Phân quyền sử dụng máy tính trên Windows XP
Nhà bạn hay phòng làm việc ở cơ quan chỉ có một máy tính, mà lại có nhiều người.
Làm thế nào để sử dụng chung mà mỗi người chỉ có một số quyền hạn nhất định? Có
thể có nhiều tiện ích, chẳng hạn như những phần mềm khóa thư mục. Tuy nhiên, với
Windows XP và nhất là việc sử dụng định dạng NTFS cho các phân vùng đĩa cứng bạn
có thể có một cách quản lý việc sử dụng máy và các thiết bị khác, bảo vệ cấu hình hệ
thống một cách bài bản, có kế hoạch và đơn giản.
Việc quản lý trên máy tính dựa vào tài khoản (account).Mỗi account như vậy có tên
(user name),mâậ khẩu (password) và kèm theo một số quyền hạn (permission) nhất
định. Mỗi khi bật máy bạn sẽ logon (đăng nhập) bằng cách chọn một account để sử
dụng.Nếu account có mật khẩu, bạn phải gõ đúng mật khẩu.Kể từ đó, bạn sử dụng
máy tính với những quyền hạn của account đó.
Việc quản lý việc sử dụng máy tính, các thiết bị trên một mạng máy tính là một vấn
đề phức tạp được trao cho người quản trị mạng. Tuy nhiên, như bạn sẽ thấy, nếu bạn
có nhu cầu thì trên một máy đơn,với Windows XP, bạn sẽ dễ dàng làm công việc này
để sử dụng máy tính của gia đình mình hay phòng làm việc trở nên an toàn và hiệu
quả hơn.

HAI KIỂU ĐĂNG NHẬP ĐỂ SỬ DỤNG MÁY
- kiểu mặc định sau khi cài Windows XP là màn hình Welcome của Windows XP và có
danh sách các acount (mỗi account có 1 hình đại diện tùy chọn). Người dùng bấm
chọn account và gõ mật khẩu nếu có.
- kiểu thứ 2 là phải gõ tên account vào trong hộp thoại logon như Windows 2000. Để
thay đổi, vào Control Pannel – User Account – Change the way - bỏ mục Welcome
Screen nếu muốn theo kiểu “2000” và chọn mục này nếu muốn theo kiểu “XP”. Nếu
chọn kiểu 2000 buộc người dùng phải gõ tên vì kiểu này an toàn hơn.

HAI LOẠI ACCOUNT
- Computer Administrator (người quản lý máy): vì là người quản lý nên với account
này bạn có quyền tạo và quy định quyền hạn cho các account khác, bạn có thể cài
đặt chương trình và gỡ bỏ chương trình, cài đặt và gỡ bỏ thiết bị… nghĩa là làm gì

cũng được. Khi cài Windows XP, mặc định có một account kiểu này được tạo ra với
tên Administrator, tài khoản này chỉ xuất hiện khi khởi động nếu không có account
nào khác.
- Limited (quyền giới hạn): Vớik account này, người dùng không thể thay đổi tình
trạng của máy. Cụ thể là không thể cài đặt hoặc gỡ bỏ chương trình, không thể thay
đổi cấu hình hệ thống, không thể định dạng đĩa và đương nhiên là không thể tạo hay
xóa account khác.

QUẢN LÝ ACCOUNT


Muốn quản lý account bạn phải login với tư cách Administrator.
1. Bật tắt account Guest
- là account có sẵn (built-in), mặc định không có mật khẩu.
- Có quyền hạn kiểu Account Limited.
- Mặc định bị off, không dùng được.
Cách bật/ tắt account guest: Trong User Account, chọn Guest và chọn Turn on (hay
Turn off).
2. Giới hạn việc thay đổi cấu hình hệ thống
Để giới hạn việc thay đổi cấu hình của hệ thống, bạn nên tạo các account Limited cho
những người không rành hoặc không có trách nhiệm thay đổi cấu hình hệ thống. Một
người khi sử dụng máy tính với tư cách là một account kiểu này thì khi “đụng” đến
những thành phần mang tính quan trọng đối với hệ thống, họ sẽ được thông báo
không có quyền thay đổi hoặc từ chối truy nhập (Access denied). Việc sử dụng máy
tính với Account kiểu Limited có thêm lợi điểm là Windows sẽ không cho phép một
chương trình virus thực hiện những thao tác nguy hiểm. Mặc khác, ngay cả chính bạn,
trừ trường hợp muốn vọc máy tính cũng nên có thói quen logon vào máy tính với một
tài khoản kiểu này khi chỉ muốn làm việc bằng các ứng dụng thông thường.

3. Giới hạn sử dụng đĩa, thư mục, tập tin.

Đến đây mọi chuyện phức tạp hơn một chút vì để có thể sử dụng tính năng cấp phát
quyền sử dụng đĩa, thư mục, tập tin thì đĩa phải có định dạng NTFS. Giả sử ta muốn
quy định việc sử dụng đĩa hoặc thư mục, tập tin trên đĩa D: thì trước tiên phải xem nó
có phải là định dạng NTFS không bằng cách bấm chuột phải lên biểu tượng ổ đĩa –
Proterties, xem dòng File System. Nếu không phải thì chuyển thành định dạng FTFS
bằng lệnh convert tại Command Prompt theo cú pháp:
Convert <kí hiệu ổ đĩa> /fs:NTFS
*** Qui định việc sử dụng đĩa, thư mục, tập tin trên ổ đĩa có định dạng NTFS
Bấm phải chuột lên thư mục hay đĩa – Properties - thẻ Security, chọn người sử dụng
trong danh sách, nếu không thấy thì nhấn nút Add và gõ tên tên Account trong khung
Enter Object name, bấm Check Names để bảo đảm tên thực sự tồn tại – quy định
quyền cho người này trong cột Allow (chophép) hay Denny (cấm) bằng cách đánh
dấu vào ô tương ứng.
Các loại quyền sử dụng hơi phức tạp : Full Control : tòan quyền ; Modify : sửa đổi ;
Read : đọc ; Read and Execute : đọc và chạy các chương trình ; List Folder : xem danh
sách thư mục con ; Write : ghi. Trong thực tế, để đơn giản, bạn có thể chỉ cần Denny
phần Read và Write đối với những người mà bạn cho là không nên và không được đọc
mà thôi.
Ghi chú : Nếu bạn không thấy thẻ Scurity thì hãy vàoControl Pannel – Foler Options thẻ View, bấm chuột để bỏ dấu kiểm ở mục cuối : Use simple file sharing.


*** Giới hạn không gian đĩa được sử dụng
Hạn ngạch (quota) là phần không gian đĩa được cấp cho một account. Để tránh người
dùng tạo và lưu những tập tin quá lớn lên đĩa ‘xí’ hết phần của người khác, bạn sẽ
bấm chuột phải trên một đĩa mà bạn muốn cung cấp hạn ngạch – Properties - thẻ
Quota, chọn Enable Quote management (bật chế độ quản lý hạn ngạch) và Deny disk
space to user exceedubg quota limit (từ chối cấp thêm cho người dùng khi họ sử
dụng quá hạn ngạch
Bấm vào nút Quota Entries. Trước hết, trong cửa sổ Quota Entries sẽ cho ra các Quota
đã được cấp phát. Muốn ‘‘giao hạn ngạch’’ cho một người dùng thì chọn menu Quota

– New Quota Entry – gõ tên (các) account và bấm OK.
Trong cửa sổ Add New Quota Entry, bấm chọn vào Limit disk space to (giới hạn không
gian đĩa) và qui định dung lượng mà (các) account này được phép dùng (trên đĩa đó).
*** Quản lý sử dụng máy in và fax
Trong Control Pannel, chọn Printers and Faxes. Bấm nút phải lên máy in hay fax –
Proterties và qui định quyền hạn của máy in tương tự như đối với đĩa và thư mục. Cần
biết là một người bị Deny quyền in thì khi họ ra lệnh in, Windows sẽ thông báo với nội
dung là có lỗi in, chứ không thông báo là không có quyền truy nhập (Access dennied)
như đối với đĩa và thư mục, do đó không nên vội vàng cho là máy in có vấn đề.
*** Quản lý việc sử dụng Internet
Việc sử dụng Internet sẽ thông qua việc sử dụng các kết nối (connections),mỗi kết nối
có thể kiểm soát bằng password (dĩ nhiên không chọn mục save password – lưu lại
mật khẩu).Tuy nhiên, vấn đề là có một số dịch vụkết nối sử dụng mật khẩu chung,
như dịch vụ vnn1269.Mặt khác,trênmáy đơn cài Windows XP không có chuyện cấp
phát quyền sử dụng các kết nối đối với các account,do đó phải dùng “mẹo” sau đây:
vì kết nối Internet thông qua việc sử dụng modem, nên bằng cách logon vớitư cách
Administrator, bạn disble thiết bị modem đi, và thế là những account Limited khác do
không có quyền thay đổi cấu hình thiết bị nên không Enable được modem, đồng
nghĩa với việc không truy cập được Internet.
Để tắt modem, bạn vào Control Pannel – System – Hardware – Device Manager, bấm
chuột phải vào Modem và chọn Disable. Lúc này, trước tên modem sẽ có dấu chéo
đỏ. Mẹo này còn có thể dùng cho một số thiết bị khác như ổ đĩa mềm, fax…
[=========> Bổ sung bài viết <=========]
ay xin loi minh suu tam a nha chu ko phai la biet dau
[=========> Bổ sung bài viết <=========]
neu thay chua du thi co the tham khao them cung duoc
minh cung chi tham khao o nhung trang web khac thoi neu co gi sai xot thi minh xin
loi vi minh chi muon giup moi nguoi thoi
-------------@@@@@@@-------------Group Policy
Trong Windows XP có một công cụ khá hay, đó là Group Policy (GP). Nhiều người sử

dụng Windows đã lâu nhưng chưa hề biết có công cụ này vì không tìm thấy nó trong


Control Panel, Administrative Tools hay System Tools. GP là một trong các thành phần
của Microsoft Management Console và bạn phải là thành viên của nhóm
Adminstrators mới được quyền sử dụng chương trình này. Nếu không, bạn sẽ nhận
được thông báo lỗi sau:
Khởi động chương trình: Có 2 cách khởi động chương trình.
Cách 1: Vào menu Start > Run, rồi nhập lệnh mmc để khởi động Microsoft
Management Console. Sau đó vào trình đơn File, chọn Open. Trong cửa sổ Open, nhấn
nút Browse rồi tìm đến thư mục System32. Bạn sẽ thấy nhiều tập tin xuất hiện có
phần mở rộng là *.msc. Các tập tin dạng này là những thành phần được tạo bởi
Microsoft Management Console. Nếu để ý, bạn sẽ thấy một số công cụ quen thuộc
như: Event Viewer (eventvwr.msc), Services (services.msc) (hai công cụ này nằm
trong Adminstation Tools)... và còn nhiều nữa. Trong phạm vi của bài viết này, bạn
cần chọn gpedit.msc để mở Group Policy.
Cách 2: Nếu bạn làm việc thường xuyên với GP thì cách này sẽ nhanh hơn. Vào menu
Start > chọn Run và nhập vào gpedit.msc rồi nhấn OK để khởi động chương trình. Khi
chương trình đã khởi động, bạn sẽ thấy cửa sổ giao diện như hình bên dưới:
Chương trình được phân theo dạng cây và rất dễ dùng. Nếu sử dụng các phần mềm
như Security Administrator, TuneUp Utilities,... bạn sẽ thấy hầu hết các tùy chọn cấu
hình hệ thống đều nằm trong GP. Và bạn hoàn toàn có thể sử dụng GP mà Windows
cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm các phần mềm trên.
* Cách sử dụng chung: tìm tới các nhánh, Chọn Not configured nếu không định cấu
hình cho tính năng đó, Enable để kick hoạt tính năng, Disable để vô hiệu hóa tính
năng.
* Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người
dùng trên máy. Trong nhánh này chứa nhiều nhánh con như:
+ Windows Settings: bạn sẽ cấu hình về việc sử dụng tài khoản, password tài khoản,
quản lý việc khởi động và đăng nhập hệ thống...

+ Administrative Templates:
- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như:
Internet Explorer, NetMeeting...
- System: cấu hình về hệ thống. Cần lưu ý là trước khi cấu hình cho bất kỳ thành phần
nào, bạn cũng cần phải tìm hiểu thật kỹ về nó. Bạn có thể chọn thành phần rồi nhấp
chuột phải để chọn Help.
Còn một cách khác là không chọn Help mà chọn Properties. Khi cửa sổ Properties
xuất hiện, chuyển sang thẻ Explain để được giải thích chi tiết về thành phần này.

Mặc định thì tình trạng ban đầu của các thành phần này là “Not configured”. Để thay
đổi tình trạng cho thành phần nào đó, bạn chọn thẻ Setting trong cửa sổ Properties,
sẽ có 3 tùy chọn cho bạn chọn lựa là: Enable (có hiệu lực), Disable (vô hiệu lực) và
Not configure (không cấu hình).
* User Configuration: giúp bạn cấu hình cho tài khoản đang sử dụng. Các thành phần
có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên.
Phần I: Computer Configuration:


Windows Setting:
Tại đây bạn có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản,
password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...
+ Scripts (Startup/Shutdown):
Bạn có thể chỉ định cho windows sẽ chạy một đoạn mã nào đó khi Windows Startup
hoặc Shutdown.
+ Security settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp
dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào.
Name
Tóm tắt tính năng
Account Policies
Các chính sách áp dụng cho tài khoản của người dùng.

Local Policies
Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho
người dùng tại chỗ.
Public Key Policies
Các chính sách khóa dùng chung
Sau đây chúng ta sẽ lần lượt đi vào tìm hiểu chi tiết từng phần nhỏ của nó.
1. Account Policies: Thiết lập các chính sách cho tài khoản
a> Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của
người sử dụng tài khoản trên máy.
Enforce password history: Với những người sử dụng có không có thói quen ghi nhớ
nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ
để thay cho mật khẩu mới, điều này là một kẽ hở lớn lên quan trực tiếp đến việc lộ
mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số
mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu.
Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ
thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thây đổi mật khẩu định kỳ nhằm nâng
cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quen của bạn,
từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày. Giá trị
mặc định là 42.
Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật
khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có
thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày.
Bạn cần thiết lập “Minimum password age” lớn hơn không nếu bạn muốn chính sách
“Enforce password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật
khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ.
Minimum password length: Độ dài nhỏ tối thiểu cuả mật khẩu tài khoản. (Tính bằng
số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị
là không nếu bạn không sử dụng mật khẩu. Giá trị mặc định là 0.
Password must meet complexity requirements: Quyết định độ phức tạp của mật
khẩu. Nếu tính năng này có hiệu lực. Mật khẩu của tài khoàn ít nhất phải đạt những

yêu cầu sau:
- Không chứa tất cả hoặc một phần tên tài khoản người dùng
- Độ dài nhỏ nhất là 6 ký tự
- Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a -> Z), các chữ cái hoa (A ->
Z), Các chữ số (0 -> 9) và các ký tự đặc biệt.
Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu.
đinh : Disable.
Store password using reversible encryption for all users in the domain: Lưu trữ mật
khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năngcung


cấp sự hỗ trợ cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật
khẩu của người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngươc
thực chất giống như việc lưu trữ các văn bản mã hóa của thông tin bảo vệ mật khẩu.
Mặc đinh : Disable.
b> Acount lockout Policy:
* Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước
khi việc mở khóa đươc thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá
trị 0 nếu không muốn việc tự động Unlock. Mặc định không có hiệu lực vì chính sách
này chỉ có khi chính sách “Account lockout threshold” được thiết lập.
* Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành
công. Trong trường hợp này Acount sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi
người quản trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực. Có thể thiết lập giá trị
cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ
không bị khóa.
* Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau
một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout
threshold” được thiết lập.
2. Local Policies: Các chính sách cục bộ:
User rights Assignment: Ấn định quyền cho người sử dụng.

Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu,
thay đổi thời gian của hệ thống…
Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục
đó và nhấn nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn.
* Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao
chúng ta lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này
bạn có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm
nào.
* Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được
phép hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có
quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như
bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ
người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền
này.
* Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách
này chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền,
tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active
Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain.
* Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ
tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất
của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như
tấn công từ chôi dịch vụ DoS (Dinal of Sevices).
* Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép
chúng ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta
những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.
* Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép
cho những ai sẽ có quyền backup dữ liệu.
* Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian



cuả hệ thống.
* Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng
chung
* Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ
thống điều khiển từ xa.
* Shut down the system: Cho phép ai có quyền Shutdown máy.
Link: />