Der ultimative Guide: Ein lokales Konto für AzureAD User in Verbindung mit DATEV einrichten

In einer zunehmend von der Cloud geprägten Welt ist die Verwaltung von Benutzerkonten eine zentrale Herausforderung für Unternehmen jeder Größe. Während Microsoft Azure Active Directory (Azure AD) die moderne Identitätsverwaltung für Cloud-Dienste revolutioniert hat, stoßen viele Unternehmen noch immer auf spezielle Anforderungen, wenn es um traditionelle, lokal installierte Software geht. Eine solche Software, die in Deutschland weit verbreitet ist und oft besondere Bedürfnisse mit sich bringt, ist DATEV. Dieser ultimative Guide zeigt Ihnen, wie Sie ein lokales Konto für einen Azure AD User einrichten können, um eine reibungslose Zusammenarbeit mit DATEV zu gewährleisten – eine oft notwendige Brücke zwischen Cloud und On-Premises.

Die Cloud bietet unbestreitbare Vorteile: Flexibilität, Skalierbarkeit und vereinfachte Verwaltung. Doch die Realität vieler Unternehmen ist eine hybride Umgebung, in der Cloud-Dienste Hand in Hand mit lokalen Anwendungen und Systemen arbeiten müssen. Genau hier entsteht manchmal ein Konflikt: Ein Benutzer, der primär ein Azure AD-Konto besitzt und sich damit an Cloud-Diensten anmeldet, benötigt plötzlich Zugriff auf eine lokale DATEV-Installation auf einem physischen Rechner oder Server. In solchen Szenarien ist die Einrichtung eines lokalen Kontos nicht nur eine Option, sondern oft eine zwingende Notwendigkeit.

Warum ein lokales Konto? Die Notwendigkeit verstehen

Bevor wir uns den technischen Details widmen, ist es wichtig zu verstehen, warum ein lokales Konto für einen primär in Azure AD verwalteten Benutzer überhaupt erforderlich sein kann, insbesondere im Kontext von DATEV. Die Gründe sind vielfältig und oft in der Architektur und den Anforderungen älterer oder spezifischer Anwendungen begründet:

• DATEV-Spezifika und Authentifizierung: Viele DATEV-Anwendungen, insbesondere die, die auf dem lokalen Client installiert sind oder auf einem lokalen Server laufen, sind traditionell für die Interaktion mit lokalen Windows-Benutzerkonten oder Domänenkonten (Active Directory On-Premises) konzipiert. Die Authentifizierung erfolgt oft direkt über das lokale Betriebssystem oder über Kerberos/NTLM in einer Domäne. Ein reines Azure AD-Konto, das sich an einem Azure AD-gejointen Gerät anmeldet, verhält sich anders und kann von älteren DATEV-Komponenten nicht immer nativ verstanden werden.
• DATEV SmartCard / mIDentity: Die Verwendung von DATEV SmartCards oder mIDentity-Authentifizierungsmedien ist in vielen Kanzleien und Unternehmen Standard. Diese erfordern oft einen stabilen lokalen Benutzerkontext und korrekt installierte Treiber sowie Softwarekomponenten, die auf einem lokal angemeldeten Benutzerprofil basieren. Probleme treten auf, wenn der Azure AD-Nutzer nicht die notwendigen lokalen Rechte oder das passende Profil hat, um die SmartCard-Software zu initialisieren oder die Zertifikate zu verwenden.
• Offline-Zugriff und Fallback: Ein lokales Konto bietet eine robuste Möglichkeit, auf den Rechner zuzugreifen, selbst wenn keine Internetverbindung besteht oder es Probleme mit der Azure AD-Authentifizierung gibt. Dies kann als wichtiges „Fallback”-Szenario dienen, um die Arbeitsfähigkeit bei Netzwerkproblemen zu erhalten.
• Lokale Administratorrechte: Für die Installation, Konfiguration oder Fehlerbehebung von DATEV-Anwendungen sind häufig lokale Administratorrechte erforderlich. Es ist oft nicht ratsam oder aus Sicherheitsgründen unerwünscht, einem Azure AD-Benutzer standardmäßig lokale Adminrechte zu gewähren. Ein separates lokales Administratorkonto (oder ein lokales Konto, das temporär Adminrechte erhält) kann hier die Lösung sein.
• Keine Domänenintegration oder Synchronisation: Wenn keine lokale Active Directory-Domäne vorhanden ist oder AD Connect (Azure AD Connect) nicht verwendet wird, um Benutzer von einer lokalen AD in Azure AD zu synchronisieren, existiert für den Azure AD-Benutzer kein entsprechendes „Spiegelbild” auf lokalen Systemen. In solchen Cloud-Only-Szenarien ist ein lokales Konto die einzige Möglichkeit, den Zugriff auf lokale Ressourcen zu ermöglichen.
• „Break Glass”-Konto: Unabhängig von DATEV ist es immer Best Practice, mindestens ein lokales Administratorkonto auf jedem System zu haben, das nicht domänenintegriert ist. Dies dient als Notfallzugang, falls die Cloud-Authentifizierung fehlschlägt.

Voraussetzungen und Vorüberlegungen

Bevor Sie mit der Einrichtung beginnen, sollten Sie einige Punkte klären und die notwendigen Voraussetzungen schaffen:

• Administratorrechte auf dem lokalen System: Sie benötigen zwingend administrative Berechtigungen auf dem Windows-Computer (Client oder Server), auf dem das lokale Konto erstellt werden soll. Ohne diese Rechte können Sie keine neuen Benutzerkonten anlegen oder Gruppenmitgliedschaften ändern.
• Verständnis der DATEV-Infrastruktur: Wissen Sie, wo DATEV installiert ist (lokal auf dem Client, auf einem Netzwerklaufwerk, einem DATEV-Server)? Dies beeinflusst, welche Zugriffsrechte der neue lokale Benutzer auf bestimmte Verzeichnisse benötigt.
• Der betreffende Rechner: Handelt es sich um einen einzelnen Arbeitsplatzrechner (Windows 10/11 Pro oder Home) oder einen Windows Server? Die Vorgehensweise zur Kontoerstellung ist leicht unterschiedlich.
• Sicherheitsrichtlinien: Informieren Sie sich über die internen Passwortrichtlinien Ihres Unternehmens. Das Kennwort für das lokale Konto sollte diesen Richtlinien entsprechen (Komplexität, Länge, Alter).
• Konto-Name und -Passwort: Wählen Sie einen eindeutigen Benutzernamen (z.B. "datev_user", "lokal_buchhaltung" oder den Namen des Benutzers gefolgt von "_local") und ein sicheres Kennwort. Das Kennwort sollte niemals einfach sein und idealerweise regelmäßig gewechselt werden.

Schritt-für-Schritt-Anleitung: Ein lokales Konto erstellen

Wir zeigen Ihnen zwei gängige Methoden zur Erstellung eines lokalen Kontos:

Methode 1: Über die Benutzeroberfläche (GUI) – Empfohlen für Einzelanwender

Diese Methode ist ideal für einzelne Workstations oder wenn Sie nur wenige lokale Konten erstellen müssen. Die genauen Schritte können je nach Windows-Version (Windows 10, Windows 11, Windows Server) leicht variieren.

Für Windows 10/11 Pro/Home (Arbeitsplatzrechner):

1. Drücken Sie die Windows-Taste + I, um die Einstellungen zu öffnen.
2. Navigieren Sie zu "Konten" und dann zu "Familie & andere Benutzer".
3. Klicken Sie unter "Andere Benutzer" auf "Konto hinzufügen".
4. Windows fragt Sie nach den Anmeldeinformationen der Person. Da wir ein lokales Konto ohne Microsoft-Konto erstellen möchten, klicken Sie auf "Ich kenne die Anmeldeinformationen für diese Person nicht".
5. Im nächsten Fenster wählen Sie "Benutzer ohne Microsoft-Konto hinzufügen".
6. Geben Sie nun den Benutzernamen ein (z.B. "datev_muster").
7. Erstellen Sie ein sicheres Kennwort und bestätigen Sie es. Notieren Sie sich das Kennwort an einem sicheren Ort und informieren Sie den Benutzer.
8. Legen Sie einen Kennworthinweis fest (optional, aber nützlich).
9. Klicken Sie auf "Weiter" oder "Fertigstellen".
10. Standardmäßig wird der Benutzer als "Standardbenutzer" angelegt. Um dem Benutzer bei Bedarf erweiterte Rechte zu geben (z.B. für Installationen), klicken Sie auf den neu erstellten Benutzer und dann auf "Kontotyp ändern". Wählen Sie hier "Administrator", aber nur, wenn unbedingt nötig und temporär. Für den normalen DATEV-Betrieb sind in der Regel Standardbenutzerrechte ausreichend, vorausgesetzt, die DATEV-Software ist korrekt installiert und die Ordnerberechtigungen stimmen.

Für Windows Server (ab Windows Server 2012 R2):

Auf Servern nutzen Sie am besten die "Computerverwaltung":

1. Drücken Sie Windows-Taste + X und wählen Sie "Computerverwaltung" (oder suchen Sie danach im Startmenü).
2. Navigieren Sie im linken Bereich zu "Lokale Benutzer und Gruppen".
3. Klicken Sie mit der rechten Maustaste auf den Ordner "Benutzer" und wählen Sie "Neuer Benutzer…".
4. Geben Sie den Benutzernamen, den vollständigen Namen (optional) und eine Beschreibung (optional) ein.
5. Vergeben Sie ein sicheres Kennwort und bestätigen Sie es.
6. Wählen Sie die gewünschten Optionen aus, z.B. "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" oder "Kennwort läuft nie ab" (letzteres nur mit Vorsicht verwenden und mit Sicherheitsrichtlinien abstimmen).
7. Klicken Sie auf "Erstellen" und dann auf "Schließen".
8. Standardmäßig ist der Benutzer Mitglied der Gruppe "Benutzer". Um dem Benutzer erweiterte Rechte zu geben, wechseln Sie zum Ordner "Gruppen", doppelklicken Sie auf die Gruppe "Administratoren", klicken Sie auf "Hinzufügen…" und fügen Sie den neuen Benutzer hinzu. Dies sollte, wie bereits erwähnt, nur bei Bedarf erfolgen.

Methode 2: Über die Befehlszeile (CMD oder PowerShell) – Effizient für Skripte

Für Administratoren, die gerne automatisieren oder schnell Konten erstellen müssen, sind die Befehlszeile oder PowerShell effiziente Werkzeuge.

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator. (Rechtsklick auf das Startmenü -> "Windows PowerShell (Administrator)" oder "Eingabeaufforderung (Administrator)").
2. Benutzerkonto erstellen:
   • Für CMD:

     net user [Benutzername] [Passwort] /add

     Beispiel:

     net user datev_max P@ssw0rd123! /add

   • Für PowerShell:

     New-LocalUser -Name "[Benutzername]" -Password (ConvertTo-SecureString "[Passwort]" -AsPlainText -Force) -FullName "[Vollständiger Name]" -Description "[Beschreibung]" -NoPasswordChange -UserCannotChangePassword

     Beispiel:

     New-LocalUser -Name "datev_max" -Password (ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force) -FullName "Max Mustermann (DATEV Lokal)" -Description "Lokales Konto für DATEV Zugriff"

   Achten Sie hier auf ein starkes Passwort, das den lokalen Richtlinien entspricht.

3. Benutzer zu einer Gruppe hinzufügen (z.B. Administratoren):
   • Für CMD:

     net localgroup Administratoren [Benutzername] /add

     Beispiel:

     net localgroup Administratoren datev_max /add

   • Für PowerShell:

     Add-LocalGroupMember -Group "Administratoren" -Member "[Benutzername]"

     Beispiel:

     Add-LocalGroupMember -Group "Administratoren" -Member "datev_max"

   Denken Sie daran: Administratorrechte sollten nur vergeben werden, wenn absolut notwendig, und gegebenenfalls nach Abschluss der Arbeiten wieder entzogen werden.

Das lokale Konto mit DATEV verbinden – Best Practices

Nachdem das lokale Konto erstellt wurde, geht es darum, die Kompatibilität und den reibungslosen Betrieb mit DATEV sicherzustellen.

1. Erste Anmeldung am lokalen System:

   Melden Sie sich mindestens einmal mit dem neu erstellten lokalen Konto am Windows-System an. Dies stellt sicher, dass ein Benutzerprofil für dieses Konto erstellt wird und alle notwendigen Registrierungseinträge und Ordnerstrukturen angelegt werden. Dies ist essentiell für die spätere Funktion von DATEV-Komponenten und SmartCards.

2. DATEV-Installation und -Konfiguration:
   • Berechtigungen auf DATEV-Verzeichnisse: Stellen Sie sicher, dass der neue lokale Benutzer ausreichende NTFS-Berechtigungen auf die Verzeichnisse hat, in denen DATEV installiert ist und in denen die Daten liegen (z.B. C:ProgrammeDATEV, C:DATEVDATEN oder Netzlaufwerke). Typischerweise sind "Lesen, Schreiben, Ausführen" oder "Vollzugriff" auf die relevanten Datenverzeichnisse erforderlich.
   • DATEV-Komponenten und Treiber: Wenn DATEV SmartCards oder mIDentity-Medien verwendet werden, installieren Sie alle notwendigen Treiber und die DATEV Sicherheitspaket-Software unter dem lokalen Benutzerkonto oder stellen Sie sicher, dass sie für alle Benutzer des Systems verfügbar sind. Nach der Installation des Sicherheitspakets ist oft ein Neustart erforderlich.
   • DATEV-Interne Rechteverwaltung: Überprüfen Sie innerhalb der DATEV-Software (z.B. in der "DATEV Rechteverwaltung"), ob das neue lokale Benutzerkonto oder eine Gruppe, der es angehört, in DATEV selbst die notwendigen Rechte für die jeweiligen Anwendungen (z.B. Kanzlei-Rechnungswesen, LODAS) besitzt. Hier müssen Sie das lokale Konto ggf. explizit hinzufügen und die entsprechenden Rollen zuweisen.
3. DATEV SmartCard / mIDentity-Einrichtung:
   • Nach der ersten Anmeldung des lokalen Benutzers und der Installation des Sicherheitspakets stecken Sie die SmartCard ein.
   • Führen Sie den "DATEV SmartCard-Dienst-Manager" aus und überprüfen Sie, ob die Karte erkannt wird.
   • Konfigurieren Sie gegebenenfalls die PIN-Verwaltung und die Zertifikatszuordnung für den lokalen Benutzer.

Häufige Fallstricke und Problembehebung

Bei der Einrichtung können verschiedene Probleme auftreten. Hier sind einige häufige Fallstricke und Lösungsansätze:

• "Zugriff verweigert"-Fehlermeldungen: Dies deutet fast immer auf fehlende NTFS-Berechtigungen hin. Überprüfen Sie die Berechtigungen der DATEV-Installationsverzeichnisse und Datenordner für den lokalen Benutzer. Stellen Sie sicher, dass der Benutzer "Vollzugriff" auf die benötigten Ordner hat.
• DATEV-Startprobleme oder SmartCard-Nicht-Erkennung:
  • Haben Sie sich mit dem lokalen Konto einmal angemeldet, um das Profil zu erstellen?
  • Sind alle DATEV-Treiber und das Sicherheitspaket unter diesem Konto installiert oder global verfügbar?
  • Ist das Sicherheitspaket aktuell? Führen Sie gegebenenfalls ein Update durch.
  • Prüfen Sie den "DATEV SmartCard-Dienst" in den Windows-Diensten, ob er gestartet ist.
  • Starten Sie den Computer neu, nachdem alle Softwarekomponenten installiert wurden.
• Langsame DATEV-Performance: Manchmal kann ein unzureichend konfiguriertes Benutzerprofil oder Netzwerkberechtigungen zu Performance-Problemen führen. Überprüfen Sie die Netzwerkverbindung zum DATEV-Datenpfad und die lokalen Berechtigungen.
• Kennwort vergessen: Wenn das Kennwort des lokalen Kontos vergessen wird und kein Kennworthinweis gesetzt wurde, müssen Sie das Kennwort als Administrator zurücksetzen. Bei einem domänenintegrierten Rechner könnte ein Domänen-Admin dies tun, andernfalls ein lokaler Administrator.

Sicherheitsüberlegungen und Best Practices

Die Einrichtung eines lokalen Kontos ist ein Kompromiss zwischen Funktionalität und Sicherheit. Beachten Sie folgende Best Practices:

• Starke Kennwörter: Verwenden Sie immer komplexe, lange und eindeutige Kennwörter für lokale Konten. Nutzen Sie keine Kennwörter, die bereits an anderer Stelle verwendet werden.
• Minimale Rechte: Weisen Sie dem lokalen Konto nur die absolut notwendigen Berechtigungen zu. Vermeiden Sie es, dauerhaft lokale Administratorrechte zu vergeben, es sei denn, es ist unvermeidlich. Wenn Adminrechte temporär benötigt werden, entziehen Sie diese nach Abschluss der Arbeiten wieder.
• Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die vorhandenen lokalen Konten auf Ihrem System. Löschen Sie nicht mehr benötigte Konten oder deaktivieren Sie diese.
• Dokumentation: Dokumentieren Sie die erstellten lokalen Konten, deren Zweck und die zugewiesenen Rechte.
• Kein Ersatz für AD Connect: Die Einrichtung lokaler Konten ist eine funktionale Lösung für spezifische Anwendungsfälle, sollte aber nicht als Ersatz für eine ordnungsgemäße Hybrid-Identitätsverwaltung via Azure AD Connect missverstanden werden, wenn eine lokale Active Directory-Domäne vorhanden ist. AD Connect synchronisiert Benutzer und Passworthashes, was eine einheitlichere und sicherere Anmeldung an lokalen und Cloud-Ressourcen ermöglicht.
• Patch Management: Sorgen Sie dafür, dass das Betriebssystem und die DATEV-Software stets aktuell sind, um Sicherheitslücken zu schließen, die auch lokale Konten betreffen könnten.

Zukunftsaussichten und Alternativen

Während lokale Konten eine pragmatische Lösung darstellen, ist es wichtig, die langfristige Strategie im Auge zu behalten:

• DATEV in der Cloud: Viele Kanzleien und Unternehmen setzen bereits auf DATEV SmartIT, DATEVasp oder andere Hosting-Lösungen, bei denen DATEV direkt in einem Rechenzentrum betrieben wird und über RDP-Verbindungen oder virtuelle Desktops (z.B. Azure Virtual Desktop) erreicht wird. In solchen Umgebungen können Azure AD-Benutzer oft direkt für den Zugriff verwendet werden, da die Infrastruktur entsprechend angepasst ist.
• Hybrid Identity mit Azure AD Connect: Für Unternehmen mit einer lokalen Active Directory-Domäne ist die Implementierung von Azure AD Connect die beste Lösung. Sie ermöglicht eine nahtlose Anmeldung mit denselben Anmeldeinformationen an lokalen und Cloud-Ressourcen. Lokale DATEV-Installationen können dann über die synchronisierten Domänenkonten angesprochen werden.
• Modernisierung der DATEV-Arbeitsplätze: In Zukunft werden auch traditionelle Desktop-Anwendungen wie DATEV stärker auf Cloud-Native-Prinzipien oder verbesserte Kompatibilität mit Azure AD-gejointe Geräten setzen müssen. Beobachten Sie die Entwicklungen von DATEV in diesem Bereich.

Fazit

Die Einrichtung eines lokalen Kontos für einen Azure AD User, um die Kompatibilität mit DATEV sicherzustellen, ist eine häufig erforderliche Maßnahme in hybriden IT-Umgebungen. Dieser Guide hat Ihnen die notwendigen Schritte und Überlegungen aufgezeigt, um diese Brücke zwischen Cloud-Identität und lokaler Anwendung erfolgreich zu schlagen. Von der eigentlichen Kontoerstellung bis hin zu den entscheidenden Berechtigungen und Sicherheitshinweisen – eine sorgfältige Planung und Umsetzung sind der Schlüssel zum Erfolg.

Denken Sie daran: Während diese Lösung praktikabel ist, sollten Sie stets die langfristige Strategie Ihrer IT-Infrastruktur im Blick behalten und prüfen, ob modernere Ansätze wie eine vollständige Cloud-Migration von DATEV oder eine umfassende Hybrid-Identitätslösung (mit Azure AD Connect) für Ihr Unternehmen sinnvoller sind. Bis dahin bietet ein gut konfiguriertes lokales Konto die nötige Flexibilität, um Ihre Geschäftsprozesse reibungslos fortzuführen.