Gebruikersaccountbeheer en problemen met beheerrechten (Windows 10)

Via Gebruikersaccountbeheer (ook wel User Account Control (UAC) genoemd) worden beperkingen opgelegd zodat essentiŽle systeemaanpassingen en installatie van software niet zomaar kunnen worden uitgevoerd. Deze veiligheidsmaatregel moet voorkomen dat Windows besmet raakt met ongewenste, mogelijk schadelijke software. Hoewel Gebruikersaccountbeheer Windows aanzienlijk veiliger maakt, is het voor velen ook een grote bron van ergernis. Gebruikersaccountbeheer onderbreekt namelijk bij diverse (essentiŽle) systeemwijzigingen de werkzaamheden door het scherm en de openstaande programma's te blokkeren totdat al dan niet toestemming is verleend. Worden de meldingen echter achteloos weggeklikt dan krijgt malware vrij spel en is Gebruikersaccountbeheer nutteloos...

Gebruikersaccountbeheer melding

Instellingen Gebruikersaccountbeheer aanpassen

Volgens de standaard instellingen komt Gebruikersaccountbeheer alleen in actie wanneer programmaís systeemwijzigingen willen doorvoeren. Op zich zijn deze instellingen prima, ware het niet dat het scherm 'op zwart gaat' zodra een melding verschijnt (dit gedimde beeldscherm wordt ook wel het beveiligd bureaublad genoemd). Wordt het blokkeren van het scherm als vervelend ervaren dan kan dat worden uitgeschakeld via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen door de schuifregelaar voor het waarschuwingsniveau een treetje lager te zetten. Gebruikersaccountbeheer kan ook helemaal worden uitgeschakeld door de schuifregelaar op Nooit een melding weergeven in te stellen. Het uitschakelen van Gebruikersaccountbeheer geniet echter niet de voorkeur aangezien dit ten koste gaat van de veiligheid, en tevens problemen kan veroorzaken bij het openen van apps.

Gebruikersaccountbeheer meldingen wijzigen

Problemen met beperkte beheerrechten

De door Gebruikersaccountbeheer opgelegde beperkingen van de gebruikersrechten (lees- of schrijfrechten) zijn bedoeld om extra beveiliging te bieden tegen kwaadwillende software en onbedoelde handelingen van de gebruiker. Deze machtigingen kunnen echter ook vaak onbegrijpelijke foutmeldingen tijdens installatie of gebruik van vertrouwde software veroorzaken (zoals het niet kunnen installeren of opstarten van een programma, het niet kunnen opslaan van gegevens e.d.). Deze problemen worden veroorzaakt doordat de gebruikersrechten niet toestaan dat er met het betreffende gebruikersaccount een wijziging wordt aangebracht in een specifiek bestand en/of registerwaarde. Accounts met beperkte rechten (gebruikersaccounts) ondervinden wel eens vreemde foutmeldingen (zoals onderstaande melding bij het opslaan van een foto met het programma Paint Shop Pro), iets wat met administratoraccounts eigenlijk zelden voorkomt.

Paint Shop Pro foutmelding beheerrechten

Op basis van dergelijke vage foutmeldingen is het niet zo makkelijk te achterhalen dat het eigenlijk om beperkte schrijfrechten gaat. Problemen met de schrijfrechten doen zich nog wel eens voor nadat de persoonlijke bestanden van het gebruikersaccount naar een aparte datapartitie zijn verplaatst maar de gebruikersaccount (nog) niet beschikt over de juiste machtigingen (zie de pagina over het wijzigen van de opslaglocatie van persoonlijke bestanden en de problemen die zich daarbij kunnen voordoen).

Eenmalig of structureel probleem?

Om vast te stellen dat een probleem wordt veroorzaakt door te beperkte rechten, kan het betreffende programma eenmalig met administratorrechten worden gestart (klik met rechts op een tegel, snelkoppeling of programma en kies Als administrator uitvoeren). Is het probleem hiermee opgelost dan ligt de oorzaak blijkbaar bij de beperkte beheerrechten. Sommige door beperkte gebruikersrechten veroorzaakte problemen zijn van eenmalige aard (bijvoorbeeld systeemwijzigingen die slechts eenmalig doorgevoerd hoeven te worden, zoals de registratie van een recent geÔnstalleerd softwarepakket). Betreft het echter een frequent terugkerend probleem dan vraagt het om een structurele oplossing. Er zijn twee manieren om problemen met de beheerrechten voor bestanden, mappen of registersleutels structureel op te lossen: door het uitvoerende programma standaard als administrator op te laten starten of door de machtigingen voor het probleemveroorzakende item (een map, bestand of registersleutel) aan te passen.

Programma's met administratorrechten opstarten

Is het probleem opgelost nadat het programma (eenmalig) met administratorrechten is opgestart dan is het een optie de betreffende software voortaan standaard met deze administratorrechten op te starten. Dit wordt bij programmaís ingesteld via de Eigenschappen van het betreffende programma (tabblad Compatibiliteit, optie Dit programma als Administrator uitvoeren) of via de Eigenschappen van de snelkoppeling naar dit programma (tabblad Snelkoppeling, knop Geavanceerd, optie Als administrator uitvoeren). Hoewel het met administratorrechten opstarten van programma's eenvoudig is toe te passen, is dat zeker niet de veiligste oplossing. Gebruik deze procedure daarom alleen bij vertrouwde programma's!

TIP: Soms is zelfs het toewijzen van administratorrechten niet voldoende voor het kunnen doorvoeren van een systeemwijziging. Probeer het met administratorrechten opstarten van de software dan eens in combinatie met een tijdelijk uitgeschakeld Gebruikersaccountbeheer. Dit kan via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen. Deze methode wordt echter niet geadviseerd als structurele oplossing!

Machtigingen voor bestanden, mappen en/of registersleutels wijzigen

Een veilige (maar lastigere) manier om het probleem met de beheerrechten op te lossen, is het gebruikersaccount zelf te voorzien van beheerrechten (machtigingen) voor de bestanden, mappen en/of registersleutels waarin het programma wijzigingen wil doorvoeren. Hierdoor krijgt het programma geen beschikking over volledige beheerrechten en kan er dus ook geen 'misbruik' van de administratorrechten worden gemaakt. Het toekennen van machtigingen is niet zo lastig, de moeilijkheid zit hem in het bepalen van welke bestanden en/of registersleutels de machtigingen aangepast moet worden. Gebruik eventueel een tool als Process Monitor van Sysinternals wanneer het niet direct duidelijk is welke bestanden en/of registersleutels het probleem veroorzaken.

Is eenmaal bekend welke items vanwege de te beperkte rechten voor problemen zorgen dan kunnen de beheerrechten direct worden gewijzigd. Machtigingen worden aan een gebruiker toegekend door in te loggen met een administratoraccount en vervolgens in de Windows Verkenner met rechts op het bestand of de map te klikken en te kiezen voor Eigenschappen, tabblad Beveiliging. De makkelijkste oplossing is hier de groep Gebruikers via de knop Bewerken de machtiging Volledig beheer te geven. Is het echter niet de bedoeling dat ook de andere gebruikers toegang krijgen tot de betreffende bestanden, voeg dan de naam van het gebruikersaccount toe als eigenaar (via de knop Bewerken, knop Toevoegen of anders via de geavanceerde instellingen, druk eventueel ter controle op de knop Namen controleren) en geef deze als enige gebruiker de machtiging Volledig beheer. Om als enige gebruiker beheerrechten te hebben moeten de andere groepen en gebruikers worden verwijderd (via tabblad Beveiliging, knop Geavanceerd, knop Overname uitschakelen, optie Verwijder alle overgenomen machtigingen van dit object). In dit voorbeeld wordt dat toegepast op het afbeeldingbestand 3.jpg dat de veroorzaker was van de getoonde foutmelding in Paint Shop Pro. Door de gehele map (of in dit geval de gehele partitie) waarin dit bestand staat te voorzien van deze machtiging, wordt het probleem voor alle onderliggende bestanden in ťťn keer opgelost.

Machtigingen bestand wijzigen

Machtigingen voor het wijzigen van registersleutels (inclusief de onderliggende registerwaarden) worden op vergelijkbare wijze vanuit de registereditor aan een gebruiker toegekend door met rechts op de betreffende sleutel te klikken en via Machtigingen de beheerrechten te wijzigen.

LET OP: Machtigingen kunnen alleen via een gebruikersaccount met administratorrechten worden gewijzigd. Een administratoraccount beschikt overigens niet voor elke map of registersleutel standaard over beheerrechten. Wanneer een machtiging voor volledig beheer echter noodzakelijk is, kan een administratoraccount deze (in de meeste gevallen) wel aan zichzelf toewijzen.

'TAKE OWNERSHIP' TOEVOEGEN AAN CONTEXTMENU

Is het wijzigen van de machtigingen te ingewikkeld of te tijdrovend, dan kan de optie Take ownership uitkomst bieden. Nadat deze optie is toegevoegd aan het contextmenu (dat verschijnt wanneer met rechts op een bestand of map wordt geklikt), kan het betreffende gebruikersaccount namelijk met slechts een paar klikken toegang krijgen tot vrijwel elke map of bestand. Het aan het contextmenu toevoegen gaat het makkelijkst door de inhoud van het registerbestand take_ ownership.reg (download: take_ownership.zip, pak het zip-bestand uit en dubbelklik op het registerbestand) aan het register toe te voegen.


IS EEN MAP ONTOEGANKELIJK NA HERINSTALLATIE?

Het gebeurt regelmatig dat na het herinstalleren van het besturingssysteem geen toegang meer kan worden verkregen tot mappen of bestanden die daarvoor nog wel bereikbaar waren. Vaak wordt dan een hangslot weergegeven in het map-icoontje en/of wordt bij het openen de foutmelding U hebt momenteel geen toegang tot deze map getoond. Dit probleem ontstaat doordat het account (nog) geen toegangsrechten heeft. Dit probleem is op te lossen door als administrator beheerrechten toe te eigenen, bijvoorbeeld door gebruik te maken van het zojuist besproken take ownership.

Machtigingen: geen toegang tot map
 


WANNEER DE BESTANDEN GEBLOKKEERD ZIJN...

Lukt het niet een bepaald bestand te verwijderen of te verplaatsen omdat het door een proces bezet wordt gehouden? De boosdoener is in veel gevallen eenvoudig te achterhalen en te beŽindigen met de tool Process Explorer van Sysinternals (download: https://technet.microsoft.com/nl-nl/sysinternals/bb896653). Klik in de menubalk van Process Explorer op Find, Find Handle or DLL en voer de naam van het bezette bestand in om de naam van het verantwoordelijke proces op te sporen. Dit proces kan vervolgens in het basisscherm worden beŽindigd door er met rechts op te klikken en te kiezen voor Kill Process. Als alternatief kan een geblokkeerd bestand ook worden vrijgegeven en verwijderd met tools als FileASSASSIN (download: www.malwarebytes.org/fileassassin), IObit Unlocker (download: www.iobit.com/nl/iobit-unlocker.php), UnLock IT (download: www.emcosoftware.com/unlock-it) en MoveOnBoot (download: www.emcosoftware.com/move-on-boot).


Virtual Store: virtualisatie van gegevens

Veelal oudere programma's proberen bestanden in de map C:\Program Files te plaatsen, hetgeen zonder de juiste machtigingen onmogelijk is. In Windows 10 wordt virtualisatie van gegevens (oftewel de Virtual Store) gebruikt als oplossing voor het ontbreken van deze schrijfrechten. Omdat de oorspronkelijke locatie vanwege de beperkte machtigingen ontoegankelijk is, worden de bestanden in de VirtualStore geplaatst. Het programma wordt op deze wijze om de tuin geleid, zonder dat het hiervan op de hoogte wordt gebracht. Virtualisatie vindt per gebruiker plaats, de persoonlijke wijzigingen worden in de map C:\Gebruikers\inlognaam\AppData\Local\VirtualStore opgeslagen. De Virtual Store kan bijvoorbeeld de submappen Program Files en/of ProgramData bevatten met daarin de door de betreffende gebruiker aangebrachte specifieke wijzigingen. Alle gebruikers moeten de door virtualisatie getroffen instellingen dus apart wijzigen waardoor andere gebruikers daar geen last van (maar ook geen baat bij) hebben!

VIRTUALISATIE UITSCHAKELEN

Virtualisatie wil nog wel eens problemen veroorzaken. Zo worden bestanden op meerdere locaties opgeslagen (iedere gebruikersaccount heeft zijn eigen virtuele bestanden), waardoor het lastig wordt ze te traceren. Is het gebruik van virtualisatie niet wenselijk en moeten aangebrachte wijzigingen voor alle gebruikers van toepassing zijn? Voorzie de gevirtualiseerde map (de originele map) dan van schrijfrechten voor alle gebruikers. Klik daarvoor met rechts op de map, kies Eigenschappen, tabblad Beveiliging en zet bij Gebruikers de machtigingen voor de map op Volledig beheer. Is deze methode te omslachtig, dan kan het betreffende programma eventueel ook als administrator worden uitgevoerd door met rechts op de snelkoppeling te klikken en te kiezen voor Eigenschappen, tabblad Snelkoppeling, knop Geavanceerd.


Programma uitvoeren in compatibiliteitsmodus

Compatibiliteitsproblemen zijn ook vaak simpel op te lossen door het programma in compatibiliteitsmodus uit te voeren: deze modus bootst de eigenschappen van een ander besturingssysteem na waardoor het programma als het ware om de tuin wordt geleid. Deze oplossing van Windows kan snel worden toegepast via het onderdeel Compatibiliteitsproblemen oplossen, te bereiken door met rechts op de snelkoppeling van het betreffende programma te klikken. Windows stelt de gebruiker via dit venster een aantal vragen, en op basis van de gegeven antwoorden wordt automatisch op de achtergrond de juiste compatibiliteitsmodus toegepast. Zo kan bijvoorbeeld worden aangeven dat het programma in eerdere Windows-versies wel werkte, de weergave incorrect is en/of aanvullende machtigingen vereist zijn.

De compatibiliteitsmodus kan ook worden toegepast door met rechts op de snelkoppeling te klikken en te kiezen voor Eigenschappen, tabblad Compatibiliteit. Hier kan bijvoorbeeld worden aangegeven van welk besturingssysteem de eigenschappen moeten worden nagebootst. Bij het onderdeel Instellingen kan worden geŽxperimenteerd met de weergave-instellingen en bij onderdeel Bevoegdheidsniveau kan (zoals eerder beschreven) het programma als administrator worden uitgevoerd zodat problemen met beheerrechten kunnen worden omzeild.

Opstarten in de compatibiliteitsmodus

VIRTUELE COMPUTER AANMAKEN

Door gebruik te maken van een virtualisatietool kan binnen een Windows 10-omgeving een virtuele computer worden aangemaakt om daar een alternatief besturingssysteem op te installeren (bijvoorbeeld Windows XP voor het uitvoeren van programmaís die niet door Windows 10 worden ondersteund). Windows 10 Pro beschikt over de virtualisatietool Hyper-V (te activeren via het configuratiescherm, onderdeel Programmaís en onderdelen, taak Windows-onderdelen in- of uitschakelen). Gebruik je een andere Windows 10-versie dan een virtuele computer alleen met een virtualisatietool zoals VirtualBox (download: www.virtualbox.org) worden aangemaakt.

TIP: Ondervind je problemen tijdens de installatie of het gebruik van Hyper-V dan ligt dat meestal aan het BIOS/UEFI. Controleer in dat geval of de computer is voorzien van de laatst beschikbare versie van het BIOS/UEFI en controleer tevens of de Hyper-V virtualisatie-optie is geactiveerd.


 
 
 
 

© 2001-2017 - - SchoonePC - Rotterdam - The Netherlands