Dành cho Học Viên VSIC Trang
1
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG
LOCAL USER ACCOUNT
I. Sơ lược về Local User Account:
Local user account là tài khoản cá nhân của từng user, được tạo và lưu trữ trong một cơ sở
dữ liệu SAM (Security Accounts Manager) trên mỗi máy tính (Local Computer), được đặt
trong thư mục \Windows\system32\config.

Có 2 loại user account
:
Computer Administrator:
- Create, change and delete user account
- Make system-wide changes
- Install programs and access all files
Limited:
- Change or remove your password,
- Change your picture, themes, and other
desktop settings,
- View files you created.


Built-in User Account
:
Tại Local computer, những tài khoản được
xây dựng duy nhất là Administrator, Guest và
SUPPORT_388945a0 được gọi là Built-in
user Account
- Mặc định Guest bị vô hiệu (Disable) như

một sự phòng ngừa về tính bảo mật và xét
về mặt quyền hạn thì Guest là một tài
khoản bị nhiều giới hạn.
- User Administrator thì thuộc Computer
Administrator, nó không thể bị xóa hay
disable, nhưng Bạn có thể đổi tên.
- SUPPORT_388945a0, đ
ây là một tài
khoản mới trong hệ thống Win2003 và Win
XP, chuyên cung cấp dịch vụ về Help and
Support.
- Và account Help Assistant, chuyên cung
cấp dịch vụ trợ giúp từ xa.


Trang
2 Dành cho Học Viên VSIC
2
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG



Hướng dẫn tạo Local User Account:

1. Right click My Computer Æ Manage
Æ Xuất hiện Console:

2. Từ menu Action hay click phải vào
folder Users và chọn New User


3. Nhập các thông tin cần thiết vào hộp
thoại sau đó nhắp nút Create




Tùy chọn Ý nghĩa
User must change password at next
logon
Buộc user account phải thay đổi mật khẩu ngay từ
lần đầu logon vào hệ thống
User cannot change Passsword Nếu được chọn, ngăn không cho người dùng thay
đổi mật khẩu của tài khoản
Password never expires Password của user account sẽ không bao giờ hết
hạn.
Account is disable Nếu được chọn tài khoản sẽ bị vô hiệu, và không
thể đăng nhập vào hệ thống

Dành cho Học Viên VSIC Trang
3
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG
Lưu ý: Theo nguyên tắc là không được tạo các user account trùng tên nhau, vì thế Bạn tránh
tạo các user account có cùng một tên.
Ví dụ
: có hai user tên Judy Lew, vậy khi tạo account cho các user này có thể chọn phương án:
thứ nhất Judyle, user thứ hai Judyl
Thay đổi mật khẩu (Password) cho user account:


Khi trao đổi về vấn đề password thì có những trường hợp sau buộc user phải thay đổi
password của mình. Ví dụ
: trong suốt thời gian sử dụng account để logon vào hệ thống, phát
hiện password đã bị một người khác biết, hay vì một lý do nào đó mà user quên password của
mình, vì thế phải thay đổi password. Vậy lúc này cần phải nhờ đến một account thuộc
Computer administrator type để reset password. Thao tác sau sẽ hướng dẫn Bạn reset
password cho một account
1. Khởi động Computer Management Æ
Local User and Group Æ User, click
phải tại user muốn reset password và
chọn như hình minh họa.
2. Sau đó nhậ
p password mới cho user
account tại hộp thoại và OK

II. Classic View:
Khi mà nhiều người (user) cùng sử dụng chung một máy tính, việc logoff rồi sau đó logon trở
lại bởi một user khác, đôi khi không được nhanh lắm.
Fast User Switching:
là một tính năng mới trong Windows XP, giúp Bạn switch giữa các
user account mà không cần phải logoff hệ thống, thêm vào đó là các chương trình của user
vừa switch vẫn còn đang thực thi.
Vào Start Æ Log Off Administrator, xuất
hiện hộp thoại và chọn Switch User
Lưu ý
:
- Fast User Switching được cấu hình từ

Trang
4 Dành cho Học Viên VSIC

4
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG


User Account trong Control Panel
- Chương trình này sẽ không có giá trị
khi máy tính của Bạn là thành viên của
Domain
- Duy nhất chỉ các thành viên của nhóm
Administrators mới có thể bật chức năng
Fast User Switching
- Bạn không thể turn off chương trình
Fast User Switching khi các user vẫn
đang còn logon.
Cấu hình Fast User Switching:
1. Vào Star Æ Settings Æ Control Panel
Æ User Accounts
2. Chọn Change the way user log on or
off xuất hiện hộp thoại
3. Chọn vào hai check box trong hộp thoại
và click vào nút Apply Options

Thực hành Fast User Switching:
Sử dụng chương trình User Account trong
Control Panel để tạo user:
Chọn Create a new account Æ Nhập tên
account vào khung Type a name…, click
Next,
Chọn account type từ hộp thoai, và click chọn

Create Account
- Sử dụng Computer Management hay
Control Panel\User Accounts để tạo

Dành cho Học Viên VSIC Trang
5
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG

tiếp user account User3 (với account
type: Limited)
- Tiếp theo logoff user hiện tại và logon
vào hệ thống bằng User2.
- Khởi động chương trình My Computer,
Winword, Internet Explorer
- Sau đó Logoff và chọn Switch User,
theo dõi xem các chương trình hiện tại
của User2 có bị đóng lại hay không?
- Rồi tiếp tục Logon vào hệ thống với tài
khoản User3.
- Từ account User3, Bạn thử bỏ chức
năng Fast User Switching. Từ đó rút ra
nhận xét.

III. Sơ lược về Local Group:

Việc phân bổ user account vào các nhóm, giúp người quản trị dễ dàng trao các quyền (right)
thực hiện các tác vụ và các quyền (Permission) truy cập tài nguyên trên mạng.
Với Local Group, chỉ đựợc tạo trên Local
Computer, đặc điểm của Local Group:

- Chứa các Local user account.
- Và Local Group không thuộc thành viên
của Group nào.



Trang
6 Dành cho Học Viên VSIC
6
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG


Hướng dẫn cách tạo Group:
1. Khởi động console Computer
Management bằng dòng lệnh:
Start Æ Run: Compmgmt.msc
2. Click phải vào thư mục Groups hay vùng
trống của thư mục Groups và chọn New
Group
3. Nhập tên Group vào hộpthoại:
Add User vào Group
Sau khi đã tạo Group việc kế tiếp là add các
user vào Group Giúp ta dễ quản trị cũng như
cấp quyền truy cập tài nguyên.
1. Computer management Æ Local Users
and Groups Æ Groups




Dành cho Học Viên VSIC Trang
7
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG
2. Nhấp nút Add tại hộp thoại Æ

4. Sau khi click chọn Find Now, xuất hiện
danh sách các User và Group, chọn user rồi
click OK.
3. Tiếp chọn nút Advanced Æ Find Now
3. Giới thiệu một số Built-in Local Group:
Administrators: Thành viên thuộc nhóm này có tất cả các quyền được ấn định sẵn, nên các
user thuộc nhóm này sẽ có tất cả mọi quyền từ Group này.
Backup Operators: Các thành viên của nhóm này lưu dự phòng (backup) và phục hồi dữ
liệu.
Guest: Các thành viên thuộc nhóm này có thể đăng nhập và thực thi các ứng dụng của hệ
thống.
Network Configuration Operator: Thành viên thuộc nhóm này chỉ được phép cấu hình
trong bộ giao thức TCP/IP.
Remote Desktop Users: Các thành viên thuộc nhóm này có thể đăng nhập từ xa vào các
Computer khác trong mạng.
Users: Tất cả user account mặc định đều thuộc nhóm này, và nếu là thành viên của nhóm này
thì các user chỉ có quyền đăng nhập vào hệ thống cũng như thực thi các chương trình ứng
dụng, nhưng không thể cài đặt được chúng.


Trang
8 Dành cho Học Viên VSIC
8
VSIC COMPUTER SCHOOL

LO 45 TRIEU NU VUONG – DA NANG


Thực hành theo các yêu cầu sau:
Trường hợp 1
:
- Lập thành nhóm (2 PC một nhóm), cấu hình IP, chứng minh rằng chúng đã sẳn sàng
giao tiếp.
- Ở mỗi PC đều phải đặt password cho Administrator (password giống nhau). Logoff và
logon trở lại hệ thống.
- Chỉ định một máy (PC1) trong nhóm tạo một share Folder, giữ nguyên share
permission.
- Máy còn lại (PC2) truy cập tài nguyên ở PC1.
- Nhận xét:

Trường hợp 2
:
- Như trường hợp 1, nhưng set lại password cho Administrator giữa hai PC khác nhau
- Logoff và logon trở lại hệ thống bằng user Administrator.
- Dùng PC2 truy cập tài nguyên ở PC1
- Nhận xét:



WX

Dành cho Học Viên VSIC Trang
9
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG

LOCAL POLICY -
LOCAL SECURITY POLICY


Chỉnh sửa registry:
Start→Run, nhập regedit


Back up Regedit
Save registry

Hiệu chỉnh Registry:
Ẩn ổ đĩa D trong Windows Explorer

User Key: HKEY_CURRENT_USER\
Software\ Microsoft\ Windows\
CurrentVersion\ Policies\ Explorer
Name: NoDrives
Type: REG_DWORD

Trang
10 Dành cho Học Viên VSIC
10
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG



Sau đó logoff để apply registry. Vào
Run gõ Gpedit.msc mở Group Polocy.

Ta thấy việc hiệu chỉnh Regedit đã làm
thay đổi Policy. Ta có thể dùng Policy
để thay đổi Registry.
Disable Policy theo đường dẫn Local
Computer→Policy→Users
Configuration→Administrative
Templates→Windows Explorer. Chọn
Hide these specified drives in My
Computer.

Sau khi chỉnh trong Policy ta dùng lệnh
gpupdate /force : apply hiệu chỉnh.

Xem lại kết quả trong registry

Administrative Template
Chứa các thông tin về key của bảng
Registry
Dùng để thay đổi dáng vẻ môi trường
làm việc của người dùng vào cấu hình
máy. User Configuration được lưu vào
HKEY_CURRENT_USER. Computer
Configuration được lưu vào
HKEY_LOCAL_MACHINE.
Tuy nhiên, với Administrative
Template dễ thao tác hơn so với trình
regedit.exe.

Dành cho Học Viên VSIC Trang
11

VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG


• Windows Components
o Tháo gỡ tùy chỉnh thư mục trên thực đơn công cụ trên bảng điều
khiển (Control Panel), không cho phép người dùng có thể thay đổi
thông số để xem tệp tin ẩn hay một số thông số của Active Desktop,
Webview offline file,
o Ngăn cản không cho người dùng nối, truy nhập tới máy khác cũng
như đóng sự kết nối mà người quản trị cài đặt.
o Hạn chế không cho đọc nội dung ổ đĩa đã chọn từ My Computer.
o Chuyển tất cả các các Profile của người dùng ra khỏi thực đơn
chương trình.
o Vô hiệu hóa các chương trình trên thực đơn xác lập, chẳng hạn như
Control Panel, Printer, Network Dial-Up Connection.
o Bỏ thực đơn chạy từ thực đơn bắt đầu.
o Ngăn cản không cho người dùng mở hộp thoại Taskbar & Start menu.
Nói chung, mọi vấn đề liên quan tới thực đơn bắt đầu đều có thể kiểm soát
được.
• Control Panel
o Ngăn cản người dùng cài đặt thêm chương trình.
o Thay đổi chế độ màn hình.
o Đặt mật khẩu chế độ bảo vệ màn hình.
o Một số lệnh liên quan đến máy in: không cho thêm/gỡ bỏ máy in,
• System
o Quản lý các Group Policy.
o Chỉ cho phép sử dụng một số chương trình được chỉ định.
o Không cho phép sử dụng một số chương trình không được chỉ định.



Trang
12 Dành cho Học Viên VSIC
12
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG


Các chức năng trong Security Setting
o Account Policies

Mật khẩu Policies bao gồm các option
sau:
 Enforce Password History: số
mật khẩu cần thay đổi, khi muốn
sử dụng lại mật khẩu.
 Maximum Password Age: thời
gian tối đa mật khẩu được sử
dụng trước khi người dùng được
phép thay đổi.
 Manimum Password Age: thời
gian tối thiểu mật khẩu được sử
dụng trước khi người dùng được
phép thay đổi.

Minimum password length : độ
dài tối thiểu của password
 Password Must Meet The
Complexity Requiment: bắt
buộc tạo độ phức tạp của mật

khẩu (như kết hợp giữa số với ký
tự)
 Store Password Using Rever
Sible Enryption: Client
Windows cần xác nhận đăng
nhập với mật khẩu hóa cấp thấp.
o Account Lockout Policy.
 Account Lockout threshold: số lần
thử Login trước khi tài khoản bị
khóa.
 Reset Account Lockout Counter
After: thời gian đợi để xóa bỏ các
lần thử sai.
 Account Lockout Duration: thời
gian tài khoản bị khóa, sau thời gian
này, người dùng có thể thử Login
trở lại.



Dành cho Học Viên VSIC Trang
13
VSIC COMPUTER SCHOOL
LO 45 TRIEU NU VUONG – DA NANG
o Local Policies
 Audit, Policy: cho phép ghi
nhận lại các sự kiện Login vào
mạng (thử thành công, thử sai
hoặc cả hai).
 User Right Assignment: cấp

quyền cho người dùng hay
nhóm Login vào mạng.
 Security Option: cho phép tạo
độ an toàn cho máy tính.
 Cho phép truy xuất đĩa mềm,
CD.
 Install Drive.
o Event log: định các lựa chọn đề nghị nhận sự cố trên máy.
o Restricted group: bắt buộc kiểm soát thành viên của một số nhóm,
chẳng hạn nhóm Administrator.
o System Service: cho phép chuẩn hóa các dịch vụ trên mạng , bảo vệ
không cho thay đổi các dịch vụ.
o Registry: khởi tạo các Permission về Registry key để kiểm soát việc
thay đổi các key và truy xuất các phần của Registry.
o File System: khởi tạo Security cho sự cấp phép truy nh
ập tệp tin và
thư mục.
o Public Key Policies: quản lý việc cài đặt và tổ chức Public Key
Infrastructure.

WX