Windows 11: Automatische Anmeldung einrichten oder deaktivieren

Variante 2) Einrichtung über Sysinternals-Tool „Autologon“ (empfohlene Methode)

Die einfachste und empfehlenswerteste Methode für normale Nutzer ist das offizielle Microsoft-Tool Sysinternals Autologon. Dieses Programm wird von Microsoft bereitgestellt und richtet die automatische Anmeldung ein, ohne dass Sie die Winlogon-Registry-Werte manuell pflegen müssen.

Sysinternals Autologon ist gegenüber der manuellen Registry-Methode vorzuziehen, weil es die Anmeldedaten nicht als normalen Klartextwert DefaultPassword ablegt. Trotzdem bleibt Autologon ein Sicherheitsrisiko: Windows startet mit gültigen Zugangsdaten in eine Benutzerumgebung. Wer physischen Zugriff auf das Gerät hat, kann diese Sitzung nutzen; lokale Administratoren oder Angreifer mit Systemrechten können gespeicherte Geheimnisse grundsätzlich auslesen.

So geht’s Schritt für Schritt:

1. Download: Rufen Sie die Microsoft-Seite „Sysinternals Autologon“ auf. Laden Sie die ZIP-Datei herunter und entpacken Sie sie.
2. In der ZIP-Datei sind mehrere ausführbare Dateien enthalten, weil Microsoft das Tool für verschiedene Windows-Architekturen bereitstellt:
   • Autologon.exe: 32-Bit-Version für x86-Windows. Nur relevant, wenn tatsächlich ein 32-Bit-Windows eingesetzt wird.
   • Autologon64.exe: 64-Bit-Version für normale moderne Windows-10- und Windows-11-Systeme auf Intel- oder AMD-Prozessoren. Das ist in den meisten Fällen die richtige Datei.
   • Autologon64a.exe: ARM64-Variante für Windows on ARM, sofern diese Datei im ZIP-Paket enthalten ist. Sie wird auf klassischen Intel-/AMD-PCs nicht benötigt.
3. Wenn Sie ein normales Windows 10 oder Windows 11 mit 64-Bit auf Intel- oder AMD-Hardware verwenden, starten Sie Autologon64.exe.
4. Start als Administrator: Klicken Sie mit der rechten Maustaste auf die passende Datei und wählen Sie „Als Administrator ausführen“. Akzeptieren Sie die Lizenzbedingungen.
5. Benutzerdaten eingeben:
   • Benutzername:
     • Bei einem Microsoft-Konto tragen Sie die vollständige E-Mail-Adresse ein, zum Beispiel max.mustermann@outlook.de.
     • Bei einem lokalen Konto verwenden Sie den exakten lokalen Benutzernamen, zum Beispiel Administrator oder Thomas.
     • Bei einem AD-Domänenkonto verwenden Sie den Domänenbenutzer und tragen im Feld „Domain“ die Domäne ein.
   • Domäne: Bei privaten lokalen Konten verwenden Sie den Computernamen oder einen Punkt (.). Den Computernamen finden Sie unter Einstellungen → System → Info → Gerätename. Bei klassischen AD-Domänenkonten tragen Sie die Domäne ein. Bei Microsoft-Konten ist die vollständige E-Mail-Adresse im Benutzernamen entscheidend; bei Problemen ist Sysinternals Autologon meist weniger fehleranfällig als manuelle Registry-Werte.
   • Kennwort: Geben Sie das aktuelle Kennwort des Benutzerkontos ein. Die Windows-PIN, Fingerabdruck- oder Gesichtsanmeldung ersetzen dieses Kennwort nicht.
6. Autologon aktivieren: Klicken Sie auf Enable. Das Tool legt die erforderlichen Werte automatisch an und speichert die Anmeldedaten nicht als normalen Klartext-Registrywert.
7. Neustart durchführen: Starten Sie den Computer neu. Wenn keine Richtlinie, kein Rechtshinweis, keine Strg+Alt+Entf-Anforderung und kein BitLocker-Pre-Boot-Schutz eingreift, meldet sich Windows automatisch mit dem gewählten Konto an.
8. Autologon wieder deaktivieren: Starten Sie das Tool erneut und klicken Sie auf Disable. Die automatische Anmeldung wird entfernt.

Variante 3) Einrichten über die Registry (komplex, jedoch alle Parameter selbst einstellbar)

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Werte (REG_SZ):
  "DefaultUserName"   = <Benutzername bzw. Microsoft-Konto-E-Mail>
  "DefaultPassword"   = <Kennwort>
  "DefaultDomainName" = <Computername bei lokalem Konto; Domänenname bei AD>
  "AutoAdminLogon"    = "1"

Optional (REG_SZ):
  "ForceAutoLogon"    = "1"   ; meldet nach Abmelden erneut automatisch an

Optional:
  "AutoLogonCount"            ; begrenzt automatische Anmeldungen, falls gesetzt

Workarounds, Registry und Gruppenrichtlinien

Wenn die grafische Option fehlt oder Richtlinien eingreifen, helfen diese gezielten Schalter. Änderungen sollten bewusst vorgenommen, dokumentiert und nach Tests wieder zurückgestellt werden, wenn sie nur zur Fehleranalyse dienten.

• Windows-Hello-Zwang: Einstellungen → Konten → Anmeldeoptionen → Zusätzliche Einstellungen → „Nur Windows-Hello-Anmeldung für Microsoft-Konten auf diesem Gerät zulassen“ auf Aus stellen.
• Passwordless-Gerätestatus (fortgeschritten): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device → DevicePasswordLessBuildVersion auf 0 setzen, um die klassische Kennwortroute testweise wieder freizuschalten.
• ARSO (Automatic Restart Sign-On): ARSO meldet nach bestimmten Update-Neustarts den zuletzt angemeldeten Benutzer wieder an und sperrt die Sitzung anschließend. ARSO ersetzt kein ungesperrtes Autologon bis zum Desktop.
• Strg+Alt+Entf-Anforderung: Wird die sichere Anmeldung erzwungen, kann sie den automatischen Ablauf unterbrechen. Die Richtlinie „Do not require CTRL+ALT+DEL“ beziehungsweise der Wert DisableCAD=1 verhindert die zusätzliche Tastenkombination.
• Rechtshinweis/Legal Notice: Ein vorgeschalteter Hinweisbildschirm muss bestätigt werden und stoppt dadurch Autologon. Entfernen Sie ihn nur, wenn dies organisatorisch und rechtlich zulässig ist.
• Schnellstart (Fast Startup): Bei inkonsistentem Verhalten kann ein Test ohne Schnellstart helfen. Öffnen Sie die Energieoptionen und deaktivieren Sie „Schnellstart aktivieren“ testweise.
• Shift-Taste beim Start: Das Gedrückthalten der Umschalttaste kann AutoAdminLogon während des Starts unterbrechen. Das ist hilfreich zur Fehleranalyse oder wenn ein anderer Benutzer angemeldet werden soll.

:: Beispiel: ARSO und Strg+Alt+Entf per Registry anpassen (als Admin)
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableAutomaticRestartSignOn /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCAD /t REG_DWORD /d 1 /f

:: Passwordless-Schalter (fortgeschritten; Neustart empfohlen)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device" /v DevicePasswordLessBuildVersion /t REG_DWORD /d 0 /f

Sonderfälle und Einschränkungen:

1. Windows Hello / PIN / Biometrie
   Wenn der Passwordless- oder Hello-Zwang aktiv ist, fehlt häufig die netplwiz-Checkbox. Deaktivieren Sie den Zwang, richten Sie Autologon ein und prüfen Sie danach, ob Windows Hello wieder aktiviert werden soll. Die PIN ersetzt nie das Kennwort für Autologon.
2. Zwei-Faktor-Authentifizierung (MFA) bei Microsoft-Konten
   Lokales Autologon nutzt gespeicherte Windows-Anmeldeinformationen. Eine erneute MFA-Eingabe wird normalerweise nicht bei jedem Start gefordert, solange das Gerät bereits vertrauenswürdig eingerichtet ist. Nach Kennwort-, Sicherheits- oder Richtlinienänderungen müssen die Autologon-Daten dennoch aktualisiert werden.
3. Passwortwechsel / Kennwortablauf
   Änderungen an lokalen, Microsoft-, AD- oder Microsoft-365-Kennwörtern erfordern ein Update der hinterlegten Werte. Andernfalls schlägt Autologon fehl oder Windows bleibt am Anmeldebildschirm stehen.
4. Domäne / Entra ID / Intune
   Unternehmensrichtlinien können Autologon unterbinden oder automatisch zurücksetzen. Auf ausschließlich Entra-ID-verbundenen Geräten kann zusätzlich die Verfügbarkeit der Cloud-Anmeldedienste eine Rolle spielen. Für Kiosk-, Terminal- oder Digital-Signage-Szenarien sind Kioskmodus, Assigned Access, Shell Launcher oder speziell gehärtete lokale Konten häufig die bessere Lösung.
5. BitLocker mit Pre-Boot-Schutz
   Bei Start-PIN oder USB-Schlüssel hält BitLocker den Bootprozess an, bis die Vor-Boot-Anforderung erfüllt ist. Autologon kann diesen Schutz nicht umgehen und startet erst nach erfolgreichem Windows-Boot.
6. AutoLogonCount
   Ist ein Begrenzungswert gesetzt, endet Autologon nach der festgelegten Anzahl automatischer Anmeldungen. Wenn dauerhaftes Autologon gewünscht ist, prüfen und entfernen Sie den Wert, sofern er nicht absichtlich gesetzt wurde.
7. ARSO (Verwechslung vermeiden)
   ARSO bewirkt eine automatische Wiederanmeldung nach bestimmten Neustarts und sperrt die Sitzung anschließend. Das ist nicht gleichbedeutend mit einem ungesperrten Autologon direkt in den Desktop.

Troubleshooting-Checkliste

• Hello-Zwang aus? Einstellungen → Konten → Anmeldeoptionen → Zusätzliche Einstellungen → „Nur Windows-Hello-Anmeldung…“ auf Aus.
• Passwordless-Registry geprüft? DevicePasswordLessBuildVersion bei Bedarf auf 0 setzen.
• Benutzername korrekt? Bei lokalen Konten exakten lokalen Namen verwenden; bei Microsoft-Konten die vollständige E-Mail-Adresse; bei AD-Konten die passende Domäne.
• Kennwort statt PIN verwendet? Autologon benötigt das Kontokennwort, nicht die Windows-Hello-PIN.
• ARSO deaktiviert? Für Tests DisableAutomaticRestartSignOn=1 setzen.
• Strg+Alt+Entf nicht erzwingen oder DisableCAD=1 setzen.
• Legal Notice entfernt? Ein Rechtshinweis vor der Anmeldung verhindert den ununterbrochenen Ablauf.
• Fast Startup testweise aus? Der Schnellstart kann bei manchen Geräten inkonsistente Zustände erhalten.
• AutoLogonCount neutralisiert? Begrenzungswert prüfen und bei unerwünschter Limitierung entfernen.
• Kennwortwechsel synchronisiert? netplwiz, Sysinternals Autologon oder Registry nach jeder Kennwortänderung aktualisieren.
• BitLocker-Pre-Boot erfüllt? Start-PIN oder USB-Schlüssel müssen vor Windows eingegeben werden.
• Verwaltete Geräte: GPO, MDM, Intune, Compliance und Conditional Access prüfen. Für Spezialgeräte lieber Kiosk/Assigned Access statt Autologon verwenden.

PowerShell- und REG-Schnellbefehle (fortgeschritten, auf eigenes Risiko)

Warnung: Das folgende Registry-Beispiel speichert DefaultPassword als Klartextwert. Verwenden Sie diese Methode nur zu Test- oder Spezialzwecken und bevorzugen Sie für den Alltag Sysinternals Autologon.

:: Autologon (lokales Konto – Beispiel)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d BENUTZERNAME /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d MEIN_KENNWORT /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t REG_SZ /d COMPUTERNAME /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v ForceAutoLogon /t REG_SZ /d 1 /f

:: ARSO für Tests deaktivieren
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableAutomaticRestartSignOn /t REG_DWORD /d 1 /f

:: Strg+Alt+Entf nicht erforderlich
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCAD /t REG_DWORD /d 1 /f

# Passwordless-Schalter (PowerShell, als Admin)
New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess" -Name "Device" -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device" -Name "DevicePasswordLessBuildVersion" -PropertyType DWord -Value 0 -Force | Out-Null

In produktiven Umgebungen ist Sysinternals Autologon gegenüber Klartext-Registry-Einträgen vorzuziehen. Skripte eignen sich vor allem für Tests, Fehleranalysen oder klar abgegrenzte Spezialgeräte.

Rückgängig machen und sicher deaktivieren

• netplwiz: Haken bei „Benutzer müssen Benutzernamen und Kennwort eingeben“ wieder setzen, übernehmen und neu starten.
• Sysinternals Autologon: Tool starten und Disable wählen.
• Registry: AutoAdminLogon="0" setzen, DefaultPassword löschen und optional DefaultUserName, DefaultDomainName, ForceAutoLogon sowie AutoLogonCount bereinigen.
• Sicherheitsmaßnahmen reaktivieren: Strg+Alt+Entf-Anforderung, Logon-Banner, Windows Hello, PIN, Geräteschutz und ARSO gemäß Sicherheitskonzept wieder einschalten.

Sicherheitsrisiken minimieren: Schutzmaßnahmen im Überblick

Alternativen für Praxisfälle

• Kiosk-/Assigned-Access: Startet gezielt eine App oder Sitzung ohne vollen Desktop. Ideal für Digital Signage, Empfangs-PCs, Terminals und Geräte mit klarer Einzelaufgabe.
• Shell Launcher: In geeigneten Windows-Editionen kann statt des normalen Explorers eine definierte Anwendung als Shell starten. Das ist für Spezialgeräte oft sauberer als ein normaler Desktop mit Autologon.
• Dienste und geplante Aufgaben: Benötigte Prozesse sollten, wenn möglich, als Dienst oder geplante Aufgabe laufen, statt eine interaktive Benutzersitzung automatisch anzumelden.
• Schneller Benutzerwechsel: Auf Mehrbenutzersystemen oft sinnvoller als Autologon, da Rechte- und Verantwortlichkeitsgrenzen erhalten bleiben.

Microsofts Standpunkt und Sicherheitshinweis

Microsoft behandelt Autologon als Komfortfunktion mit erhöhtem Risiko. In verwalteten Umgebungen wie Domäne, Microsoft Entra ID oder Intune wird Autologon häufig durch Richtlinien eingeschränkt oder vollständig untersagt. Für Administrator- oder Hauptbenutzerkonten ist Autologon in der Praxis nicht empfehlenswert. Wenn der Einsatz unvermeidbar ist, sollten begleitend strenge Härtungsmaßnahmen umgesetzt werden: Verschlüsselung, physischer Geräteschutz, minimale Rechte, eingeschränkte Netzwerkfreigaben, regelmäßige Backups und ein klar dokumentierter Rückbau.