weniger vertraut.)
Die resultierende EfiLoginUI:
Da Disk Password einen Avatar/ein Symbol hat, ist es klar, dass Apple solche Szenarien in Erwägung zieht.
Benutzer können ihre Login-Passwörter ändern. Der Ausdruck für das Festplattenkennwort bleibt unverändert.
Sie müssen die FileVault-Bereiche der Systemeinstellungen nicht verwenden, aber wenn Sie dies tun, funktionieren die meisten Dinge wie erwartet.
Die oben abgebildete Maschine ist perfekt sauber und wurde aus einer Mountain Lion-Vorlage wiederhergestellt , die ich nach der Installation des Betriebssystems erstellt habe (auf dem Begrüßungsbildschirm habe ich heruntergefahren und dann das Festplatten-Dienstprogramm verwendet, um ein Image aller Partitionen/Slices der Festplatte zu erstellen). Ich habe einen Benutzer erstellt und diesen Benutzer dann für FileVault aktiviert:
Die resultierende EfiLoginUI – ein benannter Benutzer neben der Option Disk Password:
Die Systemeinstellungen in Build 12A269 von OS X 10.8 können angeben, dass FileVault mit einem Wiederherstellungsschlüsselsatz aktiviert ist , wenn der Schlüssel nicht mehr gültig ist . (Gehen Sie davon aus, dass ein gelöschtes Volume mit einer möglicherweise anderen Passphrase keinen Wiederherstellungsschlüssel akzeptiert, der vor dem Löschen festgelegt wurde. Eine eindeutigere Meinung kann aus Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption (2012) gezogen werden. ) Ich habe Fehler an Apple gemeldet.
Die obigen Fotos zeigen das USB-Flash-Laufwerk, mit dem ich diese Antwort validiert habe.
Die Fotos unten zeigen das interne Laufwerk, das ich jeden Tag verwende.
EfiLoginUI – zwei benannte Benutzer, die für FileVault aktiviert sind, die Option „Festplattenkennwort“ und der Gastbenutzer:
Anmeldefenster – alle benannten Benutzer:
Wenn Sie FileVault aktivieren, können Sie auswählen, welche Konten berechtigt sind, das Laufwerk zu entsperren. Von dort aus können Sie das AdminGuy-Konto als das einzige autorisierte Konto auswählen. Was die automatische Anmeldung betrifft, so wird die automatische Anmeldung nach dem Einschalten von FileVault deaktiviert.
Sie müssen FileVault also nur normal aktivieren und erhalten Ihre Antworten durch den Prozess.
Bevor Sie das Betriebssystem neu installieren, verwenden Sie Diskutility, um die Partition zu erstellen, auf der Sie das Betriebssystem installieren möchten, stellen Sie sicher, dass Sie die Partition verschlüsselt erstellen und dass die Passphrase die gewünschte ist. Nachdem:
Installieren Sie das Betriebssystem auf der verschlüsselten Partition.
Erstellen Sie das erste Konto "das Administratorkonto".
Fügen Sie normale oder Admin-Benutzer hinzu.
Verwenden Sie das Terminal, um den Admin-Benutzer und die anderen für das Konto aktivierten Benutzer zu entfernen. (sollte so aussehen):sudo fdesetup remove -user "username"
Starten Sie neu, um sicherzustellen, dass beim Hochfahren nur die DEK Disk Password-Anmeldung verfügbar ist.
Systemeinstellungen > Benutzer & Gruppen > Anmeldeoptionen > Automatische Anmeldung: Aus
Philipp
Philipp
Graham Perrin
Philipp
Philipp