Gebruikersaccountbeheer (UAC) en problemen met beheerrechten

Deze pagina is onderdeel van het Windows 7 archief. Download eventueel ook het gratis SchoonePC e-boek voor Windows 7.

Via Gebruikersaccountbeheer (ook wel User Account Control (UAC) genoemd) worden de nodige beperkingen opgelegd zodat niet zomaar software kan worden geÔnstalleerd en/of uitgevoerd. Deze veiligheidsmaatregel moet voorkomen dat Windows besmet raakt met ongewenste, mogelijk schadelijke software. Hoewel Gebruikersaccountbeheer Windows aanzienlijk veiliger maakt, is het voor velen ook een grote bron van ergernis. Gebruikersaccountbeheer onderbreekt namelijk bij diverse (essentiŽle) systeemwijzigingen de werkzaamheden door het scherm en de openstaande programma's te blokkeren totdat al dan niet toestemming is verleend (zie afbeelding). Worden de meldingen echter achteloos weggeklikt dan krijgt malware vrij spel en is Gebruikersaccountbeheer nutteloos...

Gebruikersaccountbeheer

Instellingen Gebruikersaccountbeheer aanpassen

Volgens de standaard instellingen komt gebruikersaccountbeheer alleen in actie wanneer geÔnstalleerde programma's systeemwijzigingen willen doorvoeren. Op zich zijn deze instellingen prima, ware het niet dat het scherm 'op zwart gaat' zodra een melding verschijnt (dit gedimde beeldscherm wordt ook wel het beveiligd bureaublad genoemd). Wordt het blokkeren van het scherm als vervelend ervaren dan kan dat worden uitgeschakeld via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen door de schuifregelaar voor het waarschuwingsniveau een treetje lager te zetten. Gebruikersaccountbeheer kan ook helemaal worden uitgeschakeld door de schuifregelaar op Nooit een melding weergeven in te stellen. Dit is met name handig wanneer programma's regelmatig essentiŽle aanpassingen moeten kunnen aanbrengen, bijvoorbeeld tijdens een herinstallatie van Windows. Het uitschakelen van Gebruikersaccountbeheer geniet overigens niet de voorkeur aangezien dit ten koste gaat van de veiligheid.

Problemen met beperkte beheerrechten

De door Gebruikersaccountbeheer opgelegde beperkingen van de gebruikersrechten (lees- of schrijfrechten) zijn bedoeld om extra beveiliging te bieden tegen kwaadwillende software en onbedoelde handelingen van de gebruiker. Deze machtigingen kunnen echter ook vaak onbegrijpelijke foutmeldingen tijdens installatie of gebruik van vertrouwde software veroorzaken (zoals het niet kunnen installeren of opstarten van een programma, het niet kunnen opslaan van gegevens e.d.). Deze problemen worden veroorzaakt doordat de gebruikersrechten niet toestaan dat er met het betreffende gebruikersaccount een wijziging wordt aangebracht in een specifiek bestand en/of registerwaarde. Accounts met beperkte rechten (gebruikersaccounts) ondervinden wel eens vreemde foutmeldingen (zoals onderstaande melding bij het opslaan van een foto met het programma Paint Shop Pro), iets wat met administratoraccounts eigenlijk zelden voorkomt.

geen beheerrechten

Op basis van dergelijke vage foutmeldingen is het niet zo makkelijk te achterhalen dat het eigenlijk om beperkte schrijfrechten gaat. Problemen met de schrijfrechten doen zich nog wel eens voor nadat de persoonlijke bestanden van een gebruikersaccount naar een aparte datapartitie zijn verplaatst maar de gebruikersaccount (nog) niet beschikt over de juiste machtigingen (zie eventueel de pagina over het wijzigen van de opslaglocatie van persoonlijke bestanden en de problemen die zich daarbij kunnen voordoen).

Eenmalig of structureel probleem?

Om vast te stellen dat een probleem wordt veroorzaakt door te beperkte rechten, kan het betreffende programma eenmalig met administratorrechten worden gestart (klik met rechts op een snelkoppeling of programma en kies voor Als administrator uitvoeren). Is het probleem hiermee opgelost dan wordt het blijkbaar veroorzaakt door de beperkte beheerrechten. Sommige door beperkte gebruikersrechten veroorzaakte problemen zijn van eenmalige aard (bijvoorbeeld systeemwijzigingen die slechts eenmalig doorgevoerd hoeven te worden, zoals de registratie van een recent geÔnstalleerd softwarepakket). Is het probleem echter van structurele aard dan vraagt het om een structurele oplossing.

Er zijn twee manieren om problemen met de beheerrechten voor bestanden, mappen of registersleutels structureel op te lossen: door het uitvoerende programma standaard als administrator op te starten of door de machtigingen voor het probleemveroorzakende item aan te passen. Hoewel het met administratorrechten opstarten van programma's verreweg het eenvoudigst is toe te passen, is dat zeker niet de veiligste oplossing. Het verlaagt het beveiligingsniveau namelijk aanzienlijk waardoor mogelijk schade aan het systeem kan worden aangebracht.

Programma's met administratorrechten opstarten

Biedt het eenmalig met administratorrechten opstarten van de software een oplossing, dan is het een optie de betreffende software voortaan standaard met deze administratorrechten op te starten. Dit wordt vanaf het bureaublad ingesteld  via de Eigenschappen van het betreffende programma (tabblad Compatibiliteit, optie Dit programma als Administrator uitvoeren) of via de Eigenschappen van de snelkoppeling naar dit programma (tabblad Snelkoppeling, knop Geavanceerd, optie Als administrator uitvoeren). Gebruik deze procedure echter alleen bij vertrouwde programma's aangezien het beveiligingsniveau hiermee aanzienlijk wordt verlaagd!

TIP: Soms is zelfs het toewijzen van administratorrechten niet voldoende voor het kunnen doorvoeren van een systeemwijziging. Probeer het met administratorrechten opstarten van de software dan eens in combinatie met een tijdelijk uitgeschakeld Gebruikersaccountbeheer. Dit kan via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen. Deze methode wordt echter niet geadviseerd als structurele oplossing!

Machtigingen voor bestanden, mappen en/of registersleutels wijzigen

Een veilige (maar lastigere) manier om het probleem met de beheerrechten op te lossen, is het gebruikersaccount zelf te voorzien van beheerrechten (machtigingen) voor de bestanden, mappen en/of registersleutels waarin het programma wijzigingen wil doorvoeren. Hierdoor krijgt het programma geen beschikking over volledige beheerrechten en kan er dus ook geen 'misbruik' van de administratorrechten worden gemaakt. Het toekennen van machtigingen is niet zo lastig, de moeilijkheid zit hem in het bepalen van welke bestanden en/of registersleutels de machtigingen aangepast moet worden. Gebruik eventueel een tool als Process Monitor (van Sysinternals) wanneer het niet direct duidelijk is welke bestanden en/of registersleutels het probleem veroorzaken.

Is eenmaal bekend welke items vanwege de te beperkte rechten voor problemen zorgen dan kunnen de beheerrechten direct worden gewijzigd. Machtigingen worden aan een gebruiker toegekend door in te loggen met een administratoraccount en vervolgens in de Windows Verkenner met rechts op het bestand of de map te klikken en te kiezen voor Eigenschappen, tabblad Beveiliging. De makkelijkste oplossing is hier de groep Gebruikers de machtiging Volledig beheer te geven. Is het echter niet de bedoeling dat ook de andere gebruikers toegang krijgen tot de betreffende bestanden, voeg dan (via de knop Bewerken, knop Toevoegen) de naam van het gebruikersaccount toe (druk eventueel ter controle op de knop Namen controleren) en geef deze als enige de machtiging Volledig beheer. In dit voorbeeld wordt dat toegepast op het afbeeldingbestand 3.jpg dat de veroorzaker was van de getoonde foutmelding in Paint Shop Pro. Door de gehele map (of in dit geval de gehele partitie) waarin dit bestand staat te voorzien van deze machtiging, wordt het probleem voor alle onderliggende bestanden in ťťn keer opgelost.

rechten toekennen

Machtigingen voor het wijzigen van registersleutels (inclusief de onderliggende registerwaarden) worden op vergelijkbare wijze vanuit de registereditor aan een gebruiker toegekend door met rechts op de betreffende sleutel te klikken en via Machtigingen de beheerrechten te wijzigen.

LET OP: Machtigingen kunnen alleen via een gebruikersaccount met administratorrechten worden gewijzigd. Een administratoraccount beschikt overigens niet voor elke map of registersleutel standaard over beheerrechten. Wanneer een machtiging voor volledig beheer echter noodzakelijk is, kan een administratoraccount deze (in de meeste gevallen) wel aan zichzelf toewijzen.

'TAKE OWNERSHIP' TOEVOEGEN AAN CONTEXTMENU

Is het wijzigen van de machtigingen te ingewikkeld of te tijdrovend, dan kan de optie Take Ownership uitkomst bieden. Nadat deze optie is toegevoegd aan het contextmenu (dat verschijnt wanneer met rechts op een bestand of map wordt geklikt), kan het betreffende gebruikersaccount namelijk met slechts een paar klikken toegang krijgen tot vrijwel elke map of bestand. Het aan het contextmenu toevoegen gaat het makkelijkst door de inhoud van het registerbestand take_ownership.reg aan het register toe te voegen (pak het zip-bestand uit en dubbelklik op het registerbestand). Deze optie kan overigens ook eenvoudig met de tool Ultimate Windows Tweaker worden uitgevoerd (activeer beide opties Show 'Take Ownership' bij het onderdeel Additional Tweaks). In beide gevallen wordt de volgende registerwijziging doorgevoerd:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\runas]
@="Take Ownership"
"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="Take Ownership"
"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"


IS EEN MAP ONTOEGANKELIJK NA HERINSTALLATIE?

Het gebeurt regelmatig dat na het herinstalleren van het besturingssysteem geen toegang meer kan worden verkregen tot mappen of bestanden die daarvoor nog wel bereikbaar waren. Vaak wordt dan een hangslot weergegeven in het map-icoontje en/of wordt bij het openen de foutmelding U hebt momenteel geen toegang tot deze map getoond. Dit probleem ontstaat doordat het account (nog) geen toegangsrechten heeft. Dit probleem is op te lossen door als administrator beheerrechten toe te eigenen, bijvoorbeeld door gebruik te maken van het zojuist besproken Take Ownership.


WANNEER DE BESTANDEN GEBLOKKEERD ZIJN...

Lukt het niet een bepaald bestand te verwijderen of te verplaatsen omdat het door een proces bezet wordt gehouden? De boosdoener is in veel gevallen eenvoudig te achterhalen en te beŽindigen met de tool Process Explorer (download: www.microsoft.com). Klik in de menubalk van Process Explorer op Find, Find Handle or DLL en voer de naam van het bezette bestand in om de naam van het verantwoordelijke proces op te sporen. Dit proces kan vervolgens in het basisscherm worden beŽindigd door er met rechts op te klikken en te kiezen voor Kill Process.

TIP: In Windows wordt Windows Taakbeheer (toegankelijk met de toetscombinatie CTRL-SHIFT-ESC) standaard gebruikt voor het beheren van de processen. Gebruikt u liever Process Explorer als standaard beheerder, dan kan dat vanuit Process Explorer worden ingesteld via Options, Replace Task Manager.


© 2001-2018 - - SchoonePC - Rotterdam - Privacyverklaring