לדלג לתוכן

Asset B: Facilitator Guide – Chapter 2: משתמשים והרשאות (Users & Permissions)

הנחיות למדריך: מסמך זה משמש כתוכנית השיעור (Lesson Plan) וכולל את התסריט המומלץ להעברת התוכן (בגוף ראשון), הוראות הדגמה על המסך, וקטעי "צלילת עומק" להרחבת ידע המדריך לקראת שאלות מהכיתה. הדרכה זו מתמקדת בתהליכי עבודה מבוססי ממשק משתמש גרפי (GUI).

1. סוגי חשבונות מקומיים: Admin לעומת Standard, וחשבונות אורח

Objective: הסטודנטים יבינו את ההבדלים המהותיים בין חשבון מנהל (Admin), חשבון רגיל (Standard) וחשבון אורח ב-macOS, ואת ההשפעה שלהם על אבטחת המחשב.

Discussion - Script: "בואו נדבר על המשתמשים שלנו. כשמישהו פותח מק חדש מהקופסה ומגדיר אותו ב-Setup Assistant, המשתמש הראשון שהוא יוצר תמיד יהיה מנהל מחשב – Admin. ה-Administrator הוא היחיד שיכול באמת לשנות System Settings (הגדרות מערכת), להתקין תוכנות גלובליות, ובאופן כללי לשלוט על מה שקורה במחשב. בלי Admin, המחשב בעצם מוגבל מאוד. לעומת זאת, יש לנו חשבון Standard. לדוגמה, במחשב בבית שלי, אני ה-Admin והילדים שלי מקבלים חשבון Standard. הם יכולים לגלוש באינטרנט ולשמור קבצים במסמכים שלהם, אבל אם הם רוצים להתקין משחק חדש או לשנות System Settings (הגדרות מערכת) קריטיות – קופצת להם בקשה לסיסמת מנהל ואני צריך לאשר את זה. בסביבה ארגונית זה בדיוק מה שאנחנו רוצים: לא לתת הרשאות Admin לכולם כברירת מחדל, כדי למנוע התקנות של תוכנות לא רצויות או שינויים שיוצרים תקלות. יש גם חשבון אורח (Guest) שהוא קצת שונה – הוא לא שומר שום מידע. ברגע שהאורח עושה Log Out, כל הקבצים שלו והיסטוריית הגלישה נמחקים כלא היו."

Demonstration:

  1. פתחו את System Settings.
  2. נווטו אל Users & Groups.
  3. הצביעו על המשתמשים השונים ברשימה והראו את התגית שמתחת לשם (Admin או Standard).
  4. לחצו על כפתור Add Account, הראו כיצד מיד קופצת דרישה לסיסמת מנהל (Admin password) או זיהוי ביומטרי (Touch ID) כדי בכלל לגשת למסך יצירת המשתמש.
  5. במסך יצירת המשתמש, פתחו את התפריט הנגלל של Account Type והדגימו את האפשרויות: Administrator, Standard.
  6. כדי להראות מה קורה מאחורי הקלעים בממשק הגרפי (ללא טרמינל), בצעו קליק ימני (או קונטרול+קליק) על שם המשתמש שלכם ברשימה ובחרו Advanced Options....
  7. הראו למשתתפים את חלון ההגדרות המתקדמות, המציג את מזהה המשתמש (User ID), מזהה הקבוצה (Group ID), ונתיב תיקיית הבית (Home directory). הדגישו שאסור לשנות נתונים אלו ללא הבנה מעמיקה, שכן זה עלול לנתק את המשתמש מהקבצים שלו.
Instructor Deep-Dive (להרחבת ידע ותשובות לשאלות)
  • מה המשמעות הטכנית של Admin? משתמש Admin ב-macOS משויך אוטומטית לקבוצת admin (קבוצה מספר 80 במערכת ההרשאות). קבוצה זו מקנה למשתמש את הזכות להשתמש בפקודת sudo בטרמינל כדי להריץ תהליכים כהרשאות root. במקום להשתמש בממשק Advanced Options או ב-Directory Utility, מתקדמים יכולים להשתמש בפקודת dscl . -read /Users/username.
  • למה משתמש Standard יכול להתקין עדכוני מערכת לפעמים? אפל שינתה את הגישה: עדכוני תוכנה ועדכוני מערכת מה-App Store שמגיעים ממשאבים חתומים לא תמיד דורשים סיסמת Admin אם ההגדרות במערכת (או בפרופיל ה-MDM) מאפשרות התקנה שקטה ברקע.
  • איפה נשמרים פרטי המשתמשים? מאז OS X 10.5 אפל כבר לא משתמשת בקובץ NetInfo אלא במסד הנתונים של ה-Open Directory המקומי, שנמצא בנתיב /var/db/dslocal/nodes/Default. שם נשמרים קבצי plist לכל משתמש המכילים את מזהה המשתמש (UID), קבוצתו (GID) ונתיב הבית שלו, אך לא את הסיסמה (הנשמרת בצורה קריפטוגרפית בנפרד).

2. היררכיית תיקיות: מבנה ה-Home Folder (~) ותיקיית /Users/Shared

Objective: הסטודנטים ילמדו לנווט בספריית המשתמשים, יכירו את סביבת המחיה הפרטית של המשתמש, ויבינו את תפקיד התיקייה המשותפת.

Discussion - Script: "עכשיו בואו נדבר על איפה החומר שלנו יושב. במק, כל המשתמשים נמצאים תחת תיקיית /Users בכונן. התיקייה האישית של המשתמש נקראת ה-Home Folder, והיא הממלכה של המשתמש. אף משתמש אחר – לא Standard וגם לא Admin אחר (ללא עקיפת הרשאות) – לא יכול להיכנס להסתכל במסמכים ששמורים בתיקיית הבית הזו. אבל מה קורה אם אני בכל זאת רוצה להעביר קובץ למשתמש אחר שיושב על אותו מחשב? בשביל זה יש לנו בתוך תיקיית Users את התיקייה Shared. כל המשתמשים במחשב יכולים לגשת אליה. אם יש לי קובץ שאני רוצה שכולם יראו, אני פשוט זורק אותו ל-Shared. עוד דבר מעניין: בתיקיית ה-Home Folder יש תיקייה שנקראת Library. היא מוסתרת כברירת מחדל, אבל היא הלב של המשתמש – שם נשמרות ההגדרות שלו, זיכרון המטמון (Cache) של האפליקציות שלו, וכל ההעדפות שהוא בוחר. אנחנו נשתמש בה הרבה באבחון תקלות."

Demonstration:

  1. פתחו חלון Finder וגשו לכונן Macintosh HD (אפשר דרך תפריט Go > Computer).
  2. היכנסו לתיקיית Users והציגו את רשימת תיקיות הבית של המשתמשים הקיימים.
  3. הראו שיש לתיקיות של משתמשים אחרים אייקון של שלט "אין כניסה" אדום קטן בפינה (במידה ויש משתמש נוסף), והסבירו שהמשמעות היא חוסר הרשאות גישה.
  4. היכנסו לתיקיית Shared והדגימו כיצד ניתן ליצור בתוכה תיקייה או קובץ שחשופים לכולם.
  5. הדגימו חשיפת התיקייה הנסתרת לחשבון הנוכחי: ב-Finder, לחצו על תפריט Go תוך כדי החזקת מקש Option במקלדת. הראו כיצד תיקיית ה-Library מופיעה ונעלמת.
  6. הראו דרך נוספת לחשוף את תיקיית ה-Library באופן קבוע דרך ממשק ה-Finder: גשו לתיקיית הבית, לחצו על Cmd + J (Show View Options), וסמנו את התיבה "Show Library Folder".
Instructor Deep-Dive (להרחבת ידע ותשובות לשאלות)
  • מה זה בכלל תיקיית הבית (~)? ביוניקס (ו-macOS), ה-Home Folder נועד להפריד את המידע האישי ממערכת ההפעלה עצמה. מזהה המשתמש הראשון הוא לרוב UID 501, והבא 502, וכן הלאה.
  • מה יש בתיקיית ה-Library שמחייב אותה להיות מוסתרת? בעבר היא היתה גלויה, אך אפל הסתירה אותה כדי שמשתמשים לא ימחקו בטעות קבצי העדפות (Preferences) ומידע אפליקציות (Application Support) שעלולים לגרום לתוכנות לקרוס. שם גם נשמרות סביבות ה-Sandboxing של אפליקציות מה-App Store תחת ~/Library/Containers.
  • למה אני כ-Admin לא יכול להיכנס לתיקיית בית של משתמש אחר? ה-Admin לא עוקף כברירת מחדל את הרשאות ה-POSIX שחוסמות גישה ל-Group ול-Everyone. אם הוא רוצה לגשת, הוא צריך לשנות הרשאות דרך Get Info או להשתמש בהרשאות root (באמצעות פקודת sudo -i או פקודת ls עם sudo בטרמינל).

3. אבטחת קבצים: הרשאות (Read/Write/Execute) והיכרות בסיסית עם שיתוף וגישה

Objective: הסטודנטים יבינו את מודל ההרשאות הבסיסי של הקבצים ב-macOS, וילמדו כיצד לאבחן ולשנות הרשאות גישה תוך שימוש בממשק המערכת.

Discussion - Script: "כל קובץ וכל תיקייה במק מצוידים בתגית אבטחה שאומרת מי רשאי לגעת בהם. אם ניקח קובץ ונעשה עליו קליק ימני ו-Get Info, נראה למטה את אזור ה-Permissions. ההרשאות במק מבוססות על מערכת יוניקס, והן מחולקות תמיד לשלושה חלקים עיקריים: Owner (הבעלים של הקובץ), Group (קבוצת המשתמשים), ו-Everyone (כל השאר). על כל אחד מהם אפשר לקבוע אם הוא יכול רק לקרוא את הקובץ (Read), לכתוב ולשנות אותו (Write), או שניהם יחד. לדוגמה, אם אני אסתכל על אפליקציית מערכת, ה-Owner הוא בכלל לא אני, הוא המערכת עצמה, ולכן אני יכול לפתוח את האפליקציה אבל לא יכול למחוק או לשנות אותה. דרך ממשק ה-Get Info, אנחנו יכולים לראות את ההרשאות האלה בצורה ויזואלית וברורה, ולשנות אותן בקלות על ידי לחיצה על המנעול."

Demonstration:

  1. צרו קובץ טקסט פשוט על שולחן העבודה.
  2. בחרו את הקובץ, עשו קליק ימני ובחרו Get Info (או Cmd+I).
  3. פתחו את הלשונית התחתונה ביותר – Sharing & Permissions (לחצו על המשולש אם הוא סגור).
  4. הראו לסטודנטים את עמודות ה-Name וה-Privilege.
  5. הדגימו כיצד יש ללחוץ על המנעול הקטן למטה, להזין סיסמת Admin (או מזהה ביומטרי), ואז ניתן לשנות את ההרשאות – למשל לתת ל-Everyone הרשאת Read & Write.
  6. הדגימו שינוי בעלות: דרך כפתור ה-(+) הוסיפו משתמש אחר, והראו כיצד אפשר לנהל את הגישה דרך תפריט הפעולות (סמל של גלגל שיניים) כדי להחיל שינויים על תתי-תיקיות (Apply to enclosed items).
Instructor Deep-Dive (להרחבת ידע ותשובות לשאלות)
  • מה המשמעות של Read, Write ו-Execute מאחורי הקלעים? במודל POSIX (מודל סטנדרטי של יוניקס), כל קובץ מקבל 3 סטים של הרשאות (U, G, O). הרשאת Execute עבור קובץ מאפשרת להריץ אותו כתוכנה. הרשאת Execute על *תיקייה* אומרת שאפשר להיכנס (cd) לתוכה ולעבור דרכה.
  • מהי קבוצת wheel ומה ההבדל בינה לבין קבוצת admin? קבוצת wheel היא קבוצת ליבה היסטורית שמנהלת תהליכי מערכת פנימיים וגישת root, בעוד קבוצת admin משמשת לזיהוי משתמשים אנושיים שיש להם הרשאת סודו (Sudoers). קבצי מערכת של ה-OS תמיד בבעלות root:wheel.
  • מהם חוקי ACL ב-macOS? ACL (Access Control Lists) מספק שליטה פרטנית ברמת השרת או רמת הקובץ. במערכות הפעלה מתקדמות, ניתן להגדיר ACL שמאפשר או מונע פעולות מורכבות. פקודת הטרמינל לראות אותם היא ls -le ואם יש ACL יופיע סימן פלוס (+) ליד הרשאות הקובץ, ויש להשתמש בפקודת chmod לשינויים דרך ה-CLI.

4. תיבול ארגוני: עבודה עם Managed Apple Accounts (MAID) והגבלות על שירותי iCloud בארגון

Objective: הסטודנטים יכירו את סוג החשבונות הארגוני של Apple, כיצד הם משתלבים עם מערכת הניהול (MDM), ומה ההבדל בינם לבין חשבון Apple פרטי רגיל.

Discussion - Script: "עד עכשיו דיברנו על המשתמש המקומי במחשב עצמו. אבל מה קורה ברמת הענן? בחיים הפרטיים, אתם משתמשים בחשבון ה-Apple שלכם כדי להוריד אפליקציות מה-App Store, לסנכרן תמונות ולהשתמש ב-iCloud. בארגונים, אנחנו לא רוצים שהעובדים יערבבו את החיים הפרטיים עם המידע של החברה. כאן נכנסים לתמונה חשבונות שנקראים Managed Apple Accounts, או בקיצור MAID. ה-MAID הם חשבונות שהחברה מנהלת. החברה יוצרת אותם דרך פורטל ארגוני שנקרא Apple Business Manager, ובדרך כלל היא מקשרת אותם ישירות למערכת ההזדהות שלכם, כמו Entra ID (Azure) או Okta. זה אומר שהעובד יכול לעשות Log In לשירותי אפל עם כתובת המייל והסיסמה הארגונית הרגילה שלו (Federated Authentication). חשוב להבין: ל-Managed Apple Account אין גישה לרכישות. אי אפשר לקנות איתם בחנות האפליקציות ואין להם Apple Pay. לעומת זאת, הם מקבלים אחסון iCloud Drive שמתאים לעבודה שוטפת, ומנהלי ה-MDM בארגון שולטים עליו ויכולים גם לנתק אותו אם העובד עוזב. במחשבים ארגוניים המנוהלים ב-MDM, אנו הרבה פעמים חוסמים לחלוטין את האפשרות להקליד חשבון Apple פרטי רגיל (Personal Apple Account) במק, ומתירים אך ורק שימוש ב-Managed Apple Accounts כדי לשמור על האבטחה."

Demonstration:

  1. פתחו את System Settings.
  2. הראו למעלה את האזור של ההתחברות לחשבון אפל (Sign in to your Apple Account).
  3. הסבירו בעל-פה היכן מתבצעת החסימה: הראו למשתתפים שאם מכשיר מנוהל ב-MDM, ניתן לשלוח Configuration Profile אפור שלפעמים ממש מאפיר (מדאסייבל) את כפתור ההתחברות, או מגדיר שרק סיומת מייל של החברה תאושר להתחברות.
  4. ציינו שאפליקציות שה-IT מפיץ באופן ארגוני בכלל לא צריכות Apple Account על המחשב – הן יורדות אוטומטית דרך מערכת ה-MDM ורשיונות VPP.
Instructor Deep-Dive (להרחבת ידע ותשובות לשאלות)
  • מה זה Apple Business Manager (ABM)? זהו פורטל הרשת החינמי שאפל נותנת לארגונים. שם הם "מוכיחים" את הבעלות על כתובות הדומיין שלהם (למשל @company.com) ויכולים לייצר חשבונות MAID בצורה מסונכרנת עם ה-Identity Provider של הארגון.
  • למה שארגון ירצה Federated Authentication? זה מאפשר חוויית Single Sign-On (SSO). העובד לא צריך לזכור סיסמה נפרדת לחשבון האפל שלו. כשהוא מזין את המייל של החברה, המערכת של אפל מפנה אותו למסך הלוגין של הארגון שלו במיקרוסופט או באוקטה. כשהוא עוזב והחשבון באוקטה ננעל, גם חשבון האפל שלו ננעל.
  • האם משתמש MAID יכול למצוא מכשיר שאבד? לא דרך Find My הרגיל של משתמשים פרטיים (שנמצא תחת Activation Lock פרטי). הארגון משתמש בכלים משלו דרך ה-MDM כדי לאתר מכשירים או לנעול אותם במקרה של אובדן.
  • הערת טרמינולוגיה: החל מסוף 2024 (macOS Sequoia), המונח Apple ID הוחלף רשמית ל-Apple Account, והמונח Managed Apple ID שונה ל-Managed Apple Account.