[English]Es deutet sich an, dass lokale Benutzerkonten in Windows 11 zukünftig nicht, oder nur noch mit großen Tricks beim Setup eingerichtet werden können. In der neuesten Insider Preview Build 26220.6772 (KB5065797) vom 06. Oktober 2025 gab Microsoft bekannt, dass die Befehle, um beim Setup doch noch lokale Benutzerkonten einzurichten, gestrichen werden.
Das Thema ist mir durch mehrere Blog-Leser im Diskussionsbereich mitgeteilt worden (danke dafür). Ich ziehe mal die betreffenden Informationen hier heraus.
Umgehen von Online-Konten blockiert
Microsoft will, dass Nutzer beim Einrichten eines PCs unter Windows 11 das Einrichten eines Online-Kontos nicht mehr umgehen können. Befehle wie start ms-cxh:localonly, die man beim Setup eingeben konnte, um ein lokales Benutzerkonto beim Setup zu erzwingen, werden künftig nicht mehr funktionieren. Die Ankündigung findet sich im Blog-Beitrag Announcing Windows 11 Insider Preview Build 26220.6772 (Dev Channel) vom 6. Oktober 2025. Dort heißt es:
Local-only commands removal: We are removing known mechanisms for creating a local account in the Windows Setup experience (OOBE). While these mechanisms were often used to bypass Microsoft account setup, they also inadvertently skip critical setup screens, potentially causing users to exit OOBE with a device that is not fully configured for use. Users will need to complete OOBE with internet and a Microsoft account, to ensure device is setup correctly.
Der Text besagt, dass in dieser Insider Preview bekannte Mechanismen zum Erstellen eines lokalen Kontos in der Windows-Setup-Erfahrung (OOBE) schlicht entfernt werden. Das gilt dann auch für künftige Insider Previews und später auch für die finale Version von Windows 11.
Microsoft argumentiert, dass diese Mechanismen bisher zwar häufig verwendet wurden, um die Einrichtung eines Microsoft-Kontos zu umgehen. Aber dies führe dazu, dass die Nutzer beim Setup auch unbeabsichtigt wichtige Einrichtungsbildschirme überspringen. Dies könne dazu führen, dass Benutzer die Out-of-the-Box-Experience (OOBE) Einrichtungsorgie mit einem Gerät verlassen, das nicht vollständig für die Verwendung konfiguriert ist.
Benutzer müssen nach dem Willen Microsofts die OOBE-Einrichtungsschritte zwingend mit einem Internetzugang und einem vom Benutzer eingerichteten administrativen Microsoft-Konto abschließen, um sicherzustellen, dass das Gerät korrekt eingerichtet ist.
Gängelung für den Online-Betrieb
Es deutet sich mit obigem Schritt an, dass Microsoft seine Windows 11-Benutzer zum Online-Betrieb, wo Redmond bestimmt, was geht und was auf dem Rechner passiert, gezwungen wird. Die CoPilot- und Cloud-Anbindungsorgie seitens Microsoft wirft ihre Schatten voraus. Bolko wies in einem Kommentar im Diskussionsbereich darauf hin, dass
- das (bereits seit März 2025 in Windows 11 gelöschte) Script bypassnro künftig nicht mehr funktioniert (bisher funktionierte der Inhalt des gelöschten Scripts weiterhin)
- Der Befehl start ms-cxh:localonly, den man in der OOBE-Phase in einer Eingabeaufforderung eingeben konnte, um ein lokales Konto zu erzwingen, künftig nicht mehr funktioniert.
In seinem Kommentar schrieb Bolko auf folgendes hin: "Wenn zusätzlich noch die Synchronisierung eingeschaltet ist, dann klaut Microsoft auch das WLAN-Passwort mitsamt Position und das dann weltweit." Damit erhält Microsoft dann praktisch globalen Zugang zu den ehemals "privaten" WLAN-Einwählpunkten. Sollten diese Informationen durch Microsoft an jemanden herausgegeben werden, könnten Dritte sich überall anonym ins WLAN-Netz einloggen, sofern die Router keine MAC-Filterung aktiviert haben. Das wäre praktisch die Büchse der Pandora geöffnet, und in Deutschland würde die "Störerhaftung" greifen, wenn Dritte über einen fremden WLAN-Zugang illegale Aktivitäten durchführen.
Mögliche Workarounds
Bolko weist in einem weiteren Kommentar darauf hin, wie man das ganze Vorhaben Microsofts eventuell noch umgehen könne. Es gibt aus heutiger Sicht verschiedene Workarounds.
Workaround 1
Bei der Abfrage zur Microsoft-Konto-Erstellung gibt man als Geburtsdatum das aktuelle Datum ein. Dann würde das Anlegen eines Microsoft-Kontos abgelehnt, weil der US COPPA (Children's Online Privacy Protection Act) verbietet, dass Kinder ein Konto erstellen können.
Diesen Workaround dürfte Microsoft aus rechtlichen Gründen auch nicht abstellen können. Es gibt beim Setup zwar eine Fehlermeldung, aber die Erzeugung eines lokalen Kontos werde angeboten, schreib Bolko.
Workaround 2 (für Windows 11 Home)
Während der OOBE-Phase beim Setup drückt man beim Schritt zur Konto-Erstellung die Tastenkombination Strg + Umschalt + F3 und gelangt dadurch in den Audit-Modus. Dort tippt man in der Eingabeaufforderung folgenden Befehl ein:
slui.exe /upk changepk.exe /ProductKey
Durch den Wechsel von Home zu Generic-Pro sollte es jetzt eine neue Option zum Beitritt zu einer Domäne geben, womit man dann ein lokales Konto erstellen kann. Später, nach der Installation von Windows 11, kann man den Produkt-Schlüssel wieder auf Home ändern, aber das lokale Konto bleibt bestehen.
Workaround 3
Man verwendet eine autounattend.xml Antwortdatei, in der man ein lokales Konto erstellen lässt. Im Beitrag Windows 11 24H2: Sicherheitsproblem durch unattend.xml? hatte ich mich mit solchen Dateien befasst.
Workaround 4
Man kann während der OOBE-Phase beim Anlegen des Benutzerkontos die Tastenkombination Shift + F10 drücken und in der Eingabeaufforderung folgenden Befehl eingeben.
WinJS.Application.restart("ms-cxh://localonly")
Die Kollegen von deskmodder.de haben das in ihrem Wiki beschrieben. Man sieht also, dass es reine Gängelung seitens Microsoft ist, den Leuten lokale Benutzerkonten beim Setup zu verwehren. Denn natürlich könnten die Microsoft-Entwickler die OOBE-Phase so gestalten, dass der Nutzer anschließend mit einem sauberen Windows 11 und lokalem Benutzerkonto heraus kommt. Entschließt sich der Nutzer später, ein neues Microsoft Konto anzulegen oder ein lokales Benutzerkonto zu einem Microsoft-Konto um zu stufen, ließen sich die fehlenden Informationen abfragen (ist irgendwo Informatik-Vorkurs, was an Kenntnissen benötigt wird).
Wenn ich mir die obigen Workaround ansehe, drängt sich für mich sofort der Workaround #5 auf, nämlich auf Windows 11 und diese Gängelei zu verzichten. Entweder bis 2029 oder 2032 bei Windows 10 bleiben, oder ganz auf Microsoft verzichten und zu Linux oder macOS wechseln.
