In diesem Blogbeitrag zeige ich euch, wie ihr mithilfe eines Shell-Skripts einen lokalen Administrator-Benutzer auf macOS erstellt und gleichzeitig allen vorhandenen lokalen Benutzern die Administratorrechte entzieht. Diese Methode ist besonders nützlich für IT-Administratoren, die eine konsistente Verwaltung und Sicherheit auf mehreren macOS-Geräten gewährleisten möchten.

Schritt 1: Erstellen des Shell-Skripts

Zuerst erstellen wir ein Shell-Skript namens create-local-admin.sh. Dieses Skript wird verwendet, um einen neuen Benutzer mit Administratorrechten zu erstellen und die Admin-Rechte von allen anderen Benutzern zu entfernen.

Erstellt eine Datei mit dem Namen create-local-admin.sh und fügt folgenden Inhalt hinzu:

In meinen Github repository findet Ihr das Script zum Download.

#!/bin/zsh
# Lukasz Hauptman | lukasz.de | 2024

# Username and Password to create
username=Administrator
password="MyPassword"

# Create User and add to admins
dscl . -create /Users/$username
dscl . -create /Users/$username UserShell /bin/bash
dscl . -create /Users/$username RealName $username
dscl . -create /Users/$username UniqueID "510"
dscl . -create /Users/$username PrimaryGroupID 20
dscl . -create /Users/$username NFSHomeDirectory /Users/$username
dscl . -passwd /Users/$username $password
dscl . -append /Groups/admin GroupMembership $username

# Get list of regular users
users=$(dscl . -list /Users | grep -v -e '_' -e root -e nobody -e daemon -e $username)

# Loop through them and remove them from Admins group
for i in $users
do
  dseditgroup -o edit -d $i -t user admin
done

Erklärung des Skripts:

• Erstellen eines neuen Benutzers: Der Abschnitt des Skripts, der mit dscl . -create beginnt, erstellt einen neuen Benutzer mit dem Namen Administrator und weist ihm ein Passwort zu. Dieser Benutzer wird dann der Administratorengruppe hinzugefügt.
• Entfernen von Administratorrechten: Das Skript durchläuft anschließend alle existierenden Benutzer, die keine Systembenutzer (wie root oder daemon) sind, und entzieht ihnen die Administratorrechte.

Schritt 2: Hochladen des Skripts zum Endpoint Manager

Nun müsst ihr das Skript in den Microsoft Endpoint Manager hochladen und konfigurieren, um es auf den entsprechenden Geräten auszuführen.

1. Navigiert zum Microsoft 365 Endpoint Manager Portal.
2. Geht zu Geräte > macOS > Skripts.
3. Klickt auf „Hinzufügen“, um ein neues Skript hinzuzufügen.
4. Ladet das zuvor erstellte Skript create-local-admin.sh hoch.
5. Konfiguriert die folgenden Optionen:
   • „Skript als angemeldeter Benutzer ausführen“: Nein
   • „Skriptbenachrichtigungen auf Geräten ausblenden“: Ja
   • „Häufigkeit der Skriptausführung“: Nicht konfiguriert
   • „Maximale Anzahl von Wiederholungsversuchen bei Skriptfehlern“: 3-mal
6. Zuweisungen: Wählt die Geräte-Gruppe aus, auf der das Skript angewendet werden soll.

Fazit

Mit diesen Schritten habt ihr erfolgreich einen lokalen Administrator auf macOS erstellt und sichergestellt, dass keine anderen Benutzer Administratorrechte besitzen. Diese Methode bietet eine effiziente Möglichkeit, die Sicherheit und Verwaltung von macOS-Geräten in einer Unternehmensumgebung zu verbessern.