Baru-baru ini saya melakukan instalasi Lion yang bersih di salah satu Mac saya. Proses instalasi membuat satu akun pengguna administratif. Setelah instalasi, saya mengaktifkan FileVault untuk seluruh disk. Kemudian, saya membuat pengguna administratif tambahan. Kedua pengguna dapat mendekripsi drive saat login.
Bagaimana cara saya mencabut hak dekripsi untuk salah satu pengguna tanpa menghapus pengguna atau sementara menonaktifkan FileVault? Saya telah mencoba mencabut hak administratif satu pengguna, menjadikan mereka pengguna biasa, tetapi mereka masih dapat mendekripsi drive saat boot.
Jawaban:
Gunakan fdesetup:
Lihat: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/
sumber
sudo fdesetup remove -user username
bekerja di macOS 10.12 Sierra, juga!sudo fdesetup remove -user username
Bekerja untuk macOS 10.13 Sierra Tinggi juga.Bukan tidak mungkin. (Meskipun jika Anda telah menghapus pengguna, Anda mungkin membuatnya lebih rumit!)
Saya menulis artikel 'jaydisc' yang ditautkan dan baru saja diuji bahwa masih berfungsi di 10.7.4:
Asumsikan bahwa Anda memiliki pengguna admin 'charlie' yang ingin Anda dapat gunakan, tetapi tidak membuka kunci, komputer:
Perhatikan bahwa Anda tidak dapat melakukan ini:
karena jika Anda menekan enter ketika Anda mendapatkan 'prompt kata sandi baru' itu akan kembali dan berkata:
sumber
Sepertinya menghapus sementara kata sandi pengguna menghapusnya dari menu boot EFI:
http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/
Sayangnya, dalam kasus saya, beberapa pengguna adalah pengguna Open Directory Mobile, dan saya tidak dapat menemukan cara untuk mengosongkan kata sandi mereka.
sumber
FileVault 2 dan Recovery HD
Pemulihan HD tidak menjadi bingung dengan OS Pemulihan (satu lebih besar dari yang lain).
Ketika Anda mengaktifkan FileVault 2 untuk pengguna: partisi Apple_Boot Recovery HD tersembunyi yang tidak dienkripsi, terpisah dari tetapi penting untuk volume startup terenkripsi, dipasang sementara untuk menulis ke file yang berhubungan dengan EFI dan yang lainnya. Jika Anda ingin melihat aktivitas sistem file ini, sementara memungkinkan pengguna untuk tujuan membuka kunci:
Pandangan sekilas pada aktivitas menunjukkan bahwa pengeditan pada volume yang tidak dienkripsi - dalam kaitannya dengan akun pengguna pada volume yang dienkripsi - adalah tidak trivial .
Jika pengguna diberi wewenang yang tidak patut untuk membuka kunci
Mungkin pembaruan untuk Lion (sesuatu yang lebih besar dari Build 11A511) akan memberikan cara untuk menghapus, dari jendela masuk EFI, pengguna yang seharusnya tidak lagi dapat membuka kunci volume startup.
Sementara itu saya hanya bisa memikirkan dua metode yang dapat digunakan.
Metode A: nonaktifkan lalu aktifkan FileVault
nonaktifkan FileVault 2
biarkan konversi mundur selesai
restart sistem operasi
aktifkan FileVault 2, tetapi tidak untuk pengguna itu.
Metode B: hapus pengguna tetapi bukan direktori home, dan sebagainya
Saya belum menguji metode ini, saya membayangkan bahwa yang berikut ini mungkin berhasil:
cadangan
hapus pengguna tetapi bukan direktori home pengguna
restart sistem operasi
buat pengguna baru dengan RecordName yang sama dengan aslinya
atur nomor UniqueID yang berbeda dari aslinya
kaitkan direktori home sebelumnya dengan pengguna baru.
sumber
Berikut adalah jawaban yang sangat sederhana tentang cara menonaktifkan akses pengguna yang sebelumnya diaktifkan ke drive terenkripsi FileVault 2:
Di terminal, gunakan:
Anda akan melihat setelah itu pengguna yang dinonaktifkan dalam daftar pengguna yang tersedia untuk diaktifkan di System Preferences-> Security & Privacy -> FileVault sebagai verifikasi bahwa penonaktifan berhasil
sumber