Einführung
Auf Apple Silicon Macs (M1/M2/M3) erstellt Level ein dediziertes Dienstkonto zur Unterstützung des Patch-Managements. Dieses Konto ist erforderlich, damit Level FileVault entsperren und Updates ohne eine interaktive Benutzersitzung installieren kann.
Es wird automatisch während der Agent-Installation erstellt. Wenn Sie die Aufforderung bei der Installation übersprungen haben oder es später verwalten müssen, können Sie dies über die Befehlszeile tun.
Was das Dienstkonto ist
Das Level-Dienstkonto ist ein Systemkonto mit einem einzigen Zweck: der Installation von Updates. Es ist in keiner praktischen Hinsicht ein Benutzerkonto.
Keine Administratorrechte
Keine Anmelderechte (kein Home-Ordner, keine Shell)
Im Anmeldefenster und unter Benutzer & Gruppeneinstellungen
Wenn FileVault aktiviert ist, ist das Konto beim Start sichtbar und kann das Laufwerk entsperren
Wird automatisch entfernt, wenn der Level-Agent deinstalliert wird
ℹ️ HINWEIS: Das Dienstkonto ist nur für Apple Silicon verfügbar. Intel Macs benötigen es nicht, da der Patch-Management-Ablauf auf Intel das Entsperren von FileVault beim Start nicht erfordert.
Manuelle Einrichtung
Wenn das Dienstkonto während der Installation nicht erstellt wurde, führen Sie diesen Befehl auf dem Zielgerät aus:
/usr/local/bin/level --create-service-account
Sie werden nach einem Admin-Benutzernamen und Passwort gefragt. Diese Anmeldedaten gehören zu einem vorhandenen Systemadministrator auf dem Gerät — sie werden verwendet, um die Erstellung des Dienstkontos zu autorisieren, nicht um dessen Passwort festzulegen.
💡 TIPP: Für skriptbasierte oder MDM-basierte Einrichtung übergeben Sie die Anmeldedaten als Flags, um die interaktive Aufforderung zu überspringen:
Beispiel
/usr/local/bin/level --create-service-account --admin-name=adminuser --admin-password=adminpass
CLI-Referenz
ℹ️ HINWEIS: Alle Dienstkonto-Optionen sind nur für Apple Silicon verfügbar. Das Ausführen auf einem Intel Mac hat keine Auswirkung.
Alle Optionen erfordern den vollständigen Pfad zur Level-Agent-Binärdatei: /usr/local/bin/level
Option | Beschreibung |
| Prüft, ob ein Level-Dienstkonto auf diesem Gerät vorhanden ist |
| Erstellt ein neues Level-Dienstkonto |
| Entfernt das Level-Dienstkonto |
| Admin-Benutzername für |
| Admin-Passwort für |
⚠️ WARNUNG: Das Löschen des Dienstkontos mit --delete-service-account verhindert, dass Level auf diesem Gerät Updates installiert, bis das Konto neu erstellt wird.
FAQ
Warum benötigt Level ein Dienstkonto nur um Updates zu installieren? macOS erfordert, dass FileVault entsperrt wird, bevor das System beim Start Updates installieren kann. Das Dienstkonto gibt Level eine Möglichkeit, dieses Entsperren ohne eine interaktive Benutzersitzung durchzuführen.
Werden meine Benutzer dieses Konto sehen? Nein. Das Dienstkonto ist im Anmeldefenster und unter Systemeinstellungen → Benutzer & Gruppen. Es erscheint nur auf dem FileVault-Entsperrbildschirm beim Start auf Geräten, auf denen FileVault aktiviert ist.
Ich habe die Anmeldedaten-Aufforderung während der Installation abgewiesen. Muss ich das Konto einrichten? Nur wenn Sie möchten, dass Level das Patch-Management auf diesem Gerät übernimmt. Führen Sie
--create-service-accountmanuell ausführen oder es über Ihr Bereitstellungswerkzeug übertragen. Überwachung, Fernsteuerung und andere Funktionen funktionieren ohne es.Kann ich die Erstellung von Dienstkonten im großen Maßstab automatisieren? Ja — verwenden Sie
--admin-name=und--admin-password=Flags, um Anmeldedaten nicht-interaktiv zu übergeben. Diese können als Teil eines Post-Install-Skripts in Ihrem MDM oder Bereitstellungswerkzeug übergeben werden.Was passiert mit dem Dienstkonto, wenn ich Level deinstalliere? Es wird automatisch als Teil des Deinstallationsprozesses entfernt.