Ich habe kürzlich eine Neuinstallation von Lion auf einem meiner Macs durchgeführt. Während des Installationsvorgangs wurde ein Administrator-Benutzerkonto erstellt. Nach der Installation habe ich FileVault für die gesamte Festplatte aktiviert. Dann habe ich einen zusätzlichen Administrator angelegt. Beide Benutzer können das Laufwerk während der Anmeldung entschlüsseln.
Wie kann ich einem Benutzer Entschlüsselungsrechte entziehen, ohne den Benutzer zu löschen oder FileVault vorübergehend zu deaktivieren? Ich habe versucht, einem Benutzer die Administratorberechtigung zu entziehen, sodass er ein regulärer Benutzer ist. Er kann das Laufwerk jedoch weiterhin während des Startvorgangs entschlüsseln.
Antworten:
Verwenden Sie fdesetup:
Siehe: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/
quelle
sudo fdesetup remove -user username
funktioniert auch unter macOS 10.12 Sierra!sudo fdesetup remove -user username
Funktioniert auch für macOS 10.13 High Sierra.Es ist nicht unmöglich. (Auch wenn Sie Benutzer gelöscht haben, haben Sie dies möglicherweise komplizierter gemacht!)
Ich habe den Artikel 'jaydisc' verlinkt und gerade getestet, dass er in 10.7.4 noch funktioniert:
Angenommen, Sie haben einen Administrator-Benutzer 'charlie', den Sie verwenden, aber nicht entsperren möchten:
Beachten Sie, dass Sie dies nicht tun können:
Denn wenn Sie die Eingabetaste drücken, wenn Sie die Aufforderung zum Eingeben eines neuen Passworts erhalten, wird es zurückkommen und sagen:
quelle
Es sieht so aus, als würden die Kennwörter der Benutzer vorübergehend aus dem EFI-Startmenü entfernt:
http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/
Leider sind in meinem Fall einige der Benutzer Open Directory Mobile-Benutzer, und ich kann keine Möglichkeit finden, ihr Kennwort auf "leer" zu setzen.
quelle
FileVault 2 und Recovery HD
Recovery HD ist nicht mit dem Wiederherstellungs-Betriebssystem zu verwechseln (eines ist größer als das andere).
Wenn Sie FileVault 2 für einen Benutzer aktivieren: Die nicht verschlüsselte versteckte Apple_Boot Recovery HD-Partition, die vom verschlüsselten Startvolume getrennt, aber für dieses kritisch ist, wird vorübergehend für Schreibvorgänge in EFI-bezogene und andere Dateien bereitgestellt. Wenn Sie diese Dateisystemaktivität anzeigen möchten, während Sie einen Benutzer für Entsperrzwecke aktivieren:
Ein Blick auf die Aktivität deutet darauf hin, dass Änderungen am unverschlüsselten Volume - im Verhältnis zum Benutzerkonto auf dem verschlüsselten Volume - nicht trivial sind .
Wenn ein Benutzer eine unangemessene Berechtigung zum Entsperren hat
Möglicherweise bietet ein Update für Lion (etwas höheres als Build 11A511) die Möglichkeit, einen Benutzer aus dem EFI-Anmeldefenster zu entfernen, der das Startvolume nicht mehr entsperren kann.
In der Zwischenzeit kann ich mir nur zwei Methoden vorstellen, die angewendet werden können.
Methode A: Deaktivieren und aktivieren Sie FileVault
Deaktivieren Sie FileVault 2
Abwärtskonvertierung abschließen lassen
Starten Sie das Betriebssystem neu
Aktivieren Sie FileVault 2, jedoch nicht für diesen Benutzer.
Methode B: Entfernen Sie den Benutzer, aber nicht das Basisverzeichnis usw.
Ich habe diese Methode nicht getestet. Ich stelle mir vor, dass Folgendes funktionieren könnte:
Sicherung
Entfernen Sie den Benutzer, jedoch nicht das Basisverzeichnis des Benutzers
Starten Sie das Betriebssystem neu
Erstellen Sie einen neuen Benutzer mit demselben Datensatznamen wie das Original
Legen Sie eine vom Original abweichende UniqueID-Nummer fest
Ordnen Sie dem neuen Benutzer das vorherige Basisverzeichnis zu.
quelle
Im Folgenden finden Sie eine sehr einfache Antwort zum Deaktivieren des Zugriffs eines zuvor aktivierten Benutzers auf ein mit FileVault 2 verschlüsseltes Laufwerk:
Im Terminal verwenden Sie:
Anschließend wird der deaktivierte Benutzer in der Liste der Benutzer angezeigt, die zum Aktivieren in den Systemeinstellungen -> Sicherheit und Datenschutz -> FileVault verfügbar sind, um zu bestätigen, dass die Deaktivierung erfolgreich war
quelle