J'ai récemment effectué une nouvelle installation de Lion sur l'un de mes Mac. Le processus d'installation a créé un compte d'utilisateur administratif. Après l'installation, j'ai activé FileVault pour l'ensemble du disque. Ensuite, j'ai créé un utilisateur administratif supplémentaire. Les deux utilisateurs peuvent décrypter le disque lors de la connexion.
Comment puis-je révoquer les droits de déchiffrement à l'un des utilisateurs sans supprimer l'utilisateur ou désactiver temporairement FileVault? J'ai essayé de révoquer le privilège administratif d'un utilisateur, ce qui en fait un utilisateur régulier, mais ils sont toujours en mesure de déchiffrer le lecteur pendant le démarrage.
Réponses:
Utilisez fdesetup:
Voir: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/
la source
sudo fdesetup remove -user username
fonctionne aussi sur macOS 10.12 Sierra!sudo fdesetup remove -user username
Fonctionne également pour macOS 10.13 High Sierra.Ce n'est pas impossible. (Bien que si vous avez supprimé l'utilisateur, cela ait pu être plus compliqué!)
J'ai écrit l'article 'jaydisc' lié à et viens de tester qu'il fonctionne toujours en 10.7.4:
Supposons que vous ayez un utilisateur administrateur 'charlie' que vous souhaitez pouvoir utiliser, mais pas déverrouiller, l'ordinateur:
Notez que vous ne pouvez pas faire ceci:
parce que si vous appuyez sur Entrée lorsque vous obtenez la «nouvelle invite de mot de passe», il reviendra et dira:
la source
Il semble que la suppression temporaire des mots de passe des utilisateurs les supprime du menu de démarrage EFI:
http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/
Malheureusement, dans mon cas, certains des utilisateurs sont des utilisateurs d'Open Directory Mobile, et je ne parviens pas à trouver un moyen de définir leur mot de passe sur vide.
la source
FileVault 2 et Recovery HD
Recovery HD à ne pas confondre avec le Recovery OS (l'un est plus grand que l'autre).
Lorsque vous activez FileVault 2 pour un utilisateur: la partition cachée Apple_Boot Recovery HD non chiffrée, distincte mais essentielle du volume de démarrage chiffré, est temporairement montée pour les écritures sur les fichiers EFI et autres. Si vous souhaitez afficher cette activité du système de fichiers, tout en permettant à un utilisateur de le déverrouiller:
Un coup d'œil sur l'activité suggère que les modifications apportées au volume non chiffré - par rapport au compte d'utilisateur sur le volume chiffré - ne sont pas triviales .
Si un utilisateur est autorisé à déverrouiller de manière inappropriée
Peut-être qu'une mise à jour de Lion (quelque chose de plus grand que la version 11A511) fournira un moyen de supprimer, de la fenêtre de connexion EFI, un utilisateur qui ne devrait plus pouvoir déverrouiller le volume de démarrage.
En attendant, je ne pense qu'à deux méthodes qui peuvent être utilisées.
Méthode A: désactiver puis activer FileVault
désactiver FileVault 2
permettre à la conversion en amont de se terminer
redémarrer le système d'exploitation
activez FileVault 2, mais pas pour cet utilisateur.
Méthode B: supprimez l'utilisateur mais pas le répertoire personnel, et cetera
Je n'ai pas testé cette méthode, j'imagine que ce qui suit pourrait fonctionner:
sauvegarde
supprimer l'utilisateur mais pas le répertoire personnel de l'utilisateur
redémarrer le système d'exploitation
créer un nouvel utilisateur avec le même RecordName que l'original
définir un numéro UniqueID différent de l'original
associez le répertoire personnel précédent au nouvel utilisateur.
la source
Voici la réponse très simple sur la façon de désactiver l'accès d'un utilisateur précédemment activé à un lecteur chiffré FileVault 2:
Dans le terminal, utilisez:
Vous verrez ensuite l'utilisateur désactivé dans la liste des utilisateurs disponibles pour l'activation dans Préférences Système-> Sécurité et confidentialité -> FileVault comme vérification que la désactivation a réussi.
la source