Hallo Forum,

zum Hintergrund:
Ich habe einen Server (Monterey) mit mehreren Benutzern eingerichtet. Es läuft ein Datenbankserver auf dem Rechner auf den jeder zugreifen können muss. Auf diesen Rechner greift jeder Mitarbeiter per Remote (Software JumpDesktop) auf jeweils seinen Benutzer per iPads zu. Die iPads hängen jeweils an einem Bildschirm mit Tastatur und Maus. Das Arbeiten per Remote läuft schon seit 1,5 Jahren sehr gut. 🙂 (Übrigens gibt es bei diesem Aufbau keine schwarzen Ränder am externen Monitor.)
Allerdings muss ich den Mitarbeitern einschärfen, dass sie auf gar keinen Fall im  Menü die Punkte „Ruhezustand“, „Neustart“ und „Ausschalten“ auswählen dürfen. Dann wäre der Server für alle aus.
Die Mitarbeiter sollen sich aber immer abmelden nach der Arbeit. Das ist Pflicht.

Nun die Frage: Kann man die drei Menüpunkte für bestimmte Benutzer ausblenden?


Wäre cool, wenn das ginge.

Danke

Das ist ein Bildschirmfoto aus der App Onyx . Ich habe nur einen Nutzer eingerichtet, kann es also für dich nicht sinnvoll testen. Wenn Onyx das als Option anbietet, gibt es vermutlich auch einen Terminal-Befehl dafür.

Das ist schon mal cool. Super danke.

Geht das vielleicht auch mit TinkerTool System? Das hab ich nämlich auf dem Rechner laufen? … Vielleicht kann Marcel dazu was sagen?

Onyx kostet nur eine "Donation". Wie ich gerade sehe, gibt es auch das Teilprogramm Deeper vom gleichen Anbieter. Ich nehme an, dass Deeper reicht.

☹️Leider ist Onyx oder Deeper keine Option. Es wird leider auch das Abmelden des Benutzers verhindert. Das muss aber funktionieren. Außerdem gelten die Optionen nicht pro Benutzer sondern rechnerweit. Also kann dann auch der Admin sich nicht mehr Abmelden oder Ausschalten.


Übrigens werden die Menüeinträge nur deaktiviert und nicht ausgeblendet.

Kann sich der Admin – bei gesetzter Funktion – weiterhin durch Anwendung der entsprechenden Tastaturbefehle abmelden etc.?

Spannend wäre es, ob man, wenn man diese Funktionen im Finder deaktiviert, trotzdem noch per AppleScript den aktuellen Benutzer abmelden kann. Falls ja, kriegt der Admin ein Script für alle 3 Befehle, der Rest nur eines, mit dem man sich abmelden kann.

Hi,

sollte ganz einfach mit einem MDM Profil funkinneren.

Anbei ein Screenshot.



PS : Falls du ein Profil brauchst oder weiter Tipp lass es ich als Kommentar wissen.

mschwickart
Das sieht doch so aus, als ob es funktionieren könnte.
Ich kenne mich mit MDM Profilen gar nicht aus.

• a) Gelten die dann auf einem Rechner jeweils für den User für den man es einrichtet oder sind die dann Systemweit aktiv egal welcher User?
• b) Funktionieren die Profile auch nach einem Betriebssystem Update?
• c) Womit macht man die Profile? Kann ich das selber?
• d) Gerne nehme ich das Angebot an die Profile von dir zu erhalten, falls a) und b) positiv ausfallen und c) für einen Laien zu kompliziert .

Vielen Dank.

Danke an alle anderen für die Vorschläge. Ob eine Tastenkombination funktioniert habe ich nicht getestet.

Kein Thema ich versuche dir mal einen kleinen Einblick zugeben und dir die Fragen zu beantworten.

Zu A :
Es gibt User Profile und Device Profile. Das was du siehst auf den Screenshots ist ein Device Profile. Dieses würde für alle User gelten.

Zu B :
Ja Profile sind Betriebsystem unabhängig ( Außer Apple Streicht die Funktionen direkt aus dem OS )

Zu C :
Ich verwende auf der Arbeit ( IT Apple Administrator ) die Apple Server App ( Die gibt es aber jetzt leider nicht mehr ) Ich kann dir alternativ den iMazing Profile Editor empfehlen.Der ist kostenfrei. https://imazing.com/de/profile-editor

Zu D:
Falls du Interesse hast. Schreib mir grade nochmals ein Kommentar, dann gebe ich dir meine E-Mail Adresse

Wir haben aktuell ca. 60 Mac's die ich betreue. Vorteil von MDM du kannst sie so konfigurieren wie du magst ( Ohne Ablaufdatum , mit Passwort so das sie keiner entfernen kann )

Hatte vor langer Zeit mal die Server App gekauft. Ich kann die sogar noch laden. Ist es jetzt sinnvoller die Server App zu nutzen oder doch lieber den profile-editor von imazing?

Ich "spiel" am Wochenende mal damit herum.

Ein komplettes MDM einzurichten ist dann doch etwas überdimensioniert.

Vielen Dank für das Angebot ich melde mich hier am Montag ob es geklappt hat und schreibe mal eine PN.
Schönes Wochenende.

Mein Tipp :

Lade dir dir die Server App herunter und installiere sie. Aktivere nach dem installieren den Profilmanager. Die Server app erstell dir dan ein Apache Server und dan hast du die gleiche Oberfläche wie vom Screenshot.

Ja, das muss ich wohl. Der profile-editor von imazing scheint die  Menü Befehle nicht zu können.

Ich teste am Wochenende weiter ...

Ok dank für den Tipp. Wünsche viel spass beim weiter testen. Schönes Wochenende.

mschwickart

Tatsächlich habe ich zwei  Menü Befehle ausblenden können.
Nur "Ruhezustand" geht wohl nicht.


Vielen Dank für den Tipp.

Was mich für die Zukunft nur etwas stört:

Nach Monterey werde ich so einfach keine Profile mehr selber erstellen können.

Kann man ein Profil für einen beliebigen User erstellen, welches dann nur für diesen gilt und von der macOS Version unabhängig ist?
Ich habe mit der Server App für genau den entsprechenden User ein Profil erstellt. Dieses Profil hatte dann auch den Namen des Users. Aber für die Zukunft ist es nötig, falls neue User angelegt werden, ein Profil zu haben welches dann für die neuen User genutzt werden kann.

Erstelle doch ein Profil für eine Benutzergruppe und weise jeden neuen Nutzer einfach dieser Benutzergruppe zu.

Wenn alle Menüeinträge ausgeblendet sind, gibt es
für Abmelden den Terminalbefehl: sudo pkill loginwindow oder launchctl bootout user/$(id -u <user id>)
und für Neustart: sudo shutdown -r now
Kurzbefehle können Terminal-Befehle per Shell-Skript ausführen. Die passenden Kurzbefehle können dann in der Menüleiste abgelegt werden.

Das ließe sich auch gut mit der Bunch-App kombinieren . Dann wäre es auch möglich, die passenden Programme zu öffen, nach einer bestimmten Zeit zu schließen oder den Rechner abzumelden.

Ruhezustand nur für alle Nutzer, die beiden anderen Menüpunkte auch benutzerspezifisch.

Zunächst zum Ruhezustand: Diese globale Einstellung ist nicht kosmetisch, d.h., es wird nicht einfach der Menübefehl deaktiviert, in den Ruhezustand zu gehen, sondern Fähigkeit des Rechners zum Ruhezustand selbst. Der Mac kann dann also grundsätzlich, egal über welche Methode (z.B. die Systemeinstellung Energie sparen) nicht mehr in den Ruhezustand versetzt werden (der Bildschirm lässt sich über Energie sparen aber noch abdunkeln).

Die Einstellung lässt sich nur übers Terminal in einem Administratoraccount aktivieren und lautet:
Adminpasswort muss eingegeben werden. Um die Einstellung zurückzusetzen, am Ende eine 0 statt einer 1 eingeben.

Für die übrigen Menüpunkte sind prinzipiell /Library/Preferences/com.apple.loginwindow (für alle Benutzer) bzw. ~/Library/Preferences/com.apple.loginwindow (nutzerspezifisch) zuständig. Allerdings funktionieren die entsprechenden Einträge in den regulären Varianten dieser Dateien nicht, sondern nur in den Managed-Varianten (zumindest bis einschließlich macOS 10.15 Catalina). Man kann das für einen Bug halten, aber Apple ist offenkundig der Meinung, dass es sinnlos ist, einem Nutzer Menüpunkte zu entziehen, wenn der selbst die Einstellung wieder ändern kann. Nunja.

Jedenfalls würde dadurch die Einrichtung per Kommandozeile eher aufwändig und mit einem MDM-Profilmanager geht es sicher einfacher; insofern war diese Idee kein Workaround, sondern genau die richtige.
Wieso? Wenn das MDM nur aus den Einträgen für ein paar Menüpunkte besteht, ist es doch lediglich eine winzige XML-Datei.
Natürlich kann iMazing Profile Editor das:


Die rot umrahmten Einstellungen sind die, die Du sicher brauchst (wobei Power Off für Dich vermutlich irrelevant ist, das bezieht sich entgegen der Bezeichnung menu item auf den den Hardware-Ausschaltknopf des Macs). Die beiden grün umrahmten Einstellungen bräuchtest Du, wenn Du auch das Abmelden würdest unmöglich machen wollen, aber das willst Du ja nicht. Überlegen musst Du dir, was mit den blau umrahmten Einstellungen geschehen soll: Denn wenn sich ein Nutzer, was er ja kann, abgemeldet hat, könnte er natürlich den Rechner über die Tasten in dem Login-Fenster ausschalten oder neustarten (die Ruhezustand-Taste bliebe wie gesagt ohne Wirkung, würde aber insofern irritieren). Also im Zweifelsfall diese Tasten im Login-Fenster auch entfernen, indem Du diese Einstellungen aktivierst.

Dann kann nur noch ein Nutzer, in dessen Account die Menüpunkte existieren, sich in diesen einloggen und dann den Rechner neustarten/ausschalten.
Profile haben mit der macOS-Version überhaupt nichts zu tun, das sind lesbare XML-Dateien. Und nutzerspezifische (= nicht systemweite) Profile kannst Du einfach in jeden x-beliebigen Nutzeraccount kopieren und dort durch Doppelklick für genau diesen Nutzer installieren. Nutzerspezifisch bedeutet nicht, dass das Profil nur für einen ganz bestimmten Nutzer verwendbar ist; es bedeutet, dass es nur für Nutzer gilt, in deren Acounts es installiert ist – das können aber beliebig viele sein. Systemweite Profile hingegen gelten stets für alle Nutzer.

Ich habe den macOS Server einfach auf eine VM ( Virtuell Maschine ) gepackt mit Parallels. Somit kann ich die VM auf jeden Mac mit Parallels öffnen.
Profile sind unabhängig vom OS außer Apple Streicht die Funktion aus ihrem OS. Deshalb keine Panik von einem OS update.

Emuliert Parallels währenddessen Intel-Macs auf Mn-Rechnern? iMazing Profile Editor scheint mir da auf alle Fälle zukunftssicherer.

Parallel's läuft bei mir auf einem M1 MacMini und als VM ist es macOS 12.4. Ich kann soviel VM erzeuge mit den M1 und Monterey wie ich mag. Das hilft uns auf der Arbeit sehr viel.

Ach so, das ist dann zwar die Apple-Silicon-Version von Monterey, aber auf der läuft macOS Server als Intel-App dank Rosetta 2. Ja, das geht natürlich.

Exakt. Wir verwende eine VM für die Server ( Profilmanager ) und eine weitere VM für unser Munki Software Center

Weia
Super vielen Dank. Die Terminal Einstellung disablesleep ist sehr hilfreich. Da es sich um einen Server handelt der ja 24/7 läuft, ist es nicht schlimm, dass der Ruhezustand nun für alle User inklusive Admin ausgegraut ist.

Ich kenne mich ja mit Profilen und MDM gar nicht aus. Als ich iMazing Profile Editor das erste mal gestartet habe, dachte ich, dass sich die Einstellungen halt im Reiter Finder befinden. Der Tipp unter Login Window zu schauen war auch sehr hilfreich.

Nun habe ich mir mit iMazing Profile Editor und dem Terminal Befehl disablesleep ein Profil für einen User erstellt. Dieses Profil konnte ich bei allen relevanten Usern installieren.

Wie man sieht sind Neustarten, Ausschalten und Bildschirm sperren ausgeblendet. Ruhezustand ist ausgegraut.

mschwickart, Weia
Vielen Dank auch noch mal für die Erklärung zu den Profilen, dass diese vom macOS unabhängig sind. Nun habe ich mehr Verstanden.

Als Referenz hier noch die entsprechenden Terminal-Befehle.

Die in meinem Screenshot blau umrahmten Einstellungen, die die entsprechenden Tasten auf dem Login-Bildschirm ausblenden, funktionieren auch unabhängig von MDM-Profilen problemlos (in der Reihenfolge wie auf dem Screenshot):
(Um die Einstellungen rückgängig zu machen, am Zeilenende false statt true eingeben.)

Die restlichen Einstellungen, wiederum in der Reihenfolge wie auf dem Screenshot, müssten (für einen einzelnen Nutzer in dessen Account im Terminal) lauten:

Für systemweite, nicht nutzerspezifische Einstellungen müsste der Beginn der Befehle stattdessen jeweils lauten:

Bei unzulässigen Parametern würden diese Befehle Fehlermeldungen erzeugen, aber das tun sie nicht. Die Parameter sind also korrekt, trotzdem ignoriert sie macOS zumindest bis Catalina wie gesagt, solange sie sich nicht im dem speziellen Ordner /Library/Managed Preferences/ befinden und dort registriert sind, was die Systemeinstellungen bei der Installation eines MDM-Profils veranlassen.

Wer schon auf Monterey und neugierig ist, kann ja mal testweise einen Befehl ausführen (danach mit false wieder zurücksetzen) und probieren, ob er dort Wirkung zeigt.

Die zu Beginn des Threads erwähnte Onyx-EInstellung, die Neustart, Ausschalten und Abmelden zusammen systemweit deaktiviert, heißt bei Apple übrigens Kiosk-Modus und würde so eingeschaltet:
(Dieser Befehl funktioniert ebenfalls ganz normal über Kommandozeile, ohne MDM-Profil.)