В моем небольшом офисе до того, как меня приняли на работу, не было ИТ-персонала. Они используют различный ассортимент компьютеров Mac OS X, и я медленно преобразовываю их в сетевую среду OS X Server. Все компьютеры изначально были настроены только с одной учетной записью администратора с пустым паролем. Файлы были помещены практически везде, кроме папки «Документы». Ни у кого не было учетных записей пользователей. Это было ... грязно.
Теперь, когда я начал преобразовывать их в сетевые учетные записи стандартных пользователей, мой босс жалуется, что каждому нужен доступ для изменения таких параметров системы, как Дата и время или Сеть (у нас есть некоторые проблемы с DHCP). Я пытался объяснить, что при нормальных обстоятельствах они не должны необходимость чтобы получить к нему доступ, но она очень настаивала на этом.
Есть ли способ разрешить обычным пользователям административный доступ к отдельным панелям предпочтений через диспетчер рабочих групп или с помощью хаков? Пока что наименее неприятная вещь, о которой я могу думать, - это сделать их локальными администраторами своих компьютеров.
Это можно сделать, отредактировав файл / etc / authorization, который определяет, кому и что разрешено делать в графическом интерфейсе OS X. Это файл списка свойств XML, поэтому вы можете редактировать его с помощью текстового редактора или редактора списка свойств Apple ( часть инструментов разработчика). Предупреждение: если вы сделаете правку неправильно, это может сделать систему непригодной для использования; протестируйте это на Mac, вы не прочь протереть и переустановить при необходимости. В любом случае, вы должны найти раздел (в основном разделе "Права"), который выглядит так:
<key>system.preferences</key>
<dict>
<key>allow-root</key>
<true/>
<key>class</key>
<string>user</string>
<key>comment</key>
<string>Checked by the Admin framework when making changes to certain System Preferences.</string>
<key>group</key>
<string>admin</string>
<key>shared</key>
<true/>
</dict>
Вы можете изменить группу с администратора на все, что захотите. Например, вы можете создать группу с именем semiadmin, добавить в нее всех обычных пользователей, а затем отредактировать файл авторизации, чтобы отобразить список:
<key>group</key>
<string>semiadmin</string>
Обратите внимание, что это применимо не ко всем системным настройкам. Панели «Доступность», «Учетные записи», «Родительский контроль» и «Безопасность» имеют собственные записи; если вы хотите расширить доступ к этим настройкам, отредактируйте эти разделы аналогичным образом. Кроме того, каждый компьютер следует своему собственному файлу авторизации, поэтому вам необходимо установить этот измененный файл на каждый клиентский компьютер (конечно, после его полного тестирования).
Я бы настроил sudo, чтобы разрешить только эти команды. Вы даже можете установить их по группам.
Просто запустите команду «visudo», чтобы отредактировать конфигурацию sudo.