Windows 10 administrator account gebruiken

Marco den Teuling14 januari, 2019• min. leestijd

Werken met een beperkt account is veiliger, maar soms is het handiger of zelfs nodig om een Windows 10 administrator account te gebruiken. We hebben een aantal vragen en antwoorden verzameld rond het gebruik van een Windows 10 administrator account.

Ben ik nou administrator of niet?

Ik heb in verschillende systeemmappen geen schrijftoegang, hoewel mijn gebruikersaccount wel lid is van de groep Administrators. Hoe komt dat?

Dat komt door het Gebruikersaccountbeheer. In het Engels heet dit ‘User Account Control’ en de bijbehorende afkorting UAC kom je dan ook vaak tegen als het over dit onderwerp gaat. UAC zorgt ervoor dat zelfs bij een account met administratorrechten elk proces alleen met beperkte rechten draait.

Om een programma zodanig te starten dat het wel met beheerdersrechten werkt, moet je er met de rechtermuisknop op klikken en in het snelmenu ‘Als administrator uitvoeren’ selecteren. Als administrator hoef je bij de bevestigingsvensters van Gebruikersaccountbeheer alleen op ‘Ja’ te klikken. Gebruikers die geen administratorrechten hebben moeten de naam en het wachtwoord van een administratoraccount invoeren.

Windows 10 administrator programma starten als

Ook als je een account gebruikt met administratorrechten, starten programma’s normaliter met beperkte rechten. Als een programma echt administratorrechten nodig heeft, regel je dat via het snelmenu.

Het nut van UAC

Waar is Gebruikersaccountbeheer nou eigenlijk goed voor?

Er wordt expliciet toestemming van de gebruiker gevraagd als een programma probeert te starten met administratorrechten of iets wil wijzigen aan het systeem waar die rechten voor nodig zijn. Het dient als een soort waarschuwingsmechanisme. Dat kan irriteren, zeker als je zelf degene bent die een programma wilt starten. Maar het is wel zinvol als zo’n vraag opeens vanuit het niets verschijnt. Dan weet je dat er misschien iets verkeerd zit.

Zo goed beschermt UAC

Zorgt Gebruikersaccountbeheer wel voor een goede bescherming?

Nee, in de verste verte niet. UAC kan je wel waarschuwen als een proces zichzelf extra rechten probeert te verschaffen, maar dat is het dan ook.

Het kan dus hooguit een onderdeeltje van een veiligheidsconcept zijn. Windows is helaas echter zo lek als een mandje, omdat malware zichzelf ook zonder administratorrechten in een draaiend systeem kan nestelen, zoals we eerder in c’t magazine beschreven.

Dat kun je alleen verhinderen als je het starten van ongewenste programma’s onmogelijk maakt, bijvoorbeeld met de c’t-tool Restric’tor. Toegangsrechten helpen ook niet als een aanvaller fysieke toegang tot je pc heeft. In dat geval kun je je gegevens alleen beschermen door ze te versleutelen. Een overzicht van welke beschermingsmaatregelen nu eigenlijk waartegen helpen vind je in c’t magazine.

Welke beveiligingsmaatregel waartegen helpt lees je in c't jan-feb/2018

Bestel nu

UAC gekraakt?

Ik heb gehoord dat malware erin is geslaagd om Gebruikersaccountbeheer te omzeilen. Klopt dat?

Ja en nee. Voor het oorspronkelijke Gebruikersaccountbeheer zoals dat in Vista zat, zijn geen lekken bekend. Door al het geklaag van gebruikers over de vele keren ‘Uw toestemming is nodig …’ heeft Microsoft het mechanisme vanaf Windows 7 afgezwakt. Gebruikers worden niet meer in elke situatie om toestemming gevraagd, maar wel in de meeste gevallen. Er zijn enkele uitzonderingen, zoals voor Eventvwr.exe, het systeemprogramma voor logboekgebeurtenissen. Dat start Windows gewoon met administratorrechten. Juist dat soort uitzonderingen kunnen door malware met succes worden misbruikt. Bij Logboeken wordt er bijvoorbeeld een geïnfecteerd *.msc-bestand gebruikt.

Je kunt dat veiligheidsrisico echter makkelijk dichten. Druk op de Windows-toets, typ de drie letters ‘UAC’ in en druk op Enter. Schuif in het dialoogvenster de regelaar helemaal naar boven. UAC beschermt dan net zo goed als bij Vista. Je krijgt gelukkig toch iets minder vragen, onder andere omdat Microsoft de extra herhalingen heeft weggelaten (‘Doorgaan’, ‘Toch doorgaan’, ‘Uw toestemming is nodig om te kunnen doorgaan’).

Gebruiker in plaats van administrator

Vanaf Windows XP heb ik mezelf aangeleerd om voor de veiligheid niet zelf een administratoraccount te gebruiken, maar alleen te werken vanuit een account met beperkte rechten, wat dankzij het c’t-script MaakMijAdmin.cmd goed te doen was. Is dat met Gebruikersaccountbeheer nog steeds zinvol?

Bespaar jezelf de moeite. Het kan geen kwaad, maar als je de UAC-schuifregelaar zo hoog mogelijk hebt ingesteld, gedraagt een administratoraccount zich vergelijkbaar met een gewoon account met beperkte rechten.

Als je verhoogde toegangsrechten moet hebben, gaat dat alleen veel makkelijker omdat je enkel op een knop hoeft te klikken.

Wachtwoord of Ja?

Gebruikersaccountbeheer wil bij een vraag om bevestiging alleen weten of een gebruiker toestemt. Zou het niet veel veiliger zijn als in plaats daarvan naar een wachtwoord wordt gevraagd?

Als een gebruiker zijn pc toch al als enige gebruikt, is steeds laten intypen van het wachtwoord zelfs minder veilig. Een keylogger kan de invoer wel niet onderscheppen omdat dat in een aparte afgeschermde modus gebeurt (‘secure desktop’), maar malware kan het uiterlijk van het dialoogvenster nabootsen.

Als de gebruiker in het nepvenster dan zijn wachtwoord zou intypen, heeft de malware uiteindelijk gewonnen. Met het laten aanklikken van een knop kan malware echter niets.

Doorlezen is gratis, maar eerst even dit:

Dit artikel is met grote zorg samengesteld door de redactie van c’t magazine – het meest toonaangevende computertijdschrift van Nederland en België. Met zeer uitgebreide tests en praktische workshops biedt c’t de diepgang die je nergens online vindt.

Bekijk de abonnementen Lees eerst verder

Administratortoetsencombinatie

Kan ik programma’s alleen starten met verhoogde toegangsrechten door er met rechts op te klikken en ‘Als administrator uitvoeren’ in het snelmenu te kiezen, of kan dat ook anders?

Een alternatief is het indrukken van de toetsencombinatie Ctrl+Alt terwijl je dubbelklikt op het programmapictogram. Dat werkt ook voor programma’s die zijn vastgemaakt aan de taakbalk. Als het pictogram al is geselecteerd, kun je de combinatie Ctrl+Alt+Enter gebruiken.

Dat werkt bijna overal, dus niet alleen in het startmenu, maar ook bij resultaten van zoekacties via het startmenu en op het bureaublad. De enige uitzondering is het dialoogvenster Uitvoeren, dat je oproept met Windows+R. Waarom het daar niet werkt, is bij ons niet bekend.

Verkenner starten als administrator

Ik heb Verkenner via het snelmenu gestart als administrator, maar toch mag ik niet schrijven in systeemmappen.

Je kunt via het snelmenu programma’s alleen met verhoogde rechten starten als ze op dat moment nog niet actief zijn. Verkenner is echter al actief als shell (bureaublad, startmenu, taakbalk), maar dan met beperkte toegangsrechten.

Als je Verkenner zogenaamd als administrator start, open je in werkelijkheid alleen een extra venster van het actieve proces.

Snel even als administrator

Aangezien ik Verkenner niet even snel als administrator kan starten, hoe kan ik dan toch een bestand aanmaken in de Windows-map?

Als het om eenvoudige handelingen gaat, kun je als noodoplossing uit de voeten met het Openen-dialoogvenster van een programma dat je als administrator gestart hebt, bijvoorbeeld Kladblok. Wijzig in dat venster het bestandsfilter van ‘Tekstdocumenten (*.txt)’ in ‘Alle bestanden’.

Bewerkingen als kopiëren, knippen, plakken en hernoemen kun je uitvoeren via het snelmenu. De gebruikelijke toetsencombinaties (zoals Ctrl+V) werken ook.

Windows 10 administrator bestand map Verkenner

Het Openen-venster van een als administrator gestart Kladblok is een noodmiddel om even iets met administratorrechten te doen wat via Verkenner niet lukt.

Administrator zonder rechten

Mijn account is lid van de groep administrators en ik heb als test UAC een keer uitgeschakeld, maar toch waren er toen nog mappen op mijn schijf waar ik niet in kon kijken. Is mijn account misschien verkeerd geconfigureerd?

Hier steekt een wijdverbreid misverstand de kop op: dat je administrator bent betekent nog niet dat je ook altijd overal toegangsrechten hebt. Het betekent alleen dat je jezelf die rechten kunt toe-eigenen.

In de praktijk levert dat wel dezelfde mogelijkheden op. Als administrator kun je zelfs bepaalde rechten ontnemen aan je account, bijvoorbeeld om bestanden en mappen te beschermen tegen abusievelijke aanpassingen. Ook Windows kent administrators standaard niet alle rechten toe.

Niet verkrijgbare machtigingen

Ik wil mezelf machtigingen geven voor een map, maar Windows staat dit niet toe – ook al ben ik administrator.

Het toekennen van machtigingen is op zich een machtiging die je kunt verlenen of ontnemen aan een administratoraccount. Om hem te verlenen, moet je eerst eigenaar van een map worden. Het hele proces is vrij bewerkelijk, zoals je kunt zien aan de hand van de tip ‘Geen toegang na herinstallatie van Windows‘. Maar wees voorzichtig met het zelf aanpassen van machtigingen. In veel gevallen ontbreken bepaalde machtigingen om veiligheidsredenen of om ingebouwde herstelfuncties van Windows te beschermen. Hoewel het geen enkel probleem is om jezelf machtigingen te verschaffen voor toegang tot je eigen bestanden, moet je bij systeembestanden en -mappen alleen iets aanpassen als dat echt noodzakelijk is. Om het nog wat directer te zeggen: ga niet zomaar wat aanpassen uit nieuwsgierigheid.

‘Administrator’ en andere beheerders

Met een standaardinstallatie is er bij Windows 10 een account met de naam ‘Administrator’ dat standaard is uitgeschakeld. In Windows 10 Home is het normaliter ook verborgen. Gaat het daarbij om een soort superbeheerder?

Nee. Dat account beschikt over dezelfde rechten als andere administratoraccounts. Net als het eerste gebruikersaccount dat standaard wordt aangemaakt, is het lid van de groep Administrators. Alle leden van die groep hebben dezelfde rechten. Het account Administrator wijkt wel op andere punten af van de andere administrators. Het kan ten eerste niet worden verwijderd en het Gebruikersaccountbeheer is er niet op van toepassing. Dat betekent dat als een programma via het account Administrator wordt gestart, dat vanaf het begin over administratorrechten beschikt. Dat geldt trouwens ook voor het als shell uitgevoerde Windows Verkenner. Als je niet bekend bent met Gebruikersaccountbeheer lijkt het daardoor misschien alsof de ‘Administrator’ meer mag dan andere administrators, maar in feite ontbreekt alleen de bescherming van UAC.

Windows 10 administrator ingebouwd account

Het ingebouwde account ‘Administrator’ heeft dezelfde rechten als alle andere administrators, maar het wordt niet beschermd door UAC en kan niet verwijderd worden.

Netwerkpad als admin

Ik heb in Verkenner een netwerkpad gekoppeld aan een stationsletter, maar zodra ik een programma start met administratorrechten heb ik geen toegang tot dat netwerkstation. Windows doet alsof het er helemaal niet is, hoewel ik het in Verkenner wel kan zien.

Als je in Verkenner een netwerkverbinding maakt, geldt die alleen voor je eigen gebruikersaccount en zelfs alleen voor de huidige sessie. Als je een programma start met administratorrechten, zorgt Gebruikersaccountbeheer voor een tweede aanmelding – maar dan met verhoogde rechten. Die tweede sessie weet niets van het netwerkstation.

Je kunt dit aanpassen via een registerwaarde. Maak in de registersleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System een nieuw item van het type ‘DWORD (32-bits)-waarde’. Geef dit de naam EnableLinkedConnections en de waarde 1 en herstart Windows. Daarna heb je ook als administrator toegang tot de gekoppelde netwerkstations.

‘Administrator’ activeren

Hoe activeer ik het account met de naam ‘Administrator’? Moet ik daarbij nog ergens op letten?

Bij de edities Windows Pro, Enterprise en Education kan dat via Computerbeheer in de categorie ‘Lokale gebruikers en groepen’, maar bij de Home-editie ontbreekt die categorie. De werkwijze via de Opdrachtprompt werkt wel bij alle edities. Start de Opdrachtprompt of PowerShell als administrator en typ vervolgens:

net user administrator /active:yes

Om het account weer te deactiveren, vervang je yes door no. Maar pas op! Het dan ingeschakelde account is nog niet beveiligd met een wachtwoord! Dat regel je met de volgende opdracht:

net user administrator *

Je moet dan tweemaal het gewenste wachtwoord intypen. Let wel op dat je op het scherm niets ziet van wat je intypt. Typ gewoon zonder op het scherm te kijken het wachtwoord in en druk op Enter en herhaal dat vervolgens nog een keer.

Administrator internationaal

Heet het account ‘Administrator’ bij alle internationale versies van Windows hetzelfde?

Bij de meeste taalversies van Windows wordt die accountnaam ongewijzigd overgenomen uit het Engels en heet het account zo. Maar er zijn enkele uitzonderingen (zie de volledige lijst). Sommige namen zijn makkelijk herkenbaar, zoals het Franse ‘Administrateur’ en ‘Administrador’ in Spaanstalige en Portugese versies. Maar sommige zijn moeilijker thuis te brengen, zoals de Finse naam van het Administrator-account: daar heet het ‘Järjestelmänvalvoja’.

(Axel Vahldiek, c’t magazine)

Marco den TeulingHad als eerste eigen computer ooit een 16-bit systeem, waar van de 48 kilobyte toch echt niet ‘genoeg voor iedereen’ was. Sleutelt graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen. Vindt ‘Software as a Service’ een onbedoeld ironische naamgeving.

Chat GPT 4 gebruiken: dit is het verschil tussen GPT-3 & GPT-4

De lancering van GPT-4 heeft de intelligentie van ChatGPT naar een hoger niveau gebracht maar hoe kun je effectief de nieuwe Chat GPT gebruiken en wat...

workshops•AI ChatGPT kunstmatige intelligentie

25/04/2024

Raspberry Pi als NAS-systeem gebruiken? Dit moet je weten!

Wist je dat je een Raspberry Pi als Network Attached Storage (NAS) kunt gebruiken? Zo voldoet de Raspberry Pi 4 aan de belangrijkste eisen om dit te k...

workshops•Hardware NAS Raspberry Pi raspberry pi projects

24/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Windows 10 administrator account gebruiken

Ben ik nou administrator of niet?

Het nut van UAC

Zo goed beschermt UAC

Welke beveiligingsmaatregel waartegen helpt lees je in c't jan-feb/2018

UAC gekraakt?

Gebruiker in plaats van administrator

Wachtwoord of Ja?

Doorlezen is gratis, maar eerst even dit:

Administratortoetsencombinatie

Verkenner starten als administrator

Snel even als administrator

Administrator zonder rechten

Niet verkrijgbare machtigingen

‘Administrator’ en andere beheerders

Netwerkpad als admin

‘Administrator’ activeren

Administrator internationaal

Lees ook

Chat GPT 4 gebruiken: dit is het verschil tussen GPT-3 & GPT-4

Raspberry Pi als NAS-systeem gebruiken? Dit moet je weten!

Lees ook

Softlink

Blijf op de hoogte!

Windows 10 administrator account gebruiken

Ben ik nou administrator of niet?

Het nut van UAC

Zo goed beschermt UAC

Welke beveiligingsmaatregel waartegen helpt lees je in c't jan-feb/2018

UAC gekraakt?

Gebruiker in plaats van administrator

Wachtwoord of Ja?

Doorlezen is gratis, maar eerst even dit:

Administratortoetsen­combinatie

Verkenner starten als administrator

Snel even als administrator

Administrator zonder rechten

Niet verkrijgbare machtigingen

‘Administrator’ en andere beheerders

Netwerkpad als admin

‘Administrator’ activeren

Administrator internationaal

Meer over

Deel dit artikel

Lees ook

Chat GPT 4 gebruiken: dit is het verschil tussen GPT-3 & GPT-4

Raspberry Pi als NAS-systeem gebruiken? Dit moet je weten!

Lees ook

Softlink

Blijf op de hoogte!

Administratortoetsencombinatie