wsecedit.dll.mui Gebruikersinterfacemodule Beveiligingsconfiguratie 95777bc860ca132edb56e3642eeee946

File name:	wsecedit.dll.mui
Size:	487424 byte
MD5:	95777bc860ca132edb56e3642eeee946
SHA1:	52275b8329752ad29deb2481e04e73246e9ac708
SHA256:	8c6ef2854bf981dda423a17464658919af679339a0e3faf45ec55c5972523975
Operating systems:	Windows 10
Extension:	MUI

If an error occurred or the following message in Dutch language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.

id	Dutch	English
1	WSecEdit-uitbreidingsklasse	WSecEdit Extension Class
2	Naam	Name
3	Beschrijving	Description
4	Beleid	Policy
5	Database-instelling	Database Setting
6	Computerinstelling	Computer Setting
7	Beveiligingssjabloon	Security Template
8	Sjablonen	Templates
9	Laatste configuratie/analyse	Last Configuration/Analysis
10	Beveiligingssjablonen die zijn gedefinieerd om een computer te configureren of te analyseren.	Security templates defined to configure or analyze a computer.
12	Beveiligingsbeleid	Security Policy
13	Toewijzing van gebruikersrechten	User Rights Assignment
14	Beperkte groepen	Restricted Groups
15	Systeemservices	System Services
16	Register	Registry
17	Bestandssysteem	File System
19	Toewijzingen van gebruikersrechten	User rights assignments
21	Instellingen voor systeemservice	System service settings
22	Instellingen voor registerbeveiliging	Registry security settings
23	Beveiligingsinstellingen voor bestandssysteem	File system security settings
24	Beveiligingssjablonen	Security Templates
25	(niet opgeslagen)	(not saved)
26	Beveiligingsinstellingen	Security Settings
27	WSecEdit-beveiligingsconfiguratieklasse	WSecEdit Security Configuration Class
28	WSecEdit-beveiligingsbeheerklasse	WSecEdit Security Manager Class
29	Weet u zeker dat u %s wilt verwijderen?	Are you sure you want to delete %s?
30	Wilt u alle geselecteerde items verwijderen?	Do you want to delete all selected items?
31	Computer nu &analyseren... De huidige computerinstellingen vergelijken met de beveiligingsinstellingen in de database	&Analyze Computer Now... Compares the current computer settings against the security settings in the database
34	Sjabloon e&xporteren... De basissjabloon voor de huidige computer exporteren	&Export Template... Exports the base template for the current computer
35	&Bestanden toevoegen... Nieuwe bestanden aan deze sjabloon toevoegen	Add Fi&les... Adds new files to this template
36	&Nieuw zoekpad voor sjabloon... Locatie van sjabloon toevoegen aan zoekpad voor beveiligingssjabloon.(.inf - INF-indeling)	&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format)
37	Nieuwe &sjabloon... Een nieuwe sjabloon maken	&New Template... Creates a new template
38	&Pad verwijderen De opgegeven locatie uit het zoekpad verwijderen	&Remove Path Removes the selected location from the search path
39	Ver&nieuwen Deze locatie vernieuwen zodat recentelijk toegevoegde sjablonen worden weergegeven	Re&fresh Updates this location to display recently added templates
40	Computer nu &configureren... De computer configureren volgens de opgegeven sjabloon	Con&figure Computer Now... Configures the computer according to the selected template
42	Kan de sjabloon niet importeren uit %s	Windows cannot import the template from %s
43	Opslaan &als... De sjabloon onder een nieuwe naam opslaan	Save &As... Saves the template with a new name
44	&Kopiëren De geselecteerde sjabloongegevens naar het Klembord kopiëren	&Copy Copies the selected template information to the Clipboard
45	&Plakken Klembord-gegevens in de sjabloon plakken	&Paste Pastes Clipboard information into the template
46	Bron GPO	Source GPO
47	&Vernieuwen Gegevens vernieuwen	&Refresh Refreshes data
48	Om dit object toe te voegen is beveiliging vereist	Security is required to add this object
49	Kan de beveiligingssjabloon niet importeren	Windows cannot import the security template
50	Wachtwoordbeleid	Password Policy
51	Maximale wachtwoordduur dagen	Maximum password age days
52	Minimale wachtwoordduur dagen	Minimum password age days
53	Minimale wachtwoordlengte tekens	Minimum password length characters
54	Uniekheid van wachtwoorden forceren door laatste wachtwoord(en) te onthouden wachtwoorden onthouden	Enforce password history passwords remembered
55	Wachtwoorden moeten voldoen aan complexiteitsvereisten	Password must meet complexity requirements
56	De gebruiker moet zich aanmelden om het wachtwoord te wijzigen	User must log on to change the password
57	Accountvergrendelingsbeleid	Account Lockout Policy
58	Drempel voor accountvergrendelingen ongeldige aanmeldingspogingen	Account lockout threshold invalid logon attempts
59	Opnieuw beginnen met tellen na minuten	Reset account lockout counter after minutes
60	Account vergrendelen gedurende minuten	Account lockout duration minutes
61	Wilt u deze sjabloon verwijderen?	Do you want to delete this template?
62	De database is niet geladen.	The database is not loaded.
63	Netwerkbeveiliging: gebruikers automatisch afmelden als aanmeldingstijd verstrijkt	Network security: Force logoff when logon hours expire
65	Accounts: de naam van het administratoraccount wijzigen	Accounts: Rename administrator account
67	Accounts: de naam van het gastaccount wijzigen	Accounts: Rename guest account
68	Opnieuw laden De lokale en effectieve beleidstabellen uit de beleidsdatabase laden	Reload Reloads the local and effective policy tables from the policy database
69	Groepsnaam	Group Name
70	Gebeurtenislogboek	Event Log
71	Maximale grootte van het systeemlogboek kB	Maximum system log size kilobytes
72	Bewaarmethode voor het systeemlogboek	Retention method for system log
73	Systeemlogboek bewaren dagen	Retain system log days
74	Maximale grootte van het beveiligingslogboek kB	Maximum security log size kilobytes
75	Bewaarmethode voor het beveiligingslogboek	Retention method for security log
76	Beveiligingslogboek bewaren dagen	Retain security log days
77	Maximale grootte van het toepassingslogboek kB	Maximum application log size kilobytes
78	Bewaarmethode voor het toepassingslogboek	Retention method for application log
79	Toepassingslogboek bewaren dagen	Retain application log days
80	Computer afsluiten als beveiligingscontrolelogboek volraakt	Shut down the computer when the security audit log is full
81	Controlebeleid	Audit Policy
82	Modus van gebeurteniscontrole	Event Auditing Mode
83	Systeemgebeurtenissen controleren	Audit system events
84	Aanmeldingsgebeurtenissen controleren	Audit logon events
85	Objecttoegang controleren	Audit object access
86	Gebruik van bevoegdheden controleren	Audit privilege use
87	Beleidswijzigingen controleren	Audit policy change
88	Accountbeheer controleren	Audit account management
89	Procesopsporing controleren	Audit process tracking
90	Beveiligingsopties	Security Options
92	Niet gedefinieerd	Not Defined
95	Kan geen leden toevoegen	Cannot add members
96	Kan beveiliging niet weergeven	Cannot display security
97	Kan geen gebruikers toevoegen	Cannot add users
98	Kan geen mapobject toevoegen	Cannot add directory object
99	Kan geen map toevoegen	Cannot add a folder
100	-- Leden	-- Members
102	De bestandsnaam bevat tekens die niet kunnen worden herkend door de huidige systeemtaal. Geef dit bestand een andere naam.	This file name contains some characters that can not be recognized by current system language. Please rename it.
103	Machtiging	Permission
104	Controleren	Audit
106	Kan geen bestand toevoegen	Windows cannot add a file.
107	Ongeldige sjabloonnaam	The template name is not valid.
108	Fout bij het exporteren van de opgeslagen sjabloon	An error occurred while exporting the stored template.
109	Kan registersleutel niet toevoegen	Windows cannot add a registry key
110	Volledig beheer	Full Control
111	Wijzigen	Modify
112	Lezen en uitvoeren	Read and Execute
113	Mapinhoud weergeven	List Folder Contents
114	Lezen	Read
115	Schrijven	Write
116	Door map bladeren/bestand uitvoeren	Traverse Folder/Execute File
117	Verwijderen	Delete
120	Geen	None
124	Waarde opvragen	Query Value
125	Waarde instellen	Set Value
126	Subsleutel maken	Create Subkey
127	Subsleutels inventariseren	Enumerate Subkeys
128	Waarschuwen	Notify
129	Koppeling maken	Create Link
130	Uitvoeren	Execute
131	Kan geen thread maken	Cannot create a thread
132	De volgende accounts kunnen niet worden gevalideerd: %1	The following accounts could not be validated: %1
141	Naam van logboekbestand	Log File Name
143	Beveiligingsanalyse uitvoeren	Perform Security Analysis
144	Instellingen voor het beveiligingsbeleid	Security policy settings
146	Beveiligingsconfiguratie en -analyse v.1.0	Security Configuration and Analysis v1.0
147	Beveiligingsconfiguratie en -analyse is een beheerprogramma om computers te beveiligen en beveiligingsaspecten te analyseren. Met dit programma kunt u beveiligingssjablonen maken, bewerken en toepassen, op een sjabloon gebaseerde analyses uitvoeren en resultaten van analyses weergeven.	Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results.
148	Laatste analyse is uitgevoerd op	Last analysis was performed on
149	Beschrijving van basisbeveiligingsconfiguratie:	Base security configuration description:
150	De computer is geconfigureerd aan de hand van de volgende sjabloon. Er is geen analyse uitgevoerd.	The computer was configured by the following template. Analysis was not performed.
151	De database is niet geconfigureerd of geanalyseerd met behulp van Beveiligingsconfiguratie en -analyse.	The database has not been configured or analyzed using Security Configuration and Analysis.
152	Over Beveiligingsconfiguratie en -analyse	About Security Configuration and Analysis
153	Over laatste analyse	About Last Analysis
154	Sjabloonlocatie toevoegen aan de beveiligingssjablonen	Add a Template Location to Security Templates
165	Objectnaam	Object Name
166	Inconsistente waarden	Inconsistent Values
168	Sjabloon openen	Open Template
169	Beveiligingssjabloon (.inf)|*.inf||	Security Template (.inf)|*.inf||
170	inf	inf
171	Foutenlogboekbestand openen	Open Error Log File
172	log	log
173	Logboekbestanden (.log)|*.log||	Log files (.log)|*.log||
193	Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations	Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations
194	Kan sjabloonbestand niet openen	Windows cannot open template file.
195	Kan sjabloongegevens niet lezen	Windows cannot read template information.
196	In de geselecteerde database zijn geen analysegegevens beschikbaar om weer te geven. Kies de menu-optie Analyseren om dit hulpprogramma te gebruiken.	There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool.
197	0	0
198	Indien nodig	As needed
199	Op dagen	By days
200	Handmatig	Manually
201	Ingeschakeld	Enabled
202	Uitgeschakeld	Disabled
203	Aan	On
204	Uit	Off
210	Leden	Members
211	Lid van	Member Of
214	CLASSES_ROOT	CLASSES_ROOT
215	MACHINE	MACHINE
216	USERS	USERS
217	Gelukt	Succeeded
229	Onbekende fout	Unknown error
232	\Security\Templates	\Security\Templates
233	Deze computer via het netwerk benaderen	Access this computer from the network
234	Lokaal aanmelden toestaan	Allow log on locally
235	Opslaan is mislukt	Failed to save
236	Op&slaan De sjabloon opslaan	&Save Save the template
237	Software\Microsoft\Windows NT\CurrentVersion\SecEdit	Software\Microsoft\Windows NT\CurrentVersion\SecEdit
238	Map toevoegen	Add Folder
239	&Map toevoegen... Een nieuwe map aan deze sjabloon toevoegen	Add &Folder... Adds a new folder to this template
240	&Sleutel toevoegen... Een nieuwe sleutel aan deze sjabloon toevoegen	Add &Key... Adds a new key to this template
241	&Groep toevoegen... Een nieuwe groep aan deze sjabloon toevoegen	Add &Group... Adds a new group to this template
248	Servicenaam	Service Name
249	Opstarten	Startup
250	Geanalyseerd	Analyzed
251	Geconfigureerd	Configured
252	Automatisch	Automatic
254	OK	OK
255	Onderzoeken	Investigate
256	Databasebeveiliging voor	Database Security for
257	Beveiliging voor de laatste keer geannalyseerd	Last Analyzed Security for
258	Beveiliging voor	Security for
262	Groepslidmaatschap	Group Membership
263	Leden van deze groep	Members of this group
266	Accountbeleid	Account Policies
267	Wachtwoord- en accountvergrendelingsbeleid	Password and account lockout policies
268	Lokaal beleid	Local Policies
269	Beleid voor controle-, gebruikersrechten- en beveiligingsopties	Auditing, user rights and security options policies
271	Instellingen voor gebeurtenislogboek en Logboeken	Event Log settings and Event Viewer
272	Directoryservice-toegang controleren	Audit directory service access
273	Accountaanmeldingsgebeurtenissen controleren	Audit account logon events
275	Toegang tot het systeemlogboek voor gasten verhinderen	Prevent local guests group from accessing system log
276	Lokale gasten geen toegang geven tot het beveiligingslogboek	Prevent local guests group from accessing security log
277	Lokale gasten geen toegang geven tot het toepassingslogboek	Prevent local guests group from accessing application log
278	Altijd	Always
281	Negeren	Ignore
284	Vervangen	Replace
286	Aanmelden als batchtaak	Log on as a batch job
287	Aanmelden als service	Log on as a service
288	Active Directory-objecten	Active Directory Objects
289	Beveiligingsbeheer van Active Directory-objecten	Security management of Active Directory objects
290	Directory-&object toevoegen Een Active Directory-object aan deze sjabloon toevoegen	Add Directory &Object Adds an Active Directory object to this template
293	Map weergeven/Gegevens lezen	List folder / Read data
294	Kenmerken lezen	Read attributes
295	Uitgebreide kenmerken lezen	Read extended attributes
296	Bestanden maken/Gegevens schrijven	Create files / Write data
297	Mappen maken/Gegevens toevoegen	Create folders / Append data
298	Kenmerken schrijven	Write attributes
299	Uitgebreide kenmerken schrijven	Write extended attributes
300	Onderliggende mappen en bestanden verwijderen	Delete subfolders and files
302	Machtigingen lezen	Read permissions
303	Machtigingen wijzigen	Change permissions
304	Eigenaar worden	Take ownership
305	Synchroniseren	Synchronize
306	Lezen, schrijven en uitvoeren	Read, Write and Execute
307	Schrijven en uitvoeren	Write and Execute
308	Bladeren/Uitvoeren	Traverse / Execute
309	Alleen deze map	This folder only
310	Deze map, onderliggende mappen en bestanden	This folder, subfolders and files
311	Deze map en onderliggende mappen	This folder and subfolders
312	Deze map en bestanden	This folder and files
313	Alleen onderliggende mappen en bestanden	Subfolders and files only
314	Alleen onderliggende mappen	Subfolders only
315	Alleen bestanden	Files only
316	Alleen deze sleutel	This key only
317	Deze sleutel en subsleutels	This key and subkeys
318	Alleen subsleutels	Subkeys only
321	Starten, stoppen en onderbreken	Start, stop and pause
322	Querysjabloon	Query template
323	Sjabloon wijzigen	Change template
324	Querystatus	Query status
325	Afhankelijken inventariseren	Enumerate dependents
326	Starten	Start
327	Stoppen	Stop
328	Onderbreken en doorgaan	Pause and continue
329	Ondervragen	Interrogate
330	Door de gebruiker gedefinieerd beheer	User-defined control
335	Items maken	Create children
336	Items verwijderen	Delete children
337	Inhoud weergeven	List contents
338	Zichzelf toevoegen/verwijderen	Add/remove self
339	Leeseigenschappen	Read properties
340	Schrijfeigenschappen	Write properties
341	Alleen deze container	This container only
342	Deze container en subcontainers	This container and subcontainers
343	Alleen subcontainers	Subcontainers only
344	[[ Configuratie van beleid voor lokale computer ]]	[[Local Computer Policy Configuration ]]
345	Account wordt niet vergrendeld	Account will not lock out.
346	Wachtwoord kan meteen worden gewijzigd	Password can be changed immediately.
347	Geen wachtwoord vereist	No password required.
348	Wachtwoordgeschiedenis niet bijhouden	Do not keep password history.
349	Wachtwoord verloopt na:	Password will expire in:
350	Wachtwoord mag worden gewijzigd na:	Password can be changed after:
351	Wachtwoord dient ten minste:	Password must be at least:
352	Wachtwoordgeschiedenis bijhouden voor:	Keep password history for:
353	Account wordt vergrendeld na:	Account will lock out after:
354	Account wordt vergrendeld voor:	Account is locked out for:
355	Gebeurtenissen overschrijven indien ouder dan:	Overwrite events older than:
356	Wachtwoord verloopt nooit	Password will not expire.
357	Account wordt vergrendeld totdat de administrator dit ontgrendelt	Account is locked out until administrator unlocks it.
359	Wachtwoorden met omkeerbare versleuteling opslaan	Store passwords using reversible encryption
360	Kerberos-beleid	Kerberos Policy
361	Aanmeldingsbeperkingen voor gebruiker forceren	Enforce user logon restrictions
362	Maximale tolerantie voor synchronisatie van computerklokken minuten	Maximum tolerance for computer clock synchronization minutes
363	Maximale levensduur van serviceticket minuten	Maximum lifetime for service ticket minutes
364	Maximale levensduur van gebruikersticket uur	Maximum lifetime for user ticket hours
365	Maximale levensduur voor vernieuwing van gebruikersticket dagen	Maximum lifetime for user ticket renewal days
366	Lid toevoegen	Add Member
368	Er is onvoldoende geheugen om deze sectie weer te geven	There is not enough memory to display this section
369	Er zijn geen gegevens beschikbaar over de laatste analyse	No information is available about the last analysis
370	Kan gewijzigde sjablonen niet opslaan	Windows cannot save changed templates.
372	Beveiligingsconfiguratie en -analyse	Security Configuration and Analysis
374	Sjabloon i&mporteren... Een sjabloon in deze database importeren	&Import Template... Import a template into this database
376	Kan %s niet maken of openen	Windows cannot create or open %s
377	Foutenlogboekbestand zoeken	Locate error log file
378	sdb	sdb
379	Beveiligingsdatabasebestanden (*.sdb)|*.sdb|Alle bestanden (*.*)|*.*||	Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*||
380	Sjabloon toepassen op computer	Apply Template to Computer
381	Pad naar foutenlogboekbestand om de voortgang van het configuratieproces van de computer in op te nemen	Error log file path to record the progress of configuring the computer
382	&Beveiliging...	&Security...
383	Beveiliging voor dit item bewerken	Edit security for this item
384	Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration	Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration
385	&Beveiliging Beveiliging voor dit item bewerken	&Security... Edit security for this item
386	EnvironmentVariables	EnvironmentVariables
387	%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|	%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|
388	&Database openen... Een bestaande of nieuwe database openen	O&pen Database... Open an existing or new database
389	&Nieuwe database... Een nieuwe database maken en openen	&New Database... Create and open a new database
390	Beschrijvin&g opgeven... Geef een beschrijving op voor de sjablonen in deze map	Set Descri&ption... Create a description for the templates in this directory
392	\help\sce.chm	\help\sce.chm
395	Alle bestanden (*.*)|*.*||	All files (*.*)|*.*||
396	Database: %s	Database: %s
397	Er is een onbekende fout opgetreden bij het openen van de database.	An unknown error occurred when attempting to open the database.
398	Voordat u de database kunt gebruiken, zult u deze moeten analyseren. Ga naar het menu Database en selecteer de optie waarmee een analyse kan worden uitgevoerd.	Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis.
399	De database die u probeert te openen, bestaat niet. Ga naar het menu Database en klik op Sjabloon importeren.	The database you are attempting to open does not exist. On the Database menu, click Import Template.
400	De database is beschadigd. Raadpleeg de online-Help voor meer informatie over het repareren van de database.	The database is corrupt. For information about fixing the database, see online Help.
401	Er is onvoldoende geheugen om de database te laden. Sluit enkele toepassingen en probeer het nogmaals.	There is not enough memory available to load the database. Close some programs and then try again.
402	Toegang tot de database is geweigerd. U moet over beheerdersmachtigingen beschikken om met de database te kunnen werken, tenzij de machtigingen voor de database zijn gewijzigd.	Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it.
403	\Security\Database	\Security\Database
404	Wilt u de wijzigingen die zijn aangebracht in %s opslaan?	Do you want to save changes to %s?
405	Er is een bestaande geïmporteerde sjabloon in behandeling. Klik op Annuleren om deze op te slaan. Voer vervolgens een analyse of configuratie uit voordat u een andere sjabloon importeert. Klik op OK als u de vorige geïmporteerde sjabloon wilt negeren.	There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK.
406	Alle geselecteerde bestanden	All Selected Files
407	Lokaal aanmelden weigeren	Deny log on locally
408	Toegang tot deze computer vanaf het netwerk weigeren	Deny access to this computer from the network
409	Aanmelden als service weigeren	Deny log on as a service
410	Aanmelden als batchtaak weigeren	Deny log on as a batch job
411	Groep toevoegen	Add Group
412	&Groep:	&Group:
413	Niet geanalyseerd	Not Analyzed
414	Fout bij analyse	Error Analyzing
416	Voorgestelde instelling	Suggested Setting
417	Lokaal beleid ... Een sjabloonbestand van de lokale beleidsregels maken	Local Policy ... Create template file from the local policy settings
418	Effectief beleid ... Een sjabloon van de effectieve beleidsregels maken	Effective Policy ... Create template file from the effective policy settings
419	Beveiligingsconfiguratie en -analyse Een bestaande database openen: Klik met de rechtermuisknop op het scope-item Beveiligingsconfiguratie en -analyse. Klik op Database openen. Selecteer een database en klik op Openen Een nieuwe database maken: Klik met de rechtermuisknop op het scope-item Beveiligingsconfiguratie en -analyse. Klik op Database openen. Voer een nieuwe databasenaam in en klik op Openen Selecteer een beveiligingsconfiguratiebestand om te importeren en klik vervolgens op Openen	Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open
420
422	De database die u probeert te openen, bestaat niet.	The database you are attempting to open does not exist.
423	U kunt een nieuwe database voor lokaal beleid maken door in het menu Beveiligingsinstellingen de optie Importbeleid te kiezen.	You can create a new local policy database by choosing Import Policy from the Security Settings menu commands.
424	Toegang tot database is geweigerd.	Access to database has been denied.
425	Lo&gboekbestand weergeven De weergave van het logboekbestand of de mapstructuur in- of uitschakelen wanneer het knooppunt Beveiligingsconfiguratie en analyse wordt geselecteerd.	View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected
426	U kunt de computer nu configureren of analyseren met de beveiligingsinstellingen in deze database.De computer configureren:Klik met de rechtermuisknop op Beveiligingsconfiguratie en -analyseSelecteer Computer nu configurerenGeef de naam op van het logboekbestand dat u wilt weergeven en klik op OKOpmerking: als de configuratie is voltooid, moet u een analyse uitvoeren om de gegevens in de database te kunnen weergeven.De beveiligingsinstellingen voor de computer analyseren:Klik met de rechtermuisknop op Beveiligingsconfiguratie en -analyseSelecteer Computer nu analyserenGeef het pad naar het logboekbestand op en klik op OKOpmerking: u kunt het logboekbestand weergeven dat tijdens een configuratie of analyse is gemaakt door in het snelmenu Beveiligingsconfiguratie en -analyse de optie Logboekbestand weergeven te selecteren.	You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu.
427	Fout bij het lezen van de locatie	Error Reading Location
429	Beleidsinstelling	Policy Setting
430	&Wizard Beveiliging... Wizard Veilige serverfunctie	Secure &Wizard... Secure Server Role Wizard
431	Kan de ongeldige sjabloon %s niet importeren.	Windows cannot import invalid template %s
432	Accounts: status van het administratoraccount	Accounts: Administrator account status
433	Accounts: status van het gastaccount	Accounts: Guest account status
434	Eigenschappen	Properties
435	De gebruikersnaam is ongeldig. De gebruikersnaam is blanco of bevat geen van de volgende tekens: %1	The username is not valid. It is empty or it may not contain any of the following characters: %1
436	Geen minimum	No minimum
437	In namen van gebruikers en groepen mogen de volgende tekens niet voorkomen: %1	User and group names may not contain any of the following characters: %1
438	De computer kan het opgegeven pad niet vinden: %1	The system can not find the path specified: %1
439	In bestandsnamen mogen de volgende tekens niet voorkomen: %1	File name may not contain any of the following characters: %1
440	U dient een opstartmodus op te geven.	A startup mode must be selected.
441	Het object %1 kan niet worden verwijderd omdat een geopend venster de eigenschappen van het object weergeeft. Sluit het venster en klik opnieuw op Verwijderen als u het object wilt verwijderen.	Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again.
442	Lidmaatschap voor %.17s configureren...	Configure Membership for %.17s...
443	Teller voor accountvergrendeling opnieuw instellen na	Reset account lockout counter after
444	&Beschrijving opgeven... Een beschrijving voor deze sjabloon opgeven	Set Descri&ption... Create a description for this template
445	In de beschrijving mogen de volgende tekens niet voorkomen: %1	Description may not contain any of the following characters: %1
446	Instelling voor sjabloon	Template Setting
449	Controleer of u de juiste machtigingen voor dit object hebt.	Make sure that you have the right permissions to this object.
450	Controleer of het object bestaat.	Make sure that this object exists.
451	De map %1 kan niet worden gebruikt. Kies een andere map.	The folder %1 cannot be used. Choose another folder.
452	Deze computer	My Computer
453	De bestandsnaam is te lang.	The file name is too long.
552	spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm	spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm
698	%1 Deze bestandsnaam is een gereserveerde apparaatnaam. Kies een andere naam.	%1 This file name is a reserved device name. Choose another name.
699	Het bestandstype is onjuist.	The file type is not correct.
700	U dient lid te zijn van de groep Administrators om de aangevraagde bewerking te kunnen uitvoeren.	You must be a member of the Administrators group to perform the requested operation.
701	De bestandsnaam %1 is ongeldig. Geef de bestandsnaam in de juiste indeling op, zoals c:\locatie\bestand.%2.	The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2.
702	Er is geen toewijzing uitgevoerd tussen accountnamen en beveiligings-id's	No mapping between account names and security IDs was done
709	Als deze instelling ook van toepassing op domeinaccounts moet zijn, dient deze instelling in de standaarddomeinbeleidsregels te worden gedefinieerd.	To affect domain accounts, this setting must be defined in default domain policy.
718	Lokaal beveiligingsbeleid	Local Security Policy
740	%1%2	%1%2
741	%1%2 %3	%1%2 %3
745	Speciaal	Special
753	Beveiligingsinstellingen voor Externe toegang tot SAM	Security Settings for Remote Access to SAM
754	Externe toegang	Remote Access
762	Centraal toegangsbeleid	Central Access Policy
763	Centraal toegangsbeleid toegepast op het bestandssysteem	Central Access Policies applied to the file system
764	!!Onbekend beleid!!:	!!Unknown policy!!:
765	%1 %2	%1 %2
1900	Uniekheid van wachtwoorden forceren door laatste wachtwoord(en) te onthouden Met deze beveiligingsinstelling wordt het aantal nieuwe unieke wachtwoorden bepaald dat aan een gebruikersaccount moet worden gekoppeld voordat een oud wachtwoord opnieuw kan worden gebruikt. De waarde moet tussen 0 en 24 wachtwoorden liggen. Met behulp van dit beleid kunnen Administrators de beveiliging verbeteren door ervoor te zorgen dat oude wachtwoorden niet voortdurend opnieuw kunnen worden gebruikt. Standaardwaarde: 24 op domeincontrollers. 0 op zelfstandige servers. Opmerking: lidcomputers volgen standaard de configuratie van hun domeincontrollers. Als u de uniekheid van wachtwoorden effectief wilt houden, moet u ook de beveiligingsinstelling Minimale wachtwoordduur inschakelen om te voorkomen dat wachtwoorden direct kunnen worden gewijzigd nadat ze zijn gewijzigd. Zie Minimale wachtwoordduur voor informatie over deze beveiligingsinstelling.	Enforce password history This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age.
1901	Maximale wachtwoordduur Met deze beveiligingsinstelling wordt de tijdsperiode (in dagen) bepaald dat een wachtwoord kan worden gebruikt voordat het door de gebruiker moet worden gewijzigd. U kunt aangeven dat wachtwoorden na een aantal dagen (tussen 1 en 999) moeten verlopen. Als u de waarde 0 instelt, geeft u aan dat wachtwoorden nooit verlopen. Als de maximale wachtwoordduur een waarde heeft tussen 1 en 999, moet de minimale wachtwoordduur kleiner zijn dan de maximale wachtwoordduur. Als de maximale wachtwoordduur is ingesteld op 0, kan de minimale wachtwoordduur elke waarde tussen 0 en 998 dagen hebben. Opmerking: het wordt aangeraden wachtwoorden elke 30 tot 90 dagen te laten verlopen, afhankelijk van uw omgeving. Op deze manier heeft een kwaadwillende persoon slechts kort de tijd om het wachtwoord van een gebruiker te kraken en zo toegang te verkrijgen tot uw netwerkbronnen. Standaardwaarde: 42.	Maximum password age This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42.
1902	Minimale wachtwoordduur Met deze beveiligingsinstelling wordt de tijdsperiode (in dagen) bepaald dat een wachtwoord moet worden gebruikt voordat het door de gebruiker kan worden gewijzigd. U kunt een waarde tussen 1 en 998 dagen opgeven. Als u de waarde 0 instelt, geeft u aan dat het wachtwoord direct kan worden gewijzigd. De minimale wachtwoordduur moet kleiner zijn dan de maximale wachtwoordduur, tenzij de maximale wachtwoordduur is ingesteld op 0 en wachtwoorden dus nooit verlopen. Als de maximale wachtwoordduur is ingesteld op 0, kunt u de minimale wachtwoordduur instellen op elke waarde tussen 0 en 998. Als u unieke wachtwoorden wilt forceren door laatste wachtwoorden te onthouden, moet u de minimale wachtwoordduur instellen op een hogere waarde dan 0. Zonder een minimale wachtwoordduur kunnen gebruikers keer op keer hetzelfde wachtwoord gebruiken. Met de standaardwaarde is dit niet mogelijk. Hierdoor kan een beheerder een wachtwoord voor een gebruiker opgeven en vervolgens vereisen dat dit wachtwoord moet worden gewijzigd wanneer de gebruiker zich aanmeldt. Als de instelling voor unieke wachtwoorden de waarde 0 heeft, hoeft de gebruiker geen nieuw wachtwoord te kiezen. Deze instelling heeft daarom de standaardwaarde 1. Standaardwaarde: 1 op domeincontrollers. 0 op zelfstandige servers. Opmerking: lidcomputers volgen standaard de configuratie van hun domeincontrollers.	Minimum password age This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers.
1903	Minimale wachtwoordlengte Met deze beveiligingsinstelling wordt het minimum aantal tekens voor een wachtwoord voor een gebruikersaccount bepaald. U kunt een waarde tussen 1 en 14 tekens opgeven. Als u echter de waarde 0 instelt, geeft u aan dat er geen wachtwoord vereist is. Standaardwaarde: 7 op domeincontrollers. 0 op zelfstandige servers. Opmerking: lidcomputers volgen standaard de configuratie van hun domeincontrollers.	Minimum password length This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers.
1904	Wachtwoorden moeten voldoen aan complexiteitsvereisten Met deze beveiligingsinstelling wordt bepaald of wachtwoorden aan complexiteitsvereisten moeten voldoen. Als u dit beleid inschakelt, moeten wachtwoorden aan de volgende minimumvereisten voldoen: Het wachtwoord mag niet de accountnaam van de gebruiker of een gedeelte met meer dan twee opeenvolgende tekens van de volledige naam van de gebruiker bevatten. Het wachtwoord moet ten minste zes tekens lang zijn. Het wachtwoord moet tekens uit drie van de volgende vier categorieën bevatten: Hoofdletters (A tot en met Z) Kleine letters (a tot en met z) De cijfers 0 tot en met 9 Niet-alfabetische tekens (bijvoorbeeld !, $, # en %) Complexiteitsvereisten worden afgedwongen wanneer wachtwoorden worden gemaakt of gewijzigd. Standaardwaarde: Ingeschakeld op domeincontrollers. Uitgeschakeld op zelfstandige servers. Opmerking: lidcomputers volgen standaard de configuratie van hun domeincontrollers.	Password must meet complexity requirements This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers.
1905	Wachtwoorden met omkeerbare versleuteling opslaan Met deze beveiligingsinstelling wordt bepaald of wachtwoorden door het besturingssysteem worden opgeslagen met omkeerbare versleuteling. Dit beleid biedt ondersteuning voor toepassingen waarin protocollen worden gebruikt waarvoor het wachtwoord van de gebruiker vereist is voor authenticatiedoeleinden. Het opslaan van wachtwoorden met omkeerbare versleuteling is hetzelfde als het opslaan van wachtwoorden in normale tekst. Het wordt om deze reden afgeraden dit beleid in te schakelen, tenzij de toepassingsvereisten zwaarder wegen dan de behoefte om wachtwoordgegevens te beveiligen. Dit beleid is vereist als u CHAP-authenticatie (Challenge-Handshake Authentication Protocol) gebruikt via externe toegang of IAS (Internet Authentication Services). Dit beleid is ook vereist als u authenticatiesamenvatting gebruikt in IIS (Internet Information Services). Standaardwaarde: Uitgeschakeld.	Store passwords using reversible encryption This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled.
1906	Account vergrendelen gedurende Met deze beveiligingsinstelling wordt het aantal minuten bepaald dat een vergrendeld account vergrendeld blijft voordat deze automatisch wordt ontgrendeld. Het beschikbare bereik ligt tussen 0 minuten en 99.999 minuten. Als u voor dit beleid de waarde 0 instelt, blijft het account vergrendeld tot dite expliciet door een beheerder wordt ontgrendeld. De vergrendelingsduur van een account moet groter dan of gelijk zijn aan de tijd voor opnieuw instellen. Standaardwaarde: Geen, omdat deze beleidsinstelling alleen van betekenis is als de instelling Drempel voor accountvergrendelingen is opgegeven.	Account lockout duration This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1907	Drempel voor accountvergrendelingen Met deze beveiligingsinstelling wordt het aantal mislukte aanmeldingspogingen bepaald waarna een gebruikersaccount wordt vergrendeld. Een vergrendeld account kan pas worden gebruikt als dit opnieuw is ingesteld door een beheerder of als de vergrendelingsduur voor het account is verlopen. U kunt een waarde tussen 0 en 999 instellen voor het aantal mislukte aanmeldingspogingen. Als u de waarde 0 instelt, wordt het account nooit vergrendeld. Mislukte aanmeldingspogingen op werkstations of lidservers die zijn vergrendeld met Ctrl+Alt+Del of een schermbeveiliging met wachtwoord, tellen ook mee voor deze instelling. Standaardwaarde: 0.	Account lockout threshold This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0.
1908	Teller voor accountvergrendeling opnieuw instellen na Met deze beveiligingsinstelling wordt het aantal minuten bepaald dat na een mislukte aanmeldingspoging moet verstrijken voordat de teller voor mislukte aanmeldingspogingen weer op 0 wordt ingesteld. Het beschikbare bereik ligt tussen 0 minuten en 99.999 minuten. Als u een drempel voor accountvergrendelingen hebt gedefinieerd, moet de tijd voor opnieuw instellen kleiner dan of gelijk zijn aan de vergrendelingsduur. Standaardwaarde: geen, omdat dit beleid alleen van betekenis is als de instelling Drempel voor accountvergrendelingen is opgegeven.	Reset account lockout counter after This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1909	Aanmeldingsbeperkingen voor gebruiker forceren Met deze beveiligingsinstelling wordt bepaald of elke aanvraag voor een sessieticket door de Kerberos V5-KDC (Key Distribution Center) moet worden gevalideerd tegen de beleidsregels voor gebruikersrechten van het gebruikersaccount. Validering van elke aanvraag voor een sessieticket is optioneel, omdat deze extra stap tijd in beslag neemt en de netwerktoegang tot services kan vertragen. Standaardwaarde: Ingeschakeld.	Enforce user logon restrictions This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled.
1910	Maximale levensduur van serviceticket Met deze beveiligingsinstelling wordt het maximum aantal minuten bepaald dat een verleend sessieticket kan worden gebruikt voor toegang tot een bepaald service. De instelling moet groter zijn dan 10 minuten en kleiner dan of gelijk zijn aan de instelling voor Maximale levensduur van gebruikersticket. Als voor het aanvragen van verbinding met een server door een client een verlopen sessieticket wordt gebruikt, wordt door de server een foutbericht geretourneerd. Er moet door de client een nieuw sessieticket worden aangevraagd bij de Kerberos V5-KDC (Key Distribution Center). Zodra een verbinding echter is gevalideerd, maakt het niet meer uit of het ticket geldig blijft. Sessietickets worden alleen gebruikt om nieuwe verbindingen met servers te valideren. Actieve bewerkingen worden niet onderbroken als het sessieticket voor validering van de verbinding tijdens de verbinding verloopt. Standaardwaarde: 600 minuten (10 uur).	Maximum lifetime for service ticket This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours).
1911	Maximale levensduur van gebruikersticket Met deze beveiligingsinstelling wordt het maximum aantal uren bepaald dat een TGT (ticket-granting ticket) van een gebruiker mag worden gebruikt. Standaardwaarde: 10 uur.	Maximum lifetime for user ticket This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours.
1912	Maximale levensduur voor vernieuwing van gebruikersticket Met deze beveiligingsinstelling wordt het maximum aantal dagen bepaald dat een TGT (ticket-granting ticket) van een gebruiker mag worden vernieuwd. Standaardwaarde: 7 dagen.	Maximum lifetime for user ticket renewal This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days.
1913	Maximale tolerantie voor synchronisatie van computerklokken Met deze beveiligingsinstelling wordt het maximale tijdsverschil (in minuten) bepaald dat door Kerberos V5 is toegestaan tussen de tijd op de klok van de client en de tijd op de domeincontroller met Windows Server 2003 die Kerberos-authenticatie biedt. Om replay-aanvallen te voorkomen, wordt in de protocoldefinitie van Kerberos V5 gebruikgemaakt van tijdstempels. Tijdstempels werken alleen juist als de klok van de client en die van de domeincontroller synchroon zijn. Beide computers moeten dus dezelfde datum en tijd hebben. Omdat de klokken van twee computers vaak niet synchroon zijn, kunnen Administrators met dit beleid het maximale toegestane verschil tussen de klok van een client en die van de domeincontroller instellen. Als het verschil tussen de klok van een client en de klok van de domeincontroller kleiner is dan de waarde die voor dit beleid is ingesteld, wordt een tijdstempel die in een sessie tussen de twee computers wordt gebruikt, als authentiek beschouwd. Belangrijk Deze instelling is geen permanente instelling. Als u deze instelling configureert en de computer vervolgens opnieuw start, wordt de standaardwaarde ingesteld. Standaardwaarde: 5 minuten.	Maximum tolerance for computer clock synchronization This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes.
1914	Accountaanmeldingsgebeurtenissen controleren Met deze beveiligingsinstelling wordt bepaald of in het besturingssysteem een controle plaatsvindt telkens wanneer de referenties van het account op deze computer worden gevalideerd. Accountaanmeldingsgebeurtenissen worden gegenereerd wanneer een computer de referenties van een account valideert waarvoor die is gemachtigd. Leden van een domein en computers die niet zijn toegevoegd aan een domein zijn allemaal gemachtigd voor accounts in het domein. Domeincontrollers zijn alle gemachtigd voor accounts in het domein. De validering van de referenties kan de lokale aanmelding ondersteunen, of kan, in het geval van een AD-domeinaccount op een domeincontroller, een aanmelding op een andere computer ondersteunen. Validering van referenties is statusloos, dus er is geen overeenkomende afmeldingsgebeurtenis voor accountaanmeldingsgebeurtenissen. Als u deze beleidsinstelling definieert, kunt u aangeven of geslaagde of mislukte pogingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd (d.w.z. geen geslaagde en geen mislukte pogingen). Standaardwaarden op clientversies: Referenties valideren: geen controle Kerberos-serviceticketbewerkingen: geen controle: Andere gebeurtenissen voor accountaanmeldingen: geen controle Kerberos-authenticatieservice: geen controle Standaardwaarden op serverversies: Referenties valideren: geslaagd Kerberos-serviceticketbewerkingen: geslaagd Andere gebeurtenissen voor accountaanmeldingen: geen controle Kerberos-authenticatieservice: geslaagd Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit account logon events This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1915	Accountbeheer controleren Met deze beveiligingsinstelling wordt bepaald of elke accountbeheergebeurtenis op een computer moet worden gecontroleerd. Voorbeelden van accountbeheergebeurtenissen zijn: Er wordt een gebruikersaccount of -groep gemaakt, gewijzigd of verwijderd. De naam van een gebruikersaccount wordt gewijzigd of het account wordt in- of uitgeschakeld. Er wordt een wachtwoord ingesteld of gewijzigd. Als u deze beleidsinstelling definieert, kunt u aangeven of geslaagde of mislukte pogingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd. Als u controleert op geslaagde pogingen, wordt bij een geslaagde accountbeheergebeurtenis een controlevermelding gemaakt. Als u controleert op mislukte pogingen, wordt bij een mislukte accountbeheergebeurtenis een controlevermelding gemaakt. Als u deze waarde wilt instellen op Geen controle, schakelt u in het dialoogvenster Eigenschappen van deze beleidsinstelling het selectievakje Deze beleidsinstellingen vastleggen in en schakelt u de selectievakjes Geslaagde pogingen en Mislukte pogingen uit. Standaardwaarden op clientversies: Gebruikersaccountbeheer: geslaagd Computeraccountbeheer: geen controle Beheer van beveiligingsgroepen: geslaagd Beheer van distributiegroepen: geen controle Beheer van applicatiegroepen: geen controle Andere gebeurtenissen van accountbeheer: geen controle Standaardwaarden op serverversies: Gebruikersaccountbeheer: geslaagd Computeraccountbeheer: geslaagd Beheer van beveiligingsgroepen: geslaagd Beheer van distributiegroepen: geen controle Beheer van applicatiegroepen: geen controle Andere gebeurtenissen van accountbeheer: geen controle Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit account management This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1916	Directoryservicetoegang controleren Met deze beveiligingsinstelling wordt bepaald of in het besturingssysteem wordt gecontroleerd of de gebruiker probeert toegang te verkrijgen tot Active Directory-objecten. De controle wordt alleen gegenereerd voor objecten waarvoor een SACL (System Access Control List) is opgegeven, en alleen als het soort gevraagde toegang (zoals Lezen, Schrijven of Wijzigen) en het account dat de aanvraag doet, overeenkomen met de instellingen in de SACL. U kunt aangeven of geslaagde of mislukte pogingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd (d.w.z. geen geslaagde en geen mislukte pogingen). Als u controleert op geslaagde pogingen om toegang te verkrijgen tot een Active Directory-object waarvoor een SACL is opgegeven, wordt bij een geslaagde poging een controlevermelding gemaakt. Als u controleert op mislukte pogingen om toegang te verkrijgen tot een Active Directory-object waarvoor een SACL is opgegeven, wordt bij een mislukte poging een controlevermelding gemaakt. Standaardwaarden op clientversies: Toegang tot Active Directory: geen controle Wijzigingen in directoryservice: geen controle Directoryservice-replicatie: geen controle Gedetailleerde directoryservice-replicatie: geen controle Standaardwaarden op serverversies: Toegang tot Active Directory: geslaagd Wijzigingen in directoryservice: geen controledirectory Servicereplicatie: geen controle Gedetailleerde directoryservice-replicatie: geen controle Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit directory service access This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1917	Aanmeldingsgebeurtenissen controleren Met deze beveiligingsinstelling wordt bepaald of in het besturingssysteem elke aan- en afmeldingspoging van een gebruiker moet worden gecontroleerd. Accountafmeldingsgebeurtenissen worden gegenereerd telkens wanneer de aanmeldsessie van een aangemeld gebruikersaccount wordt beëindigd. Als u deze beleidsinstelling definieert, kunt u aangeven of geslaagde of mislukte pogingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd (d.w.z. geen geslaagde en geen mislukte pogingen). Standaardwaarden op clientversies: Aanmelden: geslaagd Afmelden: geslaagd Accountvergrendeling: accountvergrendeling IPsec-hoofdmodus: geen controle IPsec snelle modus: geen controle IPsec uitgebreide modus: geen controle Speciale aanmelding: geslaagd Andere aan- of afmeldingsgebeurtenissen: geen controle Netwerkbeleidserver: geslaagd, mislukt Standaardwaarden op serverversies: Aanmelden: geslaagd, mislukt Afmelden: geslaagd Accountvergrendeling: geslaagd IPsec-hoofdmodus: geen controle IPsec snelle modus: geen controle IPsec uitgebreide modus: geen controle Speciale aanmelding: geslaagd Andere aan- of afmeldingsgebeurtenissen: geen controle Netwerkbeleidserver: geslaagd, mislukt Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit logon events This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1918	Objecttoegang controleren Met deze beveiligingsinstelling wordt bepaald of in het besturingssysteem wordt gecontroleerd of de gebruiker probeert toegang te verkrijgen tot niet-Active Directory-objecten. De controle wordt alleen gegenereerd voor objecten waarvoor een SACL (System Access Control List) is opgegeven, en alleen als het soort gevraagde toegang (zoals Lezen, Schrijven of Wijzigen) en het account dat de aanvraag doet overeenkomen met de instellingen in SACL. U kunt aangeven of geslaagde of mislukte pogingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd (d.w.z. geen geslaagde en geen mislukte pogingen). Als u controleert op geslaagde pogingen, wordt bij elke geslaagde poging tot het openen van een niet-Active Directory-object waarvoor een bijbehorende SACL is opgegeven, een controlevermelding gemaakt. Als u controleert op mislukte pogingen wordt bij elke mislukte poging tot het openen van een niet-Active Directory-object waarvoor een bijbehorende SACL is opgegeven, een controlevermelding gemaakt. U kunt een SACL voor een bestandssysteemobject instellen op het tabblad Beveiliging van het dialoogvenster Eigenschappen van dat object. Standaardwaarde: Geen controle. Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit object access This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1919	Beleidswijzigingen controleren Met deze beveiligingsinstelling wordt bepaald of elke wijziging van het toewijzingsbeleid, controlebeleid of vertrouwensbeleid in het besturingssysteem moet worden gecontroleerd. U kunt aangeven of geslaagde of mislukte wijzigingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd (d.w.z. geen geslaagde pogingen en geen mislukte pogingen). Als u controleert op geslaagde pogingen tot het wijzigen van het toewijzingsbeleid, controlebeleid of vertrouwensbeleid, wordt bij een geslaagde poging tot wijziging een controlevermelding gemaakt. Als u controleert op mislukte pogingen tot het wijzigen van het toewijzingsbeleid, controlebeleid of vertrouwensbeleid, wordt bij een mislukte poging tot wijziging een controlevermelding gemaakt. Standaardwaarden: Beleidswijzigingen controleren: geslaagd Wijziging in authenticatiebeleid: geslaagd Wijziging in autorisatiebeleid: geen controle Beleid MPSSVC op regelniveau wijzigen: geen controle Filterplatformbeleid wijzigen: geen controle Gebeurtenissen voor andere beleidswijzigingen: geen controle Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit policy change This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1920	Gebruik van bevoegdheden controleren Met deze beveiligingsinstelling wordt bepaald of het uitvoeren van een gebruikersrecht moet worden gecontroleerd. Als u deze beleidsinstelling definieert, kunt u aangeven of geslaagde of mislukte pogingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd. Als u controleert op geslaagde uitvoering van een gebruikersrecht, wordt bij geslaagde uitvoering een controlevermelding gemaakt. Als u controleert op mislukte uitvoering van een gebruikersrecht, wordt bij mislukte uitvoering een controlevermelding gemaakt. Als u deze waarde wilt instellen op Geen controle, schakelt u in het dialoogvenster Eigenschappen van deze beleidsinstelling het selectievakje Deze beleidsinstellingen vastleggen in en schakelt u de selectievakjes Geslaagde pogingen en Mislukte pogingen uit. Standaardwaarde: Geen controle. Er worden geen controle gegenereerd voor gebruik van de volgende gebruikersrechten, zelfs niet als voor Gebruik van bevoegdheden controleren controle van geslaagde of mislukte pogingen is opgegeven. Als u controle van deze gebruikersrechten inschakelt, worden er veel gebeurtenissen gegenereerd in het beveiligingslogboek en kunnen de prestaties van uw computer verslechteren. Als u de volgende gebruikersrechten wilt controleren, schakelt u de registersleutel FullPrivilegeAuditing in. Controle op bladeren negeren Fouten in programma's opsporen Tokenobject maken Token op procesniveau vervangen Beveiligingscontrole genereren Back-ups van bestanden en mappen maken Bestanden en mappen terugzetten Let op Onjuiste bewerking van het register kan uw computer beschadigen. Maak een back-up van waardevolle gegevens op de computer voordat u wijzigingen aanbrengt in het register. Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit privilege use This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1921	Procesopsporing controleren Met deze beveiligingsinstelling wordt bepaald of procesgerelateerde gebeurtenissen, zoals het maken van een proces, het afsluiten van een proces, het dupliceren van ingangen en indirecte objecttoegang, in het besturingssysteem moeten worden gecontroleerd. Als u deze beleidsinstelling definieert, kunt u aangeven of geslaagde of mislukte pogingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd (d.w.z. geen geslaagde pogingen en geen mislukte pogingen). Als u controleert op geslaagde pogingen, wordt, telkens wanneer in het besturingssysteem een van deze procesgerelateerde activiteiten wordt uitgevoerd, een controlevermelding gemaakt. Als u controleert op mislukte pogingen, wordt telkens wanneer het in het besturingssysteem niet is gelukt een van deze activiteiten uit te voeren, een controlevermelding gemaakt. Standaardwaarde: Geen controle Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit process tracking This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1922	Systeemgebeurtenissen controleren Met deze beveiligingsinstelling wordt bepaald of er in het besturingssysteem een controle moet worden uitgevoerd voor de volgende gebeurtenissen: • Poging tot wijzigen van systeemtijd • Poging tot starten of afsluiten van beveiligingssysteem • Poging tot laden van Extensible Authentication-componenten • Verlies van gecontroleerde gebeurtenissen vanwege controlesysteemfout • Omvang beveiligingslogboek overschrijdt een in te stellen waarschuwingsdrempelniveau. Als u deze beleidsinstelling definieert, kunt u aangeven of geslaagde of mislukte pogingen moeten worden gecontroleerd of dat er helemaal geen gebeurtenissen moeten worden gecontroleerd (d.w.z. geen geslaagde pogingen en geen mislukte pogingen). Als u controleert op geslaagde pogingen, wordt bij een geslaagde gebeurtenis een controlevermelding gemaakt. Als u controleert op mislukte pogingen, wordt bij een mislukte gebeurtenis een controlevermelding gemaakt. Standaardwaarden: Wijziging in beveiligingsstatus geslaagd Uitbreiding van beveiligingssysteem geen controle Systeemintegriteit geslaagd, mislukt IPsec-stuurprogramma geen controle Overige systeemgebeurtenissen geslaagd, mislukt Belangrijk: Gebruik voor meer controle over het controlebeleid de instellingen op het knooppunt Geavanceerde configuratie van controlebeleid. Ga voor meer informatie over Geavanceerde configuratie van controlebeleid naar https://go.microsoft.com/fwlink/?LinkId=140969.	Audit system events This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1923	Deze computer via het netwerk benaderen Met dit gebruikersrecht wordt bepaald welke gebruikers en groepen via het netwerk verbinding met de computer kunnen maken. Dit gebruikersrecht heeft geen gevolgen voor Extern bureaublad-services. Opmerking: Extern bureaublad-services heette Terminal Services in lagere versies van Windows Server. Standaardwaarden op werkstations en servers: Administrators Back-upoperators Gebruikers Iedereen Standaardwaarden op domeincontrollers: Administrators Geverifieerde gebruikers Ondernemingsdomeincontrollers Iedereen Pre-Windows 2000-compatibele toegang	Access this computer from the network This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access
1924	Functioneren als deel van het besturingssysteem Met dit gebruikersrecht kan een willekeurige gebruiker zonder authenticatie door een proces worden nagebootst. Het proces kan daarom toegang verkrijgen tot dezelfde lokale bronnen als die gebruiker. Processen waarvoor deze bevoegdheid vereist is, moeten het account LocalSystem gebruiken dat deze bevoegdheid al bevat, in plaats van een afzonderlijk gebruikersaccount te gebruiken waaraan dit recht is toegewezen. Als in uw organisatie alleen servers uit de Windows Server 2003-familie worden gebruikt, hoeft u deze bevoegdheid niet aan uw gebruikers toe te wijzen. Als in uw organisatie echter servers met Windows 2000 of Windows NT 4.0 worden gebruikt, moet u deze bevoegdheid toewijzen om toepassingen te kunnen gebruiken waarbij wachtwoorden als normale tekst worden uitgewisseld. Let op Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Wijs dit gebruikersrecht alleen toe aan vertrouwde gebruikers. Standaardwaarde: Geen.	Act as part of the operating system This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None.
1925	Werkstations toevoegen aan domein Met deze beveiligingsinstelling wordt bepaald welke groepen of gebruikers werkstations kunnen toevoegen aan een domein. Deze beveiligingsinstelling is alleen geldig op domeincontrollers. Elke geverifieerde gebruiker beschikt standaard over dit recht en kan maximaal tien computeraccounts in het domein maken. Als u een computeraccount toevoegt aan het domein, kan de computer deelnemen aan een netwerk dat op Active Directory is gebaseerd. Als u bijvoorbeeld een werkstation toevoegt aan een domein, kunnen door dat werkstation accounts en groepen in Active Directory worden herkend. Standaardwaarde: Geverifieerde gebruikers op domeincontrollers. Opmerking: ook gebruikers met de machtiging Computerobjecten maken voor de Active Directory-computercontainer kunnen computeraccounts in het domein maken. Gebruikers met machtigingen voor de container kunnen echter meer dan tien computeraccounts maken. Computeraccounts die via het gebruikersrecht Werkstations toevoegen aan domein zijn gemaakt, hebben bovendien een domeinadministrator als eigenaar, terwijl computeraccounts die via machtigingen voor de container zijn gemaakt, de maker van het account als eigenaar hebben. Als een gebruiker zowel over machtigingen voor de container als over het gebruikersrecht Werkstations toevoegen aan domein beschikt, wordt de computer toegevoegd op basis van de machtigingen voor de computercontainer in plaats van op basis van het gebruikersrecht.	Add workstations to domain This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right.
1926	Geheugenquota voor een proces verhogen Met deze bevoegdheid wordt bepaald wie het maximumgeheugen kan wijzigen dat door een proces kan worden gebruikt. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. Opmerking: deze bevoegdheid is handig voor het afstemmen van het systeem, maar kan worden misbruikt in bijvoorbeeld een Denial of Service-aanval. Standaardwaarde: Administrators Local Service Network Service.	Adjust memory quotas for a process This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service.
1927	Lokaal aanmelden Hiermee wordt bepaald welke gebruikers zich kunnen aanmelden bij deze computer. Belangrijk Als u deze instelling wijzigt, kan dit van invloed zijn op de compatibiliteit met clients, services en applicaties. Voor compatibiliteitsgegevens over deze instelling, gaat u naar Lokaal aanmelden toestaan (https://go.microsoft.com/fwlink/?LinkId=24268 ) (mogelijk Engelstalig) op de website van Microsoft. Standaardwaarden: • Op werkstations en servers: Administrators, Back-upoperators, Hoofdgebruikers, Gebruikers en Gast. • Op domeincontrollers: Accountoperators, Administrators, Back-upoperators en Printeroperators.	Log on locally Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators.
1928	Aanmelden via Extern bureaublad-services toestaan Met deze beveiligingsinstelling wordt bepaald welke gebruikers of groepen zich mogen aanmelden als een Extern bureaublad-servicesclient. Standaardwaarde: Op werkstations en servers: Administrators, Externe bureaubladgebruikers. Op domeincontrollers: Administrators. Belangrijk Deze instelling heeft geen gevolgen voor Windows 2000-computers die niet zijn bijgewerkt naar Service Pack 2.	Allow log on through Remote Desktop Services This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1929	Back-up van bestanden en mappen maken Met dit gebruikersrecht wordt bepaald welke gebruikers machtigingen voor bestanden en mappen, het register en andere permanente objecten kunnen omzeilen om een back-up van het systeem te maken. Dit gebruikersrecht is hetzelfde als het verlenen van de volgende machtigingen aan de gebruiker of groep voor alle bestanden en mappen op de computer: Door map bladeren/bestand uitvoeren Map weergeven/Gegevens lezen Kenmerken lezen Uitgebreide kenmerken lezen Machtigingen lezen Let op Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Omdat u er nooit zeker van kunt zijn of een gebruiker een back-up maakt, gegevens steelt of gegevens kopieert voor distributie, moet u dit gebruikersrecht alleen toewijzen aan vertrouwde gebruikers. Standaardwaarde op werkstations en servers: Administrators Back-upoperators. Standaardwaarde op domeincontrollers: Administrators Back-upoperators Serveroperators.	Back up files and directories This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators
1930	Controle op bladeren negeren Met dit gebruikersrecht wordt bepaald welke gebruikers in mapstructuren kunnen bladeren zonder dat ze hiervoor machtigingen hebben. De gebruiker kan de inhoud van de mapstructuur niet zien, maar alleen door de structuur bladeren. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van de domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. Standaardwaarde op werkstations en servers: Administrators Back-upoperators Gebruikers Iedereen Local Service Network Service Standaardwaarde op domeincontrollers: Administrators Geverifieerde gebruikers Iedereen Local Service Network Service Pre-Windows 2000-compatibele toegang	Bypass traverse checking This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access
1931	Systeemtijd wijzigen Met dit gebruikersrecht wordt bepaald welke gebruikers en groepen de tijd en datum van de interne klok van de computer kunnen wijzigen. Gebruikers aan wie dit gebruikersrecht wordt toegewezen, kunnen op deze manier de weergave van vermeldingen in gebeurtenislogboeken wijzigen. Als de systeemtijd wordt gewijzigd, wordt de werkelijke tijd waarop gebeurtenissen zijn uitgevoerd, in het logboek aangepast aan deze nieuwe tijd. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van de domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. Standaardwaarde op werkstations en servers: Administrators Local Service Standaardwaarde op domeincontrollers: Administrators Serveroperators Local Service	Change the system time This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service
1932	Wisselbestand maken Met dit gebruikersrecht wordt bepaald welke gebruikers en groepen een interne API (Application Programming Interface) kunnen aanroepen om een wisselbestand te maken of te wijzigen. Dit gebruikersrecht wordt intern gebruikt door het besturingssysteem en hoeft doorgaans niet aan gebruikers te worden toegewezen. Raadpleeg voor meer informatie het Help-onderwerp over het vergroten van het wisselbestand voor het virtueel geheugen voor een bepaald station. Standaardwaarde: Administrators.	Create a pagefile This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators.
1933	Tokenobject maken Met deze beveiligingsinstelling wordt bepaald welke accounts door processen kunnen worden gebruikt om een token te maken. Dit token kan vervolgens worden gebruikt om toegang tot een lokale bron te verkrijgen wanneer het proces een interne API (Application Programming Interface) gebruikt om een toegangstoken te maken. Dit gebruikersrecht wordt intern door het besturingssysteem gebruikt. Wijzig dit gebruikersrecht alleen indien nodig toe aan een ander gebruiker, groep of proces dan Lokaal systeem. Let op Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Wijs dit gebruikersrecht dus niet toe aan een gebruiker, groep of proces dat de computer mag overnemen. Standaardwaarde: Geen.	Create a token object This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None
1934	Globale objecten maken Met deze beveiligingsinstelling wordt bepaald of gebruikers globale objecten kunnen maken die beschikbaar zijn tijdens alle sessies. Zonder dit gebruikersrecht kunnen gebruikers nog wel objecten maken die specifiek zijn voor hun eigen sessie. Gebruikers die globale objecten kunnen maken, kunnen processen beïnvloeden die onder andere sessies van gebruikers worden uitgevoerd. Dit kan leiden toepassingsfouten of gegevensbeschadiging. Let op Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Wijs dit gebruikersrecht alleen toe aan vertrouwde gebruikers. Standaardwaarden: Administrators Local Service Network Service Service	Create global objects This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service
1935	Permanent gedeelde objecten maken Met dit gebruikersrecht wordt bepaald welke accounts door processen kunnen worden gebruikt om een mapobject te maken. Dit gebruikersrecht wordt intern gebruikt door het besturingssysteem en is handig voor kernelmodusonderdelen die een uitbreiding zijn van de objectnaamruimte. Dit gebruikersrecht is al toegewezen aan onderdelen die in de kernelmodus worden uitgevoerd. U hoeft dit recht daarom niet specifiek toe te wijzen aan deze onderdelen. Standaardwaarde: Geen.	Create permanent shared objects This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None.
1936	Fouten in programma's opsporen Met dit gebruikersrecht wordt bepaald welke gebruikers een foutopsporingsprogramma aan een proces of de kernel kunnen koppelen. U hoeft dit gebruikersrecht niet toe te wijzen aan ontwikkelaars die fouten in hun eigen toepassingen opsporen, maar wel aan ontwikkelaars die fouten in nieuwe systeemonderdelen willen opsporen. Dit gebruikersrecht biedt volledige toegang tot gevoelige en essentiële onderdelen van het besturingsysteem. Let op Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Wijs dit gebruikersrecht alleen toe aan vertrouwde gebruikers. Standaardwaarde: Administrators	Debug programs This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators
1937	Toegang tot deze computer vanaf het netwerk weigeren Met deze beveiligingsinstelling wordt bepaald welke gebruikers geen toegang hebben tot een computer via het netwerk. Deze beleidsinstelling vervangt de beleidsinstelling Deze computer via het netwerk benaderen als een gebruikersaccount onderworpen is aan beide beleidsregels. Standaardwaarde: Gast	Deny access to this computer from the network This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest
1938	Aanmelden als batchtaak weigeren Met deze beveiligingsinstelling wordt bepaald welke accounts niet kunnen worden aangemeld als een batchtaak. Deze beleidsinstelling vervangt de beleidsinstelling Aanmelden als batchtaak als een gebruikersaccount beide beleidsregels heeft. Standaardwaarde: Geen.	Deny log on as a batch job This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None.
1939	Aanmelden als service weigeren Met deze beveiligingsinstelling wordt bepaald door welke serviceaccounts geen proces als service kan worden geregistreerd. Deze beleidsinstelling vervangt de beleidsinstelling Aanmelden als service als een account beide beleidsregels heeft. Opmerking: deze beveiligingsinstelling is niet van toepassing op de accounts System, Local Service en Network Service. Standaardwaarde: Geen.	Deny log on as a service This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None.
1940	Lokaal aanmelden weigeren Met deze beveiligingsinstelling wordt bepaald welke gebruikers zich niet kunnen aanmelden bij de computer. Deze beleidsinstelling vervangt de beleidsinstelling Lokaal aanmelden toestaan als een account beide beleidsregels heeft. Belangrijk Als u dit beveiligingsbeleid toepast op de groep Iedereen, kan niemand zich lokaal aanmelden. Standaardwaarde: Geen.	Deny log on locally This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None.
1941	Aanmelden via Extern bureaublad-services weigeren Met deze beveiligingsinstelling wordt bepaald welke gebruikers en groepen zich niet kunnen aanmelden als een Extern bureaublad-servicesclient. Standaardwaarde: Geen. Belangrijk Deze instelling heeft geen effect op Windows 2000-computers die niet zijn bijgewerkt naar Service Pack 2.	Deny log on through Remote Desktop Services This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1942	Computer- en gebruikersaccounts inschakelen als vertrouwd voor delegeren Met deze beveiligingsinstelling wordt bepaald welke gebruikers de instelling Vertrouwd voor delegeren kunnen inschakelen voor een gebruiker of computerobject. De gebruiker of het object waaraan deze bevoegdheid wordt verleend, moet schrijftoegang hebben tot de accountcontrolemarkeringen voor de gebruiker of het computerobject. Een serverproces dat op een computer (of in een gebruikerscontext) wordt uitgevoerd en dat wordt vertrouwd voor delegeren, heeft toegang tot bronnen op een andere computer waarop gedelegeerde referenties van een client worden gebruikt. Dit is alleen van toepassing als voor het clientaccount niet de accountcontrolemarkering Account kan niet worden gedelegeerd is ingesteld. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van de domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. Let op Door misbruik van dit gebruikersrecht of de instelling Vertrouwd voor delegering kan het netwerk kwetsbaar worden voor aanvallen met Trojaanse paarden waarbij binnenkomende clients worden nagebootst en hun referenties worden gebruikt om toegang te verkrijgen tot netwerkbronnen. Standaardwaarde: Administrators op domeincontrollers.	Enable computer and user accounts to be trusted for delegation This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers.
1943	Afsluiten vanaf een extern systeem Met deze beveiligingsinstelling wordt bepaald welke gebruikers een computer vanaf een externe locatie in het netwerk mogen afsluiten. Misbruik van dit gebruikersrecht kan leiden tot een Denial of Service-aanval. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van de domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. Standaardwaarde: Op werkstations en servers: Administrators. Op domeincontrollers: Administrators, Serveroperators.	Force shutdown from a remote system This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators.
1944	Beveiligingscontrole genereren Met deze beveiligingsinstelling wordt bepaald welke accounts door een proces kunnen worden gebruikt voor het toevoegen van vermeldingen aan het beveiligingslogboek. Het beveiligingslogboek wordt gebruikt om niet-geautoriseerde systeemtoegang te traceren. Misbruik van dit gebruikersrecht kan leiden tot veel controlegebeurtenissen, waarmee mogelijk bewijs van een aanval wordt verborgen of een Denial of Service-aanval wordt veroorzaakt als de beleidsinstelling Controle: systeem onmiddellijk afsluiten als beveiligingscontroles niet in logboek kunnen worden opgeslagen is ingeschakeld. Voor meer informatie raadpleegt u Controle: systeem onmiddellijk afsluiten als beveiligingscontroles niet in logboek kunnen worden opgeslagen. Standaardwaarde: Local Service Network Service.	Generate security audits This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service.
1945	Een client simuleren na authenticatie Als u deze bevoegdheid toewijst aan een gebruiker, kan een client worden nagebootst door programma's die namens deze gebruiker worden uitgevoerd. Als dit gebruikersrecht is vereist voor dit type simulatie, wordt voorkomen dat onbevoegden verbinding kunnen maken vanaf een client (bijvoorbeeld door RPC (Remote Procedure Call) of named pipes) met een service die door hen is gemaakt, en vervolgens de client kunnen simuleren waardoor de gebruikersrechten van de onbevoegde persoon worden verhoogd naar een beheer- of systeemniveau. Opgelet Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Wijs dit gebruikersrecht alleen toe aan vertrouwde gebruikers. Standaardwaarde: Administrators Local Service Network Service Service Opmerking: aan services die door Servicebeheer worden gestart, wordt standaard de ingebouwde groep Service toegevoegd aan hun toegangstokens. Aan COM-servers (Component Object Model) die door de COM-infrastructuur worden gestart en die zijn geconfigureerd voor uitvoering onder een bepaald account, wordt de groep Service ook toegevoegd aan hun toegangstokens. Hierdoor krijgen deze services dit gebruikersrecht wanneer ze worden gestart. Een gebruiker kan daarnaast ook een toegangstoken simuleren als aan een van de volgende voorwaarden wordt voldaan. Het toegangstoken dat wordt gesimuleerd, is voor deze gebruiker. De gebruiker heeft het toegangstoken gemaakt door zich met expliciete referenties aan te melden bij het netwerk. Het aangevraagde niveau is lager dan Simuleren en is bijvoorbeeld Anoniem of Identificeren. Vanwege deze factoren hebben gebruikers dit gebruikersrecht doorgaans niet nodig. Als u meer informatie wilt, zoekt u in de Microsoft Platform SDK naar 'SeImpersonatePrivilege'. Waarschuwing Als u deze instelling inschakelt, verliezen de programma's die eerder de bevoegdheid Simuleren hadden deze bevoegdheid mogelijk, waardoor deze niet meer kunnen worden uitgevoerd.	Impersonate a client after authentication Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run.
1946	Prioriteit verhogen voor planning Met deze beveiligingsinstelling wordt bepaald door welke accounts een proces met schrijftoegang tot een ander proces kan worden gebruikt om de uitvoeringsprioriteit te verhogen die aan het andere proces is toegewezen. Een gebruiker met deze bevoegdheid kan de planningsprioriteit van een proces wijzigen in de gebruikersinterface Taakbeheer. Standaardwaarde: Administrators.	Increase scheduling priority This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators.
1947	Stuurprogramma's laden en verwijderen Met dit gebruikersrecht wordt bepaald welke gebruikers dynamisch apparaatstuurprogramma's of andere code in de kernelmodus kunnen laden en verwijderen. Dit gebruikersrecht is niet van toepassing op Plug en Play-stuurprogramma's. Het wordt afgeraden deze bevoegheid toe te wijzen aan andere gebruikers. Let op Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Wijs dit gebruikersrecht dus niet toe aan gebruikers, groepen of processen die de computer niet mogen overnemen. Standaardwaarde op werkstations en servers: Administrators. Standaardwaarden op domeincontrollers: Administrators Printeroperators	Load and unload device drivers This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators
1948	Pagina's in het geheugen vergrendelen Met deze beveiligingsinstelling wordt bepaald door welke accounts een proces kan worden gebruikt om gegevens in het fysieke geheugen te bewaren. Zo wordt voorkomen dat de gegevens op de schijf worden opgeslagen. Door deze bevoegdheid kan de beschikbare hoeveelheid RAM-geheugen aanzienlijk afnemen en kunnen de systeemprestaties verslechteren. Standaardwaarde: Geen.	Lock pages in memory This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None.
1949	Aanmelden als batchtaak Met deze beveiligingsinstelling kan een gebruiker zich aanmelden met behulp van een faciliteit voor batchwachtrijen en deze instelling wordt alleen aangeboden voor compatibiliteit met oudere versies van Windows. Als een gebruiker bijvoorbeeld een taak indient met behulp van Task Scheduler wordt deze gebruiker aangemeld als een batchgebruiker in plaats van een interactieve gebruiker. Standaardwaarden: Administrators Back-upoperators.	Log on as a batch job This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators.
1950	Aanmelden als service Met deze beveiligingsinstelling kan een beveiligings-principal zich aanmelden als service. Services kunnen worden ingesteld om te worden uitgevoerd onder een lokaal systeem, een lokale service of een netwerkserviceaccount, die een ingebouwd recht hebben om zich als service aan te melden. Aan elke service die onder een afzonderlijk gebruikersaccount wordt uitgevoerd, moet dit recht worden toegewezen. Standaardinstelling: Geen.	Log on as a service This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None.
1951	Controlebeleid en beveiligingslogboek beheren Met deze beveiligingsinstelling wordt bepaald welke gebruikers controleopties voor objecttoegang kunnen opgeven voor afzonderlijke bronnen, zoals bestanden, Active Directory-objecten en registersleutels. Met deze beveiligingsinstelling kan een gebruiker geen algemeen controlebeleid voor bestands- en objecttoegang inschakelen. Hiervoor moet u de instelling in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies configureren. U kunt gecontroleerde gebeurtenissen bekijken in het beveiligingslogboek in Logboeken. Een gebruiker met deze bevoegdheid kan het beveiligingslogboek ook wissen. Standaardwaarde: Administrators.	Manage auditing and security log This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators.
1952	Omgevingswaarden in firmware wijzigen Met deze beveiligingsinstelling wordt bepaald wie omgevingswaarden in firmware kan wijzigen. Omgevingswaarden in firmware zijn instellingen die zijn opgeslagen in het niet-vluchtige RAM-geheugen van niet-x86-computers. Het effect van de instelling is afhankelijk van de processor. Op x86-computers kan met dit gebruikersrecht alleen de omgevingswaarde Laatste bekende juiste configuratie worden gewijzigd. Deze instelling mag echter alleen door het systeem worden gewijzigd. Op Itanium-computers zijn de opstartgegevens opgeslagen in het niet-vluchtige RAM-geheugen. Gebruikers moeten over dit gebruikersrecht beschikken om bootcfg.exe te kunnen uitvoeren en de instelling Standaardbesturingssysteem in Opstart- en herstelinstellingen in de systeemeigenschappen te kunnen wijzigen. Op alle computers is dit gebruikersrecht vereist om Windows te kunnen installeren of bij te werken. Opmerking: deze beveiligingsinstelling heeft geen invloed op wie de omgevingswaarden van het systeem en de gebruiker kan wijzigen die worden weergegeven op het tabblad Geavanceerd van de systeemeigenschappen. Zie het Help-onderwerp over het toevoegen of wijzigen van waarden van omgevingsvariabelen voor informatie hierover. Standaardwaarde: Administrators.	Modify firmware environment values This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators.
1953	Onderhoudstaken op volume uitvoeren Met deze beveiligingsinstelling wordt bepaald welke gebruikers en groepen onderhoudstaken, zoals externe defragmentatie, kunnen uitvoeren op een volume. Wees voorzichtig bij het toewijzen van dit gebruikersrecht. Gebruikers met dit recht kunnen schijven verkennen en bestanden uitbreiden naar het geheugen dat andere gegevens bevat. Als de uitgebreide bestanden worden geopend, kan de gebruiker de verkregen gegevens lezen en wijzigen. Standaardwaarde: Administrators	Perform volume maintenance tasks This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators
1954	Een enkel proces bekijken Met deze beveiligingsinstelling wordt bepaald welke gebruikers hulpprogramma's kunnen gebruiken om de prestaties van niet-systeemprocessen te meten. Standaardwaarden: Administrators, Hoofdgebruikers.	Profile single process This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users.
1955	Systeemprestaties bekijken Met deze beveiligingsinstelling wordt bepaald welke gebruikers hulpprogramma's kunnen gebruiken om de prestaties van systeemprocessen te meten. Standaardwaarde: Administrators.	Profile system performance This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators.
1956	Computer uit basisstation verwijderen Met deze beveiligingsinstelling wordt bepaald of een gebruiker een draagbare computer kan loskoppelen van het basisstation zonder zich aan te melden. Als dit beleid is ingeschakeld, moet de gebruiker zich aanmelden voordat de draagbare computer uit het basisstation kan worden verwijderd. Als dit beleid is uitgeschakeld, kan de gebruiker de draagbare computer uit het basisstation verwijderen zonder zich aan te melden. Standaardwaarden: Administrators, Hoofdgebruikers, Gebruikers	Remove computer from docking station This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users
1957	Token op procesniveau vervangen Met deze beveiligingsinstelling wordt bepaald welke gebruikersaccounts de API CreateProcessAsUser() kunnen aanroepen, zodat een service kan worden gestart zonder een andere service te starten. Een voorbeeld van een proces met dit gebruikersrecht is Task Scheduler. Zie voor meer informatie over Taakplanner het overzicht van deze service. Standaardwaarden: Network Service, Local Service.	Replace a process level token This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service.
1958	Bestanden en mappen terugzetten Met deze beveiligingsinstelling wordt bepaald welke gebruikers machtigingen voor bestanden, mappen, het register en andere permanente objecten kunnen vervangen tijdens het terugzetten van back-ups van bestanden en mappen. Hiermee kunt u ook bepalen welke gebruikers een geldige beveiligings-principal als eigenaar van een object kunnen instellen. Dit gebruikersrecht is hetzelfde als het verlenen van de volgende machtigingen aan de gebruiker of groep voor alle bestanden en mappen in het systeem: Door map bladeren/bestand uitvoeren Schrijven Let op Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Omdat gebruikers met dit recht registerinstellingen kunnen overschrijven, gegevens kunnen verbergen en eigenaar kunnen worden van systeemobjecten, moet u dit gebruikersrecht alleen toewijzen aan vertrouwde gebruikers. Standaardwaarden: Op werkstations en servers: Administrators, Back-upoperators. Op domeincontrollers: Administrators, Back-upoperators, Serveroperators.	Restore files and directories This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators.
1959	Systeem afsluiten Met deze beveiligingsinstelling wordt bepaald welke lokaal aangemelde gebruikers het besturingssysteem kunnen afsluiten met de opdracht Afsluiten. Misbruik van dit gebruikersrecht kan leiden tot een Denial of Service-aanval. Standaardwaarden op werkstations: Administrators, Back-upoperators, Gebruikers. Standaardwaarden op servers: Administrators, Back-upoperators. Standaardwaarden op domeincontrollers: Administrators, Back-upoperators, Serveroperators, Printeroperators.	Shut down the system This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators.
1960	Directory-servicegegevens synchroniseren Met deze beveiligingsinstelling wordt bepaald welke gebruikers en groepen alle directory-servicegegevens kunnen synchroniseren. Dit wordt ook wel Active Directory-synchronisatie genoemd. Standaardwaarde: Geen.	Synchronize directory service data This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None.
1961	Eigenaar worden van bestanden of andere objecten Met deze beveiligingsinstelling wordt bepaald welke gebruikers eigenaar kunnen worden van beveiligbare objecten in het systeem, zoals Active Directory-objecten, bestanden en mappen, printers, registersleutels, processen en threads. Let op Het toewijzen van dit gebruikersrecht brengt een beveiligingsrisico met zich mee. Het wordt aangeraden dit gebruikersrecht alleen toe te wijzen aan vertrouwde gebruikers, omdat eigenaren van objecten volledige controle hebben over hun objecten. Standaardwaarde: Administrators.	Take ownership of files or other objects This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators.
1962	Accounts: status van het administratoraccount Met deze beveiligingsinstelling wordt bepaald of het lokale administratoraccount is in- of uitgeschakeld. Opmerkingen Als u het administratoraccount opnieuw wilt inschakelen nadat dit is uitgeschakeld, en als het huidige administratorwachtwoord niet overeenkomt met de vereisten voor wachtwoorden, kunt u het account niet opnieuw inschakelen. In dit geval moet een ander lid van de groep Administrators het wachtwoord voor het administratoraccount opnieuw instellen. Zie het Help-onderwerp over het opnieuw instellen van een wachtwoord voor informatie hierover. In bepaalde situaties kan het uitschakelen van het administratoraccount een onderhoudsprobleem worden. Als u de computer opnieuw opstart in de veilige modus, wordt het uitgeschakelde administratoraccount alleen ingeschakeld als de computer geen domeincomputer is en er geen andere administratoraccounts lokaal actief zijn. Als de computer een domeincomputer is, wordt de uitgeschakelde Administrator niet ingeschakeld. Standaardwaarde: Uitgeschakeld.	Accounts: Administrator account status This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled.
1963	Accounts: status van het gastaccount Met deze beveiligingsinstelling wordt bepaald of het gastaccount is in- of uitgeschakeld. Standaardwaarde: Uitgeschakeld. Opmerking: als het gastaccount is uitgeschakeld en de beveiligingsoptie Netwerktoegang: model voor delen en beveiliging voor lokale accounts is ingesteld op Alleen gastaccount, zullen netwerkaanmeldingen, zoals uitgevoerd door de Microsoft Network Server (SMB Service), mislukken.	Accounts: Guest account status This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail.
1964	Accounts: gebruik van blanco wachtwoorden beperken tot aanmelden op de console Met deze beveiligingsinstelling wordt bepaald of lokale accounts zonder wachtwoordbeveiliging kunnen worden gebruikt voor aanmelding vanaf een andere locatie dan de fysieke computerconsole. Als deze instelling is ingeschakeld, kunnen lokale accounts zonder wachtwoordbeveiliging alleen worden aangemeld via het toetsenbord. Standaardwaarde: Ingeschakeld. Waarschuwing: Computers die zich niet op een fysiek beveiligde locatie bevinden, moeten altijd over een sterk wachtwoordbeleid voor alle lokale gebruikersaccounts beschikken. Als dit niet het geval is, kan iedereen met fysieke toegang tot de computer zich aanmelden met een gebruikersaccount waarvoor geen wachtwoord vereist is. Dit is vooral belangrijk voor draagbare computers. Als u dit beveiligingsbeleid toepast op de groep Iedereen, kan niemand zich aanmelden via Extern bureaublad-services. Opmerkingen Deze instelling heeft geen invloed op aanmelding met een domeinaccount. Deze instelling kan worden omzeild door toepassingen waarvoor externe interactieve aanmelding wordt gebruikt. Opmerking: Extern bureaublad-services heette Terminal Services in lagere versies van Windows Server.	Accounts: Limit local account use of blank passwords to console logon only This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.
1965	Accounts: de naam van het administratoraccount wijzigen Met deze beveiligingsinstelling wordt bepaald of aan de SID (Security Identifier) voor het administratoraccount een andere accountnaam is gekoppeld. Als u de naam van het bekende administratoraccount wijzigt, is het nog moeilijker voor onbevoegden om de combinatie van gebruikersnaam en wachtwoord te raden. Standaardwaarde: Administrator.	Accounts: Rename administrator account This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator.
1966	Accounts: de naam van het gastaccount wijzigen Met deze beveiligingsinstelling wordt bepaald of aan de SID (Security Identifier) voor het gastaccount een andere accountnaam is gekoppeld. Als u de naam van het bekende gastaccount wijzigt, is het nog moeilijker voor onbevoegden om de combinatie van gebruikersnaam en wachtwoord te raden. Standaardwaarde: Gast.	Accounts: Rename guest account This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest.
1967	Controle: de toegang tot globale systeemobjecten controleren Met deze beveiligingsinstelling wordt bepaald of de toegang tot globale systeemobjecten moet worden gecontroleerd. Als dit beleid is ingeschakeld, worden systeemobjecten, zoals mutexen (mutual exclusive), gebeurtenissen, semaforen (vergrendelingsmechanismen gebruikt in bronbeheer) en DOS-apparaten gemaakt met een standaard-SACL (System Access Control List). Als ook het controlebeleid Objecttoegang controleren is ingeschakeld, wordt toegang tot deze systeemobjecten gecontroleerd. Opmerking: wijzigingen van deze beveiligingsinstelling worden pas van kracht als u Windows opnieuw start. Standaardwaarde: Uitgeschakeld.	Audit: Audit the access of global system objects This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled.
1968	Controle: het gebruik van de bevoegdheden Back-up en Terugzetten controleren Met deze beveiligingsinstelling wordt bepaald of het gebruik van alle bevoegdheden, inclusief Back-up en Terugzetten, moet worden gecontroleerd als het beleid Gebruik van bevoegdheden controleren is ingeschakeld. Als u deze optie inschakelt terwijl ook het beleid Gebruik van bevoegdheden controleren is ingeschakeld, wordt er een controlegebeurtenis gegenereerd voor elk bestand waarvan een back-up wordt gemaakt of dat wordt teruggezet. Als u dit beleid uitschakelt, wordt het gebruik van de bevoegdheid Back-up of Terugzetten niet gecontroleerd, zelfs niet als Gebruik van bevoegdheden controleren is ingeschakeld. Opmerking: als u deze beveiligingsinstelling configureert op Windows-versies eerder dan Windows Vista, worden wijzigingen pas van kracht als u Windows opnieuw start. Het inschakelen van deze instellingen kan tijdens het maken van een back-up heel veel gebeurtenissen veroorzaken, soms wel honderden per seconde. Standaardwaarde: Uitgeschakeld.	Audit: Audit the use of Backup and Restore privilege This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled.
1969	Controle: systeem onmiddellijk afsluiten als beveiligingscontroles niet in logboek kunnen worden opgeslagen Met deze beveiligingsinstelling wordt bepaald of de computer moet worden afgesloten als er geen beveiligingsgebeurtenissen kunnen worden vastgelegd in het logboek. Als deze beveiligingsinstelling is ingeschakeld, wordt het systeem gestopt als een beveiligingscontrole om wat voor reden dan ook niet kan worden vastgelegd in het logboek. Een gebeurtenis kan meestal niet worden opgeslagen als het beveiligingslogboek vol is en de opgegeven bewaarmethode voor het beveiligingslogboek Gebeurtenissen niet overschrijven of Gebeurtenissen op dagen overschrijven is. Als het beveiligingslogboek vol is en een bestaande vermelding niet kan worden overschreven terwijl deze beveiligingsoptie is ingeschakeld, wordt de volgende fout weergegeven: STOP: C0000244 {Controle mislukt} Een poging om een beveiligingscontrole te genereren is mislukt. Dit probleem kan worden verholpen als een Administrator zich aanmeldt, het logboek archiveert (optioneel), het logboek wist en deze optie indien gewenst opnieuw instelt. Pas als deze beveiligingsinstelling opnieuw is ingesteld, kunnen andere gebruikers dan Administrators zich aanmelden, zelfs als het beveiligingslogboek niet vol is. Opmerking: als u deze beveiligingsinstelling configureert op Windows-versies eerder dan Windows Vista, worden wijzigingen pas van kracht als u Windows opnieuw start. Standaardwaarde: Uitgeschakeld.	Audit: Shut down system immediately if unable to log security audits This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled.
1970	Apparaten: loskoppelen toestaan zonder dat opnieuw hoeft te worden aangemeld Met deze beveiligingsinstelling wordt bepaald of een draagbare computer kan worden losgekoppeld zonder dat een gebruiker zich eerst moet aanmelden. Als dit beleid is ingeschakeld, is aanmelding niet vereist en kan de computer worden losgekoppeld met een externe knop voor het uitwerpen van hardware. Als dit beleid is uitgeschakeld, kan de computer alleen worden losgekoppeld als een gebruiker zich heeft aangemeld en over de bevoegdheid Computer uit basisstation verwijderen beschikt. Standaardwaarde: Ingeschakeld. Let op Als u dit beleid uitschakelt, kunnen gebruikers proberen de laptop uit het basisstation te verwijderen met andere methoden dan de externe knop voor het uitwerpen van hardware. Hierdoor kan de hardware beschadigen. Het wordt daarom aangeraden deze instelling alleen uit te schakelen in laptopconfiguraties die fysiek kunnen worden beveiligd.	Devices: Allow undock without having to log on This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable.
1971	Apparaten: verwisselbare media mogen worden geformatteerd en uitgeworpen Met deze beveiligingsinstelling wordt bepaald wie verwisselbare NTFS-media mag formatteren en uitwerpen. U kunt dit recht toewijzen aan: Administrators Administrators en Interactieve gebruikers Standaardwaarde: dit beleid is niet gedefinieerd en alleen Administrators hebben dit recht.	Devices: Allowed to format and eject removable media This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability.
1972	Apparaten: gebruikers mogen geen printerstuurprogramma's installeren tijdens het maken van een verbinding met gedeelde printers U kunt alleen op een gedeelde printer afdrukken als het stuurprogramma voor deze gedeelde printer op de lokale computer is geïnstalleerd. Met deze beveiligingsinstelling wordt bepaald wie een printerstuurprogramma mag installeren als onderdeel van het verbinden van een gedeelde printer. Als deze instelling is ingeschakeld, kunnen alleen Administrators een printerstuurprogramma installeren. Als deze instelling is uitgeschakeld, kan elke gebruiker een printerstuurprogramma installeren. Standaardwaarde op servers: Ingeschakeld. Standaardwaarde op werkstations: Uitgeschakeld. Opmerkingen Deze instelling heeft geen invloed op de mogelijkheid om een lokale printer toe te voegen. Deze instelling heeft geen invloed op Administrators.	Devices: Prevent users from installing printer drivers when connecting to shared printers For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators.
1973	Apparaten: cd-rom-toegang beperken tot lokaal aangemelde gebruikers Met deze beveiligingsinstelling wordt bepaald of een cd-rom gelijktijdig toegankelijk zijn voor zowel lokale als externe gebruikers. Als dit beleid is ingeschakeld, hebben alleen interactief aangemelde gebruikers toegang tot de cd-rom. Als dit beleid is ingeschakeld terwijl er niemand interactief is aangemeld, is de cd-rom toegankelijk via het netwerk. Standaardwaarde: dit beleid is niet gedefinieerd en toegang tot het cd-rom-station wordt niet beperkt tot de lokaal aangemelde gebruiker.	Devices: Restrict CD-ROM access to locally logged-on user only This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user.
1974	Apparaten: diskettetoegang beperken tot lokaal aangemelde gebruikers Met deze beveiligingsinstelling wordt bepaald of een diskette gelijktijdig toegankelijk zijn voor zowel lokale als externe gebruikers. Als dit beleid is ingeschakeld, hebben alleen interactief aangemelde gebruikers toegang tot de diskette. Als dit beleid is ingeschakeld terwijl er niemand interactief is aangemeld, is de diskette toegankelijk via het netwerk. Standaardwaarde: dit beleid is niet gedefinieerd en toegang tot het diskettestation wordt niet beperkt tot de lokaal aangemelde gebruiker.	Devices: Restrict floppy access to locally logged-on user only This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user.
1975	Apparaten: gedrag bij installatie van niet-ondertekend stuurprogramma Met deze beveiligingsinstelling wordt bepaald wat er gebeurt als er een apparaatstuurprogramma wordt geïnstalleerd (via Setup API) dat niet is getest door het WHQL (Windows Hardware Quality Lab). Beschikbare opties: Zonder bericht voltooien Waarschuwen maar installatie toestaan Installatie niet toestaan Standaardwaarde: Waarschuwen maar installatie toestaan.	Devices: Unsigned driver installation behavior This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation.
1976	Domeincontroller: serveroperators kunnen taken plannen Met deze beveiligingsinstelling wordt bepaald of serveroperators taken kunnen indienen via de faciliteit AT-planning. Opmerking: deze beveiligingsinstelling is alleen van invloed op de faciliteit AT-planning en niet op de Task Scheduler-service. Standaardwaarde: dit beleid is niet gedefinieerd en wordt daarom als Uitgeschakeld beschouwd.	Domain controller: Allow server operators to schedule tasks This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled.
1977	Domeincontroller: vereisten voor handtekening van LDAP-server Met deze beveiligingsinstelling wordt bepaald of ondertekening door LDAP-clients is vereist door de LDAP-server. Geen: voor binding met de server is geen gegevensondertekening vereist. Als u de client om ondertekening vraagt, wordt dit door de server ondersteund. Handtekening vereisen: tenzij TLS\SSL wordt gebruikt, moet de optie voor ondertekening van LDAP-gegevens worden aangesproken. Standaardwaarde: dit beleid is niet gedefinieerd, wat hetzelfde effect als de waarde Geen heeft. Let op Als u op de server Handtekening vereisen instelt, moet u ook de client instellen. Als u dit niet doet, wordt de verbinding met de server verbroken. Opmerkingen Deze instelling heeft geen gevolgen voor 'LDAP simple bind' of 'LDAP simple bind via SSL'. Geen Microsoft LDAP-clients die bij Windows XP Professional worden geleverd, maken gebruik van 'LDAP simple bind' of LDAP simple bind via SSL' om met een domeincontroller te communiceren. Als ondertekening is vereist, worden aanvragen voor 'LDAP simple bind' of 'LDAP simple bind via SSL' geweigerd. Op een Microsoft LDAP-client met Windows XP Professional of Windows Server 2003 wordt geen gebruikgemaakt van 'LDAP simple bind' of 'LDAP simple bind via SSL' voor verbinding met de directoryservice.	Domain controller: LDAP server signing requirements This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service.
1978	Domeincontroller: wijzigen van wachtwoorden van computeraccounts weigeren Met deze beveiligingsinstelling wordt bepaald of domeincontrollers aanvragen van lidcomputers om wachtwoorden van computeraccounts te wijzigen, kunnen weigeren. Op een lidcomputer worden de wachtwoorden van computeraccounts standaard elke 30 dagen gewijzigd. Indien ingeschakeld worden wijzigingsaanvragen voor wachtwoorden van computeraccounts geweigerd door de domeincontroller. Als deze instelling is ingeschakeld, worden wijzigingen van wachtwoorden van computeraccounts niet door een domeincontroller geaccepteerd. Standaardwaarde: dit beleid is niet gedefinieerd, wat inhoudt dat de computer de waarde Uitgeschakeld gebruikt.	Domain controller: Refuse machine account password changes This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled.
1979	Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen of ondertekenen (altijd) Met deze beveiligingsinstelling wordt bepaald of het verkeer in een beveiligd kanaal dat door het domeinlid is geïnitialiseerd, moet worden ondertekend of versleuteld. Wanneer een computer wordt toegevoegd aan een domein, wordt er een computeraccount gemaakt. Als het systeem vervolgens wordt gestart, wordt het wachtwoord van het computeraccount gebruikt om een beveiligd kanaal te maken met een domeincontroller als domein. Dit beveiligde kanaal wordt gebruikt om bewerkingen uit te voeren, zoals NTLM-overdrachtsauthenticatie, LSA SID /name Lookup, etc. Met deze instelling wordt bepaald of het verkeer in een beveiligd kanaal dat door het domeinlid is geïnitialiseerd, voldoet aan de minimale systeemvereisten. Met deze instelling wordt vooral bepaald of het verkeer in een beveiligd kanaal dat door het domeinlid is geïnitialiseerd, moet worden ondertekend of versleuteld. Als dit beleid is ingeschakeld, wordt het beveiligde kanaal pas gemaakt als ondertekening of versleuteling van het verkeer is onderhandeld. Als dit beleid is uitgeschakeld, wordt versleuteling en ondertekening van het verkeer onderhandeld met de domeincontroller. In dit geval hangt het niveau van ondertekening en versleuteling af van de versie van de domeincontroller en de instellingen voor de volgende twee beleidsregels: Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen (indien mogelijk) Lid van domein: gegevens in beveiligd kanaal digitaal ondertekenen (indien mogelijk) Standaardwaarde: Ingeschakeld. Opmerkingen: Als dit beleid is ingeschakeld, wordt aangenomen dat het beleid Lid van domein: gegevens in beveiligd kanaal digitaal ondertekenen (indien mogelijk) is ingeschakeld, ongeacht de huidige instelling. Zo kunt u er zeker van zijn dat het domeinlid ondertekening van het verkeer in het beveiligde kanaal onderhandelt. Aanmeldingsgegevens die via het beveiligde kanaal worden verzonden, zijn altijd versleuteld, ongeacht of versleuteling van het overige verkeer in het beveiligde kanaal is onderhandeld.	Domain member: Digitally encrypt or sign secure channel data (always) This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not.
1980	Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen (indien mogelijk) Met deze beveiligingsinstelling wordt bepaald of een domeinlid versleuteling van het verkeer in een beveiligd kanaal dat door dit lid wordt geïnitialiseerd, moet onderhandelen. Wanneer een computer wordt toegevoegd aan een domein, wordt er een computeraccount gemaakt. Als het systeem vervolgens wordt gestart, wordt het wachtwoord van het computeraccount gebruikt om een beveiligd kanaal te maken met een domeincontroller als domein. Dit beveiligde kanaal wordt gebruikt om bewerkingen uit te voeren, zoals NTLM-overdrachtsauthenticatie, LSA SID /name zoekacties, etc. Met deze instelling wordt bepaald of het domeinlid versleuteling van het verkeer in een beveiligd kanaal moet onderhandelen. Als deze instelling is ingeschakeld, vereist het domeinlid versleuteling van al het verkeer in het beveiligde kanaal. Als versleuteling van al het verkeer wordt ondersteund door de domeincontroller, wordt al het verkeer versleuteld. Als dit niet het geval is, worden alleen aanmeldingsgegevens die via het beveiligde kanaal worden verzonden, versleuteld. Als deze instelling is uitgeschakeld, wordt versleuteling van het verkeer in het beveiligde kanaal niet door het domeinlid onderhandeld. Standaardwaarde: Ingeschakeld. Belangrijk Er is geen reden bekend waarom u deze instelling zou moeten uitschakelen. Als u deze instelling uitschakelt, verlaagt u niet alleen het vertrouwelijkheidsniveau van het beveiligde kanaal, maar wordt ook de doorvoer van het beveiligde kanaal verslechterd omdat gelijktijdige API-aanroepen alleen mogelijk zijn als het kanaal is ondertekend of versleuteld. Opmerking: domeincontrollers zijn ook domeinleden die beveiligde kanalen tot stand brengen met andere domeincontrollers in hetzelfde domein en met domeincontrollers in vertrouwde domeinen.	Domain member: Digitally encrypt secure channel data (when possible) This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.
1981	Lid van domein: gegevens in beveiligd kanaal digitaal ondertekenen (indien mogelijk) Met deze beveiligingsinstelling wordt bepaald of een domeinlid ondertekening van het verkeer in een beveiligd kanaal dat door dit lid wordt geïnitialiseerd, moet onderhandelen. Wanneer een computer wordt toegevoegd aan een domein, wordt er een computeraccount gemaakt. Als het systeem vervolgens wordt gestart, wordt het wachtwoord van het computeraccount gebruikt om een beveiligd kanaal te maken met een domeincontroller als domein. Dit beveiligde kanaal wordt gebruikt om bewerkingen uit te voeren, zoals NTLM-overdrachtsauthenticatie, LSA SID /name zoekacties, etc. Met deze instelling wordt bepaald of het domeinlid ondertekening van het verkeer in een beveiligd kanaal moet onderhandelen. Als deze instelling is ingeschakeld, vereist het domeinlid ondertekening van al het verkeer in het beveiligde kanaal. Als ondertekening van al het verkeer wordt ondersteund door de domeincontroller, wordt al het verkeer ondertekend zodat er tijdens de overdracht niet mee kan worden geknoeid. Standaardwaarde: Ingeschakeld. Opmerkingen Als het beleid Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen of ondertekenen (altijd) is ingeschakeld, wordt aangenomen dat dit beleid is ingeschakeld, ongeacht de huidige instelling. Domeincontrollers zijn ook domeinleden die beveiligde kanalen tot stand brengen met andere domeincontrollers in hetzelfde domein en met domeincontrollers in vertrouwde domeinen.	Domain member: Digitally sign secure channel data (when possible) This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.
1982	Lid van domein: het wachtwoord van het machineaccount heeft de maximale leeftijd bereikt Met deze beveiligingsinstelling wordt bepaald hoe vaak een lid van een domein het wachtwoord van zijn of haar computeraccount kan wijzigen. Standaardwaarde: 30 dagen. Belangrijk Hoewel deze instelling van toepassing is op Windows 2000-computers, is deze instelling niet beschikbaar via de beheerprogramma's voor beveiligingsconfiguratie op deze computers.	Domain member: Maximum machine account password age This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.
1983	Lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger) Met deze beveiligingsinstelling wordt bepaald of 128 bitssleutelsterkte is vereist voor verzending van versleutelde gegevens via een beveiligd kanaal. Wanneer een computer wordt toegevoegd aan een domein, wordt er een computeraccount gemaakt. Als het systeem vervolgens wordt gestart, wordt het wachtwoord van het computeraccount gebruikt om een beveiligd kanaal te maken met een domeincontroller in het domein. Dit beveiligde kanaal wordt gebruikt om bewerkingen uit te voeren, zoals NTLM-overdrachtsauthenticatie, LSA SID /name zoekacties, etc. Afhankelijk van de versie van Windows op de domeincontroller waarmee het domeinlid communiceert en de instellingen voor deze parameters: Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen of ondertekenen (altijd) Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen (indien mogelijk) Sommige of alle gegevens die via een beveiligd kanaal worden verzonden, worden versleuteld. Met deze beleidsinstelling wordt bepaald of een 128 bitssleutelsterkte is vereist voor gegevens die via het beveiligde kanaal worden verzonden. Als deze instelling is ingeschakeld, wordt het beveiligde kanaal pas ingesteld als er 128 bitsversleuteling kan worden uitgevoerd. Als deze instelling is uitgeschakeld, wordt de sleutelsterkte onderhandeld met de domeincontroller. Standaardwaarde: Ingeschakeld. Belangrijk Als u dit beleid op werkstations en lidservers wilt gebruiken, moet op alle domeincontrollers in het domein Windows 2000 of hoger zijn geïnstalleerd. Als u dit beleid op domeincontrollers wilt gebruiken, moet op alle domeincontrollers in hetzelfde domein en in alle vertrouwde domeinen Windows 2000 of hoger zijn geïnstalleerd.	Domain member: Require strong (Windows 2000 or later) session key This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later.
1984	Lid van domein: geen systeemonderhoud van wachtwoord van computeraccount Met deze beveiligingsinstelling wordt bepaald of een domeinlid het wachtwoord voor het computeraccount periodiek moet wijzigen. Als deze instelling is ingeschakeld, hoeft het domeinlid het wachtwoord voor het computeraccount niet te wijzigen. Als deze instelling is uitgeschakeld, moet het domeinlid het wachtwoord voor het computeraccount wijzigen zoals aangegeven door de instelling Lid van domein: het wachtwoord van het machineaccount heeft de maximale leeftijd bereikt. De standaardwaarde voor deze instelling is 30 dagen. Standaardwaarde: Uitgeschakeld. Opmerkingen Het wordt afgeraden deze beveiligingsinstelling in te schakelen. Met wachtwoorden voor computeraccounts is veilige communicatie tussen leden en domeincontrollers en, binnen het domein, tussen de domeincontrollers zelf mogelijk. Zodra er een beveiligd kanaal is ingesteld, wordt dit kanaal gebruikt om gevoelige gegevens te verzenden die zijn vereist voor het nemen van beslissingen over authenticatie en autorisatie. Gebruik deze instelling niet als ondersteuning voor dual-boot scenario's waarvoor hetzelfde computeraccount wordt gebruikt. Als u twee installaties die aan hetzelfde domein zijn gekoppeld via dual-boot wilt starten, moet u deze installaties een andere computernaam geven.	Domain member: Disable machine account password changes Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names.
1985	Interactieve aanmelding: gebruikersnaam van laatste aanmelding niet weergeven Met deze beveiligingsinstelling wordt bepaald of de gebruikersnaam van de persoon die zich het laatst op de pc heeft aangemeld, wordt weergegeven. Als dit beleid is ingeschakeld, wordt de gebruikersnaam niet weergegeven. Als dit beleid is uitgeschakeld, wordt de gebruikersnaam wel weergegeven. Standaardwaarde: Uitgeschakeld.	Interactive logon: Don't display last signed-in This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled.
1986	Interactief aanmelden: Ctrl+Alt+Del voor aanmelden uitschakelen Met deze beveiligingsinstelling wordt bepaald of een gebruiker op Ctrl+Alt+Del moet drukken om zich aan te melden. Als dit beleid is ingeschakeld op een computer, hoeft een gebruiker niet eerst op Ctrl+Alt+Del te drukken om zich aan te melden. Als een gebruiker niet op Ctrl+Alt+Del hoeft te drukken, is het gebruikersaccount kwetsbaar voor aanvallen om het wachtwoord te onderscheppen. Als een gebruiker eerst op Ctrl+Alt+Del moet drukken voordat hij of zij zich kan aanmelden, wordt er bij de invoer van het wachtwoord gecommuniceerd via een vertrouwd pad. Als dit beleid is uitgeschakeld, moet elke gebruiker op Ctrl+Alt+Del drukken voordat hij of zij zich kan aanmelden bij Windows. Standaardwaarde op domeincomputer: Ingeschakeld: ten minste Windows 8/Uitgeschakeld: Windows 7 of eerder. Standaardwaarde op zelfstandige werkstations: Ingeschakeld.	Interactive logon: Do not require CTRL+ALT+DEL This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled.
1987	Interactief aanmelden: berichttekst voor gebruikers die zich willen aanmelden Met deze beveiligingsinstelling kunt u een tekstbericht opgeven dat gebruikers zien wanneer zij zich aanmelden. Deze tekst wordt vaak gebruikt om juridische redenen, bijvoorbeeld om gebruikers te waarschuwen over de gevolgen van het misbruiken van bedrijfsgegevens of om gebruikers te waarschuwen dat hun acties kunnen worden gecontroleerd. Standaardwaarde: geen bericht.	Interactive logon: Message text for users attempting to log on This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message.
1988	Interactief aanmelden: berichttitel voor gebruikers die zich willen aanmelden Met deze beveiligingsinstelling kunt u een titel voor de titelbalk van het venster met de berichttekst opgeven. Standaardwaarde: geen bericht.	Interactive logon: Message title for users attempting to log on This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message.
1989	Interactief aanmelden: aantal in cache op te slagen voorafgaande aanmeldingen (als domeincontroller niet beschikbaar is) De aanmeldingsgegevens van elke unieke gebruiker worden in het lokale cachegeheugen opgeslagen. Als een domeincontroller tijdens een aanmeldingspoging niet beschikbaar is, kan de gebruiker daarom nog steeds worden aangemeld. De aanmeldingsgegevens in het cachegeheugen zijn gebaseerd op de gegevens van de voorgaande aanmeldsessie. Als een domeincontroller niet beschikbaar is en de aanmeldingsgegevens van een gebruiker zijn niet in de cache opgeslagen, wordt dit bericht weergegeven voor de gebruiker: Er zijn momenteel geen aanmeldingsservers beschikbaar om uw aanmeldingsaanvraag te behandelen. In deze beleidsinstelling wordt met de waarde 0 het opslaan van de aanmelding in het cachegeheugen uitgeschakeld. Ook als de waarde hoger is dan 50, worden slechts 50 aanmeldingspogingen in het cachegeheugen opgeslagen. In Windows worden maximaal 50 cachevermeldingen ondersteund en het aantal vermeldingen dat per gebruiker verbruikt kan worden, is afhankelijk van de referentie. Bijvoorbeeld, er kunnen maximaal 50 gebruikersaccounts met unieke wachtwoorden in het cachegeheugen worden geplaatst en slechts 25 gebruikersaccounts met smartcards, omdat zowel de wachtwoordgegevens als de smartcardgegevens worden opgeslagen. Wanneer een gebruiker waarvoor de aanmeldingsgegevens in cache zijn opgeslagen, zich opnieuw aanmeldt, worden de gegevens in de cache vervangen. Standaard: Windows Server 2008: 25 Alle overige versies: 10	Interactive logon: Number of previous logons to cache (in case domain controller is not available) Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10
1990	Interactief aanmelden: gebruiker vragen om het wachtwoord te wijzigen voordat het verloopt Hiermee wordt bepaald hoe ver van tevoren (in dagen) gebruikers worden gewaarschuwd dat hun wachtwoord verloopt. Dankzij deze voortijdige waarschuwing heeft de gebruiker voldoende tijd om een sterk wachtwoord te bedenken. Standaardwaarde: 5 dagen.	Interactive logon: Prompt user to change password before expiration Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days.
1991	Interactief aanmelden: voor het ontgrendelen is authenticatie door een domeincontroller vereist U moet aanmeldingsgegevens opgeven om een vergrendelde computer te ontgrendelen. Voor domeinaccounts wordt met deze beveiligingsinstelling bepaald of verbinding met een domeincontroller moet worden gemaakt om een computer te ontgrendelen. Als deze instelling is uitgeschakeld, kan een gebruiker de computer ontgrendelen met behulp van referenties in de cache. Als deze instelling is ingeschakeld, moet het domeinaccount waarmee de computer wordt ontgrendeld, worden geverifieerd door een domeincontroller. Standaardwaarde: Uitgeschakeld. Belangrijk Deze instelling geldt voor Windows 2000-computers, maar is niet beschikbaar via het hulpprogramma Beveiligingsconfiguratiebeheer op deze computers.	Interactive logon: Require Domain Controller authentication to unlock Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.
1992	Interactief aanmelden: Windows Hello voor Bedrijven of smartcard vereist Deze beveiligingsinstelling vereist dat gebruikers zich aanmelden op een computer met Windows Hello voor Bedrijven of een smartcard. De volgende opties zijn beschikbaar: Ingeschakeld: gebruikers kunnen zich alleen op de computer aanmelden met Windows Hello voor Bedrijven of een smartcard. Uitgeschakeld of niet geconfigureerd: gebruikers kunnen zich via elke methode aanmelden op de computer. Belangrijk Deze instelling wordt toegepast op elke computer met Windows 2000 via wijzigingen in het register, maar de beveiligingsinstelling is niet zichtbaar in het hulpprogramma Beveiligingsconfiguratiebeheer. De vereiste van Windows Hello voor Bedrijven voor aanmelden wordt niet ondersteund op Windows 10 v1607 of ouder.	Interactive logon: Require Windows Hello for Business or smart card This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier.
1993	Interactief aanmelden: gedrag bij verwijderen van smartcard Met deze beveiligingsinstelling wordt bepaald wat er gebeurt wanneer de smartcard voor een aangemelde gebruiker wordt verwijderd uit de smartcardlezer. De volgende opties zijn beschikbaar: Geen actie Werkstation vergrendelen Afmelden forceren Indien extern, de sessie van Extern bureaublad-services beëindigen Als u op Werkstation vergrendelen klikt in het dialoogvenster met eigenschappen van dit beleid, wordt het werkstation vergrendeld wanneer de smartcard wordt verwijderd. Hierdoor zijn gebruikers verzekerd van een beveiligde sessie wanneer ze de computer verlaten en hun smartcard meenemen. Als u op Afmelden forceren klikt in het dialoogvenster met eigenschappen van dit beleid, wordt de gebruiker automatisch afgemeld wanneer de smartcard wordt verwijderd. Als u op Indien extern, de sessie van Extern bureaublad-services beëindigen klikt, wordt door het verwijderen van de smartcard de sessie beëindigd zonder dat de gebruiker wordt afgemeld. Hierdoor kan de gebruiker de smartcard later opnieuw plaatsen (op deze of op een andere computer met een smartcardlezer) en doorgaan met de sessie zonder zich opnieuw te hoeven aanmelden. Als de sessie lokaal is, functioneert dit beleid hetzelfde als Werkstation vergrendelen. Opmerking: Extern bureaublad-services heette Terminal Services in lagere versies van Windows Server. Standaardwaarde: dit beleid is niet gedefinieerd, wat inhoudt dat de computer de waarde Geen actie gebruikt. Op Windows Vista en nieuwer: de Smart Card Removal Policy-service moet worden uitgevoerd om deze instelling te kunnen gebruiken.	Interactive logon: Smart card removal behavior This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started.
1994	Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) Met deze beveiligingsinstelling wordt bepaald wat er gebeurt wanneer pakketondertekening is vereist door het SMB-clientonderdeel. Het SMB-protocol (serverberichtblok) vormt de basis voor het delen van bestanden en printers voor Microsoft en vele andere netwerkbewerkingen, zoals extern Windows-beheer. Om man-in-the-middle-aanvallen te voorkomen waarmee SMB-pakketten tijdens de overdracht worden gewijzigd, biedt het SMB-protocol ondersteuning voor het digitaal ondertekenen van SMB-pakketten. Met deze beleidsinstelling wordt bepaald of er moet worden onderhandeld over ondertekening van SMB-pakketten voordat verdere communicatie met een SMB-server wordt toegestaan. Als deze instelling is ingeschakeld, kan de Microsoft-netwerkclient niet met een Microsoft-netwerkserver communiceren tenzij op de server SMB-pakketondertekening is uitgevoerd. Als dit beleid is uitgeschakeld, wordt over het ondertekenen van SMB-pakketten onderhandeld door de client en de server. Standaardwaarde: Uitgeschakeld. Belangrijk Voordat dit beleid van kracht wordt op computers met Windows 2000, moet tevens pakketondertekening op de client zijn ingeschakeld. U kunt SMB-pakketondertekening op de client inschakelen door de Microsoft-netwerkclient in te stellen op: Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk). Opmerkingen Alle Windows-besturingssystemen ondersteunen zowel een SMB-component op de client als een SMB-component op de server. In Windows 2000 en hoger wordt het inschakelen of vereisen van het ondertekenen van pakketten voor SMB-componenten op de client en op de server geregeld met behulp van de volgende vier beleidsinstellingen: Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) - Hiermee wordt bepaald of voor de SMB-component op de client pakketondertekening is vereist. Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) - Hiermee wordt bepaald of voor de SMB-component op de client pakketondertekening is ingeschakeld. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) - Hiermee wordt bepaald of voor de SMB-component op de server pakketondertekening is vereist. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) - Hiermee wordt bepaald of voor de SMB-component op de server pakketondertekening is ingeschakeld. Door SMB-pakketondertekening kunnen de SMB-prestaties ernstig verslechteren, afhankelijk van dialectversie, besturingssysteemversie, bestandsgrootte, offloadmogelijkheden van de processor en het IO-gedrag van de applicatie. Raadpleeg voor meer informatie: https://go.microsoft.com/fwlink/?LinkID=787136.	Microsoft network client: Digitally sign communications (always) This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.
1995	Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) Met deze beveiligingsinstelling wordt bepaald of de SMB-client moet proberen te onderhandelen over het ondertekenen van SMB-pakketten. Het SMB-protocol (serverberichtblok) vormt de basis voor het delen van bestanden en printers voor Microsoft en vele andere netwerkbewerkingen, zoals extern Windows-beheer. Om man-in-the-middle-aanvallen te voorkomen waarmee SMB-pakketten tijdens de overdracht worden gewijzigd, biedt het SMB-protocol ondersteuning voor het digitaal ondertekenen van SMB-pakketten. Met deze beleidsinstelling wordt bepaald of er moet worden onderhandeld over het ondertekenen van SMB-pakketten wanneer verbinding wordt gemaakt met een SMB-server. Als deze instelling is ingeschakeld, vraagt de Microsoft-netwerkclient aan de server om SMB-pakketondertekening uit te voeren bij het instellen van de sessie. Als op de server pakketondertekening is ingeschakeld, wordt onderhandeld over het ondertekenen van pakketten. Als dit beleid is uitgeschakeld, kan de SMB-client nooit onderhandelen over het ondertekenen van SMB-pakketten. Standaardwaarde: Ingeschakeld. Opmerkingen Alle Windows-besturingssystemen ondersteunen zowel een SMB-component op de client als een SMB-component op de server. In Windows 2000 en hoger wordt het inschakelen of vereisen van het ondertekenen van pakketten voor SMB-componenten op de client en op de server geregeld met behulp van de volgende vier beleidsinstellingen: Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) - Hiermee wordt bepaald of voor de SMB-component op de client pakketondertekening is vereist. Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) - Hiermee wordt bepaald of voor de SMB-component op de client pakketondertekening is ingeschakeld. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) - Hiermee wordt bepaald of voor de SMB-component op de server pakketondertekening is vereist. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) - Hiermee wordt bepaald of voor de SMB-component op de server pakketondertekening is ingeschakeld. Als SMB-ondertekening is ingeschakeld voor zowel de server als de client en de client brengt een SMB 1.0-verbinding met de server tot stand, wordt SMB-ondertekening ingezet. Door SMB-pakketondertekening kunnen de SMB-prestaties ernstig verslechteren, afhankelijk van dialectversie, besturingssysteemversie, bestandsgrootte, offloadmogelijkheden van de processor en het IO-gedrag van de applicatie. Raadpleeg voor meer informatie: https://go.microsoft.com/fwlink/?LinkID=787136.	Microsoft network client: Digitally sign communications (if server agrees) This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.
1996	Microsoft-netwerkclient: niet-versleuteld wachtwoord verzenden om verbinding te kunnen maken met niet-Microsoft SMB-servers Als deze beveiligingsinstelling is ingeschakeld, is het toegestaan dat door de SMB-redirector (serverberichtblok) leesbare wachtwoorden worden verzonden naar niet-Microsoft SMB-servers die geen wachtwoordversleuteling ondersteunen tijdens authenticatie. Het verzenden van niet-versleutelde wachtwoord is een beveiligingsrisico. Standaardwaarde: Uitgeschakeld.	Microsoft network client: Send unencrypted password to connect to third-party SMB servers If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled.
1997	Microsoft-netwerkserver: tijd niet-actief voordat de sessie wordt verbroken Met deze beveiligingsinstelling wordt de periode van inactiviteit bepaald die moet verstrijken voordat een SMB-sessie (serverberichtblok) wordt verbroken wegens inactiviteit. Beheerders kunnen met dit beleid instellen op welk moment een computer een niet-actieve SMB-sessie verbreekt. Als de client weer actief wordt, wordt de sessie automatisch opnieuw tot stand gebracht. Als u in dit beleid de waarde 0 instelt, wordt een niet-actieve sessie verbroken zodra dat redelijkerwijs mogelijk is. De maximale waarde is 99999, hetgeen overeenkomt met 208 dagen. Als u deze waarde instelt, schakelt u het beleid in feite uit. Standaardwaarde: dit beleid is niet gedefinieerd, wat inhoudt dat de computer de waarden '15 minuten' voor servers en 'Niet-gedefinieerd' voor werkstations gebruikt.	Microsoft network server: Amount of idle time required before suspending a session This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations.
1998	Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) Met deze beveiligingsinstelling wordt bepaald of pakketondertekening is vereist voor de SMB-servercomponent. Het SMB-protocol (serverberichtblok) vormt de basis voor het delen van bestanden en printers voor Microsoft en vele andere netwerkbewerkingen, zoals extern Windows-beheer. Om man-in-the-middle-aanvallen te voorkomen waarmee SMB-pakketten tijdens de overdracht worden gewijzigd, biedt het SMB-protocol ondersteuning voor het digitaal ondertekenen van SMB-pakketten. Met deze beleidsinstelling wordt bepaald of er moet worden onderhandeld over het ondertekenen van SMB-pakketten voordat verdere communicatie met een SMB-client wordt toegestaan. Als deze instelling is ingeschakeld, communiceert de Microsoft-netwerkserver niet met een Microsoft-netwerkclient, tenzij die client akkoord gaat met het ondertekenen van SMB-pakketten. Als deze instelling is uitgeschakeld, wordt over het ondertekenen van SMB-pakketten onderhandeld door de client en de server. Standaardwaarde: Uitgeschakeld voor lidservers. Ingeschakeld voor domeincontrollers. Opmerkingen Alle Windows-besturingssystemen ondersteunen zowel een SMB-component op de client als een SMB-component op de server. In Windows 2000 en hoger wordt het inschakelen of vereisen van het ondertekenen van pakketten voor SMB-componenten op de client en op de server geregeld met behulp van de volgende vier beleidsinstellingen: Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) - Hiermee wordt bepaald of voor de SMB-component op de client pakketondertekening is vereist. Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) - Hiermee wordt bepaald of voor de SMB-component op de client pakketondertekening is ingeschakeld. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) - Hiermee wordt bepaald of voor de SMB-component op de server pakketondertekening is vereist. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) - Hiermee wordt bepaald of voor de SMB-component op de server pakketondertekening is ingeschakeld. Als SMB-ondertekening op de client is vereist, kan deze client geen sessie starten met servers waarop geen pakketondertekening is ingeschakeld. SMB-ondertekening is standaard alleen ingeschakeld op de server bij domeincontrollers. Als SMB-ondertekening is ingeschakeld op de server, wordt over het ondertekenen van SMB-pakketten onderhandeld met clients waarop SMB-ondertekening is ingeschakeld. Door SMB-pakketondertekening kunnen de SMB-prestaties ernstig verslechteren, afhankelijk van dialectversie, besturingssysteemversie, bestandsgrootte, offloadmogelijkheden van de processor en het IO-gedrag van de applicatie. Belangrijk Dit beleid kan alleen worden ingeschakeld op computers met Windows 2000 als pakketondertekening ook op de server wordt ingeschakeld. Stel het volgende beleid in om SMB-pakketondertekening op de server in te schakelen: Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) Als u wilt dat servers met Windows 2000 Server onderhandelen over ondertekening met clientcomputers waarop Windows NT 4.0 wordt uitgevoerd, moet u op de server de volgende registerwaarde instellen op 1: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Raadpleeg voor meer informatie: https://go.microsoft.com/fwlink/?LinkID=787136.	Microsoft network server: Digitally sign communications (always) This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.
1999	Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) Met deze beveiligingsinstelling wordt bepaald of de SMB-server onderhandelt over SMB-pakketondertekening met clients die daarom vragen. Het SMB-protocol (serverberichtblok) vormt de basis voor het delen van bestanden en printers voor Microsoft en vele andere netwerkbewerkingen, zoals extern Windows-beheer. Om man-in-the-middle-aanvallen te voorkomen waarmee SMB-pakketten tijdens de overdracht worden gewijzigd, biedt het SMB-protocol ondersteuning voor het digitaal ondertekenen van SMB-pakketten. Met deze beleidsinstelling wordt bepaald of de SMB-server onderhandelt over SMB-pakketondertekening als een SMB-client daarom vraagt. Als deze instelling is ingeschakeld, onderhandelt de Microsoft-netwerkserver over SMB-pakketonderhandeling zoals dat door de client wordt gevraagd. Als op de client pakketondertekening is ingeschakeld, wordt onderhandeld over het ondertekenen van pakketten. Als dit beleid is uitgeschakeld, kan de SMB-client nooit onderhandelen over het ondertekenen van SMB-pakketten. Standaardwaarde: Alleen ingeschakeld op domeincontrollers. Belangrijk Als u wilt dat Windows 2000-servers onderhandelen over ondertekening met Windows NT 4.0-clients, moet u op de server met Windows 2000 de volgende registerwaarde instellen op 1: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Opmerkingen Alle Windows-besturingssystemen ondersteunen zowel een SMB-component op de client als een SMB-component op de server. In Windows 2000 en hoger wordt het inschakelen of vereisen van het ondertekenen van pakketten voor SMB-componenten op de client en op de server geregeld met behulp van de volgende vier beleidsinstellingen: Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) - Hiermee wordt bepaald of voor het SMB-onderdeel op de client pakketondertekening vereist is. Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) - Hiermee wordt bepaald of voor het SMB-onderdeel op de client pakketondertekening is ingeschakeld. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) - Hiermee wordt bepaald of voor het SMB-onderdeel op de server pakketondertekening is vereist. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) - Hiermee wordt bepaald of voor het SMB-onderdeel op de server pakketondertekening is ingeschakeld. Als SMB-ondertekening is ingeschakeld voor zowel de server als de client en de client brengt een SMB 1.0-verbinding met de server tot stand, wordt SMB-ondertekening ingezet. Door SMB-pakketondertekening kunnen de SMB-prestaties ernstig verslechteren, afhankelijk van dialectversie, besturingssysteemversie, bestandsgrootte, offloadmogelijkheden van de processor en het IO-gedrag van de applicatie. Raadpleeg voor meer informatie: https://go.microsoft.com/fwlink/?LinkID=787136.	Microsoft network server: Digitally sign communications (if client agrees) This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.
2000	Microsoft-netwerkserver: clients automatisch afmelden als aanmeldingstijd verloopt Met deze beveiligingsinstelling wordt bepaald of de verbinding moet worden verbroken als een gebruiker verbinding heeft met de lokale computer buiten de aanmeldingstijd die is ingesteld voor het gebruikersaccount. Deze instelling geldt voor de SMB-component (Server Message Block). Als u dit beleid inschakelt, worden clientsessies met de SMB-service automatisch verbroken na het verlopen van de aanmeldingstijd die voor de client is ingesteld. Als dit beleid is uitgeschakeld, kan een client de bestaande sessie blijven gebruiken nadat de aanmeldingstijd van de client is verstreken. Standaardwaarde op Windows Vista en hoger: Ingeschakeld. Standaardwaarde op Windows XP: Uitgeschakeld.	Microsoft network server: Disconnect clients when logon hours expire This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled
2001	Netwerktoegang: anonieme SID/naamomzetting toestaan Met deze beleidsinstelling wordt bepaald of een anonieme gebruiker de kenmerken van een beveiligings-id (SID) van een andere gebruiker kan aanvragen. Als dit beleid is ingeschakeld, kan een anonieme gebruiker het SID-kenmerk aanvragen voor een andere gebruiker. Een anonieme gebruiker die de beveiligings-id van een beheerder kent, kan verbinding maken met een computer waarop dit beleid is ingeschakeld en vervolgens aan de hand van deze beveiligings-id de naam van de beheerder achterhalen. Deze instelling heeft invloed op zowel de omzetting van de SID in de naam als de omzetting van de naam in de SID. Als deze beleidsinstelling wordt uitgeschakeld, kan een anonieme gebruiker niet het SID-kenmerk van een andere gebruiker aanvragen. Standaardwaarde op werkstations en lidservers: Uitgeschakeld. Standaardwaarde op domeincontrollers met Windows Server 2008 of later: Uitgeschakeld. Standaardwaarde op domeincontrollers met Windows Server 2003 R2 of later: Ingeschakeld.	Network access: Allow anonymous SID/name translation This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled.
2002	Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan Met deze beveiligingsinstelling wordt bepaald welke extra machtigingen worden toegekend voor anonieme verbindingen met de computer. Anonieme gebruikers mogen bepaalde activiteiten uitvoeren, zoals het inventariseren van domeinaccounts en netwerkshares. Dit komt van pas wanneer een beheerder bijvoorbeeld toegang aan gebruikers wil verlenen in een vertrouwd domein waarvoor geen wederzijdse vertrouwensrelatie wordt onderhouden. Met deze beveiligingsoptie kunnen als volgt extra beperkingen worden ingesteld voor anonieme verbindingen: Ingeschakeld: geen inventarisatie van SAM-accounts toestaan. Met deze optie wordt in de beveiligingsmachtigingen voor bronnen de waarde Iedereen vervangen door Geverifieerde gebruikers. Uitgeschakeld: geen extra beperkingen. Gebruik maken van standaardmachtigingen. Standaardwaarde op werkstations: Ingeschakeld. Standaardwaarde op servers: Ingeschakeld. Belangrijk Dit beleid geldt niet voor domeincontrollers.	Network access: Do not allow anonymous enumeration of SAM accounts This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers.
2003	Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan Met deze beveiligingsinstelling wordt bepaald of anonieme inventarisatie van SAM-accounts en -shares is toegestaan. Anonieme gebruikers mogen bepaalde activiteiten uitvoeren, zoals het inventariseren van domeinaccounts en netwerkshares. Dit komt bijvoorbeeld van pas wanneer een beheerder toegang aan gebruikers wil verlenen in een vertrouwd domein waarvoor geen wederzijdse vertrouwensrelatie bestaat. Schakel dit beleid in als u anonieme inventarisatie van SAM-accounts en -shares niet wilt toestaan. Standaardwaarde: Uitgeschakeld.	Network access: Do not allow anonymous enumeration of SAM accounts and shares This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled.
2004	Netwerktoegang: opslag van wachtwoorden en referenties voor netwerkauthenticatie niet toestaan Met deze beveiligingsinstelling wordt bepaald of wachtwoorden en referenties voor domeinauthenticatie moeten worden opgeslagen. Als u deze instelling inschakelt, worden wachtwoorden en referenties niet opgeslagen op de computer. Als u deze beleidsinstelling uitschakelt of niet configureert, worden wachtwoorden en referenties wel opgeslagen op deze computer voor domeinauthenticatie. Opmerking: als u deze beveiligingsinstelling configureert, zijn de wijzigingen pas van kracht nadat u Windows opnieuw hebt opgestart. Standaardwaarde: Uitgeschakeld.	Network access: Do not allow storage of passwords and credentials for network authentication This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled.
2005	Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers Met deze beveiligingsinstelling wordt bepaald welke extra machtigingen worden toegekend voor anonieme verbindingen met de computer. Anonieme gebruikers mogen bepaalde activiteiten uitvoeren, zoals het inventariseren van domeinaccounts en netwerkshares. Dit komt van pas wanneer een beheerder bijvoorbeeld toegang aan gebruikers wil verlenen in een vertrouwd domein waarvoor geen wederzijdse vertrouwensrelatie wordt onderhouden. De beveiligings-id Iedereen wordt standaard verwijderd uit het token voor anonieme verbindingen. Machtigingen die zijn toegekend aan de groep Iedereen, zijn dus niet van toepassing op anonieme gebruikers. In dat geval hebben anonieme gebruikers alleen toegang tot bronnen waarvoor ze expliciet een machtiging hebben gekregen. Als dit beleid is ingeschakeld, wordt de beveiligings-id Iedereen toegevoegd aan het token voor anonieme verbindingen. In dat geval hebben anonieme gebruikers toegang tot elke bron waarvoor de groep Iedereen een machtiging heeft gekregen. Standaardwaarde: Uitgeschakeld.	Network access: Let Everyone permissions apply to anonymous users This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled.
2006	Netwerktoegang: named pipes waarvoor anoniem toegang kan worden verkregen Met deze beveiligingsinstelling wordt bepaald welke communicatiesessies (pipes) beschikken over de kenmerken en machtigingen waarmee ze toegankelijk worden voor anonieme gebruikers. Standaardwaarde: Geen.	Network access: Named pipes that can be accessed anonymously This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None.
2007	Netwerktoegang: registerpaden die op afstand toegankelijk zijn Met deze beveiligingsinstelling wordt bepaald welke registerpaden toegankelijk zijn via het netwerk, onafhankelijk van de gebruikers of groepen die zijn opgenomen in de ACL (Access Control List, toegangsbeheerlijst) van de registersleutel winreg. Standaardwaarden: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Waarschuwing Het niet correct bewerken van het register kan ernstige gevolgen voor uw systeem hebben. Maak een back-up van alle belangrijke gegevens op de computer voordat u het register wijzigt. Opmerking: deze beveiligingsinstelling is niet beschikbaar in eerdere versies van Windows. De beveiligingsinstelling op computers met Windows XP, Netwerktoegang: registerpaden die op afstand toegankelijk zijn komt overeen met de beveiligingsoptie Netwerktoegang: registerpaden en onderliggende paden die op afstand toegankelijk zijn op leden van de Windows Server 2003-familie. Raadpleeg voor meer informatie het onderwerp Netwerktoegang: registerpaden en onderliggende paden die op afstand toegankelijk zijn. Standaardwaarden: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion	Network access: Remotely accessible registry paths This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion
2008	Netwerktoegang: registerpaden en onderliggende paden die op afstand toegankelijk zijn Met deze beveiligingsinstelling wordt bepaald welke registerpaden en onderliggende paden toegankelijk zijn via het netwerk, onafhankelijk van de gebruikers of groepen die in de ACL (Access Control List, toegangsbeheerlijst) van de registersleutel winreg zijn opgenomen. Standaardwaarde: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Waarschuwing Het niet correct bewerken van het register kan ernstige gevolgen voor uw systeem hebben. Maak een back-up van alle belangrijke gegevens op de computer voordat u het register wijzigt. Opmerking: in Windows XP had deze beveiligingsinstelling de naam Netwerktoegang: registerpaden die op afstand toegankelijk zijn. Als u deze instelling configureert op een lid van de Windows Server 2003-familie dat is toegevoegd aan een domein, wordt deze instelling overgenomen door computers met Windows XP, maar dan als de beveiligingsoptie Netwerktoegang: registerpaden die op afstand toegankelijk zijn. Raadpleeg voor meer informatie het onderwerp Netwerktoegang: registerpaden en onderliggende pade die op afstand toegankelijk zijn.	Network access: Remotely accessible registry paths and subpaths This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths.
2009	Netwerktoegang: anonieme toegang beperken tot named pipes en shares Als deze beveiligingsinstelling is ingeschakeld, wordt anonieme toegang tot shares en pipes beperkt tot de volgende instellingen: Netwerktoegang: named pipes waarvoor anoniem toegang kan worden verkregen Netwerktoegang: shares die anoniem kunnen worden gebruikt Standaardwaarde: Ingeschakeld.	Network access: Restrict anonymous access to Named Pipes and Shares When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled.
2010	Netwerktoegang: shares die anoniem kunnen worden gebruikt Met deze beveiligingsinstelling wordt bepaald welke netwerkshares toegankelijk zijn voor anonieme gebruikers. Standaardwaarde: 'Geen' opgegeven.	Network access: Shares that can be accessed anonymously This security setting determines which network shares can accessed by anonymous users. Default: None specified.
2011	Netwerktoegang: model voor delen en beveiliging voor lokale accounts Met deze beveiligingsinstelling wordt bepaald hoe netwerkaanmeldingen met lokale accounts worden geverifieerd. Als u de instelling Klassiek gebruikt, worden netwerkaanmeldingen die gebruikmaken van lokale accountreferenties, geverifieerd aan de hand van deze referenties. Met het model Klassiek kunt u de toegang tot bronnen nauwkeurig controleren. Door het model Klassiek te gebruiken, kunt u voor dezelfde bron diverse typen toegang toekennen aan verschillende gebruikers. Als deze instelling is ingesteld op Alleen gast, worden netwerkaanmeldingen die lokale accounts gebruiken, automatisch toegewezen aan het account Gast. Als u het model Gast gebruikt, worden alle gebruikers op dezelfde manier behandeld. Alle gebruikers worden geverifieerd als Gast en krijgen hetzelfde toegangsniveau voor een bepaalde bron. Dit kan Alleen-lezen of Wijzigen zijn. Standaardwaarde op domeincomputers: Klassiek. Standaardwaarde op zelfstandige computers: Alleen gast. Belangrijk Als u het model Alleen gast gebruikt, zijn gedeelde bronnen toegankelijk voor iedereen die via het netwerk toegang heeft tot uw computer (ook voor anonieme internetgebruikers). U moet Windows Firewall of een vergelijkbaar programma of apparaat gebruiken om uw computer te beschermen tegen niet-geautoriseerde toegang. Bij gebruik van het model Klassiek moeten lokale accounts met een wachtwoord worden beveiligd, anders kan iedereen via deze gebruikersaccounts toegang krijgen tot gedeelde systeembronnen. Opmerking: Deze instelling geldt niet voor interactieve aanmeldingen die extern worden uitgevoerd via services zoals Telnet of Extern bureaublad-services Extern bureaublad-services heette Terminal Services in vorige versies van Windows Server. Dit beleid heeft geen invloed op computers met Windows 2000. Als de computer niet is opgenomen in een domein, worden met deze instelling ook de tabbladen Delen en Beveiliging in Verkenner aangepast, zodat deze overeenkomen met het gebruikte model voor delen en beveiligen.	Network access: Sharing and security model for local accounts This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used.
2012	Netwerkbeveiliging: hashwaarde van LAN Manager niet bewaren bij volgende wachtwoordwijziging Met deze beveiligingsinstelling wordt bepaald of de volgende keer dat het wachtwoord wordt gewijzigd, de LM-hashwaarde (LAN Manager) voor het nieuwe wachtwoord wordt opgeslagen. In vergelijking met de cryptografisch sterkere Windows NT-hash is de LM-hash relatief zwak en gevoeliger voor aanvallen. De LM-hash wordt opgeslagen in de beveiligingsdatabase op de lokale computer, waardoor de wachtwoorden kunnen worden achterhaald als de beveiligingsdatabase wordt aangevallen. Standaardwaarde op Windows Vista en hoger: Ingeschakeld. Standaardwaarde op Windows XP: Uitgeschakeld. Belangrijk Windows 2000 Service Pack 2 (SP2) en hoger zijn compatibel met authenticatie in eerdere versies van Windows, zoals Microsoft Windows NT 4.0. Deze instelling kan invloed hebben op het vermogen van computers met Windows 2000 Server, Windows 2000 Professional, Windows XP en de Windows Server 2003-familie om te communiceren met clients waarop Windows 95 of Windows 98 wordt uitgevoerd.	Network security: Do not store LAN Manager hash value on next password change This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98.
2013	Netwerkbeveiliging: gebruikers automatisch afmelden als aanmeldingstijd verstrijkt Met deze beveiligingsinstelling wordt bepaald of de verbinding moet worden verbroken als een gebruiker verbinding heeft met de lokale computer buiten de aanmeldingstijd die is ingesteld voor het gebruikersaccount. Deze instelling geldt voor de SMB-component (serverberichtblok). Als u dit beleid inschakelt, worden gebruikerssessies met de SMB-server automatisch verbroken na het verstrijken van de aanmeldingstijd die voor de gebruiker is ingesteld. Als dit beleid is uitgeschakeld, kan een gebruiker de bestaande verbinding blijven gebruiken nadat de aanmeldingstijd van het gebruikersaccount is verstreken. Standaardwaarde: Ingeschakeld. Opmerking: deze beveiligingsinstelling gedraagt zich als accountbeleid. Er kan slechts één accountbeleid zijn voor domeinaccounts. Het accountbeleid moet zijn gedefinieerd in het standaarddomeinbeleid en wordt afgedwongen door de domeincontrollers waaruit het domein is samengesteld. Een domeincontroller haalt het accountbeleid altijd uit het groepsbeleidsobject Standaarddomeinbeleid, ook als er een ander accountbeleid geldt voor de organisatie-eenheid waartoe de domeincontroller behoort. Werkstations en servers die in een domein zijn opgenomen (bijvoorbeeld lidcomputers), ontvangen standaard ook hetzelfde accountbeleid voor de lokale accounts. Het lokale accountbeleid voor lidcomputers kan echter afwijken van het domeinaccountbeleid als er een accountbeleid wordt ingesteld voor de organisatie-eenheid waarvan de lidcomputers deel uitmaken. Kerberos-instellingen worden niet toegepast op lidcomputers.	Network security: Force logoff when logon hours expire This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers.
2014	Netwerkbeveiliging: LAN Manager-authenticatieniveau Met deze beveiligingsinstelling wordt bepaald welk vraag/antwoord-authenticatieprotocol wordt gebruikt voor netwerkaanmeldingen. Deze instelling heeft als volgt invloed op het authenticatieniveau dat door clients wordt gebruikt, het niveau van de sessiebeveiliging waarover wordt onderhandeld en het authenticatieniveau dat door servers wordt geaccepteerd: LM- en NTLM-antwoorden verzenden: clients maken gebruik van LM- en NTLM-authenticatie, maar gebruiken nooit NTLMv2-sessiebeveiliging; domeincontrollers accepteren LM-, NTLM- en NTLMv2-authenticatie. LM en NTLM verzenden: gebruik NTLMv2-sessiebeveiliging indien onderhandeld: clients gebruiken LM- en NTLM-authenticatie en maken gebruik van NTLMv2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers accepteren LM-, NTLM- en NTLMv2-authenticatie. Alleen een NTLM-antwoord verzenden: clients gebruiken alleen NTLM-authenticatie en maken gebruik van NTLMv2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers accepteren LM-, NTLM- en NTLMv2-authenticatie. Alleen een NTLMv2-antwoord verzenden: clients gebruiken alleen NTLMv2-authenticatie en maken gebruik van NTLMv2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers accepteren LM-, NTLM- en NTLMv2-authenticatie. Alleen NTLMv2-antwoord verzenden\LM weigeren: clients gebruiken alleen NTLMv2-authenticatie en maken gebruik van NTLMv2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers weigeren LM-authenticatie (en accepteren alleen NTLM- en NTLMv2-authenticatie). Alleen NTLMv2-antwoord verzenden\LM en NTLM weigeren: gebruiken alleen NTLMv2-authenticatie en maken gebruik van NTLMv2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers weigeren LM- en NTLM-authenticatie (en accepteren alleen NTLMv2-authenticatie). Belangrijk Deze instelling kan invloed hebben op het vermogen van computers met Windows 2000 Server, Windows 2000 Professional, Windows XP Professional en de Windows Server 2003-familie om via het netwerk te communiceren met clients waarop Windows NT 4.0 of een eerdere versie wordt uitgevoerd. Op het moment dat deze informatie werd geschreven, werd NTLMv2 bijvoorbeeld niet ondersteund door computers met Windows NT 4.0 SP4 of eerdere versies. Op Windows 95- en Windows 98-computers wordt NTLM niet ondersteund. Standaardwaarde: Windows 2000 en Windows XP: LM- en NTLM-antwoorden verzenden Windows Server 2003: alleen NTLM-antwoord verzenden Windows Vista , Windows Server 2008, Windows 7 en Windows Server 2008 R2: alleen NTLMv2-antwoord verzenden	Network security: LAN Manager authentication level This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only
2015	Netwerkbeveiliging: vereisten voor handtekening van LDAP-client Met deze beveiligingsinstelling wordt het niveau van gegevensondertekening bepaald dat vereist is namens clients die LDAP BIND-aanvragen indienen. Dit gebeurt als volgt: Geen: de LDAP BIND-aanvraag wordt ingediend met de opties die zijn opgegeven door de aanvrager. Onderhandelen over handtekening: als TLS\SSL (Transport Layer Security/Secure Sockets Layer) niet is gestart, wordt bij de initialisatie van de LDAP BIND-aanvraag de optie voor LDAP-gegevensondertekening ingesteld, naast de opties die zijn opgegeven door de aanvrager. Als TLS\SSL is gestart, wordt de LDAP BIND-aanvraag geïnitialiseerd met de opties die zijn opgegeven door de aanvrager. Handtekening is vereist: dit is hetzelfde als Onderhandelen over handtekening. Als de tussenliggende saslBindInprogress-reactie van de LDAP-server echter niet aangeeft dat ondertekening van LDAP-verkeer vereist is, wordt de aanvrager gemeld dat de LDAP BIND-aanvraag is mislukt. Waarschuwing Als u de server instelt op Handtekening is vereist, moet u de client ook instellen. Als u de client niet instelt, wordt de verbinding met de server verbroken. Opmerking: deze instelling heeft geen effect op ldap_simple_bind of ldap_simple_bind_s. Microsoft LDAP-clients die worden geleverd bij Windows XP Professional maken geen gebruik van ldap_simple_bind of ldap_simple_bind_s om te communiceren met een domeincontroller. Standaardwaarde: Onderhandelen over handtekening.	Network security: LDAP client signing requirements This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing.
2016	Netwerkbeveiliging: minimale sessiebeveiliging voor op NTLM SSP-gebaseerde (inclusief beveiligde RPC) clients Met deze beveiligingsinstelling mag een client het onderhandelen vereisen over 128-bits versleuteling en/of NTLMv2-sessiebeveiliging. Deze waarden zijn afhankelijk van de waarde van de beveiligingsinstelling LAN Manager-authenticatieniveau. De opties zijn: NTLMv2-sessiebeveiliging vereisen: de verbinding kan niet worden gemaakt als niet wordt onderhandeld over het NTLMv2-protocol. 128-bits versleuteling vereisen: de verbinding kan niet worden gemaakt als niet wordt onderhandeld over sterke (128-bits) versleuteling. Standaardwaarde: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 en Windows Server 2008: geen vereisten Windows 7 en Windows Server 2008 R2: 128-bits versleuteling vereisen	Network security: Minimum session security for NTLM SSP based (including secure RPC) clients This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption
2017	Netwerkbeveiliging: minimale sessiebeveiliging voor op NTLM SSP-gebaseerde (inclusief beveiligde RPC) servers Met deze beveiligingsinstelling mag een server het onderhandelen vereisen over 128-bits versleuteling of NTLMv2-sessiebeveiliging. Deze waarden zijn afhankelijk van de waarde van de beveiligingsinstelling LAN Manager-authenticatieniveau. De opties zijn: NTLMv2-sessiebeveiliging vereisen: de verbinding kan niet worden gemaakt als niet wordt onderhandeld over berichtintegriteit. 128-bits versleuteling vereisen: de verbinding kan niet worden gemaakt als niet wordt onderhandeld over sterke (128-bits) versleuteling. Standaardwaarde: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 en Windows Server 2008: geen vereisten. Windows 7 en Windows Server 2008 R2: 128-bits versleuteling vereisen	Network security: Minimum session security for NTLM SSP based (including secure RPC) servers This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption
2018	Herstelconsole: automatische aanmelding door beheerder toestaan Met deze beveiligingsinstelling wordt bepaald of het wachtwoord voor het account Administrator moet worden opgegeven voordat toegang tot het systeem mogelijk is. Als deze optie is ingeschakeld, hoeft u geen wachtwoord op te geven voor de Herstelconsole en vindt aanmelding automatisch plaats. Standaardwaarde: dit beleid is niet gedefinieerd en automatische Administrator-aanmeldingen worden niet toegestaan.	Recovery console: Allow automatic administrative logon This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed.
2019	Herstelconsole: kopiëren vanaf diskette en toegang tot alle stations en mappen toestaan Door deze beveiligingsoptie in te schakelen wordt de opdracht SET van de Herstelconsole beschikbaar. Met deze opdracht kunt u de volgende variabelen voor de Herstelconsole instellen: AllowWildCards: hiermee kunnen jokertekens worden gebruikt voor bepaalde opdrachten (zoals de opdracht DEL). AllowAllPaths: hiermee zijn alle bestanden en mappen op de computer toegankelijk. AllowRemovableMedia: hiermee wordt het mogelijk bestanden te kopiëren naar verwisselbare media, zoals diskettes. NoCopyPrompt: er wordt geen bevestiging gevraagd bij het overschrijven van een bestand dat al bestaat. Standaardwaarde: dit beleid is niet gedefinieerd en de opdracht SET is niet beschikbaar in de herstelconsole.	Recovery console: Allow floppy copy and access to all drives and all folders Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available.
2020	Afsluiten: systeem kan zonder aanmelding worden afgesloten Met deze beveiligingsinstelling wordt bepaald of een computer kan worden afgesloten zonder dat de gebruiker zich hoeft aan te melden bij Windows. Als dit beleid is ingeschakeld, is de opdracht Afsluiten beschikbaar in het Windows-aanmeldingsscherm. Als dit beleid is uitgeschakeld, wordt de opdracht voor het afsluiten van de computer niet weergegeven in het Windows-aanmeldingsscherm. In dat geval kunnen gebruikers het systeem alleen afsluiten als ze zich hebben aangemeld en als ze beschikken over het gebruikersrecht Systeem afsluiten. Standaardwaarde op werkstations: Ingeschakeld. Standaardwaarde op servers: Uitgeschakeld.	Shutdown: Allow system to be shut down without having to log on This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled.
2021	Afsluiten: wisselbestand voor virtueel geheugen wissen Met deze beveiligingsinstelling wordt bepaald of het wisselbestand voor virtueel geheugen wordt gewist als het systeem wordt afgesloten. Virtueel geheugen maakt gebruik van een systeemwisselbestand voor het verplaatsen van geheugenpagina's naar de harde schijf als deze niet worden gebruikt. Als het systeem operationeel is, wordt dit wisselbestand exclusief geopend door het besturingssysteem en zeer goed beveiligd. Bij systemen die zijn geconfigureerd om te kunnen opstarten met een ander besturingssysteem, moet het wisselbestand echter mogelijk worden gewist wanneer het systeem wordt afgesloten. Hierdoor wordt gegarandeerd dat gevoelige informatie uit het procesgeheugen die mogelijk in het wisselbestand wordt opgeslagen, niet beschikbaar is voor een onbevoegde gebruiker die erin slaagt om direct toegang te krijgen tot het wisselbestand. Als dit beleid is ingeschakeld, wordt het wisselbestand van het systeem gewist als het systeem wordt afgesloten. Als u deze beveiligingsoptie inschakelt, wordt ook het sluimerstandbestand (hiberfil.sys) leeggemaakt als de sluimerstand wordt uitgeschakeld. Standaardwaarde: Uitgeschakeld.	Shutdown: Clear virtual memory pagefile This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled.
2022	Systeemcryptografie: beveiliging met sterke sleutel forceren voor gebruikerssleutels die zijn opgeslagen op de computer Met deze beveiligingsinstelling wordt bepaald of voor de persoonlijke sleutels van gebruikers een wachtwoord moet worden gebruikt. De volgende opties zijn beschikbaar: Geen gebruikersinvoer nodig wanneer nieuwe sleutels worden opgeslagen en gebruikt De gebruiker wordt om invoer gevraagd wanneer de sleutel voor de eerste keer wordt gebruikt De gebruiker moet elke keer dat een sleutel wordt gebruikt een wachtwoord opgeven Zie PKI (Public Key Infrastructure) voor meer informatie. Standaardwaarde: dit beleid is niet gedefinieerd.	System Cryptography: Force strong key protection for user keys stored on the computer This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined.
2023	Systeemcryptografie: FIPS 140-compatibele cryptografische algoritmen gebruiken, waaronder versleuteling, hashing en ondertekening van algoritmen, Voor deze SSP (Schannel Security Provider) worden met deze beveiligingsinstelling de zwakkere SSL-protocollen (Secure Sockets Layer) uitgeschakeld en wordt alleen het TLS-protocol (Transport Layer Security) ondersteund als client en als server (indien van toepassing). Als deze instelling is ingeschakeld, gebruikt de TLS/SSl-Security Provider alleen de voor FIPS 140 goedgekeurde cryptografische algoritmen: 3DES en AES voor versleuteling, RSA- of ECC-openbare sleutel-cryptografie voor de TLS-sleuteluitwisseling en -authenticatie, en alleen het Secure Hashing Algorithm (SHA1, SHA256, SHA384 en SHA512) voor de TLS-hashingvereisten. Voor EFS (Encrypting File System Service) wordt alleen gebruikgemaakt van Triple DES (Data Encryption Standard) en AES (Advanced Encryption Standard) als versleutelingsalgoritme voor het versleutelen van bestandsgegevens die worden ondersteund door het NTFS-bestandssysteem. Voor het versleutelen van bestandsgegevens maakt EFS standaard gebruik van het AES-algoritme met een 256-bits sleutel in de Windows Server 2003 en Windows Vista-familie en van de DESX-algoritme in Windows XP. Zie EFS (Encrypting File System) voor meer informatie over EFS. Voor Extern bureaublad-services wordt alleen het Triple DES-versleutelingsalgoritme ondersteund voor het versleutelen van netwerkcommunicatie via Extern bureaublad-services. Opmerking: Extern bureaublad-services heette Terminal Services in vorige versies van Windows Server. Voor BitLocker moet dit beleid worden ingeschakeld voordat een versleutelingssleutel wordt gegenereerd. Herstelwachtwoorden die zijn aangemaakt toen dit beleid is ingeschakeld zijn niet compatibel met BitLocker op Windows 8-, Windows Server 2012- en oudere besturingssystemen. Als dit beleid wordt toegepast op computers met oudere besturingssystemen dan Windows 8.1 en Windows Server 2012 R2, wordt er in Bitlocker voor gezorgd dat er geen herstelwachtwoorden kunnen worden gemaakt of gebruikt; in plaats daarvan moeten voor deze computers herstelsleutels worden gebruikt. Standaardwaarde: Uitgeschakeld. Opmerking: FIPS 140 (Federal Information Processing Standard) is een beveiligingsimplementatie die is ontwikkeld voor het certificeren van cryptografische software. Software die voldoet aan FIPS 140 wordt vereist door de Amerikaanse regering en is gewenst door andere vooraanstaande instituten.	System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions.
2024	Systeemobjecten: standaardeigenaar van objecten die door leden van de groep Administrators zijn gemaakt Beschrijving Met deze beveiligingsinstelling wordt bepaald welke beveiligings-principal (SID) wordt toegewezen aan de EIGENAAR van objecten als het object wordt gemaakt door een lid van de groep Administrators. Standaardwaarde: Windows XP: beveiligings-id van gebruiker Windows 2003: groep Administrators	System objects: Default owner for objects created by members of the Administrators group Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group
2025	Systeemobjecten: negeren van hoofd- en kleine letters is vereist voor niet-Windows onderliggende systemen. Met deze beveiligingsinstelling wordt bepaald of er op alle subsystemen al dan niet onderscheid moet worden gemaakt tussen hoofdletters en kleine letters. Het Win32-subsysteem maakt dit onderscheid niet. Op andere subsystemen, zoals POSIX, wordt dat onderscheid echter wel gemaakt. Als deze instelling is ingeschakeld, wordt geen onderscheid gemaakt tussen hoofdletters en kleine letters voor alle mapobjecten, symbolische koppelingen en I/O-objecten, inclusief bestandsobjecten. Ook als u deze instelling uitschakelt, wordt er op het Win32-subsysteem geen onderscheid gemaakt tussen hoofdletters en kleine letters. Standaardwaarde: Ingeschakeld.	System objects: Require case insensitivity for non-Windows subsystems This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled.
2026	Systeemobjecten: standaardmachtigingen versterken van globale systeemobjecten (b.v. symbolische koppelingen) Met deze beveiligingsinstelling wordt de sterkte bepaald van de standaard-DACL (Discretionary Access Control List, discretionaire toegangsbeheerlijst) voor objecten. Active Directory houdt een globale lijst bij van gedeelde systeembronnen, zoals DOS-apparaatnamen, mutexen en semaforen. Op deze manier kan worden vastgesteld waar objecten zich bevinden en kunnen objecten worden gedeeld door processen. Elk type object wordt gemaakt met een standaard-DACL. In deze lijst is gedefinieerd voor wie het object toegankelijk is en welke machtigingen zijn toegewezen. Als dit beleid is ingeschakeld, wordt de standaard-DACL sterker. In dat geval kunnen gebruikers die geen beheerder zijn, gedeelde objecten lezen. Deze gebruikers kunnen gedeelde objecten die ze niet zelf hebben gemaakt, echter niet wijzigen. Standaardwaarde: Ingeschakeld.	System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled.
2027	Systeeminstellingen: optionele subsystemen Met deze beveiligingsinstelling wordt bepaald welke subsystemen eventueel kunnen worden gestart voor de ondersteuning van toepassingen. Met deze beveiligingsinstelling kunt u zoveel subsystemen opgeven als nodig zijn voor ondersteuning in uw omgeving. Standaardwaarde: POSIX.	System settings: Optional subsystems This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX.
2028	Systeeminstellingen: gebruik certificaatregels op uitvoerbare Windows-bestanden ten behoeve van softwarerestrictiebeleid Met deze beveiligingsinstelling wordt bepaald of digitale certificaten worden verwerkt als door een gebruiker of proces wordt geprobeerd software uit te voeren met de bestandsextensie .exe. Deze beveiligingsinstelling wordt gebruikt om certificaatregels in of uit te schakelen, dus als een soort regel voor softwarebeperkingsbeleid. Met softwarebeperkingsbeleid kunt u een certificaatregel maken waarmee het wordt toegestaan of verboden om software uit te voeren die is ondertekend met Authenticode, op basis van het digitale certificaat dat aan de software is gekoppeld. Certificaatregels worden pas van kracht als u deze beveiligingsinstelling inschakelt. Als certificaatregels zijn ingeschakeld, wordt via het softwarebeperkingsbeleid in een certificaatintrekkingslijst (CRL) gecontroleerd of het certificaat en de handtekening van de software geldig zijn. Hierdoor kan bij het starten van ondertekende programma's de prestatie verminderen. U kunt deze voorziening uitschakelen. Schakel in Eigenschappen van Vertrouwde uitgevers de selectievakjes Uitgever en Tijdstempel uit. Zie Opties voor vertrouwde uitgevers instellen voor meer informatie. Standaardwaarde: Uitgeschakeld.	System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled.
2029	Maximale grootte van het toepassingslogboek Met deze beveiligingsinstelling wordt de maximale grootte van het toepassingslogboek ingesteld. Theoretisch is de hoogste waarde die u kunt instellen 4 GB. In de praktijk is de limiet lager (~300 MB). Opmerkingen De grootte van logboekbestanden moet een veelvoud van 64 kB zijn. Als u een waarde opgeeft die geen veelvoud van 64 kB is, wordt de grootte van het logboekbestand afgerond op een veelvoud van 64 kB. Deze instelling komt niet voor in het beleidsobject Lokale computer. Het is ook raadzaam om instellingen te definiëren voor de grootte van het gebeurtenislogboek en voor het overschrijven hiervan. Zo zorgt u ervoor dat deze instellingen overeenkomen met de zakelijke eisen en beveiligingseisen die in het beveiligingsplan van uw onderneming zijn vastgelegd. U kunt de instellingen voor het gebeurtenislogboek eventueel op site-, domein- of organisatie-eenheidniveau implementeren. Op die manier maakt u optimaal gebruik van groepsbeleidinstellingen. Standaardwaarde: voor de Windows Server 2003-familie, 16 MB; voor Windows XP Professional Service Pack 1,8 MB; voor Windows XP Professional, 512 kB.	Maximum application log size This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.
2030	Maximale grootte van het beveiligingslogboek Met deze beveiligingsinstelling wordt de maximale grootte van het beveiligingslogboek ingesteld. Theoretisch is de hoogste waarde die u kunt instellen 4 GB. In de praktijk is de limiet lager (~300 MB). Opmerkingen De grootte van logboekbestanden moet een veelvoud van 64 kB zijn. Als u een waarde opgeeft die geen veelvoud van 64 kB is, wordt de grootte van het logboekbestand afgerond op een veelvoud van 64 kB. Deze instelling komt niet voor in het beleidsobject Lokale computer. Het is ook raadzaam om instellingen te definiëren voor de grootte van het gebeurtenislogboek en voor het overschrijven hiervan. Zo zorgt u ervoor dat deze instellingen overeenkomen met de zakelijke eisen en beveiligingseisen die in het beveiligingsplan van uw onderneming zijn vastgelegd. U kunt de instellingen voor het gebeurtenislogboek eventueel op site-, domein- of organisatie-eenheidniveau implementeren. Op die manier maakt u optimaal gebruik van groepsbeleidinstellingen. Standaardwaarde: voor de Windows Server 2003-familie, 16 MB; voor Windows XP Professional Service Pack 1,8 MB; voor Windows XP Professional, 512 kB.	Maximum security log size This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.
2031	Maximale grootte van het systeemlogboek Met deze beveiligingsinstelling wordt de maximale grootte van het systeemlogboek ingesteld. Theoretisch is de hoogste waarde die u kunt instellen 4 GB. In de praktijk is de limiet lager (~300 MB). Opmerkingen De grootte van logboekbestanden moet een veelvoud van 64 kB zijn. Als u een waarde opgeeft die geen veelvoud van 64 kB is, wordt de grootte van het logboekbestand afgerond op een veelvoud van 64 kB. Deze instelling komt niet voor in het beleidsobject Lokale computer. Het is ook raadzaam om instellingen te definiëren voor de grootte van het gebeurtenislogboek en voor het overschrijven hiervan. Zo zorgt u ervoor dat deze instellingen overeenkomen met de zakelijke eisen en beveiligingseisen die in het beveiligingsplan van uw onderneming zijn vastgelegd. U kunt de instellingen voor het gebeurtenislogboek eventueel op site-, domein- of organisatie-eenheidniveau implementeren. Op die manier maakt u optimaal gebruik van groepsbeleidinstellingen. Standaardwaarde: voor de Windows Server 2003-familie, 16 MB; voor Windows XP Professional Service Pack 1,8 MB; voor Windows XP Professional, 512 kB.	Maximum system log size This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.
2032	Lokale gastengroepen en anonieme aanmelders geen toegang geven tot het toepassingslogboek Met deze beveiligingsinstelling wordt ingesteld dat gasten geen toegang hebben tot het toepassingslogboek. Opmerkingen Deze instelling komt niet voor in het beleidsobject Lokale computer. Deze beveiligingsinstelling is alleen van toepassing op computers met Windows 2000 en Windows XP. Standaardwaarde: Ingeschakeld voor Windows XP, Uitgeschakeld voor Windows 2000	Prevent local guests group and ANONYMOUS LOGIN users from accessing application log This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000
2033	Lokale gastengroepen en anonieme aanmelders geen toegang geven tot het beveiligingslogboek Met deze beveiligingsinstelling wordt ingesteld dat gasten geen toegang hebben tot het beveiligingslogboek. Opmerkingen Deze instelling komt niet voor in het beleidsobject Lokale computer. Deze beveiligingsinstelling is alleen van toepassing op computers met Windows 2000 en Windows XP. Standaardwaarde: Ingeschakeld voor Windows XP, Uitgeschakeld voor Windows 2000	Prevent local guests group and ANONYMOUS LOGIN users from accessing security log This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000
2034	Lokale gastengroepen en anonieme aanmelders geen toegang geven tot het systeemlogboek Met deze beveiligingsinstelling wordt ingesteld dat gasten geen toegang hebben tot het systeemlogboek. Opmerkingen Deze instelling komt niet voor in het beleidsobject Lokale computer. Deze beveiligingsinstelling is alleen van toepassing op computers met Windows 2000 en Windows XP. Standaardwaarde: Ingeschakeld voor Windows XP, Uitgeschakeld voor Windows 2000	Prevent local guests group and ANONYMOUS LOGIN users from accessing system log This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000
2035	Toepassingslogboek bewaren Met deze beveiligingsinstelling wordt bepaald gedurende hoeveel dagen gebeurtenissen in het toepassingslogboek moeten worden bewaard als u voor het toepassingslogboek de bewaarmethode Op dagen hebt geselecteerd. Stel deze waarde alleen in als u het logboek regelmatig archiveert en als de waarde bij Maximale grootte van het toepassingslogboek voldoende is voor het opgegeven interval. Opmerking: deze instelling komt niet voor in het beleidsobject Lokale computer. Standaardwaarde: Geen.	Retain application log This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None.
2036	Beveiligingslogboek bewaren Met deze beveiligingsinstelling wordt bepaald gedurende hoeveel dagen gebeurtenissen in het beveiligingslogboek moeten worden bewaard als u voor het beveiligingslogboek de bewaarmethode Op dagen hebt geselecteerd. Stel deze waarde alleen in als u het logboek regelmatig archiveert en als de waarde bij Maximale grootte van het beveiligingslogboek voldoende is voor het opgegeven interval. Opmerkingen Deze instelling komt niet voor in het beleidsobject Lokale computer. Een gebruiker moet gebruikersrechten hebben voor Controlebeheer en beveiligingslogboek om het beveiligingslogboek te openen. Standaardwaarde: Geen.	Retain security log This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None.
2037	Systeemlogboek bewaren Met deze beveiligingsinstelling wordt bepaald gedurende hoeveel dagen gebeurtenissen in het systeemlogboek moeten worden bewaard als u voor het systeemlogboek de bewaarmethode Op dagen hebt geselecteerd. Stel deze waarde alleen in als u het logboek regelmatig archiveert en als de waarde bij Maximale grootte van het systeemlogboek voldoende is voor het opgegeven interval. Opmerking: Deze instelling komt niet voor in het beleidsobject Lokale computer. Standaardwaarde: Geen.	Retain system log This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None.
2038	Bewaarmethode voor het toepassingslogboek Met deze beveiligingsinstelling wordt bepaald hoe gebeurtenissen in het toepassingslogboek worden bewaard. Als u het toepassingslogboek niet archiveert, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen indien nodig overschrijven. Als u het logboek regelmatig archiveert, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen op dagen overschrijven. Vervolgens geeft u het gewenste aantal dagen op in de beleidsinstelling Toepassingslogboek bewaren. De waarde bij Maximale grootte van het toepassingslogboek moet voldoende zijn voor het opgegeven interval. Als u alle gebeurtenissen in het logboek moet bewaren, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen niet overschrijven (logboek handmatig wissen). Als u deze optie kiest, moet u het logboek handmatig wissen. In dat geval worden nieuwe gebeurtenissen genegeerd wanneer de maximale grootte van het logboek is bereikt. Opmerking: Deze instelling komt niet voor in het beleidsobject Lokale computer. Standaardwaarde: Geen.	Retention method for application log This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None.
2039	Bewaarmethode voor het beveiligingslogboek Met deze beveiligingsinstelling wordt bepaald hoe gebeurtenissen in het beveiligingslogboek worden bewaard. Als u het beveiligingslogboek niet archiveert, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen indien nodig overschrijven. Als u het logboek regelmatig archiveert, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen op dagen overschrijven. Vervolgens geeft u het gewenste aantal dagen op in de beleidsinstelling Beveiligingslogboek bewaren. De waarde bij Maximale grootte van het beveiligingslogboek moet voldoende zijn voor het opgegeven interval. Als u alle gebeurtenissen in het logboek moet bewaren, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen niet overschrijven (logboek handmatig wissen). Als u deze optie kiest, moet u het logboek handmatig wissen. In dat geval worden nieuwe gebeurtenissen genegeerd wanneer de maximale grootte van het logboek is bereikt. Opmerkingen Deze instelling komt niet voor in het beleidsobject Lokale computer. Een gebruiker moet gebruikersrechten hebben voor Controlebeheer en beveiligingslogboek om het beveiligingslogboek te openen. Standaardwaarde: Geen.	Retention method for security log This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None.
2040	Bewaarmethode voor het systeemlogboek Met deze beveiligingsinstelling wordt bepaald hoe gebeurtenissen in het systeemlogboek worden bewaard. Als u het systeemlogboek niet archiveert, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen indien nodig overschrijven. Als u het logboek regelmatig archiveert, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen op dagen overschrijven. Vervolgens geeft u het gewenste aantal dagen op in de beleidsinstelling Systeemlogboek bewaren. De waarde bij Maximale grootte van het systeemlogboek moet voldoende zijn voor het opgegeven interval. Als u alle gebeurtenissen in het logboek moet bewaren, schakelt u in het dialoogvenster Eigenschappen van dit beleid het selectievakje Deze beleidsinstelling vastleggen in en klikt u op Gebeurtenissen niet overschrijven (logboek handmatig wissen). Als u deze optie kiest, moet u het logboek handmatig wissen. In dat geval worden nieuwe gebeurtenissen genegeerd wanneer de maximale grootte van het logboek is bereikt. Opmerking: deze instelling komt niet voor in het beleidsobject Lokale computer. Standaardwaarde: Geen.	Retention method for system log This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None.
2041	Beperkte groepen Met deze beveiligingsinstelling kan een beheerder twee eigenschappen instellen voor groepen met een gevoelige beveiliging ('beperkte groepen'). Het gaat om de eigenschappen Leden en Lid van. In de lijst Leden wordt vastgelegd wie wel en wie niet tot de beperkte groep behoort. In de lijst Lid van wordt vastgelegd tot welke andere groepen de beperkte groep behoort. Wanneer het beleid voor de beperkte groep wordt geactiveerd, worden alle leden van een beperkte groep die niet op de lijst Leden voorkomen, verwijderd. Alle gebruikers die voorkomen op de lijst Leden maar nog geen lid zijn van de beperkte groep, worden toegevoegd. U kunt beleid voor Beperkte groepen gebruiken om het groepslidmaatschap te beheren. Met dit beleid kunt u opgeven welke leden deel uitmaken van een groep. Leden die niet in het beleid zijn opgegeven, worden verwijderd tijdens de configuratie of tijdens het vernieuwen. Bovendien zorgt de omgekeerde lidmaatschapsconfiguratie-optie ervoor dat elke Beperkte groep alleen lid is van de groepen die in de kolom Lid van zijn opgegeven. U kunt bijvoorbeeld een beleid voor Beperkte groepen maken waarbij alleen opgegeven gebruikers (zoals Alie en John) lid zijn van de groep Administrators. Als het beleid wordt vernieuwd, blijven alleen Alie en John over als leden van de groep Administrators. Er zijn twee manieren waarop u beleid voor Beperkte groepen kunt toepassen: U kunt het beleid definiëren in een beveiligingssjabloon, die tijdens de configuratie op uw lokale computer wordt toegepast. U kunt de instelling rechtstreeks definiëren in een groepsbeleidsobject, wat betekent dat het beleid van kracht wordt wanneer u het beleid de volgende keer vernieuwt. De beveiligingsinstellingen worden om de 90 minuten vernieuwd op een werkstation of server en om de 5 minuten op een domeincontroller. De instellingen worden ook om de 16 uur vernieuwd, of er nu wijzigingen zijn of niet. Standaardwaarde: Geen opgegeven. Waarschuwing Als het beleid voor Beperkte groepen is gedefinieerd en het groepsbeleid vervolgens wordt vernieuwd, worden huidige leden verwijderd die niet op de ledenlijst van het beleid voor Beperkte groepen voorkomen. Hierbij kan het ook standaardleden betreffen, zoals administrators. Opmerkingen Gebruik Beperkte groepen voornamelijk voor het configureren van het lidmaatschap van lokale groepen op werkstation- of lidservers. Als de lijst Leden leeg is, wil dat zeggen dat de beperkte groep geen leden heeft. Als de lijst Lid van leeg is, wil dat zeggen dat de groepen waarvan de beperkte groep deel uitmaakt, niet zijn gedefinieerd.	Restricted Groups This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified.
2042	Beveiligingsinstellingen voor Systeemservices Hiermee kan een beheerder voor alle systeemservices de opstartmodus (handmatig, automatisch of uitgeschakeld) en de toegangsmachtigingen (starten, stoppen of onderbreken) definiëren. Standaardwaarde: Niet gedefinieerd. Opmerkingen Deze instelling komt niet voor in het beleidsobject Lokale computer. Als u de systeemservices automatisch wilt laten opstarten, kunt u dit het best eerst testen om na te gaan of de services daadwerkelijk zonder tussenkomst van de gebruiker kunnen worden gestart. Services die overbodig zijn of weinig worden gebruikt, kunnen het best worden ingesteld op handmatig opstarten. Dit leidt tot een prestatieverbetering.	System Services security settings Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual.
2043	Beveiligingsinstellingen voor het register Hiermee kan een beheerder met Beveiligingsconfiguratiebeheer toegangsmachtigingen (op DACL's (Discretionary Access Control List, discretionaire toegangsbeheerlijst)) en controle-instellingen (op SACL's (System Access Control List, systeemtoegangsbeheerlijst)) definiëren voor registersleutels. Standaardwaarde: Niet gedefinieerd. Opmerking: deze instelling komt niet voor in het beleidsobject Lokale computer.	Registry security settings Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object.
2044	Beveiligingsinstellingen voor het bestandssysteem Hiermee kan een beheerder met Beveiligingsconfiguratiebeheer toegangsmachtigingen (op DACL's (Discretionary Access Control List, discretionaire toegangsbeheerlijst)) en controle-instellingen (op SACL's (System Access Control List, systeemtoegangsbeheerlijst)) definiëren voor bestandssysteemobjecten. Standaardwaarde: Niet gedefinieerd. Opmerking: deze instelling komt niet voor in het beleidsobject Lokale computer.	File System security settings Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object.
2045	Controle: instellingen voor controlebeleid met subcategorieën (Windows Vista of nieuwer) bekrachtigen om instellingen voor controlebeleid met categorieën op te heffen. Met Windows Vista en nieuwere versies van Windows kan het controlebeleid preciezer worden beheerd door het gebruik van subcategorieën in het controlebeleid. Als u het controlebeleid op categorieniveau instelt, wordt de nieuwe functie van subcategorieën opgeheven. Met groepsbeleid kan controlebeleid alleen worden ingesteld op categorieniveau, en bestaand groepsbeleid kan de subcategorie-instellingen van nieuwe computers overschrijven wanneer deze aan het domein worden toegevoegd of worden bijgewerkt naar Windows Vista of latere versies. Als u het controlebeleid met behulp van subcategorieën wilt beheren zonder Groepsbeleid te willen wijzigen, kunt u een nieuwe registerwaarde gebruiken (SCENoApplyLegacyAuditPolicy) in Windows Vista en nieuwere versies, waarmee het toepassen van het controlebeleid op categorieniveau in Groepsbeleid en in het hulpprogramma Lokaal beveiligingsbeleid wordt voorkomen. Als het controlebeleid op categorieniveau dat hier wordt ingesteld, niet consistent is met de gebeurtenissen die momenteel worden gegenereerd, kan dat mogelijk worden veroorzaakt doordat deze registersleutel is ingesteld. Standaardwaarde: Ingeschakeld	Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings. Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled
2046	Gebruikersaccountbeheer: de modus Door administrator goedkeuren gebruiken voor het ingebouwde administratoraccount Met deze beleidsinstelling kunt u het gedrag bepalen van de modus Door administrator goedkeuren voor het ingebouwde administratoraccount. De opties zijn: • Ingeschakeld: het ingebouwde administrator gebruikt de modus Door administrator goedkeuren. Voor bewerkingen waarvoor verhoogde bevoegdheid vereist is, wordt aan de gebruiker gevraagd om de bewerking goed te keuren. • Uitgeschakeld (standaardwaarde): met het ingebouwde administratoraccount worden alle toepassingen uitgevoerd met volledige administratorbevoegdheden.	User Account Control: Use Admin Approval Mode for the built-in Administrator account This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege.
2047	DCOM: toegangsbeperkingen voor computers in SDDL-syntaxis (Security Descriptor Definition Language) Met deze beleidsinstelling bepaalt u welke gebruikers of groepen extern of lokaal toegang kunnen krijgen tot DCOM-toepassingen. Met deze instelling kunt u het beveiligingsrisico van de computer beperken voor DCOM-toepassingen. Met deze beleidsinstelling kunt u voor alle computers toegangsrechten opgeven voor bepaalde gebruikers voor DCOM-toepassingen in de onderneming. Wanneer u de gebruikers of groepen opgeeft die deze rechten moeten krijgen, wordt het security descriptor-veld gevuld met de SDDL-weergave (Security Descriptor Definition Language) van die groepen en rechten. Als de security descriptor leeg wordt gelaten, wordt de beleidsinstelling in de sjabloon gedefinieerd, maar wordt deze niet van kracht. U kunt gebruikers en groepen expliciete Toestaan- of Weigeren-rechten geven voor zowel lokale toegang als externe. De registerinstellingen die worden gemaakt omdat de beleidsinstelling DCOM: toegangsbeperkingen voor computers in SDDL-syntaxis (Security Descriptor Definition Language) is ingeschakeld, hebben voorrang boven (hebben een hogere prioriteit dan) de vorige registerinstellingen in dit gebied. Met RpcSs (Remote Procedure Call Services) controleert u de nieuwe registersleutels in de sectie Beleidsregels op de computerbeperkingen, en deze registervermeldingen hebben voorrang boven de bestaande registersleutels onder OLE. Dit betekent dat bestaande registerinstellingen niet meer van kracht zijn. Als u wijzigingen aanbrengt in de bestaande instellingen, worden de toegangsrechten voor computers niet gewijzigd voor gebruikers. Wees zorgvuldig bij het configureren van de lijst met gebruikers en groepen. De mogelijke waarden voor deze beleidsinstelling zijn: Leeg. Deze optie staat voor de manier waarop de sleutel voor het afdwingen van beleid wordt verwijderd door het lokale beveiligingsbeleid. Met deze waarde verwijdert u het beleid en stelt u het vervolgens in op de status Niet gedefinieerd. U kunt de waarde Leeg instellen door de ACL-editor te gebruiken en de lijst leeg te maken en vervolgens op OK te klikken. SDDL. Dit is de SDDL-weergave (Security Descriptor Definition Language) van de groepen en rechten die u opgeeft wanneer u dit beleid inschakelt. Niet gedefinieerd. Dit is de standaardwaarde. Opmerking Als de beheerder geen toegang krijgt tot DCOM-toepassingen vanwege de wijzigingen die zijn aangebracht in DCOM in Windows, kan de beheerder de beleidsinstelling DCOM: toegangsbeperkingen voor computers in SDDL-syntaxis (Security Descriptor Definition Language) gebruiken om DCOM-toegang tot de computer te beheren. De beheerder kan opgeven welke gebruikers en groepen zowel lokaal als extern toegang hebben tot de DCOM-toepassing op de computer met behulp van deze instelling. Hiermee wordt de controle over de DCOM-toepassing teruggegeven aan de beheerder en de gebruikers. Open hiertoe de instelling DCOM: toegangsbeperkingen voor computers in SDDL-syntaxis (Security Descriptor Definition Language) en klik op Beveiliging bewerken. Geef de groepen op die u wilt opnemen en de computertoegangsrechten voor die groepen. Hiermee definieert u de instelling en stelt u de juiste SDDL-waarde in.	DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value.
2048	DCOM: startbeperkingen voor computers in SDDL-syntaxis (Security Descriptor Definition Language) Met deze beleidsinstelling bepaalt u welke gebruikers of groepen DCOM-toepassingen extern of lokaal kunnen starten of activeren. Deze instelling wordt gebruikt om het beveiligingsrisico van de computer voor DCOM-toepassingen te beperken. U kunt deze instelling gebruiken om toegang tot alle computers te verlenen aan gebruikers van DCOM-toepassingen. Wanneer u deze instelling definieert en de gebruikers of groepen opgeeft die toestemming moeten krijgen, wordt het security descriptor-veld gevuld met de SDDL-weergave (Security Descriptor Definition Language) van die groepen en rechten. Als de security descriptor leeg wordt gelaten, wordt de beleidsinstelling in de sjabloon gedefinieerd, maar wordt deze niet van kracht. U kunt gebruikers en groepen expliciete Toestaan- of Weigeren-rechten geven voor lokaal starten, extern starten, lokaal activeren en extern activeren. De registerinstellingen die worden gemaakt als gevolg van dit beleid, hebben voorrang boven de vorige registerinstellingen in dit gebied. Met RpcSs (Remote Procedure Call Services) controleert u de nieuwe registersleutels in de sectie Beleidsregels op de computerbeperkingen, en deze vermeldingen hebben voorrang boven de bestaande registersleutels onder OLE. De mogelijke waarden voor deze groepsbeleidsinstelling zijn: Leeg. Deze optie staat voor de manier waarop de sleutel voor het afdwingen van beleid wordt verwijderd door het lokale beveiligingsbeleid. Met deze waarde verwijdert u het beleid en stelt u het vervolgens in op de status Niet gedefinieerd. U kunt de waarde Leeg instellen door de ACL-editor te gebruiken en de lijst leeg te maken en vervolgens op OK te klikken. SDDL. Dit is de SDDL-weergave (Security Descriptor Definition Language) van de groepen en rechten die u opgeeft wanneer u dit beleid inschakelt. Niet gedefinieerd. Dit is de standaardwaarde. Opmerking Als de beheerder geen toegang krijgt tot DCOM-toepassingen om deze te activeren en te starten vanwege de wijzigingen die zijn aangebracht in DCOM in deze versie van Windows, kunt u deze beleidsinstelling gebruiken om het activeren en starten van DCOM te beheren voor de computer. De beheerder kan opgeven welke gebruikers en groepen DCOM-toepassingen zowel lokaal als extern kunnen starten en activeren op de computer door de beleidsinstelling DCOM: startbeperkingen voor computers in SDDL-syntaxis (Security Descriptor Definition Language) te gebruiken. Hiermee wordt de controle over de DCOM-toepassing teruggegeven aan de beheerder en opgegeven gebruikers. Open hiertoe de instelling DCOM: startbeperkingen voor computers in SDDL-syntaxis (Security Descriptor Definition Language) en klik op Beveiliging bewerken. Geef de groepen op die u wilt opnemen en de computerstartrechten voor die groepen. Hiermee definieert u de instelling en stelt u de juiste SDDL-waarde in.	DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value.
2049	Gebruikersaccountbeheer: het gedrag bij het vragen om verhoogde bevoegdheid voor administrators in de modus Door administrator goedkeuren Met deze beleidsinstelling kunt u het gedrag bepalen bij het vragen om verhoogde bevoegdheid voor administrators. De opties zijn: • Met benodigde bevoegdheden uitvoeren zonder hierom te vragen: hiermee kunnen accounts die over de vereiste bevoegdheden beschikken een bewerking uitvoeren waarvoor verhoogde bevoegdheid is vereist zonder toestemming of referenties. Opmerking: gebruik deze optie alleen in zeer beperkte omgevingen. • Vragen om referenties op het beveiligde bureaublad: als voor een bewerking verhoogde bevoegdheid is vereist, wordt gebruiker van het beveiligde bureaublad gevraagd om een gebruikersnaam en wachtwoord met de vereiste bevoegdheden in te voeren. Als de gebruiker geldige referenties opgeeft, wordt de bewerking voortgezet met de hoogste beschikbare bevoegdheid voor de gebruiker. • Vragen om toestemming op het beveiligde bureaublad: als voor een bewerking verhoogde bevoegdheid is vereist, wordt de gebruiker van het beveiligde bureaublad gevraagd om Toestaan of Weigeren te selecteren. Als de gebruiker Toestaan selecteert, wordt de bewerking voortgezet met de hoogst mogelijke bevoegdheden voor de gebruiker. • Vragen om referenties: voor bewerkingen waarvoor verhoogde bevoegdheid is vereist, wordt de gebruiker gevraagd een gebruikersnaam en wachtwoord met administratorbevoegdheden op te geven. Als de gebruiker geldige referenties opgeeft, wordt de bewerking voortgezet met de bevoegdheden die van toepassing zijn. • Vragen om toestemming: voor bewerkingen waarvoor verhoogde bevoegdheid is vereist , wordt de gebruiker gevraagd Toestaan of Weigeren te selecteren. Als de gebruiker Toestaan selecteert, wordt de bewerking voortgezet met de hoogst mogelijke bevoegdheden voor de gebruiker. • Vragen om toestemming voor niet-Windows binaire bestanden: (standaardwaarde) als voor een bewerking voor een niet-Windows-toepassing verhoogde bevoegdheid vereist is, wordt de gebruiker van het beveiligde bureaublad gevraagd om Toestaan of Weigeren te selecteren. Als de gebruiker Toestaan selecteert, wordt de bewerking voortgezet met de hoogst mogelijke bevoegdheden voor de gebruiker.	User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.
2050	Gebruikersaccountbeheer: het gedrag bij het vragen om de benodigde bevoegdheden voor normale gebruikers Met deze beveiligingsinstelling bepaalt u het gedrag bij het vragen om de benodigde bevoegdheden voor normale gebruikers. De opties zijn: • Vragen om referenties (Standaard): voor bewerkingen waarvoor uitbreiding van bevoegdheden vereist is, wordt aan de gebruiker gevraagd om een gebruikersnaam en wachtwoord met administratorbevoegdheden op te geven. Als de gebruiker geldige referenties opgeeft, wordt de bewerking voortgezet met de bevoegdheden die van toepassing zijn. • Uitbreidingsaanvragen automatisch weigeren: er wordt een foutbericht Toegang geweigerd geretourneerd aan de normale gebruiker wanneer deze probeert een bewerking uit te voeren waarvoor uitbreiding van bevoegdheden vereist is. Bedrijven waarin werknemers computers gebruiken als normale gebruiker, kiezen deze instelling meestal om het aantal telefoontjes aan de helpdesk te beperken. • Vragen om referenties op een beveiligd bureaublad: voor bewerkingen waarvoor uitbreiding van bevoegdheden vereist is, wordt aan de gebruiker op het beveiligde bureaublad gevraagd om een andere gebruikersnaam en wachtwoord op te geven. Als de gebruiker geldige referenties opgeeft, wordt de bewerking voortgezet met de bevoegdheden die van toepassing zijn.	User Account Control: Behavior of the elevation prompt for standard users This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.
2051	Gebruikersaccountbeheer: de installatie van toepassingen detecteren en vragen om de uitgebreide bevoegdheden Met deze beleidsinstelling bepaalt u het gedrag voor het detecteren van de installatie van toepassingen voor de computer. De opties zijn: • Ingeschakeld: als toepassingsinstallatiepakketten worden vastgesteld waarvoor uitbreiding van bevoegdheden vereist is, wordt de gebruiker gevraagd om een gebruikersnaam en wachtwoord met administratorbevoegdheden op te geven. Als de gebruiker geldige referenties opgeeft, wordt de bewerking voortgezet met de bevoegdheid die van toepassing is. • Uitgeschakeld: toepassingsinstallatiepakketten worden niet gedetecteerd en er wordt niet gevraagd om uitbreiding van bevoegdheden. Binnen ondernemingen waarin bureaubladen voor normale gebruikers worden uitgevoerd en waarin gedelegeerde installatietechnologieën worden gebruikt GPSI (Group Policy Software Installation) of SMS (System Management Server) moet deze beleidsinstelling worden uitgeschakeld. In dat geval heeft het geen zin het installatieprogramma te detecteren.	User Account Control: Detect application installations and prompt for elevation This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary.
2052	Gebruikersaccountbeheer: alleen uitvoerbare bestanden die zijn ondertekend en gevalideerd, met verhoogde bevoegdheid uitvoeren Met deze beleidsinstelling dwingt u PKI-handtekeningcontroles (Public Key Infrastructure) af op alle interactieve toepassingen die vragen om verhoogde bevoegdheid. Ondernemingsadministrators kunnen beheren welke toepassingen mogen worden uitgevoerd via het toevoegen van certificaten aan het certificaatarchief Vertrouwde uitgevers van de lokale computer. De opties zijn: • Ingeschakeld: hiermee dwingt u de validatie van het PKI-certificaatpad van een bepaald uitvoerbaar bestand af voordat het mag worden uitgevoerd. • Uitgeschakeld: dwingt geen validatie van het PKI-certificaatpad af voordat een bepaald uitvoerbaar bestand mag worden uitgevoerd.	User Account Control: Only elevate executable files that are signed and validated This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run.
2053	Gebruikersaccountbeheer: alleen UIAccess-toepassingen die zijn geïnstalleerd op veilige locaties, met verhoogde bevoegdheden uitvoeren Met deze beleidsinstelling kunt u bepalen of toepassingen die uitvoering aanvragen met integriteitsniveau UIAccess (User Interface Accessibility) zich moeten bevinden op een veilige locatie in het bestandssysteem. Alleen de volgende locaties zijn veilige locaties: - …\Program Files\, inclusief de onderliggende mappen - …\Windows\system32\ - …\Program Files (x86)\, inclusief de onderliggende mappen voor 64-bits versies van Windows Opmerking: Windows dwingt een PKI-handtekeningcontrole (Public Key Infrastructure) af op elke interactieve toepassing die uitvoering aanvraagt met integriteitsniveau UIAccess, ongeacht de status van deze beveiligingsinstelling. De opties zijn: • Ingeschakeld: (standaardwaarde) toepassingen worden alleen gestart met integriteit UIAccess als deze zich bevinden op een veilige locatie in het bestandssysteem. • Uitgeschakeld: toepassingen worden gestart met integriteit UIAccess, zelfs als deze zich niet bevinden op een veilige locatie in het bestandssysteem.	User Account Control: Only elevate UIAccess applications that are installed in secure locations This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system.
2054	Gebruikersaccountbeheer: modus 'Door administrator goedkeuren' inschakelen Met deze beleidsinstelling bepaalt u het gedrag van de UAC-beleidsinstellingsitems (User Account Control) voor de computer. Als u deze beleidsinstelling wijzigt, moet u de computer opnieuw opstarten. De opties zijn: • Ingeschakeld: (standaardwaarde) de modus Door administrator goedkeuren is ingeschakeld. Dit beleid moet zijn ingeschakeld en alle andere UAC-beleidsregels moeten navenant worden ingesteld, zodat het ingebouwde administratoraccount en alle andere leden die lid zijn van de groep Administrators de modus Door administrator goedkeuren kunnen uitvoeren. • Uitgeschakeld: de modus Door administrator uitvoeren en alle verwante UAC-beleidsregels zijn uitgeschakeld. Opmerking: als deze beleidsinstelling wordt ingeschakeld, ontvangt u van het Beveiligingscentrum een melding dat de algehele beveiliging van het besturingssysteem is verlaagd.	User Account Control: Turn on Admin Approval Mode This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced.
2055	Gebruikersaccountbeheer: naar het beveiligde bureaublad overschakelen tijdens het vragen om de benodigde bevoegdheden Met deze beveiligingsinstelling bepaalt u of er op het interactieve gebruikersbureaublad of op het beveiligde bureaublad wordt gevraagd om de benodigde bevoegdheden. De opties zijn: • Ingeschakeld: alle aanvragen voor de benodigde bevoegdheden gaan standaard naar het beveiligde bureaublad • Uitgeschakeld: alle aanvragen voor de benodigde bevoegdheden gaan standaard naar het interactieve gebruikersbureaublad Standaardwaarde: Ingeschakeld	User Account Control: Switch to the secure desktop when prompting for elevation This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used.
2056	Gebruikersaccountbeheer: schrijffouten in bestanden en register in locaties per-gebruiker virtualiseren Met deze beleidsinstelling kunt u bepalen of schrijffouten in toepassingen worden omgeleid naar gedefinieerde locaties in zowel het register als het bestandssysteem. Met deze beleidsinstelling beperkt u de risico's voor de toepassingen die worden uitgevoerd als administrator en die tijdens runtime toepassingsgegevens schrijven naar %ProgramFiles%, %Windir%; %Windir%\system32 of HKLM\Software\. De opties zijn: • Ingeschakeld: (standaardwaarde) schrijffouten in toepassingen worden tijdens runtime omgeleid naar gedefinieerde gebruikerslocaties voor zowel het bestandssysteem als het register. • Uitgeschakeld: toepassingen die gegevens proberen te schrijven naar beveiligde locaties, slagen hier niet in.	User Account Control: Virtualize file and registry write failures to per-user locations This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail.
2057	Symbolische koppelingen maken Met dit recht bepaalt u of een gebruiker een symbolische koppeling kan maken vanaf de computer waarbij deze is aangemeld. Standaardwaarde: Administrator WAARSCHUWING: verleen dit recht alleen aan vertrouwde gebruikers. Symbolische koppelingen kunnen een beveiligingsprobleem veroorzaken in toepassingen die niet zijn ontworpen om deze te verwerken. Opmerking Deze instelling kan worden gebruikt in combinatie met een instelling symlink filesystem die op de opdrachtregel wordt opgegeven, om het type symbolische koppelingen te bepalen dat is toegestaan op de computer. Typ fsutil behavior set symlinkevalution /? op de opdrachtregel voor meer informatie over fsutil en symbolische koppelingen.	Create Symbolic Links This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links.
2058	Objectnaam aanpassen Met dit recht bepaalt u welke gebruikersaccounts het integriteitslabel kunnen aanpassen van objecten, zoals bestanden, registersleutels of processen die eigendom zijn van andere gebruikers. Processen die worden uitgevoerd onder een gebruikersaccount, kunnen het label van een object dat eigendom is van die gebruiker wijzigen in een lager niveau zonder dit recht. Standaardwaarde: Geen	Modify an object label This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None
2059	Gebruikersaccountbeheer: UIAccess-toepassingen toestaan te vragen om verhoogde bevoegdheid zonder beveiligd bureaublad te gebruiken. Met deze beleidsinstelling bepaalt u of UIAccess-programma's (User Interface Accessibility of UIA) het beveiligde bureaublad automatisch kunnen uitschakelen voor aanvragen om verhoogde bevoegdheid die door een standaardgebruiker worden gedaan. • Ingeschakeld: UIA-programma's, waaronder Windows Hulp op afstand, kunnen het beveiligde bureaublad automatisch uitschakelen voor vragen om verhoogde bevoegdheden. Als u de beleidsinstelling 'Gebruikersaccountbeheer: naar het beveiligd bureaublad overschakelen tijdens het vragen om verhoogde bevoegdheid' niet uitschakelt, worden de vragen weergegeven op het interactieve bureaublad van de gebruiker in plaats van op het beveiligde bureaublad. • Uitgeschakeld: (standaardwaarde) het beveiligde bureaublad kan alleen worden uitgeschakeld door de gebruiker van het interactieve bureaublad of door het uitschakelen van de beleidsinstelling 'Gebruikersaccountbeheer: naar het beveiligd bureaublad overschakelen tijdens het vragen om verhoogde bevoegdheid'.	User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop. This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting.
2060	Deze instelling wordt tijdens Back-up/herstel gebruikt door Referentiebeheer. Geen enkel account mag dit recht hebben, aangezien het uitsluitend aan Winlogon is toegewezen. Referenties die door gebruikers zijn opgeslagen, kunnen niet meer betrouwbaar zijn als dit recht aan andere instellingen is gegeven.	This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities.
2061	De tijdzone wijzigen Met dit gebruikersrecht wordt bepaald welke gebruikers en groepen de tijdzone kunnen wijzigen die op de computer wordt gebruikt voor het weergeven van de lokale tijd (dit is de systeemtijd van de computer plus de tijdzone-offset). De systeemtijd zelf verandert nooit en wordt ook niet beïnvloed door een wijziging van de tijdzone. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller (GPO) en in het lokale beveiligingsbeleid van de werkstations en servers. Standaardwaarden: Administrators, Gebruikers	Change the Time Zone This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users
2062	Een proceswerkset vergroten Met dit recht wordt bepaald welke gebruikersaccounts de grootte van de werkset van een proces kunnen vergroten of verkleinen. Standaardwaarde: Gebruikers De werkset van een proces is de set geheugenpagina's die momenteel zichtbaar is in het fysieke RAM-geheugen van het proces. Deze pagina's zijn beschikbaar in een toepassing en kunnen worden gebruikt zonder een paginafout te activeren. De minimale en maximale werksetgroottes zijn van invloed op het wisselgeheugengebruik in het virtueel geheugen van een proces. Waarschuwing: als u de werksetgrootte voor een proces vergroot, verkleint u de hoeveelheid fysiek geheugen die beschikbaar is voor de rest van het systeem.	Increase a process working set This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system.
2063	Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers Met deze beleidsinstelling kunt u uitgaand NTLM-verkeer vanaf deze computer met Windows 7 of Windows Server 2008 R2 naar externe Windows-servers weigeren of controleren. Als u 'Alles toestaan' selecteert, of deze beleidsinstelling niet configureert, kan de clientcomputer identiteiten naar externe servers controleren met behulp van NTLM-authenticatie. Als u 'Alles controleren' selecteert, wordt door de clientcomputer een gebeurtenis vastgelegd voor elk NTLM-authenticatieverzoek met een externe server. Hiermee kunt u de servers identificeren die NTLM-authenticatieverzoeken ontvangen van de clientcomputer. Als u 'Alles weigeren' selecteert, kunnen door de clientcomputer geen identiteiten naar een externe server worden geverifieerd met behulp van NTLM-authenticatie. U kunt de beleidinstelling 'Netwerkbeveiliging: NTLM beperken: uitzonderingen voor externe servers toevoegen voor NTLM-authenticatie' gebruiken voor het definiëren van een lijst met externe servers waarmee clients NTLM-authenticatie mogen gebruiken. Dit beleid wordt minimaal ondersteund op Windows 7 of Windows Server 2008 R2. Opmerking: controle- en blokkeergebeurtenissen worden vastgelegd op deze computer in het logboek Operationeel onder Logboeken Toepassingen en services/Microsoft/Windows/NTLM.	Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2064	Netwerkbeveiliging: NTLM beperken: binnenkomend NTLM-verkeer Met deze beleidsinstelling kunt u binnenkomend NTLM-verkeer weigeren of toestaan. Als u 'Alles toestaan' selecteert of deze beleidsinstelling niet configureert, worden alle NTLM-authenticatieaanvragen door de server toegestaan. Als u 'Alle domeinaccounts weigeren' selecteert, worden alle NTLM-authenticatieaanvragen voor domeinaanmelding door de server geweigerd en wordt een fout geretourneerd dat NTLM is geblokkeerd, maar kunnen lokale accounts zich aanmelden. Als u 'Alle accounts weigeren' selecteert, worden door de server NTLM-authenticatieaanvragen geweigerd van binnenkomend verkeer en wordt een fout geretourneerd dat NTLM is geblokkeerd. Dit beleid wordt minimaal ondersteund op Windows 7 en Windows Server 2008 R2. Opmerking: blokkeergebeurtenissen worden op deze computer vastgelegd in het logboek Operationeel onder Logboeken Toepassingen en Services/Microsoft/Windows/NTLM.	Network security: Restrict NTLM: Incoming NTLM traffic This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2065	Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein Met deze beleidsinstelling kunt u NTLM-authenticatie binnen een domein vanaf deze domeincontroller weigeren of toestaan. Deze instelling heeft geen invloed op interactieve aanmeldingen bij deze domeincontroller. Als u 'Uitgeschakeld' selecteert of deze beleidsinstelling niet configureert, worden alle aanvragen voor NTLM-doorvoerauthenticatie binnen het domein door de domeincontroller geaccepteerd. Als u 'Weigeren voor domeinaccounts naar domeinservers' selecteert, weigert de domeincontroller alle aanmeldingspogingen met NTLM-authenticatie vanaf domeinaccounts gebruiken, en retourneert de domeincontroller een fout dat NTLM is geblokkeerd, tenzij de servernaam is opgenomen in de lijst met uitzonderingen in de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: uitzonderingen voor servers voor NTLM-authenticatie in dit domein toevoegen'. Als u 'Weigeren voor domeinaccount' selecteert, weigert de domeincontroller alle aanmeldingspogingen met NTLM-authenticatie vanaf domeinaccounts, en retourneert de domeincontroller een fout dat NTLM is geblokkeerd, tenzij de servernaam is opgenomen in de lijst met uitzonderingen in de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: uitzonderingen voor servers voor NTLM-authenticatie in dit domein toevoegen'. Als u 'Weigeren voor domeinservers' selecteert, weigert de domeincontroller alle aanvragen voor NTLM-authenticatie naar alle servers in het domein en retourneert de domeincontroller een fout dat NTLM is geblokkeerd, tenzij de servernaam is opgenomen in de lijst met uitzonderingen in de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: uitzonderingen voor servers voor NTLM-authenticatie in dit domein toevoegen'. Als u 'Alles weigeren' selecteert, weigert de domeincontroller alle aanvragen voor NTLM-doorvoerauthenticatie van de bijbehorende servers en voor de bijbehorende accounts en retourneert de domeincontroller een fout dat NTLM is geblokkeerd, tenzij de server is opgenomen in de lijst met uitzonderingen in de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: uitzonderingen voor servers voor NTLM-authenticatie in dit domein toevoegen'. Dit beleid wordt minimaal ondersteund op Windows Server 2008 R2. Opmerking: blokkeergebeurtenissen worden vastgelegd op deze computer in het logboek Operationeel onder Logboeken Toepassingen en Services/Microsoft/Windows/NTLM.	Network security: Restrict NTLM: NTLM authentication in this domain This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2066	Netwerkbeveiliging: NTLM beperken: uitzonderingen voor externe servers toevoegen voor NTLM-authenticatie Met deze beleidsinstelling kunt u een uitzonderingenlijst maken van externe servers waarvoor clients wel NTLM-authenticatie kunnen gebruiken als u de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: Uitgaand NTLM-verkeer naar externe servers' hebt geconfigureerd. Als u deze beleidsinstelling configureert, kunt u een lijst definiëren met externe servers waarvoor clients NTLM-authenticatie kunnen gebruiken. Als u deze beleidsinstelling niet configureert, worden geen uitzonderingen toegepast. U moet de namen van de servers in de uitzonderingenlijst opgeven in de FQDN-notatie (Fully Qualified Domain Name) of als de NetBIOS-servernaam die door de toepassing wordt gebruikt. Als u ervoor wilt zorgen dat uitzonderingen werken, moet u de naam die door alle toepassingen wordt gebruikt in de lijst opnemen; als u ervoor wilt zorgen dat een uitzondering correct is, moet u de servernaam in beide naamgevingsnotaties opnemen. Op een willekeurige plaats in een tekenreeks kunt u één sterretje (*) opgeven als jokerteken.	Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character.
2067	Netwerkbeveiliging: NTLM beperken: uitzonderingen voor servers in dit domein toevoegen Met deze beleidsinstelling kunt u een uitzonderingenlijst maken van servers in dit domein waarbij clients wel NTLM-authenticatie kunnen gebruiken als u de beleidsinstelling Netwerkbeveiliging: NTLM beperken: NTLM-verkeer in dit domein niet toestaan hebt ingesteld. Als u deze beleidsinstelling configureert, kunt u een lijst definiëren met servers in dit domein waarvoor clients NTLM-authenticatie kunnen gebruiken. Als u deze beleidsinstelling niet configureert, worden geen uitzonderingen toegepast. U moet de namen van de servers in de uitzonderingenlijst opgeven in de FQDN-notatie (fully qualified domain name) of als de NetBIOS-servernamen die door de aanroepende toepassing worden gebruikt. Geef per regel één servernaam op. Aan het begin of einde van een reeks kunt u één sterretje (*) opgeven als jokerteken.	Network security: Restrict NTLM: Add server exceptions in this domain This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character.
2068	Netwerkbeveiliging: LocalSystem toestaan om terugvallen naar NULL-sessies te gebruiken NTLM toestaan om terug te vallen naar NULL-sessie bij gebruik met LocalSystem. De standaardwaarde is TRUE tot en met Windows Vista en FALSE in Windows 7.	Network security: Allow LocalSystem NULL session fallback Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7.
2069	Netwerkbeveiliging: voor Kerberos toegestane versleutelingstypen configureren Met deze beleidsinstelling kunt u de versleutelingstypen instellen die door Kerberos mogen worden gebruikt. Als u een versleutelingstype niet selecteert, wordt dat type niet toegestaan. Deze instelling kan gevolgen hebben voor de compatibiliteit met clientcomputers, services en toepassingen. U kunt meerdere versleutelingstypen selecteren. Dit beleid wordt minimaal ondersteund op Windows 7 en Windows Server 2008 R2.	Network security: Configure encryption types allowed for Kerberos This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2.
2071	Netwerkbeveiliging: PKU2U-authenticatieaanvragen op deze computer toestaan voor het gebruik van online-identiteiten. Dit beleid wordt standaard uitgeschakeld op domeincomputers. Hierdoor kunnen online-identiteiten niet worden geverifieerd met de domeincomputer.	Network security: Allow PKU2U authentication requests to this computer to use online identities. This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine.
2072	Netwerkbeveiliging: NTLM beperken: Binnenkomend NTLM-verkeer controleren Met deze beleidsinstelling kunt u binnenkomend NTLM-verkeer controleren. Als u 'Uitschakelen' selecteert of deze beleidsinstelling niet configureert, worden op de server geen gebeurtenissen vastgelegd voor binnenkomend NTLM-verkeer. Als u 'Controle voor domeinaccounts inschakelen' selecteert, worden op de server gebeurtenissen vastgelegd voor aanvragen voor NTLM-doorvoerauthenticatie die zouden worden geblokkeerd als u de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: Binnenkomend NTLM-verkeer' instelt op de optie 'Alle domeinaccounts weigeren'. Als u 'Controle voor alle accounts inschakelen' selecteert, worden op de server gebeurtenissen vastgelegd voor alle NTLM-authenticatieaanvragen die zouden worden geblokkeerd als u de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: Binnenkomend NTLM-verkeer' instelt op de optie 'Alle accounts weigeren'. Dit beleid wordt minimaal ondersteund op Windows 7 of Windows Server 2008 R2. Opmerking: controlegebeurtenissen worden op deze computer vastgelegd in het logboek Operationeel onder Logboeken Toepassingen en services/Microsoft/Windows/NTLM.	Network security: Restrict NTLM: Audit Incoming NTLM Traffic This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2073	Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein controleren Met deze beleidsinstelling kunt u de controle op NTLM-authenticatie in een domein vanaf deze domeincontroller beheren. Als u 'Uitschakelen' selecteert of deze beleidsinstelling niet configureert, worden door de domeincontroller geen gebeurtenissen vastgelegd voor NTLM-authenticatie in dit domein. Als u 'Inschakelen voor domeinaccounts naar domeinservers' selecteert, worden door de domeincontroller gebeurtenissen vastgelegd voor aanmeldingspogingen met NTLM-authenticatie voor domeinaccounts naar domeinservers als NTLM-authenticatie zou zijn geweigerd omdat 'Weigeren voor domeinaccounts naar domeinservers' is geselecteerd in de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein'. Als u 'Inschakelen voor domeinaccounts' selecteert, worden door de domeincontroller gebeurtenissen vastgelegd voor aanmeldingspogingen met NTLM-authenticatie voor domeinaccounts als NTLM-authenticatie zou zijn geweigerd omdat 'Weigeren voor domeinaccounts' is geselecteerd in de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein'. Als u 'Inschakelen voor domeinservers' selecteert, worden door de domeincontroller gebeurtenissen vastgelegd voor aanmeldingspogingen met NTLM-authenticatie naar alle servers in het domein als NTLM-authenticatie zou zijn geweigerd omdat 'Weigeren voor domeinservers' is geselecteerd in de beleidsinstelling 'Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein'. Als u 'Alles inschakelen' selecteert, worden door de domeincontroller gebeurtenissen vastgelegd voor aanvragen voor NTLM-doorvoerauthenticatie van de servers en accounts in het domein die zouden zijn geweigerd omdat 'Alles weigeren' is geselecteerd in de beleidinstelling 'Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein'. Dit beleid wordt ondersteund op minimaal Windows Server 2008 R2. Opmerking: controlegebeurtenissen worden op deze computer vastgelegd in het logboek Operationeel onder Logboeken Toepassen en Services/Microsoft/Windows/NTLM.	Network security: Restrict NTLM: Audit NTLM authentication in this domain This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2074	Netwerkbeveiliging: het lokale systeem toestaan computeridentiteit te gebruiken voor NTLM Met deze beleidsinstelling kunnen services op de lokale computer die met Negotiate werken, de computeridentiteit gebruiken als ze terugvallen op NTLM-authenticatie. Als u deze beleidsinstelling inschakelt, gebruiken services die worden uitgevoerd als lokaal systeem dat met Negotiate werkt, de computeridentiteit. Dit kan ertoe leiden dat bepaalde authenticatieaanvragen tussen Windows-besturingssystemen mislukken en hiervoor een fout wordt vastgelegd. Als u deze beleidsinstelling uitschakelt, zullen services die worden uitgevoerd als lokaal systeem en die Negotiate gebruiken bij het terugvallen op NTLM-authenticatie, anonieme authenticatie uitvoeren. Dit beleid is standaard ingeschakeld op computers met Windows 7 of hoger. Dit beleid is standaard uitgeschakeld op computers met Windows Vista. Dit beleid wordt minimaal ondersteund op Windows Vista of Windows Server 2008. Opmerking: in Windows Vista of Windows Server 2008 wordt deze instelling niet beschikbaar gemaakt in het groepsbeleid.	Network security: Allow Local System to use computer identity for NTLM This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy.
2075	Microsoft-netwerkserver: validatieniveau voor de SPN-doelnaam van de server Met deze beleidsinstelling kunt u bepalen welk niveau van validatie een computer met gedeelde mappen of printers (de server) uitvoert op de SPN (Service Principal Name) die wordt opgegeven door de clientcomputer wanneer deze een sessie start met het SMB-protocol (Server Message Block). Het SMB-protocol vormt de basis voor het delen van bestanden en printers en vele andere netwerkbewerkingen, zoals extern Windows-beheer. Het SMB-protocol ondersteunt validatie van de SPN (Service Principal Name) van de SMB-server in de authenticatieblob die door een SMB-client wordt verstrekt. Deze validatie dient om zogenoemde SMB-relayaanvallen op SMB-servers te voorkomen. Deze instelling is zowel op SMB1 als op SMB2 van invloed. Deze beveiligingsinstelling bepaalt welk niveau van validatie een SMB-server uitvoert op de SPN die door de SMB-client wordt opgegeven bij pogingen om een sessie met een SMB-server te starten. De volgende opties zijn beschikbaar: Uit - de SPN van de SMB-client is niet vereist en wordt niet door de SMB-server gevalideerd. Accepteren als client naam levert - de SMB-server accepteert en valideert de SPN die door de SMB-client wordt geleverd. Als de naam voorkomt in de lijst met SPN's voor de SMB-server, kan een sessie worden gestart. Is dit niet het geval, dan wordt de sessieaanvraag van die SMB-client geweigerd. Naam van client vereist - de SMB-client moet een SPN-naam verzenden bij het instellen van de sessie, en de opgegeven SPN-naam moet overeenkomen met de SMB-server waaraan de verbindingsaanvraag is gericht. Als de client geen SPN verschaft of de opgegeven SPN niet overeenkomt, kan geen sessie worden gestart. Standaardwaarde: Uit Alle Windows-besturingssystemen ondersteunen zowel een SMB-component op de client als een SMB-component op de server. Deze instelling beïnvloedt het SMB-gedrag van de server en dient vóór implementatie zorgvuldig te worden geëvalueerd en getest om te zorgen dat de mogelijkheden voor het delen van bestanden en printers niet worden aangetast. Ga naar de Microsoft-website (https://go.microsoft.com/fwlink/?LinkId=144505) voor meer informatie over het beveiligen van SMB-servers met deze instelling.	Microsoft network server: Server SPN target name validation level This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505).
2076	Microsoft-netwerkserver: poging van S4U2Self om claiminformatie te verkrijgen Deze beveiligingsinstelling is bedoeld om clients met een oudere Windows-versie dan Windows 8 te ondersteunen die proberen toegang te verkrijgen tot een bestandsshare waarvoor gebruikersclaims zijn vereist. Door deze instelling wordt bepaald of de lokale bestandsserver zal proberen gebruik te maken van de functie S4U2Self (Service-For-User-To-Self) van Kerberos om de claims van de principal van een netwerkclient te verkrijgen van het accountdomein van de client. Deze instelling moet alleen worden ingesteld als de bestandsserver gebruikmaakt van gebruikersclaims voor het beheer van de bestandstoegang en als de bestandsserver clientprincipals ondersteunt waarvan de accounts zich in een domein kunnen bevinden met clientcomputers en domeincontrollers die een eerdere versie van Windows gebruiken dan Windows 8. Deze instelling moet worden ingesteld op automatisch (standaard), zodat door de bestandsserver automatisch kan worden bepaald of er claims nodig zijn voor de gebruiker. Een beheerder moet deze instelling expliciet instellen op Ingeschakeld als er lokale toegangsbeleidsregels zijn die gebruikersclaims omvatten. Wanneer deze beveiligingsinstelling is ingeschakeld, wordt er hiermee voor gezorgd dat het toegangstoken van een geverifieerde principal van een netwerkclient wordt gecontroleerd door de Windows-bestandsserver en dat zo wordt bepaald of er claiminformatie beschikbaar is. Als er geen claims aanwezig zijn, gebruikt de bestandsserver de functie S4U2Self van Kerberos om te proberen contact te maken met een Windows Server 2012-domeincontroller in het accountdomein van de client en zo een voor claims geschikt toegangstoken te verkrijgen voor de clientprincipal. Een token dat voor claims geschikt is, kan nodig zijn om toegang tot bestanden of mappen te verkrijgen die gebruikmaken van een op claims gebaseerd toegangscontrolebeleid. Als deze instelling niet is ingeschakeld, wordt niet geprobeerd om een voor claims geschikt toegangstoken voor de clientprincipal te verkrijgen. Standaard: automatisch.	Microsoft network server: Attempt S4U2Self to obtain claim information This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic.
2077	Accounts: Microsoft-accounts blokkeren Deze beleidsinstelling voorkomt dat gebruikers nieuwe Microsoft-accounts aan deze computer toevoegen. Als u de optie Gebruikers kunnen geen Microsoft-accounts toevoegen hebt geselecteerd, zijn gebruikers niet in staat om nieuwe Microsoft-accounts op deze computer te maken, een lokaal account te wijzigen in een Microsoft-account of een verbinding te maken tussen een domeinaccount en een Microsoft-account. Deze optie heeft de voorkeur als u het gebruik van Microsoft-accounts in uw onderneming wilt beperken. Als u de optie Gebruikers kunnen geen Microsoft-accounts toevoegen of zich hiermee aanmelden hebt geselecteerd, kunnen bestaande Microsoft-gebruikers zich niet aanmelden op Windows. Als u deze optie selecteert, kan een bestaande beheerder zich wellicht niet op deze computer aanmelden om het systeem te beheren. Als u dit beleid uitschakelt of niet configureert (aanbevolen), kunnen gebruikers wel gebruik maken van Microsoft-accounts in combinatie met Windows.	Accounts: Block Microsoft accounts This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows.
2078	Interactieve aanmelding: drempelwaarde computeraccount. Het vergrendelingsbeleid voor de computer wordt alleen afgedwongen voor die computers waarop Bitlocker is ingeschakeld voor het beveiligen van besturingssysteemvolumes. Zorg dat het juiste beleid voor herstelwachtwoorden is ingeschakeld. Deze beveiligingsinstelling bepaalt na hoeveel mislukte aanmeldingspogingen de computer wordt vergrendeld. Een vergrendelde computer kan alleen worden hersteld door de herstelsleutel op te geven op de console. U kunt de waarde instellen op 1 tot 999 mislukte aanmeldingspogingen. Als u de waarde op 0 instelt, wordt de computer nooit vergrendeld. Waarden van 1 tot en met 3 worden geïnterpreteerd als 4. Pogingen met foute wachtwoorden op werkstations of lidservers die zijn vergrendeld met Ctrl+Alt+Delete of via een wachtwoord beveiligde schermbeveiligingen tellen als mislukte aanmeldingspogingen. Het beleid voor het vergrendelen van computers wordt alleen afgedwongen op die computers waarop Bitlocker is ingeschakeld voor het beveiligen van besturingssysteemvolumes. Zorg dat het juiste beleid voor herstelwachtwoorden is ingeschakeld. Standaard: 0.	Interactive logon: Machine account threshold. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0.
2079	Interactieve aanmelding: limiet voor inactiviteit van computer. Inactiviteit van een aanmeldingssessie wordt door Windows opgemerkt en als de periode van inactiviteit de limiet overschrijdt, wordt de schermbeveiliging uitgevoerd en de sessie vergrendeld. Standaard: niet afgedwongen.	Interactive logon: Machine inactivity limit. Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced.
2080	Een imitatietoken verkrijgen voor een andere gebruiker in dezelfde sessie. Door het toewijzen van deze bevoegdheid aan een gebruiker kunnen programma's die namens die gebruiker worden uitgevoerd, een imitatietoken verkrijgen van andere gebruikers die interactief zijn aangemeld binnen dezelfde sessie op voorwaarde dat de aanroeper een imitatietoken van de sessiegebruiker heeft. Niet van toepassing binnen Window-bureaubladclient/server waar iedere gebruiker een afzonderlijke sessie krijgt.	Obtain an impersonation token for another user in the same session. Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session.
2081	Netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen verrichten Met deze beleidsinstelling kunt u externe RPC-verbindingen naar SAM beperken. Indien deze optie niet is geselecteerd, wordt de standaard security descriptor gebruikt. Deze beleidsinstelling wordt ondersteund op ten minste Windows Server 2016.	Network access: Restrict clients allowed to make remote calls to SAM This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016.
2082	Interactieve aanmelding: gebruikersnaam niet weergeven op het aanmeldscherm Met deze beveiligingsinstelling wordt bepaald of de gebruikersnaam van de persoon die zich bij de pc aanmeldt, wordt weergegeven op het inlogscherm van Windows nadat de referenties zijn ingevoerd en voordat het bureaublad verschijnt. Als dit beleid is ingeschakeld, wordt de gebruikersnaam niet weergegeven. Als dit beleid is uitgeschakeld, wordt de gebruikersnaam wel weergegeven. Standaardwaarde: Uitgeschakeld.	Interactive logon: Don't display username at sign-in This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled.
57343	U wilt de beveiligingsinstellingen wijzigen voor deze service. Het wijzigen van de standaardbeveiliging voor de service kan problemen veroorzaken door een inconsistente configuratie tussen deze service en andere services die ervan afhankelijk zijn. Wilt u doorgaan?	You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue?
57345	U staat op het punt om nieuwe sjabloongegevens te importeren in het lokale-computerbeleid voor deze computer. Hierdoor worden de huidige beveiligingsinstellingen voor de computer gewijzigd. Wilt u doorgaan?	You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue?
57346	De computerbeveiliging configureren	Configuring Computer Security
57350	Huidige beveiligingsconfiguratiedatabase: database met lokaal beleid %s	Current Security Configuration Database: Local Policy Database %s
57351	Huidige beveiligingsconfiguratiedatabase: Persoonlijke database %s	Current Security Configuration Database: Private Database %s
57352	Analysegegevens genereren	Generating analysis information
57353	Importeren mislukt	Import Failed
57354	Onderliggende items zijn geconfigureerd	Subitems defined
57355	Niet beschikbaar	Not Available
57356	Nieuwe service	New Service
57357	Configureren van:	Configuring:
57358	Bestand &toevoegen... Een nieuw bestand of nieuwe map aan deze sjabloon toevoegen	Add &File... Adds a new file or folder to this template
57359	Dit bestand of deze map aan de sjabloon toevoegen:	Add this file or folder to the template:
57360	Een bestand of map toevoegen	Add a file or folder
57361	Microsoft Corporation	Microsoft Corporation
57362	10.0	10.0
57363	Beveiligingssjablonen is de naam van een MMC-module die voorziet in bewerkingsmogelijkheden voor beveiligingssjabloonbestanden.	Security Templates is an MMC snap-in that provides editing capabilities for security template files.
57364	Beveiligingsconfiguratie en -analyse is de naam van een MMC-module die voorziet in mogelijkheden voor beveiligingsconfiguratie en -analyse voor Windows-computers die werken met beveiligingssjabloonbestanden.	Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files.
57365	De uitbreidingsmodule Beveiligingsinstellingen is een uitbreiding voor de module Groepsbeleid. Met deze uitbreidingsmodule kunt u beveiligingsbeleid voor computers in uw domein instellen.	The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain.
57366	Beleid &importeren... Een sjabloonbestand in dit beleidsobject importeren.	&Import Policy... Import a template file into this policy object.
57367	Beleid &exporteren... Sjabloon van dit beleidsobject exporteren naar een bestand.	E&xport policy... Export template from this policy to a file.
57368	Bestand %s bestaat al. Wilt u het bestand overschrijven?	File %s already exists. Do you want to overwrite it?
57369	Geslaagde pogingen	Success
57370	Mislukte pogingen	Failure
57371	Geen controle	No auditing
57372	Kan beleid niet vernieuwen.	Windows cannot update the policies.
57373	Kan de sectie niet kopiëren	Windows cannot copy the section
57374	Bestand selecteren om toe te voegen	Select File to Add
57375	Database openen	Open database
57376	Database maken	Create Database
57377	Beleid exporteren naar	Export Policy To
57378	Beleid importeren uit	Import Policy From
57380	Sjabloon importeren	Import Template
57381	Sjabloon exporteren naar	Export Template To
57382	Beveiligingsinstelling	Security Setting
57384	Kan de database met lokaal beleid niet openen.	Windows cannot open the local policy database.
57385	Database met lokaal beleid	Local Policy Database
57386	De database met lokale beveiligingsinstellingen kan niet worden bewerkt met de module Beveiligingsconfiguratie en -analyse. Gebruik de module Groepsbeleid om lokale beveiligingsinstellingen te bewerken.	The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings.
57387	\help\75393cf0-f17a-453d-98a9-592b009289c2.chm	\help\75393cf0-f17a-453d-98a9-592b009289c2.chm
57388	\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm	\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm
57389	\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm	\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm
57390	\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm	\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm
57391	\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm	\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm
57392	\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm	\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm
57394	Op deze computer bevinden zich nieuwe beleidsregels. Wilt u de weergave van het effectieve beleid vernieuwen?	There are new policy settings on your computer. Do you want to update your view of the effective policy?
57395	Computerinstelling op %s	Computer setting on %s
57396	Deze database kan niet worden gemaakt omdat er geen sjabloonbestand is geselecteerd.Een bestaande database openen:Klik met de rechtermuisknop op het scope-item Beveiligingsconfiguratie en -analyseSelecteer Database openenSelecteer een database en klik op OpenenEen nieuwe database maken: Klik met de rechtermuisknop op het scope-item Beveiligingsconfiguratie en -analyseSelecteer Database openenTyp een nieuwe databasenaam en klik vervolgens op OpenenSelecteer een beveiligingsconfiguratiebestand om te importeren en klik op Openen	This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN.
57397	Bestaande machtigingen &vervangen voor alle subsleutels met overneembare machtigingen	&Replace existing permissions on all subkeys with inheritable permissions
57398	&Overneembare machtigingen doorgeven aan alle subsleutels	&Propagate inheritable permissions to all subkeys
57399	Voor&komen dat machtigingen voor deze sleutel worden vervangen	&Do not allow permissions on this key to be replaced
57400	Lidmaatschap configureren voor %s	Configure Membership for %s
57401	Ticket verloopt in:	Ticket expires in:
57402	Ticket verloopt niet:	Ticket doesn't expire.
57403	Vernieuwing ticket verloopt in:	Ticket renewal expires in:
57404	Ticketvernieuwing is uitgeschakeld.	Ticket renewal is disabled.
57405	Maximale tolerantie:	Maximum tolerance:
57407	Niet van toepassing	Not Applicable
57410	Gebruiker en groepsnamen	User and group names
57411	Gebruiker of groep toevoegen	Add User or Group
57412	Verbindingen met clients niet verbreken:	Do not disconnect clients:
57413	Verbinding verbreken wanneer inactiviteit langer duurt dan:	Disconnect when idle time exceeds:
57414	Aanmeldingen niet in cache plaatsen:	Do not cache logons:
57415	Cache:	Cache:
57416	Aantal dagen voorafgaande aan de eerste herinnering dat wachtwoord verloopt:	Begin prompting this many days before password expires:
57418	Deze sleutel &configureren en vervolgens	&Configure this key then
57419	Kan beschrijving van globale locatie niet opslaan	Could not save global location description
57420	Kan beschrijving van locatie niet opslaan	Could not save location description
57421	Opnieuw laden Het beveilingsbeleid opnieuw in het geheugen plaatsen	Reload Reload the security policy
57422	Wijzigingen in %1 opslaan voordat u dit opnieuw laadt?	Save changes to %1 before reloading it?
57423	Lokale beveiligingsinstellingen	Local Security Settings
57424	WSecEdit-klasse met beveiligingsinstellingen	WSecEdit Security Settings Class
57425	WSecEdit-klasse met lokale beveiligingsinstellingen	WSecEdit Local Security Settings Class
57428	Met de module met lokale beveiligingsinstellingen kunt u de beveiligingsinstellingen op het lokale systeem definiëren.	The Local Security Settings snap-in helps you define security on the local system.
57430	WSecEdit-klasse met RSOP-beveiligingsinstellingen	WSecEdit RSOP Security Settings Class
57431	Met de module met de uitbreiding van RSOP-beveiligingsinstellingen kunt u de RSOP-module uitbreiden en deze helpt u bij het weergeven van resulterend beveiligingsbeleid voor de computers in uw domein.	The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain.
57435	&Toepassen	&Apply
57436	Er kan niet worden bepaald welke beveiligingsregels van het groepsbeleid op deze computer van toepassing zijn. De fout die is geretourneerd bij de poging om deze instellingen op te halen uit de lokale database met beleidsinstellingen (%%windir%%\security\database\secedit.sdb) is: %s Alle lokale beveiligingsinstellingen worden weergegeven, maar er wordt niet aangegeven of een beveiligingsinstelling in het groepsbeleid is gedefinieerd. Een lokale beveiligingsinstelling die in deze gebruikersinterface wordt aangepast, kan door beleidsregels op domeinniveau worden genegeerd.	The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies.
57437	Er kan niet worden bepaald welke beveiligingsregels van het groepsbeleid op deze computer van toepassing zijn. De fout die is geretourneerd bij de poging om deze instellingen op te halen uit de lokale database met beleidsinstellingen (%%windir%%\security\database\secedit.sdb) is: %s Alle lokale beveiligingsinstellingen worden weergegeven, maar er wordt niet aangegeven of een beveiligingsinstelling in het groepsbeleid is gedefinieerd.	The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
57438	Logboekbestand:	Log file:
57439	Beleidsnaam	Policy Name
57440	Instelling	Setting
57441	Het beleid %1 is correct toegepast.	The policy %1 was correctly applied.
57442	Er is een fout opgetreden bij de configuratie van een onderliggend object. (of het beleidsprogramma heeft geprobeerd en heeft gefaald een onderliggend object van een bepaalde beleidsinstelling te configureren.) Zie %windir%\security\logs\winlogon.log voor meer informatie.	There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log
57443	De beleidsregel %1 heeft de volgende fout als resultaat: %2. Zie %windir%\security\logs\winlogon.log op de doelcomputer voor meer informatie.	The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57444	De beleidsregel %1 heeft een ongeldige status als resultaat en is opgenomen in het logboek. Zie %%windir%%\security\logs\winlogon.log op de doelcomputer voor meer informatie.	The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information.
57445	Het beleidsprogramma heeft niet geprobeerd om de instelling te configureren. Zie %windir%\security\logs\winlogon.log op de doelcomputer voor meer informatie.	The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57446	Beveiliging wee&rgeven...	&View Security...
57447	Kan sjabloon niet exporteren naar %1. Foutcode: %2	Couldn't export template to %1. The error returned was: %2
57448	Wilt u de veranderingen opslaan in de beveiligingsdatabase?	Save changes to Security Database?
57449	Aanmelden via Extern bureaublad-services weigeren	Deny log on through Remote Desktop Services
57450	Aanmelden via Extern bureaublad-services toestaan	Allow log on through Remote Desktop Services
57451	Kan het zoekpad voor sjablonen niet toevoegen.	Couldn't add template search path
57453	\Security\Logs	\Security\Logs
57454	Het beveiligingsgedeelte van deze groepsbeleidsregel mag alleen met de PDC-emulator worden bewerkt.	The security portion of this group policy may only be edited on the PDC Emulator.
57455	Deze instelling is niet compatibel met computers met Windows 2000 Service Pack 1 of eerdere versies. Pas deze groepsbeleidsregels alleen toe op computers met een latere versie van het besturingssysteem.	This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system.
57456	Sluit alle eigenschappenbladen voordat u %1 verwijdert.	Close all property pages before deleting %1
57457	De waarde dient tussen %d en %d te liggen.	Value must be between %d and %d
57458	Netwerktoegang: anonieme SID/naamomzetting toestaan	Network access: Allow anonymous SID/Name translation
57459	Aan administrators moet het gebruikersrecht voor lokaal aanmelden zijn gegeven.	Administrators must be granted the logon local right.
57460	U kunt niet alle gebruikers of administrators het recht voor lokaal aanmelden ontzeggen.	You cannot deny all users or administrator(s) from logging on locally.
57461	Enkele accounts kunnen niet worden vertaald.	Some accounts cannot be translated.
57462	Sluit alle secundaire vensters als u de veranderingen wilt toepassen of dit venster met eigenschappen wilt sluiten.	To apply your changes or close this property sheet, close all secondary windows.
57463	Het venster kan niet worden geopend. Kan geen UI-thread voor het venster met eigenschappen maken.	The window cannot be opened. Windows cannot create a UI thread for the property sheet.
57464	\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm	\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm
57465	Wat is dit?	What's this?
57466	sct	sct
57467	\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm	\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm
57468	De waarde dient tussen %d en %d te liggen of gelijk aan 0 te zijn.	Value must be between %d and %d or 0
57469	Deze instelling heeft alleen gevolgen voor besturingssystemen die ouder zijn dan Windows Server 2003.	This setting affects only operating systems earlier than Windows Server 2003.
57470	Als u deze instelling aanpast, is dit van invloed op clients, services en toepassingen. %1	Modifying this setting may affect compatibility with clients, services, and applications. %1
57471	Raadpleeg %1 voor meer informatie. (Q%2!lu!)	For more information, see %1. (Q%2!lu!)
57472	U wilt deze waarde wijzigen in een waarde die van invloed is op de compatibiliteit met clients, services en toepassingen. %1 Wilt u deze waarde toch wijzigen?	You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change?
57473	Administrators en SERVICE moeten de client kunnen imiteren na de authenticatiebevoegdheid	Administrators and SERVICE must be granted the impersonate client after authentication privilege
57474	Deze instelling wordt mogelijk niet bekrachtigd als een ander beleid is geconfigureerd voor het opheffen van het controlebeleid op categorieniveau. %1	This setting might not be enforced if other policy is configured to override category level audit policy. %1
57475	Zie %1 in de technische naslaghandleiding van het beveiligingsbeleid.	For more information, see %1 in the Security Policy Technical Reference.
58000	Geen uitleg voor deze actie	No explain text for this action
58003	Computer wordt vergrendeld na	Machine will be locked after
58100	Regels voor het centraal toegangsbeleid beheren... Regels voor het centraal toegangsbeleid aan/uit deze sjabloon toevoegen/verwijderen	Manage Central Access Policies... Add/Remove Central Access Policies to this template
58107	Dit toegangsbeleid bevat de volgende beleidsregels:	This Access Policy includes the following Policy rules:
58108	Status	Status
58109	Regels voor het centraal toegangsbeleid downloaden van Active Directory...	Downloading central access policies from active directory...
58110	Fout: regels voor het centraal toegangsbeleid kunnen niet worden gedownload	Error: Central access policies could not be downloaded
58111	Gereed...	Ready...
58113	Dit centraal toegangsbeleid kan niet worden gevonden. Het is wellicht verwijderd uit Active Directory of bevat ongeldige instellingen. Herstel het beleid in Active Directory Administrative Center (AD AC) of verwijder het uit de configuratie.	This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration.
59001	Accounts: gebruik van blanco wachtwoorden beperken tot aanmelden op de console	Accounts: Limit local account use of blank passwords to console logon only
59002	Controle: de toegang tot globale systeemobjecten controleren	Audit: Audit the access of global system objects
59003	Controle: het gebruik van de bevoegdheden Back-up en Terugzetten controleren	Audit: Audit the use of Backup and Restore privilege
59004	Controle: systeem onmiddellijk afsluiten als beveiligingscontroles niet in logboek kunnen worden opgeslagen	Audit: Shut down system immediately if unable to log security audits
59005	Apparaten: gebruikers mogen geen printerstuurprogramma's installeren	Devices: Prevent users from installing printer drivers
59010	Apparaten: loskoppelen toestaan zonder dat opnieuw hoeft te worden aangemeld	Devices: Allow undock without having to log on
59011	Domeincontroller: serveroperators kunnen taken plannen	Domain controller: Allow server operators to schedule tasks
59012	Domeincontroller: wijzigen van wachtwoorden van computeraccounts weigeren	Domain controller: Refuse machine account password changes
59013	Domeincontroller: vereisten voor handtekening van LDAP-server	Domain controller: LDAP server signing requirements
59015	Handtekening is vereist	Require signing
59016	Lid van domein: geen systeemonderhoud van wachtwoord van computeraccount	Domain member: Disable machine account password changes
59017	Lid van domein: het wachtwoord van het machineaccount heeft de maximale leeftijd bereikt	Domain member: Maximum machine account password age
59018	Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen of ondertekenen (altijd)	Domain member: Digitally encrypt or sign secure channel data (always)
59019	Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen (indien mogelijk)	Domain member: Digitally encrypt secure channel data (when possible)
59020	Lid van domein: gegevens in beveiligd kanaal digitaal ondertekenen (indien mogelijk)	Domain member: Digitally sign secure channel data (when possible)
59021	Lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger)	Domain member: Require strong (Windows 2000 or later) session key
59022	Interactief aanmelden: Ctrl+Alt+Del voor aanmelden uitschakelen	Interactive logon: Do not require CTRL+ALT+DEL
59023	Interactieve aanmelding: gebruikersnaam van laatste aanmelding niet weergeven	Interactive logon: Don't display last signed-in
59024	Interactief aanmelden: gebruikersgegevens weergeven wanneer de sessie vergrendeld is	Interactive logon: Display user information when the session is locked
59025	Weergegeven naam, domeinnaam en gebruikersnaam	User display name, domain and user names
59026	Alleen de weergegeven naam	User display name only
59027	Geen gebruikersgegevens weergeven	Do not display user information
59028	Interactief aanmelden: berichttekst voor gebruikers die zich willen aanmelden	Interactive logon: Message text for users attempting to log on
59029	Interactief aanmelden: berichttitel voor gebruikers die zich willen aanmelden	Interactive logon: Message title for users attempting to log on
59030	Interactief aanmelden: aantal te cachen voorafgaande aanmeldingen (als domeincontroller niet beschikbaar is)	Interactive logon: Number of previous logons to cache (in case domain controller is not available)
59031	Interactief aanmelden: gebruiker vragen om het wachtwoord te wijzigen voordat het verloopt	Interactive logon: Prompt user to change password before expiration
59032	Interactief aanmelden: voor het ontgrendelen van het werkstation is authenticatie door een domeincontroller vereist	Interactive logon: Require Domain Controller authentication to unlock workstation
59033	Interactief aanmelden: Windows Hello voor Bedrijven of smartcard vereist	Interactive logon: Require Windows Hello for Business or smart card
59034	Interactief aanmelden: gedrag bij verwijderen van smartcard	Interactive logon: Smart card removal behavior
59035	Geen actie	No Action
59036	Werkstation vergrendelen	Lock Workstation
59037	Afmelden forceren	Force Logoff
59038	Verbinding verbreken als dit een externe sessie van Extern bureaublad-services is	Disconnect if a remote Remote Desktop Services session
59039	Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd)	Microsoft network client: Digitally sign communications (always)
59040	Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk)	Microsoft network client: Digitally sign communications (if server agrees)
59041	Microsoft-netwerkclient: niet-versleuteld wachtwoord verzenden om verbinding te kunnen maken met niet-Microsoft SMB-servers	Microsoft network client: Send unencrypted password to third-party SMB servers
59042	Microsoft-netwerkserver: tijd niet-actief voordat de sessie wordt verbroken	Microsoft network server: Amount of idle time required before suspending session
59043	Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)	Microsoft network server: Digitally sign communications (always)
59044	Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk)	Microsoft network server: Digitally sign communications (if client agrees)
59045	Microsoft-netwerkserver: gebruikers automatisch afmelden als aanmeldingstijd verstrijkt (lokaal)	Microsoft network server: Disconnect clients when logon hours expire
59046	Netwerktoegang: opslag van wachtwoorden en referenties voor netwerkauthenticatie niet toestaan	Network access: Do not allow storage of passwords and credentials for network authentication
59047	Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan	Network access: Do not allow anonymous enumeration of SAM accounts
59048	Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan	Network access: Do not allow anonymous enumeration of SAM accounts and shares
59049	Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers	Network access: Let Everyone permissions apply to anonymous users
59050	Netwerktoegang: anonieme toegang beperken tot named pipes en shares	Network access: Restrict anonymous access to Named Pipes and Shares
59051	Netwerktoegang: named pipes waarvoor anoniem toegang kan worden verkregen	Network access: Named Pipes that can be accessed anonymously
59052	Netwerktoegang: shares die anoniem kunnen worden gebruikt	Network access: Shares that can be accessed anonymously
59053	Netwerktoegang: registerpaden en onderliggende paden die op afstand toegankelijk zijn	Network access: Remotely accessible registry paths and sub-paths
59054	Netwerktoegang: registerpaden die op afstand toegankelijk zijn	Network access: Remotely accessible registry paths
59055	Netwerktoegang: model voor delen en beveiliging van lokale accounts	Network access: Sharing and security model for local accounts
59056	Klassiek - lokale gebruikers als zichzelf verifiëren	Classic - local users authenticate as themselves
59057	Alleen Gast-account - lokale gebruikers verifiëren als Gast	Guest only - local users authenticate as Guest
59058	Netwerkbeveiliging: hashwaarde van LAN Manager niet bewaren bij volgende wachtwoordwijziging	Network security: Do not store LAN Manager hash value on next password change
59059	Netwerkbeveiliging: LAN Manager-authenticatieniveau	Network security: LAN Manager authentication level
59060	LM- en NTLM-antwoorden verzenden	Send LM & NTLM responses
59061	LM en NTLM verzenden: gebruik NTLMv2-sessiebeveiliging indien onderhandeld	Send LM & NTLM - use NTLMv2 session security if negotiated
59062	Alleen een NTLM-antwoord verzenden	Send NTLM response only
59063	Alleen een NTLMv2-antwoord verzenden	Send NTLMv2 response only
59064	Alleen NTLMv2-antwoord verzenden. LM weigeren	Send NTLMv2 response only. Refuse LM
59065	Alleen NTLMv2-antwoord verzenden. LM en NTLM weigeren	Send NTLMv2 response only. Refuse LM & NTLM
59066	Netwerkbeveiliging: minimale sessiebeveiliging voor op NTLM SSP-gebaseerde (inclusief beveiligde RPC) clients	Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
59067	Netwerkbeveiliging: minimale sessiebeveiliging voor op NTLM SSP-gebaseerde (inclusief beveiligde RPC) servers	Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
59070	NTLMv2-sessiebeveiliging vereisen	Require NTLMv2 session security
59071	128-bits versleuteling vereisen	Require 128-bit encryption
59072	Netwerkbeveiliging: vereisten voor handtekening van LDAP-client	Network security: LDAP client signing requirements
59074	Onderhandelen over handtekening	Negotiate signing
59076	Herstelconsole: automatische aanmelding door beheerder toestaan	Recovery console: Allow automatic administrative logon
59077	Herstelconsole: kopiëren vanaf diskette en toegang tot alle stations en mappen toestaan	Recovery console: Allow floppy copy and access to all drives and all folders
59078	Afsluiten: systeem kan zonder aanmelding worden afgesloten	Shutdown: Allow system to be shut down without having to log on
59079	Afsluiten: wisselbestand voor virtueel geheugen wissen	Shutdown: Clear virtual memory pagefile
59080	Systeemobjecten: standaardmachtigingen versterken van globale systeemobjecten (b.v. symbolische koppelingen)	System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
59081	Systeemobjecten: standaardeigenaar van objecten die door leden van de groep Administrators zijn gemaakt	System objects: Default owner for objects created by members of the Administrators group
59082	De groep Administrators	Administrators group
59083	Maker van het object	Object creator
59084	Systeemobjecten: negeren van hoofd- en kleine letters is vereist voor niet-Windows onderliggende systemen.	System objects: Require case insensitivity for non-Windows subsystems
59085	Systeemcryptografie: FIPS-compatibele algoritmes gebruiken voor versleuteling, hashing en ondertekening	System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
59086	Systeemcryptografie: beveiliging met sterke sleutel forceren voor gebruikerssleutels die zijn opgeslagen op de computer	System cryptography: Force strong key protection for user keys stored on the computer
59087	Geen gebruikersinvoer nodig wanneer nieuwe sleutels worden opgeslagen en gebruikt	User input is not required when new keys are stored and used
59088	De gebruiker wordt om invoer gevraagd wanneer de sleutel voor de eerste keer wordt gebruikt	User is prompted when the key is first used
59089	De gebruiker moet elke keer dat een sleutel wordt gebruikt een wachtwoord opgeven	User must enter a password each time they use a key
59090	Systeeminstellingen: gebruik certificaatregels op uitvoerbare Windows-bestanden ten behoeve van softwarerestrictiebeleid	System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
59091	Systeeminstellingen: optionele subsystemen	System settings: Optional subsystems
59092	aanmeldingen	logons
59093	dagen	days
59094	minuten	minutes
59095	seconden	seconds
59096	DCOM: beperkingen voor opstarten van computer in SDDL (Security Descriptor Definition Language)-syntaxis	DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
59097	DCOM: beperkingen voor computertoegang in SDDL (Security Descriptor Definition Language)-syntaxis	DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
59098	Apparaten: cd-rom-toegang beperken tot lokaal aangemelde gebruikers	Devices: Restrict CD-ROM access to locally logged-on user only
59099	Apparaten: verwisselbare media mogen worden geformatteerd en uitgeworpen	Devices: Allowed to format and eject removable media
59100	Administrators	Administrators
59101	Administrators en Hoofdgebruikers	Administrators and Power Users
59102	Administrators en Interactieve gebruikers	Administrators and Interactive Users
59103	Apparaten: diskettetoegang beperken tot lokaal aangemelde gebruikers	Devices: Restrict floppy access to locally logged-on user only
59104	Controle: instellingen voor controlebeleid met subcategorieën (Windows Vista of nieuwer) bekrachtigen om instellingen voor controlebeleid met categorieën op te heffen	Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
59105	Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers	Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
59106	Alles toestaan	Allow all
59107	Alles weigeren	Deny all
59108	Netwerkbeveiliging: NTLM beperken: binnenkomend NTLM-verkeer	Network security: Restrict NTLM: Incoming NTLM traffic
59110	Alle domeinaccounts weigeren	Deny all domain accounts
59111	Alle accounts weigeren	Deny all accounts
59112	Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein	Network security: Restrict NTLM: NTLM authentication in this domain
59113	Uitschakelen	Disable
59114	Weigeren voor domeinaccounts naar domeinservers	Deny for domain accounts to domain servers
59115	Weigeren voor domeinaccounts	Deny for domain accounts
59116	Weigeren voor domeinservers	Deny for domain servers
59118	Netwerkbeveiliging: NTLM beperken: uitzonderingen voor externe servers toevoegen voor NTLM-authenticatie	Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
59119	Netwerkbeveiliging: NTLM beperken: uitzonderingen voor servers in dit domein toevoegen	Network security: Restrict NTLM: Add server exceptions in this domain
59120	Netwerkbeveiliging: LocalSystem toestaan om terugvallen op NULL-sessies te gebruiken	Network security: Allow LocalSystem NULL session fallback
59121	Netwerkbeveiliging: voor Kerberos toegestane versleutelingstypen configureren	Network security: Configure encryption types allowed for Kerberos
59122	DES_CBC_CRC	DES_CBC_CRC
59123	DES_CBC_MD5	DES_CBC_MD5
59124	RC4_HMAC_MD5	RC4_HMAC_MD5
59125	AES128_HMAC_SHA1	AES128_HMAC_SHA1
59126	AES256_HMAC_SHA1	AES256_HMAC_SHA1
59127	Toekomstige versleutelingstypen	Future encryption types
59129	Netwerkbeveiliging: PKU2U-authenticatieaanvragen op deze computer toestaan om online-identiteiten te gebruiken	Network security: Allow PKU2U authentication requests to this computer to use online identities.
59130	Alles controleren	Audit all
59131	Netwerkbeveiliging: NTLM beperken: binnenkomend NTLM-verkeer controleren	Network security: Restrict NTLM: Audit Incoming NTLM Traffic
59132	Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein controleren	Network security: Restrict NTLM: Audit NTLM authentication in this domain
59133	Netwerkbeveiliging: het lokale systeem toestaan computeridentiteit te gebruiken voor NTLM	Network security: Allow Local System to use computer identity for NTLM
59135	Controle voor domeinaccounts inschakelen	Enable auditing for domain accounts
59136	Controle voor alle accounts inschakelen	Enable auditing for all accounts
59138	Inschakelen voor domeinaccounts naar domeinservers	Enable for domain accounts to domain servers
59139	Inschakelen voor domeinaccounts	Enable for domain accounts
59140	Inschakelen voor domeinservers	Enable for domain servers
59141	Alles inschakelen	Enable all
59142	Microsoft-netwerkserver: validatieniveau voor de SPN-doelnaam van de server	Microsoft network server: Server SPN target name validation level
59144	Accepteren als client naam levert	Accept if provided by client
59145	Naam van client vereist	Required from client
59146	Microsoft-netwerkserver: Poging van S4U2Self om claiminformatie te verkrijgen	Microsoft network server: Attempt S4U2Self to obtain claim information
59147	Standaard	Default
59150	Accounts: Microsoft-accounts blokkeren	Accounts: Block Microsoft accounts
59151	Dit beleid is uitgeschakeld	This policy is disabled
59152	Gebruikers kunnen geen Microsoft-accounts toevoegen	Users can't add Microsoft accounts
59153	Gebruikers kunnen geen Microsoft-accounts toevoegen of zich hiermee aanmelden	Users can't add or log on with Microsoft accounts
59154	Interactieve aanmelding: drempelwaarde voor vergrendeling van computer	Interactive logon: Machine account lockout threshold
59155	Interactieve aanmelding: limiet voor inactiviteit van computer	Interactive logon: Machine inactivity limit
59156	ongeldige aanmeldingspogingen	invalid logon attempts
59157	Netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen verrichten	Network access: Restrict clients allowed to make remote calls to SAM
59158	Interactieve aanmelding: gebruikersnaam niet weergeven op het aanmeldscherm	Interactive logon: Don't display username at sign-in

File Name:	wsecedit.dll.mui
Directory:	%WINDIR%\WinSxS\amd64_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_nl-nl_ef44beda82e7e970\
File Size:	476 kB
File Permissions:	rw-rw-rw-
File Type:	Win32 DLL
File Type Extension:	dll
MIME Type:	application/octet-stream
Machine Type:	Intel 386 or later, and compatibles
Time Stamp:	0000:00:00 00:00:00
PE Type:	PE32
Linker Version:	14.10
Code Size:	0
Initialized Data Size:	486912
Uninitialized Data Size:	0
Entry Point:	0x0000
OS Version:	10.0
Image Version:	10.0
Subsystem Version:	6.0
Subsystem:	Windows GUI
File Version Number:	10.0.15063.0
Product Version Number:	10.0.15063.0
File Flags Mask:	0x003f
File Flags:	(none)
File OS:	Windows NT 32-bit
Object File Type:	Dynamic link library
File Subtype:	0
Language Code:	Dutch
Character Set:	Unicode
Company Name:	Microsoft Corporation
File Description:	Gebruikersinterfacemodule Beveiligingsconfiguratie
File Version:	10.0.15063.0 (WinBuild.160101.0800)
Internal Name:	WSECEDIT
Legal Copyright:	© Microsoft Corporation. Alle rechten voorbehouden.
Original File Name:	WSecEdit.dll.mui
Product Name:	Microsoft® Windows®-besturingssysteem
Product Version:	10.0.15063.0
Directory:	%WINDIR%\WinSxS\x86_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_nl-nl_93262356ca8a783a\

wsecedit.dll.mui is Multilingual User Interface resource file that contain Dutch language for file wsecedit.dll (Gebruikersinterfacemodule Beveiligingsconfiguratie).

File Description:	Gebruikersinterfacemodule Beveiligingsconfiguratie
File Version:	10.0.15063.0 (WinBuild.160101.0800)
Company Name:	Microsoft Corporation
Internal Name:	WSECEDIT
Legal Copyright:	© Microsoft Corporation. Alle rechten voorbehouden.
Original Filename:	WSecEdit.dll.mui
Product Name:	Microsoft® Windows®-besturingssysteem
Product Version:	10.0.15063.0
Translation:	0x413, 1200