MacOS zonder administrator-account

Het lijkt me dat er minimaal een admin account moet zijn. Maar dit is toch verder ook geen issue? Zet er een random lang wachtwoord op en de gebruiker kan er niks mee.

dit ligt eraan hoe users inloggen en wat voor een mdm oplossing je hebt. er zal altijd een local admin nodig zijn voor initiële stappen daarna kan er een user toegevoegd worden als standard.
maar er zijn mdm oplossingen die hiervoor een tijdelijk account aanmaken..

om even wat toe te lichten heb ik dit gevonden:
When you set up macOS from scratch, in order to ensure your data is kept somewhat safe and can be encrypted with FileVault, a secureToken is created via the initial Administrator account. This secureToken is essentially your device encryption key and, if lost, means you can no longer encrypt/decrypt your device (As well as your Data partition of macOS, I believe). Basically, you ALWAYS need that secureToken to be present on your device via a local Administrator account. Getting rid of that means that you will have to reformat the whole device once things get weird (Which tends to happen quite quickly, especially in managed environments).

So, why not generate your secureToken and then downgrade the initial account to Local User? Well, then there's no Administrator. Eventually your device will need a local Administrator to perform certain tasks and you'll be forced to wipe the device. Wanna push an MDM-created user account alongside the initial Administrator account? Sure, but the secureToken will be different or non-existent, meaning either your primary Administrator account can no longer access your encrypted drive and/or Data partition (Becoming redundant), or the new user account will experience the same thing.

The answer here is that any account created BY the initial Administrator will inherit the secureToken from that account, thus ensuring the Data partition and any consequent encryption is shared within these accounts. Create the first user as an Administrator, use that account to create a second Administrator account (This will be your local admin account), then use that second account to downgrade the original one. Doing this ensures that your secureToken is always present on your local Administrator account and is transferrable for any users created from thereon.

Zou er wel voor de zekerheid op alle machines hetzelfde wachtwoord opzetten en deze goed bewaren.

Frogmen schreef op vrijdag 27 december 2024 @ 10:21:
Zou er wel voor de zekerheid op alle machines hetzelfde wachtwoord opzetten en deze goed bewaren.

Dit dus zeker niet doen, als iemand achter het wachtwoord komt ben je de sjaak op al je machines!

Wij gebruiken LAPS op onze windows computers, die slaat het unieke admin wachtwoord van de machine op in Active Directory zodat een admin indien nodig daarmee kan inloggen. Ik kan me voorstellen dat er voor MacOs iets soortgelijks bestaat? Ik zal het eens vragen bij ons, we hebben ook nogal wat macs namelijk.

Monkeybrains schreef op vrijdag 27 december 2024 @ 10:29:
[...]


Dit dus zeker niet doen, als iemand achter het wachtwoord komt ben je de sjaak op al je machines!

Wij gebruiken LAPS op onze windows computers, die slaat het unieke admin wachtwoord van de machine op in Active Directory zodat een admin indien nodig daarmee kan inloggen. Ik kan me voorstellen dat er voor MacOs iets soortgelijks bestaat? Ik zal het eens vragen bij ons, we hebben ook nogal wat macs namelijk.

Want dat is heel anders, als je je admins niet vertrouwd moet je ze niet in dienst nemen. En ja kan allemaal maar toch zie ik meer werk onderbrekingen door te vergaande beveiliging dan door misbruik (of is het gebruik). Er wordt nog wel eens vergeten dat IT ten dienste staat van de gebruiker en het zijn werk makkelijker moet maken.

Frogmen schreef op vrijdag 27 december 2024 @ 10:35:
[...]

Want dat is heel anders, als je je admins niet vertrouwd moet je ze niet in dienst nemen. En ja kan allemaal maar toch zie ik meer werk onderbrekingen door te vergaande beveiliging dan door misbruik (of is het gebruik). Er wordt nog wel eens vergeten dat IT ten dienste staat van de gebruiker en het zijn werk makkelijker moet maken.

Maar dat betekent niet dat je op een deur overal hetzelfde hangslot kunt hangen. Dat heeft overigens niets met vertrouwen van de medewerkers te maken. Meer met verkleinen van impact wanneer een wachtwoord uitlekt.

CH4OS schreef op vrijdag 27 december 2024 @ 10:44:
[...]

Maar dat betekent niet dat je op een deur overal hetzelfde hangslot kunt hangen. Dat heeft overigens niets met vertrouwen van de medewerkers te maken. Meer met verkleinen van impact wanneer een wachtwoord uitlekt.

Als je die sleutels allemaal in hetzelfde kastje hangt met een sleutel is het verschil toch minder groot.

Frogmen schreef op vrijdag 27 december 2024 @ 10:35:
[...]

Want dat is heel anders, als je je admins niet vertrouwd moet je ze niet in dienst nemen. En ja kan allemaal maar toch zie ik meer werk onderbrekingen door te vergaande beveiliging dan door misbruik (of is het gebruik). Er wordt nog wel eens vergeten dat IT ten dienste staat van de gebruiker en het zijn werk makkelijker moet maken.

Ik snap deze opmerking niet helemaal? Waarom staat dit niet in dienst van de gebruiker? Dit heeft niets met het vertrouwen van admin te maken maar meer met het feit dat als je geen unieke wachtwoorden gebruikt het bekend raken van dat ene wachtwoord al je machines kwetsbaar maakt ipv maar 1.

[ Voor 15% gewijzigd door Monkeybrains op 27-12-2024 11:04 ]

Frogmen schreef op vrijdag 27 december 2024 @ 10:56:
[...]

Als je die sleutels allemaal in hetzelfde kastje hangt met een sleutel is het verschil toch minder groot.

In dat kastje kun je best groepen hebben en op die groep weer rechten? Zo te lezen wordt het company policy, dus kan de password manager best ook enterprise grade zijn?