Các mở rộng của Group Policy trong Windows Vista và Windows
Server 2008 (Phần 3)
Bảo mật là một trong những mối quan tâm lớn của Microsoft khi phát
triển hệ điều hành Windows Server 2008 và Windows Vista, chính vì
điều đó mà không hề ngạc nhiên rằng có nhiều thiết lập của Group
Policy mới được bổ sung trong hai hệ điều hành này. Chúng tôi muốn
bắt đầu bài này bằng cách nói về các thiết lập Group Policy có liên quan
đến tính năng bảo mật mới có tên gọi User Account Protection (được
viết tắt là UAC).
Nếu bạn không quen với UAC thì chúng tôi phải nói rằng nó là một tính
năng bảo mật được thiết kế để bảo vệ Windows bằng cách cung cấp cho
người dùng những quyền hạn một cách vừa phải. Trong môi trường
Windows XP, người dùng thường có quyền quản trị viên cục bộ để có thể
thực hiện các công việc của họ. Khi thiết kế Vista, Microsoft đã mất rất
nhiều thời gian về xem xét các việc gì người dùng thực sự cần thiết, từ đó
đưa ra quyền được thực hiện nhiệm vụ trong các tài khoản người dùng chuẩn
để người dùng không cần phải được thừa nhận có quyền của quản trị viên.
Ví dụ, một trong số những nhiệm vụ mà Windows Vista cho phép người
dùng di động thực hiện mà không cần đến quyền quản trị gồm có: cài đặt
driver cho máy in, nhập khóa WEP, cấu hình kết nối VPN và cài đặt nâng
cấp các ứng dụng.
User Account Protection hầu như không ban cho người dùng thêm quyền,
mà tính năng này được thiết kế để bảo vệ các quản trị viên đối với chính bản
thân họ. Cho dù là ai đó đã đăng nhập như một quản trị viên thì Windows
vẫn coi họ như một người dùng chuẩn. Nếu người dùng cố gắng thực hiện
một số hành động cần đến quyền quản trị thì Windows sẽ nhắc nhở người
dùng thực hiện một số nhiệm vụ nhằm đảm bảo tính bảo mật.
Các quản trị viên cũng có thể chọn đăng nhập như những người dùng chuẩn.
Nếu một người dùng chuẩn cần thực hiện một hành động yêu cầu đến quyền
quản trị viên thì họ không phải chạy từ Run. Thay vào đó, Vista sẽ tự động
nhắc nhở họ nhập vào một số thông tin quan trọng có thể được sử dụng cho
nhiệm vụ đó.
Bây giờ tôi sẽ giới thiệu cho bạn một số kiến thức cơ bản liên quan đến User
Account Protection là gì và nó làm việc như thế nào, hãy xem một số thiết
lập Group Policy có liên quan đến UAC. Giống như hầu hết các thiết lập
Group Policy khác mà chúng tôi đã giới thiệu cho bạn trong phần 1 và 2, các
thiết lập Group Policy mà chúng tôi đang muốn nói đến chỉ thích hợp với
Windows Server 2008 và Windows Vista. Chính vì vậy, cho tới khi
Windows Server 2008 được phát hành và bạn có một bộ điều khiển miền
trên Windows Server 2008 trong mạng thì các thiết lập Group Policy này sẽ
phải thiết lập ở mức Local Computer (mức cục bộ) trong hệ thống thứ bậc
Group Policy.
Các thiết lập Group Policy có liên quan đến UAC có thể được tìm thấy trong
giao diện sử dụng của Group Policy tại Computer Configuration | Windows
Settings | Security Settings | Local Policies | Security Options. Bạn có thể
xem số thiết lập chính sách có sẵn trong hình A.
Hình A: Các thiết lập của Group Policy liên quan đến tính năng bảo vệ tài
khoản của Vista
Như những gì thấy trong hình, có nhiều thiết lập không liên quan đến User
Account Protection. Các thiết lập cho User Account Protection được đặt ở
phần dưới của màn hình.
Thiết lập đầu tiên có liên quan đến UAC là “Admin Approval Mode for the
Built In Administrator Account”. Tùy chọn này được kích hoạt mặc định,
điều đó làm cho tài khoản quản trị viên được coi như một người dùng chuẩn.
Bất cứ hành động yêu cầu đến quyền quản trị viên sẽ làm cho Windows nhắc
nhở người dùng trước khi hành động đó được tiến hành. Nếu tùy chọn này bị
vô hiệu hóa thì Vista sẽ thực hiện giống như Windows XP.
Tài khoản quản trị viên đính kèm sẽ được coi như một quản trị viên đích
thực và người dùng sẽ không bị nhắc nhở một số yêu cầu để có được sự cho
phép của Windows.
Tùy chọn có sẵn tiếp theo là “Behavior of the Elevation Prompt for
Administrators in Admin Approval Mode”. Như bạn đã biết, Vista được thiết
kế để nó sẽ không thực hiện một hành động quản trị mà không có sự cho
phép của quản trị viên. Tùy chọn này sẽ cho bạn kiểm soát được những kiểu
cho phép gì một quản trị viên phải đưa ra theo thứ tự cho hành động đã yêu
cầu được hoàn thành.
Tùy chọn mặc định này là một nhắc nhở về sự cho phép. Điều đó có nghĩa
rằng quản trị viên sẽ bị hỏi xem họ muốn cho phép hoặc từ chối một hành
động đó hay không. Cải thiện mới ở đây là quản trị viên có thể được nhắc
nhở những thông tin quan trọng. Điều này sẽ bắt buộc một quản trị viên phải
nhập vào mật khẩu của họ trước trước khi thực hiện bất kỳ hành động quản
trị nào. Tùy chọn này có thể gây ra nhiều rắc rối trong sử dụng nhưng nó
đáng giá trong các môi trường đòi hỏi độ bảo mật cao.
Tùy chọn cuối cùng là làm tăng sự cho phép mà không cần nhắc nhở quản trị
viên cho phép hành động. Chúng tôi không khuyến khích các bạn sử dụng
tùy chọn này.
Đúng như Windows Vista hạn chế những gì một quản trị viên có thể thực
hiện mà không cần sự cho phép, bên cạnh đó nó cũng hạn chế các quyền của
người dùng chuẩn. Bạn có thể kiểm soát những gì xảy ra khi một người dùng
![Trắc nghiệm Hệ điều hành: Tổng hợp câu hỏi và đáp án [năm hiện tại]](https://cdn.tailieu.vn/images/document/thumbnail/2026/20260127/hoatulip0906/135x160/7351769593974.jpg)
![Giáo trình Tiếng Anh CNTT (Công nghệ thông tin) chuyên ngành - Trường Cao đẳng Đà Lạt [Cao đẳng]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251209/laphong0906/135x160/53901770719194.jpg)
![Giáo trình Excel nâng cao CNTT Cao đẳng Đà Lạt [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251209/laphong0906/135x160/68011770731264.jpg)
![Giáo trình Tin học ứng dụng [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2026/20260128/cristianoronaldo02/135x160/53061769596285.jpg)
