Jak zarządzać uprawnieniami dotyczącymi użytkowników, którzy mogą dodawać / modyfikować innych użytkowników?

Wiem w świecie unixowym, jeśli chcesz mieć szczegółową wiedzę na temat tego, czy użytkownik może modyfikować konta użytkowników, możesz określić, czy mogą sudo wykonywać polecenia userdd usermod.

Nie szukam tylko odpowiedzi „po prostu uczyń ich administratorem”, ponieważ zasadniczo chcę:

Użytkownik Andy ma wszystkie uprawnienia administratora

Użytkownik Betty, ma wszystkie uprawnienia administratora, z wyjątkiem usuwania Andy'ego jako administratora.

Bibliografia

[1] Najlepsza praktyka instalowania aplikacji dla wielu użytkowników?

Nie jest to możliwe w OS X.

Użytkownik administracyjny jest rootem. Wszyscy użytkownicy administracyjni są rootami, jeśli wiedzą, jak coś zrobić lub dostać się do terminalu, mogą zrobić wszystko.

W tym celu może być konieczne skonfigurowanie serwera lub wybranie narzędzia. Moim ulubionym narzędziem w sytuacjach, w których musisz dać użytkownikom możliwość robienia rzeczy administracyjnych i sprawić, by nie byli administratorami, jest wdrożenie pakietu Casper firmy JAMF .

Jeśli Twój czas nie jest ceniony wysoko i nie masz nic przeciwko ponownemu wynalezieniu koła, możesz użyć narzędzia takiego jak munki, aby ponownie wdrożyć zestaw narzędzi, które pozwalają na ograniczoną liczbę sudoelementów i owinąć go we własną warstwę uwierzytelniania, aby zmniejszyć szansa na umożliwienie prawdziwego dostępu administratora, ale nigdy nie widziałem przypadku, w którym skonfigurowanie tego jest tańsze niż zakup narzędzia zaprojektowanego specjalnie do tego przypadku.

Nadal możesz korzystać z poleceń sudo, ale jeśli zezwolisz użytkownikowi na uprawnienia administratora - może on mieć i będzie miał pełne uruchomienie wersji GUI narzędzi, które mogą tworzyć, niszczyć użytkowników (a także modyfikować pliki sudo) .