Werken met gebruikersaccounts (beheren/afstellen in Windows 10)

Het is raadzaam om voor iedere gebruiker een eigen gebruikersaccount aan te maken, elke persoon heeft namelijk eigen voorkeursinstellingen, documenten, e-mail, contactpersonen, agenda, internetfavorieten en wellicht ook nog een chatprogramma. Bereid dit goed voor, het instellen van een gebruikersaccount kost namelijk al snel een half uurtje klikken! Via Instellingen, onderdeel Accounts, sub Familie en andere gebruikers is in een handomdraai een gebruikersaccount aan te maken en te koppelen aan een Microsoft-account. Zijn meerdere gebruikersaccounts aangemaakt, dan zijn deze vanuit het aanmeldscherm te selecteren om op te starten. Deze pagina geeft uitleg over een aantal instelopties, het omzeilen van de beperkte rechten en het scheiden van persoonlijke bestanden en systeembestanden. Tevens passeren enkele aan gebruikersaccounts gerelateerde problemen de revue.

Gebruikersaccount aanmaken: lokaal of aan Microsoft-account gekoppeld

Aan het einde van de installatie van Windows wordt een eerste gebruikersaccount aangemaakt. Omdat Microsoft graag wil dat iedereen kiest voor een Microsoft-account, wordt hier alleen díe optie getoond. Op het eerste gezicht kan dus geen lokaal account worden aangmaakt. Echter door halverwege de setup de netwerkkabel los te koppelen (en zo de internetverbinding te verbreken) is het alsnog mogelijk om een lokaal account aan te maken. Microsoft-accounts kunnen overigens achteraf altijd nog worden omgezet naar een lokaal account. Extra gebruikersaccounts kunnen worden toegevoegd via Instellingen, onderdeel Accounts, sub Gezin en andere personen, knop Iemand anders aan deze pc toevoegen. Ook hier wordt een nieuw gebruikersaccount standaard gekoppeld aan een Microsoft-account, de keuze voor een lokaal account is verstopt achter de link Aanmelden zonder Microsoft-account (niet aanbevolen), knop Lokaal account.

TIP: Plaats in de naam van een lokaal gebruikersaccount bij voorkeur géén spatie. De voor het account aangemaakte map bevat dan namelijk óók een spatie, en sommige programma's kunnen daar niet mee overweg. Wil je toch graag een gebruikersnaam met spatie gebruiken (bijvoorbeeld met een voor- en achternaam), wijzig de naam dan achteraf.

Accountnaam wijzigen

De naam van een gebruikersaccount (in onderstaand voorbeeld respectievelijk “Menno” en “Menno Schoone”) kan altijd nog achteraf worden gewijzigd. Bij een lokaal account via het configuratiescherm, onderdeel Gebruikersaccounts, link Uw accountnaam wijzigen en bij een Microsoft-account online via de pagina https://account.microsoft.com/profile#/ (meld aan met het betreffende Microsoft-account), link Naam bewerken.

lokaal account                       vs.                           Microsoft-account

NAAM GEBRUIKERSMAP WIJZIGEN

Het wijzigen van de naam van een gebruikersaccount heeft geen effect op de naam van de gebruikersmap (C:\Gebruikers\naam). Dit heeft te maken met de reeds opgeslagen instellingen van Windows en andere reeds geïnstalleerde programma’s: zij blijven uitgaan van de oude naam. Zou de mapnaam worden veranderd dan leidt dat onvermijdelijk tot foutmeldingen en andere ongewenste problemen!

Wil je de mapnaam tóch naar eigen smaak wijzigen (bijvoorbeeld omdat de fabrikant of leverancier een ongepaste naam heeft gekozen) dan is dat alleen mogelijk door een nieuw lokaal gebruikersaccount aan te maken (via Instellingen, onderdeel Accounts, sub Gezin en andere personen, knop Iemand anders aan deze pc toevoegen, link Ik beschik niet over de aanmeldgegevens van deze persoon, link Gebruiker zonder Microsoft-account toevoegen). Ook wanneer het over te zetten gebruikersaccount aan een Microsoft-account gekoppeld, is het verstandig eerst een lokaal gebruikersaccount met de zelfgekozen naam aan te maken. Koppel het Microsoft-account eerst los van het oorspronkelijke account (via Instellingen, onderdeel Accounts, sub Uw info, link In plaats daarvan aanmelden met een lokaal account) voordat deze aan het nieuwe lokale account wordt gekoppeld (link Automatisch aanmelden bij al uw Microsoft-apps). Zet tot slot alle bestanden en instellingen over (alsof een back-up wordt teruggezet) en verwijder het oorspronkelijke gebruikersaccount (via Instellingen, onderdeel Accounts, sub Gezin en andere personen, selecteer het account, knop Verwijderen).


Wachtwoord voor het gebruikersaccount

Veel Windows-gebruikers denken dat de toegang tot de persoonlijke gegevens afdoende wordt beveiligd door het account te voorzien van een wachtwoord. Iemand met fysieke toegang tot de computer kan echter tot meer informatie toegang krijgen dan je voor mogelijk houdt. Een wachtwoord blijkt met de juiste tools niet al te ingewikkeld te omzeilen en met een tweede administratoraccount is het vrij eenvoudig toegangsrechten tot beveiligde accounts en persoonlijke bestanden te verkrijgen. Waan je dus niet al te snel veilig, het beveiligen met een wachtwoord is slechts een eerste verdedigingslinie! Het wachtwoord is voor lokale gebruikersaccounts overigens niet verplicht.

WACHTWOORD BIJ ONTWAKEN UIT DE SLAAPSTAND

Het verplichte intypen van het wachtwoord (dat wordt gevraagd bij het ontwaken uit de slaapstand) kan worden uitgeschakeld via Instellingen, onderdeel Accounts, sub Aanmeldingsopties door de optie Aanmelding vereisen te wijzigen in Nooit.


Typen gebruikersaccounts: standaard- vs. administratorrechten

Zoals bekend uit vorige Windows-versies kan een gebruikersaccount als Standaard (met beperkte mogelijkheden) of als Administrator (met volledige beheerrechten) worden ingesteld. Een nieuw aangemaakt gebruikersaccount wordt automatisch ingesteld als standaard-gebruiker, een voor de hand liggende keuze wanneer de nieuwe gebruiker geen onderhoud aan Windows hoeft te verrichten. Moet de betreffende gebruiker echter systeemwijzigingen kunnen aanbrengen dan kan dat alleen met een administratoraccount. Zie elders op deze website voor meer informatie over beheerrechten.

TIP: Wil je er zeker van zijn dat virussen en andere gebruikers geen ongewenste aanpassingen aan het systeem kunnen maken? Voorzie alle accounts dan van standaardrechten (dus ook je eigen account!) en bewaar daarnaast een administratoraccount die enkel wordt gebruikt voor het doorvoeren van systeemwijzigingen.

Programma’s en beheerrechten

Programma’s die systeemwijzigingen moeten doorvoeren hebben daarvoor de beheerrechten van een administratoraccount nodig. Ik adviseer daarom om tijdens het afstellen van een gebruikersaccount altijd te beginnen met een administratoraccount en deze pas om te zetten naar een standaard account als alle instellingen zijn doorlopen. Dat kan voor het eigen account via het configuratiescherm, onderdeel Gebruikersaccounts, optie Uw accounttype wijzigen en voor accounts van andere gebruikers via de link Een ander account beheren, selecteer het account, link Het accounttype wijzigen. Let wel op dat er (naast het verborgen administratoraccount, zie verderop) minimaal één administratoraccount actief blijft!

TIP: Ook vanuit een standaard gebruikersaccount kunnen programma’s met de beheerrechten van een administrator worden uitgevoerd: klik met rechts op een programma-icoon en selecteer de optie Als administrator uitvoeren. Vervolgens moeten nog wel de inloggegevens (gebruikersnaam en wachtwoord) van een van de beheerderaccounts worden opgegeven.

Documenten en instellingen

Voor elk nieuw aangemaakt gebruikersaccount wordt in de map C:\Gebruikers een submap aangemaakt voor opslag van persoonlijke documenten en instellingen (wordt de map geopend in een opdrachtvenster dan blijkt deze in werkelijkheid C:\Users te heten, de oorsprong van deze naamswijziging zit hem in het feit dat de gehanteerde taal voor de gebruikersinterface naar keuze kan worden gewijzigd). De afbeelding laat zien hoe deze persoonlijke map Gebruikers er in de Windows Verkenner uitziet (let op: is het gebruikersaccount gekoppeld aan een Microsoft-account dan is de accountnaam afgekort en bewerkt waardoor deze niet altijd herkenbaar is). De gebruikersmappen krijgen automatisch een standaard mappenstructuur voor persoonlijke data, zoals Afbeeldingen, Bureaublad (met de icoontjes van het bureaublad), Contactpersonen, Documenten, Downloads, Favorieten (voor Internet Explorer), Muziek, OneDrive, Opgeslagen spellen, Video's, en nog een belangrijke map AppData met persoonlijke Windows- en software-instellingen. De opgeslagen data en instellingen zijn alleen van toepassing voor de betreffende gebruiker (hoewel ze bij een onbeveiligd account dan wel met een take ownership ook toegankelijk kunnen worden voor andere gebruikers).

Map C:\Gebruikers

Wordt op tabblad Beeld, knop Opties, tabblad Weergave de optie Beveiligde besturingssysteembestanden verbergen (aanbevolen) uitgevinkt dan blijken in de gebruikersmap ook nog een tiental ontoegankelijke, verborgen snelkoppelingen te staan. Deze hebben als enig doel oude programma's uit het Windows XP-tijdperk met een symbolische link automatisch naar de nieuwe locatie door te sturen (deze symbolische links geven bij aanklikken een foutmelding met de mededeling dat de toegang tot de locatie is geweigerd).

Persoonlijke bestanden scheiden van de systeembestanden

De gebruikersmappen met de persoonlijke bestanden (documenten, afbeeldingen, muziek, video's, e-mailarchief, contactpersonen, e.d.) worden dus op de Windows-partitie opgeslagen, midden tussen de systeembestanden van het besturingssysteem. Het mag duidelijk zijn dat dit niet de meest praktische opslaglocatie is (moet het systeem opnieuw worden geïnstalleerd dan is de kans groot dat persoonlijke bestanden verloren gaan). De persoonlijke bestanden kunnen beter worden gescheiden van de systeembestanden door ze op een andere locatie op te slaan, bij voorkeur op een aparte datapartitie.

Door op de datapartitie voor elk gebruikersaccount een eigen persoonlijke map aan te maken (en te voorzien van een duidelijke naam, bijvoorbeeld D:\Menno), kunnen de persoonlijke gegevens veel overzichtelijker worden ingedeeld. Het periodiek uitvoeren van een geautomatiseerde back-up van de persoonlijke gegevens wordt zo stukken eenvoudiger en omdat de datapartitie buiten schot blijft bij het herinstalleren van Windows (al dan niet met een systeemback-up), staan de persoonlijke gegevens hier relatief veilig. Een aparte datapartitie heeft dus grote voordelen, met name wanneer Windows niet meer wil opstarten!

Om dit te bewerkstelligen is het van groot belang dat de bestanden op de juiste manier worden verplaatst zodat Windows en extra geïnstalleerde software ook gelijk op de hoogte worden gebracht van de gewijzigde opslaglocatie. Elders op deze website staat uitgebreid beschreven hoe het verplaatsen van de persoonlijke bestanden in zijn werk gaat.

Gebruikersaccountbeheer en Als administrator uitvoeren

Gebruikersaccountbeheer voegt een extra beveiligingsschil voor zowel standaard als administratoraccounts toe: voor essentiële systeemwijzigingen wordt eerst goedkeuring gevraagd. Deze waarschuwingen kunnen via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen eventueel worden ingeperkt of zelfs uitgeschakeld (zie de pagina over Gebruikersaccountbeheer voor meer informatie).

Gebruikersaccountbeheer

Het klinkt tegenstrijdig maar ook administratoraccounts starten programma’s standaard op zonder de extra administratorrechten. Deze kunnen echter waar nodig worden geactiveerd door met rechts op een programma te klikken en te kiezen voor Als administrator uitvoeren. Moet een programma te allen tijde met administratorrechten opstarten dan kan dat worden ingesteld door met rechts op de snelkoppeling of het programma te klikken, kies voor Eigenschappen, tabblad Snelkoppeling, knop Geavanceerd en activeer de optie Als administrator uitvoeren.

Als administrator uitvoeren vanuit Start

‘Als administrator uitvoeren’ vanuit het startmenu (links) en de Windows Verkenner (rechts)

WAT TE DOEN ALS DE BEPERKTE RECHTEN TE BEPERKT ZIJN?

Het komt regelmatig voor dat een standaard gebruiker toepassingen (die aanpassingen willen maken in essentiële systeembestanden en/of registersleutels) niet kan uitvoeren omdat de rechten tè beperkt zijn. Het accounttype zou in dat geval (tijdelijk) gewijzigd kunnen worden in een administratoraccount, maar perfect is die oplossing natuurlijk niet! Een betere methode is het uitbreiden van de beheermogelijkheden van het gebruikersaccount. Met de gratis tool Process Monitor van Sysinternals (https://technet.microsoft.com/nl-nl/sysinternals/bb896645) kan worden achterhaald welke bestanden en/of registersleutels voor de betreffende toepassing de bottleneck vormen. Nadat in Process Monitor de opdracht Capture Events is gegeven, houdt deze een overzicht bij van alle aangevraagde bestanden en registersleutels.

Wanneer duidelijk is voor welke bestanden en/of registersleutels de beheerrechten ontbreken, kunnen deze met behulp van een administratoraccount aan het betreffende account worden toegewezen. Klik voor het aanpassen van de machtigingen op registerniveau met rechts op een registersleutel en kies voor Machtigingen. Door vervolgens voor het betreffende gebruikersaccount bij Volledig beheer de optie Toestaan te activeren (gebruik eventueel de knop Toevoegen wanneer de gebruikersnaam nog niet aanwezig is), krijgt deze voortaan permanent toestemming gebruik te maken van de betreffende registersleutel. Op vergelijkbare wijze kunnen de machtigingen op bestandsniveau (via het tabblad Beveiligen van de eigenschappen van een bestand of map) worden aangepast. Zie elders op deze website voor meer informatie over het oplossen van problemen met beheerrechten.


Problemen met gebruikersaccounts oplossen

Een gebruikersaccount kan niet worden gemaakt of verwijderd

Kan een bepaald gebruikersaccount niet worden gemaakt of verwijderd? Met behulp van het commando NET USER kan de wijziging alsnog worden uitgevoerd. Start via het Win-X menu de Windows PowerShell (Admin) en geef het commando NET USER om een lijst van alle aangemaakte gebruikersaccounts op te roepen. Met het commando NET USER inlognaam /ADD wordt een gebruiker toegevoegd en met het commando NET USER inlognaam /DELETE wordt er een verwijderd. Vooral het laatste commando kan nog wel eens van pas komen. Het commando NET biedt overigens meer mogelijkheden, geef de commando's NET en NET HELP voor een overzicht.

Foutmelding ‘Gebruikersprofiel kan niet worden geladen’

Wordt bij het aanmelden van het gebruikersaccount de melding De service User Profile-service verhindert het aanmelden. Gebruikersprofiel kan niet worden geladen. getoond (en is het account dus ontoegankelijk), probeer dan eerst eens of Windows Systeemherstel uitkomst biedt. Herstart Windows hiervoor in de veilige modus (dat kan door de SHIFT-toets ingedrukt te houden en tegelijkertijd via de aan-/uitknop (rechts onderin) de optie Opnieuw opstarten te activeren, tegel Problemen oplossen, tegel Geavanceerde opties, tegel Opstartinstellingen, knop Opnieuw opstarten). Open vervolgens een nog werkend administratoraccount (is er geen werkend administratoraccount meer, activeer dan eerst het verborgen administratoraccount zoals hierna beschreven staat) en pas systeemherstel toe via het configuratiescherm, onderdeel Herstel.

TIP: Als alternatief voor systeemherstel kan ook de standaard verborgen systeemmap C:\Gebruikers\Default van een andere Windows 10-computer worden gekopieerd (zorg er voor dat verborgen mappen zichtbaar zijn in de Windows Verkenner). Gebruik hiervoor een USB-stick die is geformatteerd in het bestandsformaat FAT32 om te voorkomen dat ook de machtigingen van de map worden overgenomen.

Het verborgen administrator account

Is er geen toegang tot het systeem meer omdat alle zelf aangemaakte administratoraccounts per ongeluk zijn verwijderd of omdat de wachtwoorden zijn vergeten? Geen nood, Windows is standaard voorzien van een verborgen administratoraccount met de naam Administrator. Dit account is als volgt buiten Windows om te activeren:

  1. Start de computer op vanaf een Windows 10-installatiemedium.
  2. Start bij het eerste scherm (voor het instellen van de taal en toetsenbordindeling) de opdrachtprompt. Dat kan met de toetscombinatie SHIFT-F10, of met de knop Volgende, optie Uw computer herstellen, tegel Problemen oplossen, tegel Geavanceerde opties, tegel Opdrachtprompt.
  3. Start de registereditor met het commando REGEDIT.
  4. Selecteer de registersleutel HKEY_LOCAL_MACHINE.
  5. Selecteer in de menubalk van de registereditor de opties Bestand (File), Component laden (Load Hive).
  6. Selecteer de partitie van de Windows-installatie (de schijfletter wijkt af van die in Windows).
  7. Open de map Windows\System32\config, selecteer het bestand SAM en klik op de knop Open.
  8. Geef in het venster Component laden (Load Hive) de naam ADMIN op.
  9. Navigeer naar de registersleutel HKLM\ADMIN\SAM\Domains\Account\Users\000001F4.
  10. Dubbelklik op de registerwaarde F om deze te kunnen wijzigen.
  11. Dubbelklik op de eerste waarde in de rij 0038 (8e rij) en wijzig (in de 2e kolom) de waarde 11 in 10 (of omgekeerd om het ingebouwde administratoraccount uit te schakelen).
  12. Sluit de register-editor, herstart Windows en maak vanuit het geactiveerde account Administrator een nieuw administratoraccount aan. Als alternatief kan (via het configuratiescherm, onderdeel Gebruikersaccount, link Een ander account beheren) ook het wachtwoord van een nog aanwezig administratoraccount worden gewijzigd danwel het accounttype van een standaard gebruikersaccount worden omgezet in een administratoraccount.
  13. Tot slot kan het administratoraccount weer worden verborgen door in een opdrachtvenster met administratorrechten het commando NET USER ADMINISTRATOR /ACTIVE:NO te geven (vervang NO door YES om deze weer zichtbaar te maken).

TIP: Is het vergeten wachtwoord niet met het verborgen administratoraccount te wijzigen, lees dan verder op de pagina over opstartbare CD/DVD's hoe dit probleem kan worden omzeild door het wachtwoord blanco te maken.

 
 
 
 

© 2001-2017 - - SchoonePC - Rotterdam - The Netherlands