Hallo,

Ik ben gewend om aparte accounts te hebben voor admin en gebruiker, nu ben ik in Big Sur de enigste gebruiker en dus Admin.
Ik wil dus net als onder Linux een gebruikers account hebben voor normaal gebruik en een Admin account voor beheer van de iMac.
Is dit alsnog mogelijk, kan iemand mij uitleggen hoe

Helpt dit je verder ?

Een andere overweging is om de ‘root gebruiker’ te activeren. Maar als je dat niets zegt, dan maar niet doen. Het heeft mij al een aantal malen op mijn machines en andere die ik beheer kunnen helpen/redden.

Ik wil dus net als onder Linux een gebruikers account hebben voor normaal gebruik en een Admin account voor beheer van de iMac.
Is dit alsnog mogelijk, kan iemand mij uitleggen hoe

Ja, gewoon een tweede gebruiker maken in  → Systeemvoorkeuren → Gebruikers en groepen, die géén beheerder maken en dan je bestanden e.d. naar de account daarvan verplaatsen (en de rechten aanpassen).

Het enige verschil dat dit echt zal maken, is dat wanneer macOS vraagt om gebruikersnaam en wachtwoord om bepaalde zaken uit te kunnen voeren, de naam niet meer alvast ingevuld zal zijn.

Ja, gewoon een tweede gebruiker maken in  → Systeemvoorkeuren → Gebruikers en groepen, die géén beheerder maken en dan je bestanden e.d. naar de account daarvan verplaatsen (en de rechten aanpassen).

Ik zou daar een nieuw account aanmaken, dat beheerdersrechten geven en dan het huidige account aanpassen naar een niet-beheerder.

Scheelt het verplaatsen van de bestanden.

Nu werkt iedereen natuurlijk zoals hij zelf wil, maar ik zie persoonlijk het nut niet om naast een admin-account, een gebruikers-account aan te maken zonder admin rechten (en dan daar mee te werken). Ik zie wel het nut om een extra (admin) account te hebben in probleem gevallen.

Ik vind de methode wel effectief als je beheerder bent van een niet-eigen werkstation. Zo’n gebruiker geef je dan geen admin-rechten.

Ja, gewoon een tweede gebruiker maken in  → Systeemvoorkeuren → Gebruikers en groepen, die géén beheerder maken en dan je bestanden e.d. naar de account daarvan verplaatsen (en de rechten aanpassen).

Huh? Waarom zo'n vreemde exercitie?

Altijd een tweede (admin) account op je Mac hebben, dat kan je bij problemen uit de brand helpen.

Het nut, of voordeel, van je normale account geen beheerdersrechten geven, zie ik niet.

Ik heb dezelfde vraag, en ben admin op al mijn Macs. En ook op de Macjes die ik voor vrienden weer op de rails heb gezet. Mijn Macs hebben enkel dat 1ne admin account.

Maar toch: aanzet tot antwoord:
https://apple.stackexchange.com/questions/243991/what-point-is-there-in-using-an-everyday-non-admin-account-on-os-x

Ben je daar wat mee?

Zoals ook in de link van HEXDIY al genoemd staan, zijn mijn voornaamste argumenten:
- Security-principe om nooit met meer rechten te werken dan nodig.
- Beschermen tegen jezelf.

Eigenlijk zou de vraag meer moeten zijn waarom je NIET onder een standaard-account zou werken?
Antwoord op die vraag is overigens simpel: Apple doet bij installatie hier helemaal geen moeite voor. De installatie vraagt je om een account aan te maken en er op in te loggen met je appleid en dit wordt meteen een admin-account.
Voor een bedrijf dat security hoog in het vaandel heeft een vreemde afweging waar de balans naar gebruikerservaring belangrijker wordt gevonden. Voor een iets-minder-technisch-vaardige nieuwe gebruiker snap ik ook wel dat het ingewikkeld is als je tijdens de installatie 2 accounts zou moeten aanmaken.

Ik gebruik mijn admin-account alleen om software-updates en een aantal app-updates te doen, verder nooit.

Overigens vind ik het dan weer raar om 2 admin-accounts te hebben. Ik heb altijd maar 1 admin-account op mijn computer, nog nooit problemen mee gehad. Maar misschien dat er eerder iets misgaat (wat dan?) als je vaak in je admin-account werkt?
Als laatste optie kun je altijd nog in single-user mode starten om dingen te repareren (als dat niet meer werkt ben je echt aan een herinstallatie of nieuwe mac toe...)

Antwoord op die vraag is overigens simpel: Apple doet bij installatie hier helemaal geen moeite voor. De installatie vraagt je om een account aan te maken en er op in te loggen met je appleid en dit wordt meteen een admin-account.
Voor een bedrijf dat security hoog in het vaandel heeft een vreemde afweging waar de balans naar gebruikerservaring belangrijker wordt gevonden.

Voor een iets-minder-technisch-vaardige nieuwe gebruiker snap ik ook wel dat het ingewikkeld is als je tijdens de installatie 2 accounts zou moeten aanmaken.

Volgens mij geef je zelf exact aan waarom Apple deze keuze maakt.

Als je er bewust mee omgaat maakt het niet zo heel erg veel uit of je wel of niet in een beheerders-account werkt, maar het is waar dat het beheerders-account apart houden je Mac wel nog wat veiliger maakt.

Ik zou daar een nieuw account aanmaken, dat beheerdersrechten geven en dan het huidige account aanpassen naar een niet-beheerder.

Ik meen me te herinneren dat macOS soms moeilijk kan doen als de eerste account op de computer geen beheerder is.

@Jakko W: wat bedoel je met "de eerste account"?

Het eerste account dat op de Mac aangemaakt is?

Nooit iets van ervaren.
Zou ook wel heel vreemd zijn als macOS dit niet goed zou doen.
In Mac OS 9 was het anders, ja.

Ik zie helemaal geen reden om niet in een admin account te werken.
Aan 'principes' heb je niet zoveel in deze, als het verder geen nut, geen voordeel heeft.
Of je nou elke keer als de 'beheerdersvraag' op komt, de naam en ww van een beheerdersaccount invult, of die van jezelf, maakt toch geen biet uit?!

Of je nou elke keer als de 'beheerdersvraag' op komt, de naam en ww van een beheerdersaccount invult, of die van jezelf, maakt toch geen biet uit?!

Klopt, maar daar gaat het ook maar gedeeltelijk over.

Behalve dat je mogelijk bewuster omgaat als het om een apart admin-account gaat zijn er ook scripts die waarvan je binnen een admin-account niets bijzonders aan merkt. Met een apart admin-account kan dat niet geactiveerd worden, of realiseer je je plotseling dat daar admin-rechten voor nodig zijn.

En daar zijn in het verleden al rottigheden mee uitgehaald.

@Jakko W: wat bedoel je met "de eerste account"?

Het eerste account dat op de Mac aangemaakt is?

Dat leek me duidelijk, maar inderdaad: de eerste account die op de computer aangemaakt is, UID 501.

Nooit iets van ervaren.
Zou ook wel heel vreemd zijn als macOS dit niet goed zou doen.

Zoals ik zei: ik meen me te herinneren — dat betekent niet „dit is de waarheid en niks anders.”

UID 501 is idd. de 1ste admin account op Mac OS. 502, 503 en volgende zijn ook admin accounts.

Je accounts oplijsten via een Terminal:
https://support.4it.com.au/article/list-user-accounts-mac-osx-using-terminal-command-line/

Te zeggen:
dscl . list /Users | grep -v “^_”
Kom je daar ergens mee?

De opgeroepen lijst verbaast me. Ik ben blijkbaar ook root,  hoewel ik dat nooit heb ingeroepen...

Wat jullie?

Apple heeft hier inderdaad (in tegenstelling tot wat een aantal mensen hier over denken) (beveiligings)technisch goed over nagedacht. De eerste gebruiker die je op je systeem aanmaakt heeft inderdaad rechten om beheer uit te mogen voeren. Dat is logisch, aangezien je anders geen systeemwijzigingen meer kan uitvoeren. Dat wil echter niet zeggen dat je als die gebruiker continu met verhoogde rechten werkt. Als je iets aan het systeem wilt veranderen (bv filevault instellingen) dan dien je altijd de naam (vooringevuld) en wachtwoord te geven van het beheerders account waar je op dat moment mee werkt (een equivalent van het unix sudo commando). Ook moderne linux distributies werken met deze methode, evenals Windows.

Wat voegt dan qua beveiliging de aparte 'niet-beheerder' user toe? Niets. Ook dan zul je, als je bijvoorbeeld filevault instellingen wilt wijzigen de naam en het wachtwoord van een beheerder moeten geven.

Dat is ook mijn idee, zoals ik in m’n eerste antwoord in dit onderwerp al aangaf De enige beveiligingen die toegevoegd worden door niet in een beheerdersaccount te werken zijn, voor zover ik weet:

• Je moet óók de gebruikersnaam van een beheerder intypen, en niet alleen een wachtwoord, bij vensters die daarom vragen; en
• Je staat niet in de sudoers-lijst.

Verder maakt het bij mijn weten eigenlijk geen verschil, in elk geval niet in de praktijk.

Wat voegt dan qua beveiliging de aparte 'niet-beheerder' user toe? Niets. Ook dan zul je, als je bijvoorbeeld filevault instellingen wilt wijzigen de naam en het wachtwoord van een beheerder moeten geven.

Ik denk dat het voor de meeste mensen niet opvalt als ze een keertje ook hun gebruikersnaam in moeten vullen, het blijft hetzelfde wachtwoord en account dat ze voor alles al gebruiken. Maar kennelijk verschillen de meningen hierover.

Ik denk dat het voor de meeste mensen niet opvalt als ze een keertje ook hun gebruikersnaam in moeten vullen, het blijft hetzelfde wachtwoord en account dat ze voor alles al gebruiken. Maar kennelijk verschillen de meningen hierover.

George, deze snap ik niet helemaal.. Bedoel je dat het (iets minder technische) mensen niet meer opvalt dat ze af en toe hun wachtwoord moeten ingeven om iets te kunnen installeren/configureren? Dat kan zijn, maar dat zijn ook niet de mensen die het snappen dat ze dan de credentials van een andere gebruiker (beheerder) moeten gaan invoeren.

Punt is dat ik deze implemtentatie van rechten (je werkt met standaard gebruikersrechten, maar je kan je rechten verhogen als je dat nodig hebt) goed doordacht vind en in lijn met hoe andere OS'en dat oplossen.

Ik denk dat het voor de meeste mensen niet opvalt als ze een keertje ook hun gebruikersnaam in moeten vullen, het blijft hetzelfde wachtwoord en account dat ze voor alles al gebruiken. Maar kennelijk verschillen de meningen hierover.

Ik denk wel dat ze dat op gaat vallen, want als ze hun éígen gebruikersnaam invullen, dan zegt de computer dat ze niet mogen doen wat ze willen doen.

De kans is wel aanwezig dat ze hierdoor de pad kwijtraken en niet meer weten wat ze wél moeten doen, want meldingen lezen, of in elk geval meldingen begrijpend lezen, ho maar …

Punt is dat ik deze implemtentatie van rechten (je werkt met standaard gebruikersrechten, maar je kan je rechten verhogen als je dat nodig hebt) goed doordacht vind en in lijn met hoe andere OS'en dat oplossen.

Als je deze strategie toepast in een zakelijke gebruikers-omgeving of bij iemand die van toeten nog blazen weet kun je er naast gaan zitten. Spreek uit ervaring.

Het is trouwens ook mogelijk om een 'onzichtbaar' account aan te maken binnen macOS.

https://www.techrepublic.com/article/pro-tip-how-to-create-a-hidden-admin-account-in-macos/