Lệnh net accounts trong cmd là một công cụ dòng lệnh mạnh mẽ trên Windows, cho phép quản trị viên xem và thay đổi các thiết lập bảo mật liên quan đến tài khoản người dùng, như độ dài mật khẩu tối thiểu, thời hạn hiệu lực của mật khẩu, khóa tài khoản sau số lần đăng nhập sai, và đồng bộ chính sách trên miền. Được tích hợp sẵn trong hệ điều hành từ thời Windows NT, lệnh này vẫn giữ vai trò quan trọng trong việc quản trị an ninh hệ thống mà không cần cài đặt thêm phần mềm.
Đây là một tiện ích dòng lệnh thuộc bộ lệnh net của Windows, dùng để quản lý các chính sách tài khoản (account policy) ở cấp độ cục bộ hoặc trên toàn miền. Khác với các thiết lập qua giao diện đồ họa (Local Security Policy), lệnh net accounts cho phép thực thi nhanh, tự động hóa qua script và phù hợp cho quản trị từ xa qua Remote Desktop hoặc PowerShell.
Cú pháp và các tham số chính của lệnh net accounts
Cú pháp tổng quát: net accounts [tham số] [/DOMAIN]. Nếu không có tham số, lệnh sẽ hiển thị các thiết lập hiện tại. Các tham số phổ biến bao gồm:
Độ dài tối thiểu của mật khẩu (x ký tự). Mặc định 0 (không yêu cầu).
net accounts /MINPWLEN:8
/MAXPWAGE:x
Số ngày tối đa trước khi mật khẩu hết hạn. Giá trị từ 1 đến 999, 0 là không hết hạn.
net accounts /MAXPWAGE:90
/MINPWAGE:x
Số ngày tối thiểu phải chờ trước khi đổi mật khẩu. (0-999)
net accounts /MINPWAGE:1
/UNIQUEPW:x
Số lượng mật khẩu cũ được lưu để ngăn đặt lại. (0-24)
net accounts /UNIQUEPW:5
/LOCKOUTTHRESHOLD:x
Số lần đăng nhập sai trước khi tài khoản bị khóa. (0-999)
net accounts /LOCKOUTTHRESHOLD:5
/LOCKOUTDURATION:x
Thời gian khóa tài khoản tính bằng phút. (0-99999)
net accounts /LOCKOUTDURATION:30
/LOCKOUTWINDOW:x
Khung thời gian (phút) để đếm số lần đăng nhập sai. (0-99999)
net accounts /LOCKOUTWINDOW:30
/DOMAIN
Thực hiện thay đổi trên bộ điều khiển miền (chỉ áp dụng khi máy tính thuộc domain).
net accounts /DOMAIN
/SYNC
Đồng bộ hóa cơ sở dữ liệu tài khoản trên tất cả các bộ điều khiển miền.
net accounts /SYNC
Cách xem chính sách hiện tại bằng lệnh net accounts
Mở Command Prompt với quyền Administrator. Gõ net accounts và nhấn Enter. Kết quả hiển thị gồm:
Độ dài mật khẩu tối thiểu hiện tại
Số ngày tối đa và tối thiểu của mật khẩu
Số mật khẩu duy nhất được lưu trữ
Thiết lập khóa tài khoản (ngưỡng, thời gian khóa, cửa sổ đếm)
Thông tin về miền (nếu có)
Nếu muốn xem thông tin chi tiết hơn về từng người dùng, dùng lệnh net user [tên_người_dùng].
Ví dụ thực tế sử dụng lệnh net accounts trong CMD
Thiết lập độ dài mật khẩu tối thiểu
net accounts /MINPWLEN:10
Yêu cầu mọi mật khẩu mới phải có ít nhất 10 ký tự. Áp dụng ngay lập tức cho tất cả tài khoản cục bộ.
Đặt thời hạn mật khẩu 90 ngày
net accounts /MAXPWAGE:90 /MINPWAGE:1
Mật khẩu sẽ hết hạn sau 90 ngày, nhưng không thể đổi lại trong vòng 1 ngày.
Cấu hình khóa tài khoản sau 3 lần sai
net accounts /LOCKOUTTHRESHOLD:3 /LOCKOUTDURATION:15 /LOCKOUTWINDOW:30
Sau 3 lần nhập sai trong vòng 30 phút, tài khoản bị khóa 15 phút.
Áp dụng chính sách cho domain
net accounts /DOMAIN /MINPWLEN:8 /MAXPWAGE:60
Lệnh này chỉ hoạt động trên máy tính thuộc miền và có quyền quản trị domain. Các thiết lập sẽ được áp dụng trên toàn bộ miền.
Đồng bộ cơ sở dữ liệu tài khoản
net accounts /SYNC
Đẩy các thay đổi chính sách tới tất cả domain controller (chỉ áp dụng khi có /DOMAIN).
Lợi ích khi sử dụng lệnh net accounts trong CMD
Nhanh chóng và trực tiếp: Không cần mở nhiều cửa sổ giao diện, chỉ một dòng lệnh.
Khả năng tự động hóa: Dễ dàng tích hợp vào batch script, PowerShell để triển khai chính sách hàng loạt.
Kiểm tra nhanh: Xem trạng thái chính sách hiện tại chỉ với một lệnh đơn giản.
Quản lý domain: Cho phép quản trị viên cập nhật chính sách trên toàn miền mà không cần Group Policy Editor.
Tiết kiệm tài nguyên: Hoạt động trên mọi phiên bản Windows (dù là Server Core không có giao diện).
Hạn chế và lưu ý khi dùng lệnh net accounts
Không áp dụng cho tài khoản Microsoft: Chỉ ảnh hưởng đến tài khoản cục bộ hoặc tài khoản domain truyền thống.
Cần quyền Administrator: Người dùng thường không đủ quyền để thay đổi chính sách.
Không hỗ trợ các thiết lập phức tạp: Như mật khẩu phải chứa ký tự đặc biệt, không thể cấu hình qua lệnh này (cần Group Policy).
Tác dụng phụ khi dùng /DOMAIN: Nếu không cẩn thận, thay đổi có thể ảnh hưởng đến toàn bộ tổ chức.
Một số tham số yêu cầu khởi động lại hoặc đăng xuất để có hiệu lực hoàn toàn.
So sánh lệnh net accounts với các công cụ khác
Công cụ
Phạm vi
Giao diện
Mức độ chi tiết
Tự động hóa
net accounts
Cục bộ / Domain
Dòng lệnh
Trung bình
Cao (script)
Local Security Policy (secpol.msc)
Cục bộ
GUI
Cao (nhiều tùy chọn)
Thấp (khó tự động)
Group Policy Management (gpmc.msc)
Domain
GUI
Rất cao
Trung bình (cần GPO)
PowerShell (Set-ADAccountPolicy)
Domain
Dòng lệnh
Rất cao
Cực cao
Net accounts phù hợp cho các thay đổi nhanh, đơn giản hoặc khi không có quyền truy cập GUI. Đối với môi trường doanh nghiệp lớn, PowerShell và Group Policy cung cấp khả năng kiểm soát tốt hơn.
Sai lầm thường gặp và cách tránh
Quên quyền Administrator: Lệnh sẽ báo lỗi “Access denied”. Luôn chạy CMD với tư cách quản trị viên.
Đặt MINPWAGE lớn hơn MAXPWAGE: Gây xung đột, hệ thống sẽ báo lỗi. Phải luôn đặt MINPWAGE nhỏ hơn hoặc bằng MAXPWAGE.
Thay đổi chính sách khóa quá nghiêm ngặt: Ví dụ /LOCKOUTTHRESHOLD:1 dễ làm khóa tài khoản người dùng thật. Nên đặt ngưỡng từ 5-10.
Bỏ qua tác động đến người dùng hiện tại: Thay đổi độ dài mật khẩu không ảnh hưởng đến mật khẩu cũ, nhưng lần đổi sau sẽ bị ép. Cần thông báo trước.
Dùng /SYNC mà không có /DOMAIN: Lệnh không có hiệu lực nếu máy không thuộc domain. Kiểm tra trước.
Các lưu ý quan trọng
Lệnh net accounts chỉ lưu thay đổi trong registry và có hiệu lực ngay lập tức (trừ một số tham số cần đăng nhập lại).
Trên Windows 10/11 Home, một số tham số có thể không hoạt động do thiếu chính sách bảo mật nâng cao.
Khi dùng với tham số /DOMAIN, lệnh sẽ tương tác với domain controller mặc định. Nếu muốn chỉ định domain controller cụ thể, dùng net accounts /DOMAIN /SERVER:tên_DC.
Để reset tài khoản bị khóa do chính sách, dùng net user tên_người_dùng /ACTIVE:YES hoặc thông qua Active Directory Users and Computers.
Kiểm tra trạng thái hiện tại trước khi thay đổi để tránh ghi đè không mong muốn.
Làm thế nào để xem chính sách tài khoản hiện tại bằng lệnh net accounts?
Mở CMD với quyền Administrator và gõ net accounts. Kết quả hiển thị toàn bộ thông số mật khẩu và khóa tài khoản.
Lệnh net accounts có áp dụng cho tài khoản Microsoft không?
Không. Lệnh này chỉ tác động đến tài khoản cục bộ hoặc tài khoản domain truyền thống (sử dụng Active Directory). Tài khoản Microsoft đăng nhập bằng email không bị ảnh hưởng.
Sự khác biệt giữa /LOCKOUTDURATION và /LOCKOUTWINDOW là gì?
/LOCKOUTDURATION là thời gian tài khoản bị khóa (tính bằng phút). /LOCKOUTWINDOW là khoảng thời gian (phút) để đếm số lần đăng nhập sai. Ví dụ: ngưỡng 3 lần trong 30 phút, khóa 15 phút.
Có thể đặt mật khẩu phải chứa ký tự đặc biệt bằng lệnh net accounts không?
Không. Lệnh net accounts không hỗ trợ thiết lập độ phức tạp mật khẩu (yêu cầu chữ hoa, chữ thường, số, ký tự đặc biệt). Phải dùng Group Policy (secpol.msc) hoặc PowerShell.
Tôi gặp lỗi “The parameter is incorrect” khi chạy net accounts, nguyên nhân do đâu?
Thường do cú pháp sai (ví dụ thiếu dấu hai chấm giữa tham số và giá trị), hoặc giá trị nằm ngoài phạm vi cho phép. Kiểm tra lại cú pháp chính xác: net accounts /MINPWLEN:8 (có dấu hai chấm, không có khoảng trắng).
Kết luận
Lệnh net accounts trong CMD là một công cụ không thể thiếu đối với quản trị viên Windows, đặc biệt khi cần can thiệp nhanh vào chính sách tài khoản mà không cần giao diện đồ họa. Dù bị hạn chế về độ phức tạp so với Group Policy hay PowerShell, nhưng sự đơn giản, khả năng chạy script và tương thích trên mọi phiên bản Windows vẫn khiến nó trở thành lựa chọn đáng tin cậy. Nắm vững các tham số và thực hành đúng cách sẽ giúp bạn tăng cường bảo mật hệ thống và tránh những rủi ro không đáng có.
