Wenn man einen niegelnagelneuen Windows-10-PC einrichtet (so, wie ich es im letzten Herbst für die „Kreisgruppe der Siedlergemeinschaften im Deister-Süntel-Tal“ gemacht habe), dann erstellt man zuerst ein Konto mit Administratorrechten – und zwar aus einem ganz einfachen Grunde: Man muss Installationen vornehmen und braucht daher uneingeschränkten Zugriff auf den Rechner. Vorteil als Admin: Der Admin darf alles. Nachteil als Admin: Da kann auch verdammt viel schiefgehen! Insbesondere dann, wenn verschiedene Personen mit dem gleichen Rechner arbeiten, ist es daher wenig sinnvoll, dass jeder Hinz und Kunz mit Adminrechten auf der Kiste rumdaddelt. Deswegen empfiehlt es sich unbedingt, neben dem Adminkonto noch einen – mit eingeschränkten Rechten versehenen – Gastzugang für Standardbenutzer anzulegen. Geht so:

– Startmenü öffnen.
– „Einstellungen“ über das Zahnrad-Symbol anwählen.
– „Konten“ anwählen.
– Links im Menü auf „Familie & weitere Kontakte“ klicken.
– Um einen ganz normalen Benutzer (Standardbenutzer) anzulegen, klickt man im nächsten Fenster unten auf „Diesem PC eine andere Person hinzufügen“.
– Der PC verlangt jetzt nach der Angabe oder Erstellung eines Microsoft-Kontos, was aber unerwünscht ist: „Wie meldet sich diese Person an?“
– Daher unten auf „Ich kenne die Anmeldeinformationen für diese Person nicht“ klicken.
– Nun kommt das Fenster „Erstellen Sie Ihr Konto“.
– Auch wieder unten auf „Benutzer ohne Microsoft-Konto hinzufügen“ klicken (erstellt ein lokales Konto).
– Jetzt vergibt man einen Benutzernamen („Von wem wird dieser PC genutzt?“) und ein Passwort („Achten Sie auf Sicherheit – Kennwort eingeben“).
– Das ist eindeutig für die Anmeldung, wenn daneben noch weitere Konten (z. B. das Adminkonto) existieren.
– Bei künftigen Anmeldungen werden nun in der Ecke links unten auf dem Anmeldebildschirm die möglichen Benutzer angezeigt und können ausgewählt werden.

Für den so erstellten Standardbenutzer gelten folgende Einschränkungen:
– Er hat einen eigenen, stark abgespeckten Desktop (den er aber in Grenzen einrichten kann).
– Er kann nicht auf Windows Mail zugreifen (arbeitet nur lokal).
– Er hat auf dem Desktop zunächst kaum Programme und daneben noch den Papierkorb.
– Er hat zunächst keine Hintergrundauswahl (kann das aber prinzipiell ändern).
– Er kann keine Microsoft-Apps und -Programme sowie Treiber installieren.
– Er kann keine Updates durchführen.
– Er kann keine Sicherheitseinstellungen verändern.
– Er hat keinen „God Mode„.
– Er kann Datum und Zeit im System nicht ändern.
– Er wird von administrativen Programmen ausgeschlossen.
– Er kann keine Sicherheitseinstellungen verändern.
– Er kann keine Programminstallationen von Installer-Programmen durchführen.
– Er kann nicht in die Rechteverwaltung eingreifen.

Inwieweit noch weitere Einschränkungen vorliegen ist nicht bekannt, da einerseits nicht alles ausprobiert werden konnte und sich andererseits Microsoft mit der Bekanntgabe der Rechtezuweisungen bei Standardbenutzern doch sehr bedeckt hält. Dennoch stehen auch dem Standardbenutzer immer noch etliche Möglichkeiten offen:
– Er kann bereits im PC vorhandene Programme auf dem Desktop verknüpfen (wenn er Kenntnis davon hat).
– Er kann in begrenztem Umfang auf Festplatte C:\ UND auf Windows zugreifen (Löschen und Verschieben von Software).
– Er kann bei unreflektiertem Speichern das System vermüllen, da alle Speichervorgänge standardmäßig in das Hauptverzeichnis C:\ erfolgen.
– Er kann Ordner anlegen und löschen.
– Er kann Dateien anlegen, löschen, verschieben und kopieren.
– Er kann vom USB-Stick aus lauffähige, portable Programme ausführen oder auf die Platte kopieren (und damit die Windows-Rechteverwaltung unterlaufen).
– Er kann mit der Kombination von Browser und Freemailer auch Mailkommunikation durchführen.
– Er kann Bildschirmauflösung u. ä. verändern.

Vom Gast bzw. Standardbenutzer werden folglich sicherheitsbewusstes Verhalten und vor allem Datendisziplin erwartet! Lässt er es daran fehlen, dann ist es auch ihm möglich, bewusst oder unbewusst das Gerät zu beschädigen. Soll bei laufendem Betrieb zwischen dem Standardbenutzer – also dem Gast – und dem Admin umgeschaltet werden, so dient dazu die Tastenkombination „[Strg][Alt][Entf]„. Mit dem dadurch neu auftauchenden Bildschirm und „Benutzer wechseln“ kann auf den anderen Benutzer umgeschaltet werden – das Einloggen dabei geschieht wie gewohnt. Die Tastenkombination „[Windows][l]“ ruft den Login-Dialog zum Benutzerwechsel unmittelbar auf. Mit der Tastenkombination „[Alt][F4]“ werden der Benutzerwechseldialog und auch der Dialog zum Herunterfahren ohne Sperrbildschirm unmittelbar auf den Desktop geholt.

Erwähnenswert sind noch zwei Meldungen, die dadurch verursacht werden, dass jetzt zwei unterschiedliche Benutzerkonten auf dem PC sind. Die erste Meldung betrifft lediglich den Gastzugang und da den Windows-Defender. Dessen Systray-Symbol ist beim Gast mit einem gelben Warndreieck belegt, welches besagt „Windows-Sicherheit – Maßnahmen empfohlen“. Diese Meldung resultiert aus der Tatsache, dass der Gast (d. h. der Standardbenutzer), da er nur lokal und ohne Microsoft-Konto arbeitet, auch keine Updates für Windows-Defender ziehen kann. Die betreffende Meldung ist daher getrost zu ignorieren.

Die zweite Meldung betrifft das Herunterfahren des PCs. Egal wer den PC herunterfährt bekommt manchmal (nicht immer) eine Benachrichtigung, welche besagt, dass noch ein weiterer Benutzer am PC angemeldet ist und das dessen etwaig ungespeicherte Daten beim Herunterfahren verloren gehen könnten (auch wenn solche Daten gar nicht da sind). Diese Meldung ist mit „Trotzdem herunterfahren“ zu quittieren.

Zuletzt sei noch darauf hingewiesen, dass der Admin die Rechte des Standardbenutzers durchaus noch weiter einschränken kann. Dazu dient u. a. der Gruppenrichtlinien-Editor „gpedit.msc“, der allerdings normalerweise nur in den Pro- oder Enterprise-Versionen verfügbar ist (den man aber auch bei der Home-Version nachinstallieren kann). Zu dessen Bedienung vgl. HIER. Eine andere und sehr viel detailliertere Möglichkeit ist das Bearbeiten der Zugriffsrechte pro Ordner für jeden Benutzer – HIER beschrieben – doch dabei handelt es sich u. U. um eine schier endlose Sisyphusarbeit, nach deren Beendigung das Windows bereits wieder veraltet ist (je nach Vermüllungszustand des PCs).