Advies account bijmaken voor Admie taken gaat mis bij XP

[anoniem]

In Computer!Totaal feb 2012 staat een beveiligingsadvies om een account bij te maken voor Admie-taken en dan het oude admie-account te degraderen tot beperkt account voor normaal gebruik. Lijkt me (nog steeds) een goed advies. Geprobeerd bij Windows XP Prof SP3. Dat ging dus goed fout. Systeem had standaard één administratoraccount, zonder inlog. 2e admie-account met succes aangemaakt. Echter bij reboot was er maar één account, het nieuwe, met een pas geboren windows omgeving ! In veilige modus gestart, staan beide accounts er, maar het oude admie-account degraderen mocht niet v/h systeem en verwijderen kon ook niet meer. Hoe kreeg ik mijn oude systeem weer terug ? Door in veilige modus systeemherstel uit te voeren, gelukkig niet erg ver terug naar gisteren. Is meer geluk dan wijsheid. Vraag : wat ging er nu mis ?

[anoniem]

Heb geen C!T bij de hand om het artikel na te lezen. Zijn dat handelingen via het Configuratiescherm => Gebruikersaccounts? [quote:cafb665f0d="didorno"]Vraag : wat ging er nu mis ?[/quote:cafb665f0d]Weet niet echt, maar zoals ik het lees had je dus eerst slechts één account, namelijk de administrator account waarin je ook werkte als gebruiker Je hebt er een tweede account bijgemaakt met beheerdersrechten en bij herstart "verdwijnt" de Administartor uit het Welkomstscherm. Je start dan in een verse nieuwe account. De "oude" echte Administrator laat zich wijselijk genoeg niet "degraderen", want het is nog steeds het account met de hoogste rechten. Als je ook je data kwijt bent, staan deze immers nog in deze account. De Administrator is toch te tonen. http://www.petri.co.il/add_the_administrators_account_to_the_welcome_screen_in_xp_pro.htm Of door 2x CTRL + ALT + DEL te typen. Eventueel de geopende account hierbij afmelden. http://windowsxp.mvps.org/admins.htm Typ ook eens in "Uitvoeren": control userpasswords2 Maak eerst een back-up van data, e-mail enz.

[anoniem]

Rosturp, Inderdaad via Config scherm en Gebruikersaccounts. [quote:9f4670c412]De "oude" echte Administrator laat zich wijselijk genoeg niet "degraderen", want het is nog steeds het account met de hoogste rechten. [/quote:9f4670c412] Maar dat is nou precies wat Edmond Varwijk in zijn artikel voorstelt, maar wat me niet lukte. Beide accounts zijn in veilige modus zichtbaar en op in te loggen, maar de originele laat zich niet kisten. Het artikel slaat op Windows 7 (zie plaatjes), misschien kan dit niet met XP ? Moet ik uit je woorden opmaken dat de originele administratoraccount meer rechten heeft dan een naderhand toegevoegde account met administratorrechten ? Bedankt voor de reactie en de goede suggesties !

[anoniem]

[quote:f411146f4e="didorno"]Moet ik uit je woorden opmaken dat de originele administratoraccount meer rechten heeft dan een naderhand toegevoegde account met administratorrechten ?[/quote:f411146f4e]Voorop gesteld dat ik het fijne er ook niet van begrijp door de termen Administrator met beheer-rechten en beheerder met administrator-rechten al dan niet in de administrator-groep >> zie control userpasswords2 ....... denk ik toch dat je nu veilig bezig bent. De "echte" Administrator is nu verborgen en alleen te benaderen door extra handelingen en in "Veilige modus" om bij problemen te gebruiken..... dus ja, met de hoogste rechten. Alleen zou een wachtwoord op deze account nog iets toevoegen Volgens mij is deze account in Windows XP dus standaard en niet te veranderen/wijzigen De (nieuwe) account waarin je nu werkt lijkt ogenschijnlijk ook de "Administrator" te zijn door de uitgebreide beheersrechten door het lid zijn van de administrator-groep >> zie control userpasswords2 In welke account kwam je terecht in Veilige modus voordat je die nieuwe account had aangemaakt?

[anoniem]

Rosturp, Je meedenken stel ik echt op prijs, maar [quote:efacf47089]....... denk ik toch dat je nu veilig bezig bent.[/quote:efacf47089] Uit deze opmerking lijkt het of ik mijn doel bereikt heb, maar dat is helaas nog niet zo. Misschien ben ik niet duidelijk genoeg geweest. Ik wilde mijn originele account, inclusief alle instellingen, snelkoppelingen en data, omschakelen van administrator naar eentje met beperkte rechten. Voor het standaardgebruik is dit een veiliger werkomgeving. Een verse tweede account, met dan een nieuwe windowsomgeving ( je begint dan namelijk weer helemaal vanaf scratch) geef je dan eerst administratorrechten (logische eis is dat er altijd minstens één administratoraccount moet zijn). Deze configuratie krijg ik echter niet voor elkaar. Ook al is er een nieuw account met administratorrechten, het eerste account wil niet omgezet worden naar eentje met beperkte rechten. Waarom niet ?

[anoniem]

Dan moeten we eerst nagaan hoeveel en welke accounts er zijn. Start -> Uitvoeren -> [b:a36254d495]control userpasswords2[/b:a36254d495] -> OK Bij mij dus 4 [img:a36254d495]http://i43.tinypic.com/22f4tl.png[/img:a36254d495] 1 De originele bij Windows behorende (bij mij verborgen) administrator. 2 De ASPNET account. Vergeten we. 3 Werkend beherend account met admistrator-rechten. 4 Bij mij uitgeschakeld. Vergeten we. Wat ik uit je startpost begreep, is dat je altijd in account 1 (je originele account, inclusief alle instellingen, snelkoppelingen en data) hebt gewerkt en door het aanmaken van een nieuwe account deze verborgen werd en je een pas geboren Windows omgeving kreeg. Account 3 dus? Klopt? [quote:a36254d495="didorno"]Ook al is er een nieuw account met administratorrechten, het eerste account wil niet omgezet worden naar eentje met beperkte rechten.[/quote:a36254d495] Het nieuwe account is account 3? En het eerste account is 1? Klopt? Zie dan: http://forum.computertotaal.nl/phpBB2/viewtopic.php?p=1473511&highlight=#1473511

[anoniem]

[quote:19798aa624="didorno"]Vraag : wat ging er nu mis ?[/quote:19798aa624] Ik heb vanavond het bewuste artikel van Edmond Varwijk doorgelezen. Het gaat om punt 04 en punt 05 van dat artikel. Jij bent begonnen met "één administratoraccount, zonder inlog". En op dat punt had je volgens mij eerst een wachtwoord in moeten stellen voor dat account. Daarna pas een tweede account aanmaken, type Administrator (ook met wachtwoord!). En dan de rest van Edmonds aanwijzingen volgen.

[anoniem]

Rosturp, nu (dus weer in mijn oude situatie met één account zonder wachtwoord) heb ik met control userpasswords2 inderdaad dezelfde items 1, 2 en 4. Even terzijde. Gastaccount staat in Configuratiescherm Gebruikersaccounts per definitie uitgeschakeld. Wonderlijk is dat als ik met 'control userpasswords2', tab 'Geavanceerd' kies, dan 'Geavanceerd gebruikersbeheer' open (krijg ik venster 'Lokale gebruikers en groepen'). Klik ik op 'Gebruikers' en rechtsklik op 'Gast' en kijk ik naar eigenschappen, dan staat onder tab 'Algemeen' geen vinkje bij 'Account is uitgeschakeld'. Dat lijkt mij een tegenstrijdigheid. Kan dit iets te maken hebben met mijn probleem ? [quote:b90f2c6741]Wat ik uit je startpost begreep, is dat je altijd in account 1 (je originele account, inclusief alle instellingen, snelkoppelingen en data) hebt gewerkt en door het aanmaken van een nieuwe account deze verborgen werd en je een pas geboren Windows omgeving kreeg. Account 3 dus? Klopt? [/quote:b90f2c6741] Inderdaad, klopt. Als account 3 bestaat, dan zou 1 toch beperkte rechten moeten kunnen krijgen ? Dan heeft deze actie pas zin. porrelaar, inderdaad punt 04 en 05. Dat dit van het wel of niet ingesteld zijn van een wachtwoord afhangt, is niet echt logisch voor mij, maar dat is wel meer bij windows het geval. Zinvol om dat (voorzichtig) uit te proberen en dan ook weer 'control userpasswords2' te bekijken. Allebei dank voor de suggesties.

[anoniem]

[quote:2d04421872="didorno"]Even terzijde. Gastaccount staat in Configuratiescherm Gebruikersaccounts per definitie uitgeschakeld. Wonderlijk is dat als ik met 'control userpasswords2', tab 'Geavanceerd' kies, dan 'Geavanceerd gebruikersbeheer' open (krijg ik venster 'Lokale gebruikers en groepen'). Klik ik op 'Gebruikers' en rechtsklik op 'Gast' en kijk ik naar eigenschappen, dan staat onder tab 'Algemeen' geen vinkje bij 'Account is uitgeschakeld'. Dat lijkt mij een tegenstrijdigheid. Kan dit iets te maken hebben met mijn probleem ?[/quote:2d04421872]Bij mij dezelfde instelling te zien. De Gast-account staat in Configuratiescherm ->Gebruikersaccounts. Niet getest, maar ik denk dat in dat scherm kan worden aangegeven of de Gast-account wel of niet zichtbaar moet zijn onder Configuratiescherm ->Gebruikersaccounts. Dus voor instellingen een level hoger. [quote:2d04421872="didorno"]Als account 3 bestaat, dan zou 1 toch beperkte rechten moeten kunnen krijgen ? Dan heeft deze actie pas zin.[/quote:2d04421872]Nee, want daar verwijs ik naar.[quote:2d04421872="Rosturp"]De "echte" Administrator is nu verborgen en alleen te benaderen door extra handelingen en in "Veilige modus" om bij problemen te gebruiken..... dus ja, met de hoogste rechten.[/quote:2d04421872]Het is altijd de bedoeling geweest om die account alleen in noodgevallen te gebruiken, in Veilige Modus met de hoogste rechten. In VM start Windows zo kaal mogelijk op en hopelijk ook niet de programma’s die problemen veroorzaken. Denk aan malware Het is ook beschreven in de eigenschappen van de Administrator => [i:2d04421872]Ingebouwde account voor beheer van de computer of het domein.[/i:2d04421872]

[anoniem]

Voorstel van porrelaar blijkt helaas toch niet het degraderen van de oorspronkelijke admie mogelijk te maken, jammer. Ik vroeg me eerder af : [quote:0bf0a7ca93]Moet ik uit je woorden opmaken dat de originele administratoraccount meer rechten heeft dan een naderhand toegevoegde account met administratorrechten ? [/quote:0bf0a7ca93] Daar lijkt het nu wel op. De originele Administrator heeft in configuratiescherm/Gebruikersaccounts 2 keuzeopties, de nieuwe administratoraccount 6. (Na reboot worden dit er 3 respectievelijk 5 : .NET paspoort is overgestapt (?)). Via control userpassports2 / geavanceerd volgt voor de org Administrator : 'Volledige Naam' : leeg, 'Beschrijving' : 'Ingebouwde account voor beheer van de computer of het domein'. Bij de nieuwe administrator staat daarentegen de naam herhaald onder 'Volledige Naam' en onder 'Beschrijving' is er niets ingevuld. Dit alles toont m.i. aan dat beide administrators wel degelijk verschillend zijn. Misschien horen we nog wat van de auteur van het artikel.

[anoniem]

Workaround gevonden. De oorspronkelijke Administratoraccount degraderen, vanwege de wens om alle instellingen en snelkoppelingen beschikbaar te houden, vergeten. Eerst via Config.Scherm/Gebruikersaccounts één of meer nieuwe accounts aanmaken. Een keer inloggen met de nieuwe account(s) om het systeem eraan te laten 'wennen'. Via Config.Scherm/Systeem/Geavanceerd/Instellingen van Gebruikersprofielen kan het gebruikerprofiel van de Administrator gekopieerd worden naar nieuwe accounts. Zo voorkom je de maagdelijke windows omgeving van een nieuwe account. Is de nieuwe account een administrator dan zie ik geen verschillen met de opper-administrator, dat is dus O.K. Is de account beperkt, dan zijn er verschillen die ik (nog) niet kan verklaren, bijvoorbeeld de Taakbalk kan niet ontgrendeld worden (hinderlijk) en het systeem is heel traag (lang nadenken of iets wel toegestaan is, lijkt het). Ook de bij boot vanzelf startende programma's laten het afweten. Moeten dus allemaal via runas aangepakt worden. Ik vind het niet bemoedigend om op deze manier via de beperkte account routinematig te gaan werken.

[anoniem]

Update voor de geïnteresseerde lezer. De genoemde workaround is toch niet de juiste weg, is me na nogal wat experimenteren gebleken. Het Administratorprofiel beter niet kopiëren. Een verse Administratoraccount aanmaken. Zorgen dat mappen en snelkoppelingen op de juiste plaatsen staan (startmenu, bureaublad). Instellingen optimaliseren, en dan pas deze Account [b:651c4dc332]zichzelf[/b:651c4dc332] laten degraderen. Werkt nu naar tevredenheid.