Je ziet het al aan de namen van de XP-versies: Windows XP Home is speciaal voor de computergebruiker thuis, XP Professional is voor de zakelijke markt. De Pro-versie bevat een aantal zaken extra, denk maar aan ondersteuning voor dynamische schijven, twee microprocessoren en offline bestanden. De grootste verschillen echter zitten 'm in de beveiligingsmogelijkheden en het gebruiksbeheer. En juist die komen altijd goed van pas, ongeacht of u XP nu thuis of in een zakelijke omgeving gebruikt. Gelukkig zijn er wat manieren om XP Home op te voeren. Via eenvoudige omwegen, onbekende instructies en gratis tools breidt u XP uit met back-up & automatisch systeemherstel, een extern bureaublad, bestandsbeveiliging (encryptie, machtigingen) én natuurlijk gebruikersbeheer. Overigens zijn deze tips ook handig voor wie de stap naar Windows-XP nog moet zetten; nu weet u meteen of de Professional-editie die extra € 125 (€ 265 versus € 390) waard is. Gebruikersbeheer Eén van de grote voordelen van Windows XP is het uitgebreide gebruikersbeheer en de verbeterde beveiliging. Konden in vorige versies van Windows willekeurige gebruikers zich zomaar aanmelden, met de komst van XP introduceerde Microsoft ook een beter doordacht gebruikersbeleid. Dit beleid gaat uit van twee soorten gebruikers: de administrator (beheerder) en de gewone gebruiker, waarbij de eerste heel wat meer armslag krijgt. Zo kan een computerbeheerder onder meer wachtwoorden van andere gebruikers wijzigen of hun bestanden inkijken, systeemwijzigingen aanbrengen (zoals de installatie van een extra netwerkkaart) en alle programma's (de)installeren. ***lusrmgrmsc.tif Lokale gebruikers(groepen): niet in Home! Professional Zowel in XP Pro als XP Home kunt u via Configuratiescherm, Gebruikersaccounts zelf een beheerder- of gebruikersaccount aanmaken en bewerken. In XP Home houdt het hiermee ongeveer op, de Pro-versie gaat echter een paar stappen verder. Deze bevat namelijk een speciale beheermodule: Lokale gebruikers en groepen. U start deze module op met de opdracht 'lusrmgr.msc' in het venster Uitvoeren. Via het venster Eigenschappen kunt u hier onder meer een wachtwoordbeleid instellen, ervoor zorgen dat een script wordt uitgevoerd zodra die gebruiker zich aanmeldt en kunt u de gebruiker lid maken van een of meerdere gebruikersgroepen. Deze laatste optie lijkt (!) vooral interessant in combinatie met een andere beheermodule, die ook alleen beschikbaar is in de Pro-editie, namelijk Groepsbeleid. Groepsbeleid (kies Uitvoeren en typ de opdracht 'gpedit.msc') is een module waarmee je tal van beleidsregels kunt vastleggen. Hier kunt u de gebruikers letterlijk honderden beperkingen opleggen, zoals een maximale geldigheidsduur van wachtwoorden of het doen verdwijnen van allerlei systeemtabbladen. Wat wel jammer is, is dat deze regels meteen gelden voor álle gebruikers. Een verschillend beleid per gebruikersgroep is dus niet mogelijk, deze mogelijkheid is vooralsnog alleen beschikbaar voor XP Professional-clients die binnen een servergestuurde domein-omgeving opereren. Hebt u een 'gewone' XP Pro-versie dan kunt u dus hooguit met twee logische groepen werken: één waarvoor alle ingestelde beperkingen gelden en één die zich daaraan onttrekt. Stel dat u de Administrator-groep van die beperkingen wilt vrijwaren, dan moet u die groep het leesrecht op de map %SystemRoot%\System32\GroupPolicy ontzeggen, wat weer een ingreep vereist in de access control list-machtigingen (acr, meer hierover leest u bij Bestandsbeveiliging). ***netuser.tif Krachtig(er) beheer via de opdrachtregel. ***accountview.tif AccountView: superhandig tooltje voor XP Home. Home U hebt XP Home, maar wilt toch aan de slag met uitgebreid(er) gebruiksbeheer? Dat kan. Met de opdracht 'net user' (Start, Uitvoeren) maakt u al snel een behoorlijke inhaalbeweging. Meer informatie hierover krijgt u met de opdracht 'net user /help'. (Vergeet niet de slash vóór deze parameters!). Zo zorgt u met 'net user gebruikersnaam /passwordchg:no' er bijvoorbeeld voor dat een gebruiker zijn wachtwoord niet langer kan aanpassen. Met parameters als '/profilepath' en '/scrippath' kunt u hier zelfs een aanmeldingsprofiel en/of -script op loslaten. Ook handig – zeker voor wie kinderen heeft – is de opdracht '/times'. Hiermee regelt u of, en zo ja, wanneer een gebruiker aangemeld mag zijn. Per dag of zelfs per uur! De opdracht 'net group' (voor het aanmaken en beheren van groepen) blijkt jammer genoeg alleen op een domeincontroller te werken. En dan is er nog de opdracht 'control userpasswords2' waarmee u onder meer de administrator een andere accountnaam kunt geven. Even lijkt het er op dat u met deze module (via Eigenschappen, Groepslidmaatschap) ook sommige gebruikers lid kunt maken van een derde accounttype (hoofdgebruikers), maar helaas geeft Home uiteindelijk toch nul op rekest. Maar niet te lang getreurd, want alle hierboven genoemde mogelijkheden (én meer) vinden we ook in het gratis tooltje AccountView (www.nativecs.com). Met dit programma kunt u – overzichtelijk vanuit een grafische interface – gebruikers én groepen creëren, waaraan u dan zelf specifieke gebruikers kunt toevoegen. Bovendien kunt u er voor zorgen dat bepaalde gebruikers alleen op vaste tijdstippen mogen inloggen en dat ze zelf hun wachtwoord niet meer mogen aanpassen. ***persoonlijkemap.tif Een 'persoonlijke map': veilig, maar toch... ***GROTE KOP Machtigingen Het grote voordeel van een eigen gebruikersaccount is natuurlijk dat Windows steevast met uw eigen bureaublad en voorkeursinstellingen opstart. Maar gebruikersaccounts zijn ook om andere redenen erg handig. Bijvoorbeeld om bepaalde mappen ontoegankelijk te maken voor medegebruikers. Dit doet u als volgt: maak een submap binnen uw eigen profielmap (\Documents and Settings\UwAccountNaam\) en selecteer deze vanuit de Verkenner. Kies de optie Delen en beveiliging uit het snelmenu onder de rechtermuisknop. Activeer hier, op het tabblad Delen, de optie 'Van deze map een persoonlijke map maken'. Deze optie zorgt ervoor dat geen enkele andere account toegang krijgt tot deze map (en submappen). Helemáál veilig is deze werkwijze niet. Immers, een (andere) beheerder kan in principe uw accountwachtwoord wijzigen om zich vervolgens met uw account aan te melden. Zo krijgt hij dus alsnog toegang tot uw 'afgeschermde bestanden'. Overigens merkt u dit meteen als u zich weer aanmeldt omdat uw oude wachtwoord niet langer geldig is. Op hetzelfde tabblad Delen staat trouwens ook nog een andere interessante mogelijkheid: u kunt namelijk een (willekeurige) map als een gedeelde map instellen, zodat deze ook voor andere gebruikers toegankelijk wordt via het netwerk. De beveiliging op dit niveau is echter niet al te best: de enige optie die we hier aantreffen is 'Netwerkgebruikers mogen mijn bestanden wijzigen'. Professional Het plaatje verandert grondig als u in XP Professional de optie 'Eenvoudig delen van bestanden gebruiken' uitschakelt (via de Verkenner, menu Extra, Mapopties op het tabblad Weergave). Hiermee krijgt u op het tabblad Delen er niet alleen extra opties bij, ook verschijnt er een heel nieuw tabblad: Beveiliging (alleen voor ntfs-partities). Dit tabblad geeft u toegang tot de eerder genoemde acl-machtigingen, waarmee u heel nauwkeurig de toegangsrechten kunt regelen. Zo is het bijvoorbeeld mogelijk de ene gebruikersgroep volledige beheerrechten toe te kennen, terwijl u een andere groep alleen lees-rechten geeft (via de respectieve knoppen: Geavanceerd, Toevoegen, Geavanceerd, Nu zoeken). Vergelijkbaar hiermee – maar wel beperkter – zijn de machtigingen die u via het tabblad Delen op een netwerkshare kunt instellen. Overigens kunt u deze shares ook via een wizard beheren. U start deze op met het commando 'shrpubw'. In het eerste venster geeft u de map- en sharenaam op, daarna kunt u de gewenste machtigingen instellen. Acl-machtigingen: vlot toegankelijk voor Homies. Specifieke machtigingen op netwerkshares in Home: nét niet. Home Gelukkig is het instellen van machtigingen niet alleen voorbehouden aan XP Pro-gebruikers. Met een kleine omweg kunt u ook acl-machtigingen voor individuele gebruikers in XP Home introduceren. Voorwaarde is wel dat Windows op een ntfs-partitie draait. Probeert u eens de cmd-opdracht 'cacls' of het nog krachtiger 'xcacls' (dat gratis te downloaden is van www.microsoft.com/windows2000/techinfo/reskit/tools/existing/xcacls-o.asp). Tikt u deze opdrachten zonder parameters in, dan krijgt u meteen een handig overzicht van de opties. Een voorbeeld: met de opdracht 'cacls geheim.txt /G Jan:R' verleent u aan gebruiker Jan (alleen) leesrechten over het bestand geheim.txt. Vindt u zo'n kale opdrachtregel maar niks? Dan kunt u voor het toekennen van deze machtigingen ook de grafische interface van de Professional-editie tevoorschijn halen. Start XP Home op in de veilige modus (druk even op de F8-toets bij het opstarten) en open in het venster Eigenschappen van de bewuste map het tabblad Beveiliging. En dan is er ook nog het gratis tooltje ACLView (www.nativecs.com), wellicht een handig alternatief. Niet alleen biedt dit programma een prima overzicht van alle acl-machtigingen, u kunt er zelf ook machtigen naar hartelust aan toevoegen, heel selectief en per gebruiker(sgroep)! Even leek het erop dat we – ook als Home-gebruiker – onze netwerkshares van selectieve machtigingen kunnen voorzien, omdat we ook hier het commando 'shrpubw' kunnen inzetten. Maar helaas: hoewel je met 'shrpubw' allerlei machtigingen voor specifieke gebruikers kunt instellen, schiet je hier weinig mee op omdat netwerkgebruikers in een Home-omgeving toch altijd als gast (guest) binnenkomen. Encryptie Machtigingen zijn weliswaar erg handig, waterdicht is deze beveiliging niet. Zo kunt u afgeschermde mappen probleemloos benaderen. Bijvoorbeeld als u het systeem opstart vanaf een cd-rom met een product als MandrakeMove (gratis te downloaden vanaf www.mandrakelinux.com) of met een simpel dos-schijfje in combinatie met een tool als NTFSDOS (gratis te download vanaf www.sysinternals.com). Voor een echt goede beveiliging moet u aan de slag met encryptie. Professional Alleen de Professional-editie van XP is door Microsoft voorzien van een ingebouwd encryptiesysteem: encrypted file system (efs) genaamd. Ook deze vorm van beveiliging werkt alleen samen met een ntfs-partitie. De procedure is zeer eenvoudig: kies de map die u wilt versleutelen en roep het venster Eigenschappen op. Open het tabblad Algemeen en klik op de knop Geavanceerd. Plaats hier een vinkje naast 'Inhoud coderen om gegevens te beveiligen'. Even bevestigen, en vanaf geeft de Verkenner zo'n versleutelde map een groene kleur. Experimenteert gerust met nieuwe bestanden in deze map: het proces van versleutelen en opnieuw ontsleutelen (als u de bestanden oproept) verloopt geheel transparant. Andere gebruikers echter lukt het niet de inhoud van efs-mappen te ontsleutelen, zelfs niet via sluipwegen als MadrakeMove of NTFSDOS (zie boven). Toch moet u beducht zijn op een tweetal rampscenario's. De eerste: wanneer u als beheerder nonchalant het wachtwoord van een andere gebruiker wijzigt. Hiermee worden namelijk al zijn versleutelde mappen in één klap ontoegankelijk! Het tweede scenario is dat een malafide gebruiker aan de slag gaat met wachtwoordkrakers als LC 4, Cain & Abel of Proactive Windows Security Explorer. Afhankelijk van de complexiteit ervan, krijgt hij uiteindelijk uw wachtwoord in handen en kan hij dus ook de efs-beveiliging omzeilen. Home XP Home bevat geen ingebouwde versleutelingsprocedure. Maar wat niet is ingebouwd, kunnen we natuurlijk wél toevoegen. Er bestaan hiervoor heel wat betrouwbare commerciële oplossingen, maar daar schieten we weinig mee op: dan kunnen we net zo goed die extra € 125 voor de Pro-versie betalen. Gelukkig zijn er ook gratis alternatieven. Enige nadeel: ze werken net iets minder transparant dan efs. We vermelden alvast Cryptainer (gratis in een iets uitgeklede light-versie, www.cypherix.com) waarmee je afgeschermde 'data vaults' op een harde schijf kunt creëren. Alle bestanden die hierin terechtkomen worden automatisch versleuteld. Verder is er nog de open source-tool AxCrypt (http://axcrypt.sourceforge.net). Dit programma werkt weliswaar op het niveau van individuele bestanden, maar is toch vrij transparant: het enige wat we moeten doen om een bestand te ontsleutelen is het aan te klikken. Beide tools werken overigens met alle 32-bit Windows-versies (vanaf Windows 95). Back-up & automatisch systeemherstel Veiligheid is veel meer dan alleen machtigingen en encryptie. Natuurlijk hoort hier het maken van een backup ook bij. Mocht uw pc het dan echt af laten weten, hebt u tenminste altijd nog iets om op terug te vallen. Professional XP Professional-gebruikers kunnen in hun handen wrijven: standaard bevat XP Pro namelijk een backup-programma (Alle Programma's, Bureau-accessoires, Systeemwerkset). Dit is weliswaar niet de meest flexibele tool, hij bevat wel een wizard voor Automatisch systeemherstel (asr), op te roepen vanuit de Geavanceerde modus. Hiermee kunt u een tweedelige backup van uw systeem maken: één met de systeeminstellingen (op diskette) en één van de systeempartitie op een ander medium. In geval van nood dient u dan de XP installatie-cd op te starten om zo (via F2) het geautomatiseerd systeemherstel te activeren. Gewapend met de speciale asr-diskette én de backup van uw partitie kunt u dan het complete systeem, inclusief uw data, weer terugzetten. Asr-module: minder automatisch dan gehoopt. Home Home lijkt het volledig zonder backup-tool te moeten stellen, maar dat is slechts schijn. Verborgen op de XP Home installatie-cd staat namelijk de map \VALUEADD\MSFT\NTBACKUP. Hierin zit onder andere de asr-module, maar jammer genoeg is de functionaliteit van deze wizard zo gekortwiekt dat hij totaal onbruikbaar is. Backuppen kan nog net, maar automatisch systeemherstel ontbreekt geheel. Niet getreurd, want gelukkig bevat de Home-editie wel wat andere modules waarmee we ons systeem weer in het gareel kunnen krijgen. Denk aan Systeemherstel (op te starten vanuit de programmamap Systeemwerkset, al dan niet in veilige modus), de optie Laatst bekende juiste configuratie (in het speciale opstartmenu via F8) en de nogal Spartaanse herstelconsole die u (ook) vanaf de XP-cd aan de praat kunt krijgen. Extern bureaublad Een laatste belangrijk verschil tussen XP Pro en Home is de functie Extern bureaublad. Hiermee hebt u volledig toegang tot uw eigen computer, inclusief gegevens en programma's, ongeacht waar ter wereld u zich bevindt. Professional Dat Microsoft er vanuit gaat dat alleen zakelijke gebruikers op afstand werken, blijkt wel uit het feit dat het Extern bureaublad alleen wordt ondersteund door de Pro-editie. Met deze optie (op te roepen via Deze computer, Eigenschappen, tabblad Verbindingen van buitenaf) maakt u via een lan-, wan- of modemconnectie eenvoudig verbinding met uw pc. In de 'hostmodule' (die dus alleen in Pro zit ingebakken) kunt u instellen welke gebruikers van afstand mogen inloggen, vanzelfsprekend mét wachtwoordbeveiliging. Daarna is het vanaf een clientmachine een fluitje van een cent om het toestel 'over te nemen'. Deze clientmodule zit wél in XP Home, onder Alle Programma's, Bureau-accessoires, Communicatie. Wie wil kan deze functionaliteit overigens ook op andere 32-bit Windows-versies installeren (zoek op de XP-cd de optie 'Andere taken uitvoeren'). Handig, zo'n verbinding van buitenaf. Hulp op afstand: iets omslachtiger. Home Gebruik willen maken van het Extern bureaublad, maar u hebt XP Home? Onthoud dan deze handige omweg. Want met de module Hulp op afstand (eveneens op het tabblad Verbindingen van buitenaf) kunt u ook een XP-toestel op afstand laten overnemen. Het initiatief komt dan wel van de gebruiker op het host-toestel. Stuur via het programmaonderdeel Hulp op Afstand (of vanuit de module Help en ondersteuning) een uitnodiging naar een gebruiker op een ander toestel (via Windows Messenger, e-mail of een bestand). Pas als de uitnodiging wordt geaccepteerd, kunt u een verbinding tot stand brengen met het hulpbehoevende hostsysteem. Tenminste, nadat de hostgebruiker nogmaals zijn fiat heeft gegeven. De verschillen tussen Extern Bureaublad en Hulp op afstand zijn dus niet zo heel erg groot, alleen heeft de laatste verbinding wel wat meer voeten in de aarde. Er zijn ook gratis alternatieven voorhanden. Bekend is de freeware tool VNC (gratis te downloaden vanaf www.realvnc.com) waarvan zowel de host- als de clientmodule op de meest uiteenlopende platformen draaien, waaronder XP Home. Zo loggen wij met VNC vanaf onze XP Home-machine via ons lan en het internet probleemloos in op een XP Professional-pc. Bijkomend voordeel: de gebruiker op de XP-pc kan gewoon verder werken, iets wat niet het geval is bij Extern bureaublad. Conclusie Met de juiste opdrachten en (gratis) extra tools kun je de mogelijkheden van XP Home aardig opkrikken! De reden om voor € 125 de Pro-editie aan te schaffen wordt nu wel erg klein. Alleen wanneer u uw XP-machine(s) in een netwerk met een domeinserver wilt hangen (of wanneer u veel belang hecht aan specifieke machtigingen voor netwerkshares) zou u kunnen overwegen over te stappen naar de Pro-versie.