Home / How-To / Windows
How-To

Windows-Konto: Tipps zur Einrichtung & Administration

Windows kennt verschiedene Typen von Benutzern und stattet sie mit unterschiedlichen Rechten aus. Welche Tricks und Kniffe es beim Arbeiten als Administrator oder Standardbenutzer gibt, erfahren Sie in diesem Ratgeber.
Roland Freist
Von Roland Freist
PC-WELT
Administrator- und Benutzerkonten unter Windows unter Kontrolle
Image: © SMUX – AdobeStock

Um auf Windows zugreifen zu können, benötigen Sie ein Benutzerkonto. Vom Typ dieses Kontos hängt es ab, welche Dateien Sie öffnen und welche Einstellungen Sie ändern dürfen. Dies ist in erster Linie eine Sicherheitsfunktion. Sie soll einerseits verhindern, dass Anwender versehentlich durch falsch gewählte Einstellungen die Funktionsfähigkeit von Windows einschränken. Zum anderen soll auf diese Weise kriminellen Hackern und Schadsoftware der Zugriff auf vertrauliche Daten sowie die Systemkonfiguration verwehrt werden. Denn wenn sie in den Computer eindringen, während ein Benutzer mit eingeschränkten Rechten dort aktiv ist, sind ihre Zugriffsmöglichkeiten gleichfalls beschränkt.

Windows 10 kennt zwei Typen von Benutzerkonten: Standardbenutzer und Administratoren. Standardbenutzer können ungehindert mit dem Rechner arbeiten, jedoch keine Programme oder Treiber installieren beziehungsweise deinstallieren und auch keine Systemeinstellungen ändern. Das ist den Administratoren vorbehalten. Entgegen einer weit verbreiteten Vorstellung besitzen aber auch Administratoren nicht alle Rechte in Windows. Sie sind lediglich in der Lage, sich diese Rechte zu verschaffen.

Darüber hinaus gibt es Arbeits- und Schul- sowie Familienkonten. Hierbei handelt es sich um spezielle Konten für Personen, die ihren eigenen PC auch in ihrer Firma oder in der Schule verwenden respektive für Familienmitglieder und insbesondere Kinder. In beiden Fällen sind die Rechte angepasst, zum einen für die Nutzung von Anwendungen im Netzwerk einer Firma, zum anderen gibt es spezielle Mechanismen für die Kontrolle der Aktivitäten von Kindern auf dem Computer und im Internet.

Tipp:   Benutzer ohne Microsoft-Konto anlegen

Administrator-Konto wiederherstellen

Windows unterscheidet zwischen Administratoren und Standardbenutzern. Ein Administrator kann den anderen Benutzern über die „Einstellungen“ von Windows die jeweilige Rolle zuweisen.
Windows unterscheidet zwischen Administratoren und Standardbenutzern. Ein Administrator kann den anderen Benutzern über die „Einstellungen“ von Windows die jeweilige Rolle zuweisen.

Der Benutzer, der Windows installiert, wird automatisch in die Gruppe der Administratoren aufgenommen. Er kann im Anschluss daran über „Einstellungen –› Konten –› Familie und andere Benutzer –› Diesem PC eine andere Person hinzufügen“ zusätzliche Benutzer anlegen und diese in der Folge ebenfalls zum Administrator machen – empfehlenswert ist das aus den oben genannten Gründen nicht. Überdies kann er Konten mithilfe eines Klicks auf „Entfernen“ auch wieder löschen.

Wenn Sie auf diese Weise versehentlich das Administrator-Konto löschen, können Sie sich daraufhin lediglich noch als Standardbenutzer anmelden. Die Installation von Dateien und das Ändern von Systemeinstellungen sind dann unmöglich, und auch das Heraufstufen eines anderen Benutzers funktioniert nicht. Die Lösung für das Problem führt über den abgesicherten Modus und das Aktivieren des eingebauten Administrators von Windows: 

Für die Wiederherstellung eines versehentlich gelöschten Administrator-Kontos starten Sie Windows über „Einstellungen –› Konten“ neu, um Zugriff auf die benötigten Funktionen zu bekommen.
Für die Wiederherstellung eines versehentlich gelöschten Administrator-Kontos starten Sie Windows über „Einstellungen –› Konten“ neu, um Zugriff auf die benötigten Funktionen zu bekommen.

Gehen Sie in den „Einstellungen“ von Windows auf „Update und Sicherheit –› Wiederherstellung“ und klicken Sie unter „Erweiterter Start“ auf „Jetzt neu starten“. Klicken Sie auf den nachfolgenden Bildschirmen auf „Problembehandlung –› Erweiterte Optionen –› Starteinstellungen –› Neu starten“. Drücken Sie nach dem Neustart die Taste F4, um in den abgesicherten Modus zu gelangen. Dort öffnen Sie die Eingabeaufforderung, tippen den Befehl 

net user administrator /active:yes 

ein und bestätigen mittels Enter. Starten Sie Windows jetzt ein weiteres Mal. Auf dem Anmeldebildschirm können Sie das Konto „Administrator“ auswählen, das in der Voreinstellung kein Passwort erfordert. Bei der Einrichtung müssen Sie die üblichen Fragen beantworten. Sobald Sie auf dem Windows-Desktop sind, rufen Sie in den „Einstellungen“ die Konten auf und legen anschließend wie oben beschrieben ein neues Benutzerkonto mit Administrator-Rechten an. Wahlweise stufen Sie ein anderes Konto entsprechend hoch, indem Sie den Benutzernamen markieren, daraufhin auf „Kontotyp ändern“ klicken, „Administrator“ auswählen und mithilfe von „OK“ bestätigen. Booten Sie dann neu und melden Sie sich schließlich noch mit dem neuen Administrator-Konto an.

Jedes Programm, das Sie im Kontext des eingebauten Administrator-Kontos starten, läuft sofort mit Administrator-Rechten. Aus Sicherheitsgründen sollten Sie es deshalb nach der Rettungsaktion wieder deaktivieren. Tippen Sie dazu in der Eingabeaufforderung den Befehl 

net user administrator /active:no 

ein und drücken Sie danach Enter. Falls Sie das Konto dennoch weiter verwenden wollen, sollten Sie es zumindest umbenennen und mit einem Passwort schützen. Das Kennwort setzen Sie in der Eingabeaufforderung mit dem Befehl 

net user administrator *

Windows verlangt nun die Angabe eines Passworts, das Sie mit der Entertaste bestätigen. Im nächsten Schritt müssen Sie das Kennwort ein zweites Mal eingeben.

Wenn Sie eine Datei in einem Systemordner speichern wollen, zeigt Windows diese Meldung an. Das gilt auch, wenn Sie zur Gruppe der Administratoren gehören.
Wenn Sie eine Datei in einem Systemordner speichern wollen, zeigt Windows diese Meldung an. Das gilt auch, wenn Sie zur Gruppe der Administratoren gehören.

Das Umbenennen des Kontos ist hingegen lediglich in Windows 10 Pro möglich. Klicken Sie hierzu mit der rechten Maustaste auf den Start-Button und wählen Sie „Computerverwaltung“. Öffnen Sie dort auf der linken Seite unter „System“ die Ordner „Lokale Benutzer und Gruppen“ sowie „Benutzer“. Klicken Sie daraufhin in der Mitte doppelt auf den Eintrag „Administrator“, geben Sie im folgenden Fenster bei „Vollständiger Name“ noch die gewünschte Bezeichnung ein und bestätigen Sie mit „OK“. Wenn Sie sich das nächste Mal bei Windows anmelden, erscheint dort der neue Kontoname.

Windows Sicherheit: Hat alles, was Sie brauchen

Die Benutzerkontensteuerung verwenden

Vielleicht haben Sie das auch schon erlebt: Sie möchten eine Datei in einem Systemordner oder auch im Root von Laufwerk C: speichern, doch Windows verweigert dies mit der Meldung „Sie verfügen nicht über die Berechtigung zum Speichern in diesem Pfad“. Und das, obwohl Sie Administrator-Rechte besitzen.

Verantwortlich dafür ist die Benutzerkontensteuerung, englisch User Account Control oder kurz UAC. Sie finden diese in der Systemsteuerung unter „Benutzerkonten –› Einstellungen der Benutzerkontensteuerung ändern“ oder per Eingabe von uac ins Suchfeld der Taskleiste. Die Funktion sorgt dafür, dass Anwendungen auch dann nur mit eingeschränkten Rechten laufen, wenn ein Administrator sie aufruft. Dadurch will Microsoft verhindern, dass Schadsoftware mit Administrator-Rechten ausgestattet die Systemeinstellungen ändern kann.

In Windows 10 Pro können Sie den eingebauten Administrator auch über die Computerverwaltung des Betriebssystems aktivieren und ihm einen selbstdefinierten Namen geben.
In Windows 10 Pro können Sie den eingebauten Administrator auch über die Computerverwaltung des Betriebssystems aktivieren und ihm einen selbstdefinierten Namen geben.

Falls Sie beispielsweise Dateien in einem geschützten Ordner speichern möchten, so müssen Sie auch die entsprechende Anwendung mit Administrator-Rechten ausstatten. Auf dem Desktop klicken Sie das Icon hierzu mit der rechten Maustaste an und wählen „Als Administrator ausführen“. Im Startmenü wählen Sie „Mehr –› Als Administrator ausführen“. Windows fragt Sie anschließend: „Möchten Sie zulassen, dass durch diese App Änderungen an Ihrem Gerät vorgenommen werden?“ Wenn Sie selber zur Gruppe der Administratoren gehören, müssen Sie die Ausführung ganz einfach nur mit „Ja“ bestätigen. Anwender mit eingeschränkten Rechten dagegen müssen den Benutzernamen und das Passwort eines Admins eintippen.

In der Voreinstellung steht der Regler der Benutzerkontensteuerung nur auf der zweithöchsten Stufe. Sie gewinnen mehr Sicherheit, wenn Sie ihn ganz nach oben schieben. Dadurch nehmen allerdings auch die Nachfragen zu.
In der Voreinstellung steht der Regler der Benutzerkontensteuerung nur auf der zweithöchsten Stufe. Sie gewinnen mehr Sicherheit, wenn Sie ihn ganz nach oben schieben. Dadurch nehmen allerdings auch die Nachfragen zu.

In der Voreinstellung steht die Benutzerkontensteuerung auf der dritthöchsten von vier Stufen. Dies ist ein Kompromiss zwischen Sicherheit und Bedienbarkeit – Windows fragt dann nicht bei jedem Start eines Systemprogramms nach, ob Sie das auch zulassen wollen, sondern lediglich bei den meisten. Die Ereignisanzeige zum Beispiel startet auch ohne Nachfrage mit Administrator-Rechten. Auf der anderen Seite wurde diese Lücke bereits von kriminellen Hackern ausgenutzt, die in Windows eine infizierte MSC-Datei einschleusten. Wenn Sie auf Nummer sicher gehen möchten, ist es empfehlenswert, den Schieberegler der Benutzerkontensteuerung auf die höchste Stufe zu setzen und die zusätzlichen Abfragen einfach auszuhalten.

Über die „Eigenschaften“ einer Programmdatei können Sie eine Anwendung generell mit Administrator- Rechten starten lassen. Aus Sicherheitsgründen ist das jedoch nicht zu empfehlen.
Über die „Eigenschaften“ einer Programmdatei können Sie eine Anwendung generell mit Administrator- Rechten starten lassen. Aus Sicherheitsgründen ist das jedoch nicht zu empfehlen.

Sie können zudem einzelne Programme so einstellen, dass diese immer mit Administrator-Rechten starten. Klicken Sie die Anwendung dazu mit der rechten Maustaste an, rufen Sie die „Eigenschaften“ auf und wechseln Sie zum Register „Kompatibilität“. Setzen Sie ein Häkchen vor „Programm als Administrator ausführen“ und bestätigen Sie mittels „OK“. Sinnvoll ist das allerdings nur, wenn Sie mit der Anwendung regelmäßig Systemeinstellungen bearbeiten oder in Systemordnern arbeiten wollen. Ansonsten sollten Sie aus Sicherheitsgründen von dieser Einstellung die Finger lassen.

Verstecktes Gastkonto aktivieren

Windows 10 enthält ein Gastkonto, dessen Anmeldedaten Sie Freunden und Bekannten zur Verfügung stellen können, die nur kurz einmal einen Computer benötigen. Das Konto ist in Windows 10 allerdings per Voreinstellung deaktiviert, außerdem lässt es sich nach der Aktivierung nur in der Pro-Version auch nutzen. Ein Gast hat stark eingeschränkte Rechte, kann keine Anwendungen oder andere Software installieren oder Systemeinstellungen ändern und bekommt keinen Zugriff auf die Dateien anderer Benutzer. Auch eine Heraufstufung als Administrator ist nicht möglich.

Das Gastkonto von Windows 10 lässt sich über das Snap-in „Lokale Benutzer und Gruppen“ aktivieren. Allerdings können Sie das Konto nur in der Pro-Version von Windows auch nutzen.
Das Gastkonto von Windows 10 lässt sich über das Snap-in „Lokale Benutzer und Gruppen“ aktivieren. Allerdings können Sie das Konto nur in der Pro-Version von Windows auch nutzen.

Drücken Sie Win-R und geben Sie lusrmgr.msc ein. Damit öffnen Sie das Fenster „Lokale Benutzer und Gruppen“. Markieren Sie links „Benutzer“, klicken Sie in der Mitte doppelt auf „Gast“ und entfernen Sie das Häkchen vor „Konto ist deaktiviert“. Bestätigen Sie jetzt mit „OK“. Bei der nächsten Anmeldung bei Windows ist das Konto dann verfügbar.

Explorer mit Administrator-Rechten

Nachdem Sie eine Anwendung wie etwa den Editor von Windows mit Administrator-Rechten gestartet haben, können Sie im Speichern-Dialog über das Kontextmenü die üblichen Dateiaktionen auswählen.
Nachdem Sie eine Anwendung wie etwa den Editor von Windows mit Administrator-Rechten gestartet haben, können Sie im Speichern-Dialog über das Kontextmenü die üblichen Dateiaktionen auswählen.

Eine Ausnahme beim Umgang mit Administrator-Rechten macht der Windows-Explorer. Zwar erscheint nach einem Rechtsklick auf das Programmsymbol ebenfalls ein Kontextmenü, das die Ausführung mit erweiterten Rechten anbietet. Dennoch ist es nachfolgend nicht möglich, in die Systemordner zu schreiben. Der Grund dafür ist, dass der Explorer tatsächlich bereits aktiv ist, weil er als Shell die Basis für Dateioperationen auf dem Desktop oder im Startmenü liefert. Wenn Sie den Windows-Explorer also vermeintlich als Administrator starten, dann öffnen Sie lediglich eine weitere Instanz des Programmes mit den Rechten eines Standardbenutzers.

Um dennoch die wichtigsten Dateiaktionen mit erweiterten Rechten auszuführen, können Sie den Speichern-Dialog einer anderen Anwendung benutzen, etwa den des Editors von Windows. Rufen Sie das Programm wie beschrieben mit Admin-Rechten auf und klicken Sie auf „Datei –› Speichern unter“. Stellen Sie unten bei „Dateityp“ die Auswahl „Alle Dateien (*.*)“ ein. Nun können Sie oben nach einem Klick mit der rechten Maustaste auf eine Datei oder einen Ordner die Befehle „Ausschneiden“, „Kopieren“, „Löschen“ und „Umbenennen“ mit Administrator-Rechten ausführen. 

Was ist der WDAGUtilityAccount?

In der Liste der Benutzer in „Lokale Benutzer und Gruppen“ taucht ein „WDAGUtilityAccount“ auf. Was manche Anwender für einen Virus halten mögen, ist tatsächlich Teil einer Sicherheitsfunktion für den Edge-Browser. Microsoft hat dort eine sogenannte Sandbox eingebaut, die beim Besuchen einer eventuell gefährlichen oder mit Viren verseuchten Webseite den Browser in einer kleinen virtuellen Maschine einkapselt. Auf diese Weise kann die Schadsoftware nicht auf den Computer des Besuchers überspringen. 

Der „WDAGUtilityAccount“ kommt zum Einsatz, wenn Sie mit Edge eine potenziell gefährliche Webseite aufrufen. In diesem Fall wird der Browser in einer virtuellen Maschine eingekapselt und ein Systembenutzer kommt zum Zuge.
Der „WDAGUtilityAccount“ kommt zum Einsatz, wenn Sie mit Edge eine potenziell gefährliche Webseite aufrufen. In diesem Fall wird der Browser in einer virtuellen Maschine eingekapselt und ein Systembenutzer kommt zum Zuge.

Dieses Feature nennt sich Windows Defender Application Guard, kurz WDAG. Der „WDAGUtilityAccount“ ist der Benutzer, der in der Sandbox angemeldet wird. Im normalen Windows-Betrieb ist der Account deaktiviert. Das Konto wird komplett von Windows verwaltet, Sie sollten an den Einstellungen nichts ändern.

vgwort

Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.

Aktuelle Beiträge von Roland Freist: