Verwalten lokaler Benutzer und Gruppen

  • 4 Minuten

Lokale Benutzerkonten werden lokal auf dem Client gespeichert. Wählen Sie ein lokales Konto aus, wenn Sie keine Verbindung mit einer Netzwerkdomäne herstellen. Sie können sich anmelden, Ihre Einstellungen ändern, Software installieren und Ihren Benutzerbereich von anderen auf dem System getrennt halten. Lokale Benutzer können jedoch nicht auf Features zugreifen, die von Microsoft-Konten ermöglicht werden. In der Regel verfügt jeder Benutzer über ein eigenes Konto, das bestimmt, über welche Berechtigungen er verfügt, aber auch definiert, welches Benutzerprofil geladen wird, das verschiedene Einstellungen und Personalisierungsoptionen enthält.

Lokale Benutzerkonten werden in der Regel nur in Szenarien wie der privaten Verwendung und nur dann verwendet, wenn es bestimmte Gründe gibt, ein Microsoft-Konto nicht zu verwenden. Es ist jedoch wichtig, die Grundlagen lokaler Konten und der lokalen Standardbenutzerkonten zu verstehen, die Teil von Windows sind.

Lokale Standardbenutzerkonten

Lokale Standardbenutzerkonten werden verwendet, um den Zugriff auf die Ressourcen des lokalen Clients basierend auf den Rechten und Berechtigungen zu verwalten, die dem Konto zugewiesen sind. Die lokalen Standardbenutzerkonten sind integrierte Konten, die bei der Installation von Windows automatisch erstellt werden. Die lokalen Standardbenutzerkonten können nicht entfernt oder gelöscht werden. Darüber hinaus bieten lokale Standardbenutzerkonten keinen Zugriff auf Netzwerkressourcen.

Administratorkonto

Das standardmäßige lokale Administratorkonto ist ein Benutzerkonto für den Systemadministrator. Das Administratorkonto hat die vollständige Kontrolle über die Dateien, Verzeichnisse, Dienste und andere Ressourcen auf dem lokalen Computer. Das Administratorkonto kann andere lokale Benutzer erstellen, Benutzerrechte zuweisen und Berechtigungen zuweisen. Das Administratorkonto kann jederzeit die Kontrolle über lokale Ressourcen übernehmen, indem einfach die Benutzerrechte und -berechtigungen geändert werden.

Das Standardadministratorkonto kann nicht gelöscht oder gesperrt werden, aber es kann umbenannt oder deaktiviert werden. Da das Administratorkonto bekanntermaßen in vielen Versionen des Windows-Betriebssystems vorhanden ist, empfiehlt es sich, das Administratorkonto nach Möglichkeit zu deaktivieren, um böswilligen Benutzern den Zugriff auf den Server oder Clientcomputer zu erschweren.

In einer typischen Installation deaktiviert Windows das integrierte Administratorkonto und erstellt ein weiteres lokales Konto, das Mitglied der Gruppe Administratoren ist. Mitglieder der Administratorgruppen können Apps mit erhöhten Berechtigungen ausführen, ohne die Option Als Administrator ausführen zu verwenden. Als bewährte Sicherheitsmethode sollten Sie sich mit einem Nichtadministratorkonto anmelden und dann Als Administrator ausführen , um Aufgaben auszuführen, die eine höhere Berechtigungsstufe erfordern als ein Standardbenutzerkonto. Verwenden Sie das Administratorkonto nicht, um sich bei Ihrem Computer anzumelden, es sei denn, dies ist vollständig erforderlich.

Standardkonto

DefaultAccount ist ein integriertes Konto. Es handelt sich um ein benutzerneutrales Konto, das zum Ausführen von Prozessen verwendet werden kann, die entweder mehrbenutzerfähig oder benutzerunabhängig sind, z. B. Apps, die gestartet werden, aber die Möglichkeit haben, sich anzumelden. Für dieses Konto sollte der Standardmäßige deaktivierte Status beibehalten werden (was nicht verhindert, dass das Konto seinen Zweck erfüllt).

Lokale Standardsystemkonten

Es gibt viele Dienste und Prozesse im Windows-Betriebssystem, die die Möglichkeit benötigen, sich intern anzumelden, z. B. während einer Windows-Installation. Das SYSTEM-Konto ist so konzipiert, dass es vom Betriebssystem und von Diensten verwendet wird, die unter Windows ausgeführt werden. Es handelt sich um ein internes Konto, das nicht im Benutzer-Manager angezeigt wird und keinem Gruppen hinzugefügt werden kann.

Die Konten NETZWERKDIENST und LOKALER DIENST sind ebenfalls vordefinierte lokale Konten. Im Gegensatz zum SYSTEM-Konto verfügen diese Konten über Mindestberechtigungen und werden von Windows verwendet, um Dienste auszuführen, die keine vollständigen Berechtigungen benötigen. Die Verwendung von Konten mit den geringsten Rechten ist Teil einer Umfassenden Sicherheitsstrategie, die dazu beiträgt, böswilligen Schaden zu begrenzen, falls ein bestimmter Dienst kompromittiert wird.

Verwalten von Benutzern und Verwenden von Kontogruppen

Lokale Konten können in der Einstellungs-App über die Option Konten verwaltet werden. Hier können Benutzer erstellt oder entfernt sowie zwischen einem Standard Benutzer mit eingeschränkten Berechtigungen und einem Administrator mit vollständigen Berechtigungen geändert werden.

So erstellen Sie ein lokales Konto in den Editionen Windows Home und Windows Professional:

  1. Wählen Sie die Schaltfläche Start und dann Einstellungen>Konten>Familie & andere Personen>Diesem PC hinzufügen aus.
  2. Geben Sie einen Benutzernamen, ein Kennwort und einen Kennworthinweis ein, und wählen Sie dann Weiter aus.

Unter Windows Enterprise Edition:

  1. Wählen Sie die Schaltfläche Start und dann Einstellungen>Konten>Andere Personen>Diesem PC eine andere Person hinzufügen aus.
  2. Wählen Sie unten auf der Seite Ich habe keine Anmeldeinformationen für diese Person aus, und wählen Sie unten auf der nächsten Seite Die Option Benutzer ohne Microsoft-Konto hinzufügen aus.
  3. Geben Sie einen Benutzernamen, ein Kennwort und einen Kennworthinweis ein, und wählen Sie dann Weiter aus.

Die Einstellungs-App zeigt keine Standardkonten oder Kontogruppen an. Um diese zu verwalten, verwenden Sie die lokale Microsoft Management Console (MMC) für die Computerverwaltung.

  1. Klicken Sie mit der rechten Maustaste auf Start , und wählen Sie Computerverwaltung aus.
  2. Erweitern Sie unter Systemtools die Option Lokale Benutzer und Gruppen , und wählen Sie entweder Benutzer oder Gruppen aus, um die entsprechenden Kontenobjekte anzuzeigen.

Sie können lokale Benutzer auch über eine Eingabeaufforderung mithilfe von NET.EXE oder mithilfe verschiedener PowerShell-Cmdlets verwalten.

Verwenden von Gruppen

In der Einstellungs-App können Sie einen Kontotyp zwischen Standard Benutzer und Administrator wechseln, wodurch der Benutzer der Gruppe Administratoren hinzugefügt oder daraus entfernt wird.

Alternativ können Sie lokale Benutzer und Gruppen verwenden, um Rechte und Berechtigungen auf einer präziseren Ebene zuzuweisen. Windows verfügt über mehrere integrierte Gruppen, die verschiedene Berechtigungen für Ressourcen und Dienste gewähren. Einige Beispiele für diese integrierten Gruppen sind:

  • Administratoren
  • Benutzer
  • Gäste
  • Gerätebesitzer
  • Ereignisprotokollleser
  • Hyper-V-Administratoren
  • Netzwerkkonfigurationsoperatoren
  • Remotedesktopbenutzer

Mithilfe dieser Gruppen können Administratoren Berechtigungen für das gewähren, was der Benutzer benötigt, ohne den Diensten, die er nicht benötigt, Berechtigungen zu gewähren. Einer der Standard Gründe dafür ist, den Schaden zu begrenzen, wenn ein Gerät durch eine Bedrohung wie Schadsoftware kompromittiert wird. Die Schadsoftware, die in der Regel auf Benutzerebene ausgeführt wird, kann keine Dienste verwenden, für die der Benutzer nicht berechtigt ist.

Elyssa arbeitet beispielsweise für ein Unternehmen, das über eine Richtlinie verfügt, bei der Benutzer keine Administratorrechte für ihren Computer haben. In ihrer Position müssen sie jedoch häufig die Netzwerkeinstellungen auf ihren Geräten ändern. Als Standardbenutzer wäre er dazu nicht in der Lage. Indem sie sie als Mitglied der Gruppe Netzwerkkonfigurationsoperatoren festlegen, können sie nun ihre Netzwerkeinstellungen ändern, ohne dass die IT ihnen vollständige Administratorrechte für das Gerät gewähren muss. Wenn ihr Konto oder Gerät kompromittiert ist, können ihre Anmeldeinformationen nicht für böswillige Angriffe wie die Remoteanmeldung am Gerät verwendet werden.