Verwenden Sie die Richtlinie „Administratorbenutzerverwaltung“, um Administratorsitzungen auf Ihren Geräten bereitzustellen. Diese Funktion kann global oder mithilfe von Gerätegruppen auf bestimmte Gruppen angewendet werden.
Es ermöglicht Ihnen, Administratorsitzungen zu erstellen, deren Passwörter in Factorial IT zu speichern und optional die Berechtigungen anderer bestehender Sitzungen einzuschränken.
Demnächst verfügbar: die Möglichkeit zur Rechteausweitung (temporäre Vergabe von Administratorrechten). Bis dahin können Sie Tools wie Privileges und MakemeAdmin für diese Aktionen verwenden.
Administratorkonten über MDM Controls bereitstellen
Konfigurieren Sie die Richtlinie
- Aktivieren Sie die Funktion .
- Geben Sie den Benutzernamen der zu erstellenden Administratorsitzung an.
-
Kontopasswort festlegen:
- Zufälliges Passwort : wird pro Gerät generiert
- Festes Passwort : identisch auf allen Zielgeräten
- Entscheiden Sie, ob die Rechte bestehender Benutzer angepasst werden sollen:
- Standardwert : keine Änderung
- Optional : Berechtigungen für andere Sitzungen reduzieren
Speicherorte für Passwörter
-
Zufälliges Passwort : wird auf dem Bedienfeld jedes Geräts gespeichert.
- Ausrüstung > Geräte > Gerätepanel
-
Festes Passwort : in den Funktionseinstellungen gespeichert
- Profile > Relevantes Profil > Administrator-Kontoverwaltung
Konten auf Geräteebene verwalten
Über die Registerkarte „Benutzer“ eines Geräts können Sie Folgendes tun:
- Rechte des Verwalters
- Administratorrechte entfernen
- Eine lokale Sitzung erstellen
- Das Passwort einer bestehenden Sitzung ändern
Diese Maßnahmen ermöglichen neben der globalen profilbasierten Politik auch eine detaillierte Steuerung.
Die Richtlinie ändern oder deaktivieren
Nach der Aktivierung auf einem Profil kann die Richtlinie nicht direkt bearbeitet werden.
- Um die Richtlinie zu aktualisieren, deaktivieren Sie sie und aktivieren Sie sie anschließend mit den neuen Einstellungen wieder.
- Durch die Deaktivierung der Richtlinie wird deren Durchsetzung zwar gestoppt, das Administratorkonto Factorial IT und dessen Passwort werden jedoch nicht gelöscht und bleiben in Factorial IT verfügbar.
Sonderfälle
Entfernen des Administratorzugriffs auf einem Gerät mit einem aktiven Sicherheitstoken
SecureToken ist eine macOS-spezifische Funktion, die als Zugriffsschlüssel dient. Sie ermöglicht es einem Benutzerkonto, wichtige Sicherheitsfunktionen wie die FileVault-Verschlüsselung zu aktivieren und zu verwalten. Derzeit ist es nicht möglich, einem Konto Administratorrechte zu entziehen, wenn es das einzige mit einem SecureToken auf dem Gerät ist. Wir arbeiten daran, diese Verwaltung zu verbessern, um die Übertragung des SecureTokens auf ein anderes Konto zu ermöglichen, insbesondere auf das von Factorial IT verwaltete.
Fälle von Geräten, die von mehreren Administratorkontoverwaltungsrichtlinien betroffen sind
Richtlinienduplizierungen können auftreten, wenn Sie die Richtlinie sowohl in einem globalen als auch in einem spezifischen Profil aktivieren. In diesem Fall greift Factorial IT nicht in die Konfliktlösung ein: Das MDM versucht, den angeforderten Benutzer zu erstellen, indem es lediglich prüft, ob der Kontoname identisch ist.
Bewährte Verfahren
- Um die Sicherheit bei großem Umfang zu erhöhen, sollten Sie zufällige Passwörter bevorzugen.
- macOS SecureToken-Ausnahmen in internen IT-Verfahren dokumentieren: SecureToken-Regeln .
- Um Konflikte zu vermeiden, sollten Sie die Aktivierung doppelter Richtlinien für sich überschneidende Profile unterbinden.