Ngô Văn CôngNgô Văn Công

QUẢN LÝ QUYỀN TRUY CẬP TÀI NGUYÊN

Nội dungNội dung

Các hệ thống file khác nhauCác hệ thống file khác nhau Quản lý thư mục chia sẻQuản lý thư mục chia sẻ Điều khiển truy cập vào các đối tượngĐiều khiển truy cập vào các đối tượng Tác động của kết hợp quyền chia sẻ thư Tác động của kết hợp quyền chia sẻ thư

mục và quyền ntfsmục và quyền ntfs Ủy quyền quản trị các đối tượngỦy quyền quản trị các đối tượng

Các hệ thống file trong win Các hệ thống file trong win 20032003

3 hệ thống file chính 3 hệ thống file chính FAT(File Allocation Table)FAT(File Allocation Table) FAT32FAT32 NTFSNTFS

Lựa chọn hệ thống file phụ thuộc vàoLựa chọn hệ thống file phụ thuộc vào hệ thống sẽ được dùng như thế nàohệ thống sẽ được dùng như thế nào Có dùng nhiều HDH khôngCó dùng nhiều HDH không Y/c bảo mậtY/c bảo mật

NTFS khuyến cáo nên chọnNTFS khuyến cáo nên chọn

FATFAT Dùng bởi MS-DOSDùng bởi MS-DOS Được hỗ trợ bởi tất cả phiên bản window Được hỗ trợ bởi tất cả phiên bản window

trước đótrước đó Các hạn chếCác hạn chế

tối đa 2GBtối đa 2GB Không có đặc tính bảo mật fileKhông có đặc tính bảo mật file Cách dùng không gian đĩa kémCách dùng không gian đĩa kém

FAT32FAT32 Một dẫn xuất của FATMột dẫn xuất của FAT Phân vùng có thể lên tới 2TBPhân vùng có thể lên tới 2TB Không cung cấp đặc tính bảo mật nâng Không cung cấp đặc tính bảo mật nâng

caocao

NTFSNTFS Giới thiệu trong WinNTGiới thiệu trong WinNT Hô trợ phân vùng từ 2TB đến 16TBHô trợ phân vùng từ 2TB đến 16TB Thuận lợiThuận lợi

linh hoạt và hiệu xuất tốt trên phân vùng lớnlinh hoạt và hiệu xuất tốt trên phân vùng lớn Hỗ trơ cho hệ thống ADHỗ trơ cho hệ thống AD Cấu hình các quyền bảo mật trên từng file Cấu hình các quyền bảo mật trên từng file

và thư mụcvà thư mục Tích hợp hỗ trợ nén và bảo mậtTích hợp hỗ trợ nén và bảo mật Cho phép cấu hình quotaCho phép cấu hình quota Báo cáo lỗi cho các hoạt động đĩaBáo cáo lỗi cho các hoạt động đĩa

Tạo và quản lý các thư mục Tạo và quản lý các thư mục chia sẻchia sẻ

Thư mục chia sẻThư mục chia sẻ Một nguồn dữ liệu sẵn sàng qua mạng cho Một nguồn dữ liệu sẵn sàng qua mạng cho

các client đã chứng thựccác client đã chứng thực Đặc tả các quyền cho hoạt động tạo, đọc, Đặc tả các quyền cho hoạt động tạo, đọc,

sửasửa Các group có thể tạo thư mục chia sẻCác group có thể tạo thư mục chia sẻ

AdministratorsAdministrators Server OperatorServer Operator Power UsersPower Users

Tạo và quản lý các thư mục Tạo và quản lý các thư mục chia sẻchia sẻ

2 cách hay dùng2 cách hay dùng Thông qua Window ExplorerThông qua Window Explorer Giao diện Computer Management ExplorerGiao diện Computer Management Explorer

Dùng Window ExplorerDùng Window Explorer Có thể tạo, chia sẻ Có thể tạo, chia sẻ

các thư mụccác thư mục Chia sẻ thông qua Chia sẻ thông qua

Properties-> Sharing Properties-> Sharing tabtab

(tt)(tt) Tên chia sẻ thư mục không cần phải là Tên chia sẻ thư mục không cần phải là

tên thư mụctên thư mục Biểu tượng bàn tay cho biết thư mục Biểu tượng bàn tay cho biết thư mục

chia sẻchia sẻ Các thư mục chia sẻ ẩn trong My Các thư mục chia sẻ ẩn trong My

Network Place và Network NeighborhoodNetwork Place và Network Neighborhood Đặt dấu ($) sau tên (Salary$)Đặt dấu ($) sau tên (Salary$)

Dùng Computer ManagementDùng Computer Management Cho phép chia sẻ và kiểm soát các thư mục Cho phép chia sẻ và kiểm soát các thư mục

trên máy tính cục bộ và từ xatrên máy tính cục bộ và từ xa Cho phép ngừng chia sẻCho phép ngừng chia sẻ Folder WizardFolder Wizard

Dùng để tạo các thư mục trong shared folderDùng để tạo các thư mục trong shared folder Cấu hình sẵnCấu hình sẵn

Tất cả user có quyền chỉ đọc(read-only)Tất cả user có quyền chỉ đọc(read-only) Administrator có toàn quyền, mọi user khác có quyền đọcAdministrator có toàn quyền, mọi user khác có quyền đọc Administrator có toàn quyền, mọi user khác có quyền đọc Administrator có toàn quyền, mọi user khác có quyền đọc

và ghivà ghi Chia sẻ tùy biến và các quyền thư mụcChia sẻ tùy biến và các quyền thư mục

Kiểm soát các truy cập vào Kiểm soát các truy cập vào Shared FoldersShared Folders

Kiểm soát bao gồmKiểm soát bao gồm Ai dùng các file chia sẻAi dùng các file chia sẻ File chia sẻ nào dùng tại thời điểm nàoFile chia sẻ nào dùng tại thời điểm nào

Các chức năng khácCác chức năng khác Hủy kết nối các user vào một chia sẻHủy kết nối các user vào một chia sẻ Gửi các thông điệp cảnh báo trên mạngGửi các thông điệp cảnh báo trên mạng

Quản lý các quyền thư mục Quản lý các quyền thư mục chia sẻchia sẻ

Mỗi thư mục chia sẻ có một Mỗi thư mục chia sẻ có một discretionary access control list(DACL) - discretionary access control list(DACL) - danh sách điều khiển truy cập tùy biếndanh sách điều khiển truy cập tùy biến Chứa danh sách user hoặc tham chiếu Chứa danh sách user hoặc tham chiếu

group vừa được cho quyền hay từ chối group vừa được cho quyền hay từ chối quyềnquyền

Mỗi tham chiếu là một access control Mỗi tham chiếu là một access control entry(ACE)entry(ACE)

Các quyền chỉ áp dụng cho user mạng, Các quyền chỉ áp dụng cho user mạng, không dùng cho user đăng nhập trực không dùng cho user đăng nhập trực tiếp từ máy cục bộtiếp từ máy cục bộ

Quản lý các quyền thư mục Quản lý các quyền thư mục chia sẻchia sẻ

Quản lý các quyền thư mục Quản lý các quyền thư mục chia sẻchia sẻ

Để từ chối truy cập đ/với user hay groupĐể từ chối truy cập đ/với user hay group Phải quy định rõ ràng quyền từ chối truy Phải quy định rõ ràng quyền từ chối truy

cập với mỗi cá nhâncập với mỗi cá nhân Default Permission: read cho group Default Permission: read cho group

everyoneeveryone Folder permission are inherited by all Folder permission are inherited by all

contained objectcontained object

Quản lý quyền truy cập và Quản lý quyền truy cập và NTFSNTFS

Quản lý quyền truy cậpQuản lý quyền truy cập Các quyền trong NTFSCác quyền trong NTFS

Điều khiển quyền truy cậpĐiều khiển quyền truy cập Sử dụng cơ chế object-based security Sử dụng cơ chế object-based security

cài đặt quyền truy cập vào các đối tượngcài đặt quyền truy cập vào các đối tượng Mỗi đối tượng trong AD có một bảng mô Mỗi đối tượng trong AD có một bảng mô

tả định nghĩa ai được truy cập vào đối tả định nghĩa ai được truy cập vào đối tượng và được làm gì.tượng và được làm gì.

Quyền truy cậpQuyền truy cập Security Principal: là các đối tượng như Security Principal: là các đối tượng như

user, group, computer được gán một user, group, computer được gán một SID(security identifier)SID(security identifier)

Điều khiển quyền truy cập vào đối Điều khiển quyền truy cập vào đối tượng: cấp hoặc từ chối quyền truy cập tượng: cấp hoặc từ chối quyền truy cập của các security principalcủa các security principal

Window server 2003 lưu một danh sách Window server 2003 lưu một danh sách quyền truy cập người dùng(ACL:access quyền truy cập người dùng(ACL:access control list) -> lưu giữ ai có thể truy cập control list) -> lưu giữ ai có thể truy cập đối tượng và có thể làm gì trên đối đối tượng và có thể làm gì trên đối tượng.tượng.

PermissionPermission Quyền truy cập định nghĩa kiểu truy cập Quyền truy cập định nghĩa kiểu truy cập

được cấp cho người dùng, nhóm, máy được cấp cho người dùng, nhóm, máy tính hay là đối tượng bất kỳtính hay là đối tượng bất kỳ

Các quyền này liên kết với các đối tượng Các quyền này liên kết với các đối tượng như tệp, thư mục, máy in…như tệp, thư mục, máy in…

Gán quyền này cho người dùng, nhóm Gán quyền này cho người dùng, nhóm trong AD hay trên máy cục bộtrong AD hay trên máy cục bộ

(tt)(tt)Standard Permissions Special Permissions

Thành viên nhóm và quyền Thành viên nhóm và quyền truy cậptruy cập

Một security principal có thể là thành Một security principal có thể là thành viên nhiều nhómviên nhiều nhóm

Mỗi nhóm cung cấp quyền truy cập khác Mỗi nhóm cung cấp quyền truy cập khác nhau và mức độ khác nhaunhau và mức độ khác nhau

Một security principal được thiết lập Một security principal được thiết lập quyền truy cập trên tài nguyên và anh ta quyền truy cập trên tài nguyên và anh ta thuộc một nhóm được thiết lập quyền thuộc một nhóm được thiết lập quyền khác -> quyền truy cập của security khác -> quyền truy cập của security principal sẽ là sự kết hợp 2 quyền trênprincipal sẽ là sự kết hợp 2 quyền trên

Sự kế thừa quyền truy cậpSự kế thừa quyền truy cập

NTFS File and Folder NTFS File and Folder PermissionsPermissions

File permissions Folder permissions

Full ControlModifyRead & ExecuteWriteReadList Folder Contents

Full ControlModifyRead & ExecuteWriteRead

Khi sao chép và di chuyểnKhi sao chép và di chuyển

Khi sao chép tập tin hay thư mục thì sẽ Khi sao chép tập tin hay thư mục thì sẽ kế thừa quyền của thư mục đíchkế thừa quyền của thư mục đích

Khi di chuyển file hay thư mục trong Khi di chuyển file hay thư mục trong cùng một phân vùng, vẫn dữ nguyên cùng một phân vùng, vẫn dữ nguyên quyềnquyền

Khi di chuyển sang phân vùng khác, nó Khi di chuyển sang phân vùng khác, nó kế thừa quyền của thư mục đích.kế thừa quyền của thư mục đích.

NTFS PartitionC:\

NTFS PartitionE:\

NTFS PartitionD:\

Move

Copy

CopyOr

Move

Kế thừa quyền NTFSKế thừa quyền NTFS

Access to FolderB

FolderA

FolderB

Inherit permissions

Read / Write

Prevent inheritance

No access to FolderB

FolderA

FolderB

FolderC

Read / Write

Một số lời khuyênMột số lời khuyên Cấp quyền cho nhóm cục bộ trong miền Cấp quyền cho nhóm cục bộ trong miền

hơn là cho từng usershơn là cho từng users Nhóm tài nguyên lại để làm đơn giản Nhóm tài nguyên lại để làm đơn giản

công tác quản lýcông tác quản lý Cấp quyền đọc và chạy cho thư mục Cấp quyền đọc và chạy cho thư mục

chứa ứng dụngchứa ứng dụng Cấp quyền đọc, ghi cho thư mục dữ liệuCấp quyền đọc, ghi cho thư mục dữ liệu

Quản lý quyền truy cập NTFSQuản lý quyền truy cập NTFS

Quyền truy cập đặc biệtQuyền truy cập đặc biệt

Effective PermissionEffective Permission Quyền tổng quát mà một security principal có Quyền tổng quát mà một security principal có

trên một đối tượng, bao gồm quyền thành viên trên một đối tượng, bao gồm quyền thành viên nhóm, quyền kế thừa.nhóm, quyền kế thừa.

Kết hợp chia sẻ thư mục và Kết hợp chia sẻ thư mục và các quyền NTFScác quyền NTFS

Các quyền NTFS có thể được kết hợp Các quyền NTFS có thể được kết hợp với các quyền chia sẻvới các quyền chia sẻ Khi truy cập dùng chia sẻ thông qua mạng, Khi truy cập dùng chia sẻ thông qua mạng,

nếu cả 2 được áp dụng, sử dụng quyền hạn nếu cả 2 được áp dụng, sử dụng quyền hạn chế nhấtchế nhất

Khi truy cập một file cục bộ, chỉ áp dụng Khi truy cập một file cục bộ, chỉ áp dụng quyền NTFSquyền NTFS

Chuyển từ FAT-> NTFSChuyển từ FAT-> NTFS Để bào mật cao nhất, các phân vùng và ổ Để bào mật cao nhất, các phân vùng và ổ

đĩa phải cấu hình dùng NTFSđĩa phải cấu hình dùng NTFS Ứng dụng dòng lệnh CONVERT chuyển Ứng dụng dòng lệnh CONVERT chuyển

từ FAT/FAT32 -> NTFStừ FAT/FAT32 -> NTFS Tất cả các file và thư mục được giữ Tất cả các file và thư mục được giữ

nguyênnguyên CONVERT không thể chuyển NTFS-CONVERT không thể chuyển NTFS-

>FAT/FAT32>FAT/FAT32

Ủy quyền là gìỦy quyền là gì Gán quyền điều khiển Gán quyền điều khiển

OU cho người dùng OU cho người dùng hay nhóm kháchay nhóm khác

Ủy quyền có tác dụngỦy quyền có tác dụng Phân tán công việc Phân tán công việc

quản trịquản trị Giúp các người dùng, Giúp các người dùng,

nhóm nhiều quyền nhóm nhiều quyền điều khiển trên tài điều khiển trên tài nguyên cục bộnguyên cục bộ

Giảm số lượng tài Giảm số lượng tài khoản có quyền quản khoản có quyền quản trị trong toàn miềntrị trong toàn miền

Domain

OU1

OU2

Admin2

Admin1

Admin3

OU3

Wizard Ủy quyền Wizard Ủy quyền Dùng wizard ủy quyền điều khiển để chỉ Dùng wizard ủy quyền điều khiển để chỉ

địnhđịnh Người dùng, nhóm mà bạn muốn ủy quyềnNgười dùng, nhóm mà bạn muốn ủy quyền OU hay các đối tượng mà bạn muốn người OU hay các đối tượng mà bạn muốn người

dùng hay nhóm được cấp quyền điều khiểndùng hay nhóm được cấp quyền điều khiển Công việc mà người dùng hay nhóm có thể Công việc mà người dùng hay nhóm có thể

thực hiệnthực hiện Tự động gán cho người dùng quyền phù Tự động gán cho người dùng quyền phù

hợp để truy cập hay là thay đổi đối hợp để truy cập hay là thay đổi đối tượngtượng

Users Group

Sales Group

User1

Users groupWrite for Folder1Sales group Read for Folder1

1

Users groupRead for Folder1Sales groupWrite for Folder2

2

Users groupModify for Folder1File2 should only be accessible to Sales group and only with Read permission

3

NTFS Partition

File2

Folder1

Folder2

File1

Effects of Combined Shared Folder and NTFS Permissions

Users

Read

Change

FC

File1

File2

Public

NTFS Volume

Practice: Determining Effective NTFS Practice: Determining Effective NTFS and Shared Folder Permissionsand Shared Folder Permissions

In this practice, you will: In this practice, you will: Determine effective NTFS Determine effective NTFS

permissionspermissionsDetermine shared folder Determine shared folder

permissionspermissionsNTFS Volume

Users

Users Group

FC

User3 User3FC

User2 User2FC

User1 User1FC

1NTFS Volume

Data

Sales Group

R

Pubs

HR

Sales Group SalesFC

2