Konten und Zugriffsrechte
Damit sich mehrere Personen einen Mac teilen können, lässt sich für jede ein eigenes Konto anlegen und genau regeln, wer auf welche Dateien und Ordner zugreifen darf.
Die Verwaltung von mehreren Benutzer:innen und deren Rechten ist die Grundlage für Freigaben im Netzwerk, aber auch für das Nutzen eines Mac mit mehreren Personen oder für die saubere Trennung von Arbeit und Privatem. Denn auch dafür empfiehlt es sich, einfach zwei separate Konten anzulegen.
Die Funktionen zum Anlegen zusätzlicher Accounts findest du in den Systemeinstellungen in „Benutzer:innen & Gruppen“. Es gibt unterschiedliche Arten von Konten und klar definierte Rechte für jedes Objekt auf dem Massenspeicher.
Eigener Ordner
Mit einer Ausnahme, auf die wir gleich noch eingehen, erhält jede:r Benutzer:in einen Ordner für eigene Daten, den sogenannten Benutzerordner, auch Homeoder Privatverzeichnis genannt. Darin befinden sich weitere Ordner für bestimmte Datenarten wie Dokumente, Bilder oder Musik. Auch für Downloads aus Safari und Mail gibt es ein Verzeichnis. Du kannst den Inhalt deines privaten Ordners zwar auch anders sortieren, aber dabei zu bleiben hat den Vorteil, dass viele Apps zunächst an diesen Orten suchen.
Eine Ausnahme ist „Schreibtisch“. Der Ordner ist fest vorgegeben. Darin landet nämlich alles, was du im Finder auf dem Hintergrund ablegst.
Ein weiterer Sonderfall ist der Ordner „Öffentlich“. Er dient dem Datenaustausch, da andere auf die privaten Verzeichnisse keinen Zugriff haben. Nur die „Öffentlich“-verzeichnisse können alle gegenseitig öffnen und Inhalte daraus abholen. In den enthaltenen Ordner „Briefkasten“können sie auch etwas hineinlegen. Wie bei einem echten Briefkasten lässt sich das nicht wie
Ein Mac für mehrere Nutzer:innen
Individuelle Konten und Zugriffsrechte sind ein elementarer Bestandteil des Sicherheitskonzepts von macos. Sie erlauben eine klare Regelung, wer auf was zugreifen darf.
der herausholen und auch nicht sehen, was darin liegt.
Mit dem Menübefehl „Ablage > Informationen“im Finder oder der Dateifreigabe in der Systemeinstellung „Allgemein > Teilen“kannst du mehr Ordner für andere zugänglich machen. Dabei lässt sich genau festlegen, wer lesen oder schreiben, also etwas verändern, darf.
Kontoarten im Vergleich
macos kennt verschiedene Kontoversionen, die sich in ihren Rechten unterscheiden. Das erste, das du bei der Installation anlegst, ist immer vom Typ „Admin“. Es hat sehr weitreichende Rechte, vor allem in Bezug auf die Konfiguration des Systems. Als Adminstrator:in darfst du geschützte Einstellungen ändern, zum Beispiel in der Benutzerverwaltung oder im Sicherheitsbereich. Das heißt aber nicht, dass du einfach im Finder in fremde Homeverzeichnisse reinschauen und fremde Dateien öffnen darfst. Diese Hürde kann nur „root“überwinden, eine Art Superadministrator:in. Der rootzugang ist zwar nach der Installation vorhanden, aber nicht aktiviert. Das solltest du auch nur im Notfall und mit gewissen Vorkenntnissen ändern. Die entsprechenden Funktionen dafür findest du im Hilfsprogramm Verzeichnisdienste.
Der Typ „Standard“dient zum normalen Arbeiten. Da einfache Schadsoftware gewöhnlich mit den Rechten des aktiven Kontos arbeitet, ist es sinnvoll, nicht ständig als Administrator angemeldet zu sein, sondern für die tägliche Arbeit ein Standardkonto anzulegen. Ist später der Zugriff auf geschützte Einstellungen und Funktionen nötig, fragt der Mac ohnehin nach einer Administrator-berechtigung, die sich ohne Kontowechsel geben lässt.
Mithilfe der Funktion „Bildschirmzeit“kannst du ein Konto weiter einschränken. Dafür richtest du ein Standardkonto ein und meldest dich daran an. Dann öffnest du die Systemeinstellung „Bildschirmzeit“, um Arbeitszeiten oder die Nutzung einzelner Apps für das Konto zu begrenzen.
Über die normalen Benutzerkonten hinaus kennt macos noch zwei weitere: Aktivierst du den Typ „Gastbenutzer:in“, kann sich jemand ohne Passwort anmelden. Die Person erhält einen privaten Ordner und kann mit Apps arbeiten. Optional erhält sie auch Zugriff auf geteilte Ordner von anderen. Nach dem Abmelden wird das zugehörige Privatverzeichnis wieder gelöscht. Bei aktiver Filevault-verschlüsselung, was auf Macs mit Apple-cpu Standard ist, erhält ein Gast nur noch Zugriff auf Safari, aber nicht auf lokale Daten.
Der andere Typ ist „Nur teilen“. Er kann sich nur über das Netzwerk an aktiven Freigaben anmelden, aber nicht direkt am Mac. Er erhält auch kein lokales Homeverzeichnis.
Zu guter Letzt lassen sich Benutzer:innen in Gruppen einteilen. Dabei kann ein Konto auch mehreren Gruppen angehören. Das ist vor allem bei der Vergabe von Zugriffsrechten praktisch, da sich die Gruppe anstelle der einzelnen Accounts auswählen lässt.