Die Verwaltung von Benutzerkonten unter Windows kann mitunter recht kompliziert sein – insbesondere, wenn man Passwortänderungen einschränken möchte. Ob Sie nun verhindern wollen, dass bestimmte Benutzer ihre Passwörter ändern, oder die Option zum Ändern von Passwörtern einfach komplett ausblenden möchten – es gibt verschiedene Möglichkeiten. Ziel ist es, die Sicherheit zu erhöhen oder die Bedienung zu vereinfachen, insbesondere in Kiosk-Umgebungen oder bei aktiviertem Auto-Login. Doch die Konfiguration dieser Einstellungen kann mitunter recht unübersichtlich sein, und manche Optionen erfordern Administratorrechte oder Änderungen an der Registry. Gehen Sie daher vorsichtig vor oder erstellen Sie vorher unbedingt eine Sicherungskopie Ihrer Daten!
Wie man verhindert, dass Benutzer unter Windows Passwörter ändern
Methode 1: Verwendung lokaler Benutzer und Gruppen (lusrmgr.msc)
Dies ist wahrscheinlich die einfachste Methode für lokale Benutzerkonten, insbesondere unter Windows Pro oder Enterprise. Sie ist praktisch, wenn Sie die Einstellungen nur für wenige Benutzer vornehmen müssen. Dabei werden die Benutzereigenschaften so angepasst, dass Passwortänderungen blockiert und Passwörter dauerhaft gültig bleiben. Diese Methode eignet sich, wenn Sie die einzelnen Benutzerkonten detailliert verwalten möchten. Beachten Sie, dass der Benutzer nach dieser Konfiguration weder die Option zum Ändern des Passworts sieht noch ein neues Passwort festlegen kann – etwas ungewöhnlich, aber es funktioniert.
- Öffnen Sie „Ausführen“ durch Drücken der entsprechenden Taste Win + Rund geben Sie den Befehl ein
lusrmgr.msc, anschließend drücken Sie die Eingabetaste. - Erweitern Sie im Fenster den Ordner „Benutzer“.
- Klicken Sie mit der rechten Maustaste auf einen bestimmten Benutzer und wählen Sie dann Eigenschaften.
- Aktivieren Sie die Kontrollkästchen für „Benutzer kann Passwort nicht ändern“ und „Passwort läuft nie ab“. Diese Optionen verhindern, dass Benutzer ihre Passworteinstellungen verändern.
- Klicken Sie auf OK oder Anwenden, um die Änderungen zu speichern.
Bei manchen Konfigurationen werden die Änderungen möglicherweise nicht sofort wirksam; ein Neustart kann Abhilfe schaffen. Wenn Sie mehrere Konten verwalten, kann PowerShell diesen Vorgang wie folgt automatisieren:
Get-LocalUser user123 | Set-LocalUser -PasswordNeverExpires $True -UserMayChangePassword $False
Methode 2: Anpassen von Kennwortrichtlinien über Gruppenrichtlinien
Dieser Schritt ist entscheidend, wenn Sie das Ablaufen von Passwörtern für alle lokalen Konten deaktivieren und verhindern möchten, dass Benutzer ihre Passwörter ändern müssen. Dies ist besonders nützlich bei der Einrichtung gemeinsam genutzter Rechner oder Kiosksysteme, wo das Zurücksetzen von Passwörtern umständlich ist. Durch das Ändern der maximalen Passwortgültigkeitsdauer auf 0 wird das Ablaufen von Passwörtern praktisch verhindert. Beachten Sie jedoch, dass dies die Passwortrichtlinien des lokalen Rechners betrifft, nicht die Domänenrichtlinien. Wenn Sie also Teil einer Domäne sind, müssen Sie dort die Richtlinien separat festlegen.
- Öffnen Sie den Gruppenrichtlinien-Editor durch Drücken der Win + Rentsprechenden Taste und geben Sie Folgendes ein
gpedit.msc: - Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie.
- Suchen Sie die Einstellung „Maximales Passwortalter“ und ändern Sie diese von der Standardeinstellung (normalerweise 42 Tage) auf 0. Durch die Einstellung auf 0 wird das Ablaufdatum vollständig deaktiviert.
- Schließen Sie den Editor und lassen Sie die Richtlinie anwenden. Zur Überprüfung öffnen Sie die Eingabeaufforderung und führen Sie den Befehl aus
net accounts– dort sollte die maximale Passwortgültigkeitsdauer angezeigt werden.
Optional können Sie die aktuellen Einstellungen der Passwortrichtlinie auflisten:
Führen Sie den Befehl einfach net accountsin der Eingabeaufforderung (CMD) aus. Daraufhin werden Einstellungen wie die maximale Passwortgültigkeitsdauer und Sperrrichtlinien angezeigt. Wenn Sie eine maximale Passwortgültigkeitsdauer sehen, aber kein Ablaufdatum wünschen, verwenden Sie Folgendes:
net accounts /maxpwage:unlimited
Methode 3: Ausblenden der Schaltfläche „Passwort ändern“
Dies ist eine klassische Methode, um zu verhindern, dass Benutzer ihre Passwörter über das Menü oder die Tastenkombination Strg+Alt+Entf ändern. Besonders nützlich ist sie im Kioskmodus oder bei Systemen mit automatischer Anmeldung, da Passwortänderungen dort zu Problemen führen können. Die Idee besteht darin, die Option per Gruppenrichtlinie auszublenden oder die Registry anzupassen, um das Dialogfeld vollständig zu deaktivieren.
- Um die Funktion per Gruppenrichtlinie zu deaktivieren, gehen Sie zu Benutzerkonfiguration > Administrative Vorlagen > System > Strg+Alt+Entf-Optionen. Aktivieren Sie die Einstellung „ Kennwort ändern entfernen“. Dadurch wird der Eintrag „Kennwort ändern“ aus dem Sicherheitsbildschirm entfernt und ist für Benutzer nicht mehr zugänglich.
- Alternativ können Sie den Dialog zum Ändern des Kennworts direkt in der Registrierung deaktivieren, indem Sie diesen Befehl in der Eingabeaufforderung (CMD) oder PowerShell ausführen (stellen Sie sicher, dass Sie ihn als Administrator ausführen):
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableChangePassword /t REG_DWORD /d 1 /f
Dadurch wird der Zugriff auf den Dialog zum Ändern des Passworts blockiert. Achtung: Bei Problemen oder bestimmten Systemrichtlinien funktioniert die Änderung möglicherweise nicht oder erfordert einen Neustart. Außerdem wird diese Einstellung nicht auf allen Windows-Versionen übernommen, daher können die Ergebnisse variieren.
Dinge, die man beachten sollte
Das Deaktivieren der Passwortänderungsoptionen mag verlockend erscheinen, doch wenn jemand sein Passwort vergisst, lässt es sich ohne Administratoreingriff nur schwer wiederherstellen. Zudem können einige dieser Methoden normale Windows-Updates oder Sicherheitsfunktionen beeinträchtigen. Gehen Sie daher mit Bedacht vor. Eingriffe in die Registrierung oder Gruppenrichtlinien sind riskant – erstellen Sie vorher unbedingt ein Backup und führen Sie diese Schritte nur durch, wenn Sie mit möglichen Problemen vertraut sind.