L'une des pratiques sûres en matière d'informatique sécurisée généralement recommandées consiste à exécuter vos activités quotidiennes dans un compte utilisateur standard et à réserver des comptes administratifs uniquement pour l'installation d'applications, le réglage des paramètres système et la reconfiguration du système. Cette configuration permet d'éviter que des incidents survenus dans un compte standard n'affectent les ressources système globales. Par exemple, une attaque par un logiciel malveillant ou un bogue dans une application aura un accès plus facile au dossier Applications, aux dossiers généraux de la bibliothèque et à d'autres ressources ouvertes aux comptes d'administrateur. Par conséquent, en utilisant un compte disposant d'autorisations standard, vous éviterez que des problèmes ou des dangers affectent les ressources système sans votre autorisation explicite.
Certaines personnes peuvent avoir des réserves quant à l’utilisation des comptes standard plus restrictifs, de peur de ne pas être en mesure d’apporter des modifications au système en cas de besoin; Cependant, sous OS X, cela ne devrait pas poser de problème. Dans la plupart des cas, si une tâche nécessite des privilèges d'administration, le système vous demandera les informations d'identification appropriées, même lorsque ces tâches sont appelées à partir d'un compte standard. Par conséquent, vous pouvez continuer à utiliser votre compte standard pour empêcher toute modification automatique des paramètres et des ressources du système, puis vous préparer à vous authentifier à tout moment.
Cela est facile à faire lorsque vous configurez votre système pour la première fois. Vous pouvez utiliser l’assistant d’installation pour créer le compte administrateur par défaut, puis spécifier des comptes utilisateur standard pour tous les utilisateurs du système. Toutefois, si vous avez déjà utilisé un compte administrateur, la création et la migration vers un nouveau compte standard seront un peu fastidieuses, car vous devrez reconfigurer tous vos paramètres, programmes et services en ligne en plus de la migration de vos données. au nouveau système.
Cependant, au lieu de vous inquiéter de la migration vers un nouveau compte, vous pouvez changer votre compte actuel d'administrateur à un compte standard et lui imposer les mêmes restrictions. Pour ce faire, vous devez d’abord créer le nouveau compte administrateur dans les préférences système Comptes (ou Utilisateurs et groupes), puis vous déconnecter de votre compte actuel et vous connecter au nouveau compte administrateur. Une fois connecté au nouveau compte, revenez aux préférences du système Comptes, sélectionnez votre ancien compte administrateur, puis décochez l'option "Autoriser l'utilisateur à administrer cet ordinateur" pour le rétrograder.
Dans de rares cas, les utilisateurs peuvent constater que tous les comptes du système sont des comptes standard, sans option administrateur disponible. Ces situations se produisent généralement à cause d’erreurs lors d’une migration ou d’une restauration du système, et en raison de l’absence de compte administrateur, il est nécessaire d’attacher une attention particulière à sa création.
Il existe plusieurs approches que vous pouvez adopter si votre système manque d'un compte administrateur. La première consiste à créer un nouveau compte administratif à l'aide du terminal en mode mono-utilisateur. Le mode mono-utilisateur contournera les comptes du système et le chargera dans un environnement de terminal uniquement doté de privilèges root. Cela permet un accès complet au système à l'aide de la ligne de commande et vous permet de modifier le répertoire système et de créer un nouveau compte administrateur.
Pour ce faire, commencez par redémarrer le système en maintenant simultanément les touches Commande et S enfoncées jusqu'à ce que l'invite de commande s'affiche, puis exécutez la commande suivante pour autoriser l'écriture sur le lecteur d'amorçage (cette option est désactivée par défaut pour des raisons de sécurité):
mount -uw /
Lorsque vous avez exécuté cette commande, suivez cette procédure pour créer un nouveau compte administrateur:
- Vérifiez la présence du groupe d'administration à l'aide de la commande suivante:
dscl. -read / Groups / admin GroupMembership
- Si le groupe d'admin n'existe pas, vous obtiendrez une erreur DS en tant que sortie qui affirme en partie que l'enregistrement n'est pas trouvé. Dans ce cas, vous devrez créer le groupe d’admin en exécutant les commandes suivantes: Toutefois, s'il existe, passez à l'étape 3 ci-dessous:
dscl. -create / Groups / admin
dscl. -create / Groups / admin Administrateurs RealName
dscl. -create / Groups / admin PrimaryGroupID 80
dscl. -create / Groups / admin Password \ *
dscl. -create / Groups / admin GroupMembership root
Ces commandes vont créer le groupe, puis lui donner le nom complet correct, puis définir l'ID de groupe comme étant celui utilisé par le groupe d'administrateurs sous OS X. Ce numéro est attribué à toutes les ressources auxquelles le groupe peut accéder. et l'affecter au groupe d'administrateurs nouvellement créé en fera un véritable groupe d'administrateurs puisque tout membre aura accès à ces ressources. Enfin, nous donnons au groupe un mot de passe vide. Il faudra donc utiliser les mots de passe des membres pour fonctionner (authentification requise), puis attribuer le compte root au groupe.
- Attribuez un compte d'utilisateur au groupe d'administrateurs en exécutant la commande suivante. Dans cette commande, remplacez USERNAME par le nom abrégé du compte que vous souhaitez être administrateur. Cela peut être n'importe quel compte pour l'instant:
dscl. -create / Groups / admin GroupMembership USERNAME
Cette procédure nécessite que vous saisissiez un nombre suffisant de commandes. En raison des erreurs de frappe dans les commandes de Terminal pouvant générer des résultats indésirables ou source de confusion, vous pouvez également utiliser l’assistant d’installation d’OS X pour recréer le compte admin. Pour ce faire, après avoir démarré en mode mono-utilisateur et défini le système de fichiers pour un accès en écriture (voir ci-dessus), exécutez la commande suivante:
rm /var/db/.AppleSetupDone
Cela supprimera un fichier invisible sur le système indiquant que l'Assistant d'installation a déjà été exécuté. Par conséquent, en supprimant ce fichier et en redémarrant l'ordinateur, vous appelez l'assistant de configuration pour que le système vous guide tout au long de la procédure de création d'un nouveau compte administrateur, à l'aide d'une interface conviviale.
Laissez Vos Commentaires