לדלג לתוכן

Chapter 2: Asset E - Deck Blueprint (Users & Permissions)

הנחיות למעצב המצגות (NotebookLM / יצירת שקפים): מצגת זו מיועדת לקורס "תמיכה ארגונית ב-macOS 26". על השקפים להיות מינימליסטיים ביותר (כותרת ו-2 עד 3 נקודות קצרות). כל המידע העשיר והטכני צריך להימצא ב-Presenter Notes בלבד. עבור כל שקף מסופקת הנחיה מדויקת לתמונה [Image Recommendation].

Slide 1: Title Slide

Title: פרק 2: משתמשים והרשאות ב-macOS 26 Bullets:

  • (ללא תבליטים)

[Image Recommendation] A super minimalist abstract vector diagram showing a glowing key interacting with a sleek user profile silhouette, using a dark mode Apple aesthetic.

Presenter Notes: ברוכים הבאים לפרק השני. בפרק זה אנו צוללים אל אחד מהיסודות החשובים ביותר ב-macOS: ניהול משתמשים והרשאות (Users & Permissions). נלמד כיצד מערכת ההפעלה מבדילה בין משתמשים בעלי כוח מלא (Admin) לבין משתמשי קצה (Standard), נחקור את מבנה תיקיית הבית (Home Folder) ואת האזור המשותף (/Users/Shared). לאחר מכן, נרד לקרביים של אבטחת הקבצים עם הרשאות POSIX ומערכת ה-ACL. לסיום, נראה כיצד עקרונות אלו פוגשים את העולם הארגוני (Enterprise Seasoning) דרך Managed Apple Accounts (MAID) ושליטת ה-MDM בשירותי iCloud.

Slide 2: סוגי חשבונות מקומיים

Title: חשבון Admin מול Standard Bullets:

  • חשבון Admin: שליטה מלאה על תצורת המערכת והרשאות התקנה
  • חשבון Standard: מוגבל לשינויים בתיקיית הבית בלבד
  • הגנה: מניעת שינויים שמשפיעים על משתמשים אחרים

[Image Recommendation] A real screenshot from macOS 26 System Settings > Users & Groups, showing an Admin account and a Standard user account side-by-side in the list.

Presenter Notes: Theory & History: מערכת macOS מבוססת על ליבת Unix (Darwin), מה שאומר שהיא מתוכננת מיסודה כמערכת מרובת משתמשים (Multi-user). ההפרדה הברורה ביותר היא בין חשבון מנהל (Admin) לחשבון רגיל (Standard). Deep Technical Architecture: חשבון ה-Admin שייך לקבוצת admin במערכת ההפעלה (קבוצה 80 ב-Directory Services). משתמש זה מקבל את היכולת לבקש הרשאות root (דרך פקודת sudo) כדי לבצע שינויים גלובליים, כגון התקנת תוכנות בתיקיית /Applications, שינוי הגדרות רשת המשפיעות על כלל המערכת, או יצירת משתמשים חדשים. לעומת זאת, חשבון Standard מבודד לחלוטין מיכולות אלו. הוא אינו יכול להסיר חיבורי Wi-Fi שקיימים במערכת, אינו יכול להתקין תוכנות המורשות לכלל המשתמשים (למעט חריגים דרך ה-App Store ללא הרשאת Admin), וכל השינויים שלו כלואים בתיקיית הבית שלו בלבד. Edge Cases & Troubleshooting: בארגונים, ה-Best Practice הוא להגדיר את משתמשי הקצה כ-Standard Users. זה מונע מרוגלה או תוכנות לא רצויות להתקין את עצמן ברמת המערכת (System-wide). אם משתמש Standard נדרש להתקין תוכנה, ה-IT אמור לספק פתרון Self Service דרך ה-MDM, אשר רץ תחת הרשאות root ברקע ומבצע את ההתקנה ללא צורך בסיסמת אדמין מהמשתמש.

Slide 3: משתמש אורח

Title: חשבון משתמש אורח (Guest User) Bullets:

  • חשבון זמני ללא דרישת סיסמה
  • מחיקה אוטומטית בעת יציאה (Log Out)
  • סביבה מבודדת, בטוחה ונקייה

[Image part Recommendation] A real screenshot of the macOS Login Window, clearly showing the Guest User avatar icon next to the regular user account.

Presenter Notes: Theory & History: משתמש אורח מספק סביבה בטוחה לאנשים שצריכים להשתמש במחשב באופן זמני, מבלי לחשוף את המידע של הבעלים או לסכן את המערכת בהתקנת קבצים זדוניים. Deep Technical Architecture: כאשר מפעילים את ה-Guest User ב-System Settings, נוצר תהליך מעניין: בעת ההתחברות (Login), המערכת מייצרת תיקיית Home Folder זמנית מתוך תבנית המערכת (/System/Library/User Template). המשתמש פועל עם הרשאות מוגבלות מאוד (אפילו פחות מ-Standard). הנתון הקריטי ביותר הוא שברגע שהאורח לוחץ על Log Out או מכבה את המחשב, מערכת ההפעלה מוחקת לחלוטין את תיקיית הבית הזמנית שלו, על כל הקבצים, היסטוריית הגלישה וההגדרות ששמורות בה. אין שום שאריות. Troubleshooting: אם אורח שמר מסמך חשוב על ה-Desktop של חשבון ה-Guest והתנתק, המידע אבוד לתמיד. זהו By Design. יש להנחות משתמשים לשמור נתונים על כונן חיצוני או להעלות לענן לפני ה-Log Out.

Slide 4: היררכיית תיקיות - Home Folder

Title: מבנה תיקיית הבית (Home Folder) Bullets:

  • מיוצגת על ידי הסמל טילדה (~)
  • נתיב פיזי בדרך כלל ב-/Users/username
  • המרחב הפרטי והבלעדי של המשתמש

[Image Recommendation] A real screenshot of the macOS Finder showing the Home Folder icon (the house with the username) in the sidebar, and its typical subdirectories (Desktop, Documents, Downloads, Library) in the main view.

Presenter Notes: Theory & History: לכל משתמש במק (למעט משתמשי מערכת סמויים) יש תיקיית בית (Home Folder). זוהי ה"טריטוריה" שלו, ורק לו יש הרשאות קריאה וכתיבה מלאות בתוכה. Deep Technical Architecture: נתיב המערכת הסטנדרטי הוא /Users/username. ב-CLI, הנתיב מיוצג על ידי התו טילדה (~). בתוך תיקיה זו שוכנות תיקיות המשתמש (Desktop, Documents, Downloads) והכי חשוב – תיקיית ה-Library הנסתרת (~/Library), שמכילה את כל ה-Preferences (הגדרות האפליקציה), הקאש (Caches), ומסדי הנתונים הפרטיים של המשתמש. חשבון Standard לא יכול לצאת מחוץ לתיקיית הבית שלו ולבצע שינויים במקומות אחרים בדיסק, והוא בוודאי לא יכול להציץ לתיקיות הבית של משתמשים אחרים. Terminal Commands: כדי לנווט בטרמינל ישירות לתיקיית הבית, מקלידים פשוט cd ~ או פשוט cd.

Slide 5: תיקיית Users/Shared/

Title: שיתוף קבצים מקומי: /Users/Shared Bullets:

  • אזור ניטרלי מחוץ לתיקיות הבית
  • מאפשר שיתוף מידע בין משתמשים על אותו מחשב
  • הרשאות קריאה לכולם, אך עריכה ליוצר הקובץ

[Image Recommendation] A real screenshot of the macOS Finder showing the /Users/Shared folder. Highlight the Shared folder inside the main Users directory.

Presenter Notes: Theory & History: מאחר ומשתמש אחד אינו יכול לגשת לתיקיית הבית של משתמש אחר, נוצר צורך באזור מעבר – מקום שבו משתמש א' יכול לשים קובץ כדי שמשתמש ב' יקח אותו. זהו הייעוד של תיקיית /Users/Shared. Deep Technical Architecture: תיקיית ה-Shared מוגדרת כך שלכל משתמש במערכת יש הרשאת קריאה (Read) וגישה (Execute/Traverse) אליה. כאשר משתמש שם קובץ בתיקיית Shared, משתמשים אחרים יכולים להעתיק אותו אליהם או לפתוח אותו לקריאה. עם זאת, בזכות הרשאות ה-POSIX, יוצר הקובץ (ה-Owner) הוא היחיד שיכול למחוק או לשנות את הקובץ המקורי (אלא אם קיימות הרשאות ACL מורחבות שקובעות אחרת). Troubleshooting: לעיתים, משתמשים מנסים לעבוד על אותו מסמך במקביל בתוך תיקיית Shared ונתקלים בשגיאת "Read Only". הפתרון הוא להבין שתיקייה זו היא "Drop box" פנימי ולא נועדה לעבודה שיתופית חיה על אותו קובץ באותו זמן (לזה נועדו שירותי ענן).

Slide 6: הרשאות קבצים - POSIX

Title: אבטחת קבצים מובנית (POSIX) Bullets:

  • המודל הקלאסי: Owner, Group, Everyone
  • רמות הרשאה: Read, Write, Execute
  • הבסיס לאבטחת הקבצים ברמת הליבה (Kernel)

[Image Recommendation] A real screenshot of a macOS Terminal window showing the output of ls -l, clearly highlighting the POSIX permissions string on the left side (e.g., -rw-r--r--).

Presenter Notes: Theory & History: מערכת ה-POSIX (Portable Operating System Interface) היא מודל ההרשאות המסורתי של עולם ה-Unix. היא קובעת מי יכול לעשות מה לכל קובץ ותיקייה במערכת. Deep Technical Architecture: המודל מחלק את ההרשאות ל-3 ישויות: הבעלים (Owner - בדרך כלל מי שיצר את הקובץ), הקבוצה (Group - קבוצת משתמשים כמו staff או admin), וכולם (Everyone - כל משתמש אחר במערכת). עבור כל ישות, מוגדרות 3 פעולות: Read (קריאה), Write (כתיבה/שינוי/מחיקה), ו-Execute (הרצה - בקובץ זה אומר הפעלת תוכנה, בתיקייה זה אומר יכולת להיכנס אליה). בטרמינל, זה מיוצג במחרוזת של 10 תווים, למשל -rwxr-xr-x. Terminal Commands: הפקודה ls -l מציגה את הרשאות ה-POSIX. הפקודה chmod (Change Mode) משמשת לשינוי ההרשאות הללו, והפקודה chown משמשת לשינוי הבעלים של הקובץ.

Slide 7: הרשאות מורחבות - ACL

Title: גמישות עם Access Control List (ACL) Bullets:

  • שליטה מפורטת (Granular Control) על קבצים
  • מרחיב את המגבלות של מודל POSIX
  • מוצג כ-"Fetching..." או "Custom" בחלון Get Info

[Image Recommendation] A real screenshot of the "Get Info" (Cmd+I) window in Finder for a specific folder, focusing tightly on the "Sharing & Permissions" section at the bottom to show custom user privileges.

Presenter Notes: Theory & History: מודל POSIX הוא חזק אך נוקשה (ניתן להגדיר רק Owner אחד ו-Group אחד). ככל שסביבות העבודה הפכו מורכבות יותר, נוצר צורך במערכת גמישה יותר שמאפשרת לתת ליוסי הרשאת קריאה, לשרה הרשאת כתיבה ולדוד איסור מוחלט – הכל על אותו קובץ. לכך נועד מנגנון ה-ACL. Deep Technical Architecture: רשימות ה-ACL עובדות כמעין "שכבה נוספת" על גבי ה-POSIX. הן מאפשרות להגדיר עשרות חוקים פרטניים (ACE - Access Control Entries) על קובץ. כאשר מערכת ההפעלה באה לאשר גישה לקובץ, היא קודם כל בודקת את ה-ACL; אם קיימת שם חוקיות שרלוונטית למשתמש, היא גוברת על הגדרות ה-POSIX. אם אין ACL, המערכת "נופלת" חזרה לבדיקת ה-POSIX הקלאסית. Troubleshooting: אם רואים ב-Finder (דרך Get Info) התנהגות מוזרה של הרשאות, או שמופיעה המילה "Custom" או "Fetching...", המשמעות היא שמוגדרות הרשאות ACL שה-Finder לא תמיד יודע לייצג באופן פשוט. בטרמינל, הפקודה ls -le תציג את ה-ACLs המוסתרים. כדי לאפס הרשאות ACL, יש לעיתים להשתמש בפקודת chmod -N.

Slide 8: תיבול ארגוני - Managed Apple Account

Title: תיבול ארגוני: Managed Apple Account Bullets:

  • Managed Apple Account (MAID) בבעלות הארגון
  • הפרדת מידע (Data Separation) - מונע זליגת נתונים עסקיים
  • הגבלות MDM: שליטה בשירותי iCloud (גיבויים, Keychain)

[Image Recommendation] A super minimalist abstract vector diagram showing an MDM server pushing a configuration profile to a Mac, creating a visible "shield" or separation between a briefcase icon (work data) and a generic user icon (personal data).

Presenter Notes: Enterprise Seasoning (MDM): בארגון מודרני, שילוב של מחשב macOS דורש התייחסות לזהות הענן. Apple מאפשרת לארגונים לייצר Managed Apple Accounts (או בקיצור MAID) דרך Apple Business Manager. בניגוד ל-Apple Account פרטי, MAID נמצא בבעלות ובשליטת הארגון. כאשר משתמש מתחבר למק עם MAID, ה-MDM מבטיח הפרדת מידע (Data Separation). נתונים ארגוניים מבודדים מנתונים אישיים של המשתמש שעל אותו מחשב. יתרה מזאת, מנהלי IT יכולים להחיל דרך ה-MDM הגבלות (Restrictions) נוקשות על שירותי iCloud. לדוגמה: ניתן לחסום גיבוי מסמכים ל-iCloud Drive הארגוני, לנטרל את iCloud Keychain כדי למנוע שמירת סיסמאות בענן, או לחסום אפליקציות מלסנכרן נתונים אישיים. חשבונות MAID מגיעים ללא יכולות רכישה מסחריות (אין App Store רגיל), ולכן ה-IT מפיץ אפליקציות רישיונות (VPP) ישירות למכשיר ללא דרישת אשראי או אישור רכישה.

Multiple Choice Questions (בחן את עצמך)

  1. איזו מן היכולות הבאות שמורה לחשבון Admin ואינה אפשרית בחשבון Standard? A. שמירת מסמכים בתיקיית ה-Documents האישית B. שינוי רקע שולחן העבודה C. שינוי הגדרות Wi-Fi המשפיעות על כלל משתמשי המחשב D. הפעלת תוכנות שכבר מותקנות בתיקיית Applications תשובה נכונה: C

  2. מה קורה לתיקיית הבית של משתמש Guest (אורח) בעת ביצוע Log Out? A. התיקייה ננעלת באמצעות הצפנה B. המידע נשמר עד להתחברות הבאה של משתמש Guest C. הקבצים מועברים לתיקיית /Users/Shared D. התיקייה על כל תוכנה נמחקת לצמיתות באופן מיידי תשובה נכונה: D

  3. כיצד נקרא המנגנון שמאפשר הגדרת הרשאות קבצים פרטניות המעקפות/מרחיבות את מודל ה-POSIX (Owner/Group/Everyone)? A. MAID B. ACL (Access Control List) C. APFS Encrypted D. System Integrity Protection תשובה נכונה: B

  4. מהו היתרון המרכזי של שימוש ב-Managed Apple Account (MAID) בארגון דרך MDM? A. המשתמש יכול לקנות אפליקציות בסבסוד מה-App Store B. ביצוע הפרדת מידע (Data Separation) והגבלת שירותי iCloud ארגוניים (כמו חסימת iCloud Keychain) C. הפיכת כל המשתמשים בארגון לחשבונות Admin באופן אוטומטי D. גיבוי פיזי של המחשב לשרתים מקומיים בארגון תשובה נכונה: B