Uma das práticas de computação segura comumente recomendadas é executar suas atividades diárias em uma conta de usuário padrão e reservar contas administrativas apenas para instalar aplicativos, ajustar configurações do sistema e reconfigurar o sistema. Essa configuração ajuda a evitar que os percalços executados em uma conta padrão afetem os recursos do sistema global. Por exemplo, um ataque de malware ou bug em um aplicativo terá acesso mais fácil à pasta Aplicativos, às pastas globais da Biblioteca e a outros recursos abertos a contas administrativas. Portanto, ao usar uma conta com permissões padrão, você ajudará a impedir que problemas ou perigos afetem os recursos do sistema sem sua permissão explícita.
Algumas pessoas podem ter reservas sobre o uso de contas padrão mais restritivas por medo de não poder fazer alterações no sistema quando necessário; no entanto, no OS X isso não deve ser um problema. Na maioria dos casos, se uma tarefa exigir privilégios administrativos, o sistema solicitará as credenciais adequadas, mesmo quando essas tarefas forem invocadas a partir de uma conta padrão. Portanto, você pode continuar trabalhando em sua conta padrão para evitar alterações automáticas nas configurações e recursos do sistema e, em seguida, estar preparado para autenticar sempre que necessário.
Isso é fácil de fazer quando você configura o sistema pela primeira vez, onde é possível usar o assistente de configuração para criar a conta de administrador padrão, seguida da especificação de contas de usuário padrão para todos que usam o sistema. No entanto, se você estiver executando uma conta de administrador, criar e migrar para uma nova conta padrão será um fardo, pois você terá que reconfigurar todas as suas configurações, programas e serviços online, além de migrar seus dados para o novo sistema.
No entanto, em vez de se incomodar com a migração para uma nova conta, você pode alternar sua conta atual de administrador para uma conta padrão e, assim, impor as mesmas restrições a ela. Para fazer isso, primeiro você precisa criar a nova conta de administrador nas preferências de sistema de Contas (ou Usuários e Grupos) e, em seguida, fazer logout da sua conta atual e fazer login na nova conta de administrador. Uma vez logado na nova conta, volte para as preferências do sistema Contas, selecione sua conta de administrador antiga e desmarque a opção "Permitir ao usuário administrar este computador" para rebaixá-lo.
Em alguns casos raros, as pessoas podem achar que todas as contas no sistema são padrão, sem opção de administrador disponível. Essas situações geralmente acontecem devido a falhas durante uma migração ou restauração do sistema e, devido à falta de uma conta de administrador, será necessária uma atenção especial para recriar uma.
Existem algumas abordagens que você pode adotar caso seu sistema não tenha uma conta de administrador. A primeira é usar criar uma nova conta administrativa usando o modo Terminal no modo de usuário único. O modo de usuário único ignora as contas no sistema e carrega o sistema em um ambiente somente terminal com privilégios de root. Isso permite acesso completo ao sistema usando a linha de comando e permitirá que você modifique o diretório do sistema e crie uma nova conta de administrador.
Para fazer isso, primeiro reinicialize o sistema enquanto mantém as teclas Command e S simultaneamente até você ver o prompt de comando e execute o seguinte comando para permitir a gravação na unidade de inicialização (isso fica desativado por padrão para fins de segurança):
monte -uw /
Quando você executar este comando, siga este procedimento para criar uma nova conta de administrador:
- Verifique a presença do grupo de administração com o seguinte comando:
dscl. -read / Groups / admin GroupMembership
- Se o grupo de administradores não existir, você receberá um erro do DS como a saída que reivindica, em parte, que o registro não foi encontrado. Nesse caso, você precisará criar o grupo admin executando os seguintes comandos; no entanto, se existir, prossiga para o passo 3 abaixo:
dscl. -criar / Grupos / admin
dscl. -create / Groups / admin Administradores RealName
dscl. -create / Groups / admin PrimaryGroupID 80
dscl. -create / Groups / admin Password \ *
dscl. -create / Groups / admin GroupMembership root
Esses comandos criarão o grupo, seguido do nome completo adequado e, em seguida, definirão o ID do grupo como aquele que é usado pelo grupo admin no OS X. Esse número é atribuído a todos os recursos que o grupo pode acessar, e atribuí-lo ao grupo de administradores recém-criado o tornará um verdadeiro grupo de administradores, pois qualquer membro terá acesso a esses recursos. Por fim, damos ao grupo uma senha vazia, portanto, será necessário o uso das senhas de membro para funcionar (requer autenticação) e, em seguida, atribuir a conta raiz ao grupo.
- Atribuir uma conta de usuário ao grupo de administração executando o seguinte comando. Neste comando, substitua USERNAME pelo nome abreviado da conta que você deseja administrar. Esta pode ser qualquer conta por agora:
dscl. -create / Groups / admin GroupMembership USERNAME
Esse procedimento exige que você digite um número razoável de comandos e, como erros de digitação nos comandos do Terminal podem levar a resultados indesejados ou confusos, você pode, alternativamente, usar o assistente de configuração do OS X para recriar a conta de administrador. Para fazer isso, após inicializar no modo de usuário único e configurar o sistema de arquivos para acesso de gravação (veja acima), execute o seguinte comando:
rm /var/db/.AppleSetupDone
Isso removerá um arquivo invisível no sistema que indica que o Assistente de Configuração já foi executado. Portanto, removendo esse arquivo e reiniciando, você chamará o assistente de configuração e fará com que o sistema execute as etapas para criar uma nova conta de administrador, usando uma interface amigável.
Deixe O Seu Comentário