In Windows 11 werden Anmeldeinformationen nicht an einer einzigen Stelle abgelegt. Je nach Anwendung landen Kennwörter und Tokens im Windows-Anmeldeinformations-Manager, in anwendungsspezifischen Speichern oder in separaten Passwortdatenbanken von Browsern. Für Administratoren und technisch versierte Nutzer führt das in der Praxis häufig zu Unsicherheit: Ein Zugang funktioniert in einer App weiterhin, obwohl das Kennwort an anderer Stelle geändert wurde, oder nach dem Löschen eines Eintrags scheitern Verbindungen zu Netzlaufwerken, RDP-Zielen oder Cloud-Diensten.
Gleichzeitig spielen Berechtigungen, Benutzerkontext und die Frage eine Rolle, ob Daten nur lokal existieren oder über ein Microsoft-Konto zwischen Geräten synchronisiert werden. Wer nachvollziehen muss, welche Daten Windows selbst verwaltet, wo sie abrufbar sind und welche Auswirkungen Änderungen oder Löschvorgänge haben, benötigt eine präzise Abgrenzung der Speicherorte und der Zuständigkeiten im System.
Inhaltsverzeichnis
- Speicherorte und Zuständigkeiten:
- „Windows-Anmeldeinformationen“: Zielsysteme, Protokolle und typische Verbraucher
- „Webanmeldeinformationen“: kontobasierte Anmeldungen und webnahe Tokens
- Zugriffspunkte und Berechtigungen: UI, Systemsteuerung, Befehlszeile
- Lokale Ablage, DPAPI-Bindung und was „Speicherort“ praktisch bedeutet
- Auswirkungen von Änderungen und Löschungen: Reichweite und typische Nebenwirkungen
- Zugriffspunkte und Berechtigungen: Systemsteuerung, Einstellungen, Laufwerke/RDP, cmdkey, PowerShell und Ereigniskontext
- Systemsteuerung und Einstellungen: Oberflächen, Zuständigkeiten, Stolpersteine
- Laufwerke, SMB und RDP: Wo die Eingabe passiert und was tatsächlich gespeichert wird
- cmdkey: Zielnamen prüfen, auflisten, löschen – ohne UI
- PowerShell: Abgrenzung zu Cmdlets, sichere Kontexte und typische Missverständnisse
- Ereigniskontext und Berechtigungen: Nachvollziehen, warum Anmeldungen scheitern oder „falsch“ sind
- Änderungen, Synchronisierung und Löschfolgen: lokaler Bestand, Microsoft-Konto/SSO, Auswirkungen auf Apps, Browser und Netzwerkzugänge
Speicherorte und Zuständigkeiten:
Windows-Anmeldeinformations-Manager, „Windows-Anmeldeinformationen“ und „Webanmeldeinformationen“
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten
Unter Windows 11 bündelt der Windows-Anmeldeinformations-Manager mehrere Arten von Geheimnissen, die von unterschiedlichen Komponenten genutzt werden. Entscheidend ist die Zuständigkeit: „Windows-Anmeldeinformationen“ dienen typischerweise der Authentifizierung gegenüber Windows- und Netzwerkdiensten (beispielsweise SMB, Remote Desktop oder Proxy), während „Webanmeldeinformationen“ vorrangig für webnahe Authentifizierungsflüsse und Microsoft-kontobasierte Sign-ins vorgesehen sind. Beide Kategorien liegen nicht als „lesbare Passwortdatei“ vor, sondern werden pro Benutzerprofil geschützt abgelegt und durch Windows-Schutzmechanismen (DPAPI) an Benutzeranmeldung und Gerätezustand gebunden.
Die Sicht im UI („Anmeldeinformations-Manager“) ist damit weniger ein einzelner Speicher, sondern ein Zugriffspunkt, der mehrere Credential-Typen zusammenführt. Anwendungen entscheiden, ob sie Einträge als generische Anmeldeinformationen, domänen-/zielbasierte Windows-Credentials oder webbezogene Einträge anlegen. Daraus folgt: Ein identischer Benutzername kann mehrfach existieren, wenn Ziel (Target), Typ und Anbieter unterschiedlich sind.
„Windows-Anmeldeinformationen“: Zielsysteme, Protokolle und typische Verbraucher
„Windows-Anmeldeinformationen“ sind in der Praxis der Bereich, in dem Windows und klassische Desktop-APIs Zugangsdaten für konkrete Ziele (Targets) hinterlegen. Targets sind häufig als Server-/Dienstnamen oder als definierte Zeichenketten hinterlegt, etwa für TERMSRV/ (Remotedesktop), Dateiserver, Proxy-Endpunkte oder bestimmte Namen, die Anwendungen selbst vergeben. Auch gespeicherte Zugangsdaten für Netzwerkfreigaben können hier erscheinen, wenn sie über die Windows-Credential-API oder entsprechende UI-Flows gespeichert wurden.
Für Unternehmensumgebungen ist die Abgrenzung zu Kerberos/NTLM wichtig: Domänenanmeldungen und Tickets werden nicht „als Passwort“ im Anmeldeinformations-Manager geführt. Der Manager speichert vielmehr explizite, vom Nutzer oder einer Anwendung persistierte Geheimnisse für wiederkehrende Verbindungen. Dadurch kann eine Änderung eines Kennworts im Verzeichnisdienst zwar die Anmeldung beeinflussen, aber bestehende gespeicherte Einträge bleiben unverändert und verursachen bei Zugriffen auf das Ziel systematisch Fehlanmeldungen, bis sie aktualisiert oder entfernt werden.
„Webanmeldeinformationen“: kontobasierte Anmeldungen und webnahe Tokens
„Webanmeldeinformationen“ umfassen Einträge, die häufig im Zusammenhang mit Microsoft-Konten, Work-/School-Konten und weborientierten Sign-in-Flows entstehen. In diesem Bereich können neben klassischen Benutzername/Geheimnis-Kombinationen auch tokenähnliche Artefakte und Anmeldeinformationen für moderne Authentifizierungs-Stacks auftauchen. Die Darstellung ist dabei bewusst abstrahiert: Nicht jeder Eintrag entspricht einem direkt „nutzbaren“ Passwort; oft handelt es sich um Material, das nur in Kombination mit dem angemeldeten Windows-Benutzer und dem lokalen Geräteschutz verwertbar ist.
Die Synchronisierung ist kontextabhängig. Webbezogene Identitäten können über Kontomechanismen (z. B. bei Microsoft-Konto bzw. Entra-ID) geräteübergreifend wirken, ohne dass identische „Credential-Manager-Einträge“ 1:1 synchronisiert werden. Lokal gespeicherte Tokens oder geheimnisgebundene Beweise bleiben in der Regel an das Gerät und das Benutzerprofil gebunden. Daraus ergibt sich eine häufige Fehlinterpretation: Das Löschen eines Webeintrags im Manager entfernt nicht automatisch jede kontoseitige Sitzung oder jedes Token in allen Apps; umgekehrt können Apps nach erneutem Sign-in frische Einträge anlegen.
| Bereich | Primäre Zuständigkeit | Typische Auswirkungen beim Löschen |
|---|---|---|
| Windows-Anmeldeinformationen | Zielbasierte Credentials für Windows-/Netzwerkdienste und klassische APIs | Verbindungen (z. B. SMB, RDP) fragen erneut nach Credentials oder scheitern, bis neue Daten gespeichert werden |
| Webanmeldeinformationen | Webnahe/identitätsbezogene Einträge, häufig in Microsoft-Account-/SSO-Kontexten | Apps/SSO-Flows verlangen erneute Anmeldung; kontoseitige Sitzungen können unabhängig weiterbestehen |
| Browser-Passwortspeicher (Abgrenzung) | Nur im jeweiligen Browser für Website-Logins | Entfernung betrifft ausschließlich Browser-Login-Fill; Windows-Credentials bleiben unberührt |
Zugriffspunkte und Berechtigungen: UI, Systemsteuerung, Befehlszeile
Der zentrale UI-Zugriff erfolgt über die klassische Systemoberfläche des Anmeldeinformations-Managers. Dort lassen sich Einträge pro Benutzer anzeigen, bearbeiten (soweit der Typ dies erlaubt) oder löschen. Der Zugriff erfordert die Anmeldung als der betroffene Benutzer; administrative Rechte ersetzen diese Bindung nicht, weil DPAPI-Schutz und Benutzerkontext entscheidend sind. Nur in Sonderfällen (z. B. forensische/offline Szenarien mit zusätzlichem Schlüsselmaterial) lassen sich Inhalte außerhalb des Benutzerkontexts interpretieren; im normalen Betriebsmodell bleibt das absichtlich unzugänglich.
Neben der UI existieren systemseitige Zugriffsmöglichkeiten, die vor allem zur Auflistung und zum gezielten Löschen genutzt werden. Für Administratoren ist relevant, dass solche Werkzeuge ebenfalls im Benutzerkontext arbeiten, sofern nicht explizit mit einem anderen angemeldeten Benutzer gearbeitet wird (z. B. über RunAs oder eine interaktive Anmeldung). Das verhindert, dass ein Prozess beliebig die Geheimnisse anderer Profile verwalten kann, selbst wenn er mit erhöhten Rechten läuft.
- UI (klassisch):
control /name Microsoft.CredentialManager - Direkter Start des Verwaltungsdialogs:
rundll32.exe keymgr.dll,KRShowKeyMgr - Auflisten gespeicherter Ziele (Benutzerkontext):
cmdkey /list - Löschen eines konkreten Eintrags per Zielname:
cmdkey /delete:TERMSRV/servernamecmdkey /delete:servername
Lokale Ablage, DPAPI-Bindung und was „Speicherort“ praktisch bedeutet
Technisch liegen persistierte Credentials im Benutzerprofil und werden durch DPAPI verschlüsselt. Der „Speicherort“ ist damit kein einzelner Ordner, der als Passwortliste gelesen werden könnte; vielmehr bestehen mehrere Dateien/Datensätze, die nur im richtigen Sicherheitskontext entschlüsselt werden. Praktisch relevant ist die Bindung an das Benutzerkonto und an das Gerät: Einträge lassen sich nicht einfach in ein anderes Profil kopieren, um sie dort zu nutzen. Auch eine Sicherung/Wiederherstellung auf Dateiebene führt nicht automatisch zu wiederverwendbaren Credentials, wenn sich Schutzmaterial (z. B. Benutzer-/Systemschlüssel) ändert.
Für Zuständigkeiten zwischen Anwendungen bedeutet das: Eine App, die die Windows-Credential-API nutzt, profitiert von zentraler Verwaltung und einheitlichem Schutz, bleibt aber abhängig davon, wie sie Targets benennt. Zwei Anwendungen können für denselben Dienst unterschiedliche Targets anlegen und dadurch scheinbar „doppelte“ Einträge erzeugen. Umgekehrt kann ein einzelner Eintrag mehrere Zugriffspfade beeinflussen, wenn mehrere Komponenten exakt dasselbe Target verwenden.
Auswirkungen von Änderungen und Löschungen: Reichweite und typische Nebenwirkungen
Beim Bearbeiten oder Löschen ist die Reichweite strikt an den Eintrag gebunden: Target, Typ und Anbieter bestimmen, welche Anmeldeflüsse betroffen sind. Das Löschen eines Windows-Eintrags für einen Dateiserver setzt beispielsweise nicht die bereits gemappten Netzlaufwerke dauerhaft außer Kraft, kann aber beim nächsten Verbindungsaufbau oder nach einer Unterbrechung eine erneute Abfrage auslösen. Bei Remote Desktop führt das Entfernen eines TERMSRV/-Eintrags dazu, dass gespeicherte Credentials nicht mehr automatisch verwendet werden.
Bei Webanmeldeinformationen zeigen sich Nebenwirkungen oft indirekt: Einzelne Apps verlieren die Möglichkeit, vorhandene Anmeldebeweise still zu erneuern, und wechseln in interaktive Anmeldefenster. Das betrifft insbesondere Anwendungen, die auf systemweite SSO-Komponenten zurückgreifen. Browserinterne Passwortspeicher bleiben davon getrennt; sie folgen eigenen Synchronisations- und Schutzmodellen und tauchen nicht als „Windows-“ oder „Webanmeldeinformationen“ im Credential Manager auf, selbst wenn derselbe Accountname verwendet wird.
Zugriffspunkte und Berechtigungen: Systemsteuerung, Einstellungen, Laufwerke/RDP, cmdkey, PowerShell und Ereigniskontext
Unter Windows 11 existieren mehrere, teilweise parallel nutzbare Zugriffspunkte auf gespeicherte Anmeldeinformationen. Sie unterscheiden sich nicht nur in der Oberfläche, sondern auch im Kontext, in dem Abfragen, Änderungen oder Löschvorgänge erfolgen. Entscheidend sind dabei der Sicherheitskontext (angemeldeter Benutzer, erhöhte Rechte, SYSTEM), die Art des Eintrags (Windows-Anmeldeinformationen, Webanmeldeinformationen, Zertifikate) sowie die Stelle, an der eine Anwendung die Daten tatsächlich anfordert (SSPI/LSA, CredUI, WinHTTP/WinINet, Remotedesktop-Client).
Systemsteuerung und Einstellungen: Oberflächen, Zuständigkeiten, Stolpersteine
Die klassische Systemsteuerung führt zum zentralen Verwaltungsdialog des Windows-Anmeldeinformations-Managers. Dort werden Einträge benutzerbezogen angezeigt und bearbeitet; für lokale Konten bedeutet das: sichtbar ist nur, was im Profil des aktuell angemeldeten Benutzers gespeichert ist. Bei Microsoft-Konten kann zusätzlich Synchronisation eine Rolle spielen, der Manager zeigt jedoch weiterhin die lokal vorliegenden Datensätze, die Anwendungen über die Windows-Credential-APIs abrufen.
Die App „Einstellungen“ bietet hingegen vor allem Einstiegspunkte zu Konten, Anmeldeoptionen, RDP/Remotedesktop-Parametern oder Netzwerkverwaltung. Diese Bereiche steuern nicht zwingend den Anmeldeinformationsspeicher selbst, sondern Konfigurationen, die indirekt zu neuen Credential-Prompts oder gespeicherten Tokens führen. Typisch ist die Verwechslung zwischen „Kennwörter“ (z. B. für WLAN) und den „Windows-Anmeldeinformationen“ (z. B. für SMB, RDP, Proxy) – beides liegt an unterschiedlichen Orten und folgt unterschiedlichen Berechtigungsregeln.
| Zugriffspunkt | Typische Sicht / Berechtigung | Typische Einträge / Hinweise |
|---|---|---|
| Systemsteuerung → Anmeldeinformations-Manager | Benutzerkontext; keine Adminrechte erforderlich für eigene Einträge | Windows- und Webanmeldeinformationen; Löschung wirkt sofort für Anwendungen, die diese Ziele adressieren |
| Einstellungen → Konten / Anmeldeoptionen | Konfigurationsoberfläche; teils Adminrechte für Sicherheitsrichtlinien | Hello, PIN, Kontoverknüpfung; nicht identisch mit einzelnen Credential-Einträgen |
| Datei-Explorer → Netzlaufwerk verbinden | Benutzerkontext; speichert je nach Option persistent | SMB-Ziele; „Verbindung mit anderen Anmeldeinformationen“ beeinflusst, ob Credentials abgefragt/gespeichert werden |
| Remotedesktopverbindung (mstsc) | Benutzerkontext; speichert optional | RDP-Ziele; gespeicherte Anmeldeinformationen sind zielgebunden (Servername/FQDN/IP relevant) |
Laufwerke, SMB und RDP: Wo die Eingabe passiert und was tatsächlich gespeichert wird
Bei SMB-Zugriffen entscheidet häufig der erste Kontakt zur Ressource, welche Identität Windows verwendet: bestehende Ticket-basierte Authentifizierung (Kerberos), NTLM mit bereits bekannten Informationen oder ein Prompt über CredUI. Das Speichern entsteht meist dann, wenn in einem Prompt „Anmeldeinformationen speichern“ gewählt wird oder wenn eine UI (z. B. „Netzlaufwerk verbinden“) explizit persistente Anmeldedaten hinterlegt. Der gespeicherte Eintrag ist an ein Ziel gebunden; Änderungen am Kennwort im Zielsystem führen daher nicht automatisch zu einer Aktualisierung, sondern oft zu wiederholten Fehlanmeldungen, bis der Eintrag angepasst oder gelöscht wird.
Für RDP gilt Ähnliches: Die Remotedesktopverbindung kann Credentials ablegen, um den Logon zu beschleunigen. Entscheidend ist die Zielbezeichnung. Ein Wechsel von server zu server.domain.tld oder von Hostname zu IP kann dazu führen, dass ein anderer Eintrag greift oder ein neuer angelegt wird. Zusätzlich beeinflussen RDP-Sicherheitsmechanismen (z. B. CredSSP/NLA) den Ablauf, nicht jedoch die grundsätzliche Notwendigkeit, dass gespeicherte Einträge im Benutzerkontext liegen und von dort genutzt werden.
cmdkey: Zielnamen prüfen, auflisten, löschen – ohne UI
cmdkey ist das Bordmittel, um Windows-Anmeldeinformationen im Kontext des aktuellen Benutzers zu verwalten. Es eignet sich, um Zielnamen zu identifizieren, die in grafischen Dialogen abgekürzt oder uneinheitlich wirken. Besonders bei SMB/RDP-Problemen hilft der Abgleich, ob mehrere Einträge für Varianten desselben Ziels existieren. Für das Löschen einzelner Ziele ist cmdkey häufig schneller als die Systemsteuerung, weil es ohne Navigation auskommt und sich in Skripte integrieren lässt.
- Auflisten vorhandener Einträge:
cmdkey /list - Eintrag für ein Ziel löschen:
cmdkey /delete:TERMSRV/server.domain.tldcmdkey /delete:server.domain.tld - Eintrag anlegen (typisch für Tests/Automatisierung):
cmdkey /add:server.domain.tld /user:DOMAIN\user /pass:*
Die Wirkung eines Löschvorgangs ist unmittelbar, aber nicht zwingend sofort sichtbar, wenn eine Anwendung eine bestehende Sitzung weiterverwendet. SMB-Verbindungen können beispielsweise offen bleiben, selbst wenn der zugrunde liegende gespeicherte Eintrag entfernt wurde; erst beim Neuaufbau wird erneut authentifiziert. Für RDP-Szenarien gilt: laufende Sitzungen bleiben bestehen, neue Verbindungen fordern bei fehlendem Eintrag erneut zur Eingabe auf.
PowerShell: Abgrenzung zu Cmdlets, sichere Kontexte und typische Missverständnisse
Windows PowerShell beziehungsweise PowerShell 7 bringen kein universelles, plattformübergreifend einheitliches Standard-Cmdlet mit, das den Windows Credential Manager vollständig verwaltet. In der Praxis wird deshalb entweder auf cmdkey zurückgegriffen oder auf zusätzliche Module/Mechanismen, die jeweils eigene Speicherorte nutzen. Für administrative Prüfungen ist daher wichtiger, den Ausführungskontext korrekt zu wählen (normal vs. erhöht) und zu verstehen, dass „als Administrator“ nicht automatisch Zugriff auf die benutzerspezifischen Credentials anderer Profile gewährt.
Technisch relevant ist zudem, dass viele PowerShell-Automatisierungen gar nicht den Credential Manager verwenden, sondern explizit Credentials zur Laufzeit abfragen (SecureString/PSCredential) oder andere Secret-Stores einsetzen. Das verhindert zwar persistente Artefakte, ändert jedoch nichts daran, dass Windows-Authentifizierung für Netzressourcen weiterhin über den Windows-Stack läuft und dort wieder auf gespeicherte Einträge zurückfallen kann, wenn sie vorhanden sind.
Ereigniskontext und Berechtigungen: Nachvollziehen, warum Anmeldungen scheitern oder „falsch“ sind
Bei unerwarteten Anmeldeversuchen oder wiederholten Fehlanmeldungen ist der Ereigniskontext oft aussagekräftiger als die UI-Liste gespeicherter Einträge. Auf dem Zielsystem (Dateiserver, RDS-Host, Domain Controller) zeigen Sicherheitsereignisse, welcher Benutzername tatsächlich verwendet wurde und über welches Protokoll die Anmeldung lief. Das hilft, Fälle zu trennen, in denen ein gespeicherter Eintrag greift, von solchen, in denen Kerberos-Tickets, SSO oder eine Anwendungskonfiguration die Identität bestimmt.
- Lokaler Zugriff auf den Manager (GUI):
control /name Microsoft.CredentialManager(ändert/löscht nur Einträge des aktuellen Benutzers) - Rechtekontext prüfen:
whoami /all(Hilfreich, um Token, Gruppen und UAC-Status zu erkennen) - Typische Zielsystem-Indikatoren: Sicherheitsprotokoll mit Ereignissen wie
4624(Anmeldung erfolgreich) und4625(Anmeldung fehlgeschlagen); für Kerberos zusätzlich4768/4769auf Domain-Controllern
Die Berechtigungslage bleibt dabei klar: Das Auslesen oder Verändern von gespeicherten Anmeldeinformationen ist grundsätzlich an den Benutzer gebunden, der sie gespeichert hat. Erhöhte Rechte erleichtern den Zugriff auf Systembereiche und Diagnosequellen (z. B. bestimmte Ereignisprotokolle), ersetzen jedoch nicht die kryptografische Bindung der Credential-Daten an das Benutzerprofil. Für forensische oder zentrale Auswertungen ist daher die Korrelation aus Zielsystem-Logs, Client-Fehlerbildern und dem exakten Zielnamen (SPN/Hostname) meist belastbarer als ein rein lokaler Blick in den Manager.
Änderungen, Synchronisierung und Löschfolgen: lokaler Bestand, Microsoft-Konto/SSO, Auswirkungen auf Apps, Browser und Netzwerkzugänge
Unter Windows 11 entstehen Anmeldeinformationen in mehreren, teils voneinander getrennten Speichern. Entscheidend für die Folgen von Änderungen ist, ob ein Eintrag ausschließlich lokal vorliegt (an das Benutzerprofil und dessen Schutzmechanismen gebunden), ob er aus einem Kontokontext stammt (Microsoft-Konto/Entra ID) oder ob er lediglich als „Token“ für Single Sign-On (SSO) in einer Anwendung existiert. Das Löschen oder Ersetzen eines Eintrags wirkt daher selten „systemweit“ gleich, sondern immer nur dort, wo genau dieser Speicher angesprochen wird.
Lokaler Bestand: Was sich beim Ändern tatsächlich verändert
Lokale Anmeldeinformationen im Windows-Anmeldeinformations-Manager (Credential Manager) werden benutzerbezogen gehalten und sind kryptografisch an das jeweilige Windows-Profil gekoppelt. Typisch sind Einträge für SMB-Freigaben, klassische Windows-Apps, RDP-Ziele oder generische Tokens, die Anwendungen bewusst dort ablegen. Wird ein Eintrag geändert, greifen nur Komponenten darauf zu, die den Credential Manager explizit verwenden; andere Authentifizierungswege (etwa Kerberos mit Ticketcache) bleiben davon unberührt.
Praktisch bedeutet das: Wird ein gespeicherter Benutzername/ ein Kennwort für einen Dateiserver überschrieben, nutzt der nächste Zugriff auf die Ressource diese neuen Daten nur, wenn Windows tatsächlich auf gespeicherte Anmeldeinformationen zurückfällt. In Domänen- oder Entra-ID-Umgebungen entscheidet oft die Kombination aus verfügbarer Ticket-basierter Authentifizierung, vorhandenen „Windows-Anmeldeinformationen“ und der Ziel-URL/UNC-Schreibweise, ob der gespeicherte Eintrag überhaupt matcht.
| Speicher/Mechanismus | Typische Änderungsauswirkung | Typische Löschfolge |
|---|---|---|
| Credential Manager: „Windows-Anmeldeinformationen“ | Wirkt auf Ressourcen, die per Zielname (z. B. Server/Share) auf diesen Eintrag matchen; häufig relevant für SMB, RDP, Proxy/Legacy-Auth. | Beim nächsten Zugriff erneute Abfrage oder Fallback auf SSO/Kerberos, sofern verfügbar; bei falscher Alternative ggf. Auth-Fehler. |
| Credential Manager: „Webanmeldeinformationen“ | Betroffen sind Microsoft-kontobasierte Web- und App-Sign-ins, die diese Ablage nutzen; nicht identisch mit Browser-Passwortspeichern. | Erneute Anmeldung in betroffenen Apps/Komponenten; ggf. Verlust persistenter Sessions auf dem Gerät. |
| Browser-Passwortmanager (Edge/Chrome/Firefox) | Änderungen bleiben grundsätzlich im jeweiligen Browserprofil; Windows-Einträge werden nicht automatisch aktualisiert. | Webseiten-Logins müssen neu gespeichert werden; Windows-App-SSO bleibt in der Regel unberührt. |
| SSO/Tokens (z. B. AAD/WAM, App-spezifisch) | Token-Rotation und Refresh laufen automatisiert; Passwortänderung erzwingt teils Reauthentifizierung, abhängig von Richtlinien. | Abmeldung/Neuautorisierung in der betroffenen App; nicht zwingend Löschung lokaler Kennwörter. |
Synchronisierung über Microsoft-Konto/SSO: Was kontobasiert ist und was nicht
Windows 11 kann Einstellungen zwischen Geräten synchronisieren, doch das gilt nicht pauschal für sämtliche Anmeldeinformationen. Der Credential Manager enthält sowohl rein lokale Einträge als auch solche, die im Zusammenhang mit Microsoft-Konto oder Microsoft-Diensten stehen. Daneben existieren SSO-Mechanismen, die nicht als „Kennwortspeicher“ funktionieren, sondern Token-basierte Anmeldungen ermöglichen; deren Lebensdauer und Erneuerung hängen von Identitätsanbieter, Gerätezustand und Richtlinien (z. B. Conditional Access) ab.
Passwortänderungen am Microsoft-Konto oder an einem Entra-ID-Konto wirken sich zunächst auf die Kontenanmeldung und neu aufzubauende Token aus. Vorhandene Sitzungen können weiterlaufen, bis Token ablaufen oder serverseitig widerrufen werden. Umgekehrt aktualisiert eine Passwortänderung im Browser nicht automatisch Windows-Anmeldeinformationen für SMB oder RDP, weil diese technisch getrennt gespeichert und anders adressiert werden.
- Kontobasierte Sign-ins (SSO/WAM): Änderungen am Kennwort erzwingen in der Regel eine erneute Authentifizierung, sobald Refresh nicht mehr akzeptiert wird; die konkrete Wirkung hängt vom Token-Cache der jeweiligen App und vom Identitätsanbieter ab.
- Lokale Ressourcenzugänge: Einträge im Credential Manager für Netzwerkziele bleiben unverändert, bis sie manuell editiert oder gelöscht werden; sie werden nicht „mit dem Konto“ automatisch ersetzt.
- Synchronisierte Browser-Passwörter: Bei aktivierter Synchronisierung (z. B. Edge-Profil) liegen Kennwörter im Browser-Ökosystem und werden dort repliziert; Windows-„Webanmeldeinformationen“ sind davon abzugrenzen.
Auswirkungen des Löschens: von harmlos bis schwer zu diagnostizieren
Das Löschen einzelner Einträge ist oft der schnellste Weg, fehlerhafte Logins zu bereinigen, hat aber unterschiedliche Nebenwirkungen. Bei Netzwerkzugängen kann das Entfernen eines Eintrags dazu führen, dass Windows beim nächsten Zugriff einen anderen Identitätsweg wählt, etwa integrierte Authentifizierung über Kerberos/NTLM mit dem aktuell angemeldeten Benutzer. Das kann erwünscht sein, kann aber auch zu Zugriffsproblemen führen, wenn Ressource und Benutzerkontext nicht zusammenpassen oder wenn zuvor bewusst ein abweichender Benutzer gespeichert war.
Bei „Webanmeldeinformationen“ sind Löschfolgen schwerer sichtbar, weil sich die Auswirkungen über mehrere Komponenten verteilen können: betroffene UWP-/Store-Apps, Microsoft 365-Anwendungen oder Konten in Windows-Apps fordern dann erneut eine Anmeldung an. In Unternehmensumgebungen kann zusätzlich die Gerätekonformität (Device Compliance) oder MFA den Reauthentifizierungsprozess verändern. Ein vermeintlich „kleiner“ Löschvorgang kann so zeitverzögert zu Login-Prompts führen, sobald eine App ihr Token erneuern muss.
Abgrenzung zu Browsern und Netzwerkprofilen: typische Missverständnisse
Browser speichern Website-Kennwörter in ihrem eigenen Profil (lokal verschlüsselt, optional synchronisiert). Diese Einträge werden weder vollständig im Windows-Anmeldeinformations-Manager gespiegelt noch dort zuverlässig „automatisch“ korrigiert, wenn sich ein Webpasswort ändert. Umgekehrt hilft das Löschen eines Windows-Eintrags meist nicht, wenn ausschließlich ein Browser-Login fehlschlägt; hier entscheidet der Browser-Passwortmanager beziehungsweise der Status der Web-Session.
Bei Netzwerkzugängen kommt hinzu, dass Windows neben gespeicherten Anmeldeinformationen auch Verbindungszustände und Zuordnungen verwaltet. Ein gelöschter Eintrag kann deshalb wirkungslos erscheinen, wenn eine bestehende Verbindung (z. B. zu \\server\share) weiter aktiv ist und erst nach Trennen/Neuaufbau wieder nach Anmeldedaten fragt. Diagnostisch zählt daher der Zeitpunkt: Änderungen entfalten ihre Wirkung häufig erst beim nächsten Authentifizierungsvorgang, nicht sofort beim Bearbeiten des Speichers.
- Typischer „SMB bleibt angemeldet“-Effekt: Nach dem Löschen eines Eintrags kann eine bestehende Sitzung weiter funktionieren, bis die Verbindung getrennt wird oder der Zugriffspfad wechselt (z. B. anderer Hostname/alias).
- SSO vs. gespeichertes Kennwort: Eine App kann trotz gelöschter Kennwörter weiter funktionieren, wenn sie gültige Tokens besitzt; die Reauthentifizierung erfolgt oft erst beim Ablauf/Erneuern.
- Browser vs. Windows: Ein gespeicherter Website-Login in Edge/Chrome wird nicht durch das Entfernen von Windows-„Webanmeldeinformationen“ entfernt; umgekehrt korrigiert eine Browser-Änderung keine Einträge unter „Windows-Anmeldeinformationen“.
Für kontrollierte Änderungen empfiehlt sich eine saubere Trennung nach Zielsystem und Client: Handelt es sich um eine Website im Browserprofil, um einen Netzwerkpfad, um eine Office-/Cloud-Anmeldung oder um eine Anwendung mit eigenem Identitätscache? Erst diese Zuordnung macht Lösch- und Änderungsfolgen vorhersehbar und verhindert, dass sich Authentifizierungsprobleme durch unbeabsichtigte Fallbacks auf andere Konten oder Methoden verschärfen.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten