François.
Pour ma part, ce que j'aimerais savoir c'est : comme Dédé sait-il que son chef (qui a lui-même une session-admin sur le Mac Pro et dont, par conséquent, l'utilisation du Mac n'est pas suspecte en soi puisque ce n'est pas un ordinateur réservé à un seul utilisateur) fouine dans les dossiers de sa session-admin perso à l'occasion de ses séances devant le Mac? Par conjecture inductive (ce fichier a disparu de mon dossier - comme ce n'est pas moi le responsable, ce ne peut être que l'autre)? Par attestation entre quatre_z_yeux (moi, ton chef, j'ai été voir dans ton dossier etc.)?
Il y a un détail qui me chiffonne : une session admin ne peut pas fouiner dans une autre session, ni en virer des éléments (il n'y a que le compte Root qui puisse le faire).
Ou alors, il faut connaître le mot de passe de la session qu'on veut violer (ou pouvoir profiter de l'ouverture de la session par un propriétaire oublieux de la fermer/verrouiller en quittant le Mac).
Je ne sais pas si une seconde session admin peut se connecter en Root une fois qu'un mot de passe a été choisi par une première session admin (il est probable que la seconde puisse effacer le mot de passe de la première puis en déterminer un nouveau),
mais se connecter en Root permet de changer le mot de passe de la session violée.
Je te confirme qu'un admin, à partir de sa session, peut lancer l'«
Utilitaire d'annuaire» (
/Système/Bibliothèque/CoreServices), s'authentifier comme admin par son mot-de-passe, et à partir de là, au menu '
Édition', sélectionner le sous-menu : '
Modifier le mot-de-passe root' et accéder à la fenêtre de saisie suivante :
Comme tu le constates, pas besoin d'avoir connaissance du mot-de-passe
root actif pour le modifier, il suffit de saisir simplement un nouveau mot-de-passe (ça se passe comme dans la '
Recovery HD', pour modifier le mot-de-passe d'un compte de l'OS : pas bessoin de connaître l'ancien).
À partir d'une session
root ouverte, il suffit alors comme tu le dis d'aller au répertoire
/Utilisateurs, pour
- entrer dans le répertoire global de n'importe quel autre utilisateur (ce qui est possible à tous sous les OSX récents, car le répertoire est en 755, afin qu'un membre du staff ou même n'importe qui puisse théoriquement avoir accès au dossier 'Public') ;
- mais ce qui change, c'est que les sous-répertoires de l'utilisateur (= 'Documents', 'Images', 'Desktop' etc.) qui, normalement, portent le sens interdit pour quiconque n'est pas le propriétaire => permissions en 700, à part le dossier 'Public' d'accès ouvert en lecture à staff et everyone = 755 - pour root sont l'équivalent de ses propres dossiers (en permissions rwx consignées nulle part).
❊
Mais il n'est en rien obligé de passer par une session graphique
root pour pouvoir fouiller dans les dossier d'un autre utilisateur-admin. Car, étant donné que les dossiers verrouillés portent des permissions
--- (0) pour le groupe par défaut qui est
staff, il suffit dans le «
Terminal» de commander :
Bloc de code:
sudo chmod 770 /Users/dedelacrapule/Desktop
par exemple, et son dossier '
Desktop' devient consultable en clair et éditable pour un membre du
staff, càd. un 'ayant_compte' quelconque (du groupe restreint
admin, néanmoins ici, pour avoir pu passer la commande
sudo). Après quoi un :
Bloc de code:
sudo chmod 700 /Users/dedelacrapule/Desktop
rétablit ni vu ni connu le sens interdit pour
staff sur le dossier.
❈
[☞ d'où la question (facétieuse) : le chef préfère-t-il GUI ou commande? Tennis ou écriture? Session root ou «Terminal»? (NB. Un logiciel comme «PathFinder» permet les même manœuvres que dans le «Terminal» par des biais plus graphiques : d'où question subsidiaire : le chef utilse-t-il «PathFinder»?]
❉
