Chia sẻ và bảo vệ tài nguyên kết hợp chỉ định phân quyền NTFS - Chia sẻ và bảo vệ tài nguyên kết hợp chỉ định phân quyền NTFS

Quản trị mạng
Chương 3: Chia sẻ và bảo vệ tài nguyên kết hợp
chỉ định phân quyền NTFS LÝ THUYẾT
File service là một trong chức nĕng cốt lõi trong các chức nĕng của
Microsoft Windows Server 2008. Các tập tin được lưu trữ trên máy
chủ có chứa các thông tin về toàn bộ tổ chức của bạn. Thông tin này có
sẵn trên một máy chủ, hoặc nó có thể được chia sẻ trên mạng cho
nhiều người sử dụng truy cập. Thông tin này phải được bảo vệ trước
những người sử dụng trái phép, cǜng như được cung cấp sẵn để người
dùng có thẩm quyền sử dụng. 1. Permissions Quản trị mạng
Quyền là các quy luật được sử dụng để xác định những hành
động được thực thi trên một đối tượng cụ thể. Quyền có thể được
chấp thuận hay bị từ chối bởi chủ sở hữu ĐH Công Nghiệp TPHCM 1 Quản trị mạng
của đối tượng và bởi bất cứ ai có quyền thay đổi quyền truy cập cho đối
tượng đó. Thông thường, quyền này được gán cho các admin của hệ
thống và trên domain. Nếu bạn là chủ sở hữu một đối tượng, bạn có
thể gán bất kǶ quyền nào cho bất kì người dùng nào hoặc nhóm bảo
mật nào, bao gồm cả quyền sở hữu của đối tượng đó.
2. Access-Based Enumeration
Bắt đầu từ Windows Server 2003 Service Pack 1, Windows Server
cung cấp chức nĕng Access-Based Enumeration gán cho thư mục mà
máy chủ chia sẻ trong hệ thống mạng.
Khi tính nĕng Access-Based Enumeration kích hoạt, người sử
dụng chỉ thấy được duy nhất các tập tin và thư mục được chia sẻ khi Quản trị mạng
họ có quyền truy cập. Access-Based Enumeration cung cấp sự hợp lý và
hiệu quả cho người dùng cuối.
3. Managing NTFS File and Folder Permissions
NTFS là hệ thống tập tin chính của hệ điều hành Windows
Server trong hơn 15 nĕm. Một trong những chìa khóa để kéo dài sự
tồn tại của nó là sự hợp lý và hiệu quả quản ĐH Công Nghiệp TPHCM 2 Quản trị mạng
lý các thuộc tính tập tin NTFS như quyền và cách mà NTFS đã phát
triển và nâng cao sự tương tác của nó với hệ điều hành Windows. 3.1. NTFS Permissions
Các quyền được gán cho file, folder với định dạng NTFS sẽ quản lý
người dùng sử dụng những file, folder đó. Những đặc điểm quan trọng của quyền NTFS:
• Quyền NTFS có thể được gán cho một tập tin, thư mục,
hoặc tập hợp của các tập tin, thư mục.
• Quyền NTFS có thể được gán riêng cho đối tượng gồm users, groups and computers. Quản trị mạng
• Quyền NTFS được điều khiển bằng cách từ chối hoặc cho
phép truy xuất tập tin và thư mục.
• Quyền NTFS có thể được kế thừa từ thư mục cha.
3.2. Standard and Advanced Permissions ĐH Công Nghiệp TPHCM 3 Quản trị mạng
Standard pemission: cung cấp các quyền cơ bản nhất để thiết lập cho file,
folder và được nhìn thấy trong giao diện chính của NTFS Permission. Ful control
có toàn quyền trên file, folder Modify
có quyền Read/Wirte trên file, folder
Read & Excute có quyền Read và chạy chương trình Read Có quyền Read Write Có quyền Write List folder
Có quyền xem nội dung folder, không quy cập được contents vào nội dung
Advance pemission: cung cấp các quyền cho phép can thiệp mức độ sâu hơn
đến các thiết lập cho file, folder.
Traverse Folder Traverse Folder chỉ áp dụng cho các thư mục. Quyền này cho phép /Execute File Quản trị mạng
hoặc từ chối người sử dụng di chuyển qua các thư mục khác để ĐH Công Nghiệp TPHCM 4 Quản trị mạng
tiếp cận các tập tin hoặc thư mục khác.
Execute File cho phép hoặc từ chối truy cập đến các
file chương trình đang chạy List Folder
List Folder cho phép người sử dụng xem tên tập tin /Read Data
và tên thư mục con. Việc cho phép List Folder chỉ áp
dụng cho các thư mục và chỉ ảnh hưởng đến nội dung của thư mục đó.
Read Data cho phép đọc dữ liệu và cho phép hoặc từ chối người sử
dụng xem các dữ liệu trong các tập tin.
Read Attributes cho phép người dùng xem các thuộc tính cơ bản của
một file hoặc folder như read-only and hidden. Các
thuộc tính được định nghƿa bởi NTFS.
Read Extended cho phép người dùng xem các thuộc tính mở rộng của một file, Attributes folder. Create Files
Create Files Cho phép người dùng tạo ra các tập tin /Write Data
trong thư mục. Write Data cho phép người dùng thực
hiện thay đổi nội dung các
tập tin và ghi đè lên nội dung hiện có của NTFS. Quản trị mạng
Created Folders Created Folders chỉ áp dụng cho các thư mục và cho /Append Data
phép người dùng tạo thư mục trong thư mục.
Append Data chỉ áp dụng cho các tập tin và cho phép người dùng
thực hiện thay đổi kết thúc của tập tin nhưng
không phải từ việc xóa hoặc ghi đè lên dữ liệu hiện tại.
Write Attributes Cho phép người dùng thay đổi các thuộc tính cơ
bản của một tập tin hoặc thư mục, chẳng hạn
read-only or hidden. Các thuộc tính được định nghƿa bởi NTFS.
Write Attributes cho phép không có nghƿa là bạn có
thể tạo ra hoặc xóa các tập tin hoặc thư mục; nó chỉ
bao gồm việc cho phép thay đổi các các thuộc tính
của một tập tin hoặc thư mục.
Cho phép Create or Delete operations, see Create Files/Write ĐH Công Nghiệp TPHCM 5 Quản trị mạng
Data, Create Folders/Append Data, Delete Subfolders and Files, and Delete.
Write Extended Cho phép người dùng thay đổi các thuộc tính mở Attributes
rộng của một tập tin hoặc thư mục.
Write Extended cho phép không có nghƿa là người
dùng có thể tạo hoặc xóa các tập tin hoặc thư mục;
nó chỉ bao gồm việc cho phép thay đổi các thuộc tính
của một tập tin hoặc thư mục.
Cho phép Create or Delete operations, view the
Create Files/Write Data, Create Folders/Append
Data, Delete Subfolders and Files,
and Delete sections in this article. Delete
Chỉ áp dụng cho các thư mục và cho phép người sử Subfolders dụng để xóa and Files
các thư mục con và các tập tin Delete
cho phép người dùng xóa các tập tin hoặc thư mục Read
Cho phép người sử dụng để đọc các các tập tin hoặc Permissions thư mục Change
cho phép người dùng thay đổi các quyền các tập tin hoặc thư mục Permissions
Take Ownership Cho phép người dùng để có quyền sở hữu của các tập tin hoặc thư
mục. Chủ sở hữu của một tập tin hoặc thư mục có
thể thay đổi quyền trên nó Synchronize
Cho phép đồng bộ tập tin hoặc thư mục Quản trị mạng ĐH Công Nghiệp TPHCM 6 Quản trị mạng
3.3. NTFS Permissions Inheritance Tính kế thừa
Theo mặc định, NTFS sử dụng tính kế thừa để lan truyền quyền
trong một cấu trúc thư mục NTFS. Khi một tập tin hoặc một thư mục
được tạo ra, nó sẽ tự động gán các cho quyền theo kế thửa từ thư mục tồn tại trên nó. VD: Quản trị mạng ĐH Công Nghiệp TPHCM 7 Quản trị mạng
Chặn tính kế thừa
Có thể vô hiệu hóa tính thừa kế cho một tập tin hoặc một thư
mục (và nội dung của nó) trên ổ đƿa NTFS. Ěiều này có thể thực hiện
để xác định một cách rõ ràng quyền cho các đối tượng mà không bao
gồm bất kǶ các quyền thừa kế từ thư mục cha.
3.4. Ảnh hưởng của NTFS Permissions khi Copying or Moving Files and Folders
Quyền NTFS phụ thuộc vào cấu trúc NTFS để duy trì tính toàn
vẹn. Khi bạn moving or copying các tập tin hoặc thư mục từ vị trí ban
đầu, các quyền trên NTFS có thể bị ảnh hưởng, tùy thuộc vào tính chất của moving or copying. Quản trị mạng
Các quy luật sau đây áp dụng khi moving or copying các tập tin hoặc thư mục
vào một vị trí khác: ĐH Công Nghiệp TPHCM 8 Quản trị mạng
+ Khi moving or copying các tập tin hoặc thư mục vào một ổ đƿa
khác, tất cả các quyền NTFS bị mất. Nếu ổ đƿa đích là NTFS, các tập
tin hoặc thư mục của bạn sẽ kế thừa các quyền NTFS của thư mục đích.
+ Khi copying các tập tin hoặc thư mục vào một vị trí khác trên
cùng một ổ đƿa NTFS, quyền truy cập NTFS ban đầu bị mất. Các đối
tượng được hưởng các quyền NTFS cài đặt tại thư mục đích.
+ Khi moving các tập tin hoặc thư mục vào một vị trí khác trên
cùng một ổ đƿa NTFS, các quyền NTFS ban đầu được giữ lại cho các đối
tượng ở vị trí mới, nếu không có quyền được xác định tại vi trí mới.
Nếu vị trí mới có quyền NTFS được gán sẵn thì các đối tượng kế thừa
quyền từ thư mục cha ở vị trí mới.
4. Managing Permissions for Shared Resources
4.1. Shared Folder Permissions Quản trị mạng ĐH Công Nghiệp TPHCM 9 Quản trị mạng
Shared Folder Permissions chỉ áp dụng cho những người dùng truy
cập vào các thư mục trên mạng. Nó không ảnh hưởng đến những truy
cập vào nơi các thư mục được lưu trữ.
Cǜng giống như các quyền NTFS, có thể gán quyền truy cập thư
mục chia sẻ cho các đối tượng user, group, computer. Tuy nhiên, không
giống như các phân quyền NTFS, Shared Folder Permissions không thể
cấu hình cho từng tập tin hay thư mục bên trong thư mục được chia sẻ.
Shared Folder Permissions được thiết lập một lần cho các thư mục chia
sẻ và áp dụng cho toàn bộ nội dung của thư mục được chia sẻ trên mạng. Shared Folder Mô tả Permissions Read
Người dùng có thể xem tên thư mục và tập tin, xem dữ liệu tập tin
và các thuộc tính, các chương trình chạy và các
scrip, và điều hướng các cấu trúc thư mục trong thư mục chia sẻ. Change
Người dùng có thể tạo các thư mục, thêm các tập tin
vào thư mục, thay đổi dữ liệu trong file, thêm dữ liệu
vào các tập tin, thay đổi thuộc tính tập tin, xóa các
thư mục và tập tin, và thực hiện tất cả
các nhiệm vụ được cho phép bởi các quyền Read. Quản trị mạng Ful Control
Người dùng có thể thay đổi quyền truy cập tập tin,
thay đổi quyền sở hữu của các tập tin, và thực hiện
tất cả các nhiệm vụ được cho phép bởi quyền Change. Lưu ý:
+ Khi bạn gán quyền Ful Control trên thư mục chia sẻ, người
dùng có thể sửa đổi các quyền trên thư mục chia sẻ, trong đó bao gồm
việc loại bỏ tất cả người sử dụng, bao gồm cả bạn, từ danh sách phân
quyền cho thư mục chia sẻ. Trong hầu hết các trường hợp, quyền
Change được dùng thay vì Ful Control.
+ Khi chia sẻ một thư mục, mặc định quyền Read được gán cho mọi Group ĐH Công Nghiệp TPHCM 10