Me tomó algunas horas aprender que es un valor booleano (y no solo 0 o 1 como informaría 'valores predeterminados') pero finalmente encontré lo siguiente LoginHook que hace el truco. Como LoginHooks obtener
ejecutado como usuario root, debe 'su' para el usuario que está siendo registrado actualmente
en antes de ejecutar el script de abajo. Como Michele señala a continuación, ese nombre de usuario
está disponible como $ 1 para el Hook-Script que se ejecuta como root.
Parece ser un usuario de configuración de servidor, aunque SystemPrefs solicitaría una contraseña de administrador para modificar esta configuración ...
La secuencia de comandos de mi gancho que se está ejecutando en el contexto del usuario se ve así:
#!/bin/sh
if [ 'whoami' = "root" ]; then
echo "$0: Must run as regular user, not root! QUIT."
exit 1
fi
# write new setting
defaults write -currentHost com.apple.network.eapolcontrol EthernetAutoConnect -bool false
Usando opensnoop (1) o fs_usage (1) no pude ver ningún otro archivo siendo modificado. Espero que ayude.