Primero algunos comandos importantes para saber:
ls -laO
muestra mucho:
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
ls -elaO
incluye ACL:
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
0: user:_spotlight inherited allow list,search,file_inherit,directory_inherit
El siguiente comando muestra a todos los miembros de un grupo (el grupo de ejemplo aquí es personal):
members () { dscl . -list /Users | while read user; do printf "$user "; dsmemberutil checkmembership -U "$user" -G "$*"; done | grep "is a member" | cut -d " " -f 1; }; members staff
El siguiente comando muestra el UID, el GID y las membresías del grupo user_name
id user_name
Por favor verifique sus diferentes usuarios / grupos con los últimos dos comandos para obtener una descripción general.
Los permisos estándar en el sistema de archivos se aplican utilizando UID y GID en lugar de nombres. Entonces
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
debe leerse como (asumiendo que el UID de miusuario1 = 501):
drwxrwxr-x+ 19 UID=501 GID=20 714 2 Feb 10:31 My Passport
| | |
| | |Others (Members of GID=12 (Everyone)?) can read and execute
| |Members of GID=20 can read, write and execute
|UID=501 can read, write and execute (owner)
Al adjuntar Mi pasaporte a otra Mac (Mac2), no se cambiará el UID / GID, se mostrará lo siguiente:
-
En caso de que el UID = 501 y GID = 20 de myuser2 (GID = 20 (staff) sea un grupo estándar en cada Mac y cada usuario (estándar o administrador) creado con las Preferencias del Sistema sea miembro de él)
drwxrwxr-x+ 19 UID=501 GID=20 714 2 Feb 10:31 My Passport
que se traduce a:
drwxrwxr-x+ 19 myuser2 staff 714 2 Feb 10:31 My Passport
y myuser2 en Mac2 tiene los mismos derechos que myuser1 en Mac1
-
En caso de que el UID = 502 de myuser2 y el UID = 501 de myuser3 y ambos sean miembros de staff :
drwxrwxr-x+ 19 myuser3 staff 714 2 Feb 10:31 My Passport
myuser2 como miembro de staff ya no es propietario, pero aún puede rwx.
-
En caso de que el UID = 502 de myuser2 sea miembro del staff y myuser3 con UID = 501 se haya eliminado :
drwxrwxr-x+ 19 (unknown user) staff 714 2 Feb 10:31 My Passport
myuser2 como miembro de staff ya no es propietario, pero aún puede rwx.
-
En el caso de que el UID = 503 de myuser2 sea no miembro del staff y se elimine el UID = 501
drwxrwxr-x+ 19 (unknown user) staff 714 2 Feb 10:31 My Passport
myuser2 como otros (miembro de todos ?) puede rx.
Entonces, para responder a sus preguntas: la razón por la que myuser2 en Mac2 tiene los mismos derechos que myuser1 en Mac1 son los mismos UID y GID / membresías grupales de ambos en sus respectivos hosts. Staff es un grupo predeterminado en cada Mac.
En su entorno actual (las máquinas individuales / los derechos de administrador de los usuarios principales) que utilizan unidades externas no son "seguras / guardadas", solo se utilizan permisos para determinar el acceso. Y nunca fue destinado a ser.
En una unidad organizativa (el usuario común de una estación de trabajo es no administrador) con una administración de usuarios centralizada (OD, etc.) puede usar puntos de montaje aplicados y grupos especiales se ocupan de unidades externas:
Propietario especial y un nuevo grupo para la unidad / punto de montaje:
drwxrwx--- 19 UID=501 GID=512 714 2 Feb 10:31 My Passport
o
drwxrwx--- 19 UID=501 GID=512 714 2 Feb 10:31 My Passport/share_folder
y todos los usuarios que no son administradores que requieren acceso a la (s) unidad (es) externa (s) son miembros de GID = 512 ("Usuarios de unidad externa")
Aún así, cuando se pierde la unidad externa, cualquiera puede tener acceso a ella. Para hacerlo seguro, debe cifrar el contenido de los discos externos.