Một trong những thực hành điện toán an toàn thường được khuyên dùng là chạy các hoạt động hàng ngày của bạn trong tài khoản người dùng chuẩn và tài khoản quản trị dự trữ hoàn toàn để cài đặt ứng dụng, điều chỉnh cài đặt hệ thống và cấu hình lại hệ thống. Thiết lập này giúp ngăn ngừa rủi ro được thực hiện trong tài khoản tiêu chuẩn ảnh hưởng đến tài nguyên hệ thống toàn cầu. Chẳng hạn, một cuộc tấn công phần mềm độc hại hoặc lỗi trong ứng dụng sẽ dễ dàng truy cập vào thư mục Ứng dụng, thư mục Thư viện toàn cầu và các tài nguyên khác mở cho tài khoản quản trị viên. Do đó, bằng cách sử dụng tài khoản có quyền tiêu chuẩn, bạn sẽ giúp ngăn chặn sự cố hoặc nguy hiểm ảnh hưởng đến tài nguyên hệ thống mà không có sự cho phép rõ ràng của bạn.

Một số người có thể có các bảo lưu về việc sử dụng các tài khoản tiêu chuẩn hạn chế hơn vì sợ không thể thay đổi hệ thống khi cần thiết; tuy nhiên, trong OS X, đây không phải là vấn đề. Trong hầu hết các trường hợp nếu một tác vụ yêu cầu đặc quyền quản trị, hệ thống sẽ nhắc về thông tin xác thực phù hợp, ngay cả khi các tác vụ này được gọi từ một tài khoản chuẩn. Do đó, bạn có thể tiếp tục làm việc trong tài khoản tiêu chuẩn của mình để ngăn các thay đổi tự động đối với cài đặt và tài nguyên hệ thống, sau đó được chuẩn bị để xác thực bất cứ khi nào cần.

Điều này rất dễ thực hiện khi bạn thiết lập hệ thống lần đầu tiên, nơi bạn có thể sử dụng trợ lý thiết lập để tạo tài khoản quản trị mặc định theo sau bằng cách chỉ định tài khoản người dùng chuẩn cho mọi người sử dụng hệ thống. Tuy nhiên, nếu bạn đã chạy trong tài khoản quản trị viên, thì việc tạo và di chuyển sang tài khoản tiêu chuẩn mới sẽ là một gánh nặng vì bạn sẽ phải cấu hình lại tất cả các cài đặt, chương trình và dịch vụ trực tuyến của mình ngoài việc di chuyển dữ liệu của bạn đến hệ thống mới.

Tuy nhiên, thay vì tự làm phiền mình khi chuyển sang tài khoản mới, bạn có thể chuyển tài khoản hiện tại của mình từ quản trị viên sang tài khoản chuẩn và từ đó áp đặt các hạn chế tương tự đối với tài khoản đó. Để thực hiện việc này, trước tiên bạn cần tạo tài khoản quản trị viên mới trong tùy chọn hệ thống Tài khoản (hoặc Người dùng & Nhóm), sau đó đăng xuất khỏi tài khoản hiện tại của bạn và đăng nhập vào tài khoản quản trị viên mới. Sau khi đăng nhập vào tài khoản mới, hãy quay lại tùy chọn hệ thống Tài khoản, chọn tài khoản quản trị viên cũ và sau đó bỏ chọn tùy chọn "Cho phép người dùng quản trị máy tính này" để hạ cấp nó.

Trong một số trường hợp hiếm hoi, mọi người có thể thấy rằng tất cả các tài khoản trên hệ thống là tài khoản chuẩn, không có tùy chọn quản trị viên khả dụng. Những tình huống này thường xảy ra do lỗi trong quá trình di chuyển hoặc khôi phục hệ thống và do thiếu tài khoản quản trị viên sẽ cần có sự chú ý đặc biệt để tạo lại một.

Có một số cách tiếp cận bạn có thể thực hiện nếu hệ thống của bạn thiếu tài khoản quản trị viên. Đầu tiên là sử dụng tạo tài khoản quản trị mới bằng Terminal ở chế độ Người dùng đơn. Chế độ một người dùng sẽ bỏ qua các tài khoản trên hệ thống và tải hệ thống trong môi trường chỉ dành cho thiết bị đầu cuối với các đặc quyền gốc. Điều này cho phép truy cập hoàn toàn vào hệ thống bằng dòng lệnh và sẽ cho phép bạn sửa đổi thư mục hệ thống và tạo tài khoản quản trị viên mới.

Để thực hiện việc này, trước tiên, khởi động lại hệ thống trong khi giữ đồng thời các phím Command và S cho đến khi bạn thấy dấu nhắc lệnh, sau đó chạy lệnh sau để cho phép ghi vào ổ đĩa khởi động (mặc định tắt theo mục đích bảo mật):

gắn kết -uw /

Khi bạn đã chạy lệnh này, thì hãy làm theo quy trình này để tạo tài khoản quản trị viên mới:

1. Kiểm tra sự hiện diện của nhóm quản trị viên bằng lệnh sau:

   dscl. -đọc / Nhóm / quản trị viên GroupMembership

2. Nếu nhóm quản trị viên không tồn tại, thì bạn sẽ nhận được Lỗi DS là đầu ra tuyên bố một phần rằng bản ghi không được tìm thấy. Trong trường hợp này, bạn sẽ cần tạo nhóm quản trị bằng cách chạy các lệnh sau; tuy nhiên, nếu nó tồn tại, thì hãy chuyển sang bước 3 bên dưới:

   dscl. -tạo / Nhóm / quản trị viên

   dscl. -tạo / Nhóm / quản trị viên RealName Quản trị viên

   dscl. -tạo / Nhóm / quản trị Chính GroupID 80

   dscl. -Tạo mật khẩu / Nhóm / quản trị viên \ *

   dscl. -tạo / Nhóm / quản trị gốc GroupMembership

   Các lệnh này sẽ tạo nhóm, theo sau là đặt tên đầy đủ thích hợp và sau đó đặt ID nhóm thành nhóm được sử dụng bởi nhóm quản trị viên trong OS X. Số này được gán cho tất cả các tài nguyên mà nhóm có thể truy cập, và gán nó cho nhóm quản trị viên mới được tạo sẽ biến nó thành một nhóm quản trị viên thực sự vì bất kỳ thành viên nào cũng sẽ có quyền truy cập vào các tài nguyên này. Cuối cùng, chúng tôi cung cấp cho nhóm một mật khẩu trống, do đó, nó sẽ yêu cầu sử dụng mật khẩu thành viên để hoạt động (yêu cầu xác thực), sau đó gán tài khoản root cho nhóm.

3. Gán tài khoản người dùng cho nhóm quản trị viên bằng cách chạy lệnh sau. Trong lệnh này, thay thế USERNAME bằng tên viết tắt của tài khoản bạn muốn làm quản trị viên. Đây có thể là bất kỳ tài khoản nào bây giờ:

   dscl. -tạo / Nhóm / quản trị viên GroupMembership USERNAME

Quy trình này yêu cầu bạn nhập một số lượng lệnh hợp lý và vì lỗi chính tả trong các lệnh Terminal có thể dẫn đến kết quả không mong muốn hoặc gây nhầm lẫn, bạn có thể sử dụng trợ lý thiết lập OS X để tạo lại tài khoản quản trị viên. Để làm như vậy, sau khi khởi động sang chế độ Người dùng đơn và thiết lập hệ thống tệp để truy cập ghi (xem bên trên), sau đó chạy lệnh sau:

rm /var/db/.AppleSetupDone

Thao tác này sẽ xóa một tệp vô hình trong hệ thống cho biết Trình trợ lý cài đặt đã được chạy. Do đó, bằng cách xóa tệp này và khởi động lại, bạn sẽ gọi trợ lý thiết lập và hệ thống sẽ đưa bạn qua các bước để tạo tài khoản quản trị viên mới, sử dụng giao diện thân thiện với người dùng.