Lecture1 accesscontrol newl
Transcript of Lecture1 accesscontrol newl
Ngô Văn CôngNgô Văn Công
QUẢN LÝ QUYỀN TRUY CẬP TÀI NGUYÊN
Nội dungNội dung
Các hệ thống file khác nhauCác hệ thống file khác nhau Quản lý thư mục chia sẻQuản lý thư mục chia sẻ Điều khiển truy cập vào các đối tượngĐiều khiển truy cập vào các đối tượng Tác động của kết hợp quyền chia sẻ thư Tác động của kết hợp quyền chia sẻ thư
mục và quyền ntfsmục và quyền ntfs Ủy quyền quản trị các đối tượngỦy quyền quản trị các đối tượng
Các hệ thống file trong win Các hệ thống file trong win 20032003
3 hệ thống file chính 3 hệ thống file chính FAT(File Allocation Table)FAT(File Allocation Table) FAT32FAT32 NTFSNTFS
Lựa chọn hệ thống file phụ thuộc vàoLựa chọn hệ thống file phụ thuộc vào hệ thống sẽ được dùng như thế nàohệ thống sẽ được dùng như thế nào Có dùng nhiều HDH khôngCó dùng nhiều HDH không Y/c bảo mậtY/c bảo mật
NTFS khuyến cáo nên chọnNTFS khuyến cáo nên chọn
FATFAT Dùng bởi MS-DOSDùng bởi MS-DOS Được hỗ trợ bởi tất cả phiên bản window Được hỗ trợ bởi tất cả phiên bản window
trước đótrước đó Các hạn chếCác hạn chế
tối đa 2GBtối đa 2GB Không có đặc tính bảo mật fileKhông có đặc tính bảo mật file Cách dùng không gian đĩa kémCách dùng không gian đĩa kém
FAT32FAT32 Một dẫn xuất của FATMột dẫn xuất của FAT Phân vùng có thể lên tới 2TBPhân vùng có thể lên tới 2TB Không cung cấp đặc tính bảo mật nâng Không cung cấp đặc tính bảo mật nâng
caocao
NTFSNTFS Giới thiệu trong WinNTGiới thiệu trong WinNT Hô trợ phân vùng từ 2TB đến 16TBHô trợ phân vùng từ 2TB đến 16TB Thuận lợiThuận lợi
linh hoạt và hiệu xuất tốt trên phân vùng lớnlinh hoạt và hiệu xuất tốt trên phân vùng lớn Hỗ trơ cho hệ thống ADHỗ trơ cho hệ thống AD Cấu hình các quyền bảo mật trên từng file Cấu hình các quyền bảo mật trên từng file
và thư mụcvà thư mục Tích hợp hỗ trợ nén và bảo mậtTích hợp hỗ trợ nén và bảo mật Cho phép cấu hình quotaCho phép cấu hình quota Báo cáo lỗi cho các hoạt động đĩaBáo cáo lỗi cho các hoạt động đĩa
Tạo và quản lý các thư mục Tạo và quản lý các thư mục chia sẻchia sẻ
Thư mục chia sẻThư mục chia sẻ Một nguồn dữ liệu sẵn sàng qua mạng cho Một nguồn dữ liệu sẵn sàng qua mạng cho
các client đã chứng thựccác client đã chứng thực Đặc tả các quyền cho hoạt động tạo, đọc, Đặc tả các quyền cho hoạt động tạo, đọc,
sửasửa Các group có thể tạo thư mục chia sẻCác group có thể tạo thư mục chia sẻ
AdministratorsAdministrators Server OperatorServer Operator Power UsersPower Users
Tạo và quản lý các thư mục Tạo và quản lý các thư mục chia sẻchia sẻ
2 cách hay dùng2 cách hay dùng Thông qua Window ExplorerThông qua Window Explorer Giao diện Computer Management ExplorerGiao diện Computer Management Explorer
Dùng Window ExplorerDùng Window Explorer Có thể tạo, chia sẻ Có thể tạo, chia sẻ
các thư mụccác thư mục Chia sẻ thông qua Chia sẻ thông qua
Properties-> Sharing Properties-> Sharing tabtab
(tt)(tt) Tên chia sẻ thư mục không cần phải là Tên chia sẻ thư mục không cần phải là
tên thư mụctên thư mục Biểu tượng bàn tay cho biết thư mục Biểu tượng bàn tay cho biết thư mục
chia sẻchia sẻ Các thư mục chia sẻ ẩn trong My Các thư mục chia sẻ ẩn trong My
Network Place và Network NeighborhoodNetwork Place và Network Neighborhood Đặt dấu ($) sau tên (Salary$)Đặt dấu ($) sau tên (Salary$)
Dùng Computer ManagementDùng Computer Management Cho phép chia sẻ và kiểm soát các thư mục Cho phép chia sẻ và kiểm soát các thư mục
trên máy tính cục bộ và từ xatrên máy tính cục bộ và từ xa Cho phép ngừng chia sẻCho phép ngừng chia sẻ Folder WizardFolder Wizard
Dùng để tạo các thư mục trong shared folderDùng để tạo các thư mục trong shared folder Cấu hình sẵnCấu hình sẵn
Tất cả user có quyền chỉ đọc(read-only)Tất cả user có quyền chỉ đọc(read-only) Administrator có toàn quyền, mọi user khác có quyền đọcAdministrator có toàn quyền, mọi user khác có quyền đọc Administrator có toàn quyền, mọi user khác có quyền đọc Administrator có toàn quyền, mọi user khác có quyền đọc
và ghivà ghi Chia sẻ tùy biến và các quyền thư mụcChia sẻ tùy biến và các quyền thư mục
Kiểm soát các truy cập vào Kiểm soát các truy cập vào Shared FoldersShared Folders
Kiểm soát bao gồmKiểm soát bao gồm Ai dùng các file chia sẻAi dùng các file chia sẻ File chia sẻ nào dùng tại thời điểm nàoFile chia sẻ nào dùng tại thời điểm nào
Các chức năng khácCác chức năng khác Hủy kết nối các user vào một chia sẻHủy kết nối các user vào một chia sẻ Gửi các thông điệp cảnh báo trên mạngGửi các thông điệp cảnh báo trên mạng
Quản lý các quyền thư mục Quản lý các quyền thư mục chia sẻchia sẻ
Mỗi thư mục chia sẻ có một Mỗi thư mục chia sẻ có một discretionary access control list(DACL) - discretionary access control list(DACL) - danh sách điều khiển truy cập tùy biếndanh sách điều khiển truy cập tùy biến Chứa danh sách user hoặc tham chiếu Chứa danh sách user hoặc tham chiếu
group vừa được cho quyền hay từ chối group vừa được cho quyền hay từ chối quyềnquyền
Mỗi tham chiếu là một access control Mỗi tham chiếu là một access control entry(ACE)entry(ACE)
Các quyền chỉ áp dụng cho user mạng, Các quyền chỉ áp dụng cho user mạng, không dùng cho user đăng nhập trực không dùng cho user đăng nhập trực tiếp từ máy cục bộtiếp từ máy cục bộ
Quản lý các quyền thư mục Quản lý các quyền thư mục chia sẻchia sẻ
Quản lý các quyền thư mục Quản lý các quyền thư mục chia sẻchia sẻ
Để từ chối truy cập đ/với user hay groupĐể từ chối truy cập đ/với user hay group Phải quy định rõ ràng quyền từ chối truy Phải quy định rõ ràng quyền từ chối truy
cập với mỗi cá nhâncập với mỗi cá nhân Default Permission: read cho group Default Permission: read cho group
everyoneeveryone Folder permission are inherited by all Folder permission are inherited by all
contained objectcontained object
Quản lý quyền truy cập và Quản lý quyền truy cập và NTFSNTFS
Quản lý quyền truy cậpQuản lý quyền truy cập Các quyền trong NTFSCác quyền trong NTFS
Điều khiển quyền truy cậpĐiều khiển quyền truy cập Sử dụng cơ chế object-based security Sử dụng cơ chế object-based security
cài đặt quyền truy cập vào các đối tượngcài đặt quyền truy cập vào các đối tượng Mỗi đối tượng trong AD có một bảng mô Mỗi đối tượng trong AD có một bảng mô
tả định nghĩa ai được truy cập vào đối tả định nghĩa ai được truy cập vào đối tượng và được làm gì.tượng và được làm gì.
Quyền truy cậpQuyền truy cập Security Principal: là các đối tượng như Security Principal: là các đối tượng như
user, group, computer được gán một user, group, computer được gán một SID(security identifier)SID(security identifier)
Điều khiển quyền truy cập vào đối Điều khiển quyền truy cập vào đối tượng: cấp hoặc từ chối quyền truy cập tượng: cấp hoặc từ chối quyền truy cập của các security principalcủa các security principal
Window server 2003 lưu một danh sách Window server 2003 lưu một danh sách quyền truy cập người dùng(ACL:access quyền truy cập người dùng(ACL:access control list) -> lưu giữ ai có thể truy cập control list) -> lưu giữ ai có thể truy cập đối tượng và có thể làm gì trên đối đối tượng và có thể làm gì trên đối tượng.tượng.
PermissionPermission Quyền truy cập định nghĩa kiểu truy cập Quyền truy cập định nghĩa kiểu truy cập
được cấp cho người dùng, nhóm, máy được cấp cho người dùng, nhóm, máy tính hay là đối tượng bất kỳtính hay là đối tượng bất kỳ
Các quyền này liên kết với các đối tượng Các quyền này liên kết với các đối tượng như tệp, thư mục, máy in…như tệp, thư mục, máy in…
Gán quyền này cho người dùng, nhóm Gán quyền này cho người dùng, nhóm trong AD hay trên máy cục bộtrong AD hay trên máy cục bộ
(tt)(tt)Standard Permissions Special Permissions
Thành viên nhóm và quyền Thành viên nhóm và quyền truy cậptruy cập
Một security principal có thể là thành Một security principal có thể là thành viên nhiều nhómviên nhiều nhóm
Mỗi nhóm cung cấp quyền truy cập khác Mỗi nhóm cung cấp quyền truy cập khác nhau và mức độ khác nhaunhau và mức độ khác nhau
Một security principal được thiết lập Một security principal được thiết lập quyền truy cập trên tài nguyên và anh ta quyền truy cập trên tài nguyên và anh ta thuộc một nhóm được thiết lập quyền thuộc một nhóm được thiết lập quyền khác -> quyền truy cập của security khác -> quyền truy cập của security principal sẽ là sự kết hợp 2 quyền trênprincipal sẽ là sự kết hợp 2 quyền trên
Sự kế thừa quyền truy cậpSự kế thừa quyền truy cập
NTFS File and Folder NTFS File and Folder PermissionsPermissions
File permissions Folder permissions
Full ControlModifyRead & ExecuteWriteReadList Folder Contents
Full ControlModifyRead & ExecuteWriteRead
Khi sao chép và di chuyểnKhi sao chép và di chuyển
Khi sao chép tập tin hay thư mục thì sẽ Khi sao chép tập tin hay thư mục thì sẽ kế thừa quyền của thư mục đíchkế thừa quyền của thư mục đích
Khi di chuyển file hay thư mục trong Khi di chuyển file hay thư mục trong cùng một phân vùng, vẫn dữ nguyên cùng một phân vùng, vẫn dữ nguyên quyềnquyền
Khi di chuyển sang phân vùng khác, nó Khi di chuyển sang phân vùng khác, nó kế thừa quyền của thư mục đích.kế thừa quyền của thư mục đích.
NTFS PartitionC:\
NTFS PartitionE:\
NTFS PartitionD:\
Move
Copy
CopyOr
Move
Kế thừa quyền NTFSKế thừa quyền NTFS
Access to FolderB
FolderA
FolderB
Inherit permissions
Read / Write
Prevent inheritance
No access to FolderB
FolderA
FolderB
FolderC
Read / Write
Một số lời khuyênMột số lời khuyên Cấp quyền cho nhóm cục bộ trong miền Cấp quyền cho nhóm cục bộ trong miền
hơn là cho từng usershơn là cho từng users Nhóm tài nguyên lại để làm đơn giản Nhóm tài nguyên lại để làm đơn giản
công tác quản lýcông tác quản lý Cấp quyền đọc và chạy cho thư mục Cấp quyền đọc và chạy cho thư mục
chứa ứng dụngchứa ứng dụng Cấp quyền đọc, ghi cho thư mục dữ liệuCấp quyền đọc, ghi cho thư mục dữ liệu
Quản lý quyền truy cập NTFSQuản lý quyền truy cập NTFS
Quyền truy cập đặc biệtQuyền truy cập đặc biệt
Effective PermissionEffective Permission Quyền tổng quát mà một security principal có Quyền tổng quát mà một security principal có
trên một đối tượng, bao gồm quyền thành viên trên một đối tượng, bao gồm quyền thành viên nhóm, quyền kế thừa.nhóm, quyền kế thừa.
Kết hợp chia sẻ thư mục và Kết hợp chia sẻ thư mục và các quyền NTFScác quyền NTFS
Các quyền NTFS có thể được kết hợp Các quyền NTFS có thể được kết hợp với các quyền chia sẻvới các quyền chia sẻ Khi truy cập dùng chia sẻ thông qua mạng, Khi truy cập dùng chia sẻ thông qua mạng,
nếu cả 2 được áp dụng, sử dụng quyền hạn nếu cả 2 được áp dụng, sử dụng quyền hạn chế nhấtchế nhất
Khi truy cập một file cục bộ, chỉ áp dụng Khi truy cập một file cục bộ, chỉ áp dụng quyền NTFSquyền NTFS
Chuyển từ FAT-> NTFSChuyển từ FAT-> NTFS Để bào mật cao nhất, các phân vùng và ổ Để bào mật cao nhất, các phân vùng và ổ
đĩa phải cấu hình dùng NTFSđĩa phải cấu hình dùng NTFS Ứng dụng dòng lệnh CONVERT chuyển Ứng dụng dòng lệnh CONVERT chuyển
từ FAT/FAT32 -> NTFStừ FAT/FAT32 -> NTFS Tất cả các file và thư mục được giữ Tất cả các file và thư mục được giữ
nguyênnguyên CONVERT không thể chuyển NTFS-CONVERT không thể chuyển NTFS-
>FAT/FAT32>FAT/FAT32
Ủy quyền là gìỦy quyền là gì Gán quyền điều khiển Gán quyền điều khiển
OU cho người dùng OU cho người dùng hay nhóm kháchay nhóm khác
Ủy quyền có tác dụngỦy quyền có tác dụng Phân tán công việc Phân tán công việc
quản trịquản trị Giúp các người dùng, Giúp các người dùng,
nhóm nhiều quyền nhóm nhiều quyền điều khiển trên tài điều khiển trên tài nguyên cục bộnguyên cục bộ
Giảm số lượng tài Giảm số lượng tài khoản có quyền quản khoản có quyền quản trị trong toàn miềntrị trong toàn miền
Domain
OU1
OU2
Admin2
Admin1
Admin3
OU3
Wizard Ủy quyền Wizard Ủy quyền Dùng wizard ủy quyền điều khiển để chỉ Dùng wizard ủy quyền điều khiển để chỉ
địnhđịnh Người dùng, nhóm mà bạn muốn ủy quyềnNgười dùng, nhóm mà bạn muốn ủy quyền OU hay các đối tượng mà bạn muốn người OU hay các đối tượng mà bạn muốn người
dùng hay nhóm được cấp quyền điều khiểndùng hay nhóm được cấp quyền điều khiển Công việc mà người dùng hay nhóm có thể Công việc mà người dùng hay nhóm có thể
thực hiệnthực hiện Tự động gán cho người dùng quyền phù Tự động gán cho người dùng quyền phù
hợp để truy cập hay là thay đổi đối hợp để truy cập hay là thay đổi đối tượngtượng
Users Group
Sales Group
User1
Users groupWrite for Folder1Sales group Read for Folder1
1
Users groupRead for Folder1Sales groupWrite for Folder2
2
Users groupModify for Folder1File2 should only be accessible to Sales group and only with Read permission
3
NTFS Partition
File2
Folder1
Folder2
File1
Effects of Combined Shared Folder and NTFS Permissions
Users
Read
Change
FC
File1
File2
Public
NTFS Volume
Practice: Determining Effective NTFS Practice: Determining Effective NTFS and Shared Folder Permissionsand Shared Folder Permissions
In this practice, you will: In this practice, you will: Determine effective NTFS Determine effective NTFS
permissionspermissionsDetermine shared folder Determine shared folder
permissionspermissionsNTFS Volume
Users
Users Group
FC
User3 User3FC
User2 User2FC
User1 User1FC
1NTFS Volume
Data
Sales Group
R
Pubs
HR
Sales Group SalesFC
2