prev-horizontal.png

Pagina Menu

Account­beheer (UAC) en beheer­rechten

Gebruikers­account­beheer (UAC) (ook wel User Account Control (UAC) genoemd) is een beveiligingsonderdeel in Windows Vista, 7 en 8. Via het Gebruikersaccountbeheer kan aan een gebruiker de nodige beperkingen worden opgelegd zodat die niet zomaar software kan ïnstalleren en/of uitvoeren. Die veiligheidsmaatregel moet voorkomen dat Windows besmet raakt met ongewenste, mogelijk schadelijke software. Gebruikersaccountbeheer heeft in Windows 7 en 8 een wijziging ten goede ondergaan. In Vista kunt u dat alleen maar aan of uit zetten. In Windows 7 en 8 heeft Microsoft hieraan een paar extra opties toegevoegd. U kunt Gebruikersaccountbeheer nu zetten op: uit (uitschakelen), lage beveiliging, middelmatige beveiliging en optimale beveiliging. De standaardinstelling na installatie is door Microsoft gezet op Middelmatig. Wilt u dezelfde beveiliging hebben als in Vista, zet dan na installatie de schuif van Gebruikersaccountbeheer op Optimaal. U vindt Gebruikersaccountbeheer via Start > Configuratiescherm > GebruikersAccounts en Ouderlijk toezicht > GebruikersAccounts > Instellingen voor Gebruikersaccountbeheer Wijzigen.

gebruikersaccountbeheer.gif

 

 

Hoewel Gebruikers­accountbeheer Windows aanzienlijk veiliger maakt, is het voor velen ook een grote bron van ergernis. Gebruikers­accountbeheer onderbreekt namelijk bij diverse (essentiële) systeemwijzigingen de werkzaamheden door het scherm en de openstaande programma’s te blokkeren totdat u toestemming hebt gegeven (zie afbeelding). Als dit venster verschijnt, terwijl u niet (bewust) bezig bent met het aanpassen van het systeem, is voorzichtigheid geboden. Mogelijk probeert een kwaadwillend programma zichzelf dan te installeren. Boven in het venster ziet u de naam en uitgever van het programma dat toegang vraagt. Als u op Details klikt, ziet u de bestandsnaam. Wanneer die u niet bekend voorkomt, klik dan op Annuleren. Het programma wordt dan niet uitgevoerd. Klikt u die meldingen echter achteloos weg, dan krijgt malware vrij spel en is Gebruikersaccountbeheer nutteloos.

Accountbeheer aanpassen

Volgens de standaard instellingen komt Gebruikers­accountbeheer alleen in actie wanneer geïnstalleerde programma's systeemwijzigingen willen doorvoeren. Het Gebruikers­accountbeheer zorgt ervoor dat u standaard geen systeemrechten heeft, zelfs als u ingelogd bent als gebruiker met alle rechten. Op het moment dat u iets wilt aanpassen aan het systeem, zoals het installeren van een programma, wordt het scherm donker en verschijnt er een venster waarin u het wachtwoord kunt opgeven. Dit dimmen wordt ook wel het beveiligd bureaublad genoemd. Als u het  administratoraccount niet met een wachtwoord hebt beveiligd, kunt u direct op OK klikken om door te gaan. Als u bent ingelogd als administrator, klikt u op Doorgaan om het programma uit te voeren of de instellingen te veranderen. Vindt u het blokkeren van het scherm vervelend, dan kan dat worden uitgeschakeld via het onderdeel Gebruikersaccounts in het configuratiescherm, optie Instellingen voor Gebruikers­accountbeheer wijzigen door de schuifregelaar voor het waarschuwingsniveau een treetje lager te zetten. Gebruikers­accountbeheer kan ook via het Configuratiescherm, onderdeel Gebruikers­accounts, optie Gebruikers­accountbeheer in- of uitschakelen (tijdelijk) worden uitgeschakeld door de schuifregelaar op Nooit een melding weergeven in te stellen. Dit is met name handig wanneer programma's regelmatig essentiële aanpassingen moeten kunnen aanbrengen, bijvoorbeeld tijdens een herinstallatie van Windows. Vergeet niet de beveiliging na afloop weer in te schakelen. Laat Gebruikers­accountbeheer bij voorkeur aan staan zodat het niet ten koste van de veiligheid gaat.

Nieuwe gebruiker toevoegen

U begint bij Start > Configuratiescherm > GebruikersAccounts en Ouderlijk toezicht, onderdeel Gebruikersaccounts, optie Gebruikersaccounts toevoegen of verwijderen. Klik vervolgens op de optie Een nieuw account maken. Voer een een gebruikersnaam in en selecteer de optie Standaardgebruiker. Klik op De Afbeelding wijzigen. Selecteer een plaatje en klik op De afbeelding wijzigen. U kunt zoveel gebrukers toevoegen als u wilt. Na een herstart van de PC, of door in het menu Start voor Andere gebruiker te kiezen met het naar rechts gerichte driehoekje naast de knop Afsluiten, ziet u een inlogscherm met de nieuwe gebruiker(s). Ieder kan zijn of haar account aanpassen, maar voor het insalleren van software en andere systeemzaken is steeds uw eigen wachtwoord nodig. U kunt Gebruikersaccounts gemakkelijk weer verwijderen. Tijdens het verwijderen kunt u aangeven of gebruikersbestanden bewaard of ook verwijderd moeten worden.

Problemen met beperkte beheerrechten

De door Gebruikersaccountbeheer opgelegde beperkingen van de gebruikersrechten zijn bedoeld om extra beveiliging te bieden tegen kwaadwillende software en onbedoelde handelingen van de gebruiker. Deze machtigingen kunnen ook onbegrijpelijke foutmeldingen tijdens installatie of bij het gebruik van vertrouwde software veroorzaken (zoals het niet kunnen installeren of opstarten van een programma, het niet kunnen opslaan van gegevens, e.d.). Deze problemen worden veroorzaakt doordat de gebruikersrechten niet toestaan dat er met het betreffende gebruikers­account een wijziging wordt aangebracht in een bepaald bestand en/of registerwaarde. Hoewel vreemde foutmeldingen bij de administrator­accounts van Windows 7 gelukkig nog maar zelden voorkomen (dat is een hele verbetering ten opzichte van Windows Vista), ondervinden accounts met beperkte rechten (gebruikers­accounts) nog steeds problemen.

 

 

Op basis van dergelijke foutmeldingen is het dus niet zo gemakkelijk te achterhalen dat het eigenlijk om beperkte schrijfrechten gaat. Problemen met de schrijfrechten doen zich nog wel eens voor nadat de persoonlijke bestanden van een gebruikersaccount naar een aparte datapartitie zijn verplaatst maar de gebruikersaccount (nog) niet beschikt over de juiste machtigingen.

Te beperkte rechten

Om vast te stellen dat een probleem wordt veroorzaakt door te beperkte rechten, kan het betreffende programma eenmalig met administratorrechten worden gestart (klik met rechts op een snelkoppeling of programma en kies voor Als administrator uitvoeren). Is het probleem hiermee opgelost, dan wordt het blijkbaar veroorzaakt door de beperkte beheerrechten. Sommige door beperkte gebruikersrechten veroorzaakte problemen zijn van eenmalige aard (bijvoorbeeld systeemwijzigingen die slechts eenmalig doorgevoerd hoeven te worden, zoals de registratie van een recent geïnstalleerd softwarepakket). Werkt het programma echter probleemloos met administrator­rechten maar toont het zónder die administratorrechten gelijk weer een foutmelding? Dan is het probleem duidelijk van structurele aard en is er dus ook een structurele oplossing nodig.

Er zijn twee manieren om problemen met de beheerrechten structureel op te lossen: door het programma standaard als administrator uit te laten voeren of door door het gebruikersaccount zelf te voorzien van beheerrechten. Hoewel het met administrator starten van programma's verreweg het eenvoudigst is toe te passen, is dat zeker niet de veiligste oplossing. Het verlaagt het beveiligingsniveau namelijk aanzienlijk waardoor mogelijk schade aan het systeem kan worden aangebracht.

Starten met administrator­rechten

Biedt het eenmalig opstarten van de software met administratorrechten een oplossing, dan kan de betreffende software ook standaard met administratorrechten worden gestart. Dit wordt ingesteld via de Eigenschappen van het betreffende programma (tabblad Compatibiliteit, optie Dit programma als Administrator uitvoeren) of via de Eigenschappen van de snelkoppeling naar dit programma (tabblad Snelkoppeling, knop Geavanceerd, optie Als administrator uitvoeren). Gebruik deze procedure echter alleen bij vertrouwde programma's aangezien het beveiligingsniveau hiermee aanzienlijk wordt verlaagd.

TIP: Soms is zelfs het toewijzen van administratorrechten niet voldoende voor het kunnen doorvoeren van een systeemwijziging. Probeer het met administratorrechten starten van de software dan eens in combinatie met een tijdelijk uitgeschakeld Gebruikersaccountbeheer(UAC). Dit kan via het configuratiescherm > GebruikersAccounts en Ouderlijk toezicht, onderdeel Gebruikers­accounts, optie Instellingen voor Gebruikers­accountbeheer wijzigen. Deze methode wordt echter niet geadviseerd als structurele oplossing.

Machtigingen wijzigen

Een veilige (maar lastiger) manier om het probleem met de beheerrechten op te lossen, is het gebruikersaccount zelf te voorzien van beheerrechten (machtigingen) voor de bestanden, mappen en/of registersleutels waarin het programma wijzigingen wil doorvoeren. Weet u welke items door te beperkte rechten voor problemen zorgen, dan kunt u de rechten voor volledig beheer er direct aan toewijzen. Hierdoor krijgt het programma niet de beschikking over volledige beheerrechten en kan er dus ook geen 'misbruik' van de administrator­rechten worden gemaakt. Het toekennen van machtigingen is niet zo lastig, de moeilijkheid zit hem in het bepalen van welke bestanden en/of registersleutels de machtigingen aangepast moet worden. Gebruik eventueel een tool als Process Monitor (van Sysinternals) wanneer het niet direct duidelijk is welke bestanden en/of registersleutels het probleem veroorzaken.

Machtigingen voor het wijzigen van bestanden of mappen worden aan een gebruiker toegekend door in te loggen met een administrator­account en vervolgens in de Windows Verkenner met rechts op het bestand of de map te klikken en te kiezen voor Eigenschappen, tabblad Beveiliging. De makkelijkste oplossing is hier de groep Gebruikers de machtiging Volledig beheer te geven. Is het echter niet de bedoeling dat ook de andere gebruikers toegang krijgen tot de betreffende bestanden, voeg dan (via de knop Bewerken, knop Toevoegen) de naam van het gebruikersaccount toe (druk eventueel ter controle op de knop Namen controleren) en geef dat als enige de machtiging Volledig beheer. In dit voorbeeld wordt dat toegepast op het bestand 3.jpg (een foto) dat de veroorzaker was van de getoonde foutmelding in Paint Shop Pro. Als u de hele map (of in dit geval de hele partitie) waarin dit bestand staat, voorziet van deze machtiging, lost u het probleem voor alle onderliggende bestanden in één keer op.

rechtentoekennen.png

 

 

 

 

Machtigingen voor het wijzigen van registersleutels (inclusief de onderliggende registerwaarden) worden op vergelijkbare wijze vanuit de register-editor aan een gebruiker toegekend door met rechts op de betreffende sleutel te klikken en via Machtigingen de beheerrechten te wijzigen.

let op Machtigingen kunnen alleen via een gebruikersaccount met administrator­rechten worden gewijzigd. Een administratoraccount beschikt overigens niet voor elke map of registersleutel standaard over beheerrechten. Wanneer een machtiging voor volledig beheer noodzakelijk is, kan een administrator­account deze (in de meeste gevallen) wel aan zichzelf toewijzen.

 

Wanneer de bestanden geblokkeerd zijn

Windows Taakbeheer (CTRL-SHIFT-ESC) geeft informatie over de lopende processen. Het programma Process Explorer laat veel meer informatie zien. Dat maakt het eenvoudiger te achterhalen waarom de computer of een proces "hangt".

Lukt het niet een bepaald bestand te verwijderen of te verplaatsen omdat het door een proces bezet wordt gehouden? De boosdoener is in veel gevallen met Process Explorer te achterhalen en te beëindigen. Klik in de menubalk van Process Explorer op Find, Find Handle or DLL en voer de naam van het bezette bestand in om de de naam van het verantwoordelijke proces op te sporen. Dit proces kan vervolgens in het basisscherm worden beëindigd door er met rechts op te klikken en te kiezen voor Kill Process.

In Windows wordt Windows Taakbeheer (toegankelijk met de toetscombinatie CTRL-SHIFT-ESC) standaard gebruikt voor het beheren van de processen. Gebruikt u liever Process Explorer als standaard beheerder, dan kan dat vanuit Process Explorer worden ingesteld via Options, Replace Task Manager.

Onbekende gebruikers­accounts verwijderen

In taakbeheer (Ctrl-Shift-Esc) zit een tabblad Gebruikers. Klik met de rechter muisknop op een gebruiker. Wanneer u vervolgens klikt op Afmelden loopt u grote kans op een foutmelding die eindigt met Toegang geweigerd. Dat komt omdat u onder Windows 7 niet zomaar als administrator kunt werken. U zult taakbeheer "als administrator" moeten uitvoeren. Maar hoe?

Klik op de Startknop en typ daarboven taskmgr. Niet afsluiten met Enter maar met Ctrl-Shift-Enter. Dat start taakbeheer als administrator. Een andere methode is taakbeheer starten zoals je gewend bent. Ga dan eerst naar tabblad Processen en klik daar onderaan op de knop Processen van alle gebruikers weergeven. Dat heeft in feite tot gevolg dat taakbeheer opnieuw wordt gestart als administrator. Daarna heeft u ook op andere tabbladen volledige rechten.

Kan een bepaald gebruikersaccount niet worden gemaakt of verwijderd? Met behulp van het commando net user kunt u de wijziging alsnog uitvoeren. Klik hiervoor met rechts op de snelkoppeling van de Opdrachtprompt (Startmenu > Alle programma's > Bureau accessoires) en kies voor Als administrator uitvoeren om het commandovenster met administrator­rechten uit te voeren. Het commando net user toont een lijst van alle aangemaakte gebruikers­accounts. Met het commando net user inlognaam /add wordt een gebruiker toegevoegd, en met het commando net user inlognaam /delete wordt er een verwijderd. Vooral het laatste commando kan nog wel eens van pas komen.

Administrator account inschakelen

Heeft u in Windows 7 wel eens de melding gekregen dat u alleen als administrator een bepaald bestand kan verwijderen? Het probleem is dan, dat er geen administrator account op uw computer aanwezig is. Net als Windows Vista kent ook Windows 7 een Administrator account dat standaard uitgeschakeld is.

Als u als gebruiker beschikt over administrator rechten kunt u proberen het betreffende programma met administrator rechten te starten. Hiertoe klikt u met de rechter muistoets op het programma en kiest u voor Uitvoeren als administrator (Run as administrator).

Helpt dit niet dan moet u gebruik maken van het "echte" administrator account dat in Windows 7 (maar ook in Vista) wel degelijk bestaat. Normaal gesproken is dit echter niet zichtbaar in het inlogscherm. U kunt dit Administrator account inschakelen en zichtbaar maken op de volgende manieren (afhankelijk van de Windowsversie die u heeft).

administrator_account_inschakelen.gif

 

 

 

Ga naar Start en klik met de rechter muisknop op Computer. Klik dan in het menu op Beheren waarna een nieuw venster opent. In dat venster klikt u aan de rechterkant op Lokale gebruikers en groepen en daarna op Gebruikers. U ziet dan een overzicht van gebruikers waaronder het Gast account en ook het Administrator account. Dubbelklik dan op Administrator en verwijder hier het vinkje voor Account is uitgeschakeld. Klik nu op OK en het Administrator account is ingeschakeld en beschikbaar zodra u de computer opnieuw start.

Of u doet het als volgt:

a. Start de command prompt met de rechter muistoets, kies Als administrator uitvoeren (run as administrator).
(of gebruik deze manier: klik de Startknop, typ cmd in het zoekvenster, druk Ctrl+Shift+Enter en geef toestemming om door te gaan naar de UAC prompt).
b. Typ het commando net user administrator /active:yes om het administrator account te activeren.
c. Als u zich afmeldt bij Windows, zult u zien dat het administrator account nu in het inlogscherm getoond wordt.
d. Wanneer u het wachtwoord van het administrator account vergeten bent, kunt u het volgende commando gebruiken net user administrator <wachtwoord> (zonder de vishaakjes natuurlijk).

U kunt het Default Administrator account ook als volgt zichtbaar maken. Ga naarTaakbeheer. Kies Bestand > Nieuwe taak. Tik het volgende commando runas /user:administrator cmd. Typ in het venster dat zich opent, het commando net user administrator /active:yes. Het beheeraccount verschijnt in het Inlogvenster.

Ook met de volgende ingreep krijgt u de beschikking over dat administrator account in Windows Vista, 7, 8. U hebt er wel een live cd als Ubuntu voor nodig (zie hiervoor www.ubuntu.com). Start uw computer met die cd op, klik bovenaan de desktop op Places, Computer. Blader naar de map \Windows\System32 in de partitie waarop u Windows hebt geïnstalleerd. Hernoem het bestaande utilman.exe in bijvoorbeeld utilman.oud. Vervolgens kopieert u het bestand cmd.exe en geeft u die kopie (dus niet het originele cmd.exe-bestand!) de naam utilman.exe. Nu kunt u Windows zoals vanouds weer starten. In het aanmeldvenster drukt u vervolgens de combinatie Windows-toets+u in. Gewoonlijk roept u daarmee de ingebouwde tool ultiman op, maar omdat daar nu cmd.exe achter zit, belandt u op de opdrachtprompt met administratorrechten. Meer heeft u niet nodig. Nu kunt u het administratoraccount activeren met het commando net user administrator /active:yes (vergeet de slash niet!) gevolgd door Enter. Voor alle zekerheid voert u daarna het commando net user administrator * uit en voorziet u het account van een wachtwoord (tweemaal invullen!). Of u laat het ingebouwde account links liggen en voegt een eigen administrator account toe, en wel als volgt: net user nieuwaccount wachtwoord /add net localgroup administrators nieuwaccount /add.

Automatisch inloggen in Windows

- Klik gelijktijdig de Windows toets + R op uw toetsenbord om het Run (Uitvoeren) dialoogvenster te starten.
- Typ netplwiz (Windows 7/8) en klik Enter. Het Gebruikers Account Venster opent zich.
- Haal het vinkje weg bij Gebruikers moeten een gebruikersnaam en wachtwoord opgeven om deze computer te kunnen gebruiken.
- Typ dan in het eerste veld Jan (de gebruiker waarmee u wilt inloggen),
- Laat het Wachtwoord-veld leeg en klik OK.