Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden gebruikersaccountbeheer (UAC) en externe beperkingen beschreven.
Van toepassing op: Windows Vista
Oorspronkelijk KB-nummer: 951016
Inleiding
Gebruikersaccountbeheer (UAC) is een nieuw beveiligingsonderdeel van Windows Vista. Met UAC kunnen gebruikers algemene dagelijkse taken uitvoeren als niet-beheerders. Deze gebruikers worden standaardgebruikers genoemd in Windows Vista. Gebruikersaccounts die lid zijn van de lokale groep Administrators, voeren de meeste toepassingen uit met behulp van het principe van minimale bevoegdheden. In dit scenario hebben gebruikers met minimale bevoegdheden rechten die lijken op de rechten van een standaardgebruikersaccount. Wanneer een lid van de lokale groep Administrators echter een taak moet uitvoeren waarvoor beheerdersrechten zijn vereist, wordt de gebruiker automatisch om goedkeuring gevraagd.
Hoe UAC-beperkingen op afstand werken
Om gebruikers die lid zijn van de lokale groep Administrators beter te beschermen, implementeren we UAC-beperkingen op het netwerk. Dit mechanisme helpt voorkomen tegen loopback-aanvallen . Dit mechanisme helpt ook voorkomen dat lokale schadelijke software extern wordt uitgevoerd met beheerdersrechten.
Lokale gebruikersaccounts (gebruikersaccount van Security Account Manager)
Wanneer een gebruiker die lid is van de lokale groep Administrators op de externe doelcomputer een externe beheerverbinding tot stand brengt met behulp van de opdracht net use *\\remotecomputer\Share$ , bijvoorbeeld, wordt er geen verbinding gemaakt als een volledige beheerder. De gebruiker heeft geen uitbreidingsmogelijkheden op de externe computer en de gebruiker kan geen beheertaken uitvoeren. Als de gebruiker het werkstation wil beheren met een SAM-account (Security Account Manager), moet de gebruiker zich interactief aanmelden bij de computer die moet worden beheerd met Hulp op afstand of Extern bureaublad, als deze services beschikbaar zijn.
Domeingebruikersaccounts (Active Directory-gebruikersaccount)
Een gebruiker met een domeingebruikersaccount meldt zich op afstand aan bij een Windows Vista-computer. En de domeingebruiker is lid van de groep Administrators. In dit geval wordt de domeingebruiker uitgevoerd met een volledig beheerderstoegangstoken op de externe computer en wordt UAC niet van kracht.
Notitie
Dit gedrag verschilt niet van het gedrag in Windows XP.
Externe UAC-beperkingen uitschakelen
Belangrijk
Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Zorg er daarom voor dat u de volgende stappen zorgvuldig volgt. Voor optimale veiligheid maakt u dagelijks een back-up van het register voordat u het wijzigt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.
Volg deze stappen om externe UAC-beperkingen uit te schakelen:
Klik op Start, klik op Uitvoeren, typ regedit en druk op Enter.
Zoek naar en klik op de volgende registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemAls de
LocalAccountTokenFilterPolicyregistervermelding niet bestaat, voert u de volgende stappen uit:- Wijs in het menu Bewerken de optie Nieuw aan en selecteer vervolgens DWORD-waarde.
- Typ LocalAccountTokenFilterPolicy en druk op Enter.
Klik met de rechtermuisknop op LocalAccountTokenFilterPolicy en selecteer Wijzigen.
Typ 1 in het gegevensvak Waarde en selecteer VERVOLGENS OK.
Sluit de Register-editor af.
Is het probleem opgelost
Controleer of het probleem is opgelost. Als het probleem niet is opgelost, neemt u contact op met de ondersteuning.
Externe UAC-instellingen
De registervermelding LocalAccountTokenFilterPolicy kan de waarde 0 of 1 hebben. Met deze waarden wordt het gedrag van de registervermelding gewijzigd in de vermelding die in de volgende tabel wordt beschreven.
| Weergegeven als | Beschrijving |
|---|---|
| 0 | Met deze waarde wordt een gefilterd token gebouwd. Dit is de standaardwaarde. De beheerdersreferenties worden verwijderd. |
| 1 | Met deze waarde wordt een token met verhoogde bevoegdheid gebouwd. |