[10.14 Mojave] Software auf Nutzerkonten beschränken

[Alberich]

Hallo, ist eine auf einem Mac installierte Software generell immer für alle Nutzerkonten aktiv und nutzbar? Also z.B. eine Kollaborationssoftware, ein Spiel, ein Office Programm, ein Videoschnittprogramm usw.

Oder kann ich auch einen Nutzer 1, 2 und 3 anlegen und den Rechner so konfigurieren, dass eine bestimmte Software nur für Nutzerkonto 2 funktioniert, nicht aber für die anderen beiden?

Die Kindersicherung ist übrigens nicht das was ich suche, also es geht mir vom Ansatz nicht zuvorderst darum Nutzerkonten einzuschränken, sondern darum bestimmte Software einzuschränken.

Mein Ziel ist es u.a. ein Nutzerkonto für berufliche Zwecke aus dem Home Office zu verwenden und private Aktivitäten davon auf dem Computer komplett zu trennen. Ich frage mich daher, ob ich Software, die ich nur für berufliche Zwecke benötige und die ich privat nicht haben mag, so für das berufliche Nutzerkonto installieren kann, dass diese Software in anderen Nutzerkonten gar nicht erst aufrufbar ist bzw. man ihr dort den Internetzugang verweigern oder sie sonst irgendwie stilllegen kann.

 

[MacAlzenau]

Du kannst schauen, ob sich die Software nur für einen Benutzer installieren lässt. Das hängt davon ab, wie man installiert und ob der Installer eine Auswahl des Pfades zulässt.
Drag&Drop-installierte Programme kannst du ja sowieso beliebig verschieben, also auch in den jeweiligen Benutzerordner legen.

Was allerdings daran stört, daß bestimmte Programm halt einfach rumliegen, verstehe ich nicht, du musst sie ja nicht benutzen und kannst sie auch aus dem Dock oder dem Launchpad verbannen oder dir für den Zugriff über den Programmordner Aliasse in einen Ordner im Benutzerornder legen.

 

[Alberich]

Danke für den Tipp mit dem Pfad.

Was mich stören würde, wäre z.B. wenn eine solche beruflich zu nutzende Software ständig nach Hause funkt. Oder sonstige Hintergrundaktiviäten durchführt oder ständig aktiv bleibt. Wenn sie das nur täte, wenn das berufliche Nutzerkonto aktiv ist und sich ihr Zugriff darauf beschränkt, könnte ich damit leben.

Wenn ich das private Nutzerkonto verwende, sollte die besagte berufliche Software gar nichts mehr können. Würde das dann klappen, wenn ich sie in den "beruflicher Nutzer"-Pfad installiere?

 

[Ijon Tichy]

Ich meine es ist so, dass ein Anwender, der nicht Administrator ist, Apps nur bei sich selbst installieren kann.

Je nach App müsste es auch reichen, die App von /Applications nach /Users/<userid>/Applications zu verschieben. Bei Software, die Agents oder Daemons installiert, geht das nicht bzw. nicht so einfach.

Am zuverlässigsten schützt man sich vor ungewünschten Verbindungen mit LittleSnitch. Da könnte man sich dann ein berufliches und ein privates Profil anlegen.

 

[maniacintosh]

Grundsätzlich hängt es erstmal von der jeweiligen Software ab: Nicht jede App toleriert es woanders als in /Applications abgelegt zu werden und quittiert den Versuch die App von anderen Orten zu starten mit einer Fehlermeldung. Andere Apps fragen einfach nach Admin-Rechten, weil sie eine Erweiterung global installieren wollen (oder ggf. auch wirklich müssen, um zu funktionieren). Und über den AppStore landet sowieso alles in /Applications.

Ansonsten sollte auf dem Mac eine App, die keinerlei Erweiterungen irgendwo hin installiert und nicht automatisch bei Anmeldung gestartet wird eigentlich gar nicht von alleine nach Hause telefonieren, solange sie eben nicht gestartet wurde - vollkommen egal wo sie nun liegt. Naja unter dem Strich: Sobald ein Installer im Spiel ist, kann es sein, dass die - auch wenn du den Ort des App-Bundles wählen kannst - App andere Komponenten sonst wo hin schiebt. Spätestens wenn das Admin-Passwort abgefragt wird, kann man kaum etwas wirklich ausschließen.

 

[Alberich]

Ok, danke. Habe gerade mal angefangen es pro Software zu gucken.

Bei der für berufliche Zwecke verwendeten Kollaborationssoftware ist es eine PKG-Installationsdatei, es wird Admin-Zugriff abgefragt und die Software landet laut Support-Seite in /Programme. Installation auf dem ganzen Computer.

Beim beruflich benötigten Browser ist es eine DMG Datei, die man öffnen und in Anwendungen ziehen soll, wobei wieder ein Admin-Kennwort abgefragt wird.

Schade. Das ist nicht das, was ich wollte.

 

[Wuchtbrumme]

Schau doch bitte eher nach LittleSnitch. Oder, noch besser, man kann macOS auch mehrfach auf einen Mac installieren, vorausgesetzt, man hat nicht zu sehr an dem Startlaufwerk gespart oder hat eine externe SSD. Damit ließe sich das berufliche System "absichern", falls es um die Benutzung von Kindern geht oder ganz allgemein um einen beruflichen Rechner.

 

[Alberich]

Ja, LS schaue ich mir mal an. Zuerst wollte ich in Erfahrung bringen, ob es mit Bordmitteln geht oder einen Workaround gibt. Daher meine Fragerei.

Mein Mac ist ein 2013er iMac mit Fusion Drive. Ein OS (Mojave) drauf.

Es geht bei meiner Fragestellung nicht um Kinder.

Es geht mir um die Installation von Software, die ich eigentlich nicht installieren will, aber die mir beruflich im Home Office die Arbeit erleichtern könnte.

Ich brauche das nur ab und zu wochenweise. Hatte auch schon überlegt einfach zu installieren und nachher früheren Timemachine Stand drüberzubügeln.


Wenn du von mehreren MacOS-Installationen sprichst, meinst du vermutlich das hier: https://support.apple.com/de-de/HT208891

Das klingt fast nach der besten Lösung...

 

[Alberich]

@Wuchtbrumme Ich habe auf deinen Vorschlag hin mal ein zweites MacOS installiert. Bin so wie hier beschrieben https://support.apple.com/de-de/HT208891 vorgegangen. Es gibt jetzt neben der bisherigen Festplatte HD noch eine Festplatte HD2 mit der zweiten MacOS-Installation. Durch Drücken von ALT beim Start kann ich nun die jeweilige Installation anwählen und verwenden. Das scheint mir die richtige Idee gewesen zu sein. Danke schon mal für den Tipp.

Eine Frage habe ich noch. Die beiden Installationen sind FileVault verschlüsselt. Wenn ich mich nun einlogge, egal ob auf der ersten Installation oder auf der zweiten, kommt immer eine Abfrage "SecurityAgent möchte Änderungen vornehmen". Wenn ich das wegklicke, kommt noch eine Abfrage zwecks Zugriff auf die jeweils andere HD. Das brauche ich nicht. Die eine HD soll ja gar nicht auf die andere zugreifen können. Wie kann ich verhindern, dass diese Abfragen kommen? Das nervt etwas. Sonst funktioniert scheinbar alles.

QUOTE="Wuchtbrumme, post: 5563772, member: 112770"]
Schau doch bitte eher nach LittleSnitch. Oder, noch besser, man kann macOS auch mehrfach auf einen Mac installieren, vorausgesetzt, man hat nicht zu sehr an dem Startlaufwerk gespart oder hat eine externe SSD. Damit ließe sich das berufliche System "absichern", falls es um die Benutzung von Kindern geht oder ganz allgemein um einen beruflichen Rechner.
[/QUOTE]

 

[Wuchtbrumme]

Hallo,
die Aufforderung, das Passwort einzugeben, kommt daher, dass macOS versucht, Dir alle Laufwerke zugänglich zu machen (sog. Auto-Mount). Solange Du das Passwort für das jeweils andere FileVault-Volume *nicht* eingibst (und vor allem nicht speicherst), solange "sehen" sich die auf den Laufwerken befindlichen macOS-Installationen inhaltlich nicht.

Ich betreibe den einen oder anderen Mac auch so, habe mir aber nie die Mühe gemacht, das Auto-Mount auch noch abzuschalten, damit die Abfrage nicht mehr kommt. Einfach jeweils abbrechen und gut ist.

Falls Du es doch machen willst, habe ich hier https://discussions.apple.com/docs/DOC-7942 eine Anleitung gefunden. Das andere FileVault-Laufwerk darfst Du natürlich nicht entsperren, gemeint ist IMO nur das Startlaufwerk, wo die macOS-Installation ist, die das andere FileVault-Laufwerk ignorieren soll.

 

[Marcel Bresink]

Die eine HD soll ja gar nicht auf die andere zugreifen können. Wie kann ich verhindern, dass diese Abfragen kommen?

In diesem speziellen Fall leider gar nicht. Wenn es tatsächlich ein Automount wäre, könnte man das leicht abschalten, denn Volumes kann man per Systemeinstellung dauerhaft ausschließen.

In diesem Fall ist es aber kein Volume, sondern eine verschlüsselte Partition, die als virtuelle Festplatte auftritt. Das läuft noch eine Ebene höher und wird nicht vom Automounter, sondern vom "Disk-Arbiter" behandelt, also dem Programm, das angeschlossene Plattenmedien erkennt. Hier hat Apple es nicht vorgesehen, dass man eingreifen kann.

 

[Wuchtbrumme]

Danke für die Korrektur. Wusste ich nicht.

 

[Ijon Tichy]

Hmm, also da finde ich die LittleSnitch-Variante doch einfacher und besser. Die Aufteilung des Festspeichers könnte entfallen und man müsste nicht immer zwei Mal das macOS updaten. Dasselbe gilt ja auch für alle Programme, die man nun immer zweimal installieren und zweimal updaten muss. Alle Einstellungen muss man auch doppelt machen, zumindest eben wenn man sie überall so haben möchte (was normalerweise so sein dürfte).

Aber wenn es für dich die beste Lösung ist, ist das natürlich deine Entscheidung!

 

[Alberich]

@Wuchtbrumme Ich habe diverse Einträge in Internetforen zum Thema gefunden. Unter anderem auch, dass es (unter MacOS Catalina) angeblich reichen soll, die Rolle des Volumes auf D(ata) einzustellen, um den Automount oder besser gesagt "Unlock Prompt" zu verhindern.

Inzwischen habe ich auf Catalina aktualisiert (beide OS-Partitionn). Offenbar haben sich unter Catalina die Strukturen geändert. Statt wie bisher HD und HD2 gibt es jetzt - wenn man das Festplattendienstprogramm aufruft - HD, HD Data, HD2 und HD2 Data. Wenn man sich das mit diskutil apfs list anguckt, steht die HD2 auf S(ystem) und die HD2 Data eben auf D(ata).

Wenn ich nun versuche die HD2 per diskutil apfs changeVolumeRole /dev/diskXsY D auf D zu stellen, kommt allerdings die Fehlermeldung: "Error setting APFS Volume role: Unable to set the APFS Volume Role (-69599)". Das geht also (bei mir) nicht.

Falls Du es doch machen willst, habe ich hier https://discussions.apple.com/docs/DOC-7942 eine Anleitung gefunden. Das andere FileVault-Laufwerk darfst Du natürlich nicht entsperren, gemeint ist IMO nur das Startlaufwerk, wo die macOS-Installation ist, die das andere FileVault-Laufwerk ignorieren soll.

@Marcel Bresink Bezieht sich deine Antwort ggf. speziell auf Mojave? Oder trifft dein Hinweis auch auf Catalina zu, sodass ich mir weitere Überlegungen sparen kann und auch diskutil apfs changeVolumeRole /dev/diskXXX D definitiv nichts bringt?

In diesem Fall ist es aber kein Volume, sondern eine verschlüsselte Partition, die als virtuelle Festplatte auftritt. Das läuft noch eine Ebene höher und wird nicht vom Automounter, sondern vom "Disk-Arbiter" behandelt, also dem Programm, das angeschlossene Plattenmedien erkennt. Hier hat Apple es nicht vorgesehen, dass man eingreifen kann.

@Ijon Tichy Ich finde die Lösung mit 2 OS gut, da ich die Umgebung in der berufliche Software sauber trennen kann von der Umgebung, die ich privat verwende. Wie gesagt, ich schaue mir LS aber noch an. Danke.

Hmm, also da finde ich die LittleSnitch-Variante doch einfacher und besser.

 

[Marcel Bresink]

Unter anderem auch, dass es (unter MacOS Catalina) angeblich reichen soll, die Rolle des Volumes auf D(ata) einzustellen

Das würde nur dann gehen, wenn es sich nicht um die Systemvolumegruppe von macOS handelt, sondern um ein von Hand angelegtes verschlüsseltes Volume. In diesem speziellen Fall hier betrifft das Problem aber die System-Volumes, die bereits die APFS-Rollen "System" und "Data" haben.

Bezieht sich deine Antwort ggf. speziell auf Mojave?

Nein, das gilt für alle Versionen von Mac OS X, OS X und macOS.

 

[Alberich]

Ich habe es befürchtet, aber gut, dann geht's halt so und ich klicke die "Unlock Prompts" weg.

Wenn ich das zweite OS irgendwann nicht mehr brauchen sollte, genügt es dann im Festplattendienstprogramm einfach HD2 und HD2 Data zu löschen und wäre das eine saubere Lösung?

Nein, das gilt für alle Versionen von Mac OS X, OS X und macOS.