Điều khiển đặc quyền tài khoản Administrator - 14/2/2007 7h:59
Tài khoản Administrator có thể làm gì và được phép truy cập những gì?
Có hàng trăm, thậm chí hàng nghìn tài khoản Administrator trên mạng ngày nay. Bạn có
thể điều khiển các tài khoản để biết chúng có khả năng làm những gì và được phép truy
cập những gì?
Vì sao lại là điều khiển tài khoản Administrator?
Nếu là người quản trị các mạng Windows, có thể bạn đặc biệt quan tâm tới thành phần
Active Directory doanh nghiệp. Với tất cả khái niệm bảo mật liên quan như domain
controller (bộ điều khiển miền), server (máy chủ), service (dịch vụ), application (ứng
dụng) và Internet connectivity (kết nối Internet), chỉ cần bỏ ra thêm chút thời gian bạn sẽ
hiểu được cách kiểm soát các Administrator trong doanh nghiệp của mình một cách phù
hợp và chính xác nhất.
Lý do các tài khoản này cần được kiểm soát thì muôn hình muôn vẻ. Đầu tiên, trên mỗi
mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả
năng chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công
ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, có thể
dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản Administrator nguyên bản
ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông
minh để quản lý hệ thống mạng trong doanh nghiệp.
Bạn có bao nhiêu tài khoản Administrator?
Để tìm ra câu trả lời cho câu hỏi này, bạn cần tính toán một chút. Chúng ta sẽ bắt đầu với
các máy tính để bàn sử dụng Windows với một tài khoản Administrator cục bộ. Đó là
Windows NT, 200, XP và Vista. Ngoài ra còn có thể xét đến tất cả máy khách được dùng
bởi “admin”, các nhà phát triển, nhân viên và cả trong phạm vi máy chủ hoạt động như
một thiết bị ứng dụng hay dịch vụ. Cả một quán Internet công cộng hay các máy tính
dùng cho mục đích nghiên cứu, thí nghiệm, trạm làm việc trung tâm hóa, cũng được xét
đến trong phạm vi này. Đừng đếm tài khoản người dùng ở đây, vì số thiết bị có thể không
khớp với số người dùng.
Bây giờ cần xem xét đến số server bạn có (lúc này chưa tính đến các domain controller).
Với server, bạn cần quan tâm đến nhiệm vụ cụ thể của nó: lưu trữ dữ liệu, in ấn, ứng
dụng, sở hữu dịch vụ, hoạt động như một văn phòng hay mail, fax,… Mỗi thiết bị này

Configuration|Windows Settings|Control Panel|Local Users and Groups như minh
họa ở Hình 2.
Hình 2: Cấu hình để thiết lập lại mật khẩu cho tài khoản Administrator cục bộ
Chú ý: Điều này không ngăn cản được người dùng tiêu chuẩn điều khiển định kỳ tài
khoản. Chỉ có một cách thực hiện điều này là loại bỏ họ khỏi quyền admin control trên
máy tính.
Giảm quyền truy cập mạng
Như đã nói ở trên, tài khoản Administrator không nên sử dụng hàng ngày. Do đó, không
có lý do gì để cấu hình cho phép tài khoản này truy cập trên toàn bộ mạng. Một cách hay
để giới hạn là không cho phép tài khoản Administrator truy cập server và domain
controller qua mạng. Bạn có thể thực hiện điều này dễ dàng bằng thiết lập GPO, nằm
trong Computer Configuration > Windows Settings > Security Settings > Local
Policies > User Rights Assignment như Hình 3. Thiết lập bạn nên cấu hình có tên
“Deny Access to this computer from Network” (Từ chối truy cập mạng trên máy tính
này).
Hình 3: Cấu hình từ chối quyền truy cập mạng bằng tài khoản Administrator trên máy
tính.
Các cấu hình khác
Nếu bạn là người rất tỉ mỉ trong việc giới hạn quyền truy cập tài khoản Administrator trên
mạng của công ty, bạn có thể tham khảo thêm một số chi tiết sau:
• Không dùng tài khoản Administrator như là một tài khoản dịch vụ.
• Từ chối truy cập Terminal Services trên server hoặc domain controller.
• Từ chối khả năng đăng nhập như một dịch vụ trên server và domain controller cho tài
khoản Administrator.
• Từ chối đăng nhập như một job batch (công việc theo lô) cho tài khoản Administrator.
Các thiết lập này sẽ giới hạn phạm vi tác động của tài khoản Administrator trên máy tính
hay trên mạng. Chúng không ngăn cản người dùng có đặc quyền admin cấu hình quyền
truy cập. Trong trường hợp này bạn cần thiết lập chế độ kiểm soát cả hai kiểu cấu hình
của Administrator, cũng như khi tài khoản này được dùng để đăng nhập và sử dụng User
Rights. Các cấu hình này được hoàn chỉnh với việc sử dụng GPO. Bạn có thể tìm thấy

thẻ truy cập phân biệt. Thẻ truy cập gồm có tư cách hội viên nhóm của người dùng, sự
thẩm định quyền và dữ liệu điều khiển truy cập được sử dụng bởi Windows để điều khiển
những tài nguyên và các nhiệm vụ mà người dùng có thể truy cập. Trước Windows Vista,
tài khoản quản trị viên nhận được một thẻ truy cập, thẻ này gồm có dữ liệu để công nhận
có quyền truy cập vào tất cả tài nguyên Windows. Mô hình điều khiển truy cập này
không có bất kỳ một sự kiểm tra dự phòng nào để bảo đảm người dùng tin cậy thực sự
muốn thực hiện một nhiệm vụ cần đến thẻ truy cập của quản trị viên. Kết quả là, các
malware (phần mềm độc hại) có thể cài đặt trên máy tính mà người dùng không hề hay
biết về chúng. Quá trình này được cho là cài đặt thầm lặng. Thậm chí còn hỏng hóc hơn
nữa bởi khi người dùng là một quản trị viên, malware có thể sử dụng dữ liệu điều khiển
truy cập của quản trị viên để xâm nhập vào các file hệ điều hành lõi, trong một số trường
hợp là không thể gỡ bỏ.
Sự khác nhau chính giữa một người dùng chuẩn và một quản trị viên trong Windows
Vista là mức độ truy cập của người dùng trên các vùng được bảo vệ, và truy cập vào lõi
máy tính. Quản trị viên có thể thay đổi trạng thái hệ thống, tắt tường lửa, cấu hình lại các
chính sách bảo mật, cài đặt dịch vụ hoặc bộ cài ảnh hưởng đến người dùng khác trên máy
tính, cài đặt phần mềm cho toàn bộ máy tính. Người dùng chuẩn mặc định không thể thực
hiện các nhiệm vụ trên mà chỉ có thể cài đặt những phần mềm trong quyền sử dụng của
họ.
Để giúp ngăn chặn các malware có thể cài đặt thầm lặng và tiêm nhiễm toàn máy tính,
Microsoft đã phát triển tính năng User Account Control cho Windows Vista. Không
giống như các phiên bản trước, khi một quản trị viên đăng nhập vào hệ thống, thẻ truy
cập quản trị hoàn chỉnh của người dùng sẽ phân chia thành hai dạng truy cập: một cho
người dùng chuẩn và một cho quản trị viên. Trong suốt quá trình đăng nhập, các thành
phần điều khiển truy cập và nhận dạng nhận dạng quản trị viên được gỡ bỏ và vô hiệu
hóa. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm,
Explorer.exe. Do tất cả các ứng dụng đều kế thừa dữ liệu truy cập của chúng từ khởi chạy
ban đầu của máy trạm nên tất cả chúng chạy như cho một người dùng chuẩn. Trái ngược
với quá trình này, khi một người dùng chuẩn đăng nhập vào hệ thống thì chỉ thẻ truy cập
của người này mới được tạo. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để

thành phần User Account Control Windows Vista. Nếu một ứng dụng yêu cầu một thẻ
truy cập quyền quản trị viên (đây là biểu hiện từ một lỗi “từ chối sự truy cập” được đáp
lại khi bạn cố gắng chạy ứng dụng), bạn có thể chạy chương trình như một quản trị viên
bằng cách sử dụng Run như tùy chọn quyền quản trị viên trong menu nội dung (kích
chuột phải). Điều này được minh chứng trong tài liệu phần "Chạy các chương trình như
một quản trị viên".
Tất cả tài khoản người dùng sau đó được tạo như các người dùng chuẩn
Cả tài khoản người dùng chuẩn và tài khoản quản trị viên đều có những ưu điểm với bảo
mật nâng cao của User Account Control. Trong các cài đặt mới, mặc định tài khoản
người dùng đầu tiên được tạo là một tài khoản quản trị viên cục bộ trong Admin
Approval Mode (UAC enabled). Tất cả các tài khoản sau đó đều được tạo như những
người dùng chuẩn.
Các tài khoản quản trị viên đã cài đặt sẵn bị vô hiệu hóa mặc định trong các cài đặt
mới
Các tài khoản quản trị viên cài đặt sẵn bị vô hiệu hóa một cách mặc định trong Windows
Vista. Nếu Windows Vista quyết định một nâng cấp hoàn thiện từ Windows XP mà một
quản trị viên kèm theo chỉ là tài khoản quản trị viên cục bộ thì Windows Vista sẽ bỏ lại
tài khoản được mặc định và thay thế tài khoản trong Admin Approval Mode. Tài khoản
quản trị viên kèm theo mặc định không thể đăng nhập vào máy tính ở chế độ safe mode.
Bạn nên xem những phần dưới đây để có thêm thông tin chi tiết.
Non-Domain Joined
Khi có ít nhất một tài khoản quản trị viên cục bộ được kích hoạt thì chế độ safe mode sẽ
không cho phép đăng nhập với tài khoản quản trị viên cài đặt sẵn đã bị vô hiệu hóa. Thay
vì đó, bất kỳ tài khoản quản trị viên cục bộ nào cũng có thể được sử dụng để đăng nhập.
Nếu tài khoản quản trị viên cục bộ cuối cùng tình cờ bị hạ cấp, vô hiệu hóa hoặc xóa bỏ
thì chế độ safe mode sẽ cho phép tài khoản quản trị viên được cài đặt sẵn đã bị vô hiệu
hóa có thể đăng nhập để khôi phục.
Domain Joined
Tài khoản quản trị viên cài đặt sẵn bị vô hiệu hóa trong các trường hợp không thể đăng
nhập trong chế độ safe mode. Một tài khoản người dùng là một thành viên của nhóm

Ví dụ dưới đây sẽ thể hiện cho các bạn thấy một quản trị viên trong Admin Approval
Mode đã thực hiện khi thực hiện một nhiệm vụ quản trị viên.
Để quan sát cửa sổ đồng thuận
1. Đăng nhập vào máy tính Windows Vista với tài khoản quản trị viên trong Admin
Approval Mode.
2. Kích vào nút Start sau đó kích chuột phải vào My Computer, chọn Manage từ
menu
3. Tại cửa sổ của User Account Control bạn kích Continue.
Cửa sổ ủy nhiệm
Cửa sổ ủy nhiệm được hiện lên khi một người dùng chuẩn cố gắng thực hiện một nhiệm
vụ yêu cầu đến một thể truy cập quyền quản trị viên. Người dùng chuẩn này mặc định có
thể cấu hình với mô đun phần mềm Security Policy Manager (secpol.msc) và với Group
Policy. Các quản trị viên cũng có thể bị yêu cầu cung cấp sự ủy nhiệm của họ bằng thiết
lập User Account Control: Behavior của cửa sổ nâng quyền cho các quản trị viên trong
Admin Approval Mode có giá trị với cửa sổ ủy nhiệm.
Hình dưới đây là một ví dụ về cửa sổ ủy nhiệm User Account Control.
Cửa sổ ủy nhiệm User Account Control
Ví dụ dưới đây sẽ chứng tỏ làm thế nào để một người dùng chuẩn ra lệnh về sự ủy nhiệm
khi đang cố gắng thực hiện một nhiệm vụ quản trị viên.
Để quan sát cửa sổ ủy nhiệm
1. Đăng nhập vào Windows Vista với tài khoản người dùng chuẩn
2. Kích vào nút Start sau đó kích chuột phải vào My Computer, chọn Manage từ
menu
3. Sử dụng cửa sổ User Account Control, kích vào tên người dùng với quản trị viên
thích hợp sau đó nhập password của tài khoản người dùng và kích Submit.
Các lệnh nâng quyền có liên quan đến ứng dụng
Các lệnh nâng quyền User Account Control được viết bằng màu với từng ứng dụng cụ
thể, cho phép nhận dạng ngay lập tức các rủi ro bảo mật tiềm tàng của ứng dụng. Khi một
ứng dụng cố gắng chạy với một thẻ truy cập đầy đủ của quản trị viên thì Windows Vista
trước tiên sẽ phân tích sự thực thi để xác định nhà xuất bản của nó. Các ứng dụng trước

trình cài đặt. Cài đặt dưới đây sẽ không yêu cầu người dùng cung cấp sự đồng thuận hoặc
các ủy nhiệm trừ khi nó là một ứng dụng quản trị viên.
Việc thay đổi giữa lệnh đồng thuận và ủy nhiệm
Bạn có thể điều khiển người dùng nào vào những gì mà lệnh yêu cầu bằng cách cấu hình
một thiết lập chính sách bảo mật mới được giới thiệu trong Windows Vista. Thiết lập này
được định vị bên trong mô đun phần mềm Security Policy Manager Microsoft
Management Console (MMC) theo đường sau: Local Security Settings -> Local
Policies -> Security Options.
Bạn có thể cấu hình những tính năng của cửa sổ nâng quyền phân chia cho người dùng
chuẩn và quản trị viên. Thủ tục dưới đây sẽ miêu tả chi tiết làm cách nào để điều chỉnh
lệnh User Account Control cho các quản trị viên trong Admin Approval Mode. Nhiệm vụ
này có thể được thực hiện bởi người dùng chuẩn và các quản trị viên nhưng thủ tục dưới
chỉ mô tả chi tiết quá trình một quản trị viên trong Admin Approval Mode.
Để cấu hình lệnh User Account Control cho các quản trị viên
1. Đăng nhập vào máy tính Windows Vista với một tài khoản quản trị viên trong
Admin Approval Mode.
2. Kích vào nút Start và Run, đánh secpol.msc sau đó kích OK.
3. Trong cửa sổ User Account Control cho Microsoft Management Console, bạn
kích Continue.
4. Trong Local Security Settings mở rộng Local Security Settings, Local
Policies sau đó mở rộng Security Options.
5. Kích chuột phải vào User Account Control: Behavior of the elevation prompt
for administrators in Admin Approval Mode và chọn Properties.
Lưu ý:
Với hầu hết các tình huống, thiết lập No Prompt không được khuyến khích. Nâng quyền
No prompt sẽ cho phép các ứng dụng User Account Control khởi chạy ứng dụng quản trị
viên mà bạn không hề hay biết hay đồng thuận.
Thủ tục dưới đây sẽ mô tả chi tiết làm cách nào để cấu hình User Account Control:
Behavior of the elevation prompt for standard users. Nhiệm vụ này có thể được thực
hiện bởi một người dùng chuẩn và quản trị viên nhưng thủ tục dưới đây là của quản trị

hoạt.
Lệnh
cho đồng
thuận
User Account
Control: Nâng quyền
cho người dùng chuẩn
Có hai giá trị:
1. No prompt – không có lệnh nâng quyền được
hiện và người dùng không thể thực hiện các
nhiệm vụ của quản trị viên mà không sử dụng
Run as administrator hoặc bằng cách đăng
nhập với tài khoản quản trị viên.
2. Prompt for credentials – User Account
Control yêu cầu ủy nhiệm quản trị viên hợp lệ
cần phải nhập vào trước khi nâng quyền
Lệnh
cho ủy
nhiệm
Việc thay đổi lệnh nâng quyền User Account Control nên được thực hiện với sự cân nhắc
cẩn thận. Chính sách này có thể cấu hình cho cả quản trị viên trong Admin Approval
Mode và các người dùng chuẩn. hướng dẫn chung dưới đâu có thể giúp bạn nhận thấy
làm thế nào để cấu hình lệnh nâng cấp User Account Control cho môi trường của bạn.
Quản trị viên trong Admin Approval Mode
Tùy chọn lệnh cho sự đồng thuận được khuyến khích cho hầu hết các môi trường. Các
môi trường cần nhiều an toàn hơn nữa nên sử dụng tùy chọn prompt for credentials.
Microsoft khuyên không nên sử dụng thiết lập tùy chọn No Prompt; việc vô hiệu hóa
lệnh User Account Control làm mất đi khả năng của người dùng để chuẩn y một ứng
dụng trước khi nó chạy. Điều đó có thể dẫn đến việc bất kỳ ứng dụng nào cũng có thể
nâng quyền thầm lặng sau đó và sử dụng thẻ truy cập của quản trị viên như các malware

bằng việc kích Continue hoặc cung cấp sự ủy nhiệm quản trị viên. Lệnh nâng quyền User
Account Control cũng phụ thuộc vào cả Group Policy.
Chạy các chương trình như một quản trị viên
Windows Vista có chức năng thủ công và yêu cầu được ưu tiên đối với một ứng dụng
được khởi chạy. Để khởi chạy một chương trình với thẻ truy cập quản trị viên đầy đủ tại
thời điểm nào đó, bạn kích chuột phải vào biểu tượng chương trình và chọn Run as
administrator trên menu. Sau khi người dùng thẩm định sự nâng quyền thì chương trình
sẽ khởi chạy và chạy với thẻ truy cập quản trị viên đầy đủ. Thủ tục dưới đây mô tả chi tiết
quá trình này được thực hiện bởi một quản trị viên trong Admin Approval Mode.
Để chạy một chương trình như một quản trị viên
1. Kích chuột phải vào chương trình mà bạn thích chạy như một quản trị viên sau đó
chọn Run as administrator.
2. Trong cửa sổ User Account Control bạn chọn Continue.
Sau khi người dùng thẩm định nâng quyền, chương trình sẽ được khởi chạy và chạy với
thẻ truy cập quản trị viên đầy đủ.
Đánh dấu ứng dụng yêu cầu một thẻ quản trị viên đầy đủ
Để đánh dấu một ứng dụng luôn luôn yêu cầu một thẻ quản trị viên đầy đủ
1. Kích chuột phải vào chương trình mà bạn thích thay đổi, sau đó chọn Properties.
2. Trong Properties, chọn tab Compatibility.
3. Dưới Privilege Level, chọn Run this program as an administrator, sau đó
kích Apply hoặc OK.
4. Nếu đây là lần đầu tiên ứng dụng được đánh dấu thì một hộp thoại sẽ xuất hiện.
5. Kích OK để tiếp tục.
Lưu ý
Nếu đây là lần đầu tiên ứng dụng này được đánh dấu thì một thông báo sẽ xuất hiện chỉ
thị rằng Windows Vista sẽ chỉ thị cho ứng dụng thu thập thông tin về các hoạt động gì mà
chương trình đang thực hiện yêu cầu nó để chạy với một thẻ truy cập quản trị viên đầy
đủ. Thông tin này sẽ giúp Microsoft xác định xem các bước có thể đã diễn ra đúng với
chương trình sẽ sử dụng hay không để sẽ không cần phải yêu cầu đến thẻ truy cập quản
trị viên hoàn chỉnh lần nữa. Khi được hỏi để kiểm tra về "Solutions to Problems" (“các

Chính vì lẽ đó là Microsoft đã khuyên là các doanh nghiệp nên cấu hình trạm làm việc
của họ để chạy như những người dùng chuẩn. Việc sử dụng sự cấu hình dưới đây sẽ giúp
giảm nhẹ các vấn đề tiềm ẩn:
• UAC được kích hoạt thông qua toàn bộ môi trường và được duy trì tập trung với
Group Policy.
• Tài khoản quản trị viên cài đặt từ trước được giữ ở trạng thái vô hiệu hóa và một
password được thiết lập để ngăn chặn bất kỳ tấn công offline nào.
• Mọi người dùng của máy trạm đều chạy với một tài khoản người dùng chuẩn.
• Các quản trị viên miền có hai tài khoản: một tài khoản người dùng chuẩn và một tài
khoản quản trị viên trong Admin Approval Mode.
• Triển khai các ứng dụng bằng việc sử dụng Microsoft Systems Management
Server (SMS), cài đặt phần mềm Group Policy (GPSI) hoặc các công nghệ triển
khai ứng dụng tương tự. Nếu bạn có một cơ chế triển khai User Account Control,
Microsoft khuyên bạn nên vô hiệu hóa phát hiện của bộ cài đặt ứng dụng.
• Sự nâng quyền của thẻ truy cập được quản lý bởi một bàn trợ giúp hoặc các nhân viên
CNTT bằng việc sử dụng Remote Assistance hoặc vào sự ủy nhiệm theo đường
vật lý.
Lưu ý
Nếu có thể bạn nên xóa bỏ hoặc vô hiệu hóa tất cả các quản trị viên máy tính cục bộ.
Cấu hình UAC cho máy tính gia đình hoặc các máy tính không quản lý.
User Account Control không những cho phép kiểm soát toàn bộ máy trạm trong hoạt
động kinh doanh, ngoài ra nó còn cải thiện bảo mật trong các máy tính gia đình. Trong
khi một tài khoản người dùng chuẩn đã xuất hiện trong Windows từ NT 4.0 thì hầu hết
người dùng gia đình không hề hay biết rằng có nhiều loại tài khoản khác nhau. Chính vì
vậy, phần lớn người dùng gia đình chỉ duyệt web, đọc email, mua sắm online và soạn tài
liệu với quyền quản trị viên. Bởi vì một quản trị viên có đầy đủ quyền truy cập vào tài
nguyên hệ thống nên bất kỳ phần mềm mã nguy hiểm nào mà được cài đặt tình cờ trên
máy tính đều có thể ảnh hưởng đến các file, folder trong toàn bộ máy tính. Với UAC
trong Windows Vista, sự hỗ trợ được cung cấp bên trong hệ điều hành giúp nó trở nên dễ
dàng hơn đối với người dùng như một người dùng chuẩn. Việc chạy như một người dùng

Bé trai 12 tuổi, người thích chơi các trò chơi
máy tính và duyệt web
Chuẩn
Denise
Smith
Mẹ của cậu bé. Denise muốn bảo đảm cho
con trai của cô ấy chỉ đăng nhập trong
những giờ cụ thể nào đó
Quản trị viên trong
Admin Approval
Mode
1, Denise cài đặt Windows Vista và tạo một tài khoản cho chính cô ấy trong suốt quá
trình cài đặt. Tài khoản này được tạo như một tài khoản quản trị viên cục bộ với UAC
được kích hoạt mặc định.
2, Denise sử dụng Control panel User để tạo một tài khoản người dùng chuẩn cho Brian
và sau đó mở Parental Controls.
3, Vì Denise muốn bảo đảm Brian không sử dụng máy tính muộn vào buổi tối, Denise đã
sử dụng Parental Controls để thiết lập giới hạn thời gian, cho phép Brian chỉ đăng nhập
vào máy tính từ 3 giờ chiều đến 10 giờ tối. Hình dưới đây mô tả chi tiết cấu hình này.
Cấu hình hạn chế thời gian
4, Denise kích hoạt hoạt động báo cáo để nhận được báo cáo về hoạt động máy tính của
Brian; gồm có các trang web mà Brian vào, thời gian đăng nhập và hầu hết các trang web
được khóa gần đây bởi bố mẹ.
5, Brian cố gắng đăng nhập vào máy tính lúc 10:30 PM và nhận được thông báo lỗi: “Tài
khoản của bạn đã bị giới hạn để ngăn chặn bạn đăng nhập vào thời gian này. Bạn hãy
thử lại lần sau”
6, Denise đăng nhập và quan sát thấy một báo cáo hoạt động về tài khoản của Brian.
Bảng dưới đây mô tả chi tiết các điều khiển cha có sẵn.
Các điều khiển cha của Windows Vista
Điều khiển cha Mô tả

Tạo một tài khoản quản trị viên trong Admin Approval Mode
Trong suốt quá trình cài đặt Windows Vista, bạn sẽ phải cung cấp thông tin về một tài
khoản người dùng. Mặc định, tài khoản người dùng này được tạo như một tài khoản quản
trị viên trong Admin Approval Mode. Bởi vì Microsoft chỉ cho sử dụng tài khoản quản trị
viên ban đầu này một cách tiết kiệm nên để đảm bảo bạn không nên đặt tên của tài khoản
như những gì sẽ phải cung cấp cho tài khoản sử dụng chính của bạn. Ví dụ: một người
dùng đặt tên là Michael Patten có thể sử dụng kiểu đặt tên dưới đây cho hai tài khoản
người dùng của mình.
• Tài khoản quản trị viên trong Admin Approval Mode: mpAdmin
• Tài khoản người dùng chuẩn: Michael
Tạo một tài khoản người dùng chuẩn như tài khoản người dùng chính của bạn
Bạn nên hoàn thiện các thủ tục dưới đây sau khi Windows cài đặt xong ngay lập tức. Thủ
tục này được viết đã được tham khảo qua Control Panel mặc định chứ không phải là
Classic View.
Để tạo một tài khoản người dùng chuẩn bạn thực hiện như sau:
• Đăng nhập với một tài khoản quản trị viên trong Admin Approval Mode.
• Kích chuột vào Start, Control Panel, Add or remove user accounts dưới User
Accounts and Family Safety.
• Tại cửa sổ User Account Control , kích Continue.
• Trong Manage Accounts, kích Create a new account.
• Trong Create new account, bạn đánh tên cần đặt cho tài khoản người dùng chính và
bảo đảm rằng Standard user được chọn.
• Trong Manage Accounts, kích vào tài khoản người dùng mới.
• Trong Change an account, kích Create a password
• Trong Create Password, nhập vào password.
Lưu ý
Tuy Windows Vista không yêu cầu một password tốt cho các tài khoản người dùng chuẩn
nhưng bạn nên bảo đảm thiết lập password đó đủ tốt để bảo đảm độ tin cậy.
Tạo tất cả các tài khoản người dùng sau như các người dùng chuẩn
Mỗi tài khoản người dùng sau khi tạo sau hai tài khoản đầu tiên nên là mỗi tài khoản

chọn Run as administrator. tạo thư mục từ cửa sổ lệnh
nâng quyền
Sự phát hiện cài đặt có
thể không phát hiện
được tất cả các cài đặt
Chạy file setup.exe đã được nâng quyền. Xem phần đánh
dấu một ứng dụng mà yêu cầu đến một thẻ truy cập quản trị
viên hoàn chỉnh.
Không có các lệnh
nâng quyền từ cửa sổ
lệnh
Khởi chạy chương trình bằng việc kích vào nút Start sau đó
chỉ đến Run.