Windows 8/10 Benutzerkonten und Benutzerrechte

Stand: 21.01.2016


Benutzerkontensteuerung  Erster Administrator  Benutzerkonto und Microsoft-Konto  Einrichten eines Microsoft-Kontos  Sinn eines Microsoft-Kontos  Lokales Benutzerkonto  Administratorkonto - "als Administrator ausführen"  Weitere Benutzerkonten 


Benutzerkontensteuerung

Mit Windows Vista wurde die Benutzerkontensteuerung (UAC, User Account Control) eingeführt und in Windows 7 verfeinert. Windows 8 und 10 benutzen im wesentlichen denselben Mechanismus. Deshalb beziehen sich viele Tipps im Netz auf W7 oder W8, gelten aber entsprechend auch für W10, z.B. der MS-Artikel Was ist die Benutzerkontensteuerung?.

In Windows können Administratorkonten, Standardkonten, Kinderkonten und Gastkonten eingerichtet werden. Und diese können als lokale Konten oder als Microsoft-Konten angelegt werden. Ferner gibt es ein Superadministratorkonto, das aber i.d.R. deaktiviert/versteckt ist.

Grundlage für UAC sind diese Benutzerkonten. Im vorliegenden Text wird daher die Benutzerkontenverwaltung unter Windows 8/10 beschrieben. Manche Bilder beziehen sich noch auf W8; sie werden ggf. schrittweise durch solche von W10 ersetzt werden.

Ziel der UAC ist ist der Schutz vor Angriffen auf das System. Bei aktiver UAC darf kein Dienst oder Programm heimlich (d.h. im Hintergrund) systemrelevante Tätigkeiten ausüben.

Entdeckt die UAC eine solche Tätigkeit und ist der angemeldete Benutzer ein Administrator, so fragt die UAC einfach um Erlaubnis für diese Tätigkeit. Es genügt also Zustimmung oder Ablehnung.

Ist der angemeldete Benutzer aber kein Administrator, so muss er einen Administrator holen, der ggf. die Erlaubnis geben kann, d.h. er muss einen Administratorbenutzernamen und das zugehörige Administratorpasswort eingeben, bevor er zustimmen kann.

Die Strenge der UAC lässt sich für jeden Administrator (nicht aber Standardbenutzer) einstellen. Dazu muss man (auch unter W10) die Systemsteuerung aufrufen (z.B. über win+x) und dort die Benutzerkonten (s.l.u.). Im Fenster Benutzerkonten kann man die Einstellungen der Benutzerkontensteuerung ändern (s.r.u.).

Im Bild sind die Standardeinstellungen der UAC dargestellt (s.r.o.). Diese Einstellungen können noch verschärft, aber auch sehr weit abgeschwächt werden (s.u.).

Im ersten Bild ist maximale Kontrolle eingestellt (Hinweis: unbekannte Webseiten besuchen). Im zweiten Bild ist die Kontrolle so weit abgesenkt, dass der Desktop nicht mehr blockiert wird (Hinweis: nicht empfohlen). Im dritten Bild ist die UAC praktisch abgeschaltet. Programme, z.B. im Netz, können jederzeit im Hintergrund das System korrumpieren.


Erster Administrator

Wenn man einen Windows-PC startet/hochfährt, muss man sich (in der Regel) mit Benutzername und Passwort/Kennwort anmelden. Das klappt natürlich nur, wenn ein diesbezügliches Benutzerkonto in Windows hinterlegt ist. In jedem Benutzerkonto sind persönliche Einstellungen und Rechte gespeichert. Sind für mehrere Personen am gleichen PC jeweils unterschiedliche Benutzerkonten angelegt, kann darüber gesteuert werden, welcher Benutzer mit welchen Programmen arbeiten darf und welche Daten er sehen/ändern kann.

Benutzerkonten können nur von einem Administrator des PCs angelegt werden. Administratoren sind Benutzer mit Administratorrechten; es kann mehrere Administratoren geben (aber mindestens einen!). Damit kein Henne-Ei-Problem entsteht, werden demjenigen Benutzer, der Windows auf dem PC einrichtet, automatisch Administratorrechte vergeben.


Benutzerkonto und Microsoft-Konto

Sie benötigen also ein Benutzerkonto, um sich am PC anmelden zu können. Daher drehen sich die ersten Arbeiten in Windows immer um das Einrichten der Benutzerkonten und um die Rechtevergabe, insbesondere die der Administrator­rechte. Die hier getroffene Wahl wirkt sich stark auf die Sicherheit des Systems im Netz/Internet und beim Einsatz externer Medien, auf den Comfort bei der Programminstallation und -bedienung und auf die Möglichkeiten zum Einrichten des PCs aus.

Leider gibt Windows wenig Hinweise, wie zweckmäßigerweise vorzugehen und was zu beachten ist. Daher sind im Text im Folgenden relativ viele Links auf die verstreuten Original-MS-Fundstellen angegeben.

Nach dem ersten Neustart wird Windows auf Ihrem PC eingerichtet/konfiguriert, wobei mehrere weitere Neustarts nötig sind. Im Verlauf der Prozedur müssen Sie zwingend ein Benutzerkonto einrichten. MS "drängt" Sie dabei, ein Microsoft-Konto zu erstellen. Das ist offensichtlich ein eMail-Konto.

Am Bildschirm wirkt das etwas irreführend, denn Sie müssen keineswegs ein neues eMail-Konto bei Microsoft eröffnen! Genaueres ist unter http://windows.microsoft.com/de-de/windows-8/microsoft-account-tutorial zu erfahren.

Sie brauchen überhaupt kein eMail-Konto zu verwenden, dann richten Sie ein lokales Benutzerkonto ein.

Aber dieses initiale Benutzer-Konto ist mit Administrator-Rechten ausgestattet. Näheres hierzu ist unter http://windows.microsoft.com/de-de/windows/user-accounts-faq#1TC=windows-8 zu finden.

Weitere Hilfe zu Microsoft-Konten ist unter http://windows.microsoft.com/de-de/windows-live/microsoft-account-help#microsoft-account=tab0 zu finden. Grundlegende Informationen zu Sicherheit, Datenschutz und Konten sind unter http://windows.microsoft.com/de-de/windows/security-privacy-accounts-help#security-privacy-accounts-help=windows-8&v0h=win8tab1&v1h=win8tab1&v2h=win7tab1&v3h=winvistatab1 zu finden.


Einrichten eines Microsoft-Kontos

Wie schon erwähnt, gibt es drei Arten von Benutzer-Konten (s.r.): Administratorkonten, Standardkonten (ohne Administatorrechte) und Kinderkonten (mit weitergehenden Einschränkungen). Diese können jeweils als Microsoft-Konten oder als lokale Konten eingerichtet werden.

Ein Microsoft-Konto ist einfach ein Name samt eMail-Adresse und Passwort/Kennwort. Name und Passwort sind "beliebig",

  • die eMail-Adr. kann eine bestehende Adresse bei irgend einem Provider sein oder
  • eine zu diesem Zweck neu eingerichtete Adresse (ggf. bei einem anderen Provider) oder
  • eine neue Adresse bei einem auf dem Bildschirm vorgeschlagenen Provider.

Wenn Sie eine bestehende Adresse angeben, dann natürlich nicht mit dem bestehenden Passwort, mit dem Sie Ihre Post abholen, sonden mit einem neuen! Später melden Sie sich immer mit dem Namen und dem neuen Passwort an Ihrem PC an.


Sinn eines Microsoft-Kontos

Ein Microsoft-Konto wird immer dann benötigt, wenn Sie Microsoft-Dienste nützen wollen. Andenfalls genügt ein lokales Konto, also eines ohne eMail-Adr.. Microsoft-Dienste sind z.B. der Windows Store, der Cloud-Dienst OneDrive/SkyDrive, Skype, usw. .

Natürlich arbeitet ein PC mit Microsoft-Konto auch, wenn gerade kein Netzanschluss verfügbar ist, dann eben ohne die nur übers Netz erreichbaren Dienste (s.o.).


Lokales Benutzerkonto

Sie können auch ein lokales Konto einrichten, das besteht nur aus dem (Anmelde-)Namen und dem Passwort, das auch weggelassen werden darf. Und Sie können dafür sogen, dass die Rechneranmeldung über ein vorhandenes Benutzerkonto ohne Anmeldename und ohne Passwort erfolgen kann.

Eigentlich wäre es unter Sicherheitsaspekten sinnvoll, als initiales Benutzerkonto ein lokales Konto einzurichten. Weil initial, ist es ein Administratorkonto, aber weil lokal, baut der PC von sich aus keine Standardverbindung ins Internet auf. Man kann also den PC komplett einrichten und anpassen und über (von Hand gestartete und beendete) Internetverbindungen jeglichen zum weiteren Einrichten des PCs und zum Installieren von Programmen nötigen Datenaustausch abwickeln.

Für die tägliche Arbeit richtet man zusätzlich ein Standardkonto (also ohne Administratorrechte) als Micro­soft-Konto ein. Damit nutzt man die MS-Dienste im Netz und geht ins Internet usw. . Etwaige Schadsoftware hat keine Administratorrechte und die Benutzerkonensteuerung (s.u.) deckt eventuelle Übergriffsversuche auf.

Dazu im Widerspruch steht das Drängen von MS, gleich beim Einrichten von Windows ein Microsoft-Administratorkonto einzurichten, ohne dem Anwender zu verraten, dass damit tatsächlich Administratorrechte verbunden sind, die nicht entfernbar sind.


Administratorkonto - "als Administrator ausführen"

Der Administrator darf (fast) alles im System anstellen, der Standardbenutzer nichts systemnahes. Die UAC sorgt dafür, dass diese Regel eingehalten wird.

Programme, die ein Administrator ausführt, haben höhere Rechte, als solche, die ein Standardbenutzer ausführt. Daher dient es der Systemsicherheit, wenn man sich im Alltag nur mit einem Standardbenutzerkonto anmeldet.

Es gibt zwei Situationen, in denen man gerne auch im Alltag Administrator wäre, nämlich bei der Installation von Programmen und beim Einsatz alter Programme, wenn diese sich nicht an die im Zusammenhang mit der UAC geltenden Regeln halten (können).

Aber beides lässt sich auch ohne Administratorkonto bewerkstelligen:

Wie bereits eingangs beschrieben, wird ein Administrator vor der Programminstallation von der UAC einfach um Zustimmung gebeten, ein Standardbenutzer muss sich zuerst mit einem Administratorzugang samt Passort ausweisen, um zustimmen zu können.

Bei manchen Anwendungen verlangt der Hersteller, dass diese im Administratormodus installiert werden sollen. Dann genügt ein Rechtsklick auf das Installationsprogrammicon; im zugehörigen Kontextmenü kann dann als Administrator ausführen gewählt werden (s.l.).

Ältere Programme, die mit der UAC nicht klarkommen, provozieren bei jedem Programmstart die Zustimmungsprozedur. Dann kann man diese auf die gleiche Weise als Administrator ausführen.

Wird ein solches Programm oft gebraucht, ist die dauernde "Freisschalterei" lästig. Diese lässt sich aber abstellen, indem diesen Programmen dauerhaft Administratorrechte zugewiesen werden:

Nach Rechtsklick (u.U. zusammen mit der Shift-Taste) auf das zugehörige Programmicon kann der Eigenschaftendialog des Programms aufgerufen werden. Wenn Sie dort auf der Registerkarte Kompatibilität die Option Programm als Administrator ausführen anhaken (s.r.), kann dieses Programm in Zukunft auch von Standardbenützern ohne Rückfrage gestartet werden.


Weitere Benutzerkonten

Wenn Sie neben dem initialen Administratorkonto noch ein weiteres Benutzer-Konto einrichten wollen, öffnen Sie in W8 die Charmbar und gehen dort zu Einstellungen > PC-Einsellungen ändern > Konten > weitere Konten. Nach Klick auf + erscheinen die folgenden Schhirmbilder:

 
Sie können zwischen Microsoft-Konto und lokalem Konto wählen (l.o.). Im folgenden Bild (r.o.) werden Sie über die Kontoarten aufgeklärt.
 
Bei einem lokalen Konto genügt es ggf., nur einen Anmeldenamen zu vergeben und die folgenden Felder frei zu lassen (l.o.). Das ist aber in der Regel nicht empfehlenswert, weil dann jeder sich anmelden kann. Zuletzt werden Sie ggf. gefragt, ob Sie ein Kinderkonto einrichten möchten (r.o.).
 
Über den gleichen Dienst können Sie nachträglich die Kontoart (Admin, lokal, Kind) ändern (l.o.) oder ein Konto löschen (r.o.).

Näheres zu Kinderkonten finden Sie unter http://windows.microsoft.com/de-de/windows/set-up-family-safety.


Details siehe:
http://de.wikipedia.org/wiki/Benutzer­konten­steuerung,
http://windows.microsoft.com/de-de/windows7/how-do-i-log-on-as-an-administrator,
http://windows.microsoft.com/de-de/windows/turn-user-account-control-on-off#1TC=windows-7
http://windows.microsoft.com/de-de/windows-vista/troubleshoot-installing-or-uninstalling-programs

Zurück

Dietrich Tilp  |  Jan. 2016