Machtigingen instellen in Windows 10: Lokaal en netwerk

Als we het over machtigingen hebben, onderscheiden we twee groepen: gebruikers die via het netwerk toenadering zoeken tot je pc, en gebruikers die ook fysiek toegang tot je pc hebben en zich met een eigen account op dat toestel kunnen aanmelden. Het gaat hier dus over gebruikersbeheer, en dan in het bijzonder over lokale en netwerkmachtigingen.

We starten met lokale machtigingen. Een doordacht beleid begint met je eigen account. We gaan ervan uit dat je zowel een administrator-account als een standaard-account hebt en dat je beide met een stevig wachtwoord hebt afgeschermd (of met een alternatief zoals een pincode of biometrische beveiliging). Voor dagelijks gebruik meld je je bij voorkeur als standaardgebruiker aan, aangezien dat potentiële hackers en malware minder armslag geeft. Met welk accounttype je bent aangemeld, kun je in Windows snel achterhalen via Instellingen / Accounts / Uw info.

Idealiter ben je de enige met een administrator-account op die pc. Voor standaardgebruikers is het immers veel moeilijker om zich ongemerkt een weg te banen naar de gegevens van medegebruikers. Althans, wanneer gebruikers die gegevens in hun eigen profielmap hebben bewaard. Standaard is dat de map C:\Users\<accountnaam>. Een handige manier om snel je eigen profielmap te openen, is door Windows-toets+R in te drukken, %userprofile% in te tikken en met Enter te bevestigen.

Het is natuurlijk ook mogelijk je data op een andere locatie dan je profielmap te bewaren. Het vergt dan wel iets meer aandacht en moeite als je zeker wilt zijn dat alleen gemachtigde gebruikers toegang tot die data krijgen. Daarover straks meer. Wat je nu in ieder geval al moet weten, is dat dit alleen maar kan op een partitie die met NTFS is geformatteerd. 

Of dat zo is, kom je te weten door in Verkenner met rechts op dat station te klikken en Eigenschappen te selecteren. Op het tabblad Algemeen zie je achter de aanduiding Bestandssysteem of de partitie daadwerkelijk als NTFS is geformatteerd.

Data afschermen

We gaan ervan uit dat je op een NTFS-partitie een datamap hebt aangemaakt die je van specifieke machtigingen wilt voorzien. Om dat te doen, klik je met rechts op deze map, kies je Eigenschappen en open je het tabblad Beveiliging. Klik op Bewerken / Toevoegen. Bij Geef de objectnamen op vul je de gewenste accountnaam in en druk je op Namen controleren. Als het goed is, wordt nu de volledige aanmeldnaam (inclusief computernaam, bijvoorbeeld DESKTOP-TVD\Toon) ingevuld. Bevestig met OK en met Toepassen.

Selecteer vervolgens de toegevoegde naam bij Namen van groepen of gebruikers en plaats bij Machtigingen voor <accountnaam> een vinkje in de kolom Toestaan bij Volledig beheer wanneer je die gebruiker volledige toegang wilt verschaffen tot de map, zoals bestanden maken, aanpassen, verwijderen, medegebruikers machtigingen verschaffen enzovoort. Een alternatief is dat je alleen een vinkje plaatst bij Lezen en uitvoeren, Mapinhoud weergeven en Lezen. Deze drie volstaan als je de acties van de gebruiker wilt beperken tot alleen lezen en uitvoeren van bestanden in die map.

Je bent er nog niet helemaal. Immers, standaard bevinden zich bij Namen van groepen of gebruikers ook de accounts van Geverifieerde gebruikers en van Gebruikers. De eerste groep is een subgroep van de tweede en bevat specifiek gebruikers die zich al eerder met hun eigen accountnaam succesvol bij Windows (NT Authority) hebben aangemeld.

Beide groepen moet je dus wel nog even wegwerken als je die de toegang wilt ontzeggen. Selecteer een van beide groepen, klik op (Bewerken en) Verwijderen en bevestig de aanpassingen. Herhaal dit voor de andere groep.

De kans is groot dat er een foutmelding opduikt zodra je op Verwijderen drukt. Dat komt dan omdat die groep de machtigingen van een bovenliggende map overneemt. Je moet die automatische overerving van machtigingen dus eerst verbreken. Open daarvoor opnieuw het tabblad Beveiliging en kies Geavanceerd / Overname uitschakelen. Klik op de bovenste optie (Converteer de overgenomen machtigingen voor dit object in expliciete machtigingen).

Immers, kies je de tweede optie (Verwijder de overgenomen machtigingen van dit object), dan moet je zelf alle nodige accounts en machtigingen toevoegen. Bevestig met OK. Als het goed is, laten de gewraakte groepen (Geverifieerde gebruikers en Gebruikers) zich nu wél verwijderen. Let op: zorg dat je de accounts SYSTEM en Administrators ongemoeid laat.

Netwerkinstellingen nalopen

De kans is groot dat je pc of laptop aan een thuisnetwerk is gekoppeld, wat maakt dat andere gebruikers wellicht ook op die manier data op je pc kunnen benaderen. Dat kan trouwens best wel handig zijn, bijvoorbeeld wanneer je wilt dat je partner vanaf haar of zijn pc ook bij bepaalde bestanden op je eigen pc kan.

Om een en ander te regelen op netwerkniveau ga je daarvoor het best eerst bepaalde instellingen op je pc na. Open in Windows Instellingen / Netwerk en internet. Gaat het om een bekabelde connectie, open dan de rubriek Ethernet en klik op de naam van het netwerk waarmee je verbonden bent. Zorg dat hier de optie Privé (en dus niet Openbaar) is geselecteerd. Gaat het om een draadloze verbinding, klik dan op Wi-Fi en kies Bekende netwerken beheren. Ook hier klik je de netwerknaam aan, waarna je Eigenschappen selecteert en Privé kiest.

Je doet er goed aan nog even de volgende onderdelen op je pc na te lopen. Open opnieuw Instellingen / Netwerk en internet en kies Status / Deelopties. Het venster Geavanceerde instellingen voor delen opent. Zorg dat bij Particulier netwerk (huidig profiel) zowel Netwerkdetectie inschakelen als Bestands- en printerdeling inschakelen zijn geselecteerd. Bij het profiel Gast of Openbaar schakel je deze beide opties uit veiligheidsoverwegingen juist uit.

Open onderaan ook de rubriek Alle netwerken, waar je bij voorkeur de optie Met wachtwoord beveiligd delen inschakelen selecteert. We hebben namelijk ondervonden dat bestandsdeling in Windows weleens nukkig kan doen als je deze optie uitschakelt. Deze optie inschakelen is bovendien ook iets veiliger, omdat elke gebruiker dan eerst over een eigen lokaal account op die pc moet beschikken voor hij via het netwerk een gedeelde map op dat toestel kan benaderen.

Als het goed is, zorgen de bovenstaande instellingen ervoor dat je pc zichtbaar wordt in je thuisnetwerk – en dat is de bedoeling als je data wilt delen. Natuurlijk zorg je ervoor dat de pc ook makkelijk herkenbaar is op het netwerk, door hem een duidelijke naam te geven.

Druk hiervoor op de Windows-toets, tik config in en start Configuratiescherm op. Hier open je via Weergeven op: Categorie het onderdeel Systeem en beveiliging / Systeem en klik je op Instellingen wijzigen / Wijzigen of op Naam van pc wijzigen (geavanceerd), waarna je een duidelijke Computernaam invult. 

Vul tevens een geschikte naam in bij Werkgroep (de standaardnaam hiervoor is workgroup). Besef wel dat de computernamen binnen je thuisnetwerk allemaal uniek moeten zijn, terwijl je alle computers bij voorkeur juist wel dezelfde werkgroepnaam geeft. Bevestig je keuzes met OK (2x) en herstart vervolgens je pc.

Delen over het netwerk

Je hebt nu in principe alles in gereedheid gebracht om data met andere gebruikers over het netwerk te delen. Start je Verkenner op en klik met rechts op een map die je wilt delen. Klik op Eigenschappen, ga naar het tabblad Delen en druk op de knop Delen. In het uitklapmenu bovenaan selecteer je het Windows-account waarmee je de map wilt delen. Wil je alle gebruikers in één keer toevoegen, kies dan Iedereen. Bevestig je keuze met Toevoegen.

Bij Machtigingsniveau kun je nu kiezen tussen het standaardniveau Lezen en Lezen/schrijven. Bij dit laatste kan de netwerkgebruiker je data niet alleen bekijken of openen, maar tevens wijzigen of verwijderen, en ook zelf eigen bestanden in de gedeelde map maken. In het menu tref je trouwens ook de optie Verwijderen aan: daarmee kun je een account ook makkelijk weer de toegang ontzeggen. Bevestig met de knop Delen.

Via de knop Delen stel je dus snel een paar eenvoudige machtigingen in, maar dat kan fijnmaziger, mocht je daar behoefte aan hebben. In de plaats van de knop Delen druk je dan op de knop Geavanceerd delen. Je kunt hier om te beginnen zelf de Sharenaam kiezen als je een vinkje plaatst bij Deze map delen (via de knop Delen wordt hiervoor automatisch de mapnaam overgenomen). Een handig weetje is dat je, wanneer je een $-teken achteraan de sharenaam toevoegt, die naam niet zomaar zichtbaar is in Verkenner.

Via de knop Machtigingen / Toevoegen kun je desgewenst ook specifiekere gebruikersmachtigingen toekennen: Volledig beheer, Wijzigen en/of Lezen.

Eerder hebben we het gehad over lokale machtigingen. Wat als je diezelfde gebruiker andere machtigingen toekent op shareniveau? Stel, je hebt hem of haar op lokaal niveau alleen Lezen toegekend, maar op shareniveau Volledig beheer. De regel is dan even eenvoudig als onverbiddelijk: Windows gaat automatisch uit van de meest beperkende combinatie van lokale en share-machtigingen voor wie via het netwerk de pc benadert. In ons voorbeeld houdt dit dus in dat die gebruiker via het netwerk alleen over leesrechten beschikt.

UNC-pad

Je hebt het vast al gemerkt: zodra je met de knop Delen hebt bevestigd, verschijnt het pad naar de gedeelde netwerkmap. Dit pad neemt het zogenoemde UNC-formaat aan (Universal Naming Convention) en wel als volgt: \\<computernaam>\<sharenaam>, bijvoorbeeld \\desktop-tvd\data-TA.

Klik onderaan op Alle netwerkshares op deze computer weergeven om een lijst met shares op de pc te zien. Je krijgt dit overzicht trouwens ook als je op die pc \\<computernaam> of \\<localhost> invoert in de adresbalk van Verkenner.

Vanaf een andere netwerk-pc kun je zo’n share dus altijd ook benaderen via datzelfde UNC-pad, althans wanneer je voor dat account over de juiste machtigingen beschikt.

Gaat het om een ‘verborgen share’, dan hoef je dus maar het $-teken toe te voegen achteraan het UNC-pad (iets als \\desktop-tvd\data-TA$).

Je kunt in het navigatievenster van Verkenner (zichtbaar te maken via Beeld / Navigatievenster) ook het item Netwerk tegenkomen, zodat je dat in principe maar hoeft te openen om de shares te zien. In de praktijk blijkt dat echter niet altijd goed te functioneren.

Een handige tool is tenslotte nog Gedeelde mappen: druk op Windows-toets+R en voer fsmgmt.msc uit. Je krijgt hier een mooi overzicht van zowel shares, actieve sessies als geopende bestanden.