Windows 11: Automatische Anmeldung einrichten oder deaktivieren

Variante 1) Passworteingabe deaktivieren mit netplwiz

Variante 2) Einrichtung über Sysinternals-Tool „Autologon“ (empfohlene Methode)

Die einfachste und sicherste Methode für normale Nutzer, um die automatische Anmeldung in Windows einzurichten, ist das offizielle Microsoft-Tool Sysinternals Autologon. Dieses Programm wird direkt von Microsoft bereitgestellt und übernimmt die komplette Einrichtung automatisch – ohne dass man selbst in der Registry Änderungen vornehmen muss.

Diese Methode sorgt – anders als Variante 1 – nicht nur dafür, dass die Passworteingabe entfällt, sondern auch dafür, dass ohne Interaktion auf dem Anmeldebildschirm „durchgebootet“ wird.

So geht’s Schritt für Schritt:

1. Download: Rufen Sie die Microsoft-Seite „Sysinternals Autologon“ auf . Laden Sie die ZIP-Datei herunter und entpacken Sie sie.
2. In der ZIP-Datei von Sysinternals Autologon sind mehrere ausführbare Dateien (.exe) enthalten, weil Microsoft das Tool in unterschiedlichen Varianten für verschiedene Windows-Architekturen und Szenarien bereitstellt:
   • Autologon.exe: 32-Bit-Version des Tools. Nur relevant, wenn Sie ein 32-Bit-Windows nutzen (was heute äußerst selten ist).
   • Autologon64.exe: 64-Bit-Version für moderne Windows-Systeme: Diese Version ist die richtige für praktisch alle aktuellen Windows-10- und Windows-11-Installationen (auch Home, Pro, Enterprise).
   • Autologon64a.exe: „Alternative Build“ für bestimmte internationale oder ältere Builds. Wird nur benötigt, wenn die normale 64-Bit-Version beim Start eine Fehlermeldung zeigt oder das Passwortfeld nicht korrekt öffnet (z. B. auf älteren Server-Versionen oder Nicht-Standard-Locales). In 99 % der Fälle nicht erforderlich.
3. Wenn Sie ein normales Windows 10 oder Windows 11 mit 64-Bit installiert haben – was auf praktisch allen Geräten seit vielen Jahren der Fall ist – dann verwenden Sie Autologon64.exe.
4. Start als Administrator: Klicken Sie mit der rechten Maustaste auf die Datei Autologon.exe und wählen Sie „Als Administrator ausführen“. Akzeptieren Sie die Lizenzbedingungen.
5. Benutzerdaten eingeben:
   • Benutzername:
     • Bei einem Microsoft-Konto tragen Sie die vollständige E-Mail-Adresse ein, z. B. max.mustermann@outlook.de.
     • Bei einem lokalen Konto reicht der exakte lokale Benutzername gemäß netplwiz, z. B. Administrator.
   • Domäne: Bei privat genutzten Computern, die nicht in einer AD-Domäne betrieben werden, wird hier entweder einfach nur als Platzhalter ein Punkt (.) oder der korrekte Rechnername, also Computername / NetBIOS-Name [Einstellungen → System → Info (ganz nach unten schauen): Gerätename = Computername] eingetragen.
   • Kennwort: Geben Sie das aktuelle Passwort des Benutzerkontos ein (das ist nicht die Windows-PIN).
6. Autologon aktivieren: Klicken Sie auf Enable. Das Tool legt die notwendigen Registry-Einträge automatisch an, speichert das Kennwort dabei aber verschlüsselt, sodass es nicht im Klartext sichtbar ist.
7. Neustart durchführen: Starten Sie den Computer neu. Wenn alles korrekt eingerichtet ist, meldet sich Windows künftig automatisch mit dem gewählten Konto an.
8. Autologon wieder deaktivieren: Wenn Sie die automatische Anmeldung nicht mehr wünschen, starten Sie das Tool erneut und klicken Sie auf Disable. Die Einträge werden wieder entfernt.

Variante 3) Einrichten über die Registry (komplex, jedoch alle Paramter selbst einstellbar)

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Werte (REG_SZ):
  "DefaultUserName"   = <Benutzername bzw. MSA-E-Mail>
  "DefaultPassword"   = <Kennwort>
  "DefaultDomainName" = <leer bei lokal/MSA; Domänenname bei AD>
  "AutoAdminLogon"    = "1"
Optional (REG_SZ):
  "ForceAutoLogon"    = "1"   ; sorgt auch nach Abmelden für erneutes Autologon
Optional (REG_DWORD):
  "AutoLogonCount"    = 0     ; >0 limitiert die Anzahl automatischer Logins

Workarounds, Registry und Gruppenrichtlinien

Wenn die grafische Option fehlt oder Richtlinien eingreifen, helfen diese gezielten Schalter. Änderungen sind mit Bedacht vorzunehmen und nach Tests ggf. wieder zurückzustellen:

• Windows-Hello-Zwang: Einstellungen → Konten → Anmeldeoptionen → Zusätzliche Einstellungen → „Nur Windows-Hello-Anmeldung für Microsoft-Konten auf diesem Gerät zulassen“ auf Aus stellen.
• Passwordless-Gerätestatus (fortgeschritten): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device → DevicePasswordLessBuildVersion auf 0 setzen, um die klassische Kennwortroute testweise wieder freizuschalten.
• ARSO (Automatic Restart Sign-On): ARSO meldet nach Update-Neustarts den zuletzt angemeldeten Benutzer an, sperrt aber sofort. Für saubere Tests temporär deaktivieren (siehe Beispiel unten). ARSO ersetzt kein ungesperrtes Autologon.
• Strg+Alt+Entf-Anforderung: In den lokalen Sicherheitsrichtlinien deaktivieren (Do not require CTRL+ALT+DEL), sonst wird der automatische Durchlauf unterbrochen.
• Rechtshinweis/Legal Notice: Entfernen/Deaktivieren, da der Hinweisbildschirm vor der Anmeldung Autologon stoppt.
• Schnellstart (Fast Startup): Bei inkonsistentem Verhalten testweise deaktivieren (Energieoptionen → „Auswählen, was beim Drücken des Netzschalters geschehen soll“ → „Schnellstart aktivieren“ abwählen).

// Beispiel: ARSO und Strg+Alt+Entf per Registry anpassen (als Admin)
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableAutomaticRestartSignOn /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCAD /t REG_DWORD /d 1 /f

// Passwordless-Schalter (fortgeschritten; Neustart empfohlen)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device" /v DevicePasswordLessBuildVersion /t REG_DWORD /d 0 /f

Sonderfälle und Einschränkungen:

1. Windows Hello / PIN / Biometrie
   Wenn der Passwordless-/Hello-Zwang aktiv ist, fehlt die netplwiz-Checkbox. Deaktivieren Sie den Zwang, richten Sie Autologon ein, und aktivieren Sie danach auf Wunsch wieder Hello.
2. Zwei-Faktor-Authentifizierung (MFA) bei Microsoft-Konten
   Lokales Autologon nutzt das vorhandene Token. Eine erneute MFA-Eingabe wird normalerweise nicht gefordert, solange das Gerät bereits erfolgreich registriert wurde. Nach Kennwort- oder Richtlinienänderungen müssen die Autologon-Daten ggf. aktualisiert werden.
3. Passwortwechsel / Kennwortablauf
   Änderungen an den Anmeldedaten (lokal/MSA/AD) erfordern ein Update der hinterlegten Werte (netplwiz/Registry/Sysinternals „Autologon“).
4. Domäne / Entra ID / Intune
   Unternehmensrichtlinien können Autologon unterbinden oder automatisch zurücksetzen (Compliance/Conditional Access). In solchen Umgebungen sind Kiosk/Assigned-Access oder Dienstkonten oft die bessere, sichere Alternative.
5. BitLocker mit Pre-Boot-Schutz
   Bei Start-PIN oder USB-Schlüssel hält BitLocker den Bootprozess an, bis die Vor-Boot-Anforderung erfüllt ist. Autologon kann den Pre-Boot-Schutz nicht umgehen (Design).
6. AutoLogonCount
   Ist ein positiver Wert gesetzt, endet Autologon nach der angegebenen Zahl automatischer Logins. Für ein dauerhaftes Autologon Wert entfernen oder auf 0 setzen.
7. ARSO (Verwechslung vermeiden)
   ARSO bewirkt eine automatische Wiederanmeldung nach bestimmten Neustarts, sperrt die Sitzung aber sofort. Das ist nicht gleichbedeutend mit einem ungesperrten Autologon in den Desktop.

Troubleshooting-Checkliste

• Hello-Zwang aus? Einstellungen → Konten → Anmeldeoptionen → Zusätzliche Einstellungen → „Nur Windows-Hello-Anmeldung…“ auf Aus.
• Passwordless-Registry geprüft? DevicePasswordLessBuildVersion ggf. auf 0 setzen (fortgeschritten).
• ARSO deaktiviert? Für Tests DisableAutomaticRestartSignOn=1.
• Strg+Alt+Entf nicht erzwingen (DisableCAD=1).
• Legal-Notice entfernt?
• Fast Startup testweise aus.
• AutoLogonCount neutralisiert?
• Kennwortwechsel synchronisiert (netplwiz/Autologon/Registry)?
• BitLocker-Pre-Boot erfüllt?
• Verwaltete Geräte: GPO/MDM/Conditional-Access prüfen; ggf. Kiosk/Assigned-Access statt Autologon.

PowerShell- und REG-Schnellbefehle (fortgeschritten, auf eigenes Risiko)

:: Autologon (lokales Konto – Beispiel)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d BENUTZERNAME /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d MEIN_KENNWORT /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t REG_SZ /d "" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v ForceAutoLogon /t REG_SZ /d 1 /f

:: ARSO für Tests deaktivieren
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableAutomaticRestartSignOn /t REG_DWORD /d 1 /f

:: Strg+Alt+Entf nicht erforderlich
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCAD /t REG_DWORD /d 1 /f

# Passwordless-Schalter (PowerShell, als Admin)
New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess" -Name "Device" -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device" -Name "DevicePasswordLessBuildVersion" -PropertyType DWord -Value 0 -Force | Out-Null

Hinweis: In produktiven Umgebungen ist „Autologon“ (Sysinternals) sicherer als Klartext-Registry-Einträge. Skripte eignen sich vor allem für Tests und Fehleranalysen.

Rückgängig machen und sicher deaktivieren

• netplwiz: Haken bei „Benutzer müssen Benutzernamen und Kennwort eingeben“ wieder setzen, neu starten.
• Sysinternals Autologon: Tool starten → „Disable“.
• Registry: AutoAdminLogon="0", DefaultPassword löschen; optional DefaultUserName/DefaultDomainName bereinigen.
• Sicherheitsmaßnahmen reaktivieren: Strg+Alt+Entf erzwingen, Logon-Banner/Gerätehärtung aktivieren, Windows Hello/PIN wieder einschalten, ARSO gemäß Bedarf konfigurieren.

Sicherheitsrisiken minimieren: Schutzmaßnahmen im Überblick

Alternativen für Praxisfälle

• Kiosk-/Assigned-Access: Startet gezielt eine App/Sitzung ohne vollen Desktop. Ideal für Digital Signage, Empfangs-PCs, Terminals.
• Dienste/Geplante Aufgaben: Benötigte Prozesse als Dienst laufen lassen statt eine interaktive Sitzung automatisch anzumelden.
• Schneller Benutzerwechsel: Auf Mehrbenutzersystemen oft sinnvoller als Autologon, da Rechte- und Verantwortlichkeitsgrenzen erhalten bleiben.

Microsofts Standpunkt und Sicherheitshinweis

Microsoft betrachtet Autologon als Komfortfunktion mit erhöhtem Risiko. In verwalteten Umgebungen (Domäne/Entra ID/Intune) wird Autologon häufig per Richtlinie untersagt. Für Administrator- oder Hauptbenutzerkonten ist Autologon in der Praxis nicht empfehlenswert. Wenn der Einsatz unvermeidbar ist, sollten begleitend stringente Härtungsmaßnahmen (Verschlüsselung, Geräteschutz, Minimierung von Rechten, Netzrestriktionen) implementiert werden.