Identificar qué administrador cambió los privilegios de otro administrador

Tiene un pequeño problema con las personas y un usuario que tiene administrador ha cambiado los privilegios de otro de administrador a estándar. Este es un escenario universitario, pero la asociación de estudiantes no es la red de la universidad; Soy el padre del usuario que fue degradado (temporalmente); algo de experiencia como usuario pero no como administrador usando sistemas Linux y Apple (así como Windows)...

El usuario root no lo hizo y se han restaurado los privilegios; Sin embargo, el usuario raíz actual no tiene experiencia como administrador de sistemas. ¿OS X guarda archivos de registro que mostrarían quién hizo este cambio? suponiendo que sea así, qué archivos de registro deberían examinarse para obtener esta información (supongo que uno debe mirar los registros de asl a través de la consola, pero ¿qué registros?) No tengo acceso al sistema y necesito describir esto a los que lo van a hacer...

Cualquier ayuda sería apreciada.

¿Cuántos administradores tienes en esa Mac?
No me han dicho, supongo que probablemente a todos los miembros del ejecutivo de la asociación de estudiantes, eso sería alrededor de 10...
Te entendí mal, normalmente uno buscaría en Usuarios y Grupos para ver quién tiene acceso de administrador.
Resulta que solo 4 tienen administrador. Sí, lo que se necesita es mostrar quién cambió los privilegios... No tengo acceso a la máquina (en las oficinas de su asociación)
Entonces, los registros de asl y del sistema están conmigo; desafortunadamente, parece que los registros de asl relevantes se han transferido ya que el evento fue a principios de este mes, pero vea algunas cosas interesantes del archivo de registro del sistema más antiguo: actividad que involucra la cuenta de la persona afectada en un momento en que no estuvo presente y no inició sesión, e indicaciones claras de otra persona que inició sesión en ese momento (se dice que esta persona se mantiene conectada en todo momento en la medida de lo posible)... y estuvo activo antes y después...

Respuestas (1)

También puede obtener información de los registros de auditoría de BSM. Los archivos de registro están en /var/audit y se visualizan con praudit(8). No conozco el formato del registro de auditoría para cambiar una cuenta, pero debería haber algunas pistas. Puede verificar el rango de fechas y buscar escaladas de privilegios. La sección de texto puede tener menciones del nodo '/Local/Default'.

Identificar qué administrador cambió los privilegios de otro administrador
RespuestasAquíPolítica de privacidad1y, 0v