Lokales Benutzerkonto so einstellen, dass das Passwort nie abläuft

Überblick

Dieser Leitfaden zeigt fünf praktikable Wege, ein lokales Windows-Benutzerkonto so zu konfigurieren, dass das Passwort niemals abläuft. Er eignet sich für einzelne Benutzer und Administratoren. Am Ende finden Sie Sicherheits‑Hinweise, eine Entscheidungshilfe sowie Checklisten für unterschiedliche Rollen.

Wichtig: Die ersten vier Methoden funktionieren nur, wenn Sie sich bereits am System anmelden können. Wenn Sie ausgesperrt sind, lesen Sie die Kapitel zur Wiederherstellung mittels Boot‑Medium.

Kurze Erläuterung von Begriffen

• Lokales Benutzerkonto: Ein Konto, das nur auf diesem PC existiert und nicht in Azure AD oder Active Directory verwaltet wird.
• Passwortablauf: Windows-Funktion, die nach einer bestimmten Zeit verlangt, das Kennwort zu ändern.

Inhaltsübersicht

• Computerverwaltung (GUI)
• Eingabeaufforderung (net user / wmic)
• PowerShell (Set-LocalUser)
• Lokale Sicherheitsrichtlinie / Gruppenrichtlinie
• Boot‑CD/USB (PCUnlocker) für ausgesperrte Geräte
• Sicherheit, Datenschutz & Empfehlungen
• Entscheidungshilfe (Mermaid-Flussdiagramm)
• Rollenbasierte Checklisten
• FAQ

1. Computerverwaltung: Passwort auf “Nie ablaufen” setzen (GUI)

Diese Methode ist am einfachsten, wenn Sie bereits angemeldet sind.

1. Öffnen Sie “Dieser PC” (früher “Mein Computer”).
2. Rechtsklick auf das Symbol → Verwalten.
3. In der Computerverwaltung: “Systemprogramme” → “Lokale Benutzer und Gruppen” → “Benutzer”.
4. Rechtsklick auf das betroffene Konto → Eigenschaften.
5. Aktivieren Sie die Option “Kennwort läuft nie ab”.
6. Schließen Sie die Computerverwaltung.

Hinweis: In deutschsprachigen Windows-Versionen lautet die Checkbox meist “Kennwort läuft nie ab”. Prüfen Sie vor Änderungen, ob Sie die richtigen Konten bearbeiten.

Um das aktuelle Ablaufdatum zu prüfen, öffnen Sie die Eingabeaufforderung (cmd) und führen Sie aus:

net user Kontoname

Ersetzen Sie Kontoname durch Ihren tatsächlichen Benutzernamen. In der Ausgabe finden Sie die Zeile “Kennwort läuft ab” mit dem Datum oder dem Hinweis, dass es nicht abläuft.

2. Eingabeaufforderung (CMD) / WMIC: Ablauf deaktivieren

Wenn Sie lieber Befehle verwenden:

1. Start → “cmd” suchen → Rechtsklick → Als Administrator ausführen.
2. Prüfen Sie zunächst die Kontoinformationen mit:

net user Kontoname

3. Deaktivieren Sie das Ablaufdatum mit WMIC (ersetzen Sie Kontoname):

wmic useraccount where "Name='Kontoname'" set PasswordExpires=false

Wichtig: WMIC ist in neueren Windows-Versionen deprecated, funktioniert aber noch in vielen Builds. Verwenden Sie PowerShell, wenn WMIC nicht vorhanden ist.

3. PowerShell: Set-LocalUser verwenden

PowerShell ist die moderne Methode für lokale Konten.

1. PowerShell als Administrator starten.
2. Führen Sie folgenden Befehl aus, Beispiel mit Kontoname “pcunlocker”:

Set-LocalUser -Name "pcunlocker" -PasswordNeverExpires $true

Wenn der Befehl einen Fehler wirft, prüfen Sie, ob das Modul für lokale Benutzer geladen ist oder ob Sie ausreichende Rechte haben.

4. Lokale Sicherheitsrichtlinie / Gruppenrichtlinie: Alle Konten ändern

Diese Methode ist sinnvoll, wenn Sie das Ablaufverhalten systemweit anpassen möchten.

1. Windows‑Taste + R → “secpol.msc” → Enter (Local Security Policy / Lokale Sicherheitsrichtlinie).
2. Navigieren Sie zu: Kontorichtlinien → Kennwortrichtlinie.
3. Setzen Sie “Maximales Kennwortalter” auf 0 Tage, um das Ablaufdatum zu deaktivieren.

Alternativ per Eingabeaufforderung (wirkt systemweit):

net accounts /maxpwage:unlimited

Bemerkung: In Domänenumgebungen kann eine Active Directory‑Gruppenrichtlinie die lokale Einstellung überschreiben. Prüfen Sie GPOs, wenn Änderungen nicht greifen.

5. Boot‑CD/USB (z. B. PCUnlocker): Wenn Sie ausgesperrt sind

Wenn Ihr Kennwort bereits abgelaufen ist und Sie sich nicht anmelden können, benötigen Sie ein externes Rettungsmedium.

Ablauf:

1. Erstellen Sie auf einem anderen PC ein bootfähiges Medium mit PCUnlocker (CD oder USB).
2. Booten Sie den gesperrten PC vom Medium (BIOS/UEFI Boot‑Optionen ggf. anpassen).
3. Wählen Sie das betroffene Konto aus und klicken Sie auf “Reset Password” bzw. Kennwort zurücksetzen.
4. Deaktivieren Sie anschließend die Option “Kennwort läuft nie ab” (oder aktivieren Sie genau diese Option, je nach Ziel).
5. Herausziehen des Mediums und Neustart. Nun sollten Sie sich lokal anmelden können.

Hinweis: PCUnlocker ist ein Drittanbieter‑Tool. Prüfen Sie Lizenzierung, Vertrauenswürdigkeit und rechtliche Aspekte, bevor Sie es einsetzen.

Wichtig: Der Einsatz von Boot‑Tools kann bestehende Sicherheits- und Datenschutzrisiken bergen. Verwenden Sie diese Werkzeuge nur auf Geräten, für die Sie autorisiert sind.

Sicherheit, Datenschutz und Empfehlungen

• Sicherheitsgrad: Passwörter, die nie ablaufen, reduzieren die Sicherheit, weil kompromittierte Kennwörter länger gültig bleiben. Nutzen Sie diese Einstellung nur, wenn ein Risikoeinschätzung dies erlaubt.
• Alternative: Aktivieren Sie Multi‑Factor Authentication (MFA) oder verwenden Sie lange, einzigartige Passwörter mit einem Passwortmanager.
• In Unternehmen: Bevor Sie das Ablaufdatum global deaktivieren, erstellen Sie eine Risikobewertung und holen Sie Genehmigungen ein.
• Datenschutz / DSGVO: Passwörter gelten als sensible personenbezogene Daten. Dokumentieren Sie Änderungen und Zugriffsrechte. Minimieren Sie unnötige Verbreitung von Zugangsdaten.

Wann diese Methoden scheitern oder ungeeignet sind (Gegenbeispiele)

• Domänenkonten (Azure AD/AD): Lokale Änderungen wirken nicht. Passwortablauf wird zentral gesteuert.
• BitLocker mit TPM & PIN: Wenn Sie Kennwortänderungen ohne Vorsicht durchführen, riskieren Sie Sperren durch zusätzliche Schutzmechanismen.
• Fehlende Administratorrechte: Ohne Adminrechte funktionieren die meisten Anleitungen nicht.

Entscheidungsbaum: Welche Methode wählen?

flowchart TD
  A[Kann ich mich anmelden?] -->|Ja| B[Will ich nur ein Konto ändern?]
  A -->|Nein| E[Benötige Boot‑Medium]
  B -->|Ja| C[GUI oder PowerShell]
  B -->|Nein| D[Systemweit: Lokale Sicherheitsrichtlinie / net accounts]
  C --> F[Computerverwaltung oder Set-LocalUser]
  D --> G[secpol.msc oder net accounts /maxpwage:unlimited]
  E --> H[PCUnlocker oder ähnliches Rettungsmedium]

Rollenbasierte Checklisten

Administrator — Schnellcheck vor Änderungen:

• Bin ich lokal oder domänen‑admin? (Domänenrichtlinien prüfen)
• Habe ich eine schriftliche Genehmigung für Policy‑Änderungen?
• Backup / Wiederherstellungsplan vorhanden?
• MFA, Passwortmanager und Audit‑Logging konfiguriert?

Endbenutzer — Schritte vor dem Ändern:

• Kennwort in Passwortmanager speichern (falls erforderlich)
• Prüfen, ob das Konto lokal oder Teil einer Domäne ist
• Bei Zweifeln IT‑Support kontaktieren

Support‑Mitarbeiter — Incident‑Playbook (Kurzfassung):

1. Ermitteln, ob Konto lokal oder domänenverwaltet ist.
2. Wenn lokal und Zugriff vorhanden: Computerverwaltung oder PowerShell.
3. Wenn lokal und kein Zugriff: Rettungsmedium (nach Freigabe) einsetzen.
4. Nach Änderung: Prüfen, ob Benutzer sich anmelden kann und ob Audit‑Logs Eintrag zeigen.

Kurze Methodenanalyse (Vor- und Nachteile)

• Computerverwaltung: + intuitiv, - erfordert GUI und Adminrechte.
• CMD/WMIC: + schnell, - WMIC deprecated.
• PowerShell: + modern, scriptbar, - muss ggf. Modul geladen werden.
• secpol.msc/net accounts: + systemweit, - kann durch Domänenrichtlinie überschrieben werden.
• Boot‑Medium: + rettet ausgesperrte Geräte, - riskant, Drittanbieter‑Tool, rechtliche Prüfung nötig.

Fazit

Viele Situationen lassen sich schnell lösen: Wenn Sie angemeldet sind, ist die Computerverwaltung oder PowerShell meist die sauberste Lösung. Bei systemweiten Änderungen nutzen Sie die lokale Sicherheitsrichtlinie oder “net accounts”. Sind Sie ausgesperrt, hilft ein Boot‑Medium wie PCUnlocker, aber nur mit Vorsicht und Autorisierung.

Zusammenfassung der wichtigsten Empfehlungen:

• Bevorzugen Sie MFA und starke Passwörter statt “Nie ablaufen”, wenn möglich.
• Dokumentieren Sie Änderungen, besonders in Unternehmensumgebungen.
• Prüfen Sie Domänenrichtlinien, bevor Sie lokal etwas anpassen.

Bildbeschreibung: Übersichtliche Darstellung von Windows-Einstellungen, die zeigt, wie man Kennwortrichtlinien und lokale Konten verwaltet.

Bildbeschreibung: Screenshot der Computerverwaltung mit hervorgehobener Option “Benutzer” unter “Lokale Benutzer und Gruppen”.

Häufig gestellte Fragen

Sollte man Kennwörter auf “Nie ablaufen” setzen?

Das Abschalten des Kennwortablaufs reduziert in der Regel die Sicherheit. Es ist nur dann empfehlenswert, wenn Sie durch andere Maßnahmen (z. B. MFA, kurze Zugriffsliste, starke Passwörter, Passwortmanager) das Risiko kompensieren können.

Ist Kennwortablauf eine sichere Praxis?

Moderne Studien und Sicherheitsexperten sehen Passwortablauf zunehmend kritisch. Regelmäßiges Erzwingen von Passwortwechseln führt oft zu schwächeren Kennwörtern. Besser sind längere Passwörter, MFA und Monitoring.

Wirkt eine lokale Änderung, wenn das Konto von Active Directory verwaltet wird?

Nein. In einer Domäne setzt normalerweise die zentrale AD‑Richtlinie das Kennwortalter. Lokale Änderungen werden von Domänenrichtlinien überschrieben.

Was tun, wenn ich ausgesperrt bin und kein Rettungsmedium erstellen kann?

Kontaktieren Sie den IT‑Support oder den Geräteanbieter. Ohne autorisiertes Rettungsmedium lässt sich das Problem selten rechtssicher lösen.

Ende — Kurze Checkliste vor dem Verlassen

• Backup vorhanden?
• Änderungen dokumentiert?
• MFA in Betracht gezogen?
• Domänenrichtlinien überprüft?

Vielen Dank — wenden Sie sich bei Unsicherheiten an Ihren Systemadministrator oder IT‑Support.