Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 25 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
25
Dung lượng
463 KB
Nội dung
ĐiềukhiểnđặcquyềntàikhoảnAdministrator - 14/2/2007 7h:59
Tài khoảnAdministrator có thể làm gì và được phép truy cập những gì?
Có hàng trăm, thậm chí hàng nghìn tàikhoảnAdministrator trên mạng ngày nay. Bạn có
thể điềukhiển các tàikhoản để biết chúng có khả năng làm những gì và được phép truy
cập những gì?
Vì sao lại là điềukhiểntàikhoản Administrator?
Nếu là người quản trị các mạng Windows, có thể bạn đặc biệt quan tâm tới thành phần
Active Directory doanh nghiệp. Với tất cả khái niệm bảo mật liên quan như domain
controller (bộ điềukhiển miền), server (máy chủ), service (dịch vụ), application (ứng
dụng) và Internet connectivity (kết nối Internet), chỉ cần bỏ ra thêm chút thời gian bạn sẽ
hiểu được cách kiểm soát các Administrator trong doanh nghiệp của mình một cách phù
hợp và chính xác nhất.
Lý do các tàikhoản này cần được kiểm soát thì muôn hình muôn vẻ. Đầu tiên, trên mỗi
mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tàikhoản Administrator. Khả
năng chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công
ty đều cho phép “người dùng tiêu chuẩn” truy cập tàikhoảnAdministrator cục bộ, có thể
dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tàikhoảnAdministrator nguyên bản
ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặcquyền là một cách thông
minh để quản lý hệ thống mạng trong doanh nghiệp.
Bạn có bao nhiêu tàikhoản Administrator?
Để tìm ra câu trả lời cho câu hỏi này, bạn cần tính toán một chút. Chúng ta sẽ bắt đầu với
các máy tính để bàn sử dụng Windows với một tàikhoảnAdministrator cục bộ. Đó là
Windows NT, 200, XP và Vista. Ngoài ra còn có thể xét đến tất cả máy khách được dùng
bởi “admin”, các nhà phát triển, nhân viên và cả trong phạm vi máy chủ hoạt động như
một thiết bị ứng dụng hay dịch vụ. Cả một quán Internet công cộng hay các máy tính
dùng cho mục đích nghiên cứu, thí nghiệm, trạm làm việc trung tâm hóa, cũng được xét
đến trong phạm vi này. Đừng đếm tàikhoản người dùng ở đây, vì số thiết bị có thể không
khớp với số người dùng.
Bây giờ cần xem xét đến số server bạn có (lúc này chưa tính đến các domain controller).
Với server, bạn cần quan tâm đến nhiệm vụ cụ thể của nó: lưu trữ dữ liệu, in ấn, ứng
dụng, sở hữu dịch vụ, hoạt động như một văn phòng hay mail, fax,… Mỗi thiết bị này
đều có một SAM và một tàikhoảnAdministrator cục bộ. Tàikhoản này không được
dùng thường xuyên, nhưng như thế có khi lại càng cần được điềukhiểnđặc quyền.
Cuối cùng, bạn cần xem đến các domain controller. Trên bộ phận điềukhiển miền này
(cũng là một kiểu máy chủ) có một tàikhoảnAdministrator quan trọng, là tàikhoảnđiều
khiển Active Directory. Ngoài ra còn là domain gốc và đóng vai trò quản trị chính cho
doanh nghiệp. Nếu bạn có nhiều hơn một domain, mỗi domain sẽ có một tàikhoản
Administrator quan trọng này. TàikhoảnAdministrator tiếp theo chỉ điềukhiển điện
nguồn ở domain nhưng cũng có tác động rất manh.
Giới hạn đặcquyền đăng nhập
Bạn không làm được gì nhiều để giới hạn vật lý đặcquyền đăng nhập các tàikhoản
Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng
ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng biết mật khẩu. Với tàikhoản
Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng
nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tàikhoản
Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tàiliệu dẫn dắt đến
các phần chứa mật khẩu đó. Nếu tàikhoản chưa cần phải dùng đến, cả hai phần dữ liệu
của mật khẩu có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình tự
động tạo mật khẩu, có thể tạo ra mật khẩu tổng hợp.
Giới hạn khả năng truy cập Administrator cục bộ
Cho dù bạn có cho phép người dùng tiêu chuẩn quyền “admin access” (truy cập với vai
trò admin) vào máy tính của họ hay không, bạn vẫn cần giới hạn quyền truy cập tài khoản
Administrator cục bộ. Có hai cách dễ dàng là thay đổi tên tàikhoảnAdministrator local
hoặc thay đổi mật khẩu thường xuyên. Có một nhóm các đối tượng Group Policy Object
(GPO) cho từng kiểu thiết lập này. Đầu tiên là vào Computer Configuration >
Windows Settings > Security Settings > Local Policies > Security Options như trong
Hình 1. Phần chính sách bạn muốn cầu hình là Accounts: Rename Administrator
Account (thay đổi lại tên tàikhoản Administrator).
Hình 1: Cấu hình lại để thay đổi tên cho tàikhoảnAdministrator
Chính sách thứ hai bạn cần để cấu hình là các thiết lập policy mới sẽ ra mắt vào cuối năm
2007. Chính sách này là một phần trong bộ PolicyMaker, được đặt trong Computer
Configuration|Windows Settings|Control Panel|Local Users and Groups như minh
họa ở Hình 2.
Hình 2: Cấu hình để thiết lập lại mật khẩu cho tàikhoảnAdministrator cục bộ
Chú ý: Điều này không ngăn cản được người dùng tiêu chuẩn điềukhiển định kỳ tài
khoản. Chỉ có một cách thực hiện điều này là loại bỏ họ khỏi quyền admin control trên
máy tính.
Giảm quyền truy cập mạng
Như đã nói ở trên, tàikhoảnAdministrator không nên sử dụng hàng ngày. Do đó, không
có lý do gì để cấu hình cho phép tàikhoản này truy cập trên toàn bộ mạng. Một cách hay
để giới hạn là không cho phép tàikhoảnAdministrator truy cập server và domain
controller qua mạng. Bạn có thể thực hiện điều này dễ dàng bằng thiết lập GPO, nằm
trong Computer Configuration > Windows Settings > Security Settings > Local
Policies > User Rights Assignment như Hình 3. Thiết lập bạn nên cấu hình có tên
“Deny Access to this computer from Network” (Từ chối truy cập mạng trên máy tính
này).
Hình 3: Cấu hình từ chối quyền truy cập mạng bằng tàikhoảnAdministrator trên máy
tính.
Các cấu hình khác
Nếu bạn là người rất tỉ mỉ trong việc giới hạn quyền truy cập tàikhoảnAdministrator trên
mạng của công ty, bạn có thể tham khảo thêm một số chi tiết sau:
• Không dùng tàikhoảnAdministrator như là một tàikhoản dịch vụ.
• Từ chối truy cập Terminal Services trên server hoặc domain controller.
• Từ chối khả năng đăng nhập như một dịch vụ trên server và domain controller cho tài
khoản Administrator.
• Từ chối đăng nhập như một job batch (công việc theo lô) cho tàikhoản Administrator.
Các thiết lập này sẽ giới hạn phạm vi tác động của tàikhoảnAdministrator trên máy tính
hay trên mạng. Chúng không ngăn cản người dùng có đặcquyền admin cấu hình quyền
truy cập. Trong trường hợp này bạn cần thiết lập chế độ kiểm soát cả hai kiểu cấu hình
của Administrator, cũng như khi tàikhoản này được dùng để đăng nhập và sử dụng User
Rights. Các cấu hình này được hoàn chỉnh với việc sử dụng GPO. Bạn có thể tìm thấy
chúng trong Computer Configuration > Windows Settings > Security Settings >
Local Policies > Audit Policy như Hình 4.
Hình 4: Thiết lập chính sách kiểm định việc dùng và quản lý tài khoản.
Tóm tắt
Administrator là tàikhoản mạnh nhất, có tác động lớn nhất trong thế giới của hệ điều
hành Windows. Nhưng cũng do tác động lớn của nó mà bạn nên giới hạn chỉ dùng khi
thực sự cần đến nó. Như trong việc phục hồi nếu gặp sự cố hay cấu hình ban đầu. Để thực
hiện hoạt động giới hạn này, bạn cần đến các thiết lập bổ sung kiểm soát quyền sử dụng
và truy cập Administrator. Group Policy là cơ chế có tác dụng phân phối các thiết lập hạn
chế đặcquyền tới tất cả các máy tính cần giới hạn Administrator. Chỉ cần các thiết lập
được tạo một cách phù hợp, tàikhoảnAdministrator sẽ được kiểm soát, không chỉ trong
hoạt động mà ngay cả khi muốn theo dõi nếu có kẻ xâm phạm nào đó muốn tấn công
mạng của bạn mà không cần tàikhoản nào
Bắt đầu với User Account Control trên Windows Vista -
26/2/2007 16h:25
Hướng dẫn này dành cho những triển khai Microsoft® Windows VistaTM và
UAC trong môi trường thực hành. Hướng dẫn còn cung cấp kinh nghiệm người
dùng và cấu hình dữ liệu cho cả môi trường được quản lý lẫn không quản lý thông
tin về các bản cập nhật UAC có trong Windows Vista
Tổng quan về User Account Control
User Account Control (UAC) là một thành phần bảo mật mới của hệ điều hành
Microsoft® Windows Vista. UAC cho phép bạn thực hiện các nhiệm vụ chung khi không
phải là quản trị viên, được gọi là người dùng chuẩn trong Windows Vista, và như các
quản trị viên không chia sẻ quyền cho người dùng khác, log off hoặc sử dụng Run As.
Một tàikhoản người dùng chuẩn đồng nghĩa với tàikhoản người dùng trong Windows
XP. Tàikhoản người dùng là các thành viên của nhóm quản trị cục bộ sẽ chạy hầu hết các
ứng dụng như một người dùng chuẩn. Bằng việc phân chia chức năng người dùng và
quản trị viên trong khi vẫn cho phép hoạt động hiệu quả, User Account Control là một
tính năng quan trọng cho Windows Vista.
Khi một quản trị viên đăng nhập vào máy tính Windows Vista, người dùng được gán 2
thẻ truy cập phân biệt. Thẻ truy cập gồm có tư cách hội viên nhóm của người dùng, sự
thẩm định quyền và dữ liệuđiềukhiển truy cập được sử dụng bởi Windows để điều khiển
những tài nguyên và các nhiệm vụ mà người dùng có thể truy cập. Trước Windows Vista,
tài khoản quản trị viên nhận được một thẻ truy cập, thẻ này gồm có dữ liệu để công nhận
có quyền truy cập vào tất cả tài nguyên Windows. Mô hình điềukhiển truy cập này
không có bất kỳ một sự kiểm tra dự phòng nào để bảo đảm người dùng tin cậy thực sự
muốn thực hiện một nhiệm vụ cần đến thẻ truy cập của quản trị viên. Kết quả là, các
malware (phần mềm độc hại) có thể cài đặt trên máy tính mà người dùng không hề hay
biết về chúng. Quá trình này được cho là cài đặt thầm lặng. Thậm chí còn hỏng hóc hơn
nữa bởi khi người dùng là một quản trị viên, malware có thể sử dụng dữ liệuđiềukhiển
truy cập của quản trị viên để xâm nhập vào các file hệ điều hành lõi, trong một số trường
hợp là không thể gỡ bỏ.
Sự khác nhau chính giữa một người dùng chuẩn và một quản trị viên trong Windows
Vista là mức độ truy cập của người dùng trên các vùng được bảo vệ, và truy cập vào lõi
máy tính. Quản trị viên có thể thay đổi trạng thái hệ thống, tắt tường lửa, cấu hình lại các
chính sách bảo mật, cài đặt dịch vụ hoặc bộ cài ảnh hưởng đến người dùng khác trên máy
tính, cài đặt phần mềm cho toàn bộ máy tính. Người dùng chuẩn mặc định không thể thực
hiện các nhiệm vụ trên mà chỉ có thể cài đặt những phần mềm trong quyền sử dụng của
họ.
Để giúp ngăn chặn các malware có thể cài đặt thầm lặng và tiêm nhiễm toàn máy tính,
Microsoft đã phát triển tính năng User Account Control cho Windows Vista. Không
giống như các phiên bản trước, khi một quản trị viên đăng nhập vào hệ thống, thẻ truy
cập quản trị hoàn chỉnh của người dùng sẽ phân chia thành hai dạng truy cập: một cho
người dùng chuẩn và một cho quản trị viên. Trong suốt quá trình đăng nhập, các thành
phần điềukhiển truy cập và nhận dạng nhận dạng quản trị viên được gỡ bỏ và vô hiệu
hóa. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm,
Explorer.exe. Do tất cả các ứng dụng đều kế thừa dữ liệu truy cập của chúng từ khởi chạy
ban đầu của máy trạm nên tất cả chúng chạy như cho một người dùng chuẩn. Trái ngược
với quá trình này, khi một người dùng chuẩn đăng nhập vào hệ thống thì chỉ thẻ truy cập
của người này mới được tạo. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để
khởi chạy máy trạm.
Sau khi quản trị viên đăng nhập, thẻ truy cập quản trị viên đầy đủ không được cần đến
cho tới khi người dùng cố gắng thực hiện nhiệm vụ quản trị. Vì người dùng là có thể cấu
hình với mô đun phần mềm Security Policy Manager (secpol.msc) và Group Policy
(gpedit.msc) nên không có User Account Control duy nhất.
Thực hiện các ứng dụng với công việc của người dùng chuẩn
Một hiệu quả lớn đang được thực hiện hiện nay để giúp Microsoft và các hãng phần mềm
độc lập (ISV) thiết kế lại các ứng dụng của họ để hạn chế các yêu cầu về thẻ truy cập
quản trị viên. Thông điệp phát triển ứng dụng được sửa lại là: chỉ yêu cầu người dùng trở
thành một quản trị viên khi thực sự cần thiết.
Trong quá khứ, các chuyên gia phát triển phần mềm thường thực hiện bước kiểm tra truy
cập để bảo đảm người dùng là một quản trị viên khi ứng dụng bắt đầu được khởi chạy.
Mặc dù vậy, nhiều ứng dụng đó đã không có các chức năng thực sự cần thiết cho người
dùng để trở thành một quản trị viên.
Tuy nhiên, nhiều chương trình luôn luôn yêu cầu một thẻ truy cập quyền quản trị viên
(Phần mềm phân vùng đĩa là một ví dụ). Nhiều chương trình yêu cầu người dùng phải là
một quản trị viên thì mới có thể khởi chạy trong Windows Vista với thẻ truy cập quyền
quản trị viên đầy đủ; mặc dù vậy, trước tiên người dùng được thông báo với các yêu cầu
của quản trị viên rồi nâng dần từ một quản trị viên trong chế độ Admin Approval thành
một quản trị viên đầy đủ (hoàn chỉnh) và phải chọn sự phê chuẩn của họ.
Lưu ý:
Chức năng User Account Control được mặc định không áp dụng cho tàikhoản quản trị
viên được cài đặt sẵn nhưng có thể được cấu hình để áp dụng. Trong hầu hết các trường
hợp, tàikhoản này chạy tất cả các ứng dụng và công cụ quản trị khi một quản trị viên
không được sự ưng thuận. Khi đó máy trạm cũng được khởi chạy.
Những nâp cấp của Windows Vista
Những nâng cấp dưới đây thể hiện sự thay đổi bên trong mang tính chức năng có trong
Windows Vista.
User Account Control được kích hoạt một cách mặc định
Bạn có thể thấy được các vấn đề tương thích với ứng dụng khác vẫn chưa được nâng cấp
thành phần User Account Control Windows Vista. Nếu một ứng dụng yêu cầu một thẻ
truy cập quyền quản trị viên (đây là biểu hiện từ một lỗi “từ chối sự truy cập” được đáp
lại khi bạn cố gắng chạy ứng dụng), bạn có thể chạy chương trình như một quản trị viên
bằng cách sử dụng Run như tùy chọn quyền quản trị viên trong menu nội dung (kích
chuột phải). Điều này được minh chứng trong tàiliệu phần "Chạy các chương trình như
một quản trị viên".
Tất cả tàikhoản người dùng sau đó được tạo như các người dùng chuẩn
Cả tàikhoản người dùng chuẩn và tàikhoản quản trị viên đều có những ưu điểm với bảo
mật nâng cao của User Account Control. Trong các cài đặt mới, mặc định tàikhoản
người dùng đầu tiên được tạo là một tàikhoản quản trị viên cục bộ trong Admin
Approval Mode (UAC enabled). Tất cả các tàikhoản sau đó đều được tạo như những
người dùng chuẩn.
Các tàikhoản quản trị viên đã cài đặt sẵn bị vô hiệu hóa mặc định trong các cài đặt
mới
Các tàikhoản quản trị viên cài đặt sẵn bị vô hiệu hóa một cách mặc định trong Windows
Vista. Nếu Windows Vista quyết định một nâng cấp hoàn thiện từ Windows XP mà một
quản trị viên kèm theo chỉ là tàikhoản quản trị viên cục bộ thì Windows Vista sẽ bỏ lại
tài khoản được mặc định và thay thế tàikhoản trong Admin Approval Mode. Tàikhoản
quản trị viên kèm theo mặc định không thể đăng nhập vào máy tính ở chế độ safe mode.
Bạn nên xem những phần dưới đây để có thêm thông tin chi tiết.
Non-Domain Joined
Khi có ít nhất một tàikhoản quản trị viên cục bộ được kích hoạt thì chế độ safe mode sẽ
không cho phép đăng nhập với tàikhoản quản trị viên cài đặt sẵn đã bị vô hiệu hóa. Thay
vì đó, bất kỳ tàikhoản quản trị viên cục bộ nào cũng có thể được sử dụng để đăng nhập.
Nếu tàikhoản quản trị viên cục bộ cuối cùng tình cờ bị hạ cấp, vô hiệu hóa hoặc xóa bỏ
thì chế độ safe mode sẽ cho phép tàikhoản quản trị viên được cài đặt sẵn đã bị vô hiệu
hóa có thể đăng nhập để khôi phục.
Domain Joined
Tài khoản quản trị viên cài đặt sẵn bị vô hiệu hóa trong các trường hợp không thể đăng
nhập trong chế độ safe mode. Một tàikhoản người dùng là một thành viên của nhóm
Domain Admins có thể đăng nhập vào máy tính để tạo một quản trị viên cục bộ nếu
không tồn tại.
Lưu ý:
Nếu tàikhoản quản trị viên miền chưa từng đăng nhập trước đó thì máy tính phải được
bắt đầu trong chế độ Safe Mode với networking từ những tài nguyên không bị che giấu.
Lưu ý:
Khi máy tính bị tách rời ra, nó sẽ quay trở lại non-domain joined đã được mô tả trước.
Các lệnh nâng quyền được hiển thị trong Secure Desktop một cách mặc định
Sự cho phép và các lệnh quan trọng được hiển thị trên máy trạm bảo vệ mặc định trong
Windows Vista.
Các thiết lập bảo mật User Account Control mới và thay đổi tên thiết lập bảo mật
Các thiết lập bảo mật mới và các nâng cấp hoàn chỉnh của nó được mô tả chi tiết trong
Understanding and Configuring User Account Control của Windows Vista
(http://go.microsoft.com/fwlink/?LinkId=66020).
Cảm nhận người dùng UAC
Cảm nhận người dùng sẽ khác nhau với người dùng chuẩn và quản trị viên trong Admin
Approval Mode khi UAC được kích hoạt. Những phần dưới đây sẽ miêu tả cụ thể những
khác nhau này và giải thích thiết kế của giao diện người dùng UAC.
Sự đồng thuận và các lệnh quan trọng
Với User Account Control được kích hoạt, Windows Vista thực hiện cho sự đồng thuận
hoặc cho các khả năng của một quản trị viên hợp lệ trước khi khởi chạy một chương trình
hoặc một nhiệm vụ yêu cầu đến thẻ truy cập quyền quản trị viên đầy đủ. Lệnh này sẽ giúp
bạn ngăn chặn những cài đặt thầm lặng của malware.
Cửa sổ đồng thuận
Lệnh đồng thuận được thể hiện khi một quản trị viên cố gắng thực hiện một nhiệm vụ yêu
cầu đến thẻ truy cập quyền quản trị viên đầy đủ. Cửa sổ mặc định này cho quản trị viên
có thể được cấu hình bằng mô đun phần mềm Security Policy Editor cục bộ (secpol.msc)
và với Group Policy (gpedit.msc). Hình dưới đây là một cửa sổ đồng thuận User Account
Control.
Cửa sổ đồng thuận User Account Control
Ví dụ dưới đây sẽ thể hiện cho các bạn thấy một quản trị viên trong Admin Approval
Mode đã thực hiện khi thực hiện một nhiệm vụ quản trị viên.
Để quan sát cửa sổ đồng thuận
1. Đăng nhập vào máy tính Windows Vista với tàikhoản quản trị viên trong Admin
Approval Mode.
2. Kích vào nút Start sau đó kích chuột phải vào My Computer, chọn Manage từ
menu
[...]... báo lỗi: Tàikhoản của bạn đã bị giới hạn để ngăn chặn bạn đăng nhập vào thời gian này Bạn hãy thử lại lần sau” 6, Denise đăng nhập và quan sát thấy một báo cáo hoạt động về tàikhoản của Brian Bảng dưới đây mô tả chi tiết các điềukhiển cha có sẵn Các điềukhiển cha của Windows Vista Điềukhiển cha Mô tả Ngăn chặn web Điềukhiển cho phép các website, download,… Giới hạn thời gian Điềukhiển khi người... bảo bạn không nên đặt tên của tàikhoản như những gì sẽ phải cung cấp cho tài khoản sử dụng chính của bạn Ví dụ: một người dùng đặt tên là Michael Patten có thể sử dụng kiểu đặt tên dưới đây cho hai tàikhoản người dùng của mình • • Tàikhoản quản trị viên trong Admin Approval Mode: mpAdmin Tàikhoản người dùng chuẩn: Michael Tạo một tàikhoản người dùng chuẩn như tàikhoản người dùng chính của bạn... UAC với các điềukhiển cha UAC cho phép sử dụng linh hoạt điềukhiển cha bằng cách gạn lọc các nhiệm vụ người dùng và loại tàikhoản người dùng Lưu ý Điềukhiển Parental Controls không được hiển thị trong Control Panel trên miền các máy tính được ghép lại Cấu hình được khuyến khích cho các điềukhiển cha: • • • UAC được kích hoạt trên máy tính Tất cả các tàikhoản cha được tạo như tàikhoản quản trị... làm việc trong hoạt động kinh doanh được làm nổi bật trong tàiliệu này Danh sách dưới đây mô tả chi tiết cấu hình máy tính gia đình được khuyến khích cho Windows Vista • • • Tạo một tàikhoản quản trị viên trong Admin Approval Mode Tạo một tàikhoản chuẩn như tàikhoản người dùng chính của bạn Tạo tất cả các tàikhoản tiếp theo như các tàikhoản người dùng chuẩn Các phần dưới đây mô tả chi tiết làm... để giảm TCO nếu chúng bổ sung tàikhoản người dùng trên các trạm làm việc Tạo một tàikhoản quản trị viên trong Admin Approval Mode Trong suốt quá trình cài đặt Windows Vista, bạn sẽ phải cung cấp thông tin về một tàikhoản người dùng Mặc định, tàikhoản người dùng này được tạo như một tàikhoản quản trị viên trong Admin Approval Mode Bởi vì Microsoft chỉ cho sử dụng tàikhoản quản trị viên ban đầu này... trong Admin Approval Mode Tất cả các tàikhoản con được tạo như tàikhoản người dùng chuẩn Quan trọng Các tài khoản cha cần phải có password vững chắc Sơ đồ dưới đây sử dụng nguyên tắc có trước để chứng minh làm thế nào để cha- mẹ (quản trị viên trong Admin Approval Mode) có thể thiết lập các điềukhiển cha cho một đứa trẻ (tài khoản người dùng chuẩn) Thiết lập các điềukhiển cha Trong trường hợp này,... kích vào tài khoản người dùng mới Trong Change an account, kích Create a password Trong Create Password, nhập vào password Lưu ý Tuy Windows Vista không yêu cầu một password tốt cho các tàikhoản người dùng chuẩn nhưng bạn nên bảo đảm thiết lập password đó đủ tốt để bảo đảm độ tin cậy Tạo tất cả các tàikhoản người dùng sau như các người dùng chuẩn Mỗi tàikhoản người dùng sau khi tạo sau hai tài khoản. .. khoản người dùng sau khi tạo sau hai tàikhoản đầu tiên nên là mỗi tàikhoản người dùng chuẩn Theo thủ tục "Create a standard user account" được mô tả chi tiết trong chủ đề có trước dưới đây bạn sẽ có thể học được cách để tạo các tàikhoản người dùng chuẩn Mặc định, mỗi tàikhoản người dùng sau tàikhoản quản trị viên đầu sẽ được tạo như tàikhoản người dùng chuẩn trong Windows Vista Tìm hiểu một số vấn... các máy tính gia đình Trong khi một tàikhoản người dùng chuẩn đã xuất hiện trong Windows từ NT 4.0 thì hầu hết người dùng gia đình không hề hay biết rằng có nhiều loại tàikhoản khác nhau Chính vì vậy, phần lớn người dùng gia đình chỉ duyệt web, đọc email, mua sắm online và soạn tàiliệu với quyền quản trị viên Bởi vì một quản trị viên có đầy đủ quyền truy cập vào tài nguyên hệ thống nên bất kỳ phần... giữ ở trạng thái vô hiệu hóa và một password được thiết lập để ngăn chặn bất kỳ tấn công offline nào Mọi người dùng của máy trạm đều chạy với một tàikhoản người dùng chuẩn Các quản trị viên miền có hai tài khoản: một tàikhoản người dùng chuẩn và một tàikhoản quản trị viên trong Admin Approval Mode Triển khai các ứng dụng bằng việc sử dụng Microsoft Systems Management Server (SMS), cài đặt phần mềm . Điều khiển đặc quyền tài khoản Administrator - 14/2/2007 7h:59
Tài khoản Administrator có thể làm gì và được phép. controller. Trên bộ phận điều khiển miền này
(cũng là một kiểu máy chủ) có một tài khoản Administrator quan trọng, là tài khoản điều
khiển Active Directory.