לדלג לתוכן

מעבדה מעשית: ניהול משתמשים והרשאות (Hands-On Lab: Users & Permissions)

מטרת התרגול: לתרגל הלכה למעשה יצירה וניהול של חשבונות משתמשים מקומיים (Local Account), לחקור את היררכיית התיקיות, ולשלוט על הרשאות הגישה לקבצים דרך ממשק ה-Finder והמערכת הגרפית. בנוסף, נתרגל שיתוף קבצים מאובטח בין משתמשים באמצעות תיקיית Shared.

דרישות קדם:

  • מחשב מק מותקן (macOS 26 Tahoe) שעבר אסף הגדרות (Setup Assistant).
  • חיבור כחשבון מנהל (Admin) קיים.

חלק 1: יצירת חשבונות ושינוי סוגי משתמשים (Local Accounts & Fast User Switching)

בחלק זה ניצור Local Account מסוג Standard, נאפשר החלפה מהירה של משתמשים, ונקדם את המשתמש לרמת מנהל דרך ממשק המערכת.

  1. פתחו את System Settings ונווטו ללשונית Users & Groups (בתחתית הרשימה השמאלית).
  2. בחלקו העליון של המסך, לחצו על הכפתור Add Account.
  3. המערכת תדרוש אימות על מנת לשלוף Secure Token המאשר ביצוע שינוי מהותי. הזינו את סיסמת ה-Admin שלכם (או השתמשו ב-Touch ID).
  4. בתיבת הדו-שיח שנפתחה, הגדירו את הפרטים הבאים עבור המשתמש החדש:
  5. New Account: בחרו Standard מתוך התפריט הנפתח.
  6. Full Name: הקלידו Test User.
  7. Account Name: השאירו testuser (שם זה ישמש כשם תיקיית הבית - Directory).
  8. Password: הגדירו סיסמה פשוטה (לדוגמה 1234), ואמתו אותה.
  9. לחצו על Create User. כעת המשתמש יופיע ברשימה כ-Standard.
  10. כדי לראות הגדרות מתקדמות עבור המשתמש בממשק, בצעו קליק ימני (או קונטרול+קליק) על Test User ובחרו Advanced Options.... תוכלו לראות את ה-User ID, Group ID ונתיב תיקיית הבית (אין לשנות ערכים אלו כעת).
  11. כדי לעבור למשתמש החדש בקלות, נווטו ל-Control Center בסרגל התפריטים העליון, לחצו על סמל המשתמש ובחרו את Test User (פעולה זו משתמשת במנגנון Fast User Switching ללא ניתוק החשבון הנוכחי).
  12. בצעו התחברות לחשבון ה-Test User. המתינו מספר שניות עד שהמערכת תסיים להכין עבורו את סביבת העבודה (תהליך ה-Provisioning של תיקיית הבית).
  13. התנתקו מ-Test User (דרך תפריט Apple  > Log Out Test User...) וחזרו לחשבון ה-Admin שלכם.
  14. ב-Users & Groups, לחצו על האייקון "i" (Information) לצד Test User והפעילו את המתג Allow this user to administer this computer. המשתמש קודם בהצלחה ל-Admin.

חלק 2: חקירת היררכיית התיקיות (Folder Hierarchy & /Users/Shared)

כעת נבדוק כיצד מערכת הקבצים שומרת על הפרדה בין המשתמשים וכיצד ניתן בכל זאת לשתף מידע באופן מקומי, הכל מתוך ממשק ה-Finder.

  1. פתחו חלון Finder חדש, ולחצו בשורת התפריטים העליונה על Go > Computer.
  2. היכנסו אל Volume הנתונים (Data Volume), לרוב תחת השם Macintosh HD.
  3. היכנסו לתיקיית Users.
  4. בספריה זו תוכלו לראות שלוש תיקיות: תיקיית הבית שלכם (סמל בית), התיקייה של testuser, ותיקיית Shared.
  5. נסו להיכנס לתיקייה של testuser. תבחינו שעל רוב תתי-התיקיות (כמו Documents, Desktop) מופיע סמל אדום של "אין כניסה" (No Access). מערכת macOS חוסמת גישה של משתמש אחד לחומרים של משתמש אחר, גם אם הראשון הוא Admin.
  6. צרו קובץ טקסט על שולחן העבודה שלכם. פתחו את אפליקציית TextEdit, כתבו "Top Secret Data", ושמרו את הקובץ בשם Secret.txt על ה-Desktop.
  7. גררו את הקובץ Secret.txt משולחן העבודה לתוך התיקייה /Users/Shared.
  8. החליפו שוב חשבון ל-Test User דרך ה-Control Center.
  9. בחשבון השני, פתחו את ה-Finder, נווטו ל-/Users/Shared, ונסו לפתוח את הקובץ Secret.txt.

    הערה: הקובץ אמור להיפתח ללא בעיה בגלל מנגנוני ההרשאות הדיפולטיביים של תיקיית Shared, המיועדת בדיוק לצורך זה.

חלק 3: ניהול הרשאות קבצים בממשק הגרפי (Finder Permissions)

כדי להבין לעומק כיצד מנוהלות ההרשאות, נבדוק ונשנה את הרשאות הקובץ דרך חלון המידע של ה-Finder, ונוודא שהשינויים אכן משפיעים על משתמשים אחרים.

  1. התחברו בחזרה לחשבון ה-Admin המקורי שלכם.
  2. נווטו ב-Finder אל /Users/Shared, סמנו את הקובץ Secret.txt ולחצו על File > Get Info (או הקישו Cmd + I).
  3. בחלון המידע, גללו מטה והרחיבו את החלק Sharing & Permissions.
  4. תראו טבלה המציגה את ההרשאות הנוכחיות (POSIX):
  5. Name: משתמש הבעלים (החשבון שלכם) - Privilege: Read & Write.
  6. staff: קבוצת המשתמשים - Privilege: Read only.
  7. everyone: כל שאר החשבונות - Privilege: Read only.
  8. לחצו על המנעול בתחתית החלון והקלידו את סיסמת ה-Admin (או Touch ID) לפתיחה.
  9. אנו ננעל כעת את הקובץ כך שאף אחד מלבדכם לא יוכל לראות או לערוך אותו:
  10. שנו את ההרשאה של staff מ-Read only ל-No Access.
  11. שנו את ההרשאה של everyone מ-Read only ל-No Access.
  12. סגרו את חלון ה-Get Info כדי לשמור את ההגדרות.
  13. החליפו שוב למשתמש Test User, גשו לתיקיית Shared ונסו לפתוח את הקובץ Secret.txt.

    תוצאה: תקבלו הודעת שגיאה כי אין למשתמש זה מספיק הרשאות לקרוא את הקובץ, כפי שהגדרתם בממשק ה-Get Info.

חלק 4: התיבול הארגוני - עבודה עם Managed Apple Account (MAID) (דיון והדגמה)

בסביבת Enterprise, לא נהוג לאפשר לעובדים להשתמש ב-Apple ID פרטי מטעמי שמירה על המידע בארגון, מניעת נעילת Activation Lock על מכשירים, ושליטה מרכזית. לשם כך אנו משתמשים בחשבון אפל מנוהל (MAID).

  1. בתוך System Settings, גשו לראש הרשימה השמאלית ולחצו על Sign in with your Apple Account.
  2. הזינו חשבון MAID שסופק למעבדת הלימוד (לדוגמה student1@wediggit.edu).

    הערה: אם המוסד שלכם מוגדר דרך Apple Business Manager עם אינטגרציה ל-Identity Provider (כמו Entra ID או Okta), תועברו למסך ההתחברות הארגוני של החברה. זוהי Single Sign-On (SSO) (SSO).

  3. לאחר ההתחברות המוצלחת, בחנו את שירותי ה-iCloud.
  4. דברים שניתן להבחין בהם בחשבון MAID לעומת חשבון פרטי:
  5. שירות Find My Mac יהיה לרוב נעול או אפור, כיוון שמניעת אבדן נעשית על ידי מערכת ה-MDM הארגונית ולא תלויה במשתמש בודד.
  6. שירותי iCloud Drive עשויים להיות כבויים דרך Configuration Profile שמחייב את העובדים לשמור מסמכים ב-OneDrive או Google Drive, למניעת זליגת מידע ארגוני לענן הפרטי.
  7. רכישות App Store חסומות; הפצת האפליקציות מתבצעת על ידי פתרונות MDM בקטלוג שירות עצמי (Self Service) או בדחיפה אילמת ללא צורך בכרטיס אשראי או אישור חשבון אפל.

סיום התרגול: אפסו את עמדת התרגול על ידי מחיקת הקובץ Secret.txt, ולאחר מכן מחיקת משתמש Test User במערכת ה-Users & Groups.

תרגיל אקסטרה / קצה קרחון טכני

למי שמעוניין לראות כיצד מנהלי מערכת מתקדמים מבצעים את אותן פעולות הרשאות שביצענו בממשק הגרפי דרך שורת הפקודה (CLI), ניתן להשתמש ב-Terminal:

  1. פתחו את אפליקציית Terminal מתוך תיקיית Utilities.

  2. כדי לראות את ההרשאות של הקבצים בתיקיית המשותפת בצורת טקסט מפורט (בדומה למה שראינו ב-Get Info), הקלידו: 

    ls -la /Users/Shared
    הסבר: הפקודה מציגה את בעלי הקובץ, קבוצת המשתמשים, ומחרוזת תווים כמו rw-r--r-- המייצגת הרשאות קריאה (r) וכתיבה (w).

  3. כדי לשנות את הרשאות הקובץ (בדיוק כפי ששינינו ל-"No Access" עבור כולם פרט לבעלים), מנהלי רשת משתמשים בפקודה chmod: 

    chmod 700 /Users/Shared/Secret.txt
    הסבר: המספר 700 הוא ייצוג אוקטלי להרשאות. הספרה 7 נותנת הרשאות מלאות (קריאה, כתיבה, ביצוע) לבעלים, בעוד ששתי הספרות 0 מסירות את כל ההרשאות מהקבוצה (staff) ומכל השאר (everyone).