怎样在 macOS 中通过终端重置权限策略

macOS无一键重置所有权限的终端命令，需按目标分层操作：tccutil重置TCC隐私权限、xattr清除quarantine隔离、spctl调整Gatekeeper策略、chmod/chown修复文件权限，且重置后部分权限仍需图形界面手动开启。

macOS 没有“一键重置所有权限策略”的终端命令，权限体系是分层设计的，不同策略由不同机制管控。所谓“重置”，必须明确目标：是解决 App 打不开？隐私权限失效？终端读不了文件？还是钥匙链反复弹窗？盲目执行命令不仅无效，还可能触发 SIP 保护或破坏系统安全。

重置 TCC 隐私权限（摄像头、定位、全盘访问等）

TCC（Transparency, Consent, and Control）数据库管理 App 对敏感资源的访问授权。终端可通过 tccutil 清除记录，让系统重新弹窗请求：

• 查看当前已授权的应用和类别：tccutil list
• 重置某类权限（如让微信重新申请通讯录）：tccutil reset AddressBook com.tencent.xin
• 重置全部 TCC 授权（慎用，会清空所有 App 的隐私选择）：tccutil reset All
• 注意：重置后仍需手动进入「系统设置 → 隐私与安全性」勾选“全盘访问”“辅助功能”等开关，终端无法自动开启图形界面权限

清除 quarantine 隔离属性（解决“已损坏”“无法打开”）

从网页、邮件下载的 App 默认带隔离标记，Gatekeeper 会拦截启动。这不是权限缺失，而是系统标记未清除：

• 移除单个 App 的隔离属性：xattr -d com.apple.quarantine /Applications/YourApp.app
• 验证是否成功：xattr -l /Applications/YourApp.app，输出中不应再出现 com.apple.quarantine
• 若提示 “Operation not permitted”，请确认该 App 已移入 /Applications 目录（SIP 允许对 Applications 下内容操作）

修复文件级权限与归属（解决“权限被拒绝”“找不到可执行文件”）

很多报错实际源于 .app 包内部文件归属错误或权限位异常，而非系统策略问题：

• 将 App 所有者重置为当前用户：sudo chown -R $USER:staff /Applications/YourApp.app
• 设标准目录权限（避免 777 或 644）：sudo chmod -R 755 /Applications/YourApp.app
• 验证归属：ls -ld /Applications/YourApp.app，首行应显示你的用户名和 staff 组
• 验证权限位：ls -ld /Applications/YourApp.app，首字段应为 drwxr-xr-x

临时调整 Gatekeeper 策略（仅用于测试未公证 App）

Gatekeeper 控制的是“能否安装/首次运行”，不是运行时权限。日常应保持启用：

• 关闭 Gatekeeper（系统设置中变为“任何来源”）：sudo spctl --master-disable
• 启用默认策略（推荐）：sudo spctl --master-enable
• 查看当前状态：spctl --status
• 注意：关闭后仍需在「系统设置 → 隐私与安全性 → 安全性」中点击“仍要打开”才能运行被拦截的 App