Mac os запускается от имени администратора

Обновлено: 21.11.2024

Привилегии для macOS предназначены для того, чтобы пользователи могли работать как обычные пользователи для повседневного использования, предоставляя быстрый и простой способ получить права администратора, когда это необходимо. Если вам нужны права администратора, вы можете получить их, нажав на значок "Привилегии" в Dock.

Мы считаем, что все пользователи, включая всех разработчиков, могут извлечь выгоду из использования привилегий. Работа в качестве обычного пользователя вместо администратора добавляет еще один уровень безопасности вашему Mac и считается передовой практикой безопасности. Права доступа позволяют пользователям выступать в качестве администраторов системы только при необходимости.

Privileges поддерживает следующие версии macOS:

  • macOS 12.x
  • macOS 11.x
  • macOS 10.15.x
  • macOS 10.14.x
  • macOS 10.13.x
  • macOS 10.12.x

🚀 Идеально подходит для повседневного использования

⏰ Включите права администратора в любое время

🔐 Наслаждайтесь стандартной пользовательской безопасностью

⌛ Доступна опция ограничения времени

🔥 Поддерживается использование командной строки

🙅 ИТ-отдел не нужен

💻 Для macOS 10.12.x и новее

Начиная с привилегий 1.5.0, можно управлять настройками привилегий или инструмента командной строки PrivilegesCLI с помощью профиля конфигурации macOS. Чтобы узнать больше, нажмите здесь.

Мы рады поделиться с вами статьей о привилегиях от 9to5Mac:

Посмотрите, как легко Privileges может предоставить вам права администратора в любое время, когда вам нужно больше контроля над вашим Mac.

Документация по привилегиям доступна на вики или по ссылкам ниже:

ПОДКОМПОНЕНТЫ

Этот проект ссылается на следующий пример кода Apple EvenBetterAuthorizationSample, на который распространяются отдельные условия лицензии. Ни один из файлов не был включен непосредственно в приложение Privileges. Вместо этого они использовались в качестве справочного руководства и руководства по передовой практике.

Использование вами кода, включенного в этот проект, регулируется отдельными условиями лицензии, применимыми к образцу лицензионного кода Apple.

  • Компонент: Common.h
  • Компонент: Common.m
  • Компонент: HelperTool.h
  • Компонент: HelperTool.m

Подробнее см. в файле лицензии. Образец кода Apple EvenBetterAuthorizationSample также доступен для ознакомления в каталоге reference_source.

Обнаружили проблему или уязвимость, связанную с безопасностью, и хотите сообщить нам об этом?

Этот проект существует «как есть», без поддержки и изменений. Вы можете внести изменения, чтобы улучшить его, но мы не доступны для вопросов или поддержки любого рода.

О нас

Для пользователей Mac в корпоративной среде это приложение дает пользователю контроль над администрированием их компьютера, повышая их уровень доступа до привилегий администратора в macOS. Пользователи могут установить временные рамки с помощью настроек для выполнения определенных задач, таких как установка или удаление приложения.

Я запускаю свою систему macOS как пользователь с ограниченными правами (у меня есть учетные данные администратора для выполнения задач администратора).

В основном это работает нормально, но кажется, что многие приложения, а иногда и сама Apple, ожидают, что большинство пользователей будут запускать свои системы в качестве администраторов.

Проблема

Во всяком случае, у меня была установлена ​​программа (Disk Drill), которая работала нормально, а затем предложила установить обновление. Я установил обновление, и теперь, когда я запускаю программу, я получаю окно с ошибкой, что Disk Drill может быть запущен только администраторами, а затем приложение закрывается.

Если я запускаю окно терминала, переключаюсь на пользователя с правами администратора и запускаю приложение из терминала, оно запускается нормально.

Вопрос

Как заставить это приложение работать от имени администратора?

Попытки решения

Я попытался изменить владельца папки .app и .app/Contents на пользователя с правами администратора, но это не имело никакого значения.

Это окно с ошибкой не похоже на сообщение macOS, я подозреваю, что оно исходит от самой программы. Я предполагаю, что разработчик изменил его в обновлении, чтобы отображать это сообщение, если пользователь не является администратором, возможно, потому, что это было проще, чем правильно исправить ошибку или решить проблемы с поддержкой. К сожалению, это будет означать, что вы ничего не сможете сделать, кроме как (возможно) перейти на предыдущую версию приложения.

Какая версия Disk Drill? Кажется, что эта ошибка может потребовать некоторой настройки, поскольку запуск от имени администратора — это функция Windows, а не то, что нужно Finder или даже есть. Престижность за работу в качестве обычного пользователя. Это отличная практика, когда вы не доверяете некоторым приложениям.

Я использую последнюю версию, доступную на их главной странице (это та же самая версия, которая была автоматически загружена моей установленной версией). Я также связался с их поддержкой в ​​чате и получил бета-версию, которая демонстрирует такое же поведение. Итак, из ответов и комментариев здесь я узнал, что это, скорее всего, проблема с приложением, а не с macOS.

Внесенное мной редактирование не является "решением" вопроса, который я задал: "Как запустить установленное приложение от имени администратора?" На этот вопрос лучше всего отвечает или решается ответ, который я отметил как лучший ниже: а именно, что вопрос на самом деле не имеет отношения к парадигме безопасности macOS, как в Windows. Мое редактирование больше касается конкретного статуса конкретной программы, что вызвало более общий вопрос, который является фактической темой этого поста. Я ошибочно думал, что моя конкретная проблема является частью общей проблемы. Мое редактирование не является решением или ответом на вопрос.

3 ответа 3

В macOS приложение Finder автоматически запускает процесс запуска, разрешенный администратором. Вам действительно не нужно ничего делать, чтобы работать от имени администратора, поскольку все приложения запускаются от имени администратора, если они запрограммированы на это. Что macOS делает иначе, чем Windows, так это детали песочницы и некоторые файлы, которые являются неизменяемыми/только для чтения/защищенными.

Ближайшим аналогом может быть добавление приложения diskdrill в Full Disk Access, но перед добавлением я бы проконсультировался с поставщиком и примечаниями к выпуску, если вы не уверены, что оно работает правильно или у вас есть резервная копия.

Это сообщение некорректно для macOS, и раньше его не было в OS X.

Спасибо за объяснение приложений и аутентификации администратора в macOS. Имеет смысл. У Disk Drill есть полный доступ к диску, но он не определяет его должным образом (даже когда я запускаю его как администратор с терминала). Кажется, это отдельная проблема.

Бу, я никогда не тестировал Disk Drill, но знаю, что это очень полезно для многих людей. Надеюсь, кто-то более знакомый может помочь - +1 на ваш вопрос - извините, что не проголосовал за него раньше. Я тоже надеюсь извлечь из этого урок @Daniel

На самом деле это проблема Disk Drill. Я предположил, что с обновлением что-то пошло не так, и я мог бы исправить это сам из macOS, но, похоже, это будет то, что разработчикам Disk Drill придется исправлять внутри. Все работало нормально в старой версии Disk Drill, которую я использовал, но я не уверен, что старая версия полностью совместима с Catalina (я давно не использовал Disk Drill).

Обновление: я получил ответ от службы технической поддержки Disk Drill: "Из соображений безопасности разработчикам пришлось изменить способ работы Disk Drill, теперь вам нужно использовать его под учетной записью администратора. Если вы не можете, мы можем предложите несколько обходных путей:" (S)он затем предлагает мне использовать sudo для запуска Disk Drill из терминала (это частично работает) или запускать программу в "портативном" режиме. Есть ли какая-либо техническая или архитектурная причина, по которой программа восстановления данных, подобная этой, не может законно работать под стандартной учетной записью пользователя, или мне следует надавить на них, чтобы решить эту проблему?

Каждый разработчик приложений должен сам выбирать, как ему программировать, поэтому существуют очень хорошие изолированные приложения. Посмотрите на Daisy Disk — если вы хотите увидеть приложение, которое соблюдает все права песочницы ОС, измеряет все, что может, как обычный пользователь, и имеет удобный привилегированный помощник, который вы можете запустить от имени пользователя root (один раз), а затем от обычного пользователя. можно запустить без рута/админа @Daniel

Более общий и полезный ответ здесь дан в выбранном ответе, и он заключается в том, что если программа в macOS жалуется на невозможность запуска в качестве обычного пользователя, это либо преднамеренное дизайнерское решение, либо, скорее всего, ленивый или неправильный код, который не соответствует парадигме безопасности macOS.

В любом случае вы вероятно найдете решение не в самой ОС, а, скорее, напрямую связавшись с разработчиком и попросив его «исправить» свой код.

Если вы ищете более конкретный ответ о том, что произошло с моей проблемой Disk Drill, читайте дальше:

Последние обновления

Я забыл обновить эту ветку, поэтому приведу здесь сводку. Disk Drill действительно пытался предложить мне обходные пути, но я не получил твердого подтверждения планов по фактическому устранению этой проблемы. После еще пары писем, в которых я объяснял это:

  1. Раньше Disk Drill работал нормально под учетной записью обычного пользователя,
  2. Нет технической причины, по которой Disk Drill не сможет работать от обычного пользователя в MacOS (благодаря объяснениям, приведенным здесь в выбранном ответе), и
  3. Запуск системы от имени обычного пользователя – это распространенный и довольно рутинный метод обеспечения безопасности.

Думаю, мои электронные письма наконец-то были перенаправлены нужному человеку, потому что по состоянию на 9 ноября 2020 г. мне сказали, что разработчики "исправят проблему в следующем обновлении".

Удовлетворенный этим ответом, я как бы забыл о проблеме, потому что в тот момент Disk Drill мне был не нужен. Что ж, сегодня (28 января 2021 г.) я решил загрузить последнюю версию Disk Drill с их веб-сайта, и я рад сообщить, что она отлично работает под управлением обычного пользователя в MacOS Big Sur (11.1).< /p>

Вы можете открыть любое приложение Mac с правами суперпользователя, если у вас есть пароль администратора. Как всегда, не используйте root-доступ, если вы не знаете, что делаете, так как вы можете нанести серьезный ущерб приложению или себе.

Из учетной записи администратора

Знайте риски. Большинство графических приложений не предназначены для корневого доступа. Ограничьтесь конкретными задачами, которые вы хорошо понимаете, иначе вы можете столкнуться с недоступными файлами, сбоями приложений или уязвимостями безопасности. [1]

  1. У этой учетной записи администратора должен быть непустой пароль, иначе Терминал не позволит вам получить доступ к привилегиям root. [2]

  1. Введите sudo "путь к файлу с жесткого диска к приложению.app/Contents/MacOS/имя приложения".
    Например, чтобы открыть iTunes, введите sudo "/Applications/iTunes.app/Contents/MacOS/iTunes" и нажмите ⏎ Return .
  2. Введите пароль для учетной записи администратора, в которую вы сейчас вошли. Нажмите ⏎ Возврат .
  3. Если команда работает, приложение должно открыться с привилегиями root. Если Терминал говорит "команда не найдена", перейдите к следующему шагу.

Откройте содержимое пакета приложения. Если быстрый способ не сработал, найдите приложение в Finder. Щелкните правой кнопкой мыши (или щелкните, удерживая клавишу Control) его значок и выберите в раскрывающемся меню пункт Показать содержимое пакета.

  1. Исполняемый файл часто имеет то же имя, что и приложение, но может иметь и другое имя, например "run.sh".
  2. Значок исполняемого файла обычно представляет собой черный квадрат со словом "exec" маленькими буквами.

Перетащите исполняемый файл в строку терминала. Это должно автоматически вставить путь к исполняемому файлу.

Подтвердите команду своим паролем. Нажмите ⏎ Вернуться. Введите пароль для учетной записи администратора, в которую вы вошли, и снова нажмите ⏎ Return. Приложение должно запускаться с привилегиями root.

Из учетной записи без прав администратора

Откройте Терминал в учетной записи без прав администратора. Многие системные администраторы предпочитают работать под учетной записью обычного пользователя, чтобы ограничить возможный ущерб от ошибок или атак вредоносных программ. [4] Этот метод по-прежнему требует пароля администратора, но позволяет вам получить временный root-доступ без необходимости переключения пользователей. Чтобы начать работу, откройте окно терминала.

  1. Дефис в команде необязателен, но рекомендуется. Он устанавливает переменные среды и каталог для пользователя с правами администратора, что ограничивает вероятность случайного повреждения. [5]

Откройте приложение с помощью sudo.Типичное использование: sudo "путь к файлу с жесткого диска к приложению.app/Contents/MacOS/имя приложения" . Если это не работает или вам нужны дополнительные указания, обратитесь к приведенным выше инструкциям для администратора.

Вернитесь к своей учетной записи. После того, как вы выполнили все задачи, требующие привилегий root, введите exit в Терминале. При этом вы выйдете из режима администратора и вернетесь к своей обычной учетной записи.

Многие задачи в macOS требуют, чтобы пользователь был администратором, чтобы иметь возможность выполнять свою работу, особенно когда речь идет о разработчиках. Но нужно ли им быть администратором круглосуточно и без выходных?

В течение многих лет мы блокировали права администраторов для наших пользователей на устройствах Windows, и на то была веская причина. Для macOS это другая история. Многие задачи в macOS требуют, чтобы пользователь был администратором, чтобы иметь возможность выполнять свою работу, особенно когда речь идет о разработчиках. Но нужно ли им быть администратором круглосуточно и без выходных?

Сегодня мы рассмотрим регистрацию наших пользователей Mac в качестве обычных пользователей, но при этом предоставим им возможность повышать свои привилегии при необходимости.

Для этого мы рассмотрим, как развернуть приложение Privileges в Microsoft Endpoint Manager.

Что такое привилегии?

Приложение Privileges, разработанное замечательными ребятами из SAP и достаточно любезное, чтобы выпустить его с открытым исходным кодом, позволяет вашим пользователям работать как обычные пользователи, выполняя свои повседневные задачи, и предоставляет простой способ запрашивать права администратора, когда это необходимо. Все, что вам нужно сделать, это щелкнуть значок в доке.

Мы считаем, что все пользователи, включая всех разработчиков, могут извлечь выгоду из использования Privileges.app. Работа в качестве обычного пользователя вместо администратора добавляет еще один уровень безопасности вашему Mac и считается передовой практикой безопасности. Приложение Privileges.app позволяет пользователям выступать в качестве администраторов системы только при необходимости.

Требования

Privileges поддерживает следующие версии macOS:

  • macOS 10.12.x
  • macOS 10.13.x
  • macOS 10.14.x
  • macOS 10.15.x
  • macOS 11.x

Развертывание привилегий с помощью MEM

Поскольку привилегии поставляются в виде файла .app, мы должны установить его, используя метод сценария, а не обертку. Этот сценарий предоставляется Microsoft и включает в себя хорошие журналы, которые вы можете собрать из консоли MEM, мы собираемся взглянуть на это, когда сценарий запустится. Ниже вы можете найти скрипт, который я изменил для загрузки привилегий непосредственно из репозитория SAP GitHub.

Примечание: на момент написания использовалась версия 1.5.2

Чтобы использовать этот скрипт, сначала выполните следующие действия

  • Скопируйте скрипт
  • Сохраните его как installprivacy.sh
  • В терминале на Mac запустите эту команду, чтобы сделать ее исполняемой
    • chmod +x /путь/установочныепривилегии.sh

    Теперь, когда сценарий подготовлен, его можно добавить в MEM. Чтобы загрузить скрипт, выполните следующие действия.

    1. Войдите в консоль MEM
    2. Перейдите в раздел «Устройства» -> «macOS» -> «Сценарии оболочки» и нажмите «Добавить».
    3. Дайте скрипту имя и нажмите "Далее".
    4. Загрузите скрипт и настройте параметры скрипта. Я буду использовать значения по умолчанию из примера Microsoft
      • Запускать скрипт от имени вошедшего пользователя: Нет
      • Скрыть уведомления о сценариях на устройствах: да
      • Частота сценариев: каждый 1 день.
      • Максимальное количество повторных попыток в случае сбоя сценария: 3 раза.
    5. Нажмите "Далее", назначьте сценарий тестовому устройству, затем нажмите "Далее" и "Добавить".

    Устранение неполадок

    В случае сбоя сценария вы можете просмотреть дополнительные сведения о результате выполнения сценария, а также собрать журналы, перейдя в раздел Состояние устройства в сведениях о сценарии.

    • Чтобы собрать журналы, нажмите «Собрать журналы» и укажите следующий путь: /Library/Logs/Microsoft/IntuneScripts/installPrivileges/Privileges.log
      • Если вы нажмете «Показать подробности», отобразятся последние выходные данные скрипта.
      • После сбора журналов их можно загрузить, нажав Загрузить журналы. Внутри ZIP-файла будет запрошенный файл и два журнала агента сценария Intune (пользователь) и демона (root), которые всегда возвращаются.

      Настройка привилегий

      Для настройки привилегий мы будем использовать настраиваемый профиль конфигурации. Если вы согласны с тем, что пользователю нужно только щелкнуть приложение, чтобы стать администратором в течение 20 минут, вам не нужно ничего менять. Я собираюсь установить 3 дополнительные настройки,

      1. DockToggleMaxTimeout, когда этот ключ настроен, позволяет пользователю выбирать значения времени ожидания меньше 20 минут, но 20 всегда будет максимальным временем, в течение которого они могут быть администратором, прежде чем он вернется обратно к обычному пользователю.
      2. RequireAuthentication Требует от пользователя ввода пароля перед предоставлением прав администратора.
      3. ReasonRequired Требует от пользователя указать причину, по которой ему необходимы права администратора. Указанная причина регистрируется. Также необходимо установить ReasonMinLength, указывающий минимальное количество символов, которое пользователь должен ввести в качестве причины. Максимальное количество символов – 100.

      Помимо дополнительных ключей, которые я настраиваю, вы также можете установить эти конфигурации,

      • DockToggleTimeout устанавливает фиксированный тайм-аут, прежде чем пользователь снова станет обычным пользователем.
      • EnforcePrivileges Позволяет применять определенные привилегии
        • admin: права администратора всегда устанавливаются привилегиями.
        • пользователь: стандартные права пользователя всегда устанавливаются привилегиями.
        • нет: Privileges.app и инструмент командной строки PrivilegesCLI отключены, и невозможно изменить права пользователя с помощью этих инструментов.

        Если вы хотите протестировать приложение с теми же настройками, что и я, скопируйте приведенный ниже профиль и сохраните его как файл .mobileconfig.

        После сохранения файла выполните описанную ниже процедуру.

        1. Откройте консоль MEM
        2. Перейдите в раздел «Устройства» -> «Профиль конфигурации» и нажмите «Создать», выберите macOS в качестве «Платформа» и «Тип профиля» в качестве «Шаблон», затем выберите «Пользовательский» и нажмите «Создать».
        3. Назовите свой профиль и нажмите "Далее".
        4. Загрузите файл .mobileconfig, задайте имя профиля конфигурации и нажмите "Далее".
        5. Назначьте профиль тестовому устройству и нажмите "Далее".
        6. Нажмите "Создать".

        Удобство для конечного пользователя

        Вот как процесс выглядит для конечного пользователя. Все, что им нужно сделать, это щелкнуть приложение «Привилегии», указать причину, ввести свой пароль, и они станут администраторами. Визуальная индикация показывает, является ли он администратором или нет, если значок привилегий зеленый, пользователь является стандартным пользователем. Если значок оранжевый , пользователь является администратором.

        Читайте также: