PvCF

logo PvCF

Windows gebruikers gebruiken

Computergebruikers hebben een gebruikersaccount nodig om met de computer te kunnen werken. Niet alleen in een zakelijke omgeving, maar ook thuis. Waarom is dat zo en hoe kun je dat gebruiken.

Net als het echte leven is het gebruik van een computer een rollenspel. Je zit in een bepaalde rol achter de computer, meestal als gewone gebruiker, om te surfen of een muziekje te luisteren, en soms als administrateur, om programma's te installeren of de computer op te schonen.

Scheiden is goed

Voor Windows XP waren er geen echte beperkingen van gebruikersrechten, en iedere gebruiker kon eigenlijk alles. In Windows XP werden twee soorten gebruikers ingevoerd: administrateurs en gebruikers met beperkte rechten.

De gebruikers met beperkte rechten konden (te) weinig, alleen hun eigen wachtwoord en afbeelding instellen. Alleen programma's die waren ontwikkeld om met beperkte rechten te draaien konden deze gebruikers draaien, en dat waren er na het uitkomen van Windows XP niet veel. Zelfs Microsoft Office gaf problemen. Het gevolg was dat de meeste thuisgebruikers altijd alles deden als administrator, met soms desastreuze gevolgen.

In een professionele omgeving kon je de rechten beter instellen met behulp van profielen.

Gebruikersaccounts onder Windows XP.
Gebruikersaccounts onder Windows XP.

Windows 7

Met de invoering van Windows 7 (eigenlijk al met Windows Vista, maar wie wil het daar nog over hebben) zijn de zaken grotendeels ten goede gekeerd. In Vista had je nog al veel last van de User Account Control (UAC). De UAC was bedoeld om te voorkomen dat programma's ongemerkt wijzigingen kunnen aanbrengen aan het systeem. De UAC was echter zo strak ingesteld dat je bij het bewust installeren van een programma meerdere keren op doorgaan moest klikken. Dat irriteerde zodanig dat velen de UAC maar volledig uitschakelden. Dat ging weer ten koste van de beveiliging van het systeem. In Windows 7 is alles beter, al was het maar omdat het beperkte account nu standaardaccount heet.

Administrator rechten

De administrator van een computer mag alles doen met de computer. Een voorbeeld daarvan is het installeren en verwijderen van programma's, en het bepalen welke programma's bij het starten van een computer automatisch gestart moeten worden.

Door als administrator te werken kun je programma's installeren, en daar kunnen kwaadwillende programma's misbruik van maken. Ieder programma dat je als administrator start, gewild of ongewild, krijgt ook administratorrechten, en kan zich dus installeren. Door als administrator op het internet te surfen, of een onbekende cd-rom of usb stick in je computer te steken, krijgen kwaadwillende programma's de kans zich te installeren.

Besturingssystemen worden steeds complexer, en ik denk dat er niemand is die precies weet welke processen bij het starten van de computer gestart moeten worden, en welke vooral niet. Een ongewenst programma is daarom moeilijk op te sporen, en te verwijderen.

Standaardgebruiker rechten

Een standaardgebruiker kan geen wijzigingen aanbrengen die van toepassing zijn voor iedereen die de computer gebruikt, zoals het verwijderen van bestanden die vereist zijn voor de werking van de computer.

Met een standaardaccount kun je alles doen wat je ook met een administratoraccount kunt doen. Als je iets gaat doen dat ook andere gebruikers van de computer raakt, zoals het installeren van software of het wijzigen van de beveiligingsinstellingen, vraagt Windows het wachtwoord van het administratoraccount op te geven.

Microsoft raadt aan voor iedere gebruiker een standaard account aan te maken, en ik kan daar wel in meegaan.

Gebruikersaccount aanmaken

Ik ben een warm voorstander van een eigen computer voor iedereen. Kan iedereen installeren wat hij/zij wil, zonder een ander in de weg te zitten. Als dat niet te realiseren is dan dien je in ieder geval voor iedere gebruiker een eigen account aan te maken.

Een gebruikersaccount maak je aan in het configuratiescherm. Klik op Start | Configuratiescherm | Gebruikersaccounts toevoegen of verwijderen | Een nieuw account maken.

Je kunt de naam van de nieuwe account invullen en kiezen of de gebruiker een standaardgebruiker of een administrator moet worden. Omdat per computer één administrator voldoet kunnen alle volgende gebruikers standaardgebruiker zijn.

Gebruikersaccount aanmaken
Gebruikersaccount aanmaken

Wachtwoorden

Het account wordt gemaakt zonder om een wachtwoord te vragen. Het nut van een wachtwoord voor de beveiliging van een computer kan alleen maar overschat worden. Als iemand fysiek toegang heeft tot de computer dan kan die persoon ook bij de data op de computer. Als je data wilt beveiligen zul je de data moeten versleutelen, bijvoorbeeld met Windows eigen BitLocker, onderdeel van Windows Ultimate en Enterprise (de dure versies), Windows eigen EFS (Encrypting File System), onderdeel van dezelfde Windows versies en Professional of met de freeware TrueCrypt (zie mijn beschrijving in Computer Express 5 van 2009) die op alle Windows versies en andere besturingssystemen draait.

Nut van het wachtwoord

Hoewel het wachtwoord vanuit beveiligingsstandpunt weinig voorstelt is het wel nuttig er een te gebruiken.

Ten eerste is het wachtwoord in netwerken nodig. Zonder account met een wachtwoord kun je geen verbinding maken met een netwerk. Zonder account met een wachtwoord op je computer kan ook niemand verbinding maken met jouw computer in het netwerk. Ook een vorm van beveiliging.

Daarnaast is het handig als je een computer deelt met meerdere mensen. Wijs dan één administrator aan, die programma's kan installeren en gebruikers mag aanmaken, en verder beperkte gebruikers die de computer alleen gebruiken. Dan blijft de computer het langste 'schoon'.

Als laatste is er nog de virusdreiging. Als een administratoraccount geen wachtwoord heeft kan een virus wel heel eenvoudig proberen administrator rechten te krijgen en allerlei rotzooi te installeren.

Het wachtwoord hoeft daarbij niet bijster gecompliceerd te zijn, het cijfer 1 voldoet al.

Wachtwoord instellen

Hoewel Microsoft propageert dat je ieder account met een sterk wachtwoord moet beveiligen wordt er bij het aanmaken van een account niet standaard een wachtwoord ingesteld.

Om een wachtwoord in te stellen kies je het account dat je wilt wijzigen. Kies voor een wachtwoord instellen.

Als je het wachtwoord voor een ander account wijzigt dan het account waarmee je bent ingelogd word je gewaarschuwd dat de gebruiker de wachtwoorden voor versleutelde bestanden, websites en netwerkbronnen kwijtraakt. Dat is een bewuste keuze van Microsoft. Op deze wijze wordt voorkomen dat je het wachtwoord van een andere gebruiker wijzigt om toegang te krijgen tot zijn versleutelde bestanden en de via het netwerk bereikbare data. De bestanden zijn vervolgens definitief versleuteld.

LET OP 1: Om problemen te voorkomen moet je daarom alleen het wachtwoord veranderen van het account waarmee je bent ingelogd.
LET OP 2: Het wachtwoord beschermt geen bestanden die zonder versleuteling op de harde schijf van de computer zijn opgeslagen.

Accounts wijzigen
Accounts wijzigen

Automatisch inloggen

Om Windows 7 in een netwerk te gebruiken moet je een wachtwoord gebruiken. Omdat een wachtwoord slechts schijnzekerheid biedt kun je in een vertrouwde omgeving (een computer die alleen thuis gebruikt wordt) net zo goed het wachtwoord automatisch laten invullen.
Om automatisch in te loggen moet je de commandoprompt oproepen en het commando netplwiz ingeven. Verwijder het vinkje voor Gebruikers moeten een gebruikersnaam en wachtwoord opgeven, kies de gebruiker die automatisch inlogt, vul twee keer (?) diens wachtwoord in en klik op toepassen.

WindowsVersnellen5
Automatisch Inloggen, of niet

Wachtwoord kraken

Het kraken van een Windows wachtwoord gaat redelijk eenvoudig. Ten minste, toegang krijgen tot een account.

Er zijn vele programma's die je als een ISO bestand kunt downloaden. Een ISO bestand is een exacte kopie van een cd-rom. Door het ISO bestand op een cd-rom te branden heb je een cd-rom waarmee je de computer kunt opstarten. Van een zo opgestarte computer kunnen deze programma's de Windows wachtwoorden verwijderen, De computer kun je vervolgens op de normale wijze opstarten, en dan kun je inloggen met een bestaand account, zonder wachtwoord.

LET OP 1: Dit is uiteraard niet bedoeld om illegale acties te ondernemen.
LET OP 2: Mocht je toch een illegale actie willen uitvoeren, met deze programma's verwijder je het wachtwoord van de reguliere gebruiker. Deze zal dus doorhebben dat er iemand bezig is geweest met de computer.
LET OP 3: De EFS en BitLocker versleutelingen worden niet blij van dit soort acties. De versleutelde data blijft voor eeuwig versleuteld, ook als het wachtwoord weer op het oorspronkelijke wachtwoord wordt ingesteld.
Aan de met TrueCrypt versleutelde bestanden verandert niets. TrueCrypt is niet geïntegreerd in het besturingssysteem, de wijziging van het wachtwoord van het account heeft geen invloed op de versleutelde containers en deze blijven met het oorspronkelijke wachtwoord te ontsleutelen.
LET OP 4: Een ISO bestand is geen bestand dat je op een lege cd-rom moet branden. Het programma waarmee je gaat branden moet doorhebben dat het image op een speciale manier gebrand moet worden. Mijn voorkeursprogramma is de freeware ImgBurn. Images brand je met de optie Write image file to disc. Maar ImgBurn is maar één van de vele programma's die het kan, kies gerust je eigen voorkeursprogramma. ImgBurn is gratis te downloaden van www.imgburn.com en werkt goed, het verdient in elk geval een tweede blik.

Gebruik een programma als ImgBurn om een ISO image te branden.
Gebruik een programma als ImgBurn om een ISO image te branden.

Ouderlijk toezicht

Je kunt de rechten van gebruikers verder beperken met het ouderlijk toezicht. Het spreekt voor zich dat dit alleen kan voor standaard gebruikers en is alleen nuttig als het administrator account met een wachtwoord beveiligd is.

Het zijn de rechten die zien op de tijd waarin de computer gebruikt mag worden, programma's die gebruikt mogen worden en spellen die op basis van een classificatie gespeeld mogen worden.

Extra beperkingen kun je instellen met het ouderlijk toezicht.
Extra beperkingen kun je instellen met het ouderlijk toezicht.

Tijdslimieten

Het is voor kinderen vaak moeilijk om zelf in de gaten te houden hoe lang ze al met de computer bezig zijn. Dus is het handig om dat met behulp van de computer zelf te regelen.

De tijdslimieten bestaan uit een raster van 24 (uren) bij 7 (dagen) witte blokjes. Ieder blokje dat je aanklikt wordt blauw, en daarmee een tijdstip waarop de computer niet gebruikt mag worden. Nog een keer klikken op een blauw blokje en het wordt weer wit. Met een ingedrukte muis kun je snel over de blokjes gaan om de tijden in te stellen.

Een minuut voordat de tijdslimiet verstrijkt wordt de gebruiker met een klein tekstballonnetje gewaarschuwd dat hij nog maar een minuut tijd heeft, en daarna wordt hij er zonder pardon uitgegooid.
1 minuut waarschuwing
Als er dan nog niet opgeslagen bestanden of spellen zijn die bewaard moeten blijven moet de computer aanblijven tot de gebruiker weer mag inloggen of moet de tijdslimiet tijdelijk opgerekt worden. Ik vind het wel jammer dat je vaste tijden per dag moet ingeven, ik had liever gezien dat je een gebruiksduur per dag kon ingeven.

Met een beetje klikken beperk je de tijd die iemand achter de computer mag zitten.
Met een beetje klikken beperk je de tijd die iemand achter de computer mag zitten.

Spellen

Bij spellen kun je aangeven of een gebruiker spellen mag spelen, standaard mag dat. Ook de bij Windows meegeleverde spellen (FreeCell, Mijnenveger en dergelijke) vallen onder de mogelijke beperking.

Het systeem baseert op PEGI (Pan European Game Information), een Europees leeftijdsclassificatiesysteem dat in 2003 werd ingevoerd om de nationale Europese leeftijdsclassificatiesystemen te vervangen. In het PEGI systeem worden spellen ingedeeld op leeftijdscategorie, en daarnaast nog extra kenmerken als angst, geweld en seks.

Je kunt bij de spelbeperkingen ook aangeven of de gebruiker niet geclassificeerde spellen mag spelen.

Het PEGI systeem is uiteraard afhankelijk van het aantal ontwikkelaars dat het ondersteunt, de spelmakers die ik ken (niet veel) komen in de lijst voor, het aantal spellen bedraagt meer dan 10.000. Verder lees je er weinig over op het internet, het systeem voldoet kennelijk, of het wordt niet gebruikt.

Programma's toestaan of blokkeren

Een rigoureuze methode. De optie is alleen al interessant omdat de harde schijf, in ieder geval de logische plaatsen, doorzocht worden naar programma's. Programma's die niet gevonden worden kunnen toegevoegd worden.

Door expliciet aan te geven welke programma's een gebruiker mag gebruiken kun je precies sturen wat de gebruiker met de computer kan.

Probleempje: Alle uitvoerbare bestanden worden in de lijst opgenomen, mijn (beperkte) installatie van Office 2010 met alleen Word, Excel en PowerPoint, gaf al 17 programma's die ik waarschijnlijk allemaal moet inschakelen, maar misschien ook niet. Ik denk dat ik daar snel de weg in kwijt raak.

Welke programma's zijn nodig om met Word een tekst te kunnen schrijven?
Welke programma's zijn nodig om met Word een tekst te kunnen schrijven?

Samenvatting ouderlijk toezicht

Het ouderlijk toezicht is een hulpmiddel, en meer niet, om kinderen te leren omgaan met computers. Je geeft de kinderen 2 accounts: om te spelen en om te werken. Het speelaccount kan maar gedurende een beperkte tijd op de dag gebruikt worden, met het werkaccount kunnen maar een beperkt aantal programma's gestart worden.

In de praktijk lijkt het mij een heel gedoe, het vaststellen van de vaste tijden waarop het kind kan (moet?) spelen en het zorgen dat de voor het schoolwerk benodigde programma's draaien.

Ik weet niet of dit opweegt tegen regelmatig praten met elkaar en vertrouwen in kinderen die daar mee om kunnen gaan. Of tegenmaatregelen van kinderen die beter met de computer om kunnen gaan dan jij en jouw rechten helemaal gaan beperken.

Account verwijderen

In het kader van de altijd noodzakelijke afslankingskuur kun je accounts die je niet meer gebruikt het beste verwijderen. Daarbij moet je beslissen of je de bestanden van de gebruiker wilt bewaren of ook verwijderen.

De instellingen van de account gaan altijd verloren. Als je de gebruiker Jan verwijderd en direct aansluitend een nieuwe gebruiker Jan aanmaakt is het voor Windows een compleet andere gebruiker. Windows gebruikt namelijk een lang nummer (SID of System ID, bijvoorbeeld: S-1-5-32-1045337234-12924708993-5683276719-19000) om een gebruiker te identificeren, terug te vinden in onder andere het register. Als er een nieuwe gebruiker wordt aangemaakt onderzoekt Windows of de naam voorkomt, zo nee dan wordt de nieuwe gebruiker aangemaakt met een min of meer willekeurige SID.

Als je een account verwijdert kun je de bestanden van de gebruiker bewaren, niet zijn instellingen.
Als je een account verwijdert kun je de bestanden van de gebruiker bewaren, niet zijn instellingen.

Conclusie

Het gaat de goede kant op met de gebruikersaccounts in Windows. Windows is nooit als multi user netwerksysteem ontworpen (zoals Unix en Linux). In de goede tijden van dos (Disk Operating System) was het niet meer dan een besturingssysteem voor een computer, waarbij de gebruiker alle rechten tot de hele computer had. Gedurende de ontwikkeling tot Windows 7 is de functiescheiding steeds beter tot stand gekomen. Er is nu als standaardgebruiker goed met Windows te werken, en dat is noodzakelijk om als gewone gebruiker Windows te gebruiken.

Om de computer te kunnen gebruiken moet je minimaal één gebruikersaccount hebben. Ik beperk mij tot Windows versie 7.

Bron: Jan Chris ©, eerder gepubliceerd in de Computer Express 1 van 2012

Je kunt mij mailen op janpuntchrisatpvcfpuntnl.

Laatste update: 15 april 2012
.