Benutzer und Rechte: net user, net localgroup

Auf jedem Windows-PC gibt es lokale Benutzer und Gruppen – getrennt vom Active Directory der Firma. Sie verwalten wer am Rechner anmelden darf, wer Admin-Rechte hat, welche Programme ein User starten kann. Die GUI dafür heißt „Lokale Benutzer und Gruppen" (lusrmgr.msc) – aber für Skripte, Remote-Verwaltung und schnelle Aufgaben gibt es net user und net localgroup.

Diese Befehle sind seit Windows NT (1993) im System und funktionieren bis heute praktisch unverändert. Pflichtwissen für FISI: bei Server-Setup, beim Anlegen lokaler Service-Accounts, bei Notfall-Reset eines vergessenen Admin-Passworts. Das Konzept der Berechtigungen findest du in K10 Berechtigungskonzepte.

1) Lokale User vs. Domain-User: der Unterschied

Bevor wir Befehle eintippen: ein PC kann zwei Arten Anmeldungen kennen:

Lokale User: existieren nur auf diesem einen Computer. Anmeldung ohne Netzwerk möglich. Sicherheitsdaten in der lokalen SAM-Datenbank (C:\Windows\System32\config\SAM).
Domain-User: existieren im zentralen Active Directory auf einem Domain Controller. Anmeldung auf jedem Domain-PC möglich. Verwaltung über PowerShell mit Get-ADUser oder die ADUC-Konsole.

net user arbeitet primär mit lokalen Usern. Auf Workstations meistens egal (haben oft nur lokale plus Domain-Login), auf Servern wichtig (Service-Accounts sind meist lokal). Wer mit Domain-Usern arbeiten will: nimm PowerShell aus K44 L7.

2) net user: Übersicht der lokalen Benutzer

Ohne Argumente listet net user alle lokalen User auf:

net user

C:\> net user Benutzerkonten für \\LAPTOP-ANNA ------------------------------------------------------------------------------- Administrator anna DefaultAccount Gast Service-Backup WDAGUtilityAccount Der Befehl wurde erfolgreich ausgeführt.

Standardmäßig sind viele dieser Konten deaktiviert (z.B. Administrator und Gast). Aktive Konten erkennst du am Detail-Befehl:

net user NAME

C:\> net user anna Benutzername anna Vollständiger Name Anna Schmidt Bemerkung Hauptkonto Ländercode 000 (Systemstandard) Konto aktiv Ja Konto läuft ab Nie Letztes Setzen des Kennworts 10.05.2026 09:15:42 Kennwort läuft ab 08.08.2026 09:15:42 Kennwort änderbar 10.05.2026 09:15:42 Kennwort erforderlich Ja Benutzer kann Kennwort ändern Ja Zugelassene Arbeitsstationen Alle Letzte Anmeldung 17.05.2026 06:30:42 Lokale Gruppenmitgliedschaften *Administratoren *Benutzer Globale Gruppenmitgliedschaften *Keine Der Befehl wurde erfolgreich ausgeführt.

Schau dir besonders die letzten beiden Zeilen an: Lokale Gruppenmitgliedschaften. Hier siehst du dass „anna" Mitglied der Gruppe „Administratoren" ist – also volle Admin-Rechte auf diesem PC hat. Das ist genau die Info die du bei Sicherheits-Audits brauchst.

3) Net User Command-Builder

Stell dir ein realistisches Szenario vor: du sollst einen Service-Account anlegen für einen Backup-Dienst. Bau den Befehl interaktiv zusammen:

net user: Befehl konfigurieren

Benutzername:

Passwort:

Aktion:

Vollständiger Name:

Kommentar:

Optionen:

Passwort läuft ab User darf Passwort ändern Passwort erforderlich

Probier verschiedene Kombinationen. Beachte: bei Passwort-Aktion sollte das Passwort nicht im Skript stehen – nutze Variablen oder lass es interaktiv abfragen mit net user ANNA * (Sternchen am Ende = Prompt). Mehr zu sicherer Passwort-Handhabung in K11.

⚠ Passwort in der Befehlszeile

Wenn du net user anna NeuesPasswort mit dem Passwort direkt eintippst, landet es in der CMD-History und in Eventlogs! Sicherer: net user anna * – Sternchen statt Passwort, CMD fragt dann interaktiv ohne Bildschirm-Echo. Für Skripte: Variable oder besser PowerShell mit SecureString.

4) Wichtige net user-Beispiele

net user-Beispiele

REM Alle lokalen User C:\> net user REM Details eines Users C:\> net user anna REM Neuen User anlegen C:\> net user max NeuesPW123! /add /fullname:"Max Müller" REM Interaktive Passwort-Eingabe C:\> net user max * Geben Sie ein Kennwort für den Benutzer ein: ******** Kennwort erneut eingeben: ******** REM User deaktivieren (z.B. bei Austritt) C:\> net user max /active:no REM User wieder aktivieren C:\> net user max /active:yes REM Konto-Ablaufdatum setzen (für temporäre Praktikanten z.B.) C:\> net user max /expires:31.12.2026 REM Passwort soll nie ablaufen (NUR für Service-Accounts!) C:\> net user svc-backup /expires:never REM User löschen C:\> net user max /delete REM Auf Remote-Computer (gegen AD) C:\> net user max /domain

Mit /domain fragst du gegen Active Directory ab (sofern du in einer Domain bist). Aber: dort ist PowerShell deutlich besser geeignet.

5) Wichtige Standard-Gruppen

Windows hat eingebaute Gruppen mit fest definierten Rechten:

Wichtige eingebaute lokale Gruppen

Administratoren

VOLLE Kontrolle über den Rechner. Können alles installieren, ändern, löschen. Vorsicht! Mitgliedschaft minimal halten – Least-Privilege.

Benutzer

Standard-Rechte. Können Programme starten aber nicht installieren, keine Systemänderungen. Default-Gruppe für normale Mitarbeiter.

Hauptbenutzer

DEPRECATED. Hat in modernen Windows-Versionen keine wirklichen Privilegien mehr. Nur noch aus Kompatibilität dabei.

Sicherungs-Operatoren

Dürfen Backups machen – auch von Dateien zu denen sie sonst keine Lese-Rechte hätten. Spezielles Privileg „SeBackupPrivilege". Für Backup-Service-Accounts.

Remotedesktopbenutzer

Dürfen sich per RDP anmelden. Ohne diese Gruppe schlägt der Remote-Login fehl, selbst mit gültigen Credentials.

Netzwerkkonfigurations-Operatoren

Dürfen Netzwerkadapter umkonfigurieren ohne Admin zu sein. Für Helpdesk-Accounts manchmal nützlich.

Gäste

Standardmäßig deaktiviert. Sehr eingeschränkte Rechte. Für Wegwerf-Logins gedacht – heute selten benutzt.

Leistungsüberwachungs-Benutzer

Dürfen Performance-Counter abfragen (perfmon). Für Monitoring-Service-Accounts.

Diese Gruppen existieren auf jedem Windows. Ihre Berechtigungen sind via SDDL (Security Descriptor Definition Language) festgelegt und im Kernel verankert. Mehr zum Berechtigungs-Konzept in K10.

6) net localgroup: Gruppen verwalten

Gruppen anzeigen, Mitglieder verwalten:

net localgroup

REM Alle lokalen Gruppen C:\> net localgroup REM Mitglieder einer Gruppe C:\> net localgroup Administratoren Aliasname Administratoren Kommentar Vollständige Kontrolle über den Computer/Domäne. Mitglieder ----------------------------------------------------------------------------- Administrator anna firma\Domänen-Admins Der Befehl wurde erfolgreich ausgeführt. REM Neue Gruppe erstellen C:\> net localgroup Entwickler /add /comment:"Entwickler-Team" REM User zur Gruppe hinzufügen C:\> net localgroup Entwickler max /add REM Mehrere User auf einmal C:\> net localgroup Entwickler anna max bob /add REM Domain-User zur lokalen Gruppe hinzufügen (in AD-Umgebung) C:\> net localgroup Administratoren firma\carla /add REM User aus Gruppe entfernen C:\> net localgroup Entwickler max /delete REM Ganze Gruppe löschen C:\> net localgroup Entwickler /delete

Wichtiges Pattern: in Domain-Umgebungen ist es üblich AD-Gruppen zu lokalen Gruppen hinzuzufügen, statt einzelne User. Beispiel: die AD-Gruppe „GG-IT-Admins" wird zur lokalen Administratoren-Gruppe hinzugefügt. Dann erbt jeder neue IT-Mitarbeiter automatisch die Admin-Rechte beim ersten Login. Best-Practice: AGDLP-Prinzip (Accounts → Globale Gruppen → Domain-Local Groups → Permissions). Mehr in K28.

7) Wer bin ich? whoami

Der wichtigste Begleit-Befehl: whoami zeigt dir wer du gerade bist und was du darfst:

whoami und Varianten

C:\> whoami laptop-anna\anna C:\> whoami /groups Gruppeninformationen -------------------- Gruppenname Typ SID ============================================================================= Jeder Bekannte Gruppe S-1-1-0 NT-AUTORITÄT\Authentifizierte Benutzer Bekannte Gruppe S-1-5-11 LAPTOP-ANNA\Administratoren Alias S-1-5-32-544 LAPTOP-ANNA\Benutzer Alias S-1-5-32-545 FIRMA\Domain Users Gruppe S-1-5-... FIRMA\GG-Buero-Admin Gruppe S-1-5-... C:\> whoami /priv PRIVILEGIENINFORMATIONEN ------------------------ Privilegienname Status ============================== ======== SeShutdownPrivilege Aktiviert SeChangeNotifyPrivilege Aktiviert SeUndockPrivilege Aktiviert SeIncreaseWorkingSetPrivilege Aktiviert SeTimeZonePrivilege Aktiviert C:\> whoami /user BENUTZERINFORMATIONEN --------------------- Benutzername SID ================ ============================================= laptop-anna\anna S-1-5-21-3623811015-3361044348-30300820-1013

Die SID (Security Identifier) ist die eindeutige interne ID jedes Users – Windows arbeitet intern damit, nicht mit dem Klartext-Namen. Wenn du jemals einen verwaisten Ordner unter C:\Users\TEMP.WHATEVER findest, ist das ein User dessen SID nicht mehr aufgelöst werden kann.

8) Berechtigungen prüfen: bin ich Admin?

Für Skripte ist eine häufige Frage: läuft dieses Skript als Admin? Es gibt mehrere Tricks das zu prüfen:

Admin-Check

REM Methode 1: net session (Admin-only Befehl) C:\> net session >nul 2>&1 && echo Bin Admin || echo Bin KEIN Admin REM Methode 2: whoami /groups nach S-1-5-32-544 (Admins-SID) C:\> whoami /groups | findstr /B /C:"BUILTIN\Administratoren" REM In einem Batch-Skript: @echo off net session >nul 2>&1 if %errorlevel% NEQ 0 ( echo Dieses Skript braucht Admin-Rechte! pause exit /b 1 ) echo OK, lasse das Admin-Zeug los...

Das ist ein häufiges Pattern am Anfang von Wartungs-Skripten: erst prüfen ob Admin, sonst sofort abbrechen mit Hinweis. Sonst hat man halbfertig durchlaufene Operationen mit Fehlern – das ist viel ärgerlicher als ein klarer Stopp am Anfang.

9) Befehl als anderer User ausführen: runas

Manchmal willst du einen einzelnen Befehl unter einem anderen User ausführen, ohne dich neu anzumelden. runas macht das – das CMD-Pendant zu sudo unter Linux:

runas

REM CMD als Administrator öffnen C:\> runas /user:Administrator cmd Geben Sie das Kennwort ein: REM Mit Domain-Account C:\> runas /user:firma\admin "mmc dsa.msc" REM Mit gespeicherten Credentials (interaktiv beim ersten Mal) C:\> runas /user:firma\admin /savecred cmd REM Profil komplett laden C:\> runas /user:firma\admin /loadprofile cmd

Achtung mit /savecred: Die Anmeldedaten werden in der Windows-Anmeldeinformationsverwaltung gespeichert. Bei einem Admin-Account ist das ein Sicherheitsrisiko – jeder mit Zugang zur Maschine könnte diese Credentials nutzen. Mehr zu sicherer Credentials-Handhabung in K11.

10) Praktisches Beispiel: Helpdesk-Skript

Ein realistisches Skript für den Helpdesk: einen neuen Mitarbeiter mit Standard-Rechten anlegen:

new-employee.bat

@echo off setlocal REM Admin-Check net session >nul 2>&1 if %errorlevel% NEQ 0 ( echo Dieses Skript braucht Admin-Rechte! pause exit /b 1 ) REM Argumente prüfen if "%~1"=="" ( echo Verwendung: new-employee.bat ^<Username^> ^<FullName^> exit /b 1 ) set USER=%~1 set FULLNAME=%~2 echo [INFO] Lege User %USER% an... net user %USER% * /add /fullname:"%FULLNAME%" /passwordchg:yes if %errorlevel% NEQ 0 ( echo [FEHLER] User konnte nicht angelegt werden exit /b 2 ) echo [INFO] Füge zu Benutzer-Gruppe hinzu... net localgroup Benutzer %USER% /add echo [INFO] Erlaube RDP-Zugriff (falls auf Server)... net localgroup "Remotedesktopbenutzer" %USER% /add 2>nul echo [OK] User %USER% erfolgreich eingerichtet. echo Bitte beim ersten Login das Passwort ändern. endlocal exit /b 0

Das Skript nutzt vieles aus den vorherigen Lektionen: Argumente und setlocal aus L6, if-Bedingungen aus L7, sowie die hier gelernten net-Befehle. Mit dem * bei net user wird das Passwort interaktiv abgefragt – sicherer als es ins Skript zu schreiben.

11) Vergleich zu PowerShell

Aufgabe	CMD	PowerShell
Lokale User listen	`net user`	`Get-LocalUser`
User anlegen	`net user X PW /add`	`New-LocalUser`
User löschen	`net user X /delete`	`Remove-LocalUser`
Gruppen listen	`net localgroup`	`Get-LocalGroup`
Zu Gruppe hinzufügen	`net localgroup G X /add`	`Add-LocalGroupMember`
Mitglieder einer Gruppe	`net localgroup G`	`Get-LocalGroupMember`
Wer bin ich?	`whoami`	`$env:USERNAME`
Domain-User	(eingeschränkt mit /domain)	Get-ADUser, New-ADUser

Faustregel: für lokale User auf einem Rechner geht beides – CMD ist kompakter. Für Domain-User ist PowerShell mit den AD-Cmdlets deutlich besser geeignet. whoami ist universell überall verfügbar.

12) Sicherheits-Best-Practices

Ein paar Regeln die du als FISI verinnerlichen solltest:

Least Privilege: User nur die Rechte geben die sie brauchen. Nicht jeden in „Administratoren" packen. K10 im Detail.
Service-Accounts trennen: Nicht den eigenen Admin-Account für Dienste verwenden. Eigene Service-Accounts mit speziell zugeschnittenen Rechten (oft nur „Anmelden als Dienst", manchmal „Sicherungsoperatoren").
Mitarbeiter-Austritt → erst deaktivieren, nicht löschen: Daten könnten noch gebraucht werden. Mehr zu Aufbewahrungspflichten in K05.
Passwort-Hygiene: Lange Passwörter, regelmäßiger Wechsel (für Personen) bzw. komplexe und unveränderliche Passwörter für Service-Accounts.
Auditing: Regelmäßig prüfen wer in „Administratoren" ist. Mit net localgroup Administratoren oder Reporting-Skripten.
Standard-Konten: „Administrator" und „Gast" deaktiviert lassen – sie sind bekannte Angriffsziele.

Zusammenfassung

net user verwaltet lokale Benutzer: ohne Args = Liste, mit Name = Details, /add = neu, /delete = weg, /active:yes/no = aktivieren/deaktivieren, /expires:DATUM = Ablauf, * = interaktive Passwort-Eingabe (sicher!). net localgroup: Gruppen-Verwaltung, mit Username/Gruppenname und /add oder /delete. Wichtige Gruppen: Administratoren (volle Rechte), Benutzer (Standard), Remotedesktopbenutzer, Sicherungs-Operatoren. whoami zeigt aktuellen User, /groups Mitgliedschaften, /priv Privilegien, /user SID. Admin-Check in Skripten: net session >nul 2>&1 && ... || .... runas für Befehle als anderer User (CMD-Pendant zu sudo). Best-Practices: Least-Privilege, eigene Service-Accounts, bei Austritt erst deaktivieren, Standard-Konten deaktiviert lassen. Für Domain-User ist PowerShell mit AD-Cmdlets deutlich besser. Mehr Konzepte in K10 und K28.