Erhöhtes Administratorkonto deaktivieren | Windows 11/10

Erhöhtes Administratorkonto unter Windows 11 und 10 deaktivieren: Schützen Sie Ihr System mit Eingabeaufforderung, PowerShell oder Computerverwaltung.

Das erhöhte Administratorkonto in Windows 11 und Windows 10 ist standardmäßig deaktiviert – und das aus gutem Grund. Wer es vorübergehend aktiviert hat, sollte es nach getaner Arbeit umgehend wieder deaktivieren, um das System vor unbefugtem Zugriff und Schadsoftware zu schützen.

In diesem Artikel erfahren Sie Schritt für Schritt, wie Sie das integrierte Administratorkonto sicher deaktivieren und warum dieser Schritt für die Systemsicherheit unverzichtbar ist.

Was ist das erhöhte Administratorkonto in Windows?

Bei der Installation von Windows wird neben dem regulären Benutzerkonto ein weiteres, integriertes Administratorkonto angelegt. Dieses Konto verfügt über weitaus mehr Rechte als ein normales Administratorkonto. Aus Sicherheitsgründen ist es standardmäßig ausgeblendet und kann nur verwendet werden, wenn es ausdrücklich aktiviert wurde.

Konkret handelt es sich dabei um das sogenannte „Built-in Administrator“- oder „Super-Admin“-Konto. Es unterscheidet sich grundlegend von einem regulären Administratorkonto, da es vollständige Systemberechtigungen besitzt – und zwar ohne jegliche Einschränkung durch die Benutzerkontensteuerung (UAC). Dieses Konto trägt standardmäßig den Namen „Administrator“ und besitzt vollständige Systemberechtigungen ohne jede Einschränkung durch die Benutzerkontensteuerung.

Deshalb ist es wichtig zu verstehen: Solange dieses Konto aktiv ist, können sämtliche Programme und Prozesse – einschließlich Schadsoftware – ohne Rückfrage mit vollen Systemrechten ausgeführt werden. Durch die UAC-Abfrage beim regulären Administratorkonto wird verhindert, dass Schadsoftware unbemerkt mit vollen Rechten läuft. Ein aktives Super-Admin-Konto mit bekanntem Namen stellt daher ein Sicherheitsrisiko dar.

Zudem gilt: Ein über Remote Desktop zugängliches Administratorkonto stellt ein erhöhtes Sicherheitsrisiko dar. Angreifer, die sich in Ihr Netzwerk einklinken, können dieses Konto gezielt für Brute-Force-Angriffe nutzen – besonders, weil der Name „Administrator“ auf jedem Windows-System identisch ist.

Warum sollten Sie das Konto deaktivieren?

Bevor die konkreten Anleitungen folgen, lohnt es sich, die Sicherheitsargumente klar zu benennen. Das erhöhte Administratorkonto sollte deaktiviert bleiben oder nach der Nutzung sofort wieder deaktiviert werden, weil:

• Schadsoftware und Ransomware ohne UAC-Hürde mit vollen Rechten laufen können.
• Brute-Force-Angriffe vereinfacht werden, da der Kontoname „Administrator“ auf allen Windows-Systemen identisch ist.
• Remote-Desktop-Zugriffe das Konto zusätzlich angreifbar machen.
• Unbefugte Nutzer direkt auf alle Systemeinstellungen zugreifen können.

Aus Sicherheitssicht sollten Windows-Anwender mit einem regulären Administratorkonto arbeiten, das bei administrativen Aufgaben eine Sicherheitsabfrage anzeigt. Darüber hinaus empfiehlt Microsoft ausdrücklich, das integrierte Konto nach Abschluss von Wartungsarbeiten sofort wieder zu deaktivieren.

Status des Administratorkontos prüfen

Bevor Sie das Konto deaktivieren, sollten Sie zunächst dessen aktuellen Status feststellen. Um den aktuellen Status des Administratorkontos zu überprüfen, geben Sie in der Eingabeaufforderung mit Admin-Rechten den Befehl net user administrator ein. Ein „Nein“ in der Zeile „Konto aktiv“ entspricht den Sicherheitsempfehlungen; ein „Ja“ erfordert entsprechend ein paar Handgriffe, um das Konto zu deaktivieren.

Gehen Sie dabei wie folgt vor:

1. Drücken Sie Windows + S und geben Sie cmd ein.
2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie „Als Administrator ausführen“.
3. Geben Sie ein: net user administrator
4. Prüfen Sie in der Ausgabe die Zeile „Konto aktiv“ – steht dort „Ja“, ist das erhöhte Konto aktiv und sollte deaktiviert werden.

Methode 1: Administratorkonto per Eingabeaufforderung (CMD) deaktivieren

Die einfachste und schnellste Methode ist die Nutzung der Eingabeaufforderung. Diese Methode funktioniert sowohl unter Windows 11 als auch unter Windows 10 – in allen Editionen.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie Windows + S, tippen Sie cmd ein.
2. Klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“ und wählen Sie „Als Administrator ausführen“.
3. Bestätigen Sie die UAC-Abfrage mit „Ja“.
4. Geben Sie folgenden Befehl ein und bestätigen Sie mit Enter:

net user Administrator /active:no

5. Als Bestätigung erscheint die Meldung: „Der Befehl wurde erfolgreich ausgeführt.“

Um das integrierte Administratorkonto in der Eingabeaufforderung zu deaktivieren, geben Sie net user administrator /active:no ein und drücken Sie die Eingabetaste.

Wichtig: Achten Sie auf die korrekte Groß-/Kleinschreibung des Kontonamens. Auf deutschen Windows-Systemen lautet der Kontoname häufig „Administrator“, auf englischen Systemen „Administrator“ – beide Varianten werden mit dem obigen Befehl korrekt angesprochen.

Methode 2: Administratorkonto per PowerShell deaktivieren

Alternativ können Sie auch die Windows PowerShell verwenden. Diese Methode bietet denselben Effekt wie die CMD-Variante, ist jedoch besonders in Unternehmensumgebungen und für Skript-Automatisierungen beliebt.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie Windows + X und wählen Sie „Windows PowerShell (Administrator)“ oder „Terminal (Administrator)“.
2. Bestätigen Sie die UAC-Abfrage mit „Ja“.
3. Geben Sie folgenden Befehl ein:

Disable-LocalUser -Name "Administrator"

4. Drücken Sie Enter. Es erscheint keine Rückmeldung – das ist bei PowerShell normal und bedeutet, dass der Befehl erfolgreich ausgeführt wurde.

Alternativ funktioniert auch folgender Befehl:

net user Administrator /active:no

Zudem können Sie den Status anschließend mit folgendem Befehl überprüfen:

Get-LocalUser -Name "Administrator" | Select-Object Name, Enabled

Steht der Wert bei Enabled auf False, ist das Konto erfolgreich deaktiviert.

Methode 3: Deaktivierung über „Lokale Benutzer und Gruppen“ (lusrmgr.msc)

Eine weitere Möglichkeit ist die grafische Oberfläche über die Microsoft Management Console (MMC). Klicken Sie mit der rechten Maustaste auf das Administratorkonto und wählen Sie „Eigenschaften“. Aktivieren Sie auf der Registerkarte „Allgemein“ das Kontrollkästchen „Konto ist deaktiviert“ und schließen Sie die MMC. Diese Methode eignet sich besonders für Nutzer, die eine grafische Oberfläche bevorzugen.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie Windows + R, geben Sie lusrmgr.msc ein und bestätigen Sie mit Enter.
2. Klicken Sie im linken Bereich auf „Benutzer“.
3. Doppelklicken Sie im rechten Bereich auf das Konto „Administrator“.
4. Aktivieren Sie das Kontrollkästchen „Konto ist deaktiviert“.
5. Klicken Sie auf „Übernehmen“ und anschließend auf „OK“.

Hinweis: Diese Methode steht ausschließlich unter Windows 10 Pro, Enterprise und Education sowie Windows 11 Pro, Enterprise und Education zur Verfügung. Nutzer von Windows 10 Home und Windows 11 Home haben keinen Zugang zu „Lokale Benutzer und Gruppen“.

Methode 4: Deaktivierung über die lokale Sicherheitsrichtlinie (secpol.msc)

Sie können das integrierte Administratorkonto auch in der Lokalen Sicherheitsrichtlinie aktivieren oder deaktivieren. Allerdings ist diese Methode nur verfügbar, wenn Sie Windows 11 Pro, Enterprise oder Education nutzen. Zudem gilt das analog für Windows 10 in diesen Editionen.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie Windows + R, geben Sie secpol.msc ein und bestätigen Sie mit Enter.
2. Navigieren Sie im linken Bereich zu: Lokale Richtlinien → Sicherheitsoptionen.
3. Suchen Sie im rechten Bereich den Eintrag „Konten: Administratorkontostatus“.
4. Doppelklicken Sie auf diesen Eintrag.
5. Wählen Sie „Deaktiviert“ und klicken Sie auf „OK“.

Deshalb ist diese Methode insbesondere in Unternehmensumgebungen beliebt: Sie lässt sich zentral dokumentieren und nachvollziehen.

Methode 5: Deaktivierung über den Gruppenrichtlinien-Editor (gpedit.msc)

In größeren Unternehmensumgebungen oder auf einzelnen Rechnern mit Windows 10/11 Pro oder höher bietet der Gruppenrichtlinien-Editor eine zuverlässige Möglichkeit, das Konto zu deaktivieren.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie Windows + R, geben Sie gpedit.msc ein und bestätigen Sie mit Enter.
2. Navigieren Sie zu: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen.
3. Suchen Sie den Eintrag „Konten: Administratorkontostatus“.
4. Doppelklicken Sie darauf und wählen Sie „Deaktiviert“.
5. Klicken Sie auf „OK“ und schließen Sie den Editor.

Diese Sicherheitseinstellung steuert das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto. Wenn die Einstellung deaktiviert ist, werden im integrierten Administratorkonto alle Anwendungen mit vollständigen Administratorrechten ausgeführt. Deshalb ist es wichtig, die richtige Richtlinie zu wählen – gemeint ist hier die Einstellung zum Kontostatus, nicht zum Genehmigungsmodus.

Methode 6: Deaktivierung über die Windows-Einstellungen (Kontoverwaltung)

Unter Windows 10 und Windows 11 gibt es außerdem die Möglichkeit, Benutzerkonten über die Systemeinstellungen zu verwalten. Allerdings ist das integrierte Administratorkonto dort in der Regel nicht direkt sichtbar, solange es deaktiviert ist. Falls es nach einer vorherigen Aktivierung im Anmeldebildschirm erscheint, können Sie es wie folgt ausblenden:

1. Drücken Sie Windows + I, um die Einstellungen zu öffnen.
2. Navigieren Sie zu Konten → Familie und andere Benutzer.
3. Suchen Sie das Konto „Administrator“ in der Liste.
4. Klicken Sie darauf und wählen Sie „Entfernen“ – Achtung: Dies löscht das Konto nicht, sondern entfernt nur die Sichtbarkeit im Anmeldebildschirm.

Empfehlung: Für die zuverlässige Deaktivierung sollten Sie immer CMD, PowerShell oder die Sicherheitsrichtlinie bevorzugen. Die Einstellungen-App bietet bei diesem speziellen Konto oft keine vollständige Kontrolle.

Sicherheitshinweise und empfohlene Vorgehensweisen

Neben der reinen Deaktivierung gibt es zusätzlich einige wichtige Sicherheitsaspekte zu beachten:

Vor der Deaktivierung:

• Stellen Sie sicher, dass mindestens ein weiteres Administratorkonto auf dem System aktiv und zugänglich ist. Wenn Sie versehentlich alle Administratorkonten deaktivieren, müssen Sie möglicherweise Windows neu installieren. Es wird empfohlen, vor dem Betrieb einen Systemwiederherstellungspunkt zu erstellen.
• Erstellen Sie deshalb grundsätzlich einen Systemwiederherstellungspunkt, bevor Sie Änderungen an Benutzerkonten vornehmen.

Nach der Deaktivierung:

• Überprüfen Sie mit net user administrator, ob der Status korrekt auf „Konto aktiv: Nein“ gesetzt wurde.
• Stellen Sie sicher, dass das reguläre Administratorkonto ein starkes Passwort besitzt.

In Unternehmensumgebungen:

• Nutzen Sie zusätzlich Microsoft Entra ID (ehemals Azure Active Directory) oder Active Directory Group Policies, um das integrierte Administratorkonto auf allen Rechnern zentral zu deaktivieren.
• Microsoft führte mit einem Windows-Update eine lokale Gruppenrichtlinie ein, die das eingebaute Administratorkonto gegen Brute-Force-Angriffe schützen soll. Außerdem setzt Microsoft für diesen Account die Passwortregeln durch, sodass eine zeitlich begrenzte Sperrung nach mehreren erfolglosen Anmeldeversuchen aktiviert werden kann.

Aktueller Hinweis für 2026:
Microsoft ist dabei, die Sicherheit von Windows 11 weiter zu erhöhen. Mit der neuen Funktion „Administratorschutz“ wird in Administratorkonten die klassische Benutzerkontensteuerung (UAC) ersetzt. Dabei muss der Benutzer jeden Verwaltungsvorgang interaktiv autorisieren, und die Integration von Windows Hello erhöht die Sicherheit weiter. Deshalb ist es sinnvoll, Windows 11 stets aktuell zu halten, um von diesen neuen Schutzfunktionen zu profitieren.

Welche Methode ist für wen geeignet?

Die Wahl der richtigen Methode hängt von Ihrer Windows-Edition und Ihrem Nutzungskontext ab. Die folgende Übersicht hilft Ihnen dabei:

Windows 10 Home / Windows 11 Home:
Ausschließlich CMD oder PowerShell stehen zur Verfügung, da weder lusrmgr.msc, secpol.msc noch gpedit.msc in den Home-Editionen enthalten sind.

Windows 10 Pro / Enterprise / Education und Windows 11 Pro / Enterprise / Education:
Alle fünf beschriebenen Methoden stehen zur Verfügung. Empfohlen werden dabei:

• CMD oder PowerShell für schnelle Einmal-Aufgaben.
• secpol.msc oder gpedit.msc für dokumentierte, regelbasierte Verwaltung.
• lusrmgr.msc für die komfortable grafische Verwaltung einzelner Konten.

Unternehmensumgebungen mit Active Directory:
Hier empfiehlt sich die zentrale Verwaltung über Gruppenrichtlinienobjekte (GPOs) im Active Directory, um das integrierte Administratorkonto auf allen Domänenrechnern einheitlich zu deaktivieren.

Was tun, wenn das Administratorkonto nach dem Neustart wieder aktiv ist?

Manchmal erscheint das Konto trotz Deaktivierung erneut im Anmeldebildschirm. Zusätzlich kann es vorkommen, dass eine Gruppenrichtlinie die Deaktivierung überschreibt. In diesen Fällen empfehlen sich folgende Schritte:

1. Überprüfen Sie in gpedit.msc unter Sicherheitsoptionen den Eintrag „Konten: Administratorkontostatus“ – dieser muss auf „Deaktiviert“ stehen.
2. Erzwingen Sie die Aktualisierung der Gruppenrichtlinien mit folgendem Befehl in der Admin-CMD:

gpupdate /force

3. Starten Sie danach den Computer neu und prüfen Sie erneut den Kontostatus.

Außerdem sollten Sie in Unternehmensumgebungen sicherstellen, dass keine übergeordnete Domänen-Gruppenrichtlinie das Konto regelmäßig reaktiviert.

Passwort des Administratorkontos vergessen – was jetzt?

Falls Sie das Passwort des integrierten Administratorkontos vergessen haben, benötigen Sie ein Windows-Installationsmedium. Starten Sie damit den Computer, öffnen Sie die Eingabeaufforderung über die Reparaturoptionen und setzen Sie mit net user Administrator NeuesPasswort ein neues Passwort. Alternativ hilft ein zweites Administratorkonto.

Deshalb gilt: Vergeben Sie dem Konto vor der Deaktivierung stets ein sicheres, dokumentiertes Passwort – so sind Sie für den Notfall gewappnet.

Unterschied: Administratorkonto deaktivieren vs. löschen

Viele Nutzer fragen sich, ob sie das Konto einfach löschen sollten. Jedoch ist das Löschen des integrierten Administratorkontos in Windows nicht möglich – und das ist auch gut so. Das integrierte Konto ist systemtief verankert. Stattdessen lässt es sich nur deaktivieren, was denselben Sicherheitseffekt erzielt: Das Konto ist unsichtbar, nicht anmeldbar und nicht über das Netzwerk erreichbar.

Zudem bleibt das deaktivierte Konto als Fallback erhalten – beispielsweise für Notfallreparaturen, wenn alle anderen Konten beschädigt sind.

Administratorkonto in Windows Server deaktivieren

Analog zu Windows 10 und 11 gilt dieselbe Vorgehensweise auch für Windows Server 2019, 2022 und 2025. Auch hier ist das integrierte Administratorkonto standardmäßig vorhanden. Deshalb gelten die beschriebenen CMD- und PowerShell-Befehle identisch. In Serverumgebungen empfiehlt sich jedoch zusätzlich:

• Die Umbenennung des Kontos über secpol.msc → „Konten: Administratorkonto umbenennen“.
• Die Aktivierung der Kontosperrungsrichtlinie gegen Brute-Force-Angriffe.
• Die regelmäßige Überprüfung über Ereignisanzeige (eventvwr.msc) auf verdächtige Anmeldeversuche.

Häufige Fragen zum Administratorkonto deaktivieren

Ist das integrierte Administratorkonto in Windows standardmäßig deaktiviert?

Ja. In Windows existiert ein spezielles Administratorkonto, das von Haus aus deaktiviert ist. Dieses versteckte Konto besitzt umfassende Systemrechte und ermöglicht umfassende Änderungen auf dem Computer. Deshalb sollte es nach jeder Nutzung sofort wieder deaktiviert werden.

Was passiert, wenn ich das Administratorkonto versehentlich aktiviert lasse?

Solange das Konto aktiv ist, können alle Programme – einschließlich Schadsoftware – ohne UAC-Abfrage mit vollen Systemrechten ausgeführt werden. Zudem kann das Konto von außen über das Netzwerk oder Remote Desktop angreifbar sein.

Kann ich das integrierte Administratorkonto löschen?

Nein. Das integrierte Administratorkonto ist Bestandteil des Betriebssystems und kann nicht gelöscht werden. Es lässt sich ausschließlich deaktivieren, was denselben Sicherheitseffekt erzielt.

Welcher CMD-Befehl deaktiviert das Administratorkonto?

Der Befehl lautet: net user Administrator /active:no. Dieser muss in einer als Administrator gestarteten Eingabeaufforderung ausgeführt werden.

Funktioniert die Deaktivierung auch in Windows 10 Home?

Ja. CMD und PowerShell stehen in allen Windows-Editionen zur Verfügung. Die grafischen Werkzeuge lusrmgr.msc, secpol.msc und gpedit.msc sind hingegen ausschließlich in den Pro-, Enterprise- und Education-Editionen verfügbar.

Wie prüfe ich, ob das Administratorkonto wirklich deaktiviert ist?

Geben Sie in einer als Administrator gestarteten Eingabeaufforderung den Befehl net user administrator ein. Steht in der Zeile „Konto aktiv“ der Wert „Nein“, ist das Konto korrekt deaktiviert.

Was mache ich, wenn das Konto nach einem Neustart wieder aktiv ist?

Überprüfen Sie, ob eine Gruppenrichtlinie die Einstellung überschreibt. Führen Sie gpupdate /force in der Admin-Eingabeaufforderung aus und prüfen Sie in gpedit.msc unter Sicherheitsoptionen den Eintrag „Konten: Administratorkontostatus“.

Ist der PowerShell-Befehl zur Deaktivierung anders als der CMD-Befehl?

Ja. In PowerShell lautet der empfohlene Befehl Disable-LocalUser -Name "Administrator". Alternativ funktioniert auch der klassische Befehl net user Administrator /active:no in PowerShell.

Kann ich das Administratorkonto umbenennen, statt es zu deaktivieren?

Ja. Über secpol.msc → „Konten: Administratorkonto umbenennen“ können Sie den Namen ändern. Das erhöht die Sicherheit, da Angreifer den Kontonamen nicht mehr automatisch kennen. Jedoch ersetzt die Umbenennung nicht die Deaktivierung – empfohlen wird, beides zu kombinieren.

Gilt die Deaktivierung auch für Microsoft-Konten und Azure-AD-Konten?

Nein. Das integrierte erhöhte Administratorkonto ist ausschließlich ein lokales Windows-Konto. Microsoft-Konten und Konten in Microsoft Entra ID (Azure AD) werden separat über das Microsoft-Kontoportal bzw. das Entra-Verwaltungszentrum verwaltet.

Fazit

Das erhöhte Administratorkonto in Windows 11 und 10 sollte nach jeder Nutzung umgehend deaktiviert werden. Dafür stehen je nach Edition mehrere Methoden zur Verfügung – am schnellsten und zuverlässigsten wirkt der Befehl net user Administrator /active:no in der Eingabeaufforderung.

Darüber hinaus empfiehlt sich ein regelmäßiger Statuscheck sowie die Aktivierung moderner Schutzfunktionen wie dem Windows-11-Administratorschutz. So bleibt Ihr System dauerhaft sicher.