Forum

[Vorschlag] Softwareaktualisierung für Nicht-Admins
Mai 06, 2012, 12:14:44
Vielen geübteren Computer-Anwendern dürfte das Szenario bekannt sein: man hat irgendwo in der Verwandt- oder Bekanntschaft jemanden, der sich selbst mit einem Mac etwas schwer tut, das Gerät eigenhändig in Schuss zu halten. Und man wird Einrichter, Pate und Teilzeit-Admin für dieses entfernt stehende Gerät.

Vermutlich wird man die Verwandt- oder Bekanntschaft mit einem Account ohne Admin-Rechte arbeiten lassen. Dabei stellt sich das Problem: Wie kommen die wichtigen und teilweise sicherheitsrelevanten System-Updates zeitnah auf das Gerät? Für das Starten der Softwareaktualisierung ist eine Authentifizierung als Admin notwendig. Startet ein Nicht-Admin die Softwareaktualisierung, erhält er folgende Aufforderung:



Und möglicherweise traut sich hier die Verwandt- oder Bekanntschaft nicht, diese einzugeben. Oder je nach Grad des Computer-Illetrismus haben wir es vielleicht gar vorgezogen, die Zugangsdaten zum Admin-Account im Dunkeln zu lassen. Für das Einspielen von Updates ist so immer unser Erscheinen notwendig. Was guter Anlass zur Kontaktpflege sein kann, kann mitunter auch mühsam werden. Die Möglichkeit für Nicht-Admins, System-Updates einzuspielen, wäre hilfreich. Und genau das ist mit Lion (Mac OS 10.7) möglich. Dazu braucht es allerdings ein paar Handgriffe unter die Motorhaube. Und so geht's:

Viele Regeln, welche Funktionen und Teile des Betriebssystems welche Rechte und Privilegien erfordern, sind in der Datei /etc/authorization definiert. In Lion sind da neue Regeln für die Softwareaktualisierung dazu gekommen. Wir können uns diese im Terminal z.B. mit dem security Kommando anschauen:
Zitat
Hymir:~ pharlab$ security authorizationdb read com.apple.SoftwareUpdate.scan
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
   <key>class</key>
   <string>rule</string>
   <key>comment</key>
   <string>Checked when user is updating software.</string>
   
...

   <key>rule</key>
   <string>root-or-entitled-admin-or-authenticate-admin</string>
</dict>
</plist>
YES (0)

Das hier abgefragte Recht definiert, wer einen Scan nach vorhandenen Updates auslösen darf. Bevor wir dieses Recht nun modifizieren, sollten wir eine Sicherheitskopie von /etc/authorization anlegen:
sudo cp /etc/authorization /etc/authorization.saved
Zum Modifizieren des Rechts können wir uns auch des security Kommandos bedienen:
sudo security authorizationdb write com.apple.SoftwareUpdate.scan allow
Unser Recht sieht jetzt so aus:
Hymir:~ pharlab$ security authorizationdb read com.apple.SoftwareUpdate.scan
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>rule</key>
<string>allow</string>
</dict>
</plist>
YES (0)

Allerdings erhält unser Nicht-Admin nun nach wie vor eine Autorisierungs-Aufforderung, einfach mit geändertem Wortlaut:


Neben dem Recht, einen Scan nach neuer Software durchzuführen, wird noch ein zweites Recht benötigt: jenes, die gefundene Software auch zu installieren:
Zitat
Hymir:~ pharlab$ security authorizationdb read system.install.apple-software
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
   <key>class</key>
   <string>rule</string>
   <key>comment</key>
   <string>Checked when user is installing Apple-provided software.</string>
   
...

   <key>rule</key>
   <string>root-or-entitled-admin-or-authenticate-admin</string>
</dict>
</plist>
YES (0)

Auch jenes können wir mit dem security Kommando erteilen:
sudo security authorizationdb write system.install.apple-software allow
Startet unser Nicht-Admin nun die Softwareaktualisierung, sollte diese ohne Autorisierungs-Dialog starten:
« Letzte Änderung: Mai 06, 2012, 12:18:35 von warlord »
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #1: Mai 06, 2012, 12:45:51
Super! Das ist schon mal ein großer Schritt vorwärts.


Startet unser Nicht-Admin nun die Softwareaktualisierung ...

Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.


Bleibt noch die Software, die nicht über die Systemeigene Software Aktualisierung aufgefrischt wird. Diese sollte selbstverständlich ebenfalls zeitnah mit SicherheitsUpdates versorgt werden. Summa summarum bleibt das imho ein ungelöstes Problem.

Zur Linderung fällt mir ein:
- möglichst wenige zusätzliche Programme installieren
- Programme installieren, die sich - möglichst unauffällig - selber aktualisieren
- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.
- Ich richte auf den betreuten Rechnern mittleweile einen Ordner Wartung ein. Darin gibts über Verknüfungen eine Anleitung was zu tun: 1. Text: was soll das hier?, 2. Neustart, 3. Update hie, 4. Update da, etc.
- Um sich als Admin einen Überblick über Updates für die installierte Software zu verschaffen finde ich ganz gut:
http://metaquark.de/appfresh/mac
« Letzte Änderung: Mai 06, 2012, 12:57:26 von radneuerfinder »
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #2: Mai 06, 2012, 17:53:16
Sehr interessante Anleitung! Danke warlord.

Startet unser Nicht-Admin nun die Softwareaktualisierung ...

Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.

Funktioniert das unter Lion endlich wieder bei Nicht-Admins?
Seit 10.5 (?) wird die Software-Aktualisierung bei Nicht-Admins nicht mehr automatisch gestartet. Habe ich mich schon oft drüber geärgert.

Zitat
- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.

Jein. Unter 10.6 muss ein nicht-Admin erst das Admin-Kennwort und danach das Apple-ID-Kennwort eingeben. Da ist das gleiche Problem wie bei der Software-Aktualisierung.
@warlord: Kann man da Deine Methode auch anwenden?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #3: Mai 06, 2012, 18:33:02
Zitat
Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.

Funktioniert das unter Lion endlich wieder bei Nicht-Admins?
Seit 10.5 (?) wird die Software-Aktualisierung bei Nicht-Admins nicht mehr automatisch gestartet. Habe ich mich schon oft drüber geärgert.

Ob damit auch das automatische Auslösen des Checks wieder funktioniert, habe ich noch nicht testen/beobachten können. (Bin selbst eben nicht vorbildlich genug und arbeite mit einem Admin-Account.)

Zitat
Zitat
- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.

Jein. Unter 10.6 muss ein nicht-Admin erst das Admin-Kennwort und danach das Apple-ID-Kennwort eingeben. Da ist das gleiche Problem wie bei der Software-Aktualisierung.
@warlord: Kann man da Deine Methode auch anwenden?

Möglicherweise. Gebe ich den von radneuerfinder erwähnten Link auf meinem mit obigen Änderungen versehenen Mac unter einem Nicht-Admin-Account in Safari ein, wird jedenfalls ohne Kennwortabfrage der MAS gestartet. Es erfolgt allerdings auch keine Abfrage des Apple-ID-Kennwortes. Bin mir also nicht so sicher, ob man sich auf diesen Mechanismus verlassen kann.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #4: Mai 06, 2012, 18:40:59
Das Kennwort im MAS wird erst nach Klick von "(Alle) aktualisieren" abgefragt. Es lässt sich übrigens - im Gegensatz zum iOS App Store in iTunes - nicht im Schlüsselbund speichern.
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #5: Mai 06, 2012, 18:53:38
Ach so. Also erst wenn es Updates zum Installieren gibt. Ja, logisch. Kann ich derzeit leider nicht testen, da bei mir keine Updates ausstehend. (Hilfreicher als dieser Link ist in meinen Augen aber sowieso die Update-Anzeige im Dock-Icon des MAS. Ob die bei einem Nicht-Admin funzt, weiss ich aber nicht.)
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #6: Mai 06, 2012, 19:00:14
Funktioniert die denn überhaupt, wenn man den Store nicht öffnet?

Im besten Fall lösen sich alle Probleme vielleicht nach diesem Sommer:
http://www.appleinsider.com/articles/12/02/22/inside_os_x_108_mountain_lion_apple_overhauls_software_updates_app_store.html
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #7: Mai 06, 2012, 19:02:56
Funktioniert die denn überhaupt, wenn man den Store nicht öffnet?

Ja, vorausgesetzt man Spotlight eingeschaltet. Zumindest tut sie das hier in meinem Admin-Account.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #8: Mai 07, 2012, 08:49:59
Ja, vorausgesetzt man Spotlight eingeschaltet. Zumindest tut sie das hier in meinem Admin-Account.

Dann müsste das Programm ab und zu selbstständig nachschauen ob Updates da sind. Da ich den MAS sofort aus dem Dock entfernt habe, kann ich nicht sagen, ob das passiert. Ich werde ihn mal wieder reinlegen und dann beobachten.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #9: Mai 07, 2012, 09:49:12
Ja, vorausgesetzt man Spotlight eingeschaltet. Zumindest tut sie das hier in meinem Admin-Account.

Dann müsste das Programm ab und zu selbstständig nachschauen ob Updates da sind.

Ja, anscheinend ist dafür storeagent zuständig.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #10: Mai 12, 2012, 12:01:44
Ich (10.6.8 ) habe den AppStore wieder ins Dock gelegt und abgewartet.
Da kam bisher nie ein Hinweis auf ein Update. Jetzt habe ich das Programm manuell gestartet und mir wird direkt ein Update angeboten.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #11: Mai 12, 2012, 12:25:23
Tja, das scheint ab und zu vorzukommen. So wirklich zuverlässig arbeitet halt einfach keine Apple-Technolgie mehr.  :-\ Eine mögliche Abhilfe wird hier erwähnt. Eine andere hier. Allerdings kam bei beiden kein positives Feedback.
« Letzte Änderung: Mai 12, 2012, 12:29:27 von warlord »
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #12: Mai 12, 2012, 13:09:43
Nun ja, ist nicht so wichtig für mich und ob das mit 10.6.8 überhaupt gehen soll, ist mir auch noch nicht klar. Ich schaue einmal in der Woche nach neuen Updates und da kann ich auch manuell aufrufen. Muss ich bei der Software-Aktualisierung ja eh machen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #13: Juni 15, 2012, 23:03:02
Ich (10.6.8 ) habe den AppStore wieder ins Dock gelegt und abgewartet.
Da kam bisher nie ein Hinweis auf ein Update. Jetzt habe ich das Programm manuell gestartet und mir wird direkt ein Update angeboten.

Mittlerweile kann ich auch definitiv bestätigen, dass das bei mir funktioniert (mit Admin Account). Ich öffne den MAS nie und heute schaut das MAS Icon im Dock wie unten gezeigt aus.

Waren Deine Versuche denn eigentlich mit einem Admin- oder Normalo-Account?
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: [Vorschlag] Softwareaktualisierung für Nicht-Admins
Antwort #14: Juni 16, 2012, 08:13:40
Mit einem Normalo-Account unter 10.6.8.
Weder AppStore noch Software-Aktualisierung prüfen da automatisch. :(
Mit 10.7 soll es laut mbs keinen Sicherheitsvorteil mehr bei der Verwendung eines Normalo-Account geben.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller