Zugriffsrechte in Mac OS X reparieren

Bei Mac-Problemen aller Art bekommt man sehr häufig den Ratschlag, man solle doch zunächst einmal die Zugriffsrechte reparieren. Das kann auf jeden Fall nie schaden. Aber was für Zugriffsrechte sind da eigentlich gemeint, wie repariert man sie, und was muß man dabei beachten ? Welche Dateien werden dabei einbezogen, und welche Probleme lassen sich dadurch beheben ?

Was sind eigentlich Zugriffsrechte ?

Wie alle UNIX-Systeme und UNIX-Derivate ist auch Mac OS X ein Mehrbenutzersystem. Das Betriebssystem muß daher in der Lage sein zu unterscheiden, welchem Benutzer welche Dateien gehören. In den Zugriffsrechten eines Objekts wird festgelegt, wer vollen Zugriff hat, wer nur lesen, aber nichts verändern darf und wer Ausführungsrechte hat. Unterschieden werden dabei die Rechte des Eigentümers, der Benutzergruppe und aller sonstigen Benutzer einschließlich Gäste. Seit Mac OS X 10.4 werden zusätzlich auch ACLs (Access Control Lists) unterstützt, die eine noch detailliertere Differenzierung von Rechten erlauben (weitere Infos dazu siehe weiter unten).

Jedes einzelne Objekt, das auf der Festplatte liegt, hat eigene individuelle Zugriffsrechte: für jede Datei, jeden Ordner, jedes Programm und jedes nur denkbare Objekt verwaltet das Betriebssystem die Informationen darüber, wer lesen, schreiben und ausführen darf. Die Zugriffsrechte sind allerdings eine der größten Schwachstellen von Mac OS X und geraten im Laufe der Zeit ganz gerne mal durcheinander.

Wann ist die Reparatur der Zugriffsrechte sinnvoll ?
Welche Probleme können durch fehlerhafte Zugriffsrechte verursacht werden ?

Die Reparatur der Zugriffsrechte gehört unter Mac OS X zu den Standard-Pflegemaßnahmen und ist normalerweise schnell erledigt. Das soll nicht heißen, daß man die Rechtereparatur unbedingt jede Woche vornehmen muß – wenn alles gut funktioniert, gibt es dafür keinen Grund. Solange der Mac rund läuft, genügt es unserer Erfahrung nach, die Reparatur alle paar Monate mal laufenzulassen.

Unbedingt empfehlenswert ist die Reparatur der Zugriffsrechte nach einer Neuinstallation des Betriebssystems, nach Systemupdates, Migration von Benutzern und umfangreicheren Softwareinstallationen. Die Reparatur der Rechte vor einem Betriebssystemupdate kann sinnvoll sein, um Fehlern während der Installation vorzubeugen.

Treten während der Arbeit Probleme mit dem Betriebssystem auf, häufen sich Abstürze, Druck- oder Softwareprobleme aller Art, sollte die Reparatur der Zugriffsrechte immer eine der ersten Maßnahmen sein. Fehlerhafte Rechte können die seltsamsten Probleme verursachen – auch an Stellen, wo man es zunächst gar nicht unbedingt vermuten würde.

Hier ein paar Probleme aus unserer Praxis, die sich – zumindest in manchen Fällen – durch die Reparatur der Rechte beheben ließen:

– Im Apple-Menü sind die Menüeinträge „Neustart“ und „Ausschalten“ ausgegraut und können nicht ausgewählt werden.
– In Outlook 2011 ist das Symbol für „Kalender teilen“ ausgegraut.
– Druckjobs kommen nicht beim Drucker an, sondern verschwinden einfach.
– Der Mac schaltet sich während des Startvorgangs aus.

Zugriffsrechte des Systems reparieren: So gehts

Für die Reparatur der UNIX-Zugriffsrechte ist in Mac OS X das Festplatten-Dienstprogramm zuständig:

– In Programme/Dienstprogramme das Festplatten-Dienstprogramm starten.
– In der Liste auf der linken Seite das Startvolume des Macs auswählen, also z.B. „Macintosh HD“. Auf der rechten Seite des Programmfensters wird nun der Bereich „Erste Hilfe“ angezeigt.
– Den Button „Zugriffsrechte reparieren“ anklicken. Die Reparatur wird gestartet.
– Die ungefähr benötigte Zeit wird neben dem Fortschrittsbalken im unteren Bereich des Fensters angezeigt. Werden abweichende oder fehlerhafte Zugriffsrechte für ein Objekt gefunden, korrigiert das Festplatten-Dienstprogramm die Rechte und schreibt einen Eintrag ins Protokoll.
– Die Reparatur kann, falls gewünscht, jederzeit gefahrlos per Klick auf den Button „Reparatur der Zugriffsrechte stoppen“ abgebrochen werden.

Ein paar Fehler werden eigentlich fast immer gefunden, das ist also gar kein Grund zur Besorgnis. Im Normalfall dauert so ein Reparaturlauf nur wenige Minuten – in Ausnahmefällen kann es allerdings auch vorkommen, daß extrem viele Fehler gefunden werden. Das Protokoll kann dann eine gefühlte Länge von mehreren Metern bekommen, und die Reparatur dauert entsprechend lange.

Als Besonderheit sei an dieser Stelle noch das Festplatten-Dienstprogramm von Mac OS X 10.5 erwähnt. Startet man in dieser Systemversion die Reparatur der Zugriffsrechte, bekommt man im Protokollfenster zunächst den Hinweis: „Zugriffsrechte-Datenbank lesen. Das Lesen der Zugriffsrechte-Datenbank kann mehrere Minuten dauern.“ Und es dauert wirklich lange – gerade auf etwas älteren Macs muß man an dieser Stelle manchmal zehn Minuten warten. Die eigentliche Reparatur läuft anschließend in normaler Geschwindigkeit durch.

Zugriffsrechte können nur auf Volumes repariert werden, die ein startfähiges Mac OS X enthalten. Wählt man in der Liste ein Volume aus, auf dem kein Mac OS X installiert ist, ist der Button „Zugriffsrechte des Volumes reparieren“ ausgegraut.

Apple empfiehlt, die Reparatur möglichst nicht von einem externen Volume oder einer DVD durchzuführen, sondern den Mac von dem Volume zu starten, das man reparieren möchte. Nur dann können auch nachträglich installierte Updates und Aktualisierungen berücksichtigt werden. Dazu weiter unten mehr.

In manchen Fällen ist das natürlich nicht möglich. Wenn das System nicht mehr starten will, bleibt nichts anderes übrig, als den Mac von einem externen Volume, einer Installations-DVD oder (ab 10.7) der Recovery-Partition zu booten. In so einem Fall sollte man unbedingt darauf achten, daß die verwendeten Systemversionen übereinstimmen ! Das Festplatten-Dienstprogramm von Mac OS X 10.6 ist nicht in der Lage, die Zugriffsrechte auf einer Systemfestplatte mit Mac OS X 10.5, 10.4 oder älter zu reparieren. Idealerweise sollten die Versionen identisch sein.

Welche Dateien werden repariert ?

Nicht alle Dateien, die auf dem Startvolume liegen, werden bei der Reparatur der Zugriffsrechte einbezogen. Geprüft und repariert werden nur das Betriebssystem sowie die Bestandteile von Programmen, die mit dem Apple-Installationsprogramm auf dem Mac installiert wurden.

Das Apple-Installationsprogramm legt nach jeder Softwareinstallation eine Quittung im Ordner Library/Receipts ab. Schaut man mal in diesem Ordner nach, finden sich dort eine ganze Menge Dateien mit der Endung .pkg. In diesen Quittungspaketen befinden sich sogenannte „Bill of Materials“- oder auch „.bom“-Dateien, die genaue Informationen darüber enthalten, welche Dateien und Verzeichnisse während der Installation im System abgelegt wurden und welche Zugriffsrechte diese haben sollten.

Das Festplatten-Dienstprogramm greift während der Reparatur der Rechte auf diese Quittungen zu und gleicht die darin enthaltenen Informationen mit den Dateien ab. Stimmen die Zugriffsrechte nicht überein, werden sie entsprechend korrigiert. Entfernt man die Quittungen, können die Rechte nicht mehr repariert werden.

Aus diesem Grund sollte man die Reparatur wenn möglich immer nur auf dem aktiven Startvolume durchführen. Startet man den Mac z.B. von einer Installations-DVD, hat das Festplatten-Dienstprogramm keinen Zugriff auf die aktuellen .bom-Dateien auf dem Startvolume. Dadurch fehlen ihm dann die Informationen über nachträglich installierte System- und Programmupdates.

Natürlich ist es trotzdem möglich, die Reparatur von DVD durchzuführen. Man sollte dabei aber, wie oben schon erwähnt, auf die passenden Systemversionen achten.

Dateien und Ordner, die im Benutzerordner oder direkt auf der Festplatte liegen, werden bei der Rechtereparatur mit dem Festplatten-Dienstprogramm nicht berücksichtigt. Repariert werden außerdem nur die reinen UNIX-Rechte – zusätzliche Rechte, die über ACLs (Zugriffssteuerungslisten) vergeben wurden, werden nicht verändert.

Zugriffsrechte des Benutzerordners zurücksetzen

Seit Mac OS X 10.5 gibt es die Möglichkeit, auch die Rechte von Benutzerordnern wieder auf ihre Standardeinstellungen zurückzusetzen; die Funktion hat Apple allerdings ziemlich gut versteckt. So gehts:

– Den Mac von der Installations-DVD (10.5 und 10.6) oder von der Recovery-Partition (10.7) starten und die gewünschte Sprache auswählen.
– Über das Menü „Dienstprogramme“ das Programm „Kennwörter zurücksetzen…“ starten.
– In der oberen Zeile das Startvolume anklicken, auf dem sich der Benutzeraccount befindet.
– Im Aufklappmenü den gewünschten Benutzeraccount auswählen.
– Im unteren Bereich des Fensters findet sich die Funktion „Zugriffsrechte und Zugriffssteuerungslisten für den Benutzerordner zurücksetzen“. Per Klick auf den Button „Zurücksetzen“ werden die Rechte des ausgewählten Benutzerordners repariert und auch die ACLs korrigiert.

In der Praxis haben wir diese Option zwar bisher noch nie benötigt; aber auch im Benutzerordner können die Rechte natürlich mal durcheinandergeraten. Bei merkwürdigen Fehlern und Problemen, die mit benutzerspezifischen Daten zusammenhängen, kann diese Methode hilfreich sein.

Meldungen, die man ignorieren kann

In Mac OS X 10.6 finden sich im Protokoll manchmal einige Einträge, die auch nach wiederholter Reparatur der Rechte immer wieder auftauchen und einfach nicht wegzubekommen sind. Da steht dann beispielsweise: „Warnung: Die SUID-Datei „usr/libexec/load_hdi“ wurde geändert und wird nicht repariert.“ oder „Abweichende Zugriffsrechte für „Applications/iTunes.app/Contents/CodeResources“, Soll-Wert: -rw-rw-r–, Ist-Wert: lrw-rw-r–.“.

Apple hat in diesem Supportdokument eine lange Liste mit solchen Meldungen zusammengestellt. Sie stellen „keinen Anlaß zur Besorgnis dar“ und können einfach ignoriert werden. Der größte Teil dieser Warnmeldungen wird durch ACL-Rechte verursacht.

ACLs (Access Control Lists, Zugriffssteuerungslisten)

Apples Betriebssystem unterstützt seit Mac OS X 10.4 auch Zugriffssteuerungslisten, die über die klassischen UNIX-Rechte hinaus zusätzliche Möglichkeiten für die Vergabe von Zugriffsrechten bieten. Im Finder hat man über das Infofenster eines Objekts teilweise Zugriff auf die ACLs: Im Bereich „Freigaben und Zugriffsrechte“ lassen sich dort zusätzlich zu den drei UNIX-Benutzerklassen (also Eigentümer, Gruppe und Sonstige) weitere Benutzer oder Gruppen hinzufügen, denen dann ebenfalls Rechte an dem Objekt gegeben werden können.

Der Finder kommt mit den Zugriffssteuerungslisten allerdings nicht besonders gut zurecht, und sie geraten genauso wie die UNIX-Rechte ab und zu durcheinander. Die Rechte, die über das Infofenster im Finder angezeigt werden, stimmen nicht immer mit der Realität „unter der Haube“ überein. So kann es z.B. vorkommen, daß man als Admin-User plötzlich auf der obersten Ebene des Startvolumes oder für einen bestimmten Ordner nur noch Leserechte hat, obwohl man laut Info-Fenster der Eigentümer des Objekts ist und sowohl Lesen als auch Schreiben darf.

Die Reparatur der UNIX-Rechte mit dem Festplatten-Dienstprogramm hilft in solchen Fällen nicht weiter – hier muß man zu einem Tool greifen. Das beste mir bekannte Werkzeug zum Anzeigen und Bearbeiten von ACL-Rechten ist TinkerTool System von Marcel Bresink. Eine Testversion kann man hier herunterladen, eine Einzelplatzversion kostet 11,90 Euro. In der Dokumentation finden sich außerdem eine Menge weiterführende Informationen über ACLs.

MacPilot von Koingo Software bietet die Möglichkeit, die zusätzlichen ACL-Rechte aller Objekte in einem Ordner zu entfernen. Eine 15-Tage-Demo von MacPilot gibt es hier, die Vollversion kostet rund 20 Dollar.

(a266/al)

Artikel und Links zum Thema:
Wikipedia: UNIX-Dateirechte
Wikipedia: Access Control List
Apple: Informationen über die Funktion des Festplatten-Dienstprogramms zur Reparatur der Zugriffsrechte
Apple: Mac OS X: Meldungen des Festplatten-Dienstprogramms zum Reparieren der Zugriffsrechte des Volumes, die Sie einfach ignorieren können
Mac-Forums: OS 10.6 – Successfully removed the ACL found but not expected warnings in permissions repair
Backdrift: Fixing Mac OSX File Permissions and ACLs From the Command Line
Bresink: TinkerTool System: Die Einstellungskarte ACL-Rechte
Download: TinkerTool System Release 2
Download: MacPilot
Meldung beim Rechte reparieren: „Die Zugriffssteuerungsliste wurde gefunden, jedoch nicht für „.“ erwartet.“
Zugriffsrechte über das Infofenster überprüfen und ändern
Festplatte überprüfen und reparieren
Den Mac von CD / DVD oder einem anderen Volume starten
 
  1. Silke vor 5 Jahren

    Kann man denn die Zugriffsrechte mit der originalen Installationsdvd (Mac OS 10.4.7) reparieren, wenn auf dem imac mittlerweile Snow Leopard installiert ist? Ich habe das nicht richtig verstanden.
    LG

    • tiramigoof vor 5 Jahren

      Hallo Silke, die Zugriffsrechte solltest Du am besten mit dem Festplattendienstprogramm reparieren, das zu Deinem aktuellen System gehört. Du mußt dazu nicht von einer DVD starten, benutz einfach das FDP im Ordner Dienstprogramme. Die Rechte sind bei den verschiedenen OS X-Versionen unterschiedlich – 10.6 mit einer 10.4 DVD zu reparieren ist keine gute Idee. Die alte DVD solltest Du dafür nur im Notfall benutzen.
      Grüße :-) Anette

  2. Anna vor 5 Jahren

    Hallo Anette,
    da ich im Ausland (Russland) bin, habe ich die Installations CD von Snow Leopard nicht bei mir und es ist glaube auch schwer sie zu bekommen.

    Das Problem: das Macbook (10.6.8) fährt nur zum Anmeldefenster hoch, aber wenn ich mich in meinen Account einlogge bleibt er hängen.

    Ich kann das Macbook im Safe mode starten und habe darüber die Zugriffsrechte repariert.

    Kann ich auch versuchen die Kennwörter zurückzusetzen ohne die Installations CD?

    Am liebsten will ich den Laptop erst mal gar nicht mehr ausschalten, weil ich so froh bin, dass er in diesem Modus läuft…
    Liebe Grüße
    Anna

    • tiramigoof vor 5 Jahren

      Hallo Anna,
      Kennwörter zurücksetzen geht mit 10.6 leider nicht ohne System-DVD.
      Ich glaub aber auch nicht, daß Dir das bei dem Problem weiterhelfen würde.
      Was passiert denn, wenn Du Dich einloggst ? An welcher Stelle bleibt er hängen ?
      Versuch mal, die com.apple.finder.plist zu löschen (Benutzer/Library/Preferences), schalt alle Startobjekte aus und schau auch mal im Ordner Library/LaunchDaemons und Library/StartupItems nach.
      Am einfachsten wäre es wahrscheinlich, das System neu drüberzuinstallieren, geht aber nun mal nur mit DVD…

      Viel Glück :-) Anette

  3. paul vor 3 Jahren

    Zugriffsrechte und Administrator Rechte….ich kapier nix mehr, der Mac ist einfach zuuu kompliziert. OsX Yosemite 10.10.5 läßt keine apps öffnen ohne Administrator Benutzernahme und das password……alles vergessen! USER wieder anders als
    Benutzer………Wie könnte man überhaupt draufkommen, welches Password und welchen Benutzernahmen man verwendet hat????geschweige denn neuen Account einzurichten, extrem kompliziert. Wer kann mir da helfen? Warum kann ich den Benutzernahmen u das Password nicht abrufen (zb in Schlüssel bund usw)

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

© 2019 tiramigoof | dandelion GbR

Bitte melde Dich an:

Passwort vergessen ?