Tài khoản người dùng Windows 7, 8 và 10 có đặc quyền quản trị hoạt động khác với tài khoản quản trị^{(operate differently than admin accounts)} trong các phiên bản Windows trước.

Thay vì cấp cho các tài khoản quản trị quyền truy cập đầy đủ và không bị hạn chế vào mọi thứ trên PC, các tài khoản này hoạt động như tài khoản người dùng bình thường cho đến khi một hành động yêu cầu đặc quyền quản trị bật lên. Tại thời điểm này, tài khoản sẽ chuyển sang Chế độ phê duyệt^{(Admin Approval Mode)} của quản trị viên để người dùng có thể phê duyệt hành động.

Được cải thiện nhiều so với việc xử lý phê duyệt quản trị^{(admin approval)} của Windows Vista , Windows 7/8/10 đạt được sự cân bằng giữa bảo mật và khả năng sử dụng^{(security and usability)} . May mắn thay, Microsoft có thể tùy chỉnh thêm cách hoạt động của Chế độ phê duyệt^{(Admin Approval Mode)} quản trị viên trên PC.

Tùy thuộc vào vị trí đặt máy tính của bạn và người sử dụng nó, bạn có thể nâng cấp hoặc hạ cấp bảo mật PC^{(PC security)} của mình bằng cách thay đổi cách Windows 7/8/10 sử dụng Chế độ phê duyệt^{(Admin Approval Mode)} quản trị viên . Bạn cũng có thể đọc bài đăng của tôi về cách tắt Chế độ phê duyệt^{(how to turn off Admin Approval Mode)} của quản trị viên .

Lưu ý: Để truy cập Chính sách bảo mật cục bộ trên máy tính Windows, bạn phải chạy phiên bản Pro trở lên. Điều này sẽ không hoạt động đối với các phiên bản Windows Home, Home Premium hoặc Starter. ^{(Note: In order to access Local Security Policy on a Windows computer, you have to be running a Pro version or higher. This will not work for Windows Home, Home Premium or Starter editions. )}

Thay đổi cách hoạt động của Chế độ phê duyệt của quản trị viên^{(How Admin Approval Mode Works)}

Để thực hiện các thay đổi đối với cách hoạt động của Chế độ phê duyệt^{(Admin Approval Mode)} quản trị trên PC Windows 7/8/10 , hãy bắt đầu bằng cách đăng nhập vào hệ điều hành^{(operating system)} bằng tài khoản có đặc quyền quản trị. Nhấp^(Click) vào Bắt đầu - Tất cả chương trình - Công cụ quản trị (Windows) - Chính sách bảo mật cục bộ^{(Start – All Programs – (Windows) Administrative Tools – Local Security Policy)} .

Bây giờ bạn sẽ nhìn vào cửa sổ tùy chọn Chính sách bảo mật cục bộ.^{(Local Security Policy)}

Trong ngăn bên trái ,^{(hand pane)} bấm vào thư mục có tiêu đề Chính sách cục^{(Local Policies)} bộ, sau đó bấm vào thư mục có nhãn Tùy chọn bảo mật^{(Security Options)} . Tìm một tùy chọn trong ngăn bên phải có^{(hand pane)} tiêu đề Kiểm soát tài khoản người dùng: Hành vi của Lời nhắc nâng cao dành cho quản trị viên trong Chế độ phê duyệt của quản trị viên^{(User Account Control: Behavior of the Elevation Prompt for Administrators in Admin Approval Mode)} .

Nhấp chuột phải vào tùy chọn này và chọn Thuộc tính^(Properties) từ menu.

Bạn sẽ nhận thấy rằng bạn có sáu tùy chọn trong trình đơn thả xuống trong cửa sổ thuộc tính.

Dưới đây^(Below) là mô tả về từng tùy chọn cho độ cao Chế độ phê duyệt^{(Admin Approval Mode elevation)} của quản trị viên .

Sáu tùy chọn chế độ phê duyệt của quản trị viên

Mỗi tùy chọn trong số sáu Tùy chọn ^(Options)Chế độ Phê duyệt Quản trị^{(Admin Approval Mode)} viên buộc Windows hoạt động khác nhau khi đề cập đến việc nâng cấp phê duyệt cho các ứng dụng và chức năng yêu cầu phê duyệt để chạy trong hệ điều hành^{(operating system)} .

Lưu ý rằng màn hình an toàn^{(secure desktop)} là khi toàn bộ màn hình mờ đi cho đến khi bạn chấp nhận hoặc từ chối yêu cầu trong lời nhắc UAC^{(UAC prompt)} . Hãy xem bài đăng khác của tôi để hiểu cách hoạt động của UAC .

Nâng cao mà không cần nhắc nhở

Đây là tùy chọn thuận tiện nhất, nhưng cũng kém an toàn nhất. Bất cứ khi nào một ứng dụng hoặc chức năng cố gắng^{(application or function tries)} chạy mà thông thường cần được quản trị viên phê duyệt, ứng dụng hoặc chức năng^{(application or function)} đó sẽ tự động chạy như thể nó đã được cấp quyền để chạy.

Trừ khi PC của bạn ở một vị trí siêu an toàn^{(secure location)} cách ly với mạng, đây không phải là một lựa chọn khôn ngoan^{(wise choice)} .

Nhắc^(Prompt) thông tin đăng nhập^{(Credentials)} trên Màn hình an toàn^{(Secure Desktop)}

Tùy chọn này an toàn hơn cài đặt mặc định. Bất cứ khi nào một hành động bật lên yêu cầu quản trị viên phê duyệt, Windows sẽ thực sự nhắc người dùng nhập tên người dùng và mật khẩu trên màn hình bảo mật^{(secure desktop)} .

Nhắc^(Prompt) đồng ý^(Consent) trên Màn hình an toàn^{(Secure Desktop)}

Thay vì nhắc nhập tên người dùng và mật khẩu như tùy chọn ở trên, Windows sẽ chỉ yêu cầu người dùng phê duyệt hành động trên màn hình bảo mật^{(secure desktop)} .

Nhắc cho thông tin đăng nhập

Tùy chọn này hoạt động tương tự như tùy chọn ở trên có tiêu đề Lời nhắc thông tin đăng nhập trên Máy tính bảo mật,^{(Prompt for Credentials on the Secure Desktop,)} ngoại trừ việc người dùng nhập tên người dùng và mật khẩu^{(username and password)} mà không có sự bảo mật bổ sung của máy tính bảo mật^{(secure desktop)} .

Lời nhắc cho sự đồng ý

Giống như tùy chọn ở trên có tiêu đề Nhắc sự đồng ý trên Bàn bảo mật^{( Prompt for Consent on the Secure Deskto)} p, tùy chọn này chỉ yêu cầu người dùng phê duyệt hành động nhưng thực hiện điều đó mà không có sự bảo mật bổ sung của màn hình bảo mật^{(secure desktop)} .

Nhắc ^(Prompt)sự đồng ý^(Consent) cho các Binaries không phải Windows

Đây là tùy chọn Chế độ phê duyệt^{(Admin Approval Mode option)} quản trị viên mặc định . Với tùy chọn này, người dùng chỉ được yêu cầu đồng ý với một hành động nếu hành động đó yêu cầu sự chấp thuận và không phải là hành động đã được Windows^{(Windows action)} xác minh hoặc thực thi được.

Binaries chỉ đơn giản là mã thực thi được biên dịch đồng nghĩa với các ứng dụng hoặc chương trình. Chỉ đứng sau tùy chọn ^(Second)Nâng cao mà không cần nhắc^{( Elevate without Prompting)} ở trên, đây là một trong những tùy chọn Chế độ phê duyệt^{(Admin Approval Mode)} quản trị tự do nhất .

Windows đạt được sự cân bằng tốt giữa bảo mật và trải nghiệm máy tính^{(computing experience)} không bị gián đoạn , nhưng vẫn cho phép bạn tùy chỉnh thêm về cách bạn đồng ý với các hành động yêu cầu sự chấp thuận của quản trị viên.

Bằng cách thay đổi các tùy chọn Chế độ phê duyệt^{(Admin Approval Mode)} của quản trị viên , bạn có thể tạo môi trường hệ điều hành^{(operating system environment)} tùy chỉnh cho phép bạn tăng hoặc giảm bảo mật tùy thuộc vào nhu cầu cá nhân của bạn về bảo mật quản trị.

Change How Windows Prompts for Admin Approval Mode

Windows 7, 8 аnd 10 user accounts that have administrative privileges operate differently than admin accounts in previous versions Windows.

Rather than giving administrative accounts complete and unbridled access to everything on the PC, these accounts operate as normal user accounts until an action requiring admin privileges pops up. At this point, the account enters Admin Approval Mode so the user can approve the action.

Much improved over Windows Vista’s handling of admin approval, Windows 7/8/10 strikes a balance between security and usability. Fortunately, Microsoft makes it possible to further customize how Admin Approval Mode operates on a PC.

Depending on where your computer is located and who uses it, you can upgrade or downgrade your PC security by changing how Windows 7/8/10 uses Admin Approval Mode. You can also read my post on how to turn off Admin Approval Mode.

Note: In order to access Local Security Policy on a Windows computer, you have to be running a Pro version or higher. This will not work for Windows Home, Home Premium or Starter editions. 

Changing How Admin Approval Mode Works

To make changes to how Admin Approval Mode works on a Windows 7/8/10 PC, begin by logging into the operating system using an account that has administrative privileges. Click on Start – All Programs – (Windows) Administrative Tools – Local Security Policy.

You should now be looking at the Local Security Policy options window.

In the left hand pane, click on the folder titled Local Policies and then on the folder labeled Security Options. Locate an option in the right hand pane titled User Account Control: Behavior of the Elevation Prompt for Administrators in Admin Approval Mode.

Right click on this option and choose Properties from the menu.

You will notice that you have six options in the drop down menu in the properties window.

Below is a description of each option for Admin Approval Mode elevation.

Six Admin Approval Mode Options

Each of the six Admin Approval Mode Options forces Windows to operate differently when it comes to elevating approval for applications and functions that require approval to run in the operating system.

Note that secure desktop is when the entire screen dims until you accept or deny the request in the UAC prompt. Check out my other post to understand how UAC works.

Elevate Without Prompting

This is the most convenient option, but also least secure option. Whenever an application or function tries to run that would normally require approval from an administrator, the application or function will run automatically as if it were already given permissions to run.

Unless your PC is in a super secure location isolated from networks, this is not a wise choice.

Prompt for Credentials on the Secure Desktop

This option is more secure than the default setting. Whenever an action pops up requiring approval from an admin, Windows will actually prompt the user for a username and password on the secure desktop.

Prompt for Consent on the Secure Desktop

Rather than prompting for a username and password like the option above, Windows will simply ask the user to approve the action on the secure desktop.

Prompt for Credentials

This option operates similarly to the option above titled Prompt for Credentials on the Secure Desktop, except that the user types in the username and password without the added security of the secure desktop.

Prompt for Consent

Like the option above titled Prompt for Consent on the Secure Desktop, this option simply asks the user to approve the action but does so without the added security of the secure desktop.

Prompt for Consent for non-Windows Binaries

This is the default Admin Approval Mode option. With this option, users are required to consent to an action only if it requires approval and is not a verified Windows action or executable.

Binaries are simply compiled executable code synonymous to applications or programs. Second only to the Elevate without Prompting option above, this is one of the most liberal Admin Approval Mode options.

Windows strikes a good balance between security and an uninterrupted computing experience, but still allows you to further customize how you consent to actions that require admin approval.

By altering the Admin Approval Mode options, you can create a customized operating system environment allowing you to increase or decrease security depending on your personal need for administrative security.

Related posts

• Tắt Chế độ phê duyệt của quản trị viên trong Windows 7

• God Mode trong Windows 11 vs. Windows 10 vs. Windows 7

• Cài đặt và thay đổi sang ngôn ngữ hiển thị mới trong Windows 7 với Vistalizator

• Cài đặt và thay đổi sang ngôn ngữ hiển thị mới trong Windows 7 Home & Pro

• Cài đặt và thay đổi sang ngôn ngữ hiển thị mới trong Windows 7 Ultimate

• Cách tạo Windows 11/10 look and feel như Windows 7

• Cách tùy chỉnh khu vực thông báo trong Windows 7 và Windows 8

• Thay đổi độ phân giải màn hình và phóng to văn bản và biểu tượng trong Windows 7 và Windows 8.1

• Cách nâng cấp lên Windows 8 từ Windows 7, Windows Vista hoặc phiên bản cũ hơn

• Cách xử lý tệp XPS bằng Trình xem XPS trong Windows 7 hoặc Windows 8

• Đánh giá sách - Máy tính với Windows 7 cho Người lớn hơn và Thông minh hơn

• Cách nâng cấp lên Windows 10 từ Windows 7 FREE ... ngay cả bây giờ!

• Cách nâng cấp từ Windows 7 đến Windows 10 mà không mất dữ liệu

• Khắc phục sự cố Windows Explorer trong Windows 7 với Classic Shell

• Cách in bằng máy in Mac OS X dùng chung từ Windows 7 và Windows 8

• Cách tạo hoặc xóa tài khoản người dùng trong Windows 7

• Cách khám phá các chủ đề khu vực ẩn trong Windows 7

• Cách đặt quyền truy cập chương trình & mặc định máy tính trong Windows 7 và Windows 8.1

• Install & kích hoạt Windows 7 ESU phím trên nhiều thiết bị sử dụng MAK

• Cách cài đặt Windows 7 mà không cần đĩa