Alles über den Administrator

Unter Windows trifft man immer wieder auf den Begriff Administrator: Mal ist es ein Benutzername, dann wieder eine ganze Gruppe. Mal taucht der Begriff beim Ausführen von Programmen auf, mal als Bezeichnung für eine reale Person. Windows meint damit aber nie dasselbe. „Administrator“ hat jedes Mal eine andere Bedeutung. Dieser Artikel grenzt die Bedeutungen ab, schildert deren Hintergrund, erklärt Praktisches und bringt Ordnung in die Microsoftismen.

Am häufigsten begegnen Sie dem Administrator als Bezeichnung für ein Benutzerkonto Ihres Windows-Rechners. Seit Windows XP wird bei der Betriebssysteminstallation nämlich auf jedem Rechner ein Benutzerkonto namens „Administrator“ eingerichtet. Bei Windows Vista und Windows 7 ist es aber per Voreinstellung deaktiviert. So kann sich anfangs niemand mit diesem Benutzerkonto an Ihrem Rechner anmelden.

Das ist auch gut so. Denn der Benutzer „Administrator“ darf sämtliche Windows-Einstellungen manipulieren, Programme installieren und löschen, Daten verändern oder gar weitere Administratoren ernennen. Schließlich wurde das Benutzerkonto von Microsoft zu diesem Zweck ursprünglich auch konzipiert.

Der Grund: In Firmennetzwerken haben alle Benutzer unterschiedliche Berechtigungen. Nur die wenigsten dürfen etwa Änderungen an der Uhrzeit vornehmen, erst recht keine Programme installieren. Damit aber jeder Rechner in einem Firmennetzwerk verändert werden konnte, richtete die Installationsroutine auf jedem Rechner das Benutzerkonto „Administrator“ ein. Nach der Installation vergaben die Mitarbeiter der IT-Abteilung noch ein Kennwort für das Benutzerkonto. So hatten sie immer einen mit allen Rechten versehenen Zugang zu einem Rechner, der ihnen alle Möglichkeiten der Veränderung und somit zur Administration gab.

Musste auf einem Rechner etwa ein Programm installiert werden, dann meldete sich der Kollege aus der IT mit dem Benutzernamen „Administrator“ und dem dazugehörigen Kennwort am Rechner an, nahm alle Installationen und Einstellungen vor, meldete sich ab und überließ den Rechner dann wieder seinem normalen Benutzer — der deutlich weniger Rechte besaß.

Eine weitere Situation, in der der Begriff Administrator verwendet wird: als Bezeichnung für eine reale Person. Gemeint sind damit die Personen, die Desktop-PCs, Server oder Netzwerke verwalten und sich um deren Betrieb kümmern. Eben die Mitarbeiter einer IT-Abteilung.

Diese Personen sind auch gemeint, wenn Sie den Hinweis erhalten: „Wenden Sie sich an Ihren Administrator“. In Firmen ist der Ansprechpartner recht einfach zu finden, zu Hause sind in der Regel Sie Ihr eigener Administrator und Ansprechpartner.

Doch woran erkennt Windows, welche Rechte ein Benutzerkonto hat? Ganz einfach: Jedes Benutzerkonto ist einer Benutzergruppe zugeordnet. Die Benutzergruppe definiert also, welche Rechte ein Benutzerkonto hat.

Wenn Sie unter Windows 7 ein neues Benutzerkonto erstellen, dann lässt Ihnen Windows die Wahl zwischen zwei Benutzergruppen für das neue Konto: Standardbenutzer und Administrator. Dies ist also die nächste Stelle, an der Sie auf den Begriff Administrator treffen. Diesmal ist damit eine ganze Gruppe von Benutzern gemeint und kein einzelnes Benutzerkonto.

Jedes Benutzerkonto, das zur selben Benutzergruppe gehört, hat automatisch die gleichen Rechte für das Betriebssystem. Ein Standardbenutzer etwa darf fast alle Programme benutzen und Einstellungen verändern, solange dadurch keine anderen Benutzer oder die Sicherheit des Computers beeinträchtigt werden. Ein Standardbenutzer dürfte also zum Beispiel nicht die Rechte einer Benutzergruppe oder die Firewall-Einstellungen ändern. Er darf aber Daten auf der Festplatte ablegen, Programme starten und seine eigenen Benutzerinformationen anpassen.

Benutzerkonten, die zur Gruppe „Administrator“ gehören, haben hingegen einen vollständigen Zugriff auf alle Programme und Systemeinstellungen. Sie dürfen etwa Benutzer erstellen, die Rechte anderer Benutzer verändern oder die Firewall-Einstellungen ändern. Der Benutzer „Administrator“ gehört automatisch auch zur Gruppe „Administrator“.

Welche Berechtigungen die beiden Benutzergruppen Administrator und Standardbenutzer haben, ist in Windows fest verankert. Eine auszugsweise Gegenüberstellung bietet die Tabelle „Benutzergruppen: Wer darf was?“. Die Rechte dieser beiden Gruppen lassen sich nicht verändern.

---

Zu den beiden bei der Benutzerkontoerstellung sichtbaren Gruppen gesellen sich in der Regel noch ein Dutzend oder mehr vom System eingerichtete Benutzergruppen für verschiedene Sonderaufgaben. So gibt es etwa Benutzergruppen für Gäste, für den Fernzugriff, für Datensicherungen oder zum Lesen des Ereignisprotokolls.

Es lassen sich aber auch noch zusätzliche Benutzergruppen definieren, und deren Rechte können Sie dann beliebig anpassen. Dazu stehen Ihnen 3200 verschiedene Einstellungen zur Auswahl, die eine Benutzergruppe definieren. Änderungen, die Sie an diesen Gruppen vornehmen, wirken sich stets auf alle Benutzer der Gruppe aus.

Wie Sie ein spezielles Besucherkonto für Ihren Rechner erstellen und konfigurieren, erfahren Sie im Artikel „Besucherkonto für Windows 7“.

Selbst wenn das eigene Benutzerkonto zur Benutzergruppe „Administrator“ gehört, kann man manche Programme oder Systemfunktionen nur dann nutzen, wenn man diese explizit als Administrator ausführt. Dazu klickt man sie mit der rechten Maustaste an und wählt aus dem Kontextmenü „Als Administrator ausführen“.

Das erscheint widersprüchlich, wenn man doch Mitglied der Benutzergruppe „Administrator“ ist. Der Grund dafür ist die Benutzerkontensteuerung.

Die Benutzerkontensteuerung ist zwischen die Programme und das Betriebssystem geschaltet und verhindert unerwünschte Manipulationen am Betriebssystem. Alle gestarteten Programme werden nämlich grundsätzlich nur mit einfachen Rechten ausgeführt. Änderungen an der Registry oder an Systemdateien sind einem Programm dann vorerst verwehrt.

Erst wenn Sie ein Programm „als Administrator ausführen“, dem Programm also die gleichen Rechte wie einem Benutzer der Gruppe „Administrator“ gewähren, darf das Programm auch Änderungen am System vornehmen. Es kann Änderungen an der Registry durchführen, Treiber installieren, andere Programme verändern oder zum Beispiel die Firewall-Einstellungen ändern.

Immer dann, wenn Sie zum Ausführen eines Programms oder zum Ändern einer Einstellung Administratorrechte benötigen, taucht ein gelb-blaues Schild-Symbol auf. Bei Programmverknüpfungen wird das gelb-blaue Symbol rechts unten über das Programm-Icon gelegt.

Innerhalb von Programmen erscheint das gelb-blaue Symbol auf Schaltflächen oder Verknüpfungen vor der jeweiligen Beschriftung.

Je nachdem, wie Sie die Benutzerkontensteuerung konfiguriert haben, erscheint nach dem Klick auf eine Verknüpfung oder Schaltfläche mit dem gelb-blauen Schild eine weitere Meldung.

Dadurch möchte das System sichergehen, dass Sie tatsächlich wollen, dass das Programm Administratorrechte erhält und somit Änderungen an Ihrem System vornehmen kann.

Manche Programme müssen immer mit Administratorrechten ausgeführt werden, damit sie ihren Nutzen überhaupt umsetzen können. Um nicht jedes Mal das Kontextmenü bemühen zu müssen, können Sie einem Programm generell Administratorrechte gewähren.

Klicken Sie das Programm oder die Verknüpfung mit der rechten Maustaste an und wählen Sie „Eigenschaften“ aus. Wechseln Sie auf die Registerkarte „Kompatibilität“. Setzen Sie bei „Berechtigungsstufe“ ein Häkchen vor die Option „Programm als Administrator ausführen“. Klicken Sie auf „Übernehmen“. Künftig startet das Programm immer mit Administratorrechten. Diese müssen Sie aber, je nachdem, wie restriktiv Sie die Benutzerkontensteuerung eingestellt haben, bestätigen.

Ob Ihr Benutzerkonto zur Gruppe „Administrator“ gehört, erfahren Sie ganz schnell über die Benutzerkontenverwaltung.

Klicken Sie dazu auf „Start“. Rechts oben auf dem Rad des Startmenüs ist Ihr Profilbild zu sehen. Klicken Sie das Bild an.

Die Systemsteuerung mit dem Unterpunkt „Benutzerkonten“ wird geöffnet. Hier können Sie Änderungen an Ihrem Benutzerkonto durchführen. Rechts im Fenster sehen Sie die Details zu Ihrem Benutzerkonto. Unter Ihrem Benutzernamen steht etwa auch die Benutzergruppe, zu der das Konto gehört. Das kann „Administrator“ oder „Standardbenutzer“ sein.

Ein Benutzer kann nur von einem anderen Administrator zum Administrator ernannt werden. Schließlich kann nur ein Benutzer der Gruppe „Administrator“ andere Benutzerkonten verändern.

Melden Sie sich mit einem Benutzer an, der zur Gruppe „Administrator“ gehört. Klicken Sie dann auf „Start, Systemsteuerung“. Wählen Sie unter „Benutzerkonten und Jugendschutz“ den Punkt „Benutzerkonten hinzufügen/entfernen“. Am gelb-blauen Schild erkennen Sie bereits, dass Sie für die nachfolgenden Schritte Administratorrechte benötigen.

Wählen Sie aus der Kontenübersicht das Benutzerkonto aus, das Sie ändern möchten, indem Sie es einfach anklicken. Wählen Sie danach den Punkt „Kontotyp ändern“ aus. Aktivieren Sie die Option „Administrator“ und klicken Sie zum Speichern auf „Kontotyp ändern“.

Das Benutzerkonto „Administrator“ existiert auch in Windows 7. Weil es bei der Installation automatisch deaktiviert wird, taucht es in der Liste der Benutzerkonten jedoch zunächst nicht auf. Erst ein spezielles Windows-Tool bringt alle vorhandenen Benutzerkonten zum Vorschein.

Drücken Sie [Windows R] und verwenden Sie als Befehl lusrmgr.msc. Bestätigen Sie die Benutzerkontensteuerung gegebenenfalls mit „Ja“. Wählen Sie ganz links den Punkt „Benutzer“ aus. Rechts daneben listet das Tool dann alle Benutzerkonten auf, die auf diesem Rechner eingerichtet sind.

Um einen Blick auf die verschiedenen Benutzergruppen zu werfen, wählen Sie links den Punkt „Gruppen“ aus.

Wählen Sie im Tool Lusrmgr links „Benutzer“ aus. Klicken Sie danach rechts den Eintrag „Administrator“ doppelt an. Entfernen Sie das Häkchen vor „Konto ist deaktiviert“ und klicken Sie auf „OK“. Das Benutzerkonto ist nun freigeschaltet.

Am Willkommensbildschirm von Windows 7 wird das Benutzerkonto künftig zusammen mit den anderen Benutzerkonten zur Auswahl angeboten.

Der Standardbenutzer darf nichts, der Administrator darf alles. So in etwa sind die beiden von Windows 7 zur Auswahl gestellten Benutzergruppen zu verstehen. Sicherheitsexperten raten immer dazu, nur als Standardbenutzer zu arbeiten. Der Grund ist einfach: Dem Standardbenutzer fehlen die Rechte, Änderungen am System vorzunehmen. Ausgeführte Programme erhalten zudem maximal die gleichen Rechte wie der angemeldete Benutzer. Schadprogramme könnten deshalb ebenfalls keine Änderungen am System vornehmen.

Die maximale Systemsicherheit erreichen Sie also nur, wenn Sie überwiegend als Standardbenutzer arbeiten und nur bei Bedarf, etwa zur Programminstallation, auf ein Administratorkonto wechseln.

Es kann mitunter aber lästig sein, ständig das Benutzerkonto wechseln zu müssen, um etwa eine Einstellung am System zu ändern oder System-Tools zu starten, die Administratorrechte benötigen. Die Alternative ist daher ein Kompromiss.

Arbeiten Sie mit einem Benutzerkonto, das zur Gruppe „Administrator“ gehört. Aktivieren Sie dann aber die höchste Stufe der Benutzerkontensteuerung. Wie das geht, lesen Sie in der Infografik „So geht’s: Benutzerkontensteuerung“.

So müssen Sie zumindest Systemänderungen, Programminstallationen oder den Programmstart mit Administratorrechten explizit von Fall zu Fall erlauben. Dieser Kompromiss setzt aber voraus, dass Sie immer ein Auge darauf haben, was Ihr Rechner gerade macht oder machen möchte.

Falls Sie das Kennwort des Benutzers „Administrator“ vergessen haben, dann lässt sich dieses mit nur einem Befehl in der Kommandozeile durch ein neues ersetzen.

Sie benötigen dafür ein anderes Benutzerkonto, das Mitglied der Gruppe „Administrator“ ist.

Melden Sie sich mit dem Konto an. Wählen Sie dann „Start, Alle Programme, Zubehör“. Klicken Sie „Eingabeaufforderung“ mit der rechten Maustaste an und wählen Sie danach „Als Administrator ausführen“ aus. Bestätigen Sie die Benutzerkontensteuerung gegebenenfalls mit „Ja“. Eine Kommandozeile wird geöffnet. Geben Sie dort folgenden Befehl ein:

1
2

net user Administrator *

Bestätigen Sie den Befehl mit der Eingabetaste. Sie werden nun aufgefordert, ein neues Kennwort einzugeben und es danach zur Sicherheit zu wiederholen. Bestätigen Sie die Eingabe des Kennworts jeweils mit der Eingabetaste.

Wenn beide Eingaben gleich waren, erhalten Sie die Meldung „Der Befehl wurde erfolgreich ausgeführt“. Falls noch nicht geschehen, müssen Sie das Administratorkonto reaktivieren.