Ist es möglich, einen Benutzer mit allen Administratorrechten *außer* der Möglichkeit, einen bestimmten Prozess zu unterbrechen und auf einen bestimmten Ordner zuzugreifen, zu erstellen?

Unter Windows ist es nicht wirklich machbar. Dies ist beispielsweise unter Linux mit obligatorischer Zugriffskontrolle möglich. Sie können also einen Webfilter laufen lassen, aber der sudoer könnte ihn nicht stören (zumindest nicht ohne großen Aufwand, der das System möglicherweise funktionsunfähig macht). Gleichzeitig kann ein Sudoer praktisch alles andere modifizieren.

Welche Optionen hätte ich unter OS X, um dies zu tun?

Dieser Beitrag kann hilfreich sein: apple.stackexchange.com/questions/313373/…
Ich habe den Teil herausgeschnitten, in dem Sie nicht einmal einen Mac haben - dies macht es für Sie schwieriger zu beurteilen, welche Antwort funktioniert, und macht dies auch eher zu einer theoretischen als zu einer praktischen Frage, aber es ist eine großartige Frage und vielleicht einige Tag bekommst du macOS zum Spielen und kannst sogar noch besser antworten als wir. Es ist ziemlich weit gefasst, aber eine Übersichtsantwort könnte vielen Menschen helfen.

Antworten (1)

Ich sehe keine Möglichkeit, dies zu erreichen, ohne das Betriebssystem und die Sicherheitsmodelle neu zu schreiben.

  • Der Zugriff auf einen bestimmten Ordner wird trivial gehandhabt, wenn Sie den Inhalt eines Ordners oder einer Datei verschlüsseln und den Schlüssel zum Entsperren der Daten auf APFS nicht teilen. Da Sie den Root-Benutzer nicht daran hindern können, eine Datei oder einen Ordner zu lesen, und der Admin-Benutzer Root werden kann (das ist die Definition des Admin-Benutzers unter macOS), kann ein anderer Admin-Benutzer alles rückgängig machen, was ein Admin-Benutzer festlegen kann.
  • Die Verhinderung der Fähigkeit eines Admin-Benutzers, SIGKILL (oder andere interessante IPC-Befehle) an einen laufenden Prozess zu senden, wird technisch problematisch sein, ohne das Betriebssystem selbst zu ändern.

Das Beste, was Sie tun können, ist, sich auf Gatekeeper zu verlassen und sudoIhren Administratorbenutzer mit dieser sehr guten Frage zu verhindern:

Ich sehe keinen Fall, in dem Sie den Benutzer nicht einfach zu einem Administrator machen und einen Weg finden würden, wie er die von Ihnen gewünschten Administratoraufgaben ausführen kann, indem Sie zusätzlichen Zugriff gewähren und den Benutzern, die Sie nicht verwenden, keinen Administratorstatus gewähren nicht vertrauen.

Ist es möglich, einen Benutzer mit allen Administratorrechten *außer* der Möglichkeit, einen bestimmten Prozess zu unterbrechen und auf einen bestimmten Ordner zuzugreifen, zu erstellen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v