Beschrijving van gebruikersaccountbeheer en externe beperkingen in Windows Vista
In dit artikel worden gebruikersaccountbeheer (UAC) en externe beperkingen beschreven.
Van toepassing op: Windows Vista
Origineel KB-nummer: 951016
Inleiding
Gebruikersaccountbeheer (UAC) is een nieuw beveiligingsonderdeel van Windows Vista. Met UAC kunnen gebruikers algemene dagelijkse taken uitvoeren als niet-beheerders. Deze gebruikers worden standaardgebruikers genoemd in Windows Vista. Gebruikersaccounts die lid zijn van de lokale groep Administrators, voeren de meeste toepassingen uit met behulp van het principe van minimale bevoegdheden. In dit scenario hebben gebruikers met minimale bevoegdheden rechten die lijken op de rechten van een standaardgebruikersaccount. Wanneer een lid van de lokale groep Administrators echter een taak moet uitvoeren waarvoor beheerdersrechten zijn vereist, wordt de gebruiker automatisch om goedkeuring gevraagd.
Hoe externe UAC-beperkingen werken
Om gebruikers die lid zijn van de lokale groep Administrators beter te beschermen, implementeren we UAC-beperkingen op het netwerk. Dit mechanisme helpt bij het voorkomen van loopback-aanvallen . Dit mechanisme helpt ook voorkomen dat lokale schadelijke software op afstand wordt uitgevoerd met beheerdersrechten.
Lokale gebruikersaccounts (Security Account Manager-gebruikersaccount)
Wanneer een gebruiker die lid is van de lokale groep Administrators op de externe doelcomputer een externe beheerverbinding tot stand brengt met behulp van bijvoorbeeld de opdracht net use *\\remotecomputer\Share$ , maakt deze geen verbinding als een volledige beheerder. De gebruiker heeft geen uitbreidingspotentieel op de externe computer en de gebruiker kan geen beheertaken uitvoeren. Als de gebruiker het werkstation wil beheren met een SAM-account (Security Account Manager), moet de gebruiker zich interactief aanmelden bij de computer die moet worden beheerd met Hulp op afstand of Extern bureaublad, als deze services beschikbaar zijn.
Domeingebruikersaccounts (Active Directory-gebruikersaccount)
Een gebruiker met een domeingebruikersaccount meldt zich extern aan bij een Windows Vista-computer. En de domeingebruiker is lid van de groep Administrators. In dit geval wordt de domeingebruiker uitgevoerd met een volledig beheerderstoegangstoken op de externe computer en is UAC niet van kracht.
Opmerking
Dit gedrag verschilt niet van het gedrag in Windows XP.
Externe UAC-beperkingen uitschakelen
Belangrijk
Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.
Voer de volgende stappen uit om externe UAC-beperkingen uit te schakelen:
Klik op Start, klik op Uitvoeren, typ regedit en druk op Enter.
Zoek naar en klik op de volgende registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemAls de registervermelding niet bestaat, voert u de
LocalAccountTokenFilterPolicyvolgende stappen uit:- Wijs in het menu Bewerkende optie Nieuw aan en selecteer vervolgens DWORD-waarde.
- Typ LocalAccountTokenFilterPolicy en druk op Enter.
Klik met de rechtermuisknop op LocalAccountTokenFilterPolicy en selecteer vervolgens Wijzigen.
Typ 1 in het vak Waardegegevens en selecteer VERVOLGENS OK.
Sluit de Register-editor af.
Heeft dit het probleem opgelost
Controleer of het probleem is opgelost. Als het probleem niet is opgelost, neemt u contact op met de ondersteuning.
Externe UAC-instellingen
De registervermelding LocalAccountTokenFilterPolicy kan de waarde 0 of 1 hebben. Met deze waarden wordt het gedrag van de registervermelding gewijzigd in de vermelding die in de volgende tabel wordt beschreven.
| Waarde | Beschrijving |
|---|---|
| 0 | Met deze waarde wordt een gefilterd token gemaakt. Dit is de standaardwaarde. De beheerdersreferenties worden verwijderd. |
| 1 | Met deze waarde wordt een token met verhoogde bevoegdheden gemaakt. |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor