Windows 7 und 8: Eingebautes Administratorkonto aktivieren

    , 04.03.2011, zuletzt aktualisiert am 09.01.2014
    Tags: ,

    aktiviertes eingebautes Administratorkonto unter Windows 7Installiert man Windows 7/8, werden dabei 2 Ad­minis­tra­tor­kon­ten eingerichtet. Das eine, sichtbare, erhält den Namen eines Benutzers; bei der interaktiven Installation etwa wird er samt Passwort vom Benutzer angefordert. Ein weiteres Konto mit den Namen Administrator wird zwar ebenfalls angelegt, aber deaktiviert und ist somit nicht benutzbar. Es bietet Zugriff auf das System auf der gleichen Ebene wie das aktivierte Ad­minis­tra­tor­kon­to, aber mit dem Unterschied, dass die Benutzerkontensteuerung (UAC) hier nicht in Betrieb ist.

    Es handelt sich also um das "klassische", von Windows XP her bekannte Ad­minis­tra­tor­kon­to mit all seinen Vor- und Nachteilen: Es musste zugunsten eines UAC-bewehrten und mit dem Namen des Benutzers versehenen Kontos weichen. Microsoft wollte damit den massiven Sicherheitsproblemen begegnen, mit denen Windows XP im Laufe seines Lebenszyklus immer wieder zu kämpfen hatte.

    Gründe für die Aktivierung des Administrator-Kontos

    Eigentlich benötigt man das Administrator-Konto nicht und kann es als Altlast ansehen. Systemverwalter, die viele administrative Aufgaben erledigen und sich von dauernden UAC-Prompts entsprechend genervt fühlen, können auch in dem normalerweise verwendeten Benutzerkonto die UAC-Einstellungen an sich verändern.

    Ein Grund für die Aktivierung des eingebauten Ad­minis­tra­tor­kon­tos kann etwa sein, dass man das andere zu einem normalen Benutzerkonto herabstufen möchte – nicht unvernünftig, nachdem ein System samt seiner Anwendungen erst einmal eingerichtet ist. Statt ein weiteres Ad­minis­tra­tor­kon­to neu anzulegen, verwendet man einfach das vorhandene.

    Ein zweiter denkbarer Grund ist ein zweites Ad­minis­tra­tor­kon­to aus Vorsicht – etwa um vorzusorgen, wenn sich aus dem ersten ausgesperrt hat. Schließlich kann gelegentlich das Setup einer veralteten Software darauf bestehen, dass es nur im Kontext des klassischen Administrator-Kontos ausgeführt werden darf.

    Was immer man für Gründe haben mag – es handelt sich um keine Entscheidung fürs Leben: Mittels der nachfolgend beschriebenen Standardverfahren kann man das eingebaute Ad­minis­tra­tor­kon­to ebenso schnell aktivieren wie wieder deaktivieren. Sie funktionieren gleichermaßen für Windows 7 und 8.x.

    Aktivierung und Deaktivierung per Lokale Benutzer und Gruppen

    Aktivierung des Administratorkontos in Lokale Benutzer und GruppenDiese Möglichkeit steht unter Windows 7 Professional, Enterprise und Ultimate zur Verfügung. In einer Eingabeaufforderung mit Administrator­rechten ruft man lusrmgr.msc auf und erhält dadurch Zugriff auf die Management-Konsole mit der erweiterten Verwaltung der lokalen Benutzer und Gruppen. Das Ad­minis­tra­tor­kon­to ist schnell gefunden, und nach einem Doppelklick darauf entfernt man auf der Registerkarte Allgemein die Option Konto ist deaktiviert.

    Im Lokalen Benutzer- und Gruppenmanager kann man gleich das obligatorische Passwort für den eingebauten Administrator setzenVerwenden kann man es danach noch nicht, da eine Richtlinie das leere Passwort für das eingebaute Ad­minis­tra­tor­kon­to verbietet und somit die Anmeldung verhindert. Im Kontextmenü des Ad­minis­tra­tor­kon­tos kann man per Menüpunkt Kennwort festlegen ein Passwort anlegen. Die daraufhin erscheinende Warnung über potentiell möglichen Datenverlust bezieht sich auf EFS-Dateien des Benutzers, wenn er unter diesem Konto bereits welche verschlüsselt hätte, und kann in diesem Falle ignoriert werden. Nach dem Festlegen des Passwortes kann das eingebaute Ad­minis­tra­tor­kon­to nun verwendet werden.

    Wieder deaktivieren kann man es ebenfalls per Lokale Benutzer und Gruppen, indem man die Option Konto ist deaktiviert wieder aktiviert. Wichtig dabei ist, dass unbedingt ein Administrator-Konto bestehen bleiben muss.

    Aktivierung und Deaktivierung per Eingabeaufforderung

    Aktivierung per net.exe in einer Eingabeaufforderung – Vorsicht, hier wird nicht viel nachgefragt oder gewarntDiese Möglichkeit steht in allen Windows-Editionen zur Verfügung, also etwa auch unter Home. In einer Eingabeaufforderung mit Administrator­rechten gibt man dazu den Befehl ein

    net user Administrator /active:yes

    Das Passwort kann man nach der Aktivierung auch im gewohnten Benutzerkontenmanager setzenNach der Aktivierung taucht das Ad­minis­tra­tor­kon­to aber in der Systemsteuerung unter Systemsteuerung → Benutzerkonten und Jugendschutz → Benutzerkonten → Anderes Konto verwalten auf. Hier kann man ein Passwort erstellen. Kürzer geht es mit

    net user Administrator ‹Passwort›

    Vorsicht: Bei dieser Methode gibt es keine Warnungen vor einem eventuellen Datenverlust, auch wird das Passwort ohne weitere Nachfrage sofort geändert.

    Wieder deaktivieren kann man das Ad­minis­tra­tor­kon­to mit

    net user Administrator /active:no

    Aktivierung und Deaktivierung per lokaler Sicherheitsrichtlinie

    Eine weitere Möglichkeit ist die Aktivierung per lokaler SicherheitsrichtlinieMit Hilfe des lokalen Sicherheits­richt­linien­editors secpol.msc kann man das eingebaute Ad­minis­tra­tor­kon­to ebenfalls aktivieren und deaktivieren. Diese Möglichkeit steht nur unter Windows 7 Professional, Enterprise und Ultimate zur Verfügung. Die entsprechende Einstellung findet man unter Lokale Richtlinien → Sicherheitsoptionen → Konten: Ad­minis­tra­tor­kon­tostatus. An der gleichen Stelle kann man es auch wieder deaktivieren. Es gilt bezüglich eines zu vergebenden Passwortes das gleiche wie bei den beiden anderen Methoden.

    Wichtig ist, dass diese Methode gleichwertig zu Lokale Benutzer und Gruppen oder zum Befehl net.exe innerhalb einer Eingabeaufforderung ist. Sie überschreibt also nicht richtlinienartig die dort getroffenen Einstellungen, sondern stellt nur eine andere GUI für die gleiche Konfiguration dar.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Andreas Kroschel

    Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows und Linux sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.

    Verwandte Beiträge

    Weitere Links

    7 Kommentare

    Gast (Besucher) sagt:
    8. März 2011 - 12:12

    "Administratoren, die viele administrative Aufgaben erledigen und sich von dauernden UAC-Prompts entsprechend genervt fühlen, können auch in dem normalerweise verwendeten Benutzerkonto die UAC-Einstellungen an sich verändern."

    Es wäre interessant zu erfahren wie es gehen soll die konfiguration von UAC pro Benutzeraccount abzuändern wie im Artikel beschrieben wird.

    Bild von Andreas Kroschel
    Andreas Kroschel sagt:
    8. März 2011 - 13:30

    Die Einstellung ist global, nicht pro Account. Das war vermutlich mißverständlich formuliert: Gemeint war, man könne es unter Beibehaltung seines normalerweise verwendeten Kontos konfigurieren und muss dafür kein neues anlegen oder aktivieren. Zu finden ist die Einstellung am schnellsten, indem man in der Startmenü-Suche „uac“ eingibt.

    Nils Kaczenski (Besucher) sagt:
    24. März 2011 - 12:50

    Moin,

    zwei Unschärfen:

    "Statt ein weiteres Ad­minis­tra­tor­kon­to neu anzulegen, verwendet man einfach das vorhandene."

    Das vordefinierte Administrator-Konto hat einen SID, der stets bekannt bzw. leicht zu erraten ist. Daher wird es gern angegriffen. Genau das ist der Grund, warum Microsoft es deaktiviert hat und zum Einsatz eines eigenen Kontos drängt.

    "ein zweites Ad­minis­tra­tor­kon­to aus Vorsicht – etwa um vorzusorgen, wenn sich aus dem ersten ausgesperrt hat."

    In diesem Fall kann man den Rechner in den abgesicherten Modus starten und sich dort mit dem vordefinierten Administrator-Konto anmelden, das dann nämlich nicht gesperrt ist.

    Gruß, Nils

    Bild von Andreas Kroschel
    Andreas Kroschel sagt:
    25. März 2011 - 8:53

    Vielen Dank. D.h., unterm Strich gibt es eigentlich gar keinen vernünftigen Grund, es zu aktivieren, oder?

    viele Grüße,
    Andreas

    Dietmar (Besucher) sagt:
    25. März 2011 - 13:56

    Es gibt so manche Softwareprodukte, die beim Installieren nicht nur Administratorenrechte haben möchten, sondern so "richtig" auf das Administratorenkonto bestehen. Warum auch immer?! In dem Fall muss man es kurz aktivieren, Software installeren, wieder deaktivieren. Die UAC würde ich nie "entschärfen".

    Gruß, Dietmar

    Dugarry (Besucher) sagt:
    4. März 2012 - 21:25

    Danke für diesen ausführlichen Workflow mit den drei Varianten.
    Bei mir ergab es sich nämlich, dass nach Durchführen der ersten beiden Varianten nach anschließendem Neustart das Admin-Konto immer wieder automatisch deaktiviert wurde.
    Dieses Phänomen trat bei der dritten Variante nicht auf!

    Danke auch für die teils sehr hilfreichen Kommentare!

    Johann August Sutter (Besucher) sagt:
    19. Januar 2015 - 19:56

    Sehr geehrter Herr Kroschel
    Frage: Kann man bei aktiviertem Administratorkonto in Windows 8.1 auch ein Bild von demselben einfügen?
    Microsoft sieht das jedenfalls offensichtlich nicht vor!!!
    Kommt nur so eine stylisierte Geistermaske, grausig!!!!!
    MfG
    Johann August Sutter