Identifizieren, welcher Administrator die Berechtigungen eines anderen Administrators geändert hat

Haben Sie ein kleines Problem mit Menschen und ein Benutzer, der Admin hat, hat die Privilegien eines anderen von Admin auf Standard geändert. Dies ist eine universitäre Einrichtung, aber die Studentenvereinigung, nicht das Netzwerk der Universität; Ich bin der Elternteil des Benutzers, der (vorübergehend) degradiert wurde; etwas Erfahrung als Benutzer, aber kein Administrator mit Linux- und Apple-Systemen (sowie Windows) ...

Der Root-Benutzer hat dies nicht getan und die Berechtigungen wurden wiederhergestellt. Der aktuelle Root-Benutzer ist jedoch nicht als Systemadministrator erfahren. Bewahrt OS X Protokolldateien auf, die zeigen, wer diese Änderung vorgenommen hat? Angenommen, welche Protokolldatei(en) müssten untersucht werden, um diese Informationen zu erhalten (ich nehme an, man muss sich die asl-Protokolle über die Konsole ansehen - aber welche Protokolle?). Ich habe keinen Zugriff auf das System und muss es beschreiben dies für diejenigen, die es tun werden ...

Jede Hilfe wäre willkommen.

Wie viele Administratoren haben Sie auf diesem Mac?
Wurde nicht gesagt - vermutlich allen Mitgliedern des Vorstandes des Studentenwerks - das wären etwa 10 ...
Ich habe dich falsch verstanden, normalerweise würde man unter Benutzer & Gruppen nachsehen, wer Admin-Zugriff hat.
Es stellt sich heraus, dass nur 4 Administratoren haben - ja, was benötigt wird, ist zu zeigen, wer die Berechtigungen geändert hat ... Ich habe keinen Zugriff auf die Maschine (in ihren Verbandsbüros)
Also - asl- und Systemprotokolle sind bei mir - leider sieht es so aus, als wären relevante asl-Protokolle verschoben worden, da das Ereignis etwa Anfang dieses Monats stattfand - aber sehen Sie einige interessante Dinge aus dem ältesten Systemprotokollarchiv - Aktivität, die das Konto der betroffenen Person betrifft zu einem Zeitpunkt, an dem er nicht anwesend und nicht eingeloggt war, und klare Hinweise auf einen anderen, der zu diesem Zeitpunkt eingeloggt ist (diese Person soll sich im Rahmen des Möglichen immer eingeloggt halten) ... und er war davor und aktiv nach...

Antworten (1)

Möglicherweise können Sie auch einige Informationen aus den BSM-Überwachungsprotokollen entnehmen. Die Protokolldateien befinden sich in /var/audit und werden mit praudit(8) angezeigt. Ich kenne das Format des Audit-Datensatzes zum Ändern eines Kontos nicht, aber es sollte einige Hinweise geben. Sie können den Datumsbereich überprüfen und nach Berechtigungseskalationen suchen. Der Textabschnitt enthält möglicherweise Erwähnungen des Knotens „/Local/Default“.

Identifizieren, welcher Administrator die Berechtigungen eines anderen Administrators geändert hat
AntwortenHierDatenschutz-Bestimmungen1y, 0v