Utilisateurs staff et admin sous MacOS X

OS X utilise des groupes pour gérer son concept d'utilisateurs "normaux" et d'utilisateurs avec des privilèges d'administrateurs. Soyez attentif au fait qu'un administrateur peut, entre autres choses, installer des applications dans le dossier /Applications, alors qu'un utilisateur "normal" n'est pas autorisé à le faire.

Comment cela fonctionne-t-il ?

Un utilisateur normal est membre du groupe staff. Un administrateur est aussi membre du groupe staff, et il est également ajouté aux groupes admin et wheel. La plupart des fichiers en dehors du dossier /Users sont définis comme suit :

• L'utilisateur propriétaire est root et a les droits pour lire, modifier et exécuter
• Le groupe propriétaire est admin et a les droits pour lire, modifier et exécuter
• Les autres utilisateurs n'ont les droits que pour lire et exécuter

Si nous affichons le contenu du dossier /Applications…

% ls -l /Applications
drwxrwxr-x 4 root admin 264 Jan 28 22:00 Acrobat Reader 5.0
drwxrwxr-x 3 root admin 264 Sep 15 2001 Address Book.app
drwxrwxr-x 6 root admin 264 Feb 15 01:35 AppleScript
drwxrwxr-x 9 bibi admin 264 Mar 2 17:48 AppleWorks 6.app
drwxrwxr-x 4 root admin 264 Jan 6 19:00 Calculator.app
...

Nous avons la confirmation qu'il en est ainsi. Un utilisateur de base peut utiliser toutes les applications mais ne peut les modifier. Notez qu'AppleWorks a bibi comme propriétaire. C'est parce que AppleWorks a été installé dans le dossier /Applications par bibi et non par le Système. Mais cela ne fait pas de différence : n'importe quel autre administrateur pourra l'effacer ou le modifier (mettre à jour par exemple) parce qu'il est membre du groupe admin.

Le dossier /Applications lui-même a des droits similaires :

% ls -ld /Applications
drwxrwxr-x 28 root admin 908 May 30 17:42 /Applications

Quelques parties de Mac OS X sont même protégées des administrateurs, notamment tout ce qui se trouve dans le dossier /System.

Si vous affichez le contenu du dossier /System/Library, vous noterez que les droits d'écriture ont été retirés au groupe propriétaire. Le groupe propriétaire, ici, est wheel et non admin mais, comme les administrateurs sont membres du groupe wheel, cela n'affecte pas leurs droits. La raison du groupe wheel est de mettre en valeur le fait que ce sont des fichiers Système et qu'ils ne doivent pas être bidouillés par un seul utilisateur, même s'il est administrateur.

Extrait de http://www.graffitix.com/index.php?pg=MXDDroit1
lui-même traduit de http://www.osxfaq.com/Tutorials/LearningCenter/AdvancedUnix/ugp/index.ws