Ce n'est pas possible sous OS X.
Un utilisateur admin est Root. Tous les utilisateurs admins sont Root, s'ils savent comment faire quelque chose ou entrer dans le terminal, ils peuvent faire n'importe quoi.
Vous devrez peut-être configurer un serveur ou choisir un outil pour le faire. Mon outil préféré pour les situations où vous devez donner aux utilisateurs la possibilité d'effectuer des tâches d'administration tout en étant des utilisateurs non-administrateurs est le déploiement de La suite Casper de la JAMF .
Si votre temps n'est pas précieux et que cela ne vous dérange pas de réinventer la roue, vous pouvez utiliser un outil tel que munki pour réimplémenter un ensemble d'outils qui permettent de limiter sudo et l'envelopper dans votre propre couche d'authentification pour réduire le risque d'autoriser un véritable accès d'administrateur, mais je n'ai jamais vu un cas où il est moins cher de vraiment configurer cela que d'acheter un outil conçu exactement pour ce cas d'utilisation.
Vous pouvez toujours vous servir des commandes sudo, mais si vous laissez un utilisateur avoir un privilège d'administrateur - il peut et aura un accès complet aux versions GUI des outils qui peuvent créer, détruire des utilisateurs (ainsi que modifier les fichiers sudo).
