Anleitung: Benutzer einrichten

Inhaltsverzeichnis
• Warum zusätzliche Benutzerkonten einrichten?
• Lokales Konto oder Microsoft-Konto?
• Neuen lokalen Benutzer anlegen
• Einen lokalen Benutzer entfernen
• Microsoft-Konto in lokales Benutzerkonto umwandeln
• Arten von Benutzern
• Nicht ständig als Administrator arbeiten
• Als Administrator effektiv arbeiten
  • Benutzerkontensteuerung zeitweilig abschalten
  • Verstecktes Administratorkonto aktivieren und schützen
• Das Gast-Konto
• Alles viel einfacher an der Eingabeaufforderung
• Passwort läuft nach 42 Tagen ab
 
Kommandozeilenbefehle
Grundlagenwissen

Warum zusätzliche Benutzerkonten einrichten?

Während der Erstinstallation von Windows wird ein erster Benutzer eingerichtet. Wenn mehrere Personen den PC benutzen, ist es sinnvoll, weitere Benutzerkonten anzulegen. Es kann dann jeder Benutzer seinen Desktop, sein Startmenü, seinen Browser u. a. nach seinen Vorstellungen einrichten, und jeder hat seine eigenen Ordner für Daten.

Lokales Konto oder Microsoft-Konto?

Normalerweise erwartet Microsoft, dass Sie Ihr Benutzerkonto mit einer E-Mail-Adresse verknüpfen. Die Adresse darf von einem beliebigen Provider sein, Sie können sich auch eine neue Adresse bei Microsoft Mail „@outlook.de“ zulegen. Falls Sie mehrere Computer haben, erlaubt es diese Adresse, dass Microsoft einige Informationen zwischen diesen Computern synchronisiert. Vor allem aber kann Microsoft die gewonnenen Informationen über Ihre Gewohnheiten und Vorlieben eindeutig zuordnen.
Die zweite Möglichkeit: Sie richten ein Benutzerkonto für Ihre Kinder ein. Das geht auch ohne E-Mail-Adresse. Es wird automatisch der Kinderschutz „Family Safety“ aktiviert.
Die dritte Möglichkeit: „Ohne Microsoft-Konto anmelden“ und „Lokales Konto“ wählen. Diese Variante wird von Microsoft „nicht empfohlen“ (weil es für Microsoft schwerer wird, Sie auszuspionieren).

Was sind die Vorteile eines MS-Benutzerkontos mit E-Mail-Adresse?

  • Man bekommt 5 GB kostenlosen Speicherplatz in der Microsoft-Wolke (OneDrive). Zum Vergleich: ein USB 2.0-Stick mit 32 GB kostet 12 €, eine externe Festplatte mit 800facher Kapazität (4 TB) kostet etwa 100 Euro, und beide Lösungen sind um Größenordnungen schneller.
  • Wenn man sich auf mehreren Computern unter derselben E-Mail-Adresse anmeldet, werden die Einstellungen (z. B. Aussehen des Desktops und der Browserverlauf) synchronisiert, so dass Windows auf jedem PC ähnlich aussieht. Überlegen Sie, ob Sie das wollen: Wahrscheinlich sind Ihre Computer unterschiedlich leistungsstark und Sie benutzen sie für verschiedene Zwecke, so dass eine Synchronisierung möglicherweise nur wenige Vorteile bringt.
  • Man kann aus dem Microsoft „App Store“ Programme herunterladen.

Was sind die Vorteile einer lokalen Anmeldung?

  • Sie können sich anmelden, arbeiten und abmelden, auch ohne eine ständige Internetverbindung zu haben.
  • Bei der Online-Anmeldung zwingt Microsoft Sie zu einem komplizierten Online-Passwort. Bei einer lokalen Anmeldung ist die Gefahr eines Identitätsdiebstahls und von Passwortmissbrauch geringer, deshalb genügt ein einfacheres Anmeldepasswort.

Ich arbeite seit Jahren ausschließlich mit lokalen Konten. Eine Microsoft-Anmeldung benutze ich allenfalls für Testzwecke auf Testcomputern.

Neuen lokalen Benutzer anlegen

Sie müssen als Benutzer mit Administratorrechten angemeldet sein, um neue Benutzer einzurichten.
Hinweis: Microsoft wird vermutlich das Einrichten von lokalen Benutzern auf Windows Home Systemen zukünftig verhindern. Auf Windows Professional Versionen wird es wohl möglich bleiben. Microsoft erschwert das Einrichten von lokalen Benutzern jetzt schon. Deshalb sollten Sie die Internetverbindung zeitweilig trennen, bevor Sie beginnen, einen neuen Nutzer anzulegen: Durch Abziehen des LAN-Kabels bzw. durch Deaktivieren des WLAN.

  • Klicken Sie auf „Start“, dann auf „Einstellungen“ (Zahnradsymbol), dann auf „Konten“. Es werden Daten zum aktuell angemeldeten Benutzer angezeigt.
  • Unter „Familie und weitere Benutzer“ können Sie „Diesem PC eine andere Person hinzufügen“.
  • Im Fenster „Wie meldet sich diese Person an?“ müssen Sie entscheiden, ob Sie sich durch Eingabe einer E-Mail-Adresse oder Telefonnummer als Ausspähopfer registrieren lassen wollen.
  • Andernfalls klicken Sie auf „Ich kenne die Anmeldeinformationen für diese Person nicht“.
  • Im nächsten Fenster „Erstellen Sie Ihr Konto“ klicken Sie auf „Benutzer ohne Microsoft-Konto hinzufügen“.
  • Im Fenster „Konto für diesen PC erstellen“ können Sie endlich einen Benutzernamen, ein Passwort (zweimal) und einen Kennworthinweis eingeben.
  • Möglicherweise müssen Sie noch drei Sicherheitsfragen beantworten. Danach können Sie sich abmelden und unter dem neuen Benutzernamen erstmals anmelden.

Falls Sie gefragt werden, ob Sie Ihre Daten vor anderen Benutzern verstecken wollen, sagen Sie nicht unüberlegt „Ja“. Ist diese Geheimhaltung wirklich nötig? Es würde bedeuten, dass bei einer Datensicherung jeder nur seine eigenen Daten sichern kann – auf die Daten der anderen Nutzer ist ja der Zugriff gesperrt. Und wenn man seine Daten auf eine externe Festplatte gesichert hat, muss man die Festplatte mit den geheimen Daten logischerweise in den Safe legen – wenn man einen hat. Wenn die Backup-Festplatte offen herumliegt, hätte man sich das Anmeldepasswort sparen können. Außerdem ist eine Datenrettung erschwert, falls Windows einmal so beschädigt oder infiziert sein sollte, dass es nicht mehr startet.
Wenn Sie etwas geheim halten wollen, verwenden Sie das Programm  VeraCrypt . Mit diesem Programm können Sie einen Container für geheime Daten erstellen, der garantiert nicht geknackt werden kann. Mehr zu VeraCrypt finden Sie in meinem Buch „Sicherheit im Internet“ und auf eifert.net.

Einen lokalen Benutzer entfernen

Sie müssen als Benutzer mit Administratorrechten angemeldet sein, um Benutzer zu verwalten.

  • Klicken Sie auf „Start“, dann auf „Einstellungen“ (Zahnradsymbol), dann auf „Konten“. Es werden Daten zum aktuell angemeldeten Benutzer angezeigt.
  • Unter „Familie und weitere Benutzer“ werden Ihnen die vorhandenen Benutzer angezeigt. Wählen Sie einen Benutzer aus. Sie können ihn mit „Kontotyp ändern“ zum Administrator hochstufen oder mit einem Klick auf „Entfernen“ löschen.

Ordner und Dateien, die der Benutzer angelegt hat, bleiben erhalten, werden aber „herrenlos“. Ein Administrator kann den „Besitz übernehmen“ und nützliche Dateien einer sinnvollen Verwendung zuführen.

Unsichtbare Rest-Dateien des Benutzers entfernen

Für jeden Benutzer gibt es im Ordner C:\USERS\ einen Unterordner. Diesen Unterordner komplett zu löschen ist schwierig, denn er enthält zahlreiche unsichtbare und geschützte Dateien. Starten Sie Windows im Abgesicherten Modus. Öffnen Sie die Eingabeaufforderung als Administrator. Angenommen, der zu löschende Benutzer heißt “Testnutzer”. Verwenden Sie die folgenden Befehle:
net user Testnutzer /del
cd \users
del Testnutzer\*.* /s /f /q
rd /s /q Testnutzer\*.*
dir c:\users


Microsoft-Konto in lokales Benutzerkonto umwandeln

Ihre Privatsphäre ist Ihnen wichtig und Sie können auf die Funktionen eines MS-Kontos verzichten?
So wandeln Sie ein MS-Konto in ein lokales Konto um:

  • Klicken Sie auf „Start“, dann auf „Einstellungen“ (Zahnradsymbol), dann auf „Konten“.
  • Unter Ihrem Konto klicken Sie auf „Stattdessen mit einem lokalen Konto anmelden“.
  • Das Passwort Ihres MS-Kontos eingeben, „Weiter“.
  • Legen Sie einen Namen und ein Passwort für Ihr lokales Konto fest.

Arten von Benutzern

Windows unterscheidet hauptsächlich drei Arten von Benutzern: „Normale“ Nutzer, den Administrator und Nutzer, die zu Administratoren hochgestuft worden sind (die ich als „Hilfs-Administratoren“ bezeichne).

  • Normale Benutzer werden von Windows daran gehindert, schwerwiegende Veränderungen vorzunehmen. Sie können beispielsweise keine Anwendungen installieren oder entfernen.
  • Der Administrator darf alles, nur einige Kernfunktionen von Windows sind auch vor Administratoren geschützt. Als Administrator kann man geschützte Systemdateien und Systemeinstellungen verändern, neue Benutzer einrichten, Anwendungen installieren, einem Benutzer ein neues Passwort geben oder ihn zwingen, alle paar Wochen sein Passwort zu wechseln.
    Das Administrator-Konto wird bei der Windows-Installation eingerichtet, aber sicherheitshalber deaktiviert: Erstens weil Fehler des Administrators ernsten Schaden anrichten können. Zweitens weil Trojaner und andere Schädlinge ein ungeschütztes Administratorkonto großartig finden würden: Die meisten Schädlinge brauchen Administratorrechte, um sich „einnisten“ zu können.
  • Weil es aber ohne Administrator nicht geht, wird der erste während einer Windows-Neuinstallation angelegte Benutzer automatisch zum „Hilfsadministrator“ ernannt. Das bedeutet: Er wird in die „Lokale Gruppe“ (localgroup) der Administratoren aufgenommen.
    „Hilfsadministrator“ ist keine offizielle Bezeichnung. Was meine ich in diesem Zusammenhang mit „Hilfsadministrator“? Ein Nutzer mit Administratorrechten bekommt die Administratorrechte nur bei Bedarf zeitweilig zugewiesen und wird bei jedem Versuch, die Administratorrechte zu nutzen, vorher von der „Benutzerkontensteuerung“ (User Account Control) gefragt: „Möchten Sie zulassen, dass durch diese App Änderungen an Ihrem PC vorgenommen werden?“ Der „echte“ Administrator (der mit dem Benutzernamen „Administrator“) wird niemals durch derartige Sicherheitsabfragen gebremst. Er sollte deshalb genau wissen, was er tut.

Mit der oft benutzten Formulierung „Als Administrator anmelden“ ist meistens gemeint: sich als einer der Benutzer mit Administratorenrechten anzumelden. Dazu klickt man mit der rechten Maustaste auf das zu startende Programm und wählt im Kontextmenü „Als Administrator anmelden“.

Nicht ständig als Administrator arbeiten

Wird Ihr Computer von mehreren Familienmitgliedern benutzt, sollten Sie für jeden Nutzer ein eigenes Benutzerkonto einrichten. Doch es ist nicht sinnvoll, jedem Benutzer die Rechte eines Administrators zu geben.
Viele der gefährlicheren Internet-Schädlinge benötigen Administratorrechte, um sich einnisten zu können. Und auch erfahrenen Benutzern unterlaufen mitunter üble Fehler. Deshalb sind mehrere Benutzerkonten sinnvoll, auch wenn Sie der einzige Benutzer des PCs sind. Nutzen Sie das Administratorkonto zur Sicherheit nur für Wartungsarbeiten und Installationen. Für die „gewöhnlichen“ Tätigkeiten am PC sollten Sie ein Konto ohne die Rechte eines Administrators nutzen. Vielleicht sind mehrere Konten sinnvoll: je eins für die Arbeit, den Verein oder das Hobby. Windows richtet für jedes Konto einen eigenen Desktop, eigene Ordner und eigene Favoriten (Lesezeichen) ein.

Anwendung als Administrator ausführen

Manche Systemprogramme funktionieren nur dann, wenn sie mit Administratorrechten ausgeführt werden. Es gibt dazu mehrere Möglichkeiten:
• Klicken Sie das Icon der Anwendung mit der rechten Maustaste an und wählen Sie „Als Administrator ausführen“.
• Halten Sie die Tasten Strg und Shift gedrückt, während Sie auf das Icon der Anwendung doppelklicken.
• Klicken Sie auf das Icon der Anwendung mit der rechten Maustaste → „Eigenschaften“ → Register „Verknüpfung“ → „Erweitert“ → „Als Administrator ausführen“. Die Anwendung wird dadurch auch zukünftig mit Administratorrechten gestartet.

Als Administrator effektiv arbeiten

Sie planen größere „Aufräumarbeiten“? Nehmen wir an, Sie wollen mehrere überflüssige Anwendungen entfernen. Wenn Sie als Benutzer mit Administratorrechten angemeldet sind, werden Sie vor jeder einzelnen Deinstallation von der Benutzerkontensteuerung erneut gefragt, ob Sie das wirklich zulassen wollen. Das ist lästig. Es gibt zwei Möglichkeiten, diese Abfragen zu vermeiden: Entweder Sie melden sich als „echter“ Administrator an oder Sie schalten die Benutzerkontensteuerung zeitweilig ab.

Benutzerkontensteuerung zeitweilig abschalten

Die Benutzerkontensteuerung (User Account Control) verhindert, dass Programme ohne Ihre Zustimmung das System verändern. Das ist ein wichtiger Schutz gegen Malware. Doch wenn die ständigen Sicherheitsabfragen lästig sind, z. B. wenn Sie mehrere Installationen oder ein „großes Aufräumen“ vorhaben, kann man sie zeitweilig abschalten.
Tippen Sie dazu „uac“ in das Suchfeld ein und klicken Sie auf „Einstellungen der Benutzerkontensteuerung ändern“. Bewegen Sie den Schieberegler auf „Nie benachrichtigen“, „OK“. Sie werden letztmalig gefragt, ob Sie das gestatten wollen.
Hinweis: Solange UAC deaktiviert ist, können sich bösartige Programme unbemerkt installieren, z. B. während der Installation eines nützlichen Programms. Deshalb sollten Sie UAC nicht dauerhaft deaktiviert lassen.

Sie können die UAC auch für einzelne Programme dauerhaft abstellen.

Verstecktes Administratorkonto aktivieren und schützen

Die zweite Möglichkeit: Melden Sie sich als Administrator an, dann können Sie sich das Aktivieren und Deaktivieren der Benutzerkontensteuerung ersparen. Der Administrator wird von der UAC nicht „belästigt“.
Rechtsklick auf „Start“, dann auf „Computerverwaltung“. Unter „Lokale Benutzer und Gruppen“ → „Benutzer“ finden Sie alle Benutzer. Hier können Sie Benutzer zwingen, Ihr Kennwort zu ändern und Sie können auch weitere Benutzer zu Administratoren hochstufen.
Wenn Sie nach einem Doppelklick auf „Administrator“ den Haken vor „Konto ist deaktiviert“ entfernen und dann auf „Übernehmen“ und „OK“ klicken, wird das versteckte Administratorkonto verfügbar. Sie können sich ohne Neustart als Administrator anmelden.
Achtung: Ihre erste Handlung als Administrator sollte darin bestehen, sich selbst ein Passwort zu geben („Start“ → „Einstellungen“ → „Konten“ → „Anmeldeoptionen“ → „Kennwort“ → „Hinzufügen“).
Nach dem Ende Ihrer Administratorenarbeit sollten Sie das Administratorenkonto wieder deaktivieren.

Das Gast-Konto

Unter Windows 10 Professional gibt es ein verstecktes Gastkonto. Das Gastkonto ist ein Konto mit minimalen Rechten, die aber für das Surfen im Internet ausreichen, wenn ein Besucher „schnell mal ins Internet will“. Alle Änderungen, die der Gast vornimmt, werden zurückgesetzt, wenn der Gast sich abmeldet.
Wenn Sie das Gastkonto benutzen wollen, müssen Sie es zuvor „Aktivieren“. Dazu müssen Sie in der „Computerverwaltung“ unter „Lokale Benutzer und Gruppen“ → „Benutzer“ einen Doppelklick auf „Gast“ ausführen und den Haken vor „Konto ist deaktiviert“ entfernen“.

Alles viel einfacher mit der Eingabeaufforderung

Öffnen Sie die Eingabeaufforderung (als Benutzer mit Administratorrechten). Dazu müssen Sie „cmd“ in das Suchfeld eintippen. mit der rechten Maustaste auf die App „Eingabeaufforderung“ klicken, „Als Administrator ausführen“ wählen und die Sicherheitsfrage der UAC mit „Ja“ beantworten.
Tippen Sie einen der folgenden Befehle ein und bestätigen Sie mit der Enter-Taste:

net user                         zeigt Ihnen die Liste aller Benutzer an.
net help user                    zeigt Ihnen Syntax und Möglichkeiten von „net user“.
net user Udo /add                richtet einen neuen Benutzer „Udo“ ein.
net user Udo asd                     gibt dem Benutzer „Udo“ das Passwort „asd“.
net user Willi abc /add          richtet einen neuen Benutzer „Willi“ mit dem Passwort „abc“ ein.
net user Udo /passwordchg:no     verbietet dem Benutzer, sein Passwort selbst zu ändern.
net user Udo /times:Mo-Fr,8-17;Sa,8-10 Nur zu diesen Zeiten darf sich Udo anmelden.
net user Udo /times:all          hebt die Zeitenbeschränkungen auf.
net user Udo                     listet Infos über Udo auf, z. B. ob er Administratorrechte oder Zeitbeschränkungen hat.
net user Willi /passwordreq:yes  zwingt Willi, sich ein Passwort zuzulegen.
net user Willi /del              Entfernt den Benutzer „Willi“ (nicht seine persönlichen Ordner).

net user administrator /active:yes       gibt das Administratorkonto frei (:no versteckt es).
net user Administrator adg               gibt dem Administrator das Passwort „adg“.
net localgroup                           listet die lokalen Rechtegruppen auf,
net localgroup Administratoren           zeigt Ihnen alle Benutzer mit Administratorenrechten,
net localgroup Administratoren Udo /add  gibt Udo die Administratorenrechte,
net localgroup Administratoren Udo /del  entzieht sie ihm wieder.

Sie werden sicher zugeben: Mit diesen Befehlen geht es schnell. Besonders wenn Sie an einem neu eingerichteten PC mehrere Benutzer einrichten müssen. Und es funktioniert mit jeder Windows-Version seit 1992. Und wenn Sie einen Benutzer mit dem net user Befehl anlegen, ersparen Sie sich die Beantwortung aller drei Sicherheitsfragen.
Übrigens: Sie können sich einiges an Tipparbeit mit den Funktionstasten ersparen. Die Funktionstaste F3 wiederholt den letzten Befehl, Taste F1 wiederholt Zeichen für Zeichen und mit Taste F2 können Sie einen Befehl bis zu einem gewünschten Zeichen wiederholen.

Das Passwort läuft nach 42 Tagen ab

Windows überrascht jeden lokalen Nutzer nach 42 Tagen mit der Mitteilung „Ihr Passwort ist abgelaufen“, auch nach einem Update kann das geschehen. Sie müssen zur Sicherheit Ihr abgelaufenes Passwort eingeben und danach zweimal ein neugewähltes Passwort eingeben. Wobei das neue Passwort das gleiche wie das abgelaufene sein darf. Der Administrator kann diese „Schummelei“ verbieten und auch eine andere Frist als 42 Tage festlegen. Das BSI meint, dass regelmäßige Passwortwechsel nicht nötig sind.
Für Firmen und für professionell genutzte PCs ist das eine wichtige Sicherheitsmaßnahme und vielleicht sollte die Frist von 42 Tagen sogar verkürzt werden. Wobei es die Sicherheit nicht erhöht, wenn der Benutzer immer nur zwischen zwei Passwörtern hin und her wechselt. Aber diese Unsitte kann der Administrator unterbinden, siehe net accounts /uniquepw.
Für einen privaten PC kann ein regelmäßiger Passwortwechsel unnötig sein. Um den Zwang zum Passwortwechsel abzuschalten, gibt es mehrere Möglichkeiten.

Für ausgewählte Nutzer das Ablaufen des Passworts verhindern

  • Rechtsklick auf „Start“, dann zur „Computerverwaltung“. Unter „Lokale Benutzer und Gruppen“ klicken Sie auf „Benutzer“. Wählen Sie nacheinander alle gewünschten Benutzer mit Doppelklick aus. In den Eigenschaften des Benutzers einen Haken setzen bei „Kennwort läuft nie ab“.
  • Dasselbe geht auch an der Eingabeaufforderung als Administrator. Starten Sie mit  lusrmgr.msc  den lokalen User-Manager. Wählen Sie unter „Benutzer“ den Benutzer mit Doppelklick und markieren Sie „Kennwort läuft nie ab“.

Für alle Nutzer das Ablaufen des Passworts verhindern

  • Mit dem Befehl  net accounts /maxpwage:unlimited   können Sie für alle bereits vorhandenen Nutzer auf einmal das Ablaufen des Kennworts verhindern. Geben Sie den Befehl an der Eingabeaufforderung als Administrator ein.
  • Möchte man die Einstellung global für alle vorhandenen und auch für alle zukünftigen Nutzer ändern, geht das über die Systemrichtlinien. Starten Sie  gpedit.msc. Navigieren Sie zu „Computerkonfiguration“ → „Windows-Einstellungen“ → „Sicherheitseinstellungen“ → „Kontorichtlinien“ → „Kennwortrichtlinien“. Ein „Maximales Kennwortalter“ von „0“ bedeutet unbegrenzte Gültigkeit des Kennworts.

 

 

Skills

Posted on

12. Januar 2024

Submit a Comment

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .

Skills

Posted on

12. Januar 2024

Cookie Consent Banner von Real Cookie Banner