Windows 7 und 8: Eingebautes Administratorkonto aktivieren

aktiviertes eingebautes Administratorkonto unter Windows 7Installiert man Windows 7/8, werden dabei 2 Ad­minis­tra­tor­kon­ten eingerichtet. Das eine, sichtbare, erhält den Namen eines Benutzers; bei der interaktiven Installation etwa wird er samt Passwort vom Benutzer angefordert. Ein weiteres Konto mit den Namen Administrator wird zwar ebenfalls angelegt, aber deaktiviert und ist somit nicht benutzbar. Es bietet Zugriff auf das System auf der gleichen Ebene wie das aktivierte Ad­minis­tra­tor­kon­to, aber mit dem Unterschied, dass die Benutzerkontensteuerung (UAC) hier nicht in Betrieb ist.

Es handelt sich also um das "klassische", von Windows XP her bekannte Ad­minis­tra­tor­kon­to mit all seinen Vor- und Nachteilen: Es musste zugunsten eines UAC-bewehrten und mit dem Namen des Benutzers versehenen Kontos weichen. Microsoft wollte damit den massiven Sicherheitsproblemen begegnen, mit denen Windows XP im Laufe seines Lebenszyklus immer wieder zu kämpfen hatte.

Gründe für die Aktivierung des Administrator-Kontos

Eigentlich benötigt man das Administrator-Konto nicht und kann es als Altlast ansehen. Systemverwalter, die viele administrative Aufgaben erledigen und sich von dauernden UAC-Prompts entsprechend genervt fühlen, können auch in dem normalerweise verwendeten Benutzerkonto die UAC-Einstellungen an sich verändern.

Ein Grund für die Aktivierung des eingebauten Ad­minis­tra­tor­kon­tos kann etwa sein, dass man das andere zu einem normalen Benutzerkonto herabstufen möchte – nicht unvernünftig, nachdem ein System samt seiner Anwendungen erst einmal eingerichtet ist. Statt ein weiteres Ad­minis­tra­tor­kon­to neu anzulegen, verwendet man einfach das vorhandene.

Ein zweiter denkbarer Grund ist ein zweites Ad­minis­tra­tor­kon­to aus Vorsicht – etwa um vorzusorgen, wenn sich aus dem ersten ausgesperrt hat. Schließlich kann gelegentlich das Setup einer veralteten Software darauf bestehen, dass es nur im Kontext des klassischen Administrator-Kontos ausgeführt werden darf.

Was immer man für Gründe haben mag – es handelt sich um keine Entscheidung fürs Leben: Mittels der nachfolgend beschriebenen Standardverfahren kann man das eingebaute Ad­minis­tra­tor­kon­to ebenso schnell aktivieren wie wieder deaktivieren. Sie funktionieren gleichermaßen für Windows 7 und 8.x.

Aktivierung und Deaktivierung per Lokale Benutzer und Gruppen

Aktivierung des Administratorkontos in Lokale Benutzer und GruppenDiese Möglichkeit steht unter Windows 7 Professional, Enterprise und Ultimate zur Verfügung. In einer Eingabeaufforderung mit Administrator­rechten ruft man lusrmgr.msc auf und erhält dadurch Zugriff auf die Management-Konsole mit der erweiterten Verwaltung der lokalen Benutzer und Gruppen. Das Ad­minis­tra­tor­kon­to ist schnell gefunden, und nach einem Doppelklick darauf entfernt man auf der Registerkarte Allgemein die Option Konto ist deaktiviert.

Im Lokalen Benutzer- und Gruppenmanager kann man gleich das obligatorische Passwort für den eingebauten Administrator setzenVerwenden kann man es danach noch nicht, da eine Richtlinie das leere Passwort für das eingebaute Ad­minis­tra­tor­kon­to verbietet und somit die Anmeldung verhindert. Im Kontextmenü des Ad­minis­tra­tor­kon­tos kann man per Menüpunkt Kennwort festlegen ein Passwort anlegen. Die daraufhin erscheinende Warnung über potentiell möglichen Datenverlust bezieht sich auf EFS-Dateien des Benutzers, wenn er unter diesem Konto bereits welche verschlüsselt hätte, und kann in diesem Falle ignoriert werden. Nach dem Festlegen des Passwortes kann das eingebaute Ad­minis­tra­tor­kon­to nun verwendet werden.

Wieder deaktivieren kann man es ebenfalls per Lokale Benutzer und Gruppen, indem man die Option Konto ist deaktiviert wieder aktiviert. Wichtig dabei ist, dass unbedingt ein Administrator-Konto bestehen bleiben muss.

Aktivierung und Deaktivierung per Eingabeaufforderung

Aktivierung per net.exe in einer Eingabeaufforderung – Vorsicht, hier wird nicht viel nachgefragt oder gewarntDiese Möglichkeit steht in allen Windows-Editionen zur Verfügung, also etwa auch unter Home. In einer Eingabeaufforderung mit Administrator­rechten gibt man dazu den Befehl ein

net user Administrator /active:yes

Das Passwort kann man nach der Aktivierung auch im gewohnten Benutzerkontenmanager setzenNach der Aktivierung taucht das Ad­minis­tra­tor­kon­to aber in der Systemsteuerung unter Systemsteuerung → Benutzerkonten und Jugendschutz → Benutzerkonten → Anderes Konto verwalten auf. Hier kann man ein Passwort erstellen. Kürzer geht es mit

net user Administrator ‹Passwort›

Vorsicht: Bei dieser Methode gibt es keine Warnungen vor einem eventuellen Datenverlust, auch wird das Passwort ohne weitere Nachfrage sofort geändert.

Wieder deaktivieren kann man das Ad­minis­tra­tor­kon­to mit

net user Administrator /active:no

Aktivierung und Deaktivierung per lokaler Sicherheitsrichtlinie

Eine weitere Möglichkeit ist die Aktivierung per lokaler SicherheitsrichtlinieMit Hilfe des lokalen Sicherheits­richt­linien­editors secpol.msc kann man das eingebaute Ad­minis­tra­tor­kon­to ebenfalls aktivieren und deaktivieren. Diese Möglichkeit steht nur unter Windows 7 Professional, Enterprise und Ultimate zur Verfügung. Die entsprechende Einstellung findet man unter Lokale Richtlinien → Sicherheitsoptionen → Konten: Ad­minis­tra­tor­kon­tostatus. An der gleichen Stelle kann man es auch wieder deaktivieren. Es gilt bezüglich eines zu vergebenden Passwortes das gleiche wie bei den beiden anderen Methoden.

Wichtig ist, dass diese Methode gleichwertig zu Lokale Benutzer und Gruppen oder zum Befehl net.exe innerhalb einer Eingabeaufforderung ist. Sie überschreibt also nicht richtlinienartig die dort getroffenen Einstellungen, sondern stellt nur eine andere GUI für die gleiche Konfiguration dar.

7 Kommentare

Bild von Gast
Gast (Besucher) sagt:

"Administratoren, die viele administrative Aufgaben erledigen und sich von dauernden UAC-Prompts entsprechend genervt fühlen, können auch in dem normalerweise verwendeten Benutzerkonto die UAC-Einstellungen an sich verändern."

Es wäre interessant zu erfahren wie es gehen soll die konfiguration von UAC pro Benutzeraccount abzuändern wie im Artikel beschrieben wird.

Bild von Andreas Kroschel

Die Einstellung ist global, nicht pro Account. Das war vermutlich mißverständlich formuliert: Gemeint war, man könne es unter Beibehaltung seines normalerweise verwendeten Kontos konfigurieren und muss dafür kein neues anlegen oder aktivieren. Zu finden ist die Einstellung am schnellsten, indem man in der Startmenü-Suche „uac“ eingibt.

Bild von Nils Kaczenski
Nils Kaczenski (Besucher) sagt:

Moin,

zwei Unschärfen:

"Statt ein weiteres Ad­minis­tra­tor­kon­to neu anzulegen, verwendet man einfach das vorhandene."

Das vordefinierte Administrator-Konto hat einen SID, der stets bekannt bzw. leicht zu erraten ist. Daher wird es gern angegriffen. Genau das ist der Grund, warum Microsoft es deaktiviert hat und zum Einsatz eines eigenen Kontos drängt.

"ein zweites Ad­minis­tra­tor­kon­to aus Vorsicht – etwa um vorzusorgen, wenn sich aus dem ersten ausgesperrt hat."

In diesem Fall kann man den Rechner in den abgesicherten Modus starten und sich dort mit dem vordefinierten Administrator-Konto anmelden, das dann nämlich nicht gesperrt ist.

Gruß, Nils

Bild von Andreas Kroschel

Vielen Dank. D.h., unterm Strich gibt es eigentlich gar keinen vernünftigen Grund, es zu aktivieren, oder?

viele Grüße,
Andreas

Bild von Dietmar
Dietmar (Besucher) sagt:

Es gibt so manche Softwareprodukte, die beim Installieren nicht nur Administratorenrechte haben möchten, sondern so "richtig" auf das Administratorenkonto bestehen. Warum auch immer?! In dem Fall muss man es kurz aktivieren, Software installeren, wieder deaktivieren. Die UAC würde ich nie "entschärfen".

Gruß, Dietmar

Bild von Dugarry
Dugarry (Besucher) sagt:

Danke für diesen ausführlichen Workflow mit den drei Varianten.
Bei mir ergab es sich nämlich, dass nach Durchführen der ersten beiden Varianten nach anschließendem Neustart das Admin-Konto immer wieder automatisch deaktiviert wurde.
Dieses Phänomen trat bei der dritten Variante nicht auf!

Danke auch für die teils sehr hilfreichen Kommentare!

Bild von Johann August Sutter
Johann August Sutter (Besucher) sagt:

Sehr geehrter Herr Kroschel
Frage: Kann man bei aktiviertem Administratorkonto in Windows 8.1 auch ein Bild von demselben einfügen?
Microsoft sieht das jedenfalls offensichtlich nicht vor!!!
Kommt nur so eine stylisierte Geistermaske, grausig!!!!!
MfG
Johann August Sutter

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen