Windows ist ein Mehrbenutzersystem. Ein Windows-Rechner lässt sich so einrichten, dass mehrere Personen, etwa in einer Familie, einer Schule oder einem Verein, ihre eigenen Accounts bekommen. So kann eine Anwendung gemeinsam genutzt werden, in einer Firma etwa eine Teile-Datenbank, oder sie wird nur für ein Konto installiert, etwa ein Spiel.
Je nachdem, ob der PC von wechselnden oder immer von den gleichen Personen genutzt wird, lässt sich einstellen, ob die gespeicherten Daten vor dem Zugriff anderer Nutzer geschützt oder für alle frei verfügbar sind.
Darüber hinaus bietet Windows zahlreiche Sicherheitsmechanismen, die vor allem für die Nutzung des Computers durch unbeaufsichtigte Kinder oder in Schulen hilfreich sind.
Beispielsweise lässt sich so verhindern, dass unbefugte Personen die Systemeinstellungen umstellen, Änderungen an der Registry vornehmen, Programme installieren oder deinstallieren und vieles mehr. So kann der Administrator verhindern, dass der Rechner durch die Benutzer unbrauchbar gemacht wird und immer wieder neu aufgesetzt werden muss.
In diesem Artikel zeigen wir Ihnen, wie Sie mehrere Nutzer einrichten, deren Daten und Anwendungen schützen und Manipulationen an Windows vorbeugen.
Siehe auch: Windows 11 ohne Microsoft-Konto nutzen – die Vor- und Nachteile
Administratorrecht ist Voraussetzung
Neue Benutzer legen Sie in den Windows-Einstellungen unter „Konten“ an. Damit Windows das zulässt, müssen Sie allerdings mit Administratorrechten ausgestattet sein.
IDG
Voraussetzung für die Konfiguration der Schutzfunktionen sind Administratorberechtigungen. Windows vergibt die Administratorrolle automatisch an den Benutzer, der das Betriebssystem installiert. Der Administrator kann weitere Benutzer auf dem System einrichten, Windows macht sie in der Voreinstellung jedoch zunächst zu Standardbenutzern. Diese Benutzer haben eingeschränkte Rechte und dürfen auf viele Systemtools nicht zugreifen.
Das Hinzufügen von Benutzern beziehungsweise Benutzerkonten erledigen Sie in den „Einstellungen“ von Windows, die Sie im Startmenü finden. Klicken Sie dort auf „Konten –› Weitere Benutzer –› Konto hinzufügen“. Windows bietet Ihnen nun an, ein neues Microsoft-Konto zu definieren.
Das können, müssen Sie aber nicht. Es ist genauso möglich, ein lokales Konto einzurichten. Klicken Sie dazu im Fenster „Wie meldet sich diese Person an?“ auf den Link „Ich kenne die Anmeldeinformationen für diese Person nicht“. Im folgenden Fenster finden Sie dann den Link „Benutzer ohne Microsoft-Konto hinzufügen“. Geben Sie nun den Benutzernamen und zwei Mal das Passwort ein, wählen Sie drei Sicherheitsfragen aus, und tragen Sie die zugehörigen Antworten ein. Nach einem Klick auf „Weiter“ und eventuell der Bestätigung einer Sicherheitsabfrage generiert Windows ein Konto für einen Standardbenutzer.
Zusätzliche Benutzer anzulegen ist dann sinnvoll, wenn immer die gleichen Personen an dem Computer arbeiten. Wenn die Benutzer häufig wechseln, ist es besser, ein Gastkonto einzurichten, das für alle zur Verfügung steht. Dessen Nutzer dürfen unter anderem keine Programme installieren, keine Systemeinstellungen ändern und natürlich auch keine anderen Konten hinzufügen, verändern oder löschen.
Es gibt eine Hürde dabei: Seit Windows 10 unterstützt das Betriebssystem keine Gastkonten mehr. Trotzdem ist in Windows 10 und 11 ein Gastkonto enthalten – allerdings müssen Sie es erst aktivieren (siehe die folgenden beiden Abschnitte).
Ein Gastkonto für wechselnde Nutzer
Bei einem Gastkonto für wechselnde Benutzer verzichten Sie am besten auf ein Passwort, um die Anmeldung zu vereinfachen.
IDG
In Windows 11 Pro legen Sie für ein Gastkonto wie beschrieben ein neues, lokales Konto an. Den Benutzernamen dürfen Sie frei wählen, lediglich „Gast“ und „guest“ sind ausgeschlossen – diese Namen sind von Windows reserviert. Die beiden Felder für die Konfiguration eines Passworts lassen Sie am besten frei, so dass sich die Gastbenutzer ohne Kennwort anmelden können. Nach einem Klick auf „Weiter“ und eventuell der Bestätigung einer Sicherheitsabfrage legt Windows das Konto an.
Nun gilt es noch, dem neuen Konto die eingeschränkten Rechte eines Gastkontos zuzuweisen. Dazu klicken Sie den Start-Button mit der rechten Maustaste an und im folgenden Menü auf „Computerverwaltung“. Öffnen Sie unter „System“ den Ordner „Lokale Benutzer und Gruppen –› Benutzer“. Jetzt sehen Sie im Hauptfenster die einzelnen Benutzerkonten. Klicken Sie Ihr Gastkonto mit der rechten Maustaste an und wählen Sie „Eigenschaften“.
Mit einem Klick der rechten Maustaste auf das Windows-Symbol kommen Sie zur Computerverwaltung. Über System –› Lokale Benutzer … –› Benutzer geht es zum Gastkonto, um die Eigenschaften dafür zu definieren.
IDG
Wechseln Sie im folgenden Fenster zum Register „Mitglied von“ und klicken Sie auf den Button „Hinzufügen“. Im nächsten Fenster klicken Sie auf „Erweitert“ und im daraufhin geöffneten Fenster auf „Jetzt suchen“. Unten erscheint nun eine Liste mit Benutzergruppen. Markieren Sie dort „Gäste“ und bestätigen Sie zwei Mal mit „OK“. Sie sollten sich jetzt wieder im Fenster „Eigenschaften von Gastkonto“ im Register „Mitglied von“ befinden. Dort sind zwei Gruppen aufgeführt, „Benutzer“ und „Gäste“. Markieren Sie „Benutzer“ und klicken Sie auf „Entfernen“, so dass das Gastkonto nur noch Mitglied der Gästegruppe mit ihren stark eingeschränkten Rechten ist. Bestätigen Sie das mit „OK“.
Ganz ähnlich funktioniert das Aktivieren des Gastkontos in Windows 10 Pro: Dort klicken Sie in den „Einstellungen“ auf „Konten –› Familie und andere Benutzer –› Diesem PC eine andere Person hinzufügen“. Die weiteren Schritte sind identisch zu denen unter Windows 11.
Weisen Sie Ihr Gastkonto der Gruppe „Gäste“ zu, damit das Konto die entsprechenden, eingeschränkten Rechte erhält.
IDG
Gastkonto unter Windows-Home einrichten
In den Home-Versionen von Windows 10 und 11 gibt es in der Standardkonfiguration keine Computerverwaltung. Sie können das Tool jedoch nachinstallieren, und zwar mit dem kostenlosen GP Edit Enabler for Windows Home Edition. Es handelt sich dabei um eine kleine Batchdatei, die das Programm mithilfe des Windows-Befehls
dism nachlädt. Alternativ dazu können Sie das Gastkonto in der Eingabeaufforderung oder der Powershell freischalten. Wichtig ist, dass Sie die beiden Programme mit Administratorrechten starten:
Tippen Sie
cmdins Suchfeld des Startmenüs, achten Sie darauf, dass links „Eingabeaufforderung“ markiert ist, und klicken Sie auf der rechten Seite auf „Als Administrator ausführen“. Bestätigen Sie eventuell die Sicherheitsabfrage und tippen Sie zunächst den Befehl
net user Gastkonto /add /active:yes ein und drücken Sie die Enter-Taste. Damit legen Sie im ersten Schritt einen neuen Standardbenutzer an und aktivieren ihn. Anschließend entfernen Sie ihn gleich wieder aus der Gruppe der Standardbenutzer, und zwar mit dem Befehl
net localgroup Benutzer Gastkonto /delete und einem Druck auf Enter. Danach geben Sie zur Sicherheit noch den Befehl
net localgroup HomeUsers Gastkonto /deleteein und bestätigen mit Enter. Damit löschen Sie ihn, falls vorhanden, aus der Gruppe der HomeUsers. Falls diese Gruppe nicht existiert, erscheint eine Fehlermeldung, die Sie jedoch ignorieren können.
Zum Schluss fügen Sie das Gastkonto noch der Gäste-Gruppe hinzu, und zwar mit
net localgroup Gäste Gastkonto /add und einem Druck auf Enter. Starten Sie Windows dann neu. Anschließend finden Sie auf dem Anmeldebildschirm das neue „Gastkonto“, das Sie nun ohne Kennwort öffnen können.
Lesetipp: Der große Windows-Sicherheits-Check
Scharfe Trennung zwischen Benutzerkonten
Windows legt für jedes neue Konto unter C:\Benutzer einen neuen Verzeichnisbaum mit Standardordnern wie „Bilder“, „Dokumente“, „Desktop“, „Downloads“ etc. an. Außerdem finden Sie dort den Ordner „Öffentlich“, welcher der Installation gemeinsam genutzter Programme und dem Datenaustausch dient.
Jeder Besitzer eines eigenen Benutzerkontos kann seinem Ordner weitere Unterordner hinzufügen. Bei Rechnern, die von mehreren Personen genutzt werden, ist vor allem interessant, dass diese Personen auf die Ordner eines anderen Benutzers keinen Zugriff haben. Der Versuch endet mit einer Fehlermeldung. Wenn Sie also Ihre persönlichen Dokumente und Unterlagen in Ihrem Benutzerordner speichern, können Sie sicher sein, dass andere sie nicht einsehen können. Einzige Ausnahme ist der Administrator: Er darf in die Ordner aller Benutzer schauen und die enthaltenen Dateien öffnen, bearbeiten und kopieren.
Die Standardbenutzer behalten auf diese Weise jedoch nicht nur die Kontrolle über die eigenen Dateien. Sie können auch ihren Desktop selbst gestalten, Hintergrundbild und Auflösung wählen und nicht zuletzt auch Programme installieren, die anschließend nur ihnen zur Verfügung stehen.
Wundern Sie sich jedoch nicht, wenn nach der Einrichtung eines Standardbenutzers auf dessen Desktop die gleichen Anwendungssymbole erscheinen wie auf dem des Administrators. Grund ist, dass nicht alle Programme eine Unterscheidung machen zwischen einer Installation für den aktuellen und einer Installation für alle Benutzer. Und selbst wenn, klicken viele Anwender auf dem Auswahlbildschirm „Für alle“ an. Daher erscheinen die Icons automatisch auch in der Windows-Umgebung aller anderen Benutzer. Das Gleiche gilt, wenn ein Standardbenutzer eine Software nicht nur für sich, sondern für alle installiert.
Benutzerrechte einschränken
Um Benutzerrechte gezielt für einen einzelnen Benutzer zu definieren, rufen Sie über mmc im Suchfeld des Startmenüs die Microsoft Managementkonsole (MMC) auf und passen darüber die Gruppenrichtlinien an.
IDG
Obwohl sie auf viele Systemtools keinen Zugriff haben, genießen Standardbenutzer weitgehende Freiheiten bei der Gestaltung ihrer Arbeitsumgebung. Das ist nicht immer erwünscht. An manchen Standorten wäre es dem Administrator beispielsweise lieber, wenn die Benutzer keine eigenen Programme auf dem Rechner einrichten würden. Oder dass sie keinen Zugriff auf die Registry oder das Windows-Update haben.
All das lässt sich über Gruppenrichtlinien einfach umsetzen. Das passende Werkzeug dafür ist der Gruppenrichtlinien-Editor, der allerdings nur in den Windows-Pro-Versionen aufrufbar ist. In den Home-Versionen können Sie ihn, wie zuvor im Abschnitt „Gastkonto unter Windows-Home“ gezeigt, nachträglich aktivieren. Der Editor ist nur für Benutzer mit Administratorrechten zugänglich.
Um das Tool aufzurufen, tippen Sie
gpeditin das Suchfeld des Startmenüs. Im linken Fenster des Programms erkennen Sie zwei große Bereiche: die „Computerkonfiguration“ und die „Benutzerkonfiguration“. Die Einstellungen unter „Computerkonfiguration“ gelten für alle Benutzer, also auch den Administrator, die Optionen unter „Benutzerkonfiguration“ lediglich für den angemeldeten Benutzer. Die einzelnen Einstellungen finden Sie jeweils unter „Administrative Vorlagen“.
Allerdings wollen Sie vermutlich die Benutzerrechte nicht für sich oder für alle Personen einschränken, sondern gezielt für einen oder mehrere Benutzer. Der Weg dazu führt über die Microsoft Management Konsole, kurz MMC.
Die Microsoft Management Konsole führt sämtliche registrierten Benutzerkonten und Gruppen auf dem Computer auf.
IDG
Tippen Sie
mmcins Suchfeld des Startmenüs und klicken Sie auf den gleichnamigen Treffer. Es öffnet sich ein leeres Konsolenfenster. Klicken Sie auf „Datei –› Snap-In hinzufügen/entfernen“. Markieren Sie im folgenden Fenster den „Gruppenrichtlinienobjekt-Editor“ und klicken Sie auf „Hinzufügen“. Es erscheint ein Willkommensfenster, in dem Sie auf den Button „Durchsuchen“ klicken. Wechseln Sie im nächsten Fenster zum Register „Benutzer“, markieren Sie das Konto, dessen Rechte Sie einschränken möchten, und schließen Sie die Fenster mit „OK“, „Fertig stellen“ und „OK“. Klicken Sie auf „Datei –› Speichern“, um die Richtlinie festzuhalten. Zurück in der Konsole markieren Sie „Richtlinien für Lokaler Computer/[Kontoname]“. Nun können Sie unter „Administrative Vorlagen“ die gewünschten Einstellungen treffen.
Wiederholen Sie den Vorgang anschließend für alle anderen Benutzer, deren Rechte Sie beschränken möchten.
Zugriffsrechte auf Freigaben
Windows verfügt über ein ausgeklügeltes Rechtesystem für den Zugriff auf Freigaben im Netzwerk. Klicken Sie dazu den Ordner, den Sie freigeben möchten, mit der rechten Maustaste an und gehen Sie auf „Eigenschaften“. Wechseln Sie zum Register „Freigabe“, klicken Sie auf „Erweiterte Freigabe“ und setzen Sie ein Häkchen vor „Diesen Ordner freigeben“. Nach einem Klick auf „Berechtigungen“ definieren Sie, wer Zugriff auf den Ordner haben soll. Dabei steht der Eintrag „Jeder“ nicht für jede beliebige Person, sondern lediglich für die Benutzer, die auf dem Computer mit der Freigabe eingerichtet sind. Sie können „Jeder“ löschen und anschließend über „Hinzufügen –› Erweitert –› Jetzt suchen“ gezielt andere Benutzer auswählen. Im Fenster „Freigabeberechtigungen“ legen Sie die Rechte fest. Administratoren sollten Vollzugriff besitzen, bei Standardbenutzern können Sie die Berechtigungen individuell setzen.
Die wichtigsten Gruppenrichtlinien
Eine der wichtigsten Gruppenrichtlinien für Standardbenutzer: In einem ersten Schritt sollten Sie den Zugriff auf die Registrierdatenbank untersagen.
IDG
Unter den administrativen Vorlagen stehen Dutzende von Richtlinien. Bei vielen davon ist die Einstellung in den meisten Fällen irrelevant – belassen Sie es einfach bei „Nicht konfiguriert“. Bei einigen sollten Sie jedoch auf jeden Fall eingreifen:
- Im Unterordner „System“ finden Sie die Richtlinie „Zugriff auf Programme zum Bearbeiten der Registrierung verhindern“. Da sich über die Registrierdatenbank ein Großteil der Windows-Einstellungen ändern lässt, sollten Sie diese Option einschalten. Klicken Sie die Richtlinie daher doppelt an, markieren Sie „Aktiviert“ und bestätigen Sie mit „OK“.
- Im gleichen Ordner steht die Richtlinie „Zugriff auf Eingabeaufforderung verhindern“. Auch dieses Recht sollten Sie den Benutzern entziehen, um die missbräuchliche Nutzung der mächtigen Kommandozeilenbefehle zu untersagen.
- Zum dritten enthält der Ordner „System“ die beiden Optionen „Angegebene Windows-Anwendungen nicht ausführen“ und „Nur zugelassene Windows-Anwendungen ausführen“. Die erste Option ist eine Negativ-, die zweite Option eine Positiv-Liste. Einfacher zu konfigurieren ist die Positiv-Version. Öffnen Sie die Richtlinie mit einem Doppelklick, stellen Sie um auf „Aktiviert“, und klicken Sie auf „Anzeigen“. Klicken Sie im folgenden Fenster doppelt auf das Feld unter „Wert“ und geben Sie die Bezeichnung der EXE-Datei des Programms ein, dessen Benutzung Sie erlauben wollen, also etwa Winword.EXE. Wiederholen Sie das mit allen weiteren Anwendungen.
- Wechseln Sie nun zum Ordner „Systemsteuerung“. Mit der Richtlinie „Zugriff auf Systemsteuerung und PC-Einstellungen nicht zulassen“ sperren Sie den Zugriff auf die Einstellungen etwa zur Bildschirmauflösung, zu Soundeffekten oder zur Maus. Auch Abkürzungen wie der Rechtsklick auf den Desktop und die Auswahl von „Anzeigeeinstellungen“ funktionieren dann nicht mehr. Für eine differenziertere Konfiguration wählen Sie entweder die Richtlinie „Angegebene Systemsteuerungssymbole ausblenden“ oder „Nur angegebene Systemsteuerungssymbole anzeigen“. Oder Sie gehen in die Unterordner wie „Anpassung“, „Anzeige“ etc. und nehmen die gewünschten Einstellungen dort vor.
- Auch das Einspielen von Updates sollte dem Administrator vorbehalten sein. Öffnen Sie dazu „Sichtbarkeit von Einstellungsseiten“, aktivieren Sie die Richtlinie, tippen Sie unter „Optionen“ die Zeile hide:windowsupdate ein, und bestätigen Sie mit „OK“. Die Updatefunktion ist nun aus den Windows-Einstellungen verschwunden.
Zum Schluss: Achten Sie beim Ausprobieren darauf, dass Sie nicht die Einstellungen für den Administrator oder den gesamten PC verändern und sich so selbst von Tools wie dem Richtlinien-Editor aussperren.
Für wen eignen sich Family-Konten?
In den Konteneinstellungen von Windows finden Sie den Abschnitt „Ihre Familie“, wo Sie ein Konto für ein neues Familienmitglied anlegen können. Ein solches Konto unterscheidet sich grundlegend von einem normalen Benutzerkonto. Zielgruppe sind in erster Linie Eltern, die die Internetnutzung ihrer Kinder überwachen und einschränken wollen. Sie müssen für jedes ihrer Kids ein eigenes Konto anlegen. Dazu müssen sie selbst über ein Microsoft-Konto verfügen, ein lokales Windows-Konto genügt nicht. Auch bei den Konten für ihre Kinder handelt es sich um Microsoft-Konten. Die Kinder benötigen dafür eine E-Mail-Adresse. Falls sie noch keine besitzen, wird im Verlauf des Anmeldevorgangs eine Outlook- oder Hotmail-Adresse generiert.
Anschließend können die Eltern ihre Familiengruppe online verwalten. Sie können die Aktivitäten der Kinder auf dem Windows-Computer nachverfolgen und sich einmal pro Woche eine Zusammenfassung per E-Mail schicken lassen. Um die Computerzeit zu begrenzen, können sie Zeitfreigaben definieren. Weitere Beschränkungen lassen sich für die Programme, Spiele und Medien einrichten, die dem Kind erlaubt sind. Aber auch die Websites, die der Nachwuchs besuchen darf, lassen sich einschränken. Falls das Kind eine bestimmte Site dennoch benötigt, etwa für eine Schulaufgabe, kann es bei seinen Eltern per Mail eine vorübergehende Freigabe anfordern.
Autor: Roland Freist
Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.