Lesezeit ca. 10 Min.
arrow_back

Ein PC, viele Nutzer: Schutz für alle Konten


Logo von PC Welt
PC Welt - epaper ⋅ Ausgabe 12/2022 vom 04.11.2022
Artikelbild für den Artikel "Ein PC, viele Nutzer: Schutz für alle Konten" aus der Ausgabe 12/2022 von PC Welt. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Welt, Ausgabe 12/2022

Windows ist ein Mehrbenutzersystem. Ein Windows-Rechner lässt sich so einrichten, dass mehrere Personen, etwa in einer Familie, einer Schule oder einem Verein, ihre eigenen Accounts bekommen. So kann eine Anwendung gemeinsam genutzt werden, in einer Firma etwa eine Teile-Datenbank, oder sie wird nur für ein Konto installiert, etwa ein Spiel. Je nachdem, ob der PC von wechselnden oder immer von den gleichen Personen genutzt wird, lässt sich einstellen, ob die gespeicherten Daten vor dem Zugriff anderer Nutzer geschützt oder für alle frei verfügbar sind. Darüber hinaus bietet Windows zahlreiche Sicherheitsmechanismen, die vor allem für die Nutzung des Computers durch unbeaufsichtigte Kinder oder in Schulen hilfreich sind. Beispielsweise lässt sich so verhindern, dass unbefugte Personen die Systemeinstellungen umstellen, Änderungen an der Registry vornehmen, Programme installieren oder deinstallieren ...

Weiterlesen
epaper-Einzelheft 3,49€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Welt. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 12/2022 von Bitcoin verbieten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bitcoin verbieten
Titelbild der Ausgabe 12/2022 von E-Book-Reader von Amazon und Tolino. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
E-Book-Reader von Amazon und Tolino
Titelbild der Ausgabe 12/2022 von Audials One 2023: Audio und Video abspielen, speichern & konvertieren. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Audials One 2023: Audio und Video abspielen, speichern & konvertieren
Titelbild der Ausgabe 12/2022 von Jedes vierte Online -Paket geht zurück. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Jedes vierte Online -Paket geht zurück
Mehr Lesetipps
Blättern im Magazin
Werkzeugkiste: Die Microsoft Powertoys
Vorheriger Artikel
Werkzeugkiste: Die Microsoft Powertoys
Fußball, wann Sie wollen
Nächster Artikel
Fußball, wann Sie wollen
Mehr Lesetipps

... und vieles mehr. So kann der Administrator verhindern, dass der Rechner durch die Benutzer unbrauchbar gemacht wird und immer wieder neu aufgesetzt werden muss. In diesem Artikel zeigen wir Ihnen, wie Sie mehrere Nutzer einrichten, deren Daten und Anwendungen schützen und Manipulationen an Windows vorbeugen.

„Mit unterschiedlich konfigurierten Benutzerkonten steuern Sie gezielt, wer welche Rechte und Möglichkeiten unter Windows hat.“

Administratorrecht ist Voraussetzung für die Konfiguration

Voraussetzung für die Konfiguration der Schutzfunktionen sind Administratorberechtigungen. Windows vergibt die Administratorrolle automatisch an den Benutzer, der das Betriebssystem installiert. Der Administrator kann weitere Benutzer auf dem System einrichten, Windows macht sie in der Voreinstellung jedoch zunächst zu Standardbenutzern. Diese Benutzer haben eingeschränkte Rechte und dürfen auf viele Systemtools nicht zugreifen. Das Hinzufügen von Benutzern beziehungsweise Benutzerkonten erledigen Sie in den „Einstellungen“ von Windows, die Sie im Startmenü finden. Klicken Sie dort auf „Konten –› Weitere Benutzer –› Konto hinzufügen“. Windows bietet Ihnen nun an, ein neues Microsoft-Konto zu definieren. Das können, müssen Sie aber nicht. Es ist genauso möglich, ein lokales Konto einzurichten. Klicken Sie dazu im Fenster „Wie meldet sich diese Person an?“ auf den Link „Ich kenne die Anmeldeinformationen für diese Person nicht“. Im folgenden Fenster finden Sie dann den Link „Benutzer ohne Microsoft-Konto hinzufügen“. Geben Sie nun den Benutzernamen und zwei Mal das Passwort ein, wählen Sie drei Sicherheitsfragen aus, und tragen Sie die zugehörigen Antworten ein. Nach einem Klick auf „Weiter“ und eventuell der Bestätigung einer Sicherheitsabfrage generiert Windows ein Konto für einen Standardbenutzer. Zusätzliche Benutzer anzulegen ist dann sinnvoll, wenn immer die gleichen Personen an dem Computer arbeiten. Wenn die Benutzer häufig wechseln, ist es besser, ein Gastkonto einzurichten, das für alle zur Verfügung steht. Dessen Nutzer dürfen unter anderem keine Programme installieren, keine Systemeinstellungen ändern und natürlich auch keine anderen Konten hinzufügen, verändern oder löschen. Es gibt eine Hürde dabei: Seit Windows 10 unterstützt das Betriebssystem keine Gastkonten mehr. Trotzdem ist in Windows 10 und 11 ein Gastkonto enthalten – allerdings müssen Sie es erst aktivieren (siehe die folgenden beiden Abschnitte).

Ein Gastkonto für wechselnde Nutzer mit denselben Rechten

In Windows 11 Pro legen Sie für ein Gastkonto wie beschrieben ein neues, lokales Konto an. Den Benutzernamen dürfen Sie frei wählen, lediglich „Gast“ und „guest“ sind ausgeschlossen – diese Namen sind von Windows reserviert. Die beiden Felder für die Konfiguration eines Passworts lassen Sie am besten frei, so dass sich die Gastbenutzer ohne Kennwort anmelden können. Nach einem Klick auf „Weiter“ und eventuell der Bestätigung einer Sicherheitsabfrage legt Windows das Konto an. Nun gilt es noch, dem neuen Konto die eingeschränkten Rechte eines Gastkontos zuzuweisen. Dazu klicken Sie den Start-Button mit der rechten Maustaste an und im folgenden Menü auf „Computerverwaltung“. Öffnen Sie unter „System“ den Ordner „Lokale Benutzer und Gruppen –› Benutzer“. Jetzt sehen Sie im Hauptfenster die einzelnen Benutzerkonten. Klicken Sie Ihr Gastkonto mit der rechten Maustaste an und wählen Sie „Eigenschaften“.

Wechseln Sie im folgenden Fenster zum Register „Mitglied von“ und klicken Sie auf den Button „Hinzufügen“. Im nächsten Fenster klicken Sie auf „Erweitert“ und im daraufhin geöffneten Fenster auf „Jetzt suchen“. Unten erscheint nun eine Liste mit Benutzergruppen. Markieren Sie dort „Gäste“ und bestätigen Sie zwei Mal mit „OK“. Sie sollten sich jetzt wieder im Fenster „Eigenschaften von Gastkonto“ im Register

IM ÜBERBLICK: TOOLS ZUR WINDOWS-VERWALTUNG

„Mitglied von“ befinden. Dort sind zwei Gruppen aufgeführt, „Benutzer“ und „Gäste“. Markieren Sie „Benutzer“ und klicken Sie auf „Entfernen“, so dass das Gastkonto nur noch Mitglied der Gästegruppe mit ihren stark eingeschränkten Rechten ist. Bestätigen Sie das mit „OK“. Ganz ähnlich funktioniert das Aktivieren des Gastkontos in Windows 10 Pro: Dort klicken Sie in den „Einstellungen“ auf „Konten –› Familie und andere Benutzer –› Diesem PC eine andere Person hinzufügen“. Die weiteren Schritte sind identisch zu denen unter Windows 11.

Gastkonto unter den Windows-Home-Versionen einrichten

In den Home-Versionen von Windows 10 und 11 gibt es in der Standardkonfiguration keine Computerverwaltung. Sie können das

Tool jedoch nachinstallieren, und zwar mit dem kostenlosen GP Edit Enabler for Windows Home Edition (auf Heft-DVD, siehe Übersicht auf Seite 35). Es handelt sich dabei um eine kleine Batchdatei, die das Programm mithilfe des Windows-Befehlsdismnachlädt. Alternativ dazu können Sie das Gastkonto in der Eingabeaufforderung oder der Powershell freischalten. Wichtig ist, dass Sie die beiden Programme mit Administratorrechten starten: Tippen Sie cmdins Suchfeld des Startmenüs, achten Sie darauf, dass links „Eingabeaufforderung“ markiert ist, und klicken Sie auf der rechten Seite auf „Als Administrator ausführen“. Bestätigen Sie eventuell die Sicherheitsabfrage und tippen Sie zunächst den Befehl netuserGastkonto/add/active:yesein und drücken Sie die Enter-Taste. Damit legen Sie im ersten Schritt einen neuen Standardbenutzer an und aktivieren ihn. Anschließend entfernen Sie ihn gleich wieder aus der Gruppe der Standardbenutzer, und zwar mit dem Befehl netlocalgroupBenutzerGastkonto/deleteund einem Druck auf Enter. Danach geben Sie zur Sicherheit noch den Befehl netlocalgroupHomeUsersGastkonto/deleteein und bestätigen mit Enter. Damit löschen Sie ihn, falls vorhanden, aus der Gruppe der HomeUsers. Falls diese Gruppe nicht existiert, erscheint eine Fehlermeldung, die Sie jedoch ignorieren können. Zum Schluss fügen Sie das Gastkonto noch der Gäste-Gruppe hinzu, und zwar mit netlocalgroupGästeGastkonto/addund einem Druck auf Enter. Starten Sie Windows dann neu. Anschließend finden Sie auf dem Anmeldebildschirm das neue „Gastkonto“, das Sie nun ohne Kennwort öffnen können.

Scharfe Trennung zwischen den einzelnen Benutzerkonten

Windows legt für jedes neue Konto unter C:\Benutzer einen neuen Verzeichnisbaum mit Standardordnern wie „Bilder“, „Dokumente“, „Desktop“, „Downloads“ etc. an. Außerdem finden Sie dort den Ordner „Öffentlich“, welcher der Installation gemeinsam genutzter Programme und dem Datenaustausch dient. Jeder Besitzer eines eigenen Benutzerkontos kann seinem Ordner weitere Unterordner hinzufügen. Bei Rechnern, die von mehreren Personen genutzt werden, ist vor allem interessant, dass diese Personen auf die Ordner eines anderen Benutzers keinen Zu-griff haben. Der Versuch endet mit einer Fehlermeldung. Wenn Sie also Ihre persönlichen Dokumente und Unterlagen in Ihrem Benutzerordner speichern, können Sie sicher sein, dass andere sie nicht einsehen können. Einzige Ausnahme ist der Administrator: Er darf in die Ordner aller Benutzer schauen und die enthaltenen Dateien öffnen, bearbeiten und kopieren. Die Standardbenutzer behalten auf diese Weise jedoch nicht nur die Kontrolle über die eigenen Dateien. Sie können auch ihren Desktop selbst gestalten, Hintergrundbild und Auflösung wählen und nicht zuletzt auch Programme installieren, die anschließend nur ihnen zur Verfügung stehen. Wundern Sie sich jedoch nicht, wenn nach der Einrichtung eines Standardbenutzers auf dessen Desktop die gleichen Anwendungssymbole erscheinen wie auf dem des Administrators. Grund ist, dass nicht alle Programme eine Unterscheidung machen zwischen einer Installation für den aktuellen und einer Installation für alle Benutzer. Und selbst wenn, klicken viele Anwender auf dem Auswahlbildschirm „Für alle“ an. Daher erscheinen die Icons automatisch auch in der Windows-Umgebung aller anderen Benutzer. Das Gleiche gilt, wenn ein Standardbenutzer eine Software nicht nur für sich, sondern für alle installiert.

Benutzerrechte einschränken mit dem Gruppenrichtlinien-Editor

Obwohl sie auf viele Systemtools keinen Zugriff haben, genießen Standardbenutzer weitgehende Freiheiten bei der Gestaltung ihrer Arbeitsumgebung. Das ist nicht immer erwünscht. An manchen Standorten wäre es dem Administrator beispielsweise lieber, wenn die Benutzer keine eigenen Programme auf dem Rechner einrichten würden. Oder dass sie keinen Zugriff auf die Registry oder das Windows-Update haben. All das lässt sich über Gruppenrichtlinien einfach umsetzen. Das passende Werkzeug dafür ist der Gruppenrichtlinien-Editor, der allerdings nur in den Windows-Pro-Versionen aufrufbar ist. In den Home-Versionen können Sie ihn, wie zuvor im Abschnitt „Gastkonto unter Windows-Home“ (Seite 36) gezeigt, nachträglich aktivieren. Der Editor ist nur für Benutzer mit Administratorrechten zugänglich. Um das Tool aufzurufen, tippen Siegpeditin das Suchfeld des Startmenüs. Im linken Fenster des Programms erkennen Sie zwei

große Bereiche: die „Computerkonfiguration“ und die „Benutzerkonfiguration“. Die Einstellungen unter „Computerkonfiguration“ gelten für alle Benutzer, also auch den Administrator, die Optionen unter „Benutzerkonfiguration“ lediglich für den angemeldeten Benutzer. Die einzelnen Einstellungen finden Sie jeweils unter „Administrative Vorlagen“. Allerdings wollen Sie vermutlich die Benutzerrechte nicht für sich oder für alle Personen einschränken, sondern gezielt für ei-nen oder mehrere Benutzer. Der Weg dazu führt über die Microsoft Management Konsole, kurz MMC. Tippen Siemmcins Suchfeld des Startmenüs und klicken Sie auf den gleichnamigen Treffer. Es öffnet sich ein leeres Konsolenfenster. Klicken Sie auf „Datei –› Snap-In hinzufügen/entfernen“. Markieren Sie im folgenden Fenster den „Gruppenrichtlinienobjekt-Editor“ und klicken Sie auf „Hinzufügen“. Es erscheint ein Willkommensfenster, in dem Sie auf den Button „Durchsuchen“ klicken. Wechseln Sie im nächsten Fenster zum Register „Benutzer“, markieren Sie das Konto, dessen Rechte Sie einschränken möchten, und schließen Sie die Fenster mit „OK“, „Fertig stellen“ und „OK“. Klicken Sie auf „Datei –› Speichern“, um die Richtlinie festzuhalten. Zurück in der Konsole markieren Sie „Richtlinien für Lokaler Computer/ [Kontoname]“. Nun können Sie unter „Administrative Vorlagen“ die gewünschten Einstellungen treffen. Wiederholen Sie den Vorgang anschließend für alle anderen Benutzer, deren Rechte Sie beschränken möchten.

ZUGRIFFSRECHTE AUF FREIGABEN

Windows verfügt über ein ausgeklügeltes Rechtesystem für den Zugriff auf Freigaben im Netzwerk.Klicken Sie dazu den Ordner, den Sie freigeben möchten, mit der rechten Maustaste an und gehen Sie auf „Eigenschaften“. Wechseln Sie zum Register „Freigabe“, klicken Sie auf „Erweiterte Freigabe“ und setzen Sie ein Häkchen vor „Diesen Ordner freigeben“. Nach einem Klick auf „Berechtigungen“ definieren Sie, wer Zugriff auf den Ordner haben soll. Dabei steht der Eintrag „Jeder“ nicht für jede beliebige Person, sondern lediglich für die Benutzer, die auf dem Computer mit der Freigabe eingerichtet sind. Sie können „Jeder“ löschen und anschließend über „Hinzufügen –› Erweitert –› Jetzt suchen“ gezielt andere Benutzer auswählen. Im Fenster „Freigabeberechtigungen“ legen Sie die Rechte fest. Administratoren sollten Vollzugriff besitzen, bei Standardbenutzern können Sie die Berechtigungen individuell setzen.

Die wichtigsten Gruppenrichtlinien für Standardbenutzer

Unter den administrativen Vorlagen stehen Dutzende von Richtlinien. Bei vielen davon ist die Einstellung in den meisten Fällen irrelevant – belassen Sie es einfach bei „Nicht konfiguriert“. Bei einigen sollten Sie jedoch auf jeden Fall eingreifen:

·Im Unterordner „System“ finden Sie die Richtlinie „Zugriff auf Programme zum Bearbeiten der Registrierung verhindern“. Da sich über die Registrierdatenbank ein Großteil der Windows-Einstellungen ändern lässt, sollten Sie diese Option einschalten. Klicken Sie die Richtlinie daher doppelt an, markieren Sie „Aktiviert“ und bestätigen Sie mit „OK“.

·Im gleichen Ordner steht die Richtlinie „Zugriff auf Eingabeaufforderung verhindern“. Auch dieses Recht sollten Sie den Benutzern entziehen, um die missbräuchliche Nutzung der mächtigen Kommandozeilenbefehle zu untersagen.

·Zum dritten enthält der Ordner „System“ die beiden Optionen „Angegebene Windows-Anwendungen nicht ausführen“ und „Nur zugelassene Windows-Anwendungen ausführen“. Die erste Option ist eine Negativ-, die zweite Option eine Positiv-Liste. Einfacher zu konfigurieren ist die Positiv-Version. Öffnen Sie die Richtlinie mit einem Doppelklick, stellen Sie um auf „Aktiviert“, und klicken Sie auf „Anzeigen“. Klicken Sie im folgenden Fenster doppelt auf das Feld unter „Wert“ und geben Sie die Bezeichnung der EXE-Datei des Programms ein, dessen Benutzung Sie erlauben wollen, also etwa Winword. EXE. Wiederholen Sie das mit allen weiteren Anwendungen.

·Wechseln Sie nun zum Ordner „Systemsteuerung“. Mit der Richtlinie „Zugriff auf Systemsteuerung und PC-Einstellungen nicht zulassen“ sperren Sie den Zugriff auf die Einstellungen etwa zur Bildschirmauflösung, zu Soundeffekten oder zur Maus. Auch Abkürzungen wie der Rechtsklick auf den Desktop und die Auswahl von „Anzeigeeinstellungen“ funktionieren dann nicht mehr. Für eine differenziertere Konfiguration wählen Sie entweder die Richtlinie „Angegebene Systemsteuerungssymbole ausblenden“ oder „Nur angegebene Systemsteuerungssymbole anzeigen“. Oder Sie gehen in die Unterordner wie „Anpassung“, „Anzeige“ etc. und nehmen die gewünschten Einstellungen dort vor.

· Auch das Einspielen von Updates sollte dem Administrator vorbehalten sein. Öffnen Sie dazu „Sichtbarkeit von Einstellungsseiten“, aktivieren Sie die Richtlinie, tippen Sie unter „Optionen“ die Zeile hide:windowsupdateein, und bestätigen Sie mit „OK“. Die Updatefunktion ist nun aus den Windows-Einstellungen verschwunden.

Zum Schluss: Achten Sie beim Ausprobieren darauf, dass Sie nicht die Einstellungen für den Administrator oder den gesamten PC verändern und sich so selbst von Tools wie dem Richtlinien-Editor aussperren.

FÜR WEN EIGNEN SICH FAMILY-KONTEN?

In den Konteneinstellungen von Windows finden Sie den Abschnitt „Ihre Familie“, wo Sie ein Konto für ein neues Familienmitglied anlegen können.Ein solches Konto unterscheidet sich grundlegend von einem normalen Benutzerkonto. Zielgruppe sind in erster Linie Eltern, die die Internetnutzung ihrer Kinder überwachen und einschränken wollen. Sie müssen für jedes ihrer Kids ein eigenes Konto anlegen. Dazu müssen sie selbst über ein Microsoft-Konto verfügen, ein lokales Windows-Konto genügt nicht. Auch bei den Konten für ihre Kinder handelt es sich um Microsoft-Konten. Die Kinder benötigen dafür eine E-Mail-Adresse. Falls sie noch keine besitzen, wird im Verlauf des Anmeldevorgangs eine Outlook- oder Hotmail-Adresse generiert. Anschließend können die Eltern ihre Familiengruppe online verwalten. Sie können die Aktivitäten der Kinder auf dem Windows-Computer nachverfolgen und sich einmal pro Woche eine Zusammenfassung per E-Mail schicken lassen. Um die Computerzeit zu begrenzen, können sie Zeitfreigaben definieren. Weitere Beschränkungen lassen sich für die Programme, Spiele und Medien einrichten, die dem Kind erlaubt sind. Aber auch die Websites, die der Nachwuchs besuchen darf, lassen sich einschränken. Falls das Kind eine bestimmte Site dennoch benötigt, etwa für eine Schulaufgabe, kann es bei seinen Eltern per Mail eine vorübergehende Freigabe anfordern.