Windows 11/10: Letzten Benutzernamen am Anmeldebildschirm ausblenden – So geht’s

Letzten Benutzernamen am Anmeldebildschirm ausblenden: So sichern Sie Windows 11 und Windows 10 mit Registrierungseditor oder Gruppenrichtlinien-Editor ab.

Wer den letzten Benutzernamen am Anmeldebildschirm ausblenden möchte, kann dies unter Windows 11 und Windows 10 auf drei Wegen erledigen: über die lokale Sicherheitsrichtlinie, den Registrierungs-Editor oder die Gruppenrichtlinie.

Diese Anleitung erklärt alle Methoden Schritt für Schritt – inklusive Hinweisen zu Sicherheit, Vor- und Nachteilen sowie empfohlenen Vorgehensweisen für Privat- und Unternehmensumgebungen.

Warum zeigt Windows den letzten Benutzernamen an?

Standardmäßig zeigt Windows beim Starten oder Entsperren des Computers den Namen des zuletzt angemeldeten Benutzers auf dem Anmeldebildschirm an. Dieses Verhalten ist bewusst so gestaltet: Es erleichtert die tägliche Anmeldung, weil der Nutzer lediglich sein Kennwort eingeben muss, anstatt zusätzlich den Benutzernamen zu tippen.

Allerdings birgt diese Komfortfunktion in bestimmten Szenarien ein erhebliches Sicherheitsrisiko. Befindet sich ein Computer beispielsweise in einem öffentlich zugänglichen Bereich – etwa in einem Büro mit Publikumsverkehr, in einem Schulungsraum oder in einem Ladenlokal –, können Unbefugte den angezeigten Kontonamen einfach ablesen. Damit haben potenzielle Angreifer bereits die Hälfte der benötigten Anmeldedaten: den Benutzernamen. Deshalb empfiehlt es sich, diese Anzeige in sicherheitssensiblen Umgebungen konsequent zu deaktivieren.

Zudem ist es in Unternehmensumgebungen häufig unerwünscht, dass Mitarbeiter sehen, welcher Kollege sich zuletzt an einem bestimmten Gerät angemeldet hat. Ebenso kann auf gemeinsam genutzten Rechnern im Heimbereich – zum Beispiel von mehreren Familienmitgliedern – der Datenschutz ein Grund sein, den letzten Anmeldenamen zu verbergen. Microsoft hat diese Problematik erkannt und stellt deshalb seit langem eine entsprechende Richtlinieneinstellung bereit.

Methode 1: Lokale Sicherheitsrichtlinie (secpol.msc)

Die einfachste und übersichtlichste Methode für Einzelrechner ist die lokale Sicherheitsrichtlinie. Diese Methode steht jedoch ausschließlich in den Pro-, Enterprise- und Education-Editionen von Windows 10 und Windows 11 zur Verfügung. Nutzer der Home-Edition müssen daher auf den Registrierungs-Editor zurückgreifen (siehe Methode 2).

Schritt-für-Schritt-Anleitung:

1. Drücken Sie die Tastenkombination Windows + R, um das Ausführen-Fenster zu öffnen.
2. Geben Sie dort secpol.msc ein und bestätigen Sie mit Enter oder klicken Sie auf „OK“.
3. Das Fenster „Lokale Sicherheitsrichtlinie“ öffnet sich daraufhin.
4. Navigieren Sie im linken Bereich zu: Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen.
5. Suchen Sie im rechten Bereich nach dem Eintrag „Interaktive Anmeldung: Letzten angemeldeten Benutzer nicht anzeigen“ (in früheren Windows-10-Versionen vor 1703 hieß diese Einstellung „Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen“).
6. Doppelklicken Sie auf den Eintrag, um das Eigenschaften-Fenster zu öffnen.
7. Wählen Sie dort „Aktiviert“ aus.
8. Klicken Sie auf „OK“, um die Änderung zu speichern.

Ein Neustart ist für diese Einstellung nicht erforderlich. Die Änderung greift sofort, sobald Sie das Eigenschaften-Fenster schließen. Beim nächsten Aufruf des Anmeldebildschirms – etwa nach einer Bildschirmsperre mit Windows + L – wird der frühere Benutzername nicht mehr angezeigt. Stattdessen erscheint ein leeres Anmeldefeld, in das sowohl Benutzername als auch Kennwort eingetippt werden müssen.

Methode 2: Registrierungs-Editor (regedit) – auch für Windows Home

Nutzer der Windows 10 Home oder Windows 11 Home Edition haben keinen Zugang zur lokalen Sicherheitsrichtlinie. Für sie ist der Registrierungs-Editor der direkte Weg, um die gleiche Einstellung zu setzen. Außerdem eignet sich diese Methode hervorragend für Administratoren, die eine Änderung per Skript oder manuell auf einzelnen Rechnern schnell umsetzen möchten.

Wichtiger Hinweis: Bevor Sie Änderungen in der Windows-Registrierung vornehmen, sollten Sie stets eine Sicherung der Registry erstellen. Öffnen Sie dazu den Registrierungs-Editor, klicken Sie auf „Datei“ → „Exportieren“ und speichern Sie die Sicherungsdatei an einem sicheren Ort.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie Windows + R, tippen Sie regedit ein und bestätigen Sie mit Enter.
2. Klicken Sie im erscheinenden UAC-Dialog auf „Ja“, um den Editor mit Administratorrechten zu öffnen.
3. Navigieren Sie zum folgenden Registrierungspfad – Sie können diesen auch direkt in die Adressleiste des Editors einfügen:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
4. Suchen Sie im rechten Bereich nach dem DWORD-Wert „DontDisplayLastUserName“.

• Falls dieser Wert bereits vorhanden ist: Doppelklicken Sie darauf, ändern Sie die „Wertdaten“ auf 1 und bestätigen Sie mit „OK“.
• Falls dieser Wert noch nicht existiert: Klicken Sie mit der rechten Maustaste in den rechten Bereich, wählen Sie „Neu“ → „DWORD-Wert (32-Bit)“, benennen Sie ihn DontDisplayLastUserName, doppelklicken Sie darauf und setzen Sie die Wertdaten auf 1.

1. Schließen Sie den Registrierungs-Editor.

Die Änderung wirkt sich sofort aus. Außerdem gilt: Den Wert wieder auf 0 zu setzen oder den DWORD-Eintrag zu löschen, stellt das ursprüngliche Verhalten vollständig wieder her.

Optional – Benutzernamen auch während der Anmeldung ausblenden:

Zusätzlich existiert im selben Registrierungspfad ein weiterer DWORD-Wert namens „DontDisplayUserName“. Wird auch dieser auf 1 gesetzt, erscheint der vollständige Name des Benutzers selbst dann nicht, wenn dieser sich gerade anmeldet und das System seinen Namen normalerweise kurz einblendet. Beide Werte lassen sich somit kombinieren, um die Anzeige von Benutzerinformationen auf dem Anmeldebildschirm vollständig zu unterdrücken.

Methode 3: Gruppenrichtlinien-Editor (gpedit.msc) für Domänen und Netzwerke

In Unternehmensumgebungen, die mit Active Directory oder lokalen Gruppenrichtlinien arbeiten, ist der Gruppenrichtlinien-Editor die bevorzugte Lösung. Damit lässt sich die Einstellung zentral auf beliebig viele Computer im Netzwerk ausrollen, ohne jeden Rechner einzeln anfassen zu müssen. Ebenso wie die lokale Sicherheitsrichtlinie steht der Gruppenrichtlinien-Editor nur in den Pro-, Enterprise- und Education-Editionen zur Verfügung.

Schritt-für-Schritt-Anleitung (lokale Gruppenrichtlinie):

1. Öffnen Sie mit Windows + R das Ausführen-Fenster und geben Sie gpedit.msc ein.
2. Navigieren Sie im Gruppenrichtlinien-Editor zu:
   Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen
3. Suchen Sie den Eintrag „Interaktive Anmeldung: Letzten angemeldeten Benutzer nicht anzeigen“.
4. Doppelklicken Sie darauf und setzen Sie die Option auf „Aktiviert“.
5. Klicken Sie auf „OK“.

Deshalb eignet sich diese Methode besonders für Systemadministratoren: Über die Gruppenrichtlinien-Verwaltungskonsole (GPMC) lässt sich dasselbe Gruppenrichtlinienobjekt (GPO) auf eine gesamte Organisationseinheit (OU) anwenden. Dabei werden alle zugehörigen Computer bei der nächsten Richtlinienaktualisierung automatisch angepasst – entweder beim nächsten Neustart oder nach Ausführung von gpupdate /force in der Eingabeaufforderung.

Methode 4: PowerShell – ideal für Automatisierung und Remoteausführung

Eine weitere, besonders flexible Option ist die Umsetzung per PowerShell. Dabei wird derselbe Registry-Schlüssel gesetzt wie in Methode 2, jedoch lässt sich der Befehl sehr einfach in Skripten verwenden oder per Remoting auf mehrere Rechner gleichzeitig ausrollen. Deshalb bevorzugen viele Administratoren in größeren Umgebungen diesen Ansatz gegenüber manuellem Registry-Eingriff.

Befehl zum Aktivieren (PowerShell als Administrator ausführen):

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DontDisplayLastUserName" -Value 1 -Type DWord

Befehl zum Deaktivieren (Standardzustand wiederherstellen):

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DontDisplayLastUserName" -Value 0 -Type DWord

Öffnen Sie dazu die PowerShell als Administrator: Klicken Sie mit der rechten Maustaste auf das Startmenü, wählen Sie „Terminal (Administrator)“ oder „Windows PowerShell (Administrator)“ und führen Sie den gewünschten Befehl aus. Zusätzlich können Sie denselben Befehl um den Wert DontDisplayUserName erweitern, um auch die Anzeige des Namens während des Anmeldevorgangs selbst zu unterbinden.

Unterschied zwischen Windows 10 und Windows 11

Grundsätzlich funktionieren alle beschriebenen Methoden sowohl unter Windows 10 als auch unter Windows 11 identisch. Der Registrierungspfad, die Richtlinienbezeichnung und die Vorgehensweise sind in beiden Betriebssystemversionen gleich. Allerdings gibt es einige kleinere Unterschiede, die Sie kennen sollten:

Windows 10 zeigte in älteren Versionen (vor Version 1703) den Richtliniennamen noch als „Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen“. Seit Windows 10 Version 1703 trägt die Einstellung den aktualisierten Namen „Interaktive Anmeldung: Letzten angemeldeten Benutzer nicht anzeigen“, was dem veränderten Anmeldeverfahren mit PIN und Windows Hello Rechnung trägt.

Windows 11 hat zudem den Anmeldebildschirm optisch überarbeitet und zeigt das Benutzerkonto mit einem größeren Profilbild und dem vollständigen Anzeigenamen. Deshalb ist das Ausblenden des letzten Benutzers hier besonders wirksam: Mit aktivierter Richtlinie entfällt nicht nur der Name, sondern auch die Anmeldekachel des zuletzt aktiven Kontos vollständig. Stattdessen erscheint ein neutraler Anmeldebildschirm, der die Eingabe eines vollständigen Domänenkontonamens oder lokalen Benutzernamens und eines Kennworts verlangt.

Sicherheitsaspekte und empfohlene Vorgehensweisen

Das Ausblenden des letzten Benutzernamens ist eine anerkannte Sicherheitsmaßnahme, die in vielen IT-Sicherheitsrichtlinien und Compliance-Rahmenwerken (z. B. CIS Benchmarks für Windows) empfohlen wird. Deshalb sollten Sie die folgenden empfohlenen Vorgehensweisen berücksichtigen:

Für Einzelrechner und Heimnetzwerke: Empfohlen ist die Methode über die lokale Sicherheitsrichtlinie (secpol.msc) bei Pro- und Enterprise-Editionen. Home-Nutzer greifen am besten auf den Registrierungs-Editor zurück. Außerdem sollten Sie nach der Änderung testen, ob der Anmeldebildschirm das gewünschte Verhalten zeigt.

Für Unternehmen und verwaltete Umgebungen: Hier ist die Umsetzung über Gruppenrichtlinienobjekte (GPOs) via Active Directory eindeutig die empfohlene Vorgehensweise. Zudem lässt sich die Einstellung durch eine PowerShell-Lösung gut in bestehende Deployment-Skripte oder MDM-Lösungen (Mobile Device Management) integrieren.

Nach Windows-Updates prüfen: Feature-Updates können in seltenen Fällen Richtlinieneinstellungen überschreiben oder zurücksetzen. Deshalb empfiehlt es sich, nach jedem größeren Windows-Update (z. B. dem jährlichen Feature-Update) zu kontrollieren, ob die Einstellung weiterhin aktiv ist.

Keine vollständige Sicherheitslösung: Das Ausblenden des Benutzernamens erhöht zwar die Sicherheit spürbar, ersetzt jedoch keine weiteren Maßnahmen wie starke Kennwörter, Windows Hello mit PIN oder biometrischer Erkennung, BitLocker-Laufwerksverschlüsselung oder Kontosperrungsrichtlinien. Betrachten Sie diese Einstellung daher als sinnvollen Baustein innerhalb einer umfassenden Sicherheitsstrategie.

Einstellung rückgängig machen

Möchten Sie das ursprüngliche Verhalten wiederherstellen und den letzten Benutzernamen erneut anzeigen lassen, gehen Sie wie folgt vor:

• Über secpol.msc: Navigieren Sie erneut zur Einstellung und setzen Sie sie auf „Deaktiviert“ oder „Nicht definiert“.
• Über regedit: Setzen Sie den Wert DontDisplayLastUserName auf 0 oder löschen Sie den DWORD-Eintrag vollständig.
• Über PowerShell: Führen Sie den weiter oben genannten Befehl mit dem Wert 0 aus.
• Über gpedit.msc: Setzen Sie die Richtlinie auf „Deaktiviert“ oder „Nicht konfiguriert“.

In allen Fällen ist kein Neustart erforderlich. Allerdings empfiehlt es sich, nach der Änderung die Bildschirmsperre kurz zu aktivieren (Windows + L) und anschließend zu überprüfen, ob die Einstellung wie gewünscht greift.

Häufige Fragen zum Ausblenden des Benutzernamens am Anmeldebildschirm

Warum ist die Methode über secpol.msc bei Windows 11 Home nicht verfügbar?

Die lokale Sicherheitsrichtlinie (secpol.msc) sowie der Gruppenrichtlinien-Editor (gpedit.msc) stehen ausschließlich in den Editionen Windows 10/11 Pro, Enterprise und Education zur Verfügung. Microsoft hat diese Verwaltungswerkzeuge in der Home-Edition bewusst weggelassen. Deshalb müssen Home-Nutzer die Einstellung direkt über den Registrierungs-Editor vornehmen, da dieser in allen Windows-Versionen verfügbar ist.

Muss ich den Computer neu starten, damit die Änderung wirksam wird?

Nein. Änderungen an dieser Richtlinie werden wirksam, ohne dass ein Neustart des Geräts erforderlich ist, sobald sie lokal gespeichert oder über eine Gruppenrichtlinie verteilt wurden. Es reicht, den Anmeldebildschirm über Windows + L aufzurufen, um die Wirkung sofort zu sehen.

Was passiert, wenn sowohl DontDisplayLastUserName als auch DontDisplayUserName aktiv sind?

Sind beide Registry-Werte auf 1 gesetzt, wird einerseits der zuletzt angemeldete Benutzer nicht mehr auf dem Anmeldebildschirm angezeigt. Zusätzlich erscheint der vollständige Benutzername auch dann nicht, wenn jemand gerade den Anmeldeprozess durchläuft und das System diesen Namen normalerweise kurz einblendet. Damit ist die Anzeige von Benutzerdaten während des gesamten Anmeldevorgangs vollständig unterdrückt.

Gilt diese Einstellung auch beim Entsperren des Bildschirms?

Ja. Wenn die Richtlinie aktiviert ist, wird weder der vollständige Name des zuletzt angemeldeten Benutzers auf dem Secure Desktop angezeigt, noch wird die Anmeldekachel des Benutzers eingeblendet. Außerdem werden bei Verwendung der Funktion „Benutzer wechseln“ weder der vollständige Name noch die Anmeldekachel angezeigt. Die Einstellung gilt also gleichermaßen beim Neustart, bei der Bildschirmsperre und beim Benutzerwechsel.

Funktioniert die Einstellung auch bei Microsoft-Konten (Outlook/Live)?

Ja, die Einstellung funktioniert auch dann, wenn das Windows-Benutzerkonto mit einem Microsoft-Konto verknüpft ist. Der angezeigte Name auf dem Anmeldebildschirm ist der Anzeigename des Microsoft-Kontos. Nach Aktivierung der Richtlinie wird auch dieser Name zuverlässig ausgeblendet – unabhängig davon, ob es sich um ein lokales Konto oder ein Microsoft-Konto handelt.

Kann diese Einstellung durch ein Windows-Update zurückgesetzt werden?

Es kann nach einem Feature-Update vorkommen, dass Windows-Nutzer feststellen, dass der Benutzername wieder im Anmeldefenster erscheint. Deshalb empfiehlt es sich, die Einstellung nach jedem größeren Feature-Update erneut zu überprüfen. Bei unternehmensweitem Einsatz über Gruppenrichtlinien ist das Risiko geringer, da die Richtlinie beim nächsten Anwenden der GPOs automatisch neu gesetzt wird.

Welche Methode ist für eine Unternehmensumgebung am besten geeignet?

Für Unternehmensumgebungen ist die Umsetzung über Gruppenrichtlinienobjekte (GPOs) in Verbindung mit Active Directory die empfohlene Vorgehensweise. Alternativ lässt sich die Einstellung per PowerShell-Remoting auf viele Rechner gleichzeitig ausrollen. Außerdem bieten MDM-Lösungen wie Microsoft Intune die Möglichkeit, diese Richtlinie auch auf Azure-AD-verbundenen Geräten zuverlässig durchzusetzen.

Blendet diese Einstellung auch andere Benutzerkonten auf dem Anmeldebildschirm aus?

Nein. Die beschriebene Einstellung blendet ausschließlich den zuletzt angemeldeten Benutzer aus. Alle anderen Benutzerkonten, die auf dem Anmeldebildschirm als Kacheln dargestellt werden, sind davon nicht betroffen. Um einzelne Konten vollständig vom Anmeldebildschirm zu verbergen, ist ein separater Registry-Eingriff unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList nötig.

Ist diese Einstellung mit Windows Hello und PIN-Anmeldung kompatibel?

Ja, vollständig. Die Einstellung beeinflusst lediglich, welcher Benutzername vorausgefüllt oder angezeigt wird. Sie hat keinen Einfluss auf die eigentlichen Anmeldemethoden wie Windows Hello (Fingerabdruck, Gesichtserkennung) oder die PIN-Anmeldung. Deshalb können beide Sicherheitsfunktionen parallel aktiv sein, ohne sich gegenseitig zu beeinträchtigen.

Warum wird in Sicherheitsrichtlinien empfohlen, den letzten Benutzernamen auszublenden?

Der Benutzername auf dem Anmeldebildschirm kann böswilligen Akteuren als nützlicher Einstiegspunkt für Angriffe dienen, da damit bereits ein Teil der Anmeldedaten bekannt ist. Deshalb empfehlen Sicherheitsrichtlinien wie die CIS Benchmarks für Windows-Systeme das Ausblenden des letzten Benutzernamens als Bestandteil einer umfassenden Absicherung des Anmeldevorgangs.

Funktioniert diese Einstellung auch auf Windows-Servern?

Ja, die Richtlinie gilt neben Windows 10 und Windows 11 auch für Windows Server 2016, Windows Server 2019 und Windows Server 2022. Dort wird sie typischerweise für RDP-Anmeldebildschirme und die lokale Konsolenanmeldung eingesetzt. Besonders bei Terminalservern und Remote-Desktop-Sitzungen ist das Ausblenden des letzten Benutzernamens aus Sicherheitsgründen empfehlenswert.

Fazit

Das Ausblenden des letzten Benutzernamens am Windows-Anmeldebildschirm ist eine schnelle und effektive Sicherheitsmaßnahme, die sich über die lokale Sicherheitsrichtlinie, den Registrierungs-Editor, den Gruppenrichtlinien-Editor oder PowerShell umsetzen lässt. Alle Methoden funktionieren unter Windows 10 und Windows 11 zuverlässig.

Für Heimanwender empfiehlt sich secpol.msc (Pro-Edition) oder regedit (Home-Edition). In Unternehmen ist die Steuerung über Gruppenrichtlinien oder PowerShell die empfohlene Vorgehensweise – effizient, zentral verwaltbar und dauerhaft wirksam.