Erzeugen eines vorübergehenden Administrator-Kontos
In meinem Büro läuft ein großes Konzern-Netzwerk zur Verwaltung von Macs in einem schnell wachsenden Schulbezirks. Wie in den meisten Konzern-Netzwerken haben alle unsere Mitarbeiter mobile Zugangskonten ohne Admin-Rechte.

Manchmal gibt es Zeiten, da benötigen einzelne Mitarbeiter für eine beschränkte Zeit Admin-Rechte (z.B. zur Installation von Drucker-Treiber, um Zugriff auf ungewöhnlich sichere Drahtlosnetzwerke zu erhalten usw.).

Es ist sehr einfach, einem Anwender über die Systemeinstellungen Admin-Rechte zuzuordnen, es ist aber eher schwer sich zu merken, diesem Anwender diese Rechte wieder zu entziehen. Natürlich kann man eine iCal-Erinnerung setzen, aber grundsätzlich ist der betroffene Anwender dann Offline, wenn die Erinnerung erscheint und dann, wenn ein oder zwei Tage, Monate oder länger vergangen sind, gerät es in Vergessenheit.

Es gibt Lösungen für dieses Problem, in denen sich der Anwender aber einloggen, ausloggen und wieder einloggen muss. Weiterhin muss der Server-Admin den Anwender in eine Admin-Gruppe verschieben und später daraus auch wieder entfernen.
Vor Kurzem habe ich eine Lösung mit dem Unix-Kommando at gefunden. Es ist erstaunlich einfach und kann mittels Apple Remote Desktop oder durch ssh direkt an den Rechner gesendet werden.

Passen Sie den folgenden Kode einfach an Ihre Bedürfnisse an und senden Sie ihn mittel Apple Remote Desktop als Admin an den Rechner:

 # Replace shortname below with the shortname of the user you want to make an admin
/usr/sbin/dseditgroup -o edit -a shortname -t user admin

# This line enables the atrun utility to make OS X run Unix commands queued by the at command
sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.atrun.plist

# Replace shortname below with the shortname of the user you want to
# remove admin privs from in 1 day
echo "/usr/sbin/dseditgroup -o edit -d shortname -t user admin" | at now + 1 day

Ist der betroffene Rechner im Schlafmodus oder heruntergefahren, wird das Kommando bei der nächsten Aktivierung ausgeführt.

Sie finden nähere Informationen in den at-Man Seiten. Sie werden sehen, dass dieses Kommando sehr flexibel anpassbar ist.

[crarko: Tipp nicht getestet.]