Werken met gebruikersaccounts (beheren/afstellen in Windows 10)

Het is raadzaam om voor iedere gebruiker een eigen gebruikersaccount aan te maken, elke persoon heeft namelijk eigen voorkeursinstellingen, documenten, e-mail, contactpersonen, agenda, internetfavorieten en wellicht ook nog een chatprogramma. Het is verstandig om dit goed voor te bereiden, het instellen van een gebruikersaccount kost namelijk al snel een half uurtje klikken! Via Instellingen, onderdeel Accounts, sub Familie en andere gebruikers is in een handomdraai een gebruikersaccount aan te maken en te koppelen aan een Microsoft-account. Deze pagina geeft uitleg over een aantal instelopties, het aanmeldscherm (met links onderin een overzicht van de ingestelde gebruikersaccounts), het omzeilen van de beperkte rechten en het scheiden van persoonlijke bestanden en systeembestanden. Tevens passeren enkele aan gebruikersaccounts gerelateerde problemen de revue.

Welkomstscherm/aanmeldscherm Windows 10

TIP: Ontbreekt de aan-/uitknop rechtsonder in het aanmeldscherm dan kan deze worden hersteld door met de registereditor in de registersleutel HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System de registerwaarde shutdownwithoutlogon te wijzigen in de waarde 1.

Type gebruikersaccount kiezen: lokaal of aan Microsoft-account gekoppeld

Aan het einde van de installatie van Windows wordt een eerste gebruikersaccount aangemaakt. Omdat Microsoft graag wil dat iedereen kiest voor een Microsoft-account, wordt hier alleen díe optie getoond. Op het eerste gezicht kan dus geen lokaal account worden aangmaakt. Echter door halverwege de setup de netwerkkabel los te koppelen (en zo de internetverbinding te verbreken) is het alsnog mogelijk om een lokaal account aan te maken. Microsoft-accounts kunnen overigens achteraf altijd nog worden omgezet naar een lokaal account.

Worden extra gebruikersaccounts toegevoegd (via Instellingen, onderdeel Accounts, sub Gezin en andere personen, knop Iemand anders aan deze pc toevoegen) dan is de keuze voor een lokaal account wel aanwezig, zij het verstopt achter de link Aanmelden zonder Microsoft-account (niet aanbevolen), knop Lokaal account.

TIP: Plaats in de naam van een lokaal gebruikersaccount bij voorkeur géén spatie. De voor het account aangemaakte map bevat dan namelijk óók een spatie, en sommige programma's kunnen daar niet mee overweg. Wil je toch graag een gebruikersnaam met spatie gebruiken (bijvoorbeeld met een voor- en achternaam), wijzig de naam dan achteraf.

Accountnaam wijzigen

De naam van een gebruikersaccount (in onderstaand voorbeeld respectievelijk “Menno” en “Menno Schoone”) kan altijd nog achteraf worden gewijzigd. Bij een lokaal account via het configuratiescherm, onderdeel Gebruikersaccounts, link Uw accountnaam wijzigen en bij een Microsoft-account online via de pagina https://account.microsoft.com/profile#/, meld aan met het betreffende Microsoft-account, link Naam bewerken.

lokaal account              vs.                 Microsoft-account

MAAK GEBRUIK VAN VERKORTE NAMEN

Wordt de naam van een gebruikersaccount gewijzigd dan heeft dat geen effect op de naam van de onder C:\Gebruikers vermelde gebruikersmap. Dat is omdat Windows en reeds geïnstalleerde programma's uitgaan van de huidige locatie, het wijzigen van de mapnaam zou tot foutmeldingen en andere ongewenste problemen kunnen leiden. Wil je de mapnaam toch naar eigen inzicht wijzigen (bijvoorbeeld omdat de fabrikant of leverancier een ongepaste naam heeft gekozen) dan is dat alleen mogelijk door het aanmaken van een nieuw lokaal gebruikersaccount. Om de naam van de gebruikersmap van een Microsoft-account te wijzigen kan het beste eerst een lokaal account aangemaakt worden om deze daarna pas via Instellingen, onderdeel Accounts te koppelen aan een Microsoft-account.


Wachtwoord voor het gebruikersaccount

Veel Windows-gebruikers denken dat de toegang tot de persoonlijke gegevens afdoende wordt beveiligd door het account te voorzien van een wachtwoord. Iemand met fysieke toegang tot de computer kan echter tot meer informatie toegang krijgen dan u voor mogelijk houdt. Een wachtwoord blijkt met de juiste tools niet al te ingewikkeld te omzeilen en met een tweede administratoraccount is het vrij eenvoudig toegangsrechten tot beveiligde accounts en persoonlijke bestanden te verkrijgen. Waan u dus niet al te snel veilig, het beveiligen met een wachtwoord is slechts een eerste verdedigingslinie! Het wachtwoord is voor lokale gebruikersaccounts overigens niet verplicht.

WACHTWOORD BIJ ONTWAKEN UIT DE SLAAPSTAND

Het verplichte intypen van het wachtwoord (dat wordt gevraagd bij het ontwaken uit de slaapstand) kan worden uitgeschakeld via Instellingen, onderdeel Accounts, sub Aanmeldingsopties door de optie Aanmelding vereisen te wijzigen in Nooit.


Typen gebruikersaccounts: standaard- vs. administratorrechten

Zoals bekend uit vorige Windows-versies kan een gebruikersaccount als Standaard (met beperkte mogelijkheden) of als Administrator (met volledige beheerrechten) worden ingesteld. Een nieuw aangemaakt gebruikersaccount wordt automatisch ingesteld als standaard-gebruiker, een voor de hand liggende keuze wanneer de nieuwe gebruiker geen onderhoud aan Windows hoeft te verrichten. Moet de betreffende gebruiker echter systeemwijzigingen kunnen aanbrengen dan kan dat alleen met een administratoraccount. Zie elders op deze website voor meer informatie over beheerrechten.

TIP: Wilt u er zeker van zijn dat virussen en andere gebruikers geen ongewenste aanpassingen aan het systeem kunnen maken? Voorzie alle accounts dan van standaardrechten (dus ook uw eigen account!) en bewaar daarnaast een administratoraccount die enkel wordt gebruikt voor het doorvoeren van systeemwijzigingen.

Programma’s en beheerrechten

Programma’s die systeemwijzigingen moeten doorvoeren hebben daarvoor de beheerrechten van een administratoraccount nodig. Ik adviseer daarom om tijdens het afstellen van een gebruikersaccount altijd te beginnen met een administratoraccount en deze pas om te zetten naar een standaard account als alle instellingen zijn doorlopen. Dat kan voor het eigen account via het configuratiescherm, onderdeel Gebruikersaccounts, optie Uw accounttype wijzigen en voor accounts van andere gebruikers via de link Een ander account beheren, selecteer het account, link Het accounttype wijzigen. Let wel op dat er (naast het verborgen administratoraccount, zie verderop) minimaal één administratoraccount actief blijft!

TIP: Ook vanuit een standaard gebruikersaccount kunnen programma’s met de beheerrechten van een administrator worden uitgevoerd: klik met rechts op een programma-icoon en selecteer de optie Als administrator uitvoeren. Vervolgens moeten nog wel de inloggegevens (gebruikersnaam en wachtwoord) van een van de beheerderaccounts worden opgegeven.

Het aanmeldscherm overslaan

Wordt slechts één van de accounts veelvuldig gebruikt dan kan het verplichte aanmeldscherm op den duur gaan irriteren. Gelukkig is het ook mogelijk het aanmeldscherm over te slaan zodat automatisch op het meest gebruikte account wordt ingelogd (ongeacht of dit account met een wachtwoord is beveiligd!). Log hiervoor in met het betreffende gebruikersaccount, zoek (met de zoekfunctie op de taakbalk) naar netplwiz, selecteer het account waarmee automatisch moet worden ingelogd, deactiveer de optie Gebruikers moeten een gebruikersnaam en wachtwoord opgeven om deze computer te kunnen gebruiken en klik op Toepassen. Vervolgens wordt het wachtwoord van het gebruikersaccount gevraagd (dit kan worden overgeslagen wanneer voor het lokale account geen wachtwoord was ingesteld). Nadat dit venster met de knop OK is bevestigd, wordt het gebruikersaccount voortaan automatisch aangemeld.

Aanmeldscherm overslaan met NETPLWIZ

TIP: Wilt u juist meer veiligheid? In het aanmeldingsscherm staan standaard alle gebruikersaccounts al vermeld, er is dus alleen nog een wachtwoord nodig om op een account in te loggen. Is het uit beveiligingsoogpunt gewenst dat naast het wachtwoord óók de gebruikersnaam moet worden opgegeven, dan kan dat via een registertweak worden ingesteld. Wijzig met de registereditor de registerwaarde DontDisplayLastUsername in 1 in de registersleutel: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

AUTOMATISCH INLOGGEN UITSCHAKELEN

Volgens de standaard instellingen wordt bij het opstarten van Windows automatisch op het laatst gebruikte account ingelogd. Dit is nogal onhandig wanneer de computer voor meerdere accounts wordt gebruikt: na het opstarten van Windows moet dan eerst worden uitgelogd voordat een ander account kan worden opgestart. Dit probleem zou op te lossen moeten zijn door met de registereditor in de registersleutel HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Authentication\LogonUI\UserSwitch de registerwaarde Enabled van 0 te wijzigen in 1. Deze wijziging wordt echter bij elke herstart van Windows weer ongedaan gemaakt.

Tot Microsoft met een oplossing komt, is dit euvel met de volgende workaround toch nog op te lossen: voer de registerwijziging uit zoals hiervoor beschreven en klik vervolgens op de registersleutel UserSwitch, optie Machtigingen, knop Geavanceerd. Klik eerst op de knop Overname uitschakelen en kies Converteer de overgenomen machtigingen voor dit object in expliciete machtigingen. Klik vervolgens op de link Wijzigen (bovenin het venster), ga naar het tekstvenster Geef de namen van de objecten op, typ de naam Administrators in, knop Namen controleren, knop OK. Activeer vervolgens de optie Eigenaar van onderliggende containers en objecten vervangen (bovenin het scherm) en bevestig met de knop Toepassen. Tot slot moeten de machtigingen van SYSTEM worden ingeperkt: selecteer SYSTEM, knop Bewerken, wijzig Type in Weigeren, klik op de link Geavanceerde machtigingen weergeven en deactiveer alle opties met de knop Alles wissen. Activeer vervolgens weer de optie Waarde instellen, bevestig de wijzigingen (tweemaal de knop OK) en ga akkoord met de Windows-beveiligingswaarschuwing (knop Ja).


 


Documenten en instellingen

Voor elk nieuw aangemaakt gebruikersaccount wordt in de map C:\Gebruikers een submap aangemaakt voor opslag van persoonlijke documenten en instellingen (wordt de map geopend in een opdrachtvenster dan blijkt deze in werkelijkheid C:\Users te heten, de oorsprong van deze naamswijziging zit hem in het feit dat de gehanteerde taal voor de gebruikersinterface naar keuze kan worden gewijzigd). De afbeelding laat zien hoe deze persoonlijke map Gebruikers er in de Windows Verkenner uitziet (let op: is het gebruikersaccount gekoppeld aan een Microsoft-account dan is de accountnaam afgekort en bewerkt waardoor deze niet altijd herkenbaar is). De gebruikersmappen krijgen automatisch een standaard mappenstructuur voor persoonlijke data, zoals Afbeeldingen, Bureaublad (met de icoontjes van het bureaublad), Contactpersonen, Documenten, Downloads, Favorieten (voor Internet Explorer), Muziek, OneDrive, Opgeslagen spellen, Video's, en nog een belangrijke map AppData met persoonlijke Windows- en software-instellingen. De opgeslagen data en instellingen zijn alleen van toepassing voor de betreffende gebruiker (hoewel ze bij een onbeveiligd account dan wel met een take ownership ook toegankelijk kunnen worden voor andere gebruikers).

Map C:\Gebruikers

Wordt op tabblad Beeld, knop Opties, tabblad Weergave de optie Beveiligde besturingssysteembestanden verbergen (aanbevolen) uitgevinkt dan blijken in de gebruikersmap ook nog een tiental ontoegankelijke, verborgen snelkoppelingen te staan. Deze hebben als enig doel oude programma's uit het Windows XP-tijdperk met een symbolische link automatisch naar de nieuwe locatie door te sturen (deze symbolische links geven bij aanklikken een foutmelding met de mededeling dat de toegang tot de locatie is geweigerd).

Persoonlijke bestanden scheiden van de systeembestanden

De gebruikersmappen met de persoonlijke bestanden (documenten, afbeeldingen, muziek, video's, e-mailarchief, contactpersonen, e.d.) worden dus op de Windows-partitie opgeslagen, midden tussen de systeembestanden van het besturingssysteem. Het mag duidelijk zijn dat dit niet de meest praktische opslaglocatie is (moet het systeem opnieuw worden geïnstalleerd dan is de kans groot dat persoonlijke bestanden verloren gaan). De persoonlijke bestanden kunnen beter worden gescheiden van de systeembestanden door ze op een andere locatie op te slaan, bij voorkeur op een aparte datapartitie.

Door op de datapartitie voor elk gebruikersaccount een eigen persoonlijke map aan te maken (en te voorzien van een duidelijke naam, bijvoorbeeld D:\Menno), kunnen de persoonlijke gegevens veel overzichtelijker worden ingedeeld. Het periodiek uitvoeren van een geautomatiseerde back-up van de persoonlijke gegevens wordt zo stukken eenvoudiger en omdat de datapartitie buiten schot blijft bij het herinstalleren van Windows (al dan niet met een systeemback-up), staan de persoonlijke gegevens hier relatief veilig. Een aparte datapartitie heeft dus grote voordelen, met name wanneer Windows niet meer wil opstarten!

Om dit te bewerkstelligen is het van groot belang dat de bestanden op de juiste manier worden verplaatst zodat Windows en extra geïnstalleerde software ook gelijk op de hoogte worden gebracht van de gewijzigde opslaglocatie. Elders op deze website staat uitgebreid beschreven hoe het verplaatsen van de persoonlijke bestanden in zijn werk gaat.

Gebruikersaccountbeheer en Als administrator uitvoeren

Gebruikersaccountbeheer voegt een extra beveiligingsschil voor zowel standaard als administratoraccounts toe: voor essentiële systeemwijzigingen wordt eerst goedkeuring gevraagd. Deze waarschuwingen kunnen via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen eventueel worden ingeperkt of zelfs uitgeschakeld (zie de pagina over Gebruikersaccountbeheer voor meer informatie).

Gebruikersaccountbeheer

Het klinkt tegenstrijdig maar ook administratoraccounts starten programma’s standaard op zonder de extra administratorrechten. Deze kunnen echter waar nodig worden geactiveerd door met rechts op een programma te klikken en te kiezen voor Als administrator uitvoeren. Moet een programma te allen tijde met administratorrechten opstarten dan kan dat worden ingesteld door met rechts op de snelkoppeling of het programma te klikken, kies voor Eigenschappen, tabblad Snelkoppeling, knop Geavanceerd en activeer de optie Als administrator uitvoeren.

Als administrator uitvoeren vanuit Start

‘Als administrator uitvoeren’ vanuit het startmenu (links) en de Windows Verkenner (rechts)

WAT TE DOEN ALS DE BEPERKTE RECHTEN TE BEPERKT ZIJN?

Het komt regelmatig voor dat een standaard gebruiker toepassingen (die aanpassingen willen maken in essentiële systeembestanden en/of registersleutels) niet kan uitvoeren omdat de rechten tè beperkt zijn. Het accounttype zou in dat geval (tijdelijk) gewijzigd kunnen worden in een administratoraccount, maar perfect is die oplossing natuurlijk niet! Een betere methode is het uitbreiden van de beheermogelijkheden van het gebruikersaccount. Met de gratis tool Process Monitor van Sysinternals (https://technet.microsoft.com/nl-nl/sysinternals/bb896645) kan worden achterhaald welke bestanden en/of registersleutels voor de betreffende toepassing de bottleneck vormen. Nadat in Process Monitor de opdracht Capture Events is gegeven, houdt deze een overzicht bij van alle aangevraagde bestanden en registersleutels.

Wanneer duidelijk is voor welke bestanden en/of registersleutels de beheerrechten ontbreken, kunnen deze met behulp van een administratoraccount aan het betreffende account worden toegewezen. Klik voor het aanpassen van de machtigingen op registerniveau met rechts op een registersleutel en kies voor Machtigingen. Door vervolgens voor het betreffende gebruikersaccount bij Volledig beheer de optie Toestaan te activeren (gebruik eventueel de knop Toevoegen wanneer de gebruikersnaam nog niet aanwezig is), krijgt deze voortaan permanent toestemming gebruik te maken van de betreffende registersleutel. Op vergelijkbare wijze kunnen de machtigingen op bestandsniveau (via het tabblad Beveiligen van de eigenschappen van een bestand of map) worden aangepast. Zie elders op deze website voor meer informatie over het oplossen van problemen met beheerrechten.


Problemen met gebruikersaccounts oplossen

Een gebruikersaccount kan niet worden gemaakt of verwijderd

Kan een bepaald gebruikersaccount niet worden gemaakt of verwijderd? Met behulp van het commando NET USER kan de wijziging alsnog worden uitgevoerd. Start via het Win-X menu de Opdrachtprompt (administrator) en geef het commando NET USER om een lijst van alle aangemaakte gebruikersaccounts op te roepen. Met het commando NET USER inlognaam /ADD wordt een gebruiker toegevoegd en met het commando NET USER inlognaam /DELETE wordt er een verwijderd. Vooral het laatste commando kan nog wel eens van pas komen. Het commando NET biedt overigens meer mogelijkheden, geef de commando's NET en NET HELP voor een overzicht.

Foutmelding ‘Gebruikersprofiel kan niet worden geladen’

Wordt bij het aanmelden van het gebruikersaccount de melding De service User Profile-service verhindert het aanmelden. Gebruikersprofiel kan niet worden geladen. getoond (en is het account dus ontoegankelijk), probeer dan eerst eens of Windows Systeemherstel uitkomst biedt. Herstart Windows hiervoor in de veilige modus (dat kan door de SHIFT-toets ingedrukt te houden en tegelijkertijd via de aan-/uitknop (rechts onderin) de optie Opnieuw opstarten te activeren, tegel Problemen oplossen, tegel Geavanceerde opties, tegel Opstartinstellingen, knop Opnieuw opstarten). Open vervolgens een nog werkend administratoraccount (is er geen werkend administratoraccount meer, activeer dan eerst het verborgen administratoraccount zoals hierna beschreven staat) en pas systeemherstel toe via het configuratiescherm, onderdeel Herstel.

TIP: Er is ook een alternatief: vervang de standaard verborgen systeemmap C:\Gebruikers\Default door de Default–map van een andere Windows 10 computer (zorg er dus eerst voor dat verborgen mappen zichtbaar zijn in de Windows Verkenner). Gebruik voor het kopiëren van de map Default een USB-stick die is geformatteerd in het bestandsformaat FAT32 om te voorkomen dat ook de machtigingen van de map worden overgenomen.

Het verborgen administrator account

Is er geen toegang tot het systeem meer omdat alle zelf aangemaakte administratoraccounts per ongeluk zijn verwijderd of omdat de wachtwoorden zijn vergeten? Geen nood, Windows is standaard voorzien van een verborgen administratoraccount met de naam Administrator. Dit account is als volgt buiten Windows om te activeren:

  1. Start de computer op vanaf een Windows 10-installatiemedium.
  2. Start bij het eerste scherm (voor het instellen van de taal en toetsenbordindeling) de opdrachtprompt. Dat kan met de toetscombinatie SHIFT-F10, of met de knop Volgende, optie Uw computer herstellen, tegel Problemen oplossen, tegel Geavanceerde opties, tegel Opdrachtprompt.
  3. Start de registereditor met het commando REGEDIT.
  4. Selecteer de registersleutel HKEY_LOCAL_MACHINE.
  5. Selecteer in de menubalk van de registereditor de opties Bestand (File), Component laden (Load Hive).
  6. Selecteer de partitie van de Windows-installatie (de schijfletter wijkt af van die in Windows).
  7. Open de map Windows\System32\config, selecteer het bestand SAM en klik op de knop Open.
  8. Geef in het venster Component laden (Load Hive) de naam ADMIN op.
  9. Navigeer naar de registersleutel HKLM\ADMIN\SAM\Domains\Account\Users\000001F4.
  10. Dubbelklik op de registerwaarde F om deze te kunnen wijzigen.
  11. Dubbelklik op de eerste waarde in de rij 0038 (8e rij) en wijzig (in de 2e kolom) de waarde 11 in 10 (of omgekeerd om het ingebouwde administratoraccount uit te schakelen).
  12. Sluit de registereditor, herstart Windows en wijzig vanuit het toegevoegde account Administrator het reeds aanwezige gebruikersaccount in een administratoraccount (of maak een nieuw administratoraccount aan).
  13. Tot slot kan het administratoraccount weer worden verborgen door in een opdrachtvenster met administratorrechten het commando NET USER ADMINISTRATOR /ACTIVE:NO te geven (vervang NO door YES om deze weer zichtbaar te maken).

TIP: Is het vergeten wachtwoord niet met het verborgen administratoraccount te wijzigen, lees dan verder op de pagina over opstartbare CD/DVD's hoe dit probleem kan worden omzeild door het wachtwoord blanco te maken.

 
 
 
 

© 2001-2017 - - SchoonePC - Rotterdam - The Netherlands