如何审查与审计 macOS 管理员账户

通过系统设置与终端命令行，全面审查 macOS 管理员账户权限并清理非必要的高权限用户，保障系统安全性。

1. 在系统设置中列出所有管理员用户. 打开“系统设置”，点击左侧边栏的“用户与群组”。查看右侧用户列表，所有带有“管理员”标记的账户即为拥有系统最高权限的用户。记录并核实每一个列出的管理员账户。
2. 使用终端验证管理员权限. 打开“终端”应用，输入命令 dscl . -read /Groups/admin GroupMembership 并按回车。此操作将返回当前系统所有具备管理员组成员资格的账户短名称列表。
3. 清理冗余的管理员权限. 对于不再需要管理权限的用户，进入“系统设置”>“用户与群组”。点击账户名称旁边的“信息”按钮，取消勾选“允许用户管理这台电脑”选项，或将账户类型从“管理员”更改为“标准用户”。
4. 删除无用账户. 如果发现已离职员工或过期测试账户仍拥有管理员权限，请在“用户与群组”列表中选中该用户，点击下方的减号图标以删除。系统会提示备份用户个人文件夹，根据需求选择保存或直接移除。
5. 启用强密码审计. 确保所有管理员账户均启用了强密码，并在“系统设置”>“登录密码”中强制执行密码策略。对于所有管理员，必须开启双重身份验证 (2FA)，以防止通过远程泄露获得权限。