Desktop Anmeldung

Was bedeutet es sich "an Windows" anzumelden. Dies ist ein Grundlagenartikel zur Anmeldung an einem Windows Desktop Client. Sowohl in privaten Bereich als auch an Firmen-Computern kann es da durchaus zu Missverständnissen kommen bis hin vom Verdacht, dass Microsoft das Konto gesperrt hätte oder sich OneDrive nicht anmelden kann.

Auslöser

Ich wurde gefragt, wie es sein kann, dass ein Privatanwender sich auf dem neuem Windows PC zwar anmelden, aber nicht mehr auf sein OneDrive zugreifen und auch nicht die Office Suite installieren konnten. Begriffe wie "falscher UPN" und ungültiges Konto etc. haben mir gezeigt, dass es immer noch zu viel Wissenslücken bei der Anmeldung an den Clients und Cloud-Diensten gibt. Daher versuche ich auf dieser Seite die verschiedenen Bausteine zusammen zu setzen.

Warum anmelden?

Seit Windows NT4.0 und bei Unix schon immer ist eine Anmeldung am Betriebssystem erforderlich. Das war bei DOS oder Windows 3.1/3.11/85/98 nicht der Fall. Eine Anmeldung ist in Kombination mit einem sicheren Dateisystem, ggfls. mit Verschlüsselung und unterschiedlicher Berechtigungen die Grundvoraussetzung für einen sicheren Betrieb. Es muss zumindest eine Unterscheidung nach Administrator, Benutzer und ggfls. Gast geben und idealerweise hat ein normaler Anwender nicht das "Admin-Konto" oder zumindest muss er sich die Admin-Rechte jedes Mal bestätigen, wenn er eine Software installiert (User Account Control).

Kontodatenbank

Damit sie sich an einem System anmelden können, muss das System natürlich wissen, wo die Konteninformationen herkommen oder hinterlegt sind. Bezogen auf einen Windows PC kennen die meisten Administratoren nur zwei mögliche Quellen:

  • Lokale Benutzerdatenbank
    Jeder Windows PC hat eine lokale "SAM", in der Benutzer verwaltet werden können. Dies ist auch die einzige Ablage, wenn der PC als Einzelplatzsystem genutzt wird. Einige Versionen von Windows können auch gar nicht in eine Domain aufgenommen werden.
  • Domain-Benutzerdatenbank
    Für Firmen interessant ist die Nutzung einer zentral bereitgestellten Benutzerdatenbank. Seit Windows NT 3.1 (Jul 1993) können Sie einen Domain Controller installieren und die Computer in die Domäne aufnehmen. Die lokale Benutzerdatenbank ist weiter für den lokalen Administrator vorhanden aber enthält dann keine Benutzer. Die meisten Firmen nutzen heute natürlich ein Active Directory aber es gibt auch z.B. Domänen, die von einem SAMBA-Server und Linux oder NAS-Systemen bereitgestellt werden.
    Diese Konten bezeichne ich im weiteren Text als "AD-Konten"

Einer der Vorteile einer Domäne ist, dass ein Anwender sich auf jedem PC anmelden kann. Der Desktop "vertraut" den Anmeldediensten der Domäne. Früher gab es auch andere Produkte, die solche zentralen Anmeldedienste bereitgestellt haben, z.B. Novell NetWare 2.x/3.x Bindery oder NetWare NDS, NIS/Yellow Pages, Banjan Vines, IBM OS/2. Diese Produkte spielen heute aber keine Rolle mehr.

Cloud Benutzer

Dafür gibt es nun aber immer mehr Cloud-Dienste und mit jeder neuen Windows Version wird von Microsoft die Anbindung an die Cloud vorangetrieben. Das passiert nun von mehreren Seiten:

  • Firmen ohne lokales Active Directory/Domain
    Es gibt aber schon Firmen, die ganz ohne lokales Active Directory arbeiten. Der Computer ist nicht in einer AD-Domain aber kann "AzureAD Joined" sein und vertraut dann dem AzureAD des Tenant. Das bedeutet faktisch, dass sich jeder Benutzer aus dem AzureAD auch auf dem Computer anmelden kann. Da dies aber keine "richtig Domainmitgliedschaft" ist, legt Windows bei der ersten Anmeldung ein lokales Konto an. Das ähnelt aktuell schon dem damalige Ansatz der NDS, wo ein Dienst auch OnTheFly einen lokalen Benutzer angelegt hat. Diese Konten bezeichne ich im weiteren Text als "AzureAD-Konten"
  • Firmen mit Hybrid
    Wenn Firmen ihr lokales AD mit der Cloud verbunden haben und die Anwender auf einem PC mit Domänenmitgliedschaft arbeiten, dann nutzen die Anwender auch die Cloud-Dienste, die aber erst einmal eine eigene Anmeldung erfordern. Natürlich ist eine Kopplung mit ADSync und z.B. Password Hash Sync (PHS) einfach möglich. Sie können den Computer auch mit dem AzureAD verbinden und mittels Intune verwalten. Hier ist aber immer noch das lokale AD führend und die AzureAD Identität nur eine zusätzliche Verbindung.
    Hier haben wir es dann mit einer Kombination aus "AD-Konten" und "AzureAD-Konten" zu tun.
  • Privat-Anwender mit Cloud
    Für Privatanwender gibt es aber eine ähnliche Konstruktion, denn auch hier geht der Trend zu mehreren PCs, Tablets und Smartphones und niemand möchte auf jedem PC eigenständige lokale Benutzerkonten anlegen und verwalten. In der Privatkundencloud von Microsoft gibt es "Microsoft Konten", die früher auch als "LiveID" oder "Passport" bezeichnet wurden.
    Der Besitzer eines Computers kann solche Konten "einladen", sich ebenfalls auf dem PC anzumelden. Wenn nun bei einer Familie jedes Mitglied sein eigenes Konto hat, kann sich jeder auf dem zugelassenen PC anmelden. Wenn dann noch eine Person eine Microsoft 365 Home-Edition kauft, haben bis zu 6 Familienmitglieder nicht nur Zugriff auf Word/Excel/PowerPoint sondern können über OneDrive (1TB / Benutzer) sogar überall auf ihre Daten zugreifen. Die Microsoft Cloud ist quasi ein Replikationshub und Dateiserver.
    Auch hier legt Windows einen lokalen Benutzer "OnTheFly" an, der auch nach der Abmeldung bestehen bleibt.

Das Konzept, dass Benutzer in der Cloud als Anmeldeidentität auf lokalen Geräten genutzt werden können, ist bei Apple (Apple-ID) und Android (Google Konto) ähnlich. Allerdings funktionieren diese Konten nicht mit Windows Desktops sondern entsprechend mit MacOS-Geräten oder Chromebooks.

Anmeldename UPN oder Mail?

Vorbei sind die Zeiten, als ein Anmeldenamen auf 15 Zeichen beschränkt war und die Benutzer die Domäne in der Regel weglassen konnten oder gar nicht mehr wussten. In der Cloud müssen Anmeldenamen eindeutig sein und daher nutzen alle Dienste einen Anmeldenamen, der aus einem "Userpart" und einer "Domain" und einem"@" in der Mitte besteht und "UserPrincipalName", abgekürzt UPN, bezeichnet wird. Die Adressen sehen aus wie die altbekannten SMTP-Adressen ihrer Mailbox und am besten sind die beiden Werte sogar identisch.

So enden viele Apple-ID-Konten auf "icloud.com", Google-Konten haben meist eine Gmail.com oder googlemail.com-Domäne und das klassische Microsoft endet auf "outlook.com". Alle Konten gibt es erst einmal "Kostenfrei" und mit einem kleinen Postfach und etwas Cloud-Speicher. Alle Anbieter möchten ja gerade die Benutzer an dieses Konto binden, damit sie es möglichst überall nutzen. Die verschiedenen "Anmelden mit..."-Buttons kennen Sie sicher auch auf verschiedenen Webseiten. Hier mal am Beispiel der Schulungsplattform EDX.Org oder Sessionize.com

Auch Facebook, LinkedIn, Twitter etc. sind scharf darauf, dass Sie deren Konten nutzen, weil alle Anbieter dann genau mitbekommen, wann Sie sich wo von von woher anmelden. Sie bezahlen mit ihren Daten, wenn sie schon kein Abonnement abschließen.

Interessant wird es nun wieder, wenn diese Dienste auch andere Domänen zulassen. Bei der Anmeldung bei Microsoft, Apple oder Google können Sie auch ihre eigene vorhandene Mailadresse angeben. Dann ist das ihr Anmeldenamen für diese Cloud-Konten. Interessant wird es nun natürlich, wenn ein Mitarbeiter seine Firmen-Mailadresse angibt, weil er sonst vielleicht gar keine Mailadresse hat.

Microsoft <> Azure

Auch wenn ein "Microsoft-Konto" und ein "AzureAD-Konto" beide von Microsoft gehostet werden und sehr ähnlich sich verhalten, sinst es dennoch unterschiedliche Plattformen mit unterschiedlichem Einsatzbereich. Bei Apple und Google gibt es dieses Risiko nicht, da beide (noch) keine lokalen Verzeichnisdienste oder Firmenverzeichnisse anbieten.

Wenn Sie daher auf ein Microsoft Cloud-Angebot gehen und nach dem Anmeldename gefragt werden, dann kommt es auf die Anmeldung an, welchen Dienst sie nutzen. Wenn Sie z.B. auf "ondrive.com" gehen, dann werden je nach Anmeldung auf unterschiedliche Services umgeleitet. Gleiches gilt auch für Microsoft Teams, da es hier sowohl eine "Firmenversion" als auch eine "Teams for Home"-Version gibt und um die Verwirrung abzurunden gibt es auch immer noch die Anmeldung an Skype, was nicht mit Skype for Business verwechselt werden darf. Wenn Sie dann noch damals die Mailadresse ihrer Firma zur Einrichtung eines Microsoft Konto in der Vor-Azure-Zeit für die "Windows Phones" genutzt haben, dann sollten sie die meisten Dienste mit einer Auswahl begrüßen:

Ist ein ein deutliches Zeichen, dass Sie den gleichen Anmeldenamen bzw. Mailadresse für beide Microsoft Dienste nutzen, was früher oder später zu Problemen führen kann. Denn nicht alle Dienste können damit umgehen und sie können dann nicht sicher sein, welches Konto denn gemeint ist. Wenn Sie dann unterschiedliche Kennworte nutzen, dann wird ein "Access Denied" auch schnell falsch interpretiert.

Privat und Firma trennen!

Daher ist es besonders hier wichtig, dass Sie "Privat" und "Firma" trennen. Heute kann ich mit aller Deutlichkeit sagen:

  • AzureAD Konto = Geschäftlich
    Verwaltung auf https://myaccount.microsoft.com
    Die Domain gehört der Firma und der Administrator hat die auch im Tenant registriert.
  • MicrosoftKonto = Privat
    Verwaltung auf https://account.microsoft.com
    Nutzen Sie dazu niemals eine Domain, die Sie auch in der Firma nutzen. Wenn Sie keine Domain haben, dann verwenden Sie einfach die kostenfreie von Microsoft angebotene "outlook.com"-Domain.

Mittlerweile unterbindet Microsoft den Versuch, eine Adresse zu verwenden, die schon in einem AzureAD registriert ist. Allein die DNS-Domain ist entscheidend.

Das war früher leider noch nicht so und vor vielen Jahren, als AzureAD und Office 365 noch zu neu was, hat Microsoft sogar Firmenmitarbeiter dazu aufgefordert ein "Microsoft Konto", z.B. zur Verwaltung der Lizenzen im "Volume License Center" anzulegen. Später wurden diese Zugriffsrechte dann zu einem AzureAD-Konto migriert aber das Microsoft Konto blieb bestehen. Schließlich konnte der Mitarbeiter darüber ja auch Software und Dienste für damals noch verfügbare "Windows Phones" kaufen.

Die gleiche Herausforderung gibt es aktuell auch bei AppleGeräten. Viele Firmen fangen damit an, ihre IPhone/MacOS-Geräte per eine MDM-Lösung wie Intune zu verwalten und registrieren dazu ihre DNS-Domain im Apple Service (Siehe auch Apple-ID mit Azure) Wenn Mitarbeiter in der Vergangenheit sich eine Apple-ID mit der Firmendomain angelegt haben, dann knirscht das auch, da mit der Einrichtung als Firma die Konten in die Verwaltung der Firma übergehen. Für den Mitarbeiter als Privatperson bedeutet dies, dass er vorher seine private Apple-ID auf eine andere Domain, z.B. icloud.com, umstellt. An der Apple-ID hängen ja auch Apps, Käufe und Abonnements. Für das private iPhone oder iPad u.a. möchte er Mitarbeiter sicher keine neue Apple-ID einrichten und damit den Zugriff auf seine gekauften Dienste und Daten in seiner iCloud verlieren.

Ersteinrichtung Windows

Wenn Sie das erste mal einen PC aus dem Supermarkt mit vorinstalliertem Windows hochfahren, dann startet ein Assistent zur Ersteinrichtung. Zuerst fragt Windows nach dem Land und der Tastatur. Windows bietet ihnen noch vor der Angabe eines Benutzernamens die Einrichtung einer LAN/WLAN-Verbindung an. Windows 11 erzwingt sogar Netzwerk, ehe Sie weiter machen wollen.

Zu dem Zeitpunkt versucht Windows erst einmal Updates u.a. zu beziehen. Offiziell geht es hier ohne Netzwerk nicht weiter. Selbst wenn Sie gar keine Netzwerkkarte haben, stoppt Windows 11 hier. Technisch ist hier aber die "OOBE" (Out of Box Experience) aktiv und mit SHIFT-F10 können Sie eine CMD-Shell öffnen und folgendes eingeben:

OOBE\BYPASSNRO

Nach dem Neustart können Sie dann ohne Netzwerk weiter machen, aber Auch hier müssen sie explizit das "Ich habe kein Internet" auswählen. Dark Patterns lassen grüßen.

Und auch im nächsten Dialog muss man noch einmal eine "eingeschränkte Einrichtung" explizit bestätigen, ehe das Setup die Eingabe eines Benutzernamens mit Kennwort und drei "Geheimfragen" erlaubt und danach noch sechs! weitere Fenster bezüglich WerbID, Diagnosedaten etc. zu beantworten sind.

Wenn Sie hingegen die Einrichtung mit einer Netzwerkverbindung durchführen, dann werden Sie gefragt, ob es ein privates oder Firmengerät ist.

Das kann sinnvoll sein, wenn es ein Firmengerät ist, welches sich automatisch an Azure anmelden kann (Autopilot). Aber auch beim privaten PC erfolgt dies nicht ohne Hintergedanken, denn wenn Windows eine Verbindung zum Internet herstellen kann, versteckt Windows die Option einen lokalen Benutzer anzulegen. Stattdessen werden Sie nach ihrer Mailadresse (gemeint ist eigentlich der UPN) gefragt und dann nach ihrem Kennwort.

Der vorsichtige Benutzer würde nun innehalten und hinterfragen, gegen welchen Service sich Windows hier denn Authentifizieren möchte. Es ist doch ein neue PC noch ohne lokale Benutzer. Wenn ihre "Mailadresse" zu einer Firma mit aktivem AzureAD gehört, in denen der Administrator einen "AzureAD Join durch Anwender" nicht unterbunden hat, dann wird der PC hier direkt in das AzureAD aufgenommen und ihre Anmeldedaten der Firma eingesetzt. In der Folge ist dieser PC dann auch kein "Privat-PC" mehr sondern ein Firmengerät mit umfangreichen Managementfunktionen und einer automatischen Anmeldung an OneDrive for Business und ggfls. weiterer Office 365 Dienste und Lizenzen.

Wenn ihre Mailadresse aber kein AzureAD-Gegenstück hat sondern "nur" ein Microsoft Konto, dann werden Sie ebenfalls mit diesen Daten am Windows Client eingerichtet und nach der Anmeldung kommen sie an ihr privates OneDrive. Im privaten Bereich habe ich das schon mehrfach miterlebt, dass ein Familienmitglied auf dem alten Computer alle Dokumente und Fotos mit OneDrive synchronisiert hat und nach der Ersteinrichtung eines neuen PCs quasi alles auch dort direkt wieder im Zugriff war.

Nach der Anmeldung als lokaler Benutzer hindert Sie natürlich niemand daran, das Konto mit OneDrive, Office 365 o.ä. zu verbinden. Sie können auch immer noch nachträglich so einen Computer in eine Windows AD Domäne oder AzureAD aufnehmen, wenn dies die Windows Edition unterstützt.

Gesperrtes Konto

Wenn ihr Konto kein "lokales Konto" ist, sondern das Betriebssystem einem anderen Anmeldedienst vertraut, dann sind sie auch von dessen Funktion abhängig. Natürlich gibt es "gecachte Credentials" und sie können sich an einem Windows-PC auch anmelden, wenn Sie schon einmal angemeldet waren und gerade keine Netzwerk-Verbindung besteht. Wenn ihr Konto aber z.B. deaktiviert/gesperrt ist und der Client bei der Anmeldung dies mit dem Anmeldedienst abgleichen kann, dann können Sie sich nicht mehr anmelden.

Diese Verhalten ist in Firmen natürlich essentiell, um z.B. ein kompromittiertes Konto zu schützen oder auch den Zugriff bei einer Kündigung zu unterbinden. Aber wie reagieren sie, wenn Microsoft z.B. ihr "Microsoft Konto" sperrt und Sie plötzlich nicht mehr an ihre Daten herankommen?

Ich habe leider noch kein Microsoft Konto an einem Computer angemeldet, welches danach dann gesperrt oder gelöscht wurde. Ich befürchte aber, dass der normale Anwender dann damit auch seine Probleme haben könnte.

Anmelden im Browser

Die Anmeldung an Windows und ggfls. Anmeldung an OneDrive macht auch beim Edge-Browser nicht halt. Auch hier bietet ihnen Microsoft freundlicherweise an, sich "anzumelden", damit Sie ihre Einstellungen auch in der Cloud sichern und damit über verschiedene Endgeräte synchronisieren. Microsoft schreibt dazu allerdings etwas ungenau "and more"

Vielleicht sollten Sie daher schon einmal das Privacy Statement lesen, insbesondere bei einem "Kostenfreien Microsoft Konto", wo es ja keine "bezahlte" Geschäftsbeziehung gibt, aus denen für beide Seiten die Rechte und vor allem Pflichten in verständlicher Sprache geregelt sind.

Wenn Sie schon am Computer angemeldet sind, dann zeigt ihnen Edge schon die verschiedenen Konten an:

Auf der einen Seite kann es ein Mehrwert sein, wenn Sie den PC wechseln und ihr Browser übernimmt alle Einstellungen. Sie wissen aber auch nie, wer diese Daten in der Cloud och alles einsieht und erreichen kann. Sie geben anhand ihrer Surfgewohnheiten schon viel über sich Preis und wir können nur hoffen, dass die Kennworte sicher sind. Ähnliche Fragen sollten Sie sich natürlich auch bei Google-Konten und der Synchronisierung in Chrome und bei Apple-IDs mit dem Cloud-Backup ihres kompletten Smartphones stellen, ehe Sie sich irgendwo anmelden und Daten übertragen.

Weitere Anmeldungen

Wenn Sie den Weg gewählt haben, sich mit einem lokalen Benutzer anzumelden, dann werden sie dennoch an den unterschiedlichsten Stellen zu einer "Anmeldung" aufgefordert, sei es der Microsoft Store, der Microsoft Edge-Browser, OneDrive, "Prämien" etc. Auch hier können Sie sowohl ein "Microsoft Konto" als auch ein "AzureAD-Konto" verwenden und werden gefragt, ob die Anmeldedaten gleich für Alles gelten soll:

Wer hier z.B. nur mal schnell mit einer Applikation arbeiten möchte ohne gleich alle Einstellungen zu verändern, sollte hier das weniger prominent platziert "Nein, nur bei dieser App anmelden" nutzen. Interessanterweise kann ich den Vorgang hier nicht abbrechen.

Zwischenstand

Die enge Integration von Microsoft-Konten und AzureAD-Konten in das Windows Betriebssystem und der "einfache vorgezeichnete Weg" führt in der Regel dazu, dass die meisten Anwender mit einem Cloud-Konto arbeiten. Das Wissen um lokale Konten, die zur zusätzlich eine Anmeldung an Cloud-Diensten haben, ist wenig bekannt. Solange private Anwender auch nur mit ihrer eigenen persönlichen Mailadresse bei Outlook.com, gmx.de, web.de, t-online.de oder einer Familiendomain bei einem Hoster arbeiten, wird es auch keinen Konflikt mit der Firmenadresse des Arbeitgebers geben. Kniffliger wird es, wenn Mitarbeiter mit ihrer Firmen-Mailadresse auch private Dienste einrichten und die Firma danach mit AzureAD, Apple der Google Enterprise startet. Dann gilt es die Konten korrekt auseinander zu dividieren.

Im Bezug auf den "Auslöser" für diese Seite haben sich die Probleme gelöst, nachdem die Anmeldung auf dem Privat-PC auch auf das private Microsoft-Konto umgestellt wurde, welche in der ganzen Zeit zur Verfügung stand. Wenn Sie auch solche Probleme haben, dann starten Sie doch einfach mal einen Browser im "privaten Mode" und schauen, ob sie sich auf https://onedrive.com oder https://account.microsoft.com mit ihrem Microsoft Konto anmelden können. Wenn dies geht, ist des sehr wahrscheinlich ein lokales Problem mit der Konfiguration des Windows Desktops.

Weitere Links