Identifier quel administrateur a changé les privilèges d'un autre administrateur

3

Avoir un problème d'ordre personnel et un utilisateur administrateur a modifié les privilèges d'un autre utilisateur, passant d'administrateur à standard. C'est un cadre universitaire, mais l'association étudiante n'est pas le réseau de l'université; Je suis le parent de l'utilisateur qui a été rétrogradé (temporairement); une expérience en tant qu'utilisateur mais pas en tant qu'administrateur utilisant des systèmes Linux et Apple (ainsi que Windows) ...

L'utilisateur root ne l'a pas fait et les privilèges ont été restaurés. L'utilisateur root actuel n'est pas expérimenté en tant qu'administrateur système. OS X conserve-t-il des fichiers journaux indiquant qui a effectué cette modification? dans l’hypothèse, quels fichiers journaux doivent être examinés pour obtenir ces informations (je suppose qu’il faut consulter les journaux asl via la console - mais quels journaux?) Je n’ai pas accès au système et je dois décrire ceci à ceux qui le feront ...

Toute aide serait appréciée.

macos security logs administrator Homme vert
la source
Combien d'administrateurs avez-vous sur ce Mac?
Ruskes
On ne m'a pas dit - je suppose que tous les membres du comité exécutif de l'association étudiante - ce serait environ 10 ...
Greenman
Je vous ai mal compris. Normalement, il faudrait consulter Utilisateurs et groupes pour savoir qui a un accès administrateur.
Ruskes
Il s'avère que seulement 4 ont un administrateur - oui, il faut montrer qui a changé de privilège ... Je n'ai pas accès à la machine (dans les bureaux de leur association)
Greenman
Donc - les journaux système et asl sont avec moi - malheureusement, il semble malheureusement que les journaux asl pertinents se soient retournés car l'événement se déroulait vers le début de ce mois - mais observez quelques éléments intéressants de la plus ancienne archive de journaux système: une activité impliquant le compte de la personne concernée. à un moment où il n'était pas présent et non connecté, et des indications claires d'un autre connecté à ce moment-là (cette personne a la réputation de rester lui-même connecté autant que possible) ... et il était actif avant et après ...
Greenman

Réponses:

1

Vous pourrez peut-être également obtenir des informations à partir des journaux d'audit BSM. Les fichiers journaux sont dans / var / audit et sont visualisés avec praudit (8). Je ne connais pas le format de l'enregistrement d'audit permettant de modifier un compte, mais il devrait y avoir des indices. Vous pouvez vérifier la plage de dates et rechercher des augmentations de privilèges. La section de texte peut avoir des mentions du nœud '/ Local / Default'.

Leland Wallace
la source