Jedna od najčešće preporučenih praksi sigurnog računanja je pokretanje svakodnevnih aktivnosti na standardnom korisničkom računu i rezerviranje administrativnih računa samo za instaliranje aplikacija, podešavanje postavki sustava i na drugi način rekonfiguriranje sustava. Ova postavka pomaže spriječiti nezgode na standardnom računu da utječu na globalne sistemske resurse. Na primjer, zlonamjerni napad ili greška u aplikaciji imat će lakši pristup mapi s aplikacijama, globalnim mapama knjižnice i drugim resursima otvorenim za administrativne račune. Stoga ćete pomoću računa sa standardnim dozvolama spriječiti da problemi ili opasnosti utječu na resurse sustava bez vašeg izričitog dopuštenja.

Neki ljudi mogu imati rezerve u vezi s korištenjem restriktivnijih standardnih računa zbog straha da ne mogu napraviti promjene u sustavu kada je to potrebno; međutim, u OS X to ne bi trebao biti problem. U većini slučajeva, ako zadatak zahtijeva administratorske ovlasti, sustav će zatražiti odgovarajuće vjerodajnice, čak i kada se ti zadaci pozivaju s standardnog računa. Stoga možete nastaviti raditi na svom standardnom računu kako biste spriječili automatske promjene postavki sustava i resursa, a zatim budite spremni za provjeru autentičnosti kad god je to potrebno.

To je lako učiniti kada prvi put postavite svoj sustav, gdje možete koristiti pomoćnika za postavljanje da biste stvorili zadani račun administratora nakon čega slijedi navođenje standardnih korisničkih računa za svakoga tko koristi sustav. Međutim, ako ste se prikazivali u administratorskom korisničkom računu, stvaranje i migracija na novi standardni račun bit će malo opterećenje jer ćete morati ponovno konfigurirati sve svoje postavke, programe i mrežne usluge uz migraciju podataka na novi sustav.

Međutim, umjesto da se mučite s migracijom na novi račun, trenutni račun možete prebaciti s administratora na standardni račun i time nametnuti ista ograničenja. Da biste to učinili, najprije morate stvoriti novi administratorski račun u sistemskim postavkama Računi (ili Korisnici i grupe), a zatim se odjaviti s trenutnog računa i prijaviti na novi administratorski račun. Kada se prijavite na novi račun, vratite se na postavke sustava Računi, odaberite svoj stari administratorski račun, a zatim poništite potvrdu opcije "Dopusti korisniku da administrira ovo računalo".

U nekim rijetkim slučajevima ljudi mogu uvidjeti da su svi računi na sustavu standardni, bez mogućnosti administratora. Te se situacije obično događaju zbog grešaka tijekom migracije ili obnove sustava, a zbog nedostatka administratorskog računa potrebna je posebna pažnja kako bi se ona ponovno stvorila.

Postoji nekoliko pristupa koje možete poduzeti ako vašem sustavu nedostaje administratorski račun. Prvi je korištenje novog administrativnog računa pomoću terminala u načinu rada za jednog korisnika. Način rada za jednog korisnika zaobići će račune na sustavu i učitati sustav u okruženju samo terminala s root pravima. To omogućuje potpuni pristup sustavu pomoću naredbenog retka i omogućit će vam izmjenu sistemskog direktorija i stvaranje novog administratorskog računa.

Da biste to učinili, najprije ponovno pokrenite sustav dok istovremeno držite tipke Command i S sve dok ne vidite naredbeni redak, a zatim pokrenite sljedeću naredbu da biste dopustili upis u pogon za pokretanje (ovo je prema zadanim postavkama isključeno za sigurnosne svrhe):

mount -uw /

Kada pokrenete ovu naredbu, slijedite ovaj postupak da biste stvorili novi administratorski račun:

1. Provjerite prisutnost grupe administratora pomoću sljedeće naredbe:

   dscl. -read / Groups / admin GroupMembership

2. Ako grupa administratora ne postoji, dobit ćete DS Error kao izlaz koji tvrdi da zapis nije pronađen. U tom slučaju trebat ćete kreirati admin grupu pokretanjem sljedećih naredbi; međutim, ako postoji, prijeđite na treći korak:

   dscl. -create / Groups / admin

   dscl. -create / Groups / admin RealName Administratori

   dscl. -create / Groups / admin Primarna grupa 80

   dscl. -create / Grupe / Administrator Lozinka \ t

   dscl. -create / Groups / admin GroupMembership root

   Te će naredbe stvoriti grupu, nakon čega će joj se dati ispravno puno ime, a zatim postaviti ID grupe na onaj koji koristi administratorska grupa u OS X. Ovaj broj je dodijeljen svim resursima kojima grupa može pristupiti, i dodijeliti ga novoosnovanoj administratorskoj grupi učinit će je istinskom skupinom administratora jer će svaki član imati pristup tim resursima. Na kraju grupi dajemo praznu lozinku, tako da će zahtijevati korištenje lozinke članova za rad (zahtijeva provjeru autentičnosti), a zatim grupi dodijeliti root korisnički račun.

3. Dodijelite korisnički račun administratorskoj grupi pokretanjem sljedeće naredbe. U ovoj naredbi zamijenite USERNAME s kratkim nazivom računa koji želite biti admin. To može biti bilo koji račun za sada:

   dscl. -create / Groups / admin Grupno članstvo USERNAME

Ova procedura zahtijeva da upišete velik broj naredbi, a budući da pogreške u uputama Terminala mogu dovesti do neželjenih ili zbunjujućih rezultata, možete alternativno koristiti OS X pomoćnik za postavljanje za ponovno kreiranje admin računa. Da biste to učinili, nakon podizanja sustava u način rada za jednog korisnika i postavljanje sustava datoteka za pristup pisanju (pogledajte gore), pokrenite sljedeću naredbu:

rm /var/db/.AppleSetupDone

To će ukloniti nevidljivu datoteku u sustavu koja pokazuje da je pomoćnik za postavljanje već pokrenut. Stoga, uklanjanjem te datoteke i ponovnim pokretanjem, pozvat ćete pomoćnika za postavljanje i zatražiti od sustava da vas provede kroz korake za stvaranje novog administrativnog računa, koristeći sučelje prilagođeno korisniku.