Công cụ tính toán quyền truy cập người dùng Windows
Kết quả cấu hình người dùng
Hướng dẫn chi tiết: Cách tạo một trang dùng khác Administrator trên máy tính
Việc tạo tài khoản người dùng riêng biệt với quyền Administrator trên máy tính Windows là một trong những biện pháp bảo mật cơ bản nhưng vô cùng quan trọng. Thống kê từ Microsoft Security cho thấy 85% các cuộc tấn công mạng thành công là do sử dụng tài khoản có quyền quản trị không cần thiết. Bài viết này sẽ hướng dẫn bạn từng bước tạo và quản lý tài khoản người dùng an toàn trên Windows 10/11.
1. Tại sao nên tạo tài khoản người dùng riêng?
- Giảm thiểu rủi ro bảo mật: Tài khoản Administrator có quyền truy cập toàn bộ hệ thống, trong khi tài khoản Standard chỉ có thể thực hiện các thao tác cơ bản.
- Ngăn chặn phần mềm độc hại: 90% malware cần quyền Admin để cài đặt (nguồn: CISA).
- Quản lý tốt hơn: Mỗi thành viên trong gia đình/nơi làm việc có không gian riêng tư.
- Dễ dàng khôi phục: Nếu tài khoản bị nhiễm virus, bạn vẫn có thể sử dụng tài khoản Admin khác để sửa chữa.
Theo nghiên cứu của SANS Institute, 60% các vụ vi phạm dữ liệu doanh nghiệp bắt nguồn từ việc sử dụng sai quyền truy cập. Luôn sử dụng nguyên tắc “quyền tối thiểu” (Principle of Least Privilege).
2. Hướng dẫn tạo tài khoản người dùng mới trên Windows
Phương pháp 1: Sử dụng Settings (Cài đặt)
- Nhấn Win + I để mở Settings
- Chọn Accounts → Family & other users
- Trong phần “Other users”, nhấn Add someone else to this PC
- Chọn “I don’t have this person’s sign-in information”
- Chọn “Add a user without a Microsoft account”
- Điền thông tin:
- Username: Tên người dùng (ví dụ:
NguoiDungMoi) - Password: Mật khẩu (ít nhất 8 ký tự)
- Security questions: Câu hỏi bảo mật
- Username: Tên người dùng (ví dụ:
- Nhấn Next để hoàn tất
Phương pháp 2: Sử dụng Computer Management
- Nhấn Win + R, gõ
lusrmgr.mscvà nhấn Enter - Trong cửa sổ Local Users and Groups, chọn Users
- Click chuột phải → New User…
- Điền thông tin:
- User name: Tên đăng nhập
- Full name: Tên đầy đủ (tùy chọn)
- Description: Mô tả (tùy chọn)
- Password & Confirm password
- Bỏ chọn “User must change password at next logon” nếu không cần
- Nhấn Create → Close
Phương pháp 3: Sử dụng Command Prompt
net localgroup Users TenNguoiDung /add
Thay TenNguoiDung và MatKhau bằng thông tin thực tế. Để tạo tài khoản Admin:
net localgroup Administrators TenAdmin /add
3. Cấu hình quyền限 cho tài khoản mới
Sau khi tạo tài khoản, bạn cần cấu hình quyền限 phù hợp:
| Loại tài khoản | Quyền hạn | Rủi ro bảo mật | Khuyến nghị |
|---|---|---|---|
| Administrator | Toàn quyền hệ thống | Cao (9/10) | Chỉ dùng khi cần thiết |
| Standard User | Cài đặt phần mềm hạn chế | Thấp (3/10) | Lựa chọn tốt nhất cho sử dụng hàng ngày |
| Guest | Truy cập tối thiểu | Rất thấp (1/10) | Dành cho người dùng tạm thời |
| Custom (Tùy chỉnh) | Được cấu hình riêng | Phụ thuộc cấu hình | Dành cho người dùng nâng cao |
Để thay đổi loại tài khoản:
- Mở Settings → Accounts → Family & other users
- Chọn tài khoản cần thay đổi → Change account type
- Chọn loại tài khoản mong muốn → OK
4. Các thiết lập bảo mật nâng cao
4.1 Bật User Account Control (UAC)
UAC giúp ngăn chặn các thay đổi hệ thống không được phép:
- Nhấn Win + R, gõ
UserAccountControlSettings - Điều chỉnh thanh trượt đến mức “Always notify” (an toàn nhất)
- Nhấn OK và khởi động lại máy
4.2 Giới hạn quyền truy cập thư mục
Sử dụng NTFS permissions để giới hạn quyền truy cập:
- Click chuột phải vào thư mục → Properties → Security
- Nhấn Edit → Add
- Nhập tên tài khoản → Check Names → OK
- Chọn quyền phù hợp (ví dụ: chỉ Read & execute)
4.3 Cấu hình Parent Controls (Kiểm soát của phụ huynh)
Đối với tài khoản trẻ em:
- Mở Settings → Accounts → Family & other users
- Chọn “Add a family member” → “Add a child”
- Điền thông tin email (nếu có) hoặc tạo tài khoản Microsoft mới
- Sau khi tạo, quản lý thời gian sử dụng và nội dung tại Microsoft Family Safety
5. Quản lý nhiều tài khoản hiệu quả
Khi máy tính có nhiều người dùng, bạn nên:
- Tạo thư mục riêng cho từng người dùng trong
C:\Users\ - Sử dụng Fast User Switching (Nhấn Win + L → chọn tài khoản khác)
- Định kỳ kiểm tra hoạt động đăng nhập qua Event Viewer (
eventvwr.msc) - Sử dụng Windows Hello (nhận diện khuôn mặt/vân tay) cho tài khoản quan trọng
Theo khuyến cáo từ NIST, bạn nên:
- Thay đổi mật khẩu định kỳ 90 ngày
- Không sử dụng lại mật khẩu cũ
- Bật xác thực hai yếu tố (2FA) nếu có thể
- Vô hiệu hóa tài khoản không sử dụng sau 30 ngày
6. Khắc phục sự cố phổ biến
| Vấn đề | Nguyên nhân | Giải pháp |
|---|---|---|
| Không thể tạo tài khoản mới | Hết không gian đĩa hoặc quyền hạn | Dọn dẹp đĩa hoặc sử dụng tài khoản Admin |
| Tài khoản bị khóa | Nhập sai mật khẩu nhiều lần | Sử dụng tài khoản Admin khác để mở khóa |
| Không thấy tùy chọn “Add someone else” | Tài khoản hiện tại không phải Admin | Đăng nhập bằng tài khoản Admin |
| Lỗi “The user name could not be found” | Tên người dùng chứa ký tự đặc biệt | Sử dụng tên không dấu, không khoảng trắng |
7. So sánh giữa Standard User và Administrator
| Tiêu chí | Standard User | Administrator |
|---|---|---|
| Cài đặt phần mềm | Cần mật khẩu Admin | Toàn quyền cài đặt |
| Thay đổi hệ thống | Hạn chế | Toàn quyền |
| Rủi ro malware | Thấp (30%) | Cao (90%) |
| Truy cập file hệ thống | Chỉ đọc | Đọc/ghi/xóa |
| Cập nhật Windows | Cần mật khẩu Admin | Toàn quyền |
| Sử dụng hàng ngày | Khuyến nghị | Không khuyến nghị |
8. Các lệnh Command Prompt hữu ích
net user
# Xóa tài khoản
net user TenNguoiDung /delete
# Thay đổi mật khẩu
net user TenNguoiDung MatKhauMoi
# Kích hoạt/tắt tài khoản
net user TenNguoiDung /active:yes
net user TenNguoiDung /active:no
# Thêm vào nhóm Administrators
net localgroup Administrators TenNguoiDung /add
# Xem thông tin chi tiết tài khoản
net user TenNguoiDung
9. Tối ưu hóa cho doanh nghiệp
Đối với môi trường doanh nghiệp, bạn nên:
- Sử dụng Active Directory để quản lý tập trung
- Áp dụng Group Policy để cấu hình đồng bộ
- Triển khai Windows Server với Domain Controller
- Sử dụng Microsoft Intune cho quản lý từ xa
- Áp dụng Least-Privilege Model (mô hình quyền tối thiểu)
Theo báo cáo của Gartner, các doanh nghiệp áp dụng mô hình quản lý tài khoản chặt chẽ giảm 70% rủi ro vi phạm dữ liệu.
10. Các công cụ quản lý tài khoản nâng cao
- Local Users and Groups (lusrmgr.msc): Quản lý tài khoản địa phương
- Computer Management (compmgmt.msc): Quản lý toàn diện hệ thống
- Active Directory Users and Computers (dsa.msc): Dành cho mạng doanh nghiệp
- Windows Admin Center: Quản lý từ xa nhiều máy chủ
- PowerShell: Tự động hóa quản lý tài khoản
$users = @(“User1”, “User2”, “User3”)
$password = ConvertTo-SecureString “MatKhau@123” -AsPlainText -Force
foreach ($user in $users) {
New-LocalUser -Name $user -Password $password -UserMayNotChangePassword -AccountNeverExpires
Add-LocalGroupMember -Group “Users” -Member $user
}
11. Bảo mật tài khoản Administrator mặc định
Tài khoản Administrator mặc định (built-in) là mục tiêu hàng đầu của hacker. Bạn nên:
- Đổi tên tài khoản Administrator:
wmic useraccount where name=’Administrator’ call rename name=’TenMoi’
- Vô hiệu hóa tài khoản Administrator mặc định:
net user Administrator /active:no
- Tạo tài khoản Admin mới với tên không dễ đoán
- Bật Security Options trong Local Group Policy:
- Accounts: Rename administrator account
- Accounts: Rename guest account
12. Kịch bản thực tế: Quản lý tài khoản trong gia đình
Gia đình bạn có 4 thành viên với nhu cầu khác nhau:
| Thành viên | Loại tài khoản | Cấu hình đặc biệt | Lý do |
|---|---|---|---|
| Bố (quản lý) | Administrator | BitLocker, Windows Hello | Cần quyền quản trị hệ thống |
| Mẹ (công việc) | Standard User | Truy cập thư mục công việc | An toàn cho công việc văn phòng |
| Con trai (học sinh) | Standard User | Parental Controls, thời gian sử dụng | Giới hạn thời gian và nội dung |
| Khách | Guest | Truy cập internet cơ bản | Dành cho người dùng tạm thời |
13. Các câu hỏi thường gặp
13.1 Làm thế nào để biết tài khoản hiện tại có phải Admin không?
Nhấn Win + R, gõ netplwiz, chọn tài khoản của bạn. Tab Group Membership sẽ hiển thị loại tài khoản.
13.2 Có thể tạo tài khoản mà không cần mật khẩu không?
Có, nhưng không khuyến nghị. Nếu cần, sử dụng lệnh:
Sau đó vào User Accounts để vô hiệu hóa yêu cầu mật khẩu.
13.3 Làm sao để xóa tài khoản người dùng?
Phương pháp 1: Settings → Accounts → Family & other users → Chọn tài khoản → Remove
Phương pháp 2: Command Prompt với quyền Admin:
13.4 Tại sao không nên sử dụng tài khoản Admin hàng ngày?
Theo CISA, sử dụng tài khoản Admin thường xuyên làm tăng nguy cơ:
- Phần mềm độc hại cài đặt ngầm
- Thay đổi cấu hình hệ thống trái phép
- Tấn công leo thang quyền hạn (privilege escalation)
- Mất dữ liệu do lỗi người dùng
13.5 Làm thế nào để chuyển đổi giữa các tài khoản nhanh chóng?
Nhấn Win + L để khóa máy, sau đó chọn tài khoản khác trên màn hình đăng nhập. Hoặc sử dụng:
Trong Command Prompt để đăng xuất nhanh.
14. Kết luận và khuyến nghị
Việc tạo và quản lý nhiều tài khoản người dùng trên Windows không chỉ giúp bảo mật hệ thống mà còn tối ưu hóa trải nghiệm sử dụng cho từng thành viên. Dưới đây là những khuyến nghị cuối cùng:
- Luôn sử dụng tài khoản Standard cho các hoạt động hàng ngày
- Chỉ sử dụng tài khoản Admin khi thực sự cần thiết
- Bật UAC ở mức cao nhất có thể chịu đựng được
- Định kỳ kiểm tra các tài khoản không hoạt động
- Sao lưu thông tin tài khoản ở nơi an toàn
- Cập nhật hệ điều hành để vá lỗi bảo mật
- Sử dụng phần mềm quản lý mật khẩu như Bitwarden hoặc KeePass
Bằng cách áp dụng những nguyên tắc này, bạn không chỉ bảo vệ máy tính của mình khỏi các mối đe dọa bảo mật mà còn tạo ra một môi trường làm việc hiệu quả và chuyên nghiệp hơn. Để tìm hiểu thêm về bảo mật Windows, bạn có thể tham khảo các nguồn thông tin chính thức từ Microsoft Security Documentation.