В Windows это практически невозможно. Можно на линуксе с обязательным контролем доступа (например). Таким образом, вы можете запустить веб-фильтр, но sudoer не сможет вмешиваться в него (по крайней мере, не без больших усилий, потенциально приводящих к неработоспособности системы). В то же время sudoer может изменить практически все остальное.
Какие варианты у меня были бы в OS X для этого?
Я не вижу способа сделать это, не переписывая ОС и модели безопасности.
Лучшее, что вы можете сделать, это попытаться положиться на гейткипера и предотвратить sudo
от вашего пользователя-администратора этот очень хороший вопрос:
Я не вижу случая, когда вы бы просто не сделали пользователя администратором и не предоставили бы ему возможность делать все, что вы хотите, от администратора, предоставив дополнительный доступ и просто не предоставив статус администратора пользователям, которых вы не имеете. не доверяю.
Аллан
bmike