Gebruikersaccountbeheer en problemen met beheerrechten (Windows 10)

Via Gebruikersaccountbeheer (ook wel User Account Control (UAC) genoemd) worden beperkingen opgelegd zodat essentiŽle systeemaanpassingen en installatie van software niet zomaar kunnen worden uitgevoerd. Deze veiligheidsmaatregel moet voorkomen dat Windows besmet raakt met ongewenste, mogelijk schadelijke software. Hoewel Gebruikersaccountbeheer Windows aanzienlijk veiliger maakt, is het voor velen ook een grote bron van ergernis. Gebruikersaccountbeheer onderbreekt namelijk bij diverse (essentiŽle) systeemwijzigingen de werkzaamheden door het scherm en de openstaande programma's te blokkeren totdat al dan niet toestemming is verleend. Worden de meldingen echter achteloos weggeklikt dan krijgt malware vrij spel en is Gebruikersaccountbeheer nutteloos...

Gebruikersaccountbeheer


Instellingen Gebruikersaccountbeheer aanpassen

Volgens de standaard instellingen komt Gebruikersaccountbeheer alleen in actie wanneer programmaís systeemwijzigingen willen doorvoeren. Op zich zijn deze instellingen prima, ware het niet dat het scherm 'op zwart gaat' zodra een melding verschijnt (dit gedimde beeldscherm wordt ook wel het beveiligd bureaublad genoemd). Wordt het blokkeren van het scherm als vervelend ervaren dan kan dat worden uitgeschakeld via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen door de schuifregelaar voor het waarschuwingsniveau een treetje lager te zetten. Gebruikersaccountbeheer kan ook helemaal worden uitgeschakeld door de schuifregelaar op Nooit een melding weergeven in te stellen. Het uitschakelen van Gebruikersaccountbeheer geniet echter niet de voorkeur aangezien dit ten koste gaat van de veiligheid, en tevens problemen kan veroorzaken bij het openen van apps.

Gebruikersaccountbeheer meldingen wijzigen

Problemen met beperkte beheerrechten

De door Gebruikersaccountbeheer opgelegde beperkingen van de gebruikersrechten (lees- of schrijfrechten) bieden extra beveiliging tegen kwaadwillende software en onbedoelde handelingen van de gebruiker. Deze machtigingen kunnen echter ook onbegrijpelijke foutmeldingen veroorzaken tijdens installatie of gebruik van vertrouwde software (zoals het niet kunnen installeren of opstarten van een programma, het niet kunnen opslaan van gegevens e.d.). Deze problemen worden veroorzaakt doordat de gebruikersrechten niet toestaan dat er met het betreffende gebruikersaccount een wijziging wordt aangebracht in een specifiek bestand en/of registerwaarde. Gebruikersaccounts met beperkte rechten ondervinden wel eens vreemde foutmeldingen (zoals onderstaande melding bij het opslaan van een foto met het programma Paint Shop Pro), iets wat met administratoraccounts eigenlijk zelden voorkomt.

Paint Shop Pro foutmelding beheerrechten

Op basis van dergelijke vage foutmeldingen is het niet zo makkelijk te achterhalen dat het eigenlijk om beperkte schrijfrechten gaat. Controleer eerst via Instellingen, onderdeel Accounts, sub Uw info of het gebruikersaccount wel beschikt over administratorrechten. Zo niet dan moeten deze eerst worden toegewezen vanuit een gebruikersaccount die wel deze rechten heeft (te achterhalen via sub Gezin en andere gebruikers), of anders vanuit het standaard verborgen administratoraccount. Maar ook als het gebruikersaccount is voorzien van administratorrechten kunnen er beheerproblemen zijn. Zo kunnen er problemen met de schrijfrechten ontstaan nadat de persoonlijke bestanden van het gebruikersaccount naar een aparte datapartitie zijn verplaatst, terwijl de gebruikersaccount (nog) niet beschikt over de juiste machtigingen.

TIP: Zie de pagina over het wijzigen van de opslaglocatie van persoonlijke bestanden en de problemen die zich daarbij kunnen voordoen.

Als administrator uitvoeren

Programmaís worden standaard opgestart zonder administratorrechten. Om vast te stellen of een probleem wordt veroorzaakt door te beperkte rechten, kan het betreffende programma handmatig met administratorrechten worden gestart: klik met rechts op een tegel, snelkoppeling of programma en kies Als administrator uitvoeren.

Als administrator uitvoeren vanuit Start

ĎAls administrator uitvoerení vanuit het startmenu (links) en de Windows Verkenner (rechts)

Is het probleem hiermee opgelost dan ligt de oorzaak blijkbaar bij de beperkte beheerrechten. Sommige door beperkte gebruikersrechten veroorzaakte problemen zijn van eenmalige aard (bijvoorbeeld systeemwijzigingen die slechts eenmalig doorgevoerd hoeven te worden, zoals de registratie van een recent geÔnstalleerd softwarepakket). Betreft het echter een frequent terugkerend probleem dan vraagt het om een structurele oplossing. Er zijn twee manieren om problemen met de beheerrechten voor bestanden, mappen of registersleutels structureel op te lossen: start het uitvoerende programma standaard als administrator op of pas de machtigingen voor het probleemveroorzakende item (een map, bestand of registersleutel) aan.

Programma's standaard met administratorrechten opstarten

Is het probleem opgelost nadat het programma (eenmalig) met administratorrechten is opgestart dan is het een optie de betreffende software voortaan standaard met deze administratorrechten op te starten. Dit wordt bij programmaís ingesteld via de Eigenschappen van het betreffende programma (tabblad Compatibiliteit, optie Dit programma als Administrator uitvoeren) of via de Eigenschappen van de snelkoppeling naar dit programma (tabblad Snelkoppeling, knop Geavanceerd, optie Als administrator uitvoeren). Hoewel het met administratorrechten opstarten van programma's eenvoudig is toe te passen, is dat zeker niet de veiligste oplossing. Gebruik deze procedure daarom alleen bij vertrouwde programma's!

TIP: Soms is zelfs het toewijzen van administratorrechten niet voldoende voor het kunnen doorvoeren van een systeemwijziging. Probeer het met administratorrechten opstarten van de software dan eens in combinatie met een tijdelijk uitgeschakeld Gebruikersaccountbeheer. Dit kan via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen. Deze methode is echter niet geschikt als structurele oplossing!

Machtigingen voor bestanden, mappen en/of registersleutels wijzigen

Een veilige (maar lastigere) manier om het probleem met de beheerrechten op te lossen, is het gebruikersaccount zelf te voorzien van beheerrechten (machtigingen) voor de bestanden, mappen en/of registersleutels waarin het programma wijzigingen wil doorvoeren. Hierdoor krijgt het programma geen volledige beheerrechten en kan er dus ook geen 'misbruik' van de administratorrechten worden gemaakt. Het toekennen van machtigingen is niet zo lastig, de moeilijkheid zit hem in het bepalen bij welke bestanden en/of registersleutels de machtigingen aangepast moet worden. Gebruik eventueel een tool als Process Monitor van Sysinternals (zie verderop) wanneer het niet direct duidelijk is welke bestanden en/of registersleutels het probleem veroorzaken.

Is eenmaal bekend welke items vanwege de te beperkte rechten voor problemen zorgen dan kunnen de beheerrechten direct worden gewijzigd. Machtigingen worden aan een gebruiker toegekend door in te loggen met een administratoraccount en vervolgens in de Windows Verkenner met rechts op het bestand of de map te klikken en te kiezen voor Eigenschappen, tabblad Beveiliging. De makkelijkste oplossing is hier de groep Gebruikers via de knop Bewerken de machtiging Volledig beheer te geven. Is het echter niet de bedoeling dat ook de andere gebruikers toegang krijgen tot de betreffende bestanden, voeg dan de naam van het gebruikersaccount toe als eigenaar (via de knop Bewerken, knop Toevoegen of anders via de geavanceerde instellingen, druk eventueel ter controle op de knop Namen controleren) en geef deze als enige gebruiker de machtiging Volledig beheer. Om als enige gebruiker beheerrechten te hebben moeten de andere groepen en gebruikers worden verwijderd (via tabblad Beveiliging, knop Geavanceerd, knop Overname uitschakelen, optie Verwijder alle overgenomen machtigingen van dit object). In onderstaand voorbeeld wordt dat toegepast op het afbeeldingsbestand 3.jpg dat de veroorzaker was van de getoonde foutmelding in Paint Shop Pro. Door de gehele map (of in dit geval de gehele partitie) waarin dit bestand staat te voorzien van deze machtiging, wordt het probleem voor alle onderliggende bestanden in ťťn keer opgelost.

Machtigingen bestand wijzigen

Machtigingen voor het wijzigen van registersleutels (inclusief de onderliggende registerwaarden) worden op vergelijkbare wijze vanuit de registereditor aan een gebruiker toegekend door met rechts op de betreffende sleutel te klikken en via Machtigingen de beheerrechten te wijzigen.

LET OP: Machtigingen kunnen alleen via een gebruikersaccount met administratorrechten worden gewijzigd. Een administratoraccount beschikt overigens niet voor elke map of registersleutel standaard over beheerrechten. Wanneer een machtiging voor volledig beheer echter noodzakelijk is, kan een administratoraccount deze (in de meeste gevallen) wel aan zichzelf toewijzen.

'TAKE OWNERSHIP' TOEVOEGEN AAN CONTEXTMENU

Is het wijzigen van de machtigingen te ingewikkeld of te tijdrovend, dan kan de optie Take ownership uitkomst bieden. Nadat deze optie is toegevoegd aan het contextmenu (dat verschijnt wanneer met rechts op een bestand of map wordt geklikt), kan het betreffende gebruikersaccount namelijk met slechts een paar klikken toegang krijgen tot vrijwel elke map of bestand. Het aan het contextmenu toevoegen gaat het makkelijkst door de inhoud van het registerbestand take_ ownership.reg (directe download: take_ownership.zip, pak het zip-bestand uit en dubbelklik op het registerbestand) aan het register toe te voegen.


ONTOEGANKELIJKE MAP NA HERINSTALLATIE VAN WINDOWS

Het gebeurt regelmatig dat na het herinstalleren van Windows geen toegang meer kan worden verkregen tot mappen of bestanden die daarvoor nog wel bereikbaar waren. Vaak wordt dan een hangslot weergegeven in het map-icoontje en/of wordt bij het openen de foutmelding U hebt momenteel geen toegang tot deze map getoond. Dit probleem ontstaat doordat het nieuw aangemaakte gebruikersaccount nog geen toegangsrechten heeft gekregen, en is op te lossen door als administrator beheerrechten toe te eigenen, bijvoorbeeld door gebruik te maken van het zojuist besproken take ownership.

Machtigingen: geen toegang tot map
 


WAT TE DOEN ALS DE BEPERKTE RECHTEN TE BEPERKT ZIJN?

Het komt regelmatig voor dat een wijziging in essentiŽle systeembestanden en/of registersleutels niet uitgevoerd kan worden omdat de rechten van het gebruikersaccount te beperkt zijn. Dit is op te lossen door de beheerrechten van het account te verruimen voor de bestanden en/of registerwaarden die de bottleneck vormen. Deze bestanden en registerwaarden zijn te achterhalen met de tool Process Monitor (download: https://docs.microsoft.com/nl-nl/sysinternals/downloads/procmon). Met de opdracht Capture Events wordt een realtime overzicht van alle aangevraagde bestanden en registerwaarden getoond zodat de activiteiten van alle lopende processen in kaart gebracht kunnen worden. Via de opties in de menubalk kunnen de opties voor het monitoren van bestanden, processen en het register afzonderlijk worden in- of uitgeschakeld.

Wanneer duidelijk is om welke bestanden en/of registersleutels het gaat, kunnen met behulp van een administratoraccount beheerrechten worden toegewezen aan het gebruikersaccount dat problemen ondervindt (bijvoorbeeld een gebruikersaccount zonder administratorrechten). Klik voor het aanpassen van de machtigingen op registerniveau met rechts op een registersleutel en kies voor Machtigingen. Door vervolgens voor het betreffende gebruikersaccount bij Volledig beheer de optie Toestaan te activeren (gebruik eventueel de knop Toevoegen wanneer de gebruikersnaam nog niet aanwezig is), krijgt deze voortaan permanent toestemming gebruik te maken van de betreffende registersleutel. Op vergelijkbare wijze kunnen de machtigingen op bestandsniveau (via het tabblad Beveiligen van de eigenschappen van een bestand of map) worden aangepast. Zie elders op deze website voor meer informatie over het oplossen van problemen met beheerrechten.


GEBLOKKEERDE BESTANDEN VERWIJDEREN

Lukt het niet een bepaald bestand te verwijderen, verplaatsen of te hernoemen dan kan dat verschillende oorzaken hebben. Ligt het aan de beperkte toegangs-rechten dan is dat eenvoudig op te lossen door een take ownership op het bestand toe te passen. Kan een bestand niet verwijderd worden omdat deze een voor het NTFS-bestandssysteem incorrecte naam heeft, probeer het dan eens vanuit een zip-tool zoals 7-Zip (download: www.7-zip.org): soms lost het probleem al op door het bestand of de map vanuit 7-Zip te hernoemen. Is dit niet het geval, versleep het bestand dan naar een nieuw aangemaakte archiefmap en verwijder dit archief vervolgens weer. Wordt het bestand structureel bezet gehouden door een met Windows opstartend proces dan moet het verantwoordelijke proces eerst worden gestopt voordat het geblokkeerde bestand kan worden verwijderd. De boosdoener is in veel gevallen te achterhalen en te beŽindigen met Process Explorer van Sysinternals (download: https://docs.microsoft.com/nl-nl/sysinternals/downloads/process-explorer). Klik in de menubalk van Process Explorer op Find, Find Handle or DLL en voer de naam van het bezette bestand in om de naam van het verantwoordelijke proces op te sporen. Dit proces kan vervolgens in het basisscherm worden beŽindigd door er met rechts op te klikken en te kiezen voor Kill Process. Als alternatief kan een geblokkeerd bestand ook worden verwijderd met een tool als UnLock IT (download: www.emcosoftware.com/unlock-it).


Virtual Store: virtualisatie van gegevens

Veelal oudere programma's proberen bestanden in de map C:\Program Files te plaatsen, hetgeen zonder de juiste machtigingen onmogelijk is. In Windows 10 wordt virtualisatie van gegevens (oftewel de Virtual Store) gebruikt als oplossing voor het ontbreken van deze schrijfrechten. Omdat de oorspronkelijke locatie vanwege de beperkte machtigingen ontoegankelijk is, worden de bestanden in de VirtualStore geplaatst. Het programma wordt op deze wijze om de tuin geleid, zonder dat het hiervan op de hoogte wordt gebracht. Virtualisatie vindt per gebruiker plaats, de persoonlijke wijzigingen worden in de map C:\Gebruikers\inlognaam\ AppData\Local\VirtualStore opgeslagen. De Virtual Store kan bijvoorbeeld de submappen Program Files en/of ProgramData bevatten met daarin de door de betreffende gebruiker aangebrachte specifieke wijzigingen. Alle gebruikers moeten de door virtualisatie getroffen instellingen dus apart wijzigen waardoor andere gebruikers daar geen last van (maar ook geen baat bij) hebben!

VIRTUALISATIE UITSCHAKELEN

Virtualisatie wil nog wel eens problemen veroorzaken. Zo worden bestanden op meerdere locaties opgeslagen (iedere gebruikersaccount heeft zijn eigen virtuele bestanden), waardoor het lastig wordt ze te traceren. Is het gebruik van virtualisatie niet wenselijk en moeten aangebrachte wijzigingen voor alle gebruikers van toepassing zijn? Voorzie de gevirtualiseerde map (de originele map) dan van schrijfrechten voor alle gebruikers. Klik daarvoor met rechts op de map, kies Eigenschappen, tabblad Beveiliging en zet bij Gebruikers de machtigingen voor de map op Volledig beheer. Is deze methode te omslachtig, dan kan het betreffende programma eventueel ook als administrator worden uitgevoerd door met rechts op de snelkoppeling te klikken en te kiezen voor Eigenschappen, tabblad Snelkoppeling, knop Geavanceerd.


Programma uitvoeren in compatibiliteitsmodus

Compatibiliteitsproblemen zijn ook vaak simpel op te lossen door het programma in compatibiliteitsmodus uit te voeren: deze modus bootst de eigenschappen van een ander besturingssysteem na waardoor het programma als het ware om de tuin wordt geleid. Deze oplossing van Windows kan snel worden toegepast via de wizard voor het oplossen van compatibiliteitsproblemen, te openen met een rechter muisklik op de snelkoppeling van het betreffende programma, optie Compatibiliteitsproblemen oplossen ůf via de optie Eigenschappen, tabblad Compatibiliteit, knop Probleemoplosser voor compatibiliteit uitvoeren. De wizard stelt een aantal vragen, op basis van de antwoorden wordt automatisch op de achtergrond de juiste compatibiliteitsmodus toegepast. Zo kan bijvoorbeeld worden aangegeven dat het programma in eerdere Windows-versies wel werkte, de weergave incorrect is en/of aanvullende machtigingen vereist zijn. De compatibiliteitsmodus kan ook handmatig worden toegepast door op tabblad Compatibiliteit aan te geven van welk besturingssysteem de eigenschappen moeten worden nagebootst. Bij het onderdeel Instellingen kan worden geŽxperimenteerd met de weergave-instellingen en bij onderdeel Bevoegdheidsniveau kan het programma als administrator worden uitgevoerd zodat problemen met beheerrechten kunnen worden omzeild.

Opstarten in de compatibiliteitsmodus

WINDOWS SANDBOX EN HYPER-V VIRTUELE COMPUTER

Windows 10 Pro beschikt over twee interessante functies om binnen Windows 10 een virtuele computer met een eigen bureaublad te draaien: de zandbak Windows Sandbox en de virtualisatietool Hyper-V. Hoewel deze tools alleen bij Windows 10 Pro via het configuratiescherm, onderdeel Programmaís en onderdelen, taak Windows-onderdelen in- of uitschakelen zijn toe te voegen, staat op de genoemde pagina hoe deze optie ook bij Windows 10 Home zijn te activeren.

Windows Sandbox: een virtuele zandbak
 


© 2001-2021 - - SchoonePC - Rotterdam - Privacyverklaring