ausblenden > Anleitungen und FAQ
[Vorschlag] Softwareaktualisierung für Nicht-Admins
warlord:
Vielen geübteren Computer-Anwendern dürfte das Szenario bekannt sein: man hat irgendwo in der Verwandt- oder Bekanntschaft jemanden, der sich selbst mit einem Mac etwas schwer tut, das Gerät eigenhändig in Schuss zu halten. Und man wird Einrichter, Pate und Teilzeit-Admin für dieses entfernt stehende Gerät.
Vermutlich wird man die Verwandt- oder Bekanntschaft mit einem Account ohne Admin-Rechte arbeiten lassen. Dabei stellt sich das Problem: Wie kommen die wichtigen und teilweise sicherheitsrelevanten System-Updates zeitnah auf das Gerät? Für das Starten der Softwareaktualisierung ist eine Authentifizierung als Admin notwendig. Startet ein Nicht-Admin die Softwareaktualisierung, erhält er folgende Aufforderung:
Und möglicherweise traut sich hier die Verwandt- oder Bekanntschaft nicht, diese einzugeben. Oder je nach Grad des Computer-Illetrismus haben wir es vielleicht gar vorgezogen, die Zugangsdaten zum Admin-Account im Dunkeln zu lassen. Für das Einspielen von Updates ist so immer unser Erscheinen notwendig. Was guter Anlass zur Kontaktpflege sein kann, kann mitunter auch mühsam werden. Die Möglichkeit für Nicht-Admins, System-Updates einzuspielen, wäre hilfreich. Und genau das ist mit Lion (Mac OS 10.7) möglich. Dazu braucht es allerdings ein paar Handgriffe unter die Motorhaube. Und so geht's:
Viele Regeln, welche Funktionen und Teile des Betriebssystems welche Rechte und Privilegien erfordern, sind in der Datei /etc/authorization definiert. In Lion sind da neue Regeln für die Softwareaktualisierung dazu gekommen. Wir können uns diese im Terminal z.B. mit dem security Kommando anschauen:
--- Zitat ---Hymir:~ pharlab$ security authorizationdb read com.apple.SoftwareUpdate.scan
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>class</key>
<string>rule</string>
<key>comment</key>
<string>Checked when user is updating software.</string>
...
<key>rule</key>
<string>root-or-entitled-admin-or-authenticate-admin</string>
</dict>
</plist>
YES (0)
--- Ende Zitat ---
Das hier abgefragte Recht definiert, wer einen Scan nach vorhandenen Updates auslösen darf. Bevor wir dieses Recht nun modifizieren, sollten wir eine Sicherheitskopie von /etc/authorization anlegen:
--- Code: ---sudo cp /etc/authorization /etc/authorization.saved
--- Ende Code ---
Zum Modifizieren des Rechts können wir uns auch des security Kommandos bedienen:
--- Code: ---sudo security authorizationdb write com.apple.SoftwareUpdate.scan allow
--- Ende Code ---
Unser Recht sieht jetzt so aus:
--- Code: ---Hymir:~ pharlab$ security authorizationdb read com.apple.SoftwareUpdate.scan
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>rule</key>
<string>allow</string>
</dict>
</plist>
YES (0)
--- Ende Code ---
Allerdings erhält unser Nicht-Admin nun nach wie vor eine Autorisierungs-Aufforderung, einfach mit geändertem Wortlaut:
Neben dem Recht, einen Scan nach neuer Software durchzuführen, wird noch ein zweites Recht benötigt: jenes, die gefundene Software auch zu installieren:
--- Zitat ---Hymir:~ pharlab$ security authorizationdb read system.install.apple-software
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>class</key>
<string>rule</string>
<key>comment</key>
<string>Checked when user is installing Apple-provided software.</string>
...
<key>rule</key>
<string>root-or-entitled-admin-or-authenticate-admin</string>
</dict>
</plist>
YES (0)
--- Ende Zitat ---
Auch jenes können wir mit dem security Kommando erteilen:
--- Code: ---sudo security authorizationdb write system.install.apple-software allow
--- Ende Code ---
Startet unser Nicht-Admin nun die Softwareaktualisierung, sollte diese ohne Autorisierungs-Dialog starten:
radneuerfinder:
Super! Das ist schon mal ein großer Schritt vorwärts.
--- Zitat von: warlord am Mai 06, 2012, 12:14:44 ---Startet unser Nicht-Admin nun die Softwareaktualisierung ...
--- Ende Zitat ---
Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.
Bleibt noch die Software, die nicht über die Systemeigene Software Aktualisierung aufgefrischt wird. Diese sollte selbstverständlich ebenfalls zeitnah mit SicherheitsUpdates versorgt werden. Summa summarum bleibt das imho ein ungelöstes Problem.
Zur Linderung fällt mir ein:
- möglichst wenige zusätzliche Programme installieren
- Programme installieren, die sich - möglichst unauffällig - selber aktualisieren
- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.
- Ich richte auf den betreuten Rechnern mittleweile einen Ordner Wartung ein. Darin gibts über Verknüfungen eine Anleitung was zu tun: 1. Text: was soll das hier?, 2. Neustart, 3. Update hie, 4. Update da, etc.
- Um sich als Admin einen Überblick über Updates für die installierte Software zu verschaffen finde ich ganz gut:
http://metaquark.de/appfresh/mac
MacFlieger:
Sehr interessante Anleitung! Danke warlord.
--- Zitat von: radneuerfinder am Mai 06, 2012, 12:45:51 ---
--- Zitat von: warlord am Mai 06, 2012, 12:14:44 ---Startet unser Nicht-Admin nun die Softwareaktualisierung ...
--- Ende Zitat ---
Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.
--- Ende Zitat ---
Funktioniert das unter Lion endlich wieder bei Nicht-Admins?
Seit 10.5 (?) wird die Software-Aktualisierung bei Nicht-Admins nicht mehr automatisch gestartet. Habe ich mich schon oft drüber geärgert.
--- Zitat ---- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.
--- Ende Zitat ---
Jein. Unter 10.6 muss ein nicht-Admin erst das Admin-Kennwort und danach das Apple-ID-Kennwort eingeben. Da ist das gleiche Problem wie bei der Software-Aktualisierung.
@warlord: Kann man da Deine Methode auch anwenden?
warlord:
--- Zitat von: MacFlieger am Mai 06, 2012, 17:53:16 ---
--- Zitat ---Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.
--- Ende Zitat ---
Funktioniert das unter Lion endlich wieder bei Nicht-Admins?
Seit 10.5 (?) wird die Software-Aktualisierung bei Nicht-Admins nicht mehr automatisch gestartet. Habe ich mich schon oft drüber geärgert.
--- Ende Zitat ---
Ob damit auch das automatische Auslösen des Checks wieder funktioniert, habe ich noch nicht testen/beobachten können. (Bin selbst eben nicht vorbildlich genug und arbeite mit einem Admin-Account.)
--- Zitat ---
--- Zitat ---- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.
--- Ende Zitat ---
Jein. Unter 10.6 muss ein nicht-Admin erst das Admin-Kennwort und danach das Apple-ID-Kennwort eingeben. Da ist das gleiche Problem wie bei der Software-Aktualisierung.
@warlord: Kann man da Deine Methode auch anwenden?
--- Ende Zitat ---
Möglicherweise. Gebe ich den von radneuerfinder erwähnten Link auf meinem mit obigen Änderungen versehenen Mac unter einem Nicht-Admin-Account in Safari ein, wird jedenfalls ohne Kennwortabfrage der MAS gestartet. Es erfolgt allerdings auch keine Abfrage des Apple-ID-Kennwortes. Bin mir also nicht so sicher, ob man sich auf diesen Mechanismus verlassen kann.
radneuerfinder:
Das Kennwort im MAS wird erst nach Klick von "(Alle) aktualisieren" abgefragt. Es lässt sich übrigens - im Gegensatz zum iOS App Store in iTunes - nicht im Schlüsselbund speichern.
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln