So fügen Sie ein Gastkonto in Windows 11 hinzu

Was ist ein Gastkonto in Windows 11

Ein Gastkonto ist ein lokales Benutzerkonto mit sehr eingeschränkten Rechten. Es ist dafür gedacht, anderen kurzzeitig Zugriff auf einen PC zu gewähren, ohne dass sie Ihre persönlichen Dateien sehen, neue Programme installieren oder Systemeinstellungen ändern können. Früher gab es in Windows einen speziellen Gastmodus. Microsoft hat diesen Gastmodus in neueren Windows-Versionen entfernt. Sie können jedoch weiterhin ein normales lokales Konto erstellen und es in die Gruppe “Guests” (Gäste) verschieben, um ähnliche Beschränkungen zu erreichen.

Kurzdefinition: Ein Gastkonto ist ein temporäres, eingeschränktes lokales Konto, das den Zugriff auf grundlegende Funktionen erlaubt, aber Systemänderungen und Privatdaten schützt.

Wichtig: Ein lokal erstelltes Gastkonto ist nicht automatisch privat oder vollständig isoliert. Prüfen Sie Berechtigungen und Gruppenmitgliedschaften, bevor Sie jemandem den Zugang gewähren.

Warum ein Gastkonto verwenden

• Schützt Ihre Dateien und installierten Programme.
• Verhindert Installation unerwünschter Software durch Besucher.
• Erlaubt Basisnutzung (Internet, Office-Viewer, Präsentationen) ohne Administrationsrechte.
• Praktisch bei Reparatur, Präsentationen oder bei der gemeinsamen Nutzung in öffentlichen Umgebungen.

Sicherheitseinschätzung in einem Satz

Ein Gastkonto reduziert das Risiko von Dateneinsicht und Systemänderungen, ersetzt aber kein vollständiges Backup oder Endpoint-Schutzprogramm.

Übersicht der Methoden

Sie können ein Gastkonto in Windows 11 auf drei gebräuchliche Arten anlegen:

• Über die Einstellungen-App (GUI) — einfach, geeignet für die meisten Nutzer.
• Über die Eingabeaufforderung (CMD) — schnell, skriptbar, administrativ.
• Über PowerShell — bevorzugt für Automatisierung und Feinkontrolle.

Wählen Sie die Methode, die am besten zu Ihrem Kenntnisstand und Ihrer Umgebung passt.

1. Gastkonto über die Einstellungen-App anlegen

Die Einstellungen-App ist die einfachste Methode, wenn Sie grafisch arbeiten möchten.

1. Öffnen Sie Einstellungen mit der Tastenkombination Windows + I.
2. Wählen Sie links den Bereich “Konten” aus.

3. Klicken Sie rechts auf “E-Mail & Konten”.

4. Unter “Andere Benutzer” klicken Sie auf die Schaltfläche “Konto hinzufügen” neben “Ein neues Konto hinzufügen”.

5. Klicken Sie im sich öffnenden Fenster auf den Link “Ich kenne die Anmeldeinformationen für diese Person nicht”.
6. Wählen Sie dann “Benutzer ohne Microsoft-Konto hinzufügen”.
7. Legen Sie einen Konto‑Namen fest, z. B. “Besucher” oder “Gast”).
8. Setzen Sie optional ein Passwort und beantworten Sie die Sicherheitsfragen.
9. Klicken Sie auf “Weiter”.

Das Konto erscheint nun unter “Andere Benutzer”. Standardmäßig ist es ein normales lokales Konto ohne Adminrechte. Um es wie ein echtes Gastkonto einzuschränken, fahren Sie mit den nächsten Schritten fort (Lokale Benutzer und Gruppen ändern).

Hinweis: In einigen Windows 11-Editionen (Home/geschützte Varianten) ist “Lokale Benutzer und Gruppen” (lusrmgr.msc) nicht standardmäßig verfügbar.

Lokale Benutzer weiter einschränken mit lusrmgr

Wenn Sie die Benutzerrechte weiter begrenzen möchten, verschieben Sie das neue Konto in die Gruppe “Guests” und entfernen Sie es aus der Gruppe “Users”, falls nötig. Manche Windows-Installationen bieten lusrmgr.msc nicht an. Sie können ein vorkompiliertes lusrmgr.exe-Tool herunterladen, wenn Sie es vertrauenswürdig prüfen.

Vorgehen (wenn lusrmgr verfügbar ist):

1. Starten Sie lusrmgr.msc oder doppelklicken Sie auf die heruntergeladene lusrmgr.exe.
2. Wählen Sie links “Benutzer”.

3. Rechtsklicken Sie auf das Konto und wählen Sie “Eigenschaften”.

4. Wechseln Sie zum Tab “Mitgliedschaft”.

5. Klicken Sie auf “Hinzufügen…” und wählen Sie “Guests” aus.

6. Entfernen Sie ggf. die Gruppe “Users”, falls Sie die Rechte weiter einschränken wollen.

7. Übernehmen Sie die Änderungen und schließen Sie das Fenster.

Ergebnis: Das Konto hat jetzt die typischen Beschränkungen eines Gästeaccounts.

2. Gastkonto mit der Eingabeaufforderung (CMD) erstellen

Die Eingabeaufforderung eignet sich, wenn Sie die Schritte schneller per Kommandozeile ausführen oder in einem Skript automatisieren möchten.

1. Öffnen Sie das Startmenü, tippen Sie “cmd” und wählen Sie “Als Administrator ausführen”.

2. Bestätigen Sie die Benutzerkontensteuerung mit “Ja”.
3. Erstellen Sie das Konto mit dem folgenden Befehl:

net user Visitor /add /active:yes

(Ersetzen Sie Visitor durch den gewünschten Kontonamen.)

4. Optional: Setzen Sie ein Passwort mit:

net user Visitor *

Sie werden aufgefordert, das Passwort einzugeben und zu bestätigen.

5. Verschieben Sie das Konto in die Gruppe “Guests” (als Administrator):

net localgroup Guests Visitor /add

6. Entfernen Sie es aus der Gruppe “Users”, falls erforderlich:

net localgroup Users Visitor /delete

7. Schließen Sie das Fenster. Das Konto erscheint jetzt im Anmeldebildschirm.

Vorteile der CMD-Methode: schnell, skriptbar, geeignet für mehrere Geräte.

3. Gastkonto mit Windows PowerShell erstellen

PowerShell bietet modernen Komfort und eignet sich besonders bei Automatisierung und feineren Optionen.

1. Öffnen Sie das Startmenü, tippen Sie “PowerShell” und wählen Sie “Als Administrator ausführen”.

2. Bestätigen Sie die Benutzerkontensteuerung mit “Ja”.
3. Legen Sie ein sicheres Passwort per Eingabeaufforderung fest:

$GuestPassword = Read-Host -AsSecureString

4. Erstellen Sie das Konto (Beispielname: TheGuest):

New-LocalUser "TheGuest" -Password $GuestPassword

5. Fügen Sie das Konto der Gästegruppe hinzu:

Add-LocalGroupMember -Group "Guests" -Member "TheGuest"

6. Optional: Entfernen Sie die Mitgliedschaft in der Gruppe Users oder passen Sie weitere Rechte an.

PowerShell ist ideal, wenn Sie mehrere Konten erstellen oder Schritte in ein Automatisierungs-Skript einbauen möchten.

Wann ein Gastkonto nicht ausreichend ist

• Wenn Sie vollständige Isolation zwischen Benutzern benötigen (z. B. Schul- oder Firmen-VMs), ist eine separate VM oder ein spezieller Kiosk-Modus besser.
• Gastkonten verhindern keine Hardware‑Zugriffe (z. B. USB‑Speicher), falls Berechtigungen nicht weiter eingeschränkt wurden.
• Gastkonten ersetzen keine zentralen Sicherheitslösungen wie Endpoint Protection oder MDM (Mobile Device Management).

Alternative Ansätze: Kiosk‑Modus, dedizierte VM, Container-Lösungen oder Benutzerprofile in einer Domäne mit Gruppenrichtlinien.

Sicherheitsempfehlungen und Härtung

• Vergeben Sie immer ein sicheres Passwort oder lassen Sie das Konto ohne Passwort nur in gut kontrollierten lokalen Netzwerken zu.
• Deaktivieren Sie Gastkonten, wenn sie nicht gebraucht werden.
• Schränken Sie den Zugriff auf Laufwerke und Freigaben per NTFS-Rechte und Freigaberichtlinien ein.
• Aktivieren Sie die Firewall und Endpoint-Schutz.
• Entfernen Sie das Konto aus der Gruppe “Users”, wenn Sie strengere Einschränkungen wünschen.

Kurzstrategie (Sicherheits‑SOP):

1. Konto erstellen (Einstellungen/CMD/PowerShell).
2. Passwort setzen oder erzwingen.
3. Konto der Gästegruppe zuweisen.
4. Laufwerks- und Freigabeberechtigungen prüfen.
5. Testen: Anmeldung mit dem Gastkonto, Zugriff prüfen.
6. Deaktivieren bei Nichtgebrauch.

Datenschutz und lokale Gesetzgebung (Hinweise)

• Ein Gastkonto speichert Daten lokal. Entfernen Sie sensible Dateien vor der Weitergabe des Geräts.
• Wenn personenbezogene Daten verarbeitet werden, prüfen Sie die lokalen Datenschutzanforderungen (z. B. DSGVO) und dokumentieren Sie gegebenenfalls Zugriff und Löschvorgänge.
• Löschen Sie temporäre Dateien und leeren Sie den Papierkorb nach der Nutzung des Gastkontos.

Checklisten: Schnellüberprüfung vor Übergabe an Gäste

Vor dem Übergeben des PCs:

• Gastkonto angelegt und Passwort gesetzt (oder explizit kein Passwort erlaubt).
• Konto ist Mitglied der Gruppe “Guests”.
• NTFS- & Freigaberechte überprüft.
• Keine gespeicherten Kennwörter im Browser.
• Externe Laufwerke/USB-Zugriff eingeschränkt oder deaktiviert.
• Endpoint-Schutz aktiv.

Nach der Nutzung:

• Gastkonto deaktivieren oder Passwort ändern.
• Temporäre Dateien löschen.
• System auf unerwünschte Software prüfen.
• Eventuell erstellte Nutzerdateien prüfen und löschen.

Kriterium für Erfolg

• Das Konto kann sich anmelden, hat aber keine Admin-Rechte.
• Es kann keine Software installiert werden, die Admin-Rechte benötigt.
• Persönliche Ordner des Hauptbenutzers sind nicht zugreifbar.
• Nach Testsitzung sind keine unerwünschten Änderungen vorhanden.

Kurz-Anleitung (Mini‑Methoden‑Cheatsheet)

• GUI: Einstellungen → Konten → Andere Benutzer → Konto hinzufügen → Benutzer ohne Microsoft‑Konto.
• CMD: net user Visitor /add /active:yes → net localgroup Guests Visitor /add.
• PowerShell: New-LocalUser "TheGuest" -Password $GuestPassword → Add-LocalGroupMember -Group "Guests" -Member "TheGuest".

Fehlerbehebung (Troubleshooting)

Problem: Das Konto erscheint nicht im Anmeldebildschirm.

• Prüfen Sie, ob das Konto aktiviert ist (net user Visitor).
• Stellen Sie sicher, dass Sie sich nicht im Schnellstart- oder Kiosk-Modus befinden.
• Starten Sie Windows neu.

Problem: Gastkonto kann auf persönliche Ordner zugreifen.

• Überprüfen Sie NTFS-Berechtigungen der Ordner. Entfernen Sie “Users” oder setzen Sie explizite Ablehnungen.
• Prüfen Sie Freigaben unter Netzwerk und Internet → Freigabeoptionen.

Problem: lusrmgr.msc fehlt in Windows Home.

• Nutzen Sie stattdessen CMD/PowerShell, um Gruppenmitgliedschaften zu setzen. Beispiel:

net localgroup Guests Visitor /add

Rollenspezifische Checkliste

Für Heimanwender:

• Erstellen Sie ein Konto “Besucher” und setzen Sie ein kurzes Passwort.
• Beschränken Sie Ordnerfreigaben.

Für IT‑Administratoren:

• Automatisieren Sie Kontoerstellung per PowerShell-Skript.
• Setzen Sie Gruppenrichtlinien (GPO) für eingeschränkte Profile.
• Dokumentieren Sie Audit-Einträge.

Für Schulen/Trainingseinrichtungen:

• Verwenden Sie Kiosk-Modus oder VMs für maximale Isolation.
• Überwachen Sie Netzwerkzugriff und Druckerfreigaben.

Abschluss und Empfehlungen

Ein Gastkonto ist eine praktische Lösung, um temporären Zugriff sicher zu ermöglichen. Nutzen Sie die GUI für einfache Fälle und CMD/PowerShell für Automatisierung und präzisere Kontrolle. Ergänzen Sie Gastkonten mit laufwerkseinschränkenden NTFS-Rechten, Endpoint-Schutz und nach Bedarf einer kurzen Prüfprozedur nach jeder Nutzung.

Wenn Sie häufig Geräte an Dritte übergeben, prüfen Sie langfristig strengere Isolationsansätze wie VMs, Kiosk-Modus oder zentral verwaltete Benutzerkonten.

Vielen Dank fürs Lesen! Wenn Sie Fragen zu einer der Methoden haben oder ein Automatisierungs‑Skript für mehrere Rechner wünschen, schreiben Sie es in die Kommentare.

Wichtig: Abonnieren Sie den Kanal oder die Quelle, die Ihnen diese Anleitung bereitgestellt hat, wenn Sie weitere detaillierte Tutorials zu Windows 11 erhalten möchten.