Gebruikersaccountbeheer en administratorrechten Windows 8.1

Deze pagina is onderdeel van het Windows 8.1 archief. Download eventueel ook het gratis SchoonePC e-boek voor Windows 8.1.

Via Gebruikersaccountbeheer (ook wel User Account Control (UAC) genoemd) worden beperkingen opgelegd zodat essentiŽle systeemaanpassingen en installatie van software niet zomaar kunnen worden uitgevoerd. Deze veiligheidsmaatregel moet voorkomen dat Windows besmet raakt met ongewenste, mogelijk schadelijke software. Hoewel Gebruikersaccountbeheer Windows aanzienlijk veiliger maakt, is het voor velen ook een grote bron van ergernis. Gebruikersaccountbeheer onderbreekt namelijk bij diverse (essentiŽle) systeemwijzigingen de werkzaamheden door het scherm en de openstaande programma's te blokkeren totdat al dan niet toestemming is verleend. Worden de meldingen echter achteloos weggeklikt dan krijgt malware vrij spel en is Gebruikersaccountbeheer nutteloos...

Instellingen Gebruikersaccountbeheer aanpassen

Volgens de standaard instellingen komt Gebruikersaccountbeheer alleen in actie wanneer programma's systeemwijzigingen willen doorvoeren. Op zich zijn deze instellingen prima, ware het niet dat het scherm 'op zwart gaat' zodra een melding verschijnt (dit gedimde beeldscherm wordt ook wel het beveiligd bureaublad genoemd). Wordt het blokkeren van het scherm als vervelend ervaren dan kan dat worden uitgeschakeld via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen door de schuifregelaar voor het waarschuwingsniveau een treetje lager te zetten. Gebruikersaccountbeheer kan ook helemaal worden uitgeschakeld door de schuifregelaar op Nooit een melding weergeven in te stellen. Het uitschakelen van Gebruikersaccountbeheer geniet echter niet de voorkeur aangezien dit ten koste gaat van de veiligheid, en tevens problemen kan veroorzaken bij het openen van apps.

Problemen met beperkte beheerrechten

De door Gebruikersaccountbeheer opgelegde beperkingen van de gebruikersrechten (lees- of schrijfrechten) zijn bedoeld om extra beveiliging te bieden tegen kwaadwillende software en onbedoelde handelingen van de gebruiker. Deze machtigingen kunnen echter ook vaak onbegrijpelijke foutmeldingen tijdens installatie of gebruik van vertrouwde software veroorzaken (zoals het niet kunnen installeren of opstarten van een programma, het niet kunnen opslaan van gegevens e.d.). Deze problemen worden veroorzaakt doordat de gebruikersrechten niet toestaan dat er met het betreffende gebruikersaccount een wijziging wordt aangebracht in een specifiek bestand en/of registerwaarde. Accounts met beperkte rechten (gebruikersaccounts) ondervinden wel eens vreemde foutmeldingen (zoals onderstaande melding bij het opslaan van een foto met het programma Paint Shop Pro), iets wat met administratoraccounts eigenlijk zelden voorkomt.

Op basis van dergelijke vage foutmeldingen is het niet zo makkelijk te achterhalen dat het eigenlijk om beperkte schrijfrechten gaat. Problemen met de schrijfrechten doen zich nog wel eens voor nadat de persoonlijke bestanden van het gebruikersaccount naar een aparte datapartitie zijn verplaatst maar de gebruikersaccount (nog) niet beschikt over de juiste machtigingen (zie de pagina over het wijzigen van de opslaglocatie van persoonlijke bestanden en de problemen die zich daarbij kunnen voordoen).

Eenmalig of structureel probleem?

Om vast te stellen dat een probleem wordt veroorzaakt door te beperkte rechten, kan het betreffende programma eenmalig met administratorrechten worden gestart (klik met rechts op een tegel, snelkoppeling of programma en kies Als administrator uitvoeren). Is het probleem hiermee opgelost dan ligt de oorzaak blijkbaar bij de beperkte beheerrechten. Sommige door beperkte gebruikersrechten veroorzaakte problemen zijn van eenmalige aard (bijvoorbeeld systeemwijzigingen die slechts eenmalig doorgevoerd hoeven te worden, zoals de registratie van een recent geÔnstalleerd softwarepakket). Betreft het echter een frequent terugkerend probleem dan vraagt het om een structurele oplossing. Er zijn twee manieren om problemen met de beheerrechten voor bestanden, mappen of registersleutels structureel op te lossen: door het uitvoerende programma standaard als administrator op te laten starten of door de machtigingen voor het probleemveroorzakende item (een map, bestand of registersleutel) aan te passen.

Programma's met administratorrechten opstarten

Biedt het eenmalig met administratorrechten opstarten van de software een oplossing, dan is het een optie de betreffende software voortaan standaard met deze administratorrechten op te starten. Dit wordt bij bureaubladprogramma's ingesteld via de Eigenschappen van het betreffende programma (tabblad Compatibiliteit, optie Dit programma als Administrator uitvoeren) of via de Eigenschappen van de snelkoppeling naar dit programma (tabblad Snelkoppeling, knop Geavanceerd, optie Als administrator uitvoeren). Hoewel het met administratorrechten opstarten van programma's eenvoudig is toe te passen, is dat zeker niet de veiligste oplossing. Gebruik deze procedure daarom alleen bij vertrouwde programma's!

TIP: Soms is zelfs het toewijzen van administratorrechten niet voldoende voor het kunnen doorvoeren van een systeemwijziging. Probeer het met administratorrechten opstarten van de software dan eens in combinatie met een tijdelijk uitgeschakeld Gebruikersaccountbeheer. Dit kan via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen. Deze methode wordt echter niet geadviseerd als structurele oplossing!

Machtigingen voor bestanden, mappen en/of registersleutels wijzigen

Een veilige (maar lastigere) manier om het probleem met de beheerrechten op te lossen, is het gebruikersaccount zelf te voorzien van beheerrechten (machtigingen) voor de bestanden, mappen en/of registersleutels waarin het programma wijzigingen wil doorvoeren. Hierdoor krijgt het programma geen beschikking over volledige beheerrechten en kan er dus ook geen 'misbruik' van de administratorrechten worden gemaakt. Het toekennen van machtigingen is niet zo lastig, de moeilijkheid zit hem in het bepalen van welke bestanden en/of registersleutels de machtigingen aangepast moet worden. Gebruik eventueel een tool als Process Monitor van Sysinternals wanneer het niet direct duidelijk is welke bestanden en/of registersleutels het probleem veroorzaken.

Is eenmaal bekend welke items vanwege de te beperkte rechten voor problemen zorgen dan kunnen de beheerrechten direct worden gewijzigd. Machtigingen worden aan een gebruiker toegekend door in te loggen met een administratoraccount en vervolgens in de Windows Verkenner met rechts op het bestand of de map te klikken en te kiezen voor Eigenschappen, tabblad Beveiliging. De makkelijkste oplossing is hier de groep Gebruikers via de knop Bewerken de machtiging Volledig beheer te geven. Is het echter niet de bedoeling dat ook de andere gebruikers toegang krijgen tot de betreffende bestanden, voeg dan de naam van het gebruikersaccount toe als eigenaar (via de knop Bewerken, knop Toevoegen of anders via de geavanceerde instellingen, druk eventueel ter controle op de knop Namen controleren) en geef deze als enige gebruiker de machtiging Volledig beheer. Om als enige gebruiker beheerrechten te hebben moeten de andere groepen en gebruikers worden verwijderd (via tabblad Beveiliging, knop Geavanceerd, knop Overname uitschakelen, optie Verwijder alle overgenomen machtigingen van dit object). In dit voorbeeld wordt dat toegepast op het afbeeldingbestand 3.jpg dat de veroorzaker was van de getoonde foutmelding in Paint Shop Pro. Door de gehele map (of in dit geval de gehele partitie) waarin dit bestand staat te voorzien van deze machtiging, wordt het probleem voor alle onderliggende bestanden in ťťn keer opgelost.

Machtigingen voor het wijzigen van registersleutels (inclusief de onderliggende registerwaarden) worden op vergelijkbare wijze vanuit de registereditor aan een gebruiker toegekend door met rechts op de betreffende sleutel te klikken en via Machtigingen de beheerrechten te wijzigen.

LET OP: Machtigingen kunnen alleen via een gebruikersaccount met administratorrechten worden gewijzigd. Een administratoraccount beschikt overigens niet voor elke map of registersleutel standaard over beheerrechten. Wanneer een machtiging voor volledig beheer echter noodzakelijk is, kan een administratoraccount deze (in de meeste gevallen) wel aan zichzelf toewijzen.

'TAKE OWNERSHIP' TOEVOEGEN AAN CONTEXTMENU

Is het wijzigen van de machtigingen te ingewikkeld of te tijdrovend, dan kan de optie Take Ownership uitkomst bieden. Nadat deze optie is toegevoegd aan het contextmenu (dat verschijnt wanneer met rechts op een bestand of map wordt geklikt), kan het betreffende gebruikersaccount namelijk met slechts een paar klikken toegang krijgen tot vrijwel elke map of bestand. Het aan het contextmenu toevoegen gaat het makkelijkst door de inhoud van het registerbestand take_ ownership.reg (download: take_ownership.zip, pak het zip-bestand uit en dubbelklik op het registerbestand) aan het register toe te voegen. Deze optie kan overigens ook eenvoudig met de tool Ultimate Windows Tweaker (download: www.thewindowsclub.com/ultimate-windows-tweaker-3-windows-8) worden uitgevoerd (activeer bij het onderdeel Context Menu, tabblad File Explorer de optie Add 'Take Ownership' Option To Files And Folders).


IS EEN MAP ONTOEGANKELIJK NA HERINSTALLATIE?

Het gebeurt regelmatig dat na het herinstalleren van het besturingssysteem geen toegang meer kan worden verkregen tot mappen of bestanden die daarvoor nog wel bereikbaar waren. Vaak wordt dan een hangslot weergegeven in het map-icoontje en/of wordt bij het openen de foutmelding U hebt momenteel geen toegang tot deze map getoond. Dit probleem ontstaat doordat het account (nog) geen toegangsrechten heeft. Dit probleem is op te lossen door als administrator beheerrechten toe te eigenen, bijvoorbeeld door gebruik te maken van het zojuist besproken Take Ownership.


 


WANNEER DE BESTANDEN GEBLOKKEERD ZIJN...

Lukt het niet een bepaald bestand te verwijderen of te verplaatsen omdat het door een proces bezet wordt gehouden? De boosdoener is in veel gevallen eenvoudig te achterhalen en te beŽindigen met de tool Process Explorer van Sysinternals (download: https://docs.microsoft.com/nl-nl/sysinternals/downloads/process-explorer). Klik in de menubalk van Process Explorer op Find, Find Handle or DLL en voer de naam van het bezette bestand in om de naam van het verantwoordelijke proces op te sporen. Dit proces kan vervolgens in het basisscherm worden beŽindigd door er met rechts op te klikken en te kiezen voor Kill Process.

Als alternatief kan een geblokkeerd bestand ook altijd nog worden vrijgegeven en verwijderd met tools als FileASSASSIN (download: www.malwarebytes.org/fileassassin), IObit Unlocker (download: www.iobit.com/nl/iobit-unlocker.php), UnLock IT (download: www.emcosoftware.com/unlock-it) en MoveOnBoot (download: www.emcosoftware.com/move-on-boot).


© 2001-2019 - - SchoonePC - Rotterdam - Privacyverklaring