Om veiligheidsredenen is het zowel thuis als in bedrijfsnetwerken zinvol om niet te werken met een identifier op de PC die lid is van de groep van lokale beheerders. Een aanval vanaf het internet leidt dan meestal slechts tot geringe schade, omdat een hacker of een geïnfiltreerd virus alleen het profiel van de ingelogde gebruiker kan manipuleren, maar niet het besturingssysteem of de geïnstalleerde toepassingen. In bedrijfsnetwerken moet ook worden voorkomen dat gebruikers naar believen andere toepassingen kunnen installeren of de instellingen van het besturingssysteem kunnen manipuleren.
Vooral voor Windows XP en Windows 2000 is op noadmin.de een oplossing te vinden voor veel toepassingen waarvan de uitvoering onder een niet-beheerder-ID problemen oplevert. Sommige toepassingen draaien echter alleen met beheerdersrechten, of het is te tijdrovend om naar een oplossing te zoeken en deze op veel clients in het netwerk te implementeren. Als u bent ingelogd als gewone gebruiker, kunt u met de rechtermuisknop op de bijbehorende snelkoppeling in het startmenu klikken en de opdracht “Uitvoeren als…” selecteren om de toepassing als beheerder te starten. Deze stap wordt vaak vergeten – en vooral in netwerken waar de domeingebruikers alleen met eenvoudige gebruikersrechten werken, is het omslachtig om aan alle gebruikers uit te leggen voor welke toepassingen u eerst met de rechtermuisknop op de snelkoppeling moet klikken en de opdracht “Uitvoeren als…” moet selecteren om de toepassing zonder fouten met uitgebreide rechten te starten. U kunt er echter voor zorgen dat wanneer u op bepaalde snelkoppelingen klikt, eerst automatisch het venster “Uitvoeren als” wordt geopend:
Log in als beheerder, open de eigenschappen van de snelkoppeling van deze toepassing in het startmenu en klik op de knop “Geavanceerd…” in het tabblad “Snelkoppeling”. Selecteer in het geopende venster de optie “Uitvoeren onder andere credentials”.
Figuur 1: Uitvoeren als… |
Als nu op de snelkoppeling wordt geklikt, wordt direct het venster “Uitvoeren als” geopend, waarin de gebruiker het beheerderswachtwoord moet invoeren.
Afbeelding 2: …gebruikersgegevens |
Inhoudsopgave
Systeemcontrolecomponenten starten als niet-beheerder
Geen probleem onder Windows Vista
Als u onder Windows Vista een onderdeel van het configuratiescherm oproept waarvoor u beheerdersrechten nodig hebt, wordt automatisch de gebruikersaccountbesturing gestart waaronder u het beheerderswachtwoord kunt invoeren. Start bijvoorbeeld de component “Gebruikersaccounts” en klik op “Andere accounts beheren” om dit te testen.
U kunt dit standaardgedrag overigens wijzigen via een groepsbeleid: Start hiertoe “Configuratiescherm – Administratieve hulpmiddelen – Lokaal beveiligingsbeleid” en open onder “Beveiligingsopties – Gebruikersaccountbeheer” het beleid “Opheffen verzoekgedrag voor standaardgebruikers”. Als u hier de optie “Vragen om aanmeldingsgegevens” wijzigt in “Verhoogingsverzoeken automatisch afwijzen”, krijgt een niet-beheerder voortaan bij het aanklikken van overeenkomstige onderdelen van het configuratiescherm de melding “Dit programma is geblokkeerd door een groepsbeleid”.
Overigens kunt u ook via “Start – Uitvoeren” het commando “gpedit.msc” invoeren en zo de groepsbeleidobjecteditor openen. Daar moet u eerst “Computerconfiguratie – Windows-instellingen – Beveiligingsinstellingen – Lokaal beleid” openen om bij het hierboven beschreven beleid “Beveiligingsopties – Gebruikersaccountbeheer – “Opheffen verzoekgedrag voor standaardgebruikers” te komen.
Onder Windows XP/2000 ook mogelijk
Onder Windows XP en Windows 2000 is het mogelijk om alle onderdelen van het configuratiescherm te starten, maar de velden zijn grijs gemaakt en kunnen niet worden gewijzigd als niet-beheerder. Als u met de rechtermuisknop op het configuratiescherm in het startmenu of op afzonderlijke onderdelen in het configuratiescherm klikt, zult u merken dat deze geen eigenschappen hebben die kunnen worden gewijzigd. Hoewel u een nieuwe snelkoppeling kunt maken met als doel “%windir%system32control.exe” om het hele bedieningspaneel te starten en vervolgens de eigenschappen ervan te wijzigen, start het bedieningspaneel niet volgens de hierboven beschreven procedure als u niet bent aangemeld als beheerder.
Er is echter de volgende mogelijkheid om afzonderlijke onderdelen van het bedieningspaneel te starten met beheerdersrechten. Maak hiervoor een nieuwe snelkoppeling en geef het bijbehorende CPL-bestand op, bijvoorbeeld %windir%system32\sysdm.cpl, om de systeemcomponent te starten. Zodra de snelkoppeling is gemaakt, opent u de eigenschappen ervan en selecteert u eerst een gedenkwaardig symbool voor de snelkoppeling in het tabblad “Snelkoppeling” via de knop “Ander symbool…”. Gebruik de knop “Geavanceerd…” om de optie “Uitvoeren onder verschillende inloggegevens” te activeren. Het is ook belangrijk om in het tabblad “Beveiliging” de beveiligingsgroep “Gebruiker” toe te voegen, of tenminste de gebruikers-ID van de gebruiker die later de wijzigingen in het configuratiescherm mag aanbrengen.
Figuur 3: Beveiligingsinstellingen |
Verplaats vervolgens de nieuwe snelkoppeling onder Windows XP naar “C:\Documents and Settings\All Users\Startmenu” of naar “C:\Documents and Settings\All Users\Desktop”. Onder Windows Vista heet de map “C:\Alle gebruikers” nu “C:\Alle gebruikers”.
Hieronder volgt een lijst van enkele CPL-bestanden en hun betekenis onder Windows XP en Windows Vista:
ACCESS.CPL Toegankelijkheid (alleen Windows XP)
APPWIZ.CPL Software
DESK.CPL Beeldscherm
FIREWALL.CPL Windows Firewall
HDWWIZ.CPL Hardware Wizard
INETCPL.CPL Internet instellingen
INTL.CPL Regio- en taalopties
JOY.CPL Spelbesturing
MAIN.CPL Muis eigenschappen
MMSYS.CPL Geluiden en audioapparaten
NCPA.CPL Netwerkverbindingen
NETSETUP.CPL Wizard netwerkinstallatie (alleen Windows XP)
NUSRMGR.CPL Gebruikersaccounts (alleen Windows XP)
ODBCCP32.CPL ODBC-gegevensbronbeheerder
POWERCFG.CPL Stroomopties
STICPL.CPL Scanner- en camera-eigenschappen
SYSDM.CPL Systeemeigenschappen
TABLETPC.CPL Pen en invoerapparaten (alleen Windows Vista)
TELEPHON.CPL onder Windows XP: telefoon- en modemopties, onder Windows Vista: locatie-informatie
TIMEDATE.CPL Datum/tijd eigenschappen
WSCUI.CPL Windows Beveiligingscentrum
Zodat de gebruiker niet aan de Helpdesk hoeft te vragen wat het beheerderswachtwoord is, kunt u de snelkoppeling een andere naam geven: Bijvoorbeeld, hernoem de snelkoppeling “Systeem” naar “Start systeem als beheerder met wachtwoord F+4g#3” of korter “Systeembeheerder wachtwoord F+4g#3”. U kunt ook op deze manier te werk gaan om het gebruikers gemakkelijker te maken toepassingen administratief te starten die anders niet zonder fouten zouden draaien.
Beveiligingsproblemen in een domein
Om veiligheidsredenen is het natuurlijk problematisch om gebruikers in een Windows-domein het lokale beheerderswachtwoord te geven. Wat moet dan voorkomen dat de domeingebruiker steeds als beheerder wordt aangemeld en willekeurige toepassingen installeert in plaats van genoegen te nemen met de beperkingen van een identificatie die geen lid is van de lokale beheerdersgroep?
Een door alle gebruikers ondertekende verklaring kan gebruikers echter verbieden ongeoorloofde toepassingen te installeren of het systeem op enigerlei wijze te manipuleren. Een overtreding kan dan leiden tot een waarschuwing of beëindiging. De lokale beheerder is ook geen lid van het domein en heeft geen toegang tot servers en hun diensten (e-mailsysteem, netwerkprinter, group directory, sjablonen voor bedrijfsdocumenten, enz.) Productief werk is dus eenvoudigweg niet mogelijk onder de administrator ID, waardoor gebruikers gedwongen zijn in te loggen onder hun domain user ID.
Vooral in kleinere netwerken, bijvoorbeeld onder Microsoft Small Business Server, zijn er vaak alleen al uit kostenoverwegingen geen systeembeheerders die onmiddellijk actief kunnen worden als bepaalde toepassingen niet zonder fouten draaien onder eenvoudige gebruikersrechten of als systeeminstellingen ad hoc moeten worden gewijzigd om zinvol verder te kunnen werken. In deze omgeving is het zeker een beter alternatief om de gebruiker het lokale beheerderswachtwoord te geven, zodat hij of zij specifieke toepassingen kan starten met uitgebreide rechten volgens de hierboven beschreven methode, in plaats van de gebruikers-ID op te nemen in de groep van lokale beheerders en de gebruiker dus over de hele linie met beheerdersrechten te laten werken.
Speciale kenmerken van de Windows Vista gebruikerscontrole
Scriptverhoging PowerToys voor Windows Vista
In een artikel presenteert Michael Murgolo, senior infrastructuurconsultant voor Microsoft Consulting Services, enkele Script Elevation PowerToys die hij heeft gemaakt om beperkingen te ondervangen die worden veroorzaakt door User Account Control bij het uitvoeren van scripts.
De elevate tool kan worden gebruikt om toepassingen te starten die de gebruiker vragen de gebruikersrechten te verhogen via een opdrachtregel, via een script of via het dialoogvenster Uitvoeren. Open bijvoorbeeld met het volgende commando het bestand “win.in” na de elevate prompt in de editor: elevate notepad c:\WindowsWin.ini
Voor de meeste Windows scripttypes is er geen optie “Uitvoeren als administrator” wanneer je met de rechtermuisknop op het bestand klikt in Verkenner. De PowerToys Elevate HTML-toepassing, Elevate Windows PowerShell Script en Elevate WSH Script voegen de optie “Uitvoeren als administrator” toe aan het contextmenu van de Verkenner voor respectievelijk HTA’s, Windows PowerShell en Windows Script Host-bestandstypen.
De tool ElevateMSI.inf kloont de standaardacties voor Windows Installer pakketten (msi bestanden) en bijbehorende patch bestanden (msp bestanden) zodat de context menu optie “Installeren als Administrator” beschikbaar is voor pakketten en de optie “Patch toepassen als Administrator” voor patches.
Andere gratis tools die in het artikel worden gepresenteerd zijn CMD Prompt Here as Administrator en PowerShell Prompt Here as Administrator.
U kunt het artikel hier vinden.
Alle PowerToys in het artikel zijn te vinden in de downloadzone voor code op: technetmagazine .com/code07.aspx
Lees ook de blogpost Scripting Elevation op Vista
Gebruikerscontrole
Maar ook als u individuele gebruikers of een speciale Active Directory-beveiligingsgroep van een domein toevoegt aan de groep van lokale beheerders, kunt u hun rechten weer beperken, bijvoorbeeld met Gebruikersbeheer. Deze shareware draait onder Windows 2000, XP, Vista, 2008 en Windows 7 en maakt het mogelijk om in het systeem diverse beperkingen in te stellen voor gebruikers. Met een softwarefilter kan worden bepaald welke programma’s de gebruiker wel of niet mag draaien. Er is onder meer een websitefilter, internetfilter en desktopbeveiliging. Meer informatie vindt u op WinTotal.
Op WinTotal vindt u al enkele tips over de speciale functies van Windows Vista’s User Account Control (UAC):
Beheerdersaccount activeren onder Vista
Het artikel beschrijft het verschil tussen echte en beperkte beheerders en laat zien hoe u de echte beheerder, die standaard is uitgeschakeld, kunt activeren.
Als u de UAC voor de beperkte beheerders wilt uitschakelen, lees dan het artikel Gebruikersaccountbeheer uitschakelen of bewerken.
User Account Control uitschakelen en opnieuw inschakelen
Het artikel toont verschillende manieren om User Account Control uit en weer in te schakelen.
De freeware TweakUAC kan ook gebruikt worden om User Account Control uit te schakelen, maar na het lezen van bovenstaand artikel heb je dergelijke tools niet echt nodig.
Als u meer wilt weten over hoe User Account Control werkt, kunt u verschillende artikelen vinden op de Microsoft-webforums:
- User Account Control van Windows Vista
- Met User Account Control zijn programma’s zonder beheerdersrechten geen droom meer
- User Account Control voor IT-professionals
- Windows Vista voor ontwikkelaars: Vereisten voor de ontwikkeling van Windows Vista-toepassingen voor gebruikersaccountbeheer