Inzicht in het ingebouwde beheerdersaccount in Windows
Bij een nieuwe installatie van Windows wordt automatisch een verborgen beheerdersaccount aangemaakt. Standaard is dit account uitgeschakeld, waarschijnlijk omdat niemand het dagelijks zou moeten gebruiken – het vormt een beveiligingsrisico als het ingeschakeld blijft. Aan de andere kant kan dit account een redder in nood zijn om problemen op te lossen of dingen te resetten, vooral als je gewone gebruikersaccount niet meer goed werkt. In sommige configuraties heeft dit account volledige beheerdersrechten en kan het vrijwel alles doen, zonder dat gebruikersaccountprompts het tegenhouden. Maar nieuwere Windows-versies, vanaf Windows 10 versie 1709, laten het dezelfde gebruikersaccountprompts weergeven als je normale account, wat het nut ervan een beetje tenietdoet, maar ach, het is in ieder geval niet meer volledig vrij.
Het is natuurlijk logisch dat Windows het in- of uitschakelen van dit account iets complexer maakt. Je kunt het niet zomaar met een rechtermuisklik inschakelen; meestal moet je hiervoor opdrachten of tools gebruiken zoals Lokale gebruikers, Groepsbeleid of zelfs PowerShell. En ja, het is vreemd dat je het niet kunt verwijderen of uit de groep kunt halen, omdat het als het ware ingebouwd is in het beveiligingsmodel van het systeem. Die SID, S-1-5-domain-500, verraadt altijd de ingebouwde beheerder, zelfs als je de naam of het wachtwoord wijzigt. Het hernoemen ervan kan brute-force-aanvallen dus iets minder voorspelbaar maken, maar het is geen wondermiddel.
Hoe schakel ik het ingebouwde beheerdersaccount in op Windows?
Het zit zo: als je plotseling geen toegang meer hebt tot je systeem, of als je met volledige rechten een probleem wilt oplossen, kan het inschakelen van dit verborgen account de oplossing zijn. Gelukkig zijn er een paar snelle manieren om dat te doen. Elke reden om het account weer in te schakelen – of het nu voor het oplossen van problemen of in noodgevallen is – is logisch, want eerlijk gezegd kan Windows soms behoorlijk vervelend zijn als je account beschadigd raakt of de machtigingen niet goed werken.
- Activeren via de opdrachtprompt: Open de opdrachtprompt als beheerder (klik met de rechtermuisknop op het startmenu en kies ‘Uitvoeren als beheerder’ ).Typ:
net user administrator /active:yesWaarom dit handig is: Het is een eenvoudige en snelle manier om het account te activeren. Het account zou na een herstart op het aanmeldscherm moeten verschijnen. Soms moet deze opdracht op sommige computers meerdere keren worden uitgevoerd of moet de computer eenmaal opnieuw worden opgestart om de activering te voltooien. - PowerShell om de lokale beheerder in te schakelen: Start PowerShell als beheerder en voer het volgende commando uit:
Get-LocalUser -Name "Administrator" | Enable-LocalUserWaarom dit handig is: Dit is een schonere en beter te scripten aanpak. Goed voor het uitvoeren van meerdere scripts of als je de voorkeur geeft aan PowerShell. Het is betrouwbaar, maar werkt mogelijk niet als de accountnaam is gewijzigd. - Grafische methode met lokale gebruikers en groepen: Druk op Win + R, typ
lusrmgr.mscen druk op Enter. Zoek onder Gebruikers naar Beheerder, klik er met de rechtermuisknop op en selecteer Eigenschappen. Schakel de optie ‘Account is uitgeschakeld’ uit. Waarom dit handig is: Als u de voorkeur geeft aan grafische interfaces, is dit visueel gezien de eenvoudigste manier. Verwacht dat dit goed werkt op Windows Pro- en Enterprise-edities, maar niet op Home (die geen lusrmgr.msc heeft).Voor Home-gebruikers is het aan te raden de opdrachtregelmethode te gebruiken. - Via de Groepsbeleid-editor: Start gpedit.msc en ga vervolgens naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties. Zoek naar Accounts: Status van beheerdersaccount en stel deze in op Ingeschakeld. Start de computer vervolgens
gpupdate /forceopnieuw op. Waarom dit handig is: Het is nuttig voor bedrijfsomgevingen of scriptgestuurde implementaties. De wijziging blijft behouden na herstarts, maar houd er rekening mee dat u beheerdersrechten nodig hebt om dit te doen.Zodra de functie is ingeschakeld, wilt u waarschijnlijk een wachtwoord instellen voor dit account. Gebruik:
net user administrator *U wordt gevraagd een sterk wachtwoord in te voeren. Als u op een bepaalde computer de melding ‘De gebruikersnaam kon niet worden gevonden’ krijgt, controleer dan of het account is hernoemd. U kunt de echte naam vinden door naar de SID te kijken.
wmic useraccount where "SID like 'S-1-5-%-500'" get nameOf, rechtstreeks in PowerShell:
Get-LocalUser | Where-Object {$_. Sid -Like "*-500"}Let op: als je een foutmelding krijgt zoals ‘Systeemfout 5 is opgetreden. Toegang geweigerd’, betekent dit waarschijnlijk dat je opdrachtprompt of PowerShell niet als beheerder wordt uitgevoerd. Zorg ervoor dat je met de rechtermuisknop klikt en ‘Uitvoeren als beheerder’ kiest. Controleer ook of je account lid is van de groep Beheerders.
net localgroup administratorsAls er staat dat je account niet in de lijst staat, heb je eerst beheerdersrechten nodig, anders zit je vast. Zonder eerdere toegang is daar geen ontkomen aan.
Beheerdersrechten terugkrijgen als u ze kwijt bent
Eerlijk gezegd: soms schakelen mensen hun eigen beheerdersaccount uit of wijzigen ze de machtigingen, en dan gaat het mis. Als je niet meer kunt inloggen als beheerder, is er een oplossing: opstarten vanaf Windows-herstelmedia (USB, dvd of WinRE).Een beetje voorbereiding is handig: download de Media Creation Tool en maak een opstartbare stick.
Nadat je bent opgestart vanaf de herstelmedia, druk je op Shift + F10om een opdrachtprompt te openen. Gebruik
diskpartenlist volom te achterhalen op welke schijf Windows is geïnstalleerd (meestal C:).Vervang vervolgens utilman.exe door cmd.exe; dit is een klassieke truc om een opdrachtprompt met systeemrechten te verkrijgen.copy c:\windows\System32\utilman.exe c:\windows\System32\utilman_backup.exe copy c:\windows\System32\cmd.exe c:\windows\System32\utilman.exeStart de computer opnieuw op en klik op het inlogscherm op het pictogram Toegankelijkheid of druk op Win + U. Hiermee opent u een opdrachtprompt met SYSTEM-rechten, waarmee u gebruikersaccounts kunt beheren, wachtwoorden kunt resetten of uw account kunt toevoegen aan de lokale beheerdersgroep.
net user yourusername /add net localgroup administrators yourusername /add net user administrator *Vergeet niet: nadat je de problemen hebt opgelost, herstel je utilman.exe door opnieuw op te starten in de herstelmodus en het volgende commando uit te voeren:
copy c:\utilman_backup.exe c:\windows\System32\utilman.exeNiemand wil immers een achterdeur voor altijd laten rondslingeren. Controleer bovendien op pc’s die lid zijn van een domein het Groepsbeleid op eventuele beperkingen of instellingen die de lokale beheerdersrechten beheren, om alles overzichtelijk te houden.
Hopelijk biedt dit hele verhaal wat duidelijkheid en een manier om de controle terug te krijgen als de gebruikelijke methoden niet werken. Windows-beveiliging is lastig, maar met deze trucs kun je jezelf een hoop ellende besparen.
Samenvatting
- Het inschakelen van het ingebouwde beheerdersaccount kan via de opdrachtregel of de grafische gebruikersinterface (GUI).
- Stel altijd een sterk wachtwoord in zodra de functie is ingeschakeld.
- Als je bent buitengesloten, start dan op vanaf de herstelmedia en gebruik de trucs in de opdrachtprompt.
- Onthoud: schakel dit account uit of beperk de toegang ertoe wanneer het niet nodig is om de veiligheid te waarborgen.
Samenvatting
Het herstellen van het beheerdersaccount is minder ingewikkeld dan het lijkt, zodra je vertrouwd raakt met de commandoregel en lokale beleidsregels. De sleutel is voorzichtigheid: stel altijd een wachtwoord in, schakel het account uit wanneer je klaar bent en maak er een gewoonte van om goede beveiligingspraktijken toe te passen. Deze informatie is handig om achter de hand te hebben, vooral als er iets misgaat en je extra toegang nodig hebt. Ik hoop dat dit iemand uit de problemen helpt – het heeft in verschillende situaties gewerkt, dus hopelijk werkt het ook voor jou.