Anleitung: Benutzer einrichten

• Warum zusätzliche Benutzerkonten einrichten?
• Lokales Konto oder Microsoft-Konto?
• Neuen lokalen Benutzer anlegen
• Einen lokalen Benutzer entfernen
• Arten von Benutzern
• Nicht ständig als Administrator arbeiten
• Als Administrator effektiv arbeiten
  • Benutzerkontensteuerung zeitweilig abschalten
  • Verstecktes Administratorkonto aktivieren und schützen
• Das Gast-Konto
• Alles viel einfacher an der Eingabeaufforderung
• Passwort läuft nach 42 Tagen ab


Warum zusätzliche Benutzerkonten einrichten?

Während der Erstinstallation von Windows wird ein erster Benutzer eingerichtet. Wenn mehrere Personen den PC benutzen, ist es sinnvoll, weitere Benutzerkonten anzulegen. Es kann dann jeder Benutzer seinen Desktop, sein Startmenü, seinen Browser u. a. nach seinen Vorstellungen einrichten, und jeder hat seine eigenen Ordner für Daten.

Lokales Konto oder Microsoft-Konto?

Normalerweise erwartet Microsoft, dass Sie eine E-Mail-Adresse mit Ihrem Benutzerkonto verknüpfen. Die Adresse darf von einem beliebigen Provider sein, Sie können sich auch eine neue Adresse bei Microsoft Mail „@outlook.de“ zulegen. Falls Sie mehrere Computer haben, erlaubt es diese Adresse, dass Microsoft einige Informationen zwischen diesen Computern synchronisiert. Vor allem aber kann Microsoft die gewonnenen Informationen über Ihre Gewohnheiten und Vorlieben eindeutig zuordnen.
Die zweite Möglichkeit: Sie richten ein Benutzerkonto für Ihre Kinder ein. Das geht auch ohne E-Mail-Adresse. Es wird automatisch der Kinderschutz „Family Safety“ aktiviert.
Die dritte Möglichkeit: „Ohne Microsoft-Konto anmelden“ und „Lokales Konto“ wählen. Diese Variante wird von Microsoft „nicht empfohlen“ (weil es für Microsoft schwerer wird, Sie auszuspionieren).

Was sind die Vorteile eines Benutzerkontos mit E-Mail-Adresse?
• Man bekommt 5 GB kostenlosen Speicherplatz in der Microsoft-Wolke (OneDrive). Zum Vergleich: ein USB 2.0-Stick mit 32 GB kostet 12 €, eine externe Festplatte mit 800facher Kapazität (4 TB) kostet etwa 100 Euro, und beide Lösungen sind um Größenordnungen schneller.
• Wenn man sich auf mehreren Computern unter derselben E-Mail-Adresse anmeldet, werden die Einstellungen (z. B. Aussehen des Desktops und Browserverlauf) synchronisiert, so dass Windows auf jedem PC ähnlich aussieht. Überlegen Sie, ob Sie das wollen: Wahrscheinlich sind Ihre Computer unterschiedlich leistungsstark und Sie benutzen sie für verschiedene Zwecke, so dass eine Synchronisierung möglicherweise nur wenige Vorteile bringt.
• Man kann aus dem Microsoft „App Store“ Programme herunterladen.

Was sind die Vorteile einer lokalen Anmeldung?
• Sie können sich anmelden, arbeiten und abmelden, auch ohne eine Internetverbindung zu haben.
• Bei der Online-Anmeldung zwingt Microsoft Sie zu einem komplizierten Online-Passwort. Bei einer lokalen Anmeldung ist die Gefahr eines Identitätsdiebstahls und von Passwortmissbrauch geringer, deshalb genügt ein einfacheres Anmeldepasswort.
Ich arbeite seit Jahren ausschließlich mit lokalen Konten. Eine Microsoft-Anmeldung benutze ich allenfalls für Testzwecke auf Testcomputern.

Neuen lokalen Benutzer anlegen

Sie müssen als Benutzer mit Administratorrechten angemeldet sein, um neue Benutzer einzurichten.
Hinweis: Microsoft versucht das Einrichten von lokalen Benutzern zu verhindern. Deshalb sollten Sie die Internetverbindung zeitweilig trennen: Durch Abziehen des LAN-Kabels bzw. durch Deaktivieren des WLAN.
• Klicken Sie auf „Start“, dann auf „Einstellungen“ (Zahnradsymbol), dann auf „Konten“. Es werden Daten zum aktuell angemeldeten Benutzer angezeigt.
• Unter „Familie und weitere Benutzer“ können Sie „Diesem PC eine andere Person hinzufügen“.
• Im Fenster „Wie meldet sich diese Person an?“ müssen Sie entscheiden, ob Sie sich durch Eingabe einer E-Mail-Adresse oder Telefonnummer als Ausspähopfer registrieren lassen wollen.
• Andernfalls klicken Sie auf „Ich kenne die Anmeldeinformationen für diese Person nicht“.
• Im nächsten Fenster „Erstellen Sie Ihr Konto“ klicken Sie auf „Benutzer ohne Microsoft-Konto hinzufügen“.
• Im Fenster „Konto für diesen PC erstellen“ können Sie endlich einen Benutzernamen, ein Passwort (zweimal) und einen Kennworthinweis eingeben.
• Möglicherweise müssen Sie noch drei Sicherheitsfragen beantworten. Danach können Sie sich abmelden und unter dem neuen Benutzernamen erstmals anmelden.

Falls Sie gefragt werden, ob Sie Ihre Daten vor anderen Benutzern verstecken wollen, sagen Sie nicht unüberlegt „Ja“. Ist diese Geheimhaltung wirklich nötig? Es würde bedeuten, dass bei einer Datensicherung jeder nur seine eigenen Daten sichern kann – auf die Daten der anderen Nutzer ist ja der Zugriff gesperrt. Und wenn man seine Daten auf eine externe Festplatte gesichert hat, muss man die Festplatte mit den geheimen Daten logischerweise in den Safe legen – wenn man einen hat. Wenn die Backup-Festplatte offen herumliegt, hätte man sich das Anmeldepasswort sparen können. Außerdem ist eine Datenrettung erschwert, falls Windows einmal so beschädigt oder infiziert sein sollte, dass es nicht mehr startet.
Wenn Sie etwas geheim halten wollen, verwenden Sie das Programm TrueCrypt in der Version 7.1. Mit diesem Programm können Sie einen Container für geheime Daten erstellen, der garantiert nicht geknackt werden kann. Mehr zu TrueCrypt finden Sie in meinem Buch „Sicherheit im Internet“.

Einen lokalen Benutzer entfernen

Sie müssen als Benutzer mit Administratorrechten angemeldet sein, um Benutzer zu verwalten.
• Klicken Sie auf „Start“, dann auf „Einstellungen“ (Zahnradsymbol), dann auf „Konten“. Es werden Daten zum aktuell angemeldeten Benutzer angezeigt.
• Unter „Familie und weitere Benutzer“ werden Ihnen die vorhandenen Benutzer angezeigt. Wählen Sie einen Benutzer aus. Sie können ihn mit „Kontotyp ändern“ zum Administrator hochstufen oder mit einem Klick auf „Entfernen“ löschen.
Ordner und Dateien, die der Benutzer angelegt hat, bleiben erhalten, werden aber „herrenlos“. Ein Administrator kann den „Besitz übernehmen“ und die Dateien einer sinnvollen Verwendung zuführen.

Arten von Benutzern

Windows unterscheidet hauptsächlich drei Arten von Benutzern: „Normale“ Nutzer, den Administrator und Nutzer, die zu Administratoren hochgestuft worden sind (die ich als „Hilfs-Administratoren“ bezeichne).
• Normale Benutzer werden von Windows daran gehindert, schwerwiegende Veränderungen vorzunehmen. Sie können beispielsweise keine Anwendungen installieren oder entfernen.
• Der Administrator darf alles, nur einige Kernfunktionen von Windows sind auch vor Administratoren geschützt. Als Administrator kann man geschützte Systemdateien und Systemeinstellungen verändern, neue Benutzer einrichten, Anwendungen installieren, einem Benutzer ein neues Passwort geben oder ihn zwingen, alle paar Wochen sein Passwort zu wechseln.
Das Administrator-Konto wird bei der Windows-Installation eingerichtet, aber sicherheitshalber deaktiviert: Erstens weil Fehler des Administrators ernsten Schaden anrichten können. Zweitens weil Trojaner und andere Schädlinge ein ungeschütztes Administratorkonto großartig finden würden: Die meisten Schädlinge brauchen Administratorrechte, um sich „einnisten“ zu können.
• Weil es aber ohne Administrator nicht geht, wird der erste während einer Windows-Neuinstallation angelegte Benutzer automatisch zum „Hilfsadministrator“ ernannt. Das bedeutet: Er wird in die „Lokale Gruppe“ (localgroup) der Administratoren aufgenommen.
„Hilfsadministrator“ ist keine offizielle Bezeichnung. Was meine ich in diesem Zusammenhang mit „Hilfsadministrator“? Ein Nutzer mit Administratorrechten bekommt die Administratorrechte nur bei Bedarf zeitweilig zugewiesen und wird bei jedem Versuch, die Administratorrechte zu nutzen, vorher von der „Benutzerkontensteuerung“ (User Account Control) gefragt: „Möchten Sie zulassen, dass durch diese App Änderungen an Ihrem PC vorgenommen werden?“ Der „echte“ Administrator wird niemals durch derartige Sicherheitsabfragen gebremst. Er sollte deshalb genau wissen, was er tut.

Mit der oft benutzten Formulierung „Als Administrator anmelden“ ist meistens gemeint: sich als einer der Benutzer mit Administratorenrechten anzumelden.

Nicht ständig als Administrator arbeiten

Wird Ihr Computer von mehreren Familienmitgliedern benutzt, sollten Sie für jeden Nutzer ein eigenes Benutzerkonto einrichten. Doch es ist nicht sinnvoll, jedem Benutzer die Rechte eines Administrators zu geben.
Viele der gefährlicheren Internet-Schädlinge benötigen Administratorrechte, um sich einnisten zu können. Und auch erfahrenen Benutzern unterlaufen mitunter üble Fehler. Deshalb sind mehrere Benutzerkonten sinnvoll, auch wenn Sie der einzige Benutzer des PCs sind. Nutzen Sie das Administratorkonto zur Sicherheit nur für Wartungsarbeiten und Installationen. Für die „gewöhnlichen“ Tätigkeiten am PC sollten Sie ein Konto ohne die Rechte eines Administrators nutzen. Vielleicht sind mehrere Konten sinnvoll: je eins für die Arbeit, den Verein oder das Hobby. Windows richtet für jedes Konto einen eigenen Desktop, eigene Ordner und eigene Favoriten (Lesezeichen) ein.

Als Administrator effektiv arbeiten

Sie planen größere „Aufräumarbeiten“? Nehmen wir an, Sie wollen mehrere überflüssige Anwendungen entfernen. Wenn Sie als Benutzer mit Administratorrechten angemeldet sind, werden Sie vor jeder einzelnen Deinstallation von der Benutzerkontensteuerung erneut gefragt, ob Sie das wirklich zulassen wollen. Das ist lästig. Es gibt zwei Möglichkeiten, diese Abfragen zu vermeiden: Entweder Sie melden sich als „echter“ Administrator an oder Sie schalten die Benutzerkontensteuerung zeitweilig ab.

Benutzerkontensteuerung zeitweilig abschalten

Die Benutzerkontensteuerung (User Account Control) verhindert, dass Programme ohne Ihre Zustimmung das System verändern. Das ist ein wichtiger Schutz gegen Malware. Doch wenn die ständigen Sicherheitsabfragen lästig sind, z. B. wenn Sie mehrere Installationen oder ein „großes Aufräumen“ vorhaben, kann man sie zeitweilig abschalten.
Tippen Sie dazu „uac“ in das Suchfeld ein und klicken Sie auf „Einstellungen der Benutzerkontensteuerung ändern“. Bewegen Sie den Schieberegler auf „Nie benachrichtigen“, „OK“. Sie werden letztmalig gefragt, ob Sie das gestatten wollen.
Hinweis: Solange UAC deaktiviert ist, können sich bösartige Programme unbemerkt installieren, z. B. während der Installation eines nützlichen Programms. Deshalb sollten Sie UAC nicht dauerhaft aktiviert lassen.

Verstecktes Administratorkonto aktivieren und schützen

Die zweite Möglichkeit: Melden Sie sich als Administrator an, dann können Sie sich das Aktivieren und Deaktivieren der Benutzerkontensteuerung ersparen. Der Administrator wird von der UAC nicht „belästigt“.
Rechtsklick auf „Start“, dann auf „Computerverwaltung“. Unter „Lokale Benutzer und Gruppen“ → „Benutzer“ finden Sie alle Benutzer. Hier können Sie Benutzer zwingen, Ihr Kennwort zu ändern und Sie können auch weitere Benutzer zu Administratoren hochstufen.
Wenn Sie nach einem Doppelklick auf „Administrator“ den Haken vor „Konto ist deaktiviert“ entfernen und dann auf „Übernehmen“ und „OK“ klicken, wird das versteckte Administratorkonto verfügbar. Sie können sich ohne Neustart als Administrator anmelden.
Achtung: Ihre erste Handlung als Administrator sollte darin bestehen, sich selbst ein Passwort zu geben („Start“ → „Einstellungen“ → „Konten“ → „Anmeldeoptionen“ → „Kennwort“ → „Hinzufügen“).
Nach dem Ende Ihrer Administratorenarbeit sollten Sie das Administratorenkonto wieder deaktivieren.

Das Gast-Konto

Unter Windows 10 Professional gibt es ein verstecktes Gastkonto. Das Gastkonto ist ein Konto mit minimalen Rechten, die aber für das Surfen im Internet ausreichen, wenn ein Besucher „schnell mal ins Internet will“. Alle Änderungen, die der Gast vornimmt, werden zurückgesetzt, wenn der Gast sich abmeldet.
Wenn Sie das Gastkonto benutzen wollen, müssen Sie es zuvor „Aktivieren“. Dazu müssen Sie in der „Computerverwaltung“ unter „Lokale Benutzer und Gruppen“ → „Benutzer“ einen Doppelklick auf „Gast“ ausführen und den Haken vor „Konto ist deaktiviert“ entfernen“.

Alles viel einfacher mit der Eingabeaufforderung

Öffnen Sie die Eingabeaufforderung (als Benutzer mit Administratorrechten). Dazu müssen Sie „cmd“ in das Suchfeld eintippen. mit der rechten Maustaste auf die App „Eingabeaufforderung“ klicken, „Als Administrator ausführen“ wählen und die Sicherheitsfrage der UAC mit „Ja“ beantworten.
Tippen Sie einen der folgenden Befehle ein und bestätigen Sie mit der Enter-Taste:

net user                         zeigt Ihnen die Liste aller Benutzer an.
net help user                    zeigt Ihnen Syntax und Möglichkeiten von „net user“.
net user Udo /add                richtet einen neuen Benutzer „Udo“ ein.
net user Udo asd                     gibt dem Benutzer „Udo“ das Passwort „asd“.
net user Willi abc /add          richtet einen neuen Benutzer „Willi“ mit dem Passwort „abc“ ein.
net user Udo /times:Mo-Fr,8-17   Nur zu diesen Zeiten darf sich Udo anmelden.
net user Udo /times:all          hebt die Zeitenbeschränkungen auf.
net user Udo /passwordchg:no     verbietet dem Benutzer, sein Passwort selbst zu ändern.
net user Udo                     listet Infos über Udo auf, z. B. ob er Administratorrechte hat.
net user Willi /passwordreq:yes  zwingt Willi, sich ein Passwort zuzulegen.
net user Willi /del              Entfernt den Benutzer „Willi“ (nicht seine persönlichen Ordner).

net user administrator /active:yes       gibt das Administratorkonto frei (:no versteckt es).
net user Administrator adg               gibt dem Administrator das Passwort „adg“.
net localgroup                           listet die lokalen Rechtegruppen auf,
net localgroup Administratoren           zeigt Ihnen alle Benutzer mit Administratorenrechten,
net localgroup Administratoren Udo /add  gibt Udo die Administratorenrechte,
net localgroup Administratoren Udo /del  entzieht sie ihm wieder.

Sie werden sicher zugeben: Mit diesen Befehlen geht es schnell. Besonders wenn Sie an einem neu eingerichteten PC mehrere Benutzer einrichten müssen. Und es funktioniert mit jeder Windows-Version seit 1992.
Übrigens: Sie können sich einiges an Tipparbeit mit den Funktionstasten ersparen. Die Funktionstaste F3 wiederholt den letzten Befehl, Taste F1 wiederholt Zeichen für Zeichen und mit Taste F2 können Sie einen Befehl bis zu einem gewünschten Zeichen wiederholen.

Das Passwort läuft nach 42 Tagen ab

Windows überrascht jeden lokalen Nutzer nach 42 Tagen mit der Mitteilung „Ihr Passwort ist abgelaufen“, auch nach einem Update kann das geschehen. Sie müssen zur Sicherheit Ihr abgelaufenes Passwort eingeben und danach zweimal ein neugewähltes Passwort eingeben. Wobei das neue Passwort das gleiche wie das abgelaufene sein darf. Der Administrator kann diese „Schummelei“ verbieten und auch eine andere Frist als 42 Tage festlegen.
Für Firmen und für professionell genutzte PCs ist das eine wichtige Sicherheitsmaßnahme und vielleicht sollte die Frist von 42 Tagen sogar verkürzt werden. Wobei es die Sicherheit nicht erhöht, wenn der Benutzer immer nur zwischen zwei Passwörtern hin und her wechselt.
Für einen privaten PC kann ein regelmäßiger Passwortwechsel unnötig sein. Um den Zwang zum Passwortwechsel abzuschalten, gibt es mehrere Möglichkeiten:
• Rechtsklick auf „Start“, dann zur „Computerverwaltung“. Unter „Lokale Benutzer und Gruppen“ klicken Sie auf „Benutzer“. Wählen Sie nacheinander alle gewünschten Benutzer mit Doppelklick aus und setzen Sie einen Haken bei „Kennwort läuft nie ab“.
• Dasselbe geht auch an der Eingabeaufforderung als Administrator. Starten Sie mit  lusrmgr.msc  den lokalen User-Manager. Wählen Sie unter „Benutzer“ den Benutzer mit Doppelklick und markieren Sie „Kennwort läuft nie ab“.
• Mit dem Befehl  net accounts /maxpwage:unlimited   können Sie für alle zukünftig anzulegenden Nutzer das Ablaufen des Kennworts verhindern. Geben Sie den Befehl an der Eingabeaufforderung als Administrator ein.
• Möchte man die Einstellung global für alle vorhandenen und zukünftigen Nutzer ändern, geht das über die Systemrichtlinien. Starten Sie  gpedit.msc . Navigieren Sie zu „Computerkonfiguration“ → „Windows-Einstellungen“ → „Sicherheitseinstellungen“ → „Kontorichtlinien“ → „Kennwortrichtlinien“. Ein „Maximales Kennwortalter“ von „0“ bedeutet unbegrenzte Gültigkeit des Kennworts.


 

 

Skills

Posted on

9. November 2019

Submit a Comment

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .

Skills

Posted on

9. November 2019