Windows-Konten erklärt

Was ist WDAGUtilityAccount
in Windows?

Warum dieses integrierte lokale Konto auf Ihrem PC erscheint, wie Windows es zur Anwendungsisolierung verwendet, ob es gefährlich ist und was Sie tun sollten, wenn es unerwartet aktiviert wurde.

Aktualisiert: Juni 2026 Windows 10 & 11 Integriertes Konto Sicherheitsleitfaden ca. 9 Min. Lesezeit
Überblick

Was ist WDAGUtilityAccount in Windows 10 und Windows 11?

WDAGUtilityAccount ist ein vordefiniertes lokales Konto, das von Microsoft Windows erstellt und verwaltet wird. Der Name leitet sich von Windows Defender Application Guard ab, einer Sicherheitsfunktion, die hardwarebasierte Isolierung nutzte, um nicht vertrauenswürdige Websites und Dateien in einem geschützten Container zu öffnen.

Windows verwendet dieses Konto innerhalb der isolierten Application-Guard-Umgebung. Es ist nicht als normales Benutzerkonto gedacht, sollte nicht für die reguläre Anmeldung verwendet werden und ersetzt weder Ihr persönliches Administratorkonto noch Ihr Microsoft-Konto.

ℹ️
Kurz erklärt WDAGUtilityAccount ist normalerweise ein legitimes, deaktiviertes Windows-Systemkonto. Dass es in net user, unter „Lokale Benutzer und Gruppen“ oder in einem anderen Tool zur Kontoverwaltung angezeigt wird, bedeutet nicht, dass Ihr Computer gehackt wurde.
🛡️

Von Windows verwaltet

Das Betriebssystem erstellt und steuert das Konto als Bestandteil seiner Architektur zur Anwendungsisolierung.

🔒

Standardmäßig deaktiviert

Bei einer normalen Installation bleibt das Konto deaktiviert, sofern es nicht von einer kompatiblen Application-Guard-Konfiguration benötigt wird.

👤

Standardbenutzerkontext

Es ist für die Ausführung in einem isolierten Container mit eingeschränkten Rechten vorgesehen, nicht als Ihr primäres Administratorkonto.

Keine Schadsoftware

Das echte integrierte Konto ist eine normale Windows-Komponente und sollte in der Regel unverändert bleiben.

Zweck

Wofür wird WDAGUtilityAccount verwendet?

Application Guard erstellt eine separate virtualisierte Umgebung zwischen potenziell unsicheren Inhalten und der eigentlichen Windows-Installation. WDAGUtilityAccount stellt innerhalb dieses Containers eine eingeschränkte Benutzeridentität bereit, damit isolierte Anwendungen nicht mit Ihrer normalen Desktop-Identität und deren Berechtigungen ausgeführt werden.

Wenn Application Guard unter einer unterstützten Windows-Version aktiv ist, kann das Konto zur Anmeldung am Container als Standardbenutzer verwendet werden. Windows weist automatisch ein zufälliges Kennwort zu und verwaltet es. Sie müssen dieses Kennwort weder kennen noch das Konto manuell verwenden.

Kontoeigenschaft Erwartetes Verhalten
Kontotyp Vordefiniertes lokales Windows-Konto
Hauptzweck Stellt eine eingeschränkte Identität innerhalb eines Application-Guard-Containers bereit
Standardstatus Deaktiviert, sofern es nicht von der zugehörigen Isolierungsfunktion benötigt wird
Kennwort Zufällig und automatisch von Windows verwaltet
Normales Anmeldekonto Nein
Standardmäßig bösartig Nein
Normales Verhalten WDAGUtilityAccount kann auch dann angezeigt werden, wenn Application Guard derzeit nicht ausgeführt wird. Das Konto kann in Windows registriert bleiben, obwohl es deaktiviert und ungenutzt ist.
Kontenliste

Warum erscheint WDAGUtilityAccount auf meinem Computer?

Viele Windows-Tools zur Kontoverwaltung zeigen alle lokalen Konten an, einschließlich ausgeblendeter, deaktivierter und systemverwalteter Konten. Daher kann der Befehl net user WDAGUtilityAccount neben Ihrem tatsächlichen Benutzerkonto sowie den integrierten Konten Administrator, Gast und DefaultAccount anzeigen.

WDAGUtilityAccount kann Ihnen an folgenden Stellen begegnen:

💡
Wichtiger Unterschied Eine mit net user erstellte Liste zeigt die auf dem Computer vorhandenen Konten. Sie zeigt nicht, welches Konto gerade angemeldet ist, und bedeutet nicht, dass jedes aufgeführte Konto Administratorrechte besitzt.

Überprüfen Sie, welches Konto Sie verwenden

Öffnen Sie die Eingabeaufforderung und führen Sie Folgendes aus:

Eingabeaufforderungwhoami

Um den aktuellen Benutzernamen ohne Computer- oder Domänenpräfix anzuzeigen, führen Sie Folgendes aus:

Eingabeaufforderungecho %USERNAME%
Sicherheitsprüfung

Ist WDAGUtilityAccount sicher oder handelt es sich um einen Virus?

Das echte WDAGUtilityAccount ist sicher. Microsoft dokumentiert es als vordefiniertes lokales Windows-Konto, das Windows Defender Application Guard zugeordnet ist. Allein seine Anwesenheit ist kein Hinweis auf Schadsoftware, Fernzugriff oder darauf, dass eine andere Person Ihren PC heimlich verwendet.

Theoretisch könnte ein Angreifer oder unerwünschtes Programm jedoch ein anderes lokales Konto mit einem ähnlich aussehenden Namen erstellen. Deshalb sollten Sie den Kontostatus und die Sicherheitskennung überprüfen, wenn sich das Konto ungewöhnlich verhält.

✓ Normale Merkmale

  • Der genaue Name lautet WDAGUtilityAccount
  • Das Konto ist deaktiviert
  • Die SID endet auf -504
  • Es ist kein Mitglied der Gruppe „Administratoren“
  • Es erscheint nicht als normale Anmeldeoption

✗ Warnzeichen

  • Ein ähnlich benanntes Konto besitzt eine andere SID
  • Das Konto ist ohne erkennbaren Grund aktiviert
  • Es gehört zur Gruppe „Administratoren“ oder zu einer anderen privilegierten Gruppe
  • Dem Konto sind unbekannte aktuelle Anmeldungen zugeordnet
  • Sicherheitssoftware meldet weitere verdächtige Aktivitäten
⚠️
Beurteilen Sie das Konto nicht nur anhand des Namens Die zuverlässigste Prüfung ist die Konto-SID. Das vordefinierte WDAGUtilityAccount verwendet die integrierte relative Kennung 504, daher endet seine vollständige lokale SID normalerweise auf -504.
Überprüfung

So überprüfen Sie, ob WDAGUtilityAccount echt ist

Methode 1: Konto mit der Eingabeaufforderung überprüfen

  1. Öffnen Sie Eingabeaufforderung oder Windows Terminal.
  2. Führen Sie den folgenden Befehl aus:
Eingabeaufforderungnet user WDAGUtilityAccount

Prüfen Sie die Zeile Konto aktiv . Auf einem typischen PC, auf dem Application Guard nicht aktiv ist, sollte dort Neinstehen. Der Befehl kann außerdem anzeigen, dass Windows die kennwortbezogenen Einstellungen des Kontos verwaltet.

Methode 2: SID und Aktivierungsstatus mit PowerShell prüfen

Öffnen Sie PowerShell und führen Sie Folgendes aus:

PowerShellGet-LocalUser -Name "WDAGUtilityAccount" |
    Select-Object Name, Enabled, SID, PasswordRequired, UserMayChangePassword

Das erwartete Ergebnis sollte den genauen Kontonamen und eine SID anzeigen, die auf -504.

Methode 3: Bestätigen, dass es kein Administratorkonto ist

Führen Sie diesen Befehl in der Eingabeaufforderung aus:

Eingabeaufforderungnet localgroup Administrators

WDAGUtilityAccount sollte normalerweise nicht in der Gruppe „Administratoren“ erscheinen. In nicht englischen Windows-Ausgaben ist der lokale Gruppenname übersetzt, weshalb PowerShell einfacher sein kann: 

PowerShellGet-LocalGroupMember -Group "Administrators"
ℹ️
Hinweis zum PowerShell-Modul Die Befehle Get-LocalUser und Get-LocalGroupMember gehören zum Modul Microsoft.PowerShell.LocalAccounts. In der 32-Bit-Version von PowerShell können sie auf einer 64-Bit-Windows-Installation nicht verfügbar sein.
Berechtigungen

Ist WDAGUtilityAccount ein Administratorkonto?

Nein, standardmäßig nicht. WDAGUtilityAccount ist als eingeschränkte Standardbenutzeridentität für einen isolierten Container konzipiert. Laut Microsoft gehört das vordefinierte Konto standardmäßig keiner lokalen Gruppe an.

Dass das Konto in der Ausgabe von net user erscheint, bedeutet nicht, dass es das Administratorkonto Ihres PCs ist. Der Befehl listet alle lokalen Konten in Spalten auf; er zeigt weder Kontorollen an noch gibt er an, welchem Konto Windows gehört.

Frage Antwort
Ist WDAGUtilityAccount mein aktuelles Konto? Nein. Verwenden Sie whoami , um das angemeldete Konto zu ermitteln.
Gehört ihm mein Computer? Nein. Es ist ein systemverwaltetes lokales Konto für Isolierungsaufgaben.
Ist es Mitglied der Gruppe „Administratoren“? Standardmäßig sollte es kein Mitglied sein.
Kann ich es für die normale Anmeldung verwenden? Nein. Es ist nicht für die interaktive alltägliche Nutzung vorgesehen.
Sollte ich ihm Administratorrechte geben? Nein. Dadurch würde das vorgesehene Sicherheitsmodell geschwächt.
🚫
Gewähren Sie niemals zusätzliche Rechte Fügen Sie WDAGUtilityAccount nicht zu „Administratoren“, „Remotedesktopbenutzer“ oder anderen privilegierten Gruppen hinzu. Das Konto sollte mit seinen Standardberechtigungen unter der Kontrolle von Windows bleiben.
Kontoverwaltung

Sollten Sie WDAGUtilityAccount deaktivieren oder löschen?

Unter normalen Umständen sollten Sie WDAGUtilityAccount unverändert lassen. Es handelt sich um ein vordefiniertes Systemkonto. Das Löschen, Umbenennen, manuelle Aktivieren, Ändern des Kennworts oder Bearbeiten der Gruppenmitgliedschaft kann Windows-Sicherheitsfunktionen beeinträchtigen oder unerwartete Berechtigungsprobleme verursachen.

Empfohlen

Konto unverändert lassen

Wenn es deaktiviert ist und die erwartete SID besitzt, ist keine Maßnahme erforderlich.

Sicherste Option
Nur bei unerwarteter Aktivierung

Wieder deaktivieren

Prüfen Sie zunächst, ob Application Guard aktiv verwendet wird. Deaktivieren Sie anschließend das Konto und untersuchen Sie, warum sich sein Status geändert hat.

Problembehandlung
Nicht empfohlen

Konto löschen oder umbenennen

Dies kann Systemvorgaben beeinträchtigen und bietet keinen sinnvollen Leistungs- oder Sicherheitsvorteil.

Vermeiden

So deaktivieren Sie das Konto, wenn es unerwartet aktiviert wurde

Stellen Sie zunächst sicher, dass Sie Application Guard nicht auf einem älteren unterstützten Windows-Build verwenden. Öffnen Sie anschließend die Eingabeaufforderung als Administrator und führen Sie Folgendes aus: 

Eingabeaufforderung — Administratornet user WDAGUtilityAccount /active:no

PowerShell-Alternative:

PowerShell — AdministratorDisable-LocalUser -Name "WDAGUtilityAccount"
⚠️
Nicht mit net user löschen Vermeiden Sie Befehle wie net user WDAGUtilityAccount /delete. Das Entfernen eines vordefinierten Kontos wird nicht unterstützt, ist unnötig und kann fehlschlagen, weil Windows systemverwaltete Komponenten schützt oder neu erstellt.
Aktuelle Windows-Versionen

WDAGUtilityAccount in Windows 11 Version 24H2 und neuer

Microsoft Defender Application Guard wurde eingestellt und ist ab Windows 11, Version 24H2nicht mehr verfügbar. Benutzer aktueller Windows-11-Versionen können die frühere Application-Guard-Funktion daher nicht mehr auf dieselbe Weise aktivieren wie in älteren unterstützten Versionen.

Dennoch kann WDAGUtilityAccount weiterhin in Listen lokaler Konten erscheinen, da es ein vordefiniertes Windows-Konto ist und registriert bleiben kann, selbst wenn die ursprüngliche Funktion nicht verfügbar oder inaktiv ist. Die Anwesenheit des Kontos beweist nicht, dass Application Guard derzeit installiert ist oder ausgeführt wird.

Windows-Version Status von Application Guard Bedeutung von WDAGUtilityAccount
Windows 10 Auf kompatiblen Editionen und Geräten verfügbar, aber eingestellt Kann verwendet werden, wenn Application Guard aktiviert ist
Windows 11 23H2 und älter In kompatiblen Konfigurationen verfügbar, aber eingestellt Kann vom Isolierungscontainer verwendet werden
Windows 11 24H2 und neuer Nicht mehr verfügbar Kann weiterhin als vordefiniertes deaktiviertes Konto sichtbar sein
📌
Version prüfen Drücken Sie Win + R, geben Sie winver ein und drücken Sie die Eingabetaste, um Ihre Windows-Version und den Betriebssystembuild anzuzeigen.
Problembehandlung

Was tun, wenn WDAGUtilityAccount aktiviert ist oder verdächtig wirkt?

Wenn das Konto unerwartet aktiviert ist, zu einer privilegierten Gruppe gehört oder als auswählbares Anmeldekonto erscheint, löschen Sie es nicht sofort. Ermitteln Sie anhand der folgenden Prüfliste, ob eine Konfigurationsänderung, eine Systembeschädigung oder ein unabhängiges bösartiges Konto mit einem ähnlichen Namen vorliegt.

  1. SID überprüfen. Verwenden Sie PowerShell und bestätigen Sie, dass die SID des echten Kontos auf -504.
  2. Prüfen, ob das Konto aktiviert ist. Führen Sie net user WDAGUtilityAccount aus und prüfen Sie das Feld Konto aktiv .
  3. Lokale Gruppenmitgliedschaften prüfen. Bestätigen Sie, dass das Konto nicht Mitglied der Gruppen „Administratoren“, „Remotedesktopbenutzer“ oder einer anderen privilegierten Gruppe ist.
  4. Deaktivieren, wenn keine unterstützte Isolierungsfunktion das Konto benötigt. Verwenden Sie net user WDAGUtilityAccount /active:no in einer als Administrator gestarteten Eingabeaufforderung.
  5. Vollständige Microsoft-Defender-Überprüfung ausführen. Öffnen Sie die Windows-Sicherheit, wählen Sie Viren- & Bedrohungsschutzund führen Sie eine vollständige Überprüfung oder eine Microsoft Defender Offline-Überprüfung aus.
  6. Kürzlich erstellte Konten prüfen. Prüfen Sie den Erstellungs- und Änderungsverlauf unbekannter lokaler Benutzer in der Ereignisanzeige oder in Ihren Sicherheitsprüfungstools.
  7. Windows-Systemdateien reparieren. Führen Sie SFC und DISM aus, wenn Kontoeinstellungen oder Windows-Sicherheitskomponenten beschädigt zu sein scheinen.
Eingabeaufforderung — Administratorsfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Ereignisse lokaler Konten in der Ereignisanzeige prüfen

  1. Drücken Sie Win + R, geben Sie eventvwr.mscein und drücken Sie die Eingabetaste.
  2. Öffnen Sie Windows-ProtokolleSicherheit.
  3. Suchen Sie nach Ereignissen der Kontoverwaltung, etwa Kontoerstellung, Aktivierung, Deaktivierung oder Änderungen der Gruppenmitgliedschaft.
  4. Prüfen Sie Datum, ausführendes Konto und betroffenen Benutzernamen.
🚨
Sofort untersuchen, wenn ein zweites Konto mit nahezu identischem Namen eine SID besitzt, die nicht auf -504endet, Administratorrechte besitzt, interaktive Anmeldungen zulässt oder zusammen mit anderen Anzeichen einer Kompromittierung aufgetreten ist.
FAQ

Häufig gestellte Fragen zu WDAGUtilityAccount

Q Warum ist WDAGUtilityAccount nach einem Windows-Update plötzlich aufgetaucht?

Windows-Updates können Informationen zu integrierten Konten registrieren, wiederherstellen oder sichtbar machen, die bereits Bestandteil des Betriebssystems waren. Das Konto kann auch sichtbar werden, weil Sie einen Befehl oder ein Verwaltungstool verwendet haben, das ausgeblendete und deaktivierte Benutzer auflistet. Sein Erscheinen bedeutet nicht zwangsläufig, dass das Konto neu erstellt oder aktiviert wurde.

Q Hängt WDAGUtilityAccount mit einer anderen Person zusammen, die den PC verwendet hat?

Nein. Das echte Konto wird von Windows erstellt, nicht von einem Vorbesitzer. Bei einem gebrauchten Computer sollten Sie dennoch eine saubere Windows-Installation oder ein vollständiges Zurücksetzen durchführen, wenn Sie der vorherigen Konfiguration nicht vertrauen. WDAGUtilityAccount selbst ist jedoch kein Beweis für den Zugriff einer anderen Person.

Q Warum wird WDAGUtilityAccount in net user neben meinem Benutzernamen angezeigt?

Der Befehl net user formatiert alle lokalen Kontonamen in Spalten. Konten, die in derselben Zeile stehen, sind nicht miteinander verknüpft und teilen keine Berechtigungen. Verwenden Sie whoami, um Ihr aktuelles Konto zu ermitteln, und net localgroup Administrators, um zu sehen, welche Benutzer tatsächlich Administratorrechte besitzen.

Q Kann WDAGUtilityAccount auf meine persönlichen Dateien zugreifen?

Das Konto ist für eine eingeschränkte isolierte Umgebung vorgesehen und kein normaler interaktiver Benutzer. Es sollte nicht zum Durchsuchen Ihres Desktopprofils verwendet werden. Application-Guard-Richtlinien können einen begrenzten kontrollierten Datenaustausch mit dem Host erlauben. Dies ist jedoch von den normalen Besitzrechten lokaler Dateien getrennt und macht das Konto nicht zu Ihrem Administrator.

Q Kann ich das Kennwort von WDAGUtilityAccount ändern?

Sie sollten es nicht ändern. Windows erzeugt und verwaltet das Kennwort für die isolierte Umgebung automatisch. Das manuelle Zurücksetzen bietet keinen praktischen Vorteil und kann die Funktion auf Systemen beeinträchtigen, auf denen Application Guard noch unterstützt wird.

Q Warum erscheint das Konto nicht auf dem Windows-Anmeldebildschirm?

WDAGUtilityAccount ist ein systemverwaltetes Konto für die Verwendung in einem Container, nicht für die normale interaktive Anmeldung. Windows hält es normalerweise deaktiviert und blendet es auf der Anmeldeoberfläche aus.

Q Wird Windows durch das Löschen von WDAGUtilityAccount schneller oder sicherer?

Nein. Ein deaktiviertes Konto verbraucht keine nennenswerte Prozessorleistung oder Arbeitsspeicher, und das Entfernen eines vordefinierten Windows-Kontos verbessert die Leistung nicht. Es mit den Standardberechtigungen deaktiviert zu lassen, ist sicherer als der Versuch, es zu löschen oder zu verändern.

Q Wird WDAGUtilityAccount von Windows Sandbox verwendet?

Die Microsoft-Dokumentation zu Konten bezeichnet WDAGUtilityAccount ausdrücklich als vordefiniertes Konto für Windows Defender Application Guard. Obwohl sowohl Application Guard als auch Windows Sandbox auf virtualisierungsbasierter Isolierung beruhen, sollten Sie aus der Anwesenheit des Kontos nicht schließen, dass Windows Sandbox installiert ist oder ausgeführt wird.

Fazit

WDAGUtilityAccount ist ein legitimes vordefiniertes Windows-Konto für Windows Defender Application Guard. Es bleibt normalerweise deaktiviert, verwendet ein von Windows verwaltetes zufälliges Kennwort, besitzt standardmäßig keine Gruppenmitgliedschaften und ist nicht für die alltägliche Anmeldung vorgesehen.

Wenn das Konto deaktiviert ist und seine SID auf -504endet, können Sie es bedenkenlos unverändert lassen. Löschen oder benennen Sie es nicht um, setzen Sie sein Kennwort nicht zurück und gewähren Sie ihm keine Administratorrechte. Eine Untersuchung ist nur erforderlich, wenn Status, SID, Gruppenmitgliedschaft oder Anmeldeverhalten von den erwarteten Standardeinstellungen abweichen.