Giáo trình Quản trị mạng Windows Server 2003 - Chương 4: Quyền người dùng
3. Cấp quyền truy cập mọi tập tin điều hành ởquyền READ cho nhóm Users và
nhóm Administrators.
4. Hướng dẫn các user dưới quyền sửdụng chung 1 máy tính ấn định quyền truy
cập các tập tin và thưmục do họsởhữu.
5. Cấp quyền ởmức độREAD cho mọi tài khoản người dùng kểcả
Administrator. Bằng cách này sẽngăn không cho người dùng hay Virus phá hoại
hoặc sửa đổi tập tin chương trình (file System).
Ngoài ra hãy cấp cho group Admin quyền truy cập đặc biệt ớcấp độchange
permission. Sao cho thành viên của nhóm này có thểtựcấp cho mình quyền ít
hạn chếhơn khi cần có sựthay đổi bắt buộc trong công việc.
6. Dùng biến %username% tạo thưmục cá nhân, giúp đơn giản hóa công tác
quản trịbằng cách tự động cấp cho mỗi người dùng quyền FC khi họtạo ra thư
mục đó.
7. Cấp cho nhóm Creator Owner quyền truy cập thưmục Data ởcấp độFC ,như
thếngười dùng chỉcó quyền FC đối với những thưmục hay tập tin mà họtạo ra
trong thưmục Data.
23 trang |
Chia sẻ: aloso | Lượt xem: 2056 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Giáo trình Quản trị mạng Windows Server 2003 - Chương 4: Quyền người dùng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Chương 4
QUYỀN NGƯỜI DÙNG
Người dùng có các loại quyền sau:
User Right
Permission
I. Quyền User Right
1. Định nghĩa:
Quyền User Right là quyền cấp cho user thực thi một số tác vụ trên hệ thống
tức là một số quyền mà user được sử dụng trên server.
2. Một số quyền User Right
Để biết quyền User Right có thể cấp cho người dùng
là những quyền nào ta mở như sau:
Start/ Administrative Tool/ Domain Security
Policy/ Local Policy/ User Rights Assignment
Trên màn hình bên phải là các quyền User Rights sẽ cấp cho người dùng.
Biên soạn: Võ Khôi Thọ Trang: 1
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Chức năng của một số quyền:
+ Access this computer from the network: Quyền được truy cập vào
server thông qua mạng.
+ Act as part of the operating system: Quyền được thi hành một số phần
của hệ điều hành.
+ Add workstation to domain: Quyền được thêm trạm làm việc vào
domain.
+ Allow logon locally: Quyền được đăng nhập cục bộ.
+ Allow log on through terminal Services: Quyền đăng nhập thông qua
dịch vụ Terminal.
+ Back up files and directories: Quyền sao lưu files và thư mục
+ Change the system time: Quyền thay đổi thời gian hệ thống.
+ Deny log on locally: không được quyền đăng nhập cục bộ
+ Shut down the system: Quyền tắt máy.
Một người dùng khi được cấp quyền User Rights thì chỉ được thực hiện chức
năng được cấp ngoài ra không được làm bất cứ việc gì khác
Ví dụ: Một người được cấp quyền log on locally thì chỉ có thể mở máy ngoài ra
không có việc gì khác kể cả việc tắt máy cũng không được
3. Cách cấp quyền User Rights
Giả sử người dùng u1 không được cấp quyền Logon locally để logon nếu vẫn
dùng tài khoản u1 để đăng nhập sẽ báo lỗi như sau:
Đăng nhập bằng tài khoản
u1 khi chưa được cấp
quyền logon locally
Biên soạn: Võ Khôi Thọ Trang: 2
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Thông báo của hệ thống là
không thể log on
Để cấp quyền log on locally ta thực hiện như sau:
Trên màn hình Domain Security Policy /Local Policies /User Rights
Assignment nhấp đúp vào mục Allow logon locally
Biên soạn: Võ Khôi Thọ Trang: 3
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Trên màn hình Allow log on locally Properties đánh dấu chọn mục Define
these policy setting sau đó nhấp nút add xuất hiện màn hình Add User or
Group
Trên hộp thoại Add User or Group nhấp nút Browse làm xuất hiện hộp thoại
Select Users, Computers, or Groups trên hộp thoại này nhấp nút Advanced rồi
nhấp Find, nhấp chọn u1 trong hộp search results:
Biên soạn: Võ Khôi Thọ Trang: 4
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Nhấp OK 3 lần để áp dụng và đóng hộp thoại này và trở về hộp thoại Allow
log on locally properties
Nhấp OK để kết thúc quá trình cấp quyền và đóng hộp thoại Allow log on
locally properties.
Làm tương tự để Add u1 vào Domain Controller Security Policy \Local Policy
\User Rights Assignment \Allow log on locally
Kiểm tra kết quả
+ Log off server và đăng nhập với tài khoản u1 và đăng nhập thành công.
+ Thử tạo tài khoản mới: trên màn hình Active Directory Users and
Computers khi đăng nhập bằng u1 nhấp phải chuột vào OU User ta
không thấy mục New để tạo các đối tượng mới như vậy là không tạo
được gì
Biên soạn: Võ Khôi Thọ Trang: 5
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Trên menu thứ cấp này không có
mục New để tạo các đối tượng mới
Kể cả khi u1 tắt máy cũng không được
Bằng cách tương tự thử lại với các quyền khác và với các Users khác
nhau
Biên soạn: Võ Khôi Thọ Trang: 6
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
II. QUYỀN PERMISSION
Người dùng có 2 loại quyền truy cập đó là: Share và NTFS
Share: cấp quyền truy cập thư mục dùng chung
NTFS: cấp quyền truy cập cho thư mục và tập tin
1. Một số đặc điểm quyền NTFS:
Quyền NTFS chỉ có thể được cấp trên volume được định dạng là NTFS.
Quyền truy cập NTFS cung cấp khả năng bảo mật cao hơn so với FAT và FAT32, vì
chúng áp dụng cho thư mục và cho từng tập tin cá thể.
Quyền truy cập tập tin NTFS áp dụng cho cả những ngừơi làm việc tại máy tính lưu trữ
dự liệu, lẫn người dùng truy cập thư mục hoặc tập tin qua mạng bằng cách kết nối tới
thư mục dùng chung.
Có thể dùng quyền truy cập NTFS để bảo vệ tài nguyên khỏi người dùng có thể truy cập
máy tính bằng 2 phương pháp sau:
+ Đăng nhập Cục bộ, ngồi ngay trước máy tính có tài nguyên đang thường trú.
+ Kết nối từ xa tới thư mục dùng chung.
Có thể áp đặt nhiều cấp độ cho phép truy cập lên từng tập tin trong một thư mục.
Ví dụ:
Cho phép người này đọc và thay đổi nội dung của tập tin
Cho phép ngừoi kia chỉ được quyền đọc tập tin và không cho bất cứ ai trong
nhóm người còn lại được truy cập dưới bất kì hình thức nào.
Chú ý:
Khi một volume được định dạng NTFS thì Permission mặc định của Volume đó sẽ là
group Everyone và có quyền Full ConTrol.
Trên Volume NTFS khi bạn tạo 1 thư mục thì bạn sẽ sở hữu thư mục đó. Nếu người
này thuộc group Administrator thì toàn bộ administrator sẽ sở hữu thư mục này.
2. Cách áp dụng quyền NTFS
Quyền Truy Cập NTFS được cấp cho tài khoản người dùng hoặc cho tài
khoản Group.
Ngừơi dùng có thể được cấp quyền truy cập 1 cách trực tiếp hoặc theo
nhóm mà người này là thành viên trong nhóm. Nên cấp quyền truy cập thông
qua nhóm.
Biên soạn: Võ Khôi Thọ Trang: 7
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Khác với quyền truy cập thư mục dùng chung, quyền truy cập NTFS bảo vệ tài
nguyên cục bộ tức là có thể bảo vệ tài nguyên theo cấu trúc phân tầng trên
máy tính mà người dùng đó đăng nhập cục bộ.
Chú ý:
Nếu người dùng được cấp quyền Read với thư mục và quyền Write với tập tin
trong thư mục đó thì người dùng vẫn có thể thay đổi nội dung của tập tin
nhưng không thể tạo tập tin mới trong thư mục.
kết luận:
Quyền truy cập NTFS cung cấp mức độ bảo mật cao cho thư mục và từng tập
tin trên những Volume đã được định dạng NTFS.
Quyền truy cập NTFS áp dụng cả cho những người làm việc tại máy tính có
lưu trữ tài nguyên và những người truy cập tài nguyên qua mạng.
Quyền truy cập NTFS có thể cấp cho người dùng hoặc nhóm.
Tương tự với quyền truy cập thư mục dung chung, cấp độ truy cập hiệu lực
của ngừơi dùng là sự kết hợp với cá nhân hoặc group mà ngừoi đó là thành
viên.
Quyền truy cập NTFS có thể được cấp cho các thư mục và tài nguyên khác
trong hệ thống mạng phân tầng.
Quyền truy cập NTFS được ưu tiên trước các quyền truy cập khác áp cho thư
mục hay tập tin đó.
3. Kết hợp giữa Share và NTFS
So sánh ưu nhược điểm của quyền Share và quyền NTFS
3.1. Quyền Share
Muốn cho phép người dùng có thể truy cập tài nguyên qua mạng thì các thư mục
chứa tài nguyên phải được share.
Biên soạn: Võ Khôi Thọ Trang: 8
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Khi một thư mục đã được share, bạn có thể bảo vệ thư mục bằng cách ấn định
quyền truy cập thư mục dùng chung cho người sử dụng hoặc nhóm sử dụng
theo mục đích thích hợp mà bạn đề ra.
Tuy nhiên, quyền truy cập thư mục dùng chung sẽ cung cấp mức độ bảo mật giới
hạn vì các lí do sau đây:
+ Cho phép người dùng truy cập mọi thư mục và tập tin trong phạm vi thư
mục dùng chung với cùng cấp độ.
+ Không có hiệu lực khi người dùng ngồi ngay trước máy tính chứa tài
nguyên và tìm cách truy cập tài nguyên trên máy này.
+ Không thể dùng để bảo vệ từng cá thể tập tin.
3.2. Quyền NTFS
Nếu thư mục dùng chung thường trú trên một volume NTFS, có thể dùng quyền
truy cập NTFS để bảo vệ thư mục và tập tin.
Mức độ bảo mật thư mục và tập tin cao nhất bằng cách kết hợp quyền truy cập
NTFS với quyền truy cập thư mục dùng chung….
Cách cấp quyền NTFS
Nhấp phải chuột vào Folder hoặc File rồi chọn Properties rồi nhấp thẻ Security
Biên soạn: Võ Khôi Thọ Trang: 9
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Tại mục Group or User names:
Chứa người dùng và nhóm được
cấp quyền
Tại mục Permission: Là các quyền có
thể cấp cho người dùng hoặc nhóm
Tương ứng với các quyền là 2 cột
Allow là cho phép và Deny là cấm
Ngoài ra
để cấp
quyền truy
cập đặc
biệt nhấp
nút
Advanced
Biên soạn: Võ Khôi Thọ Trang: 10
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Trên màn hình Advanced
Security Setting bỏ dấu
check tại Allow inheritable
permissions from the parent
to propagate to this object
and all child objects. Include
these with entries explcitly
defined here làm xuất hiện
màn hình Security như sau:
Trên màn hình này nếu nhấp nút Copy tức là chúng ta sẽ copy các quyền đã cấp
cho thư mục Parent xuống cho các thư mục con theo cấu trúc phân tầng.
Nếu nhấp nút Remove chúng ta sẽ loại bỏ các quyền đã cấp và cấp lại quyền
khác cho các thư mục con theo cấu trúc phân tầng.
Nhấp nút Copy và nhấp OK để trở lại
màn hình thuộc tính của thư mục.
Trên màn hình này giờ muốn cấp
quyền cho người dùng nào chỉ việc
nhấp nút Add và chọn.
Sau đó trong mục Permission nhấp
chọn quyền thích hợp rồi nhấp OK để
áp dụng và đóng hộp thoại.
3.3. Kết hợp Share và NTFS
Cách dễ dàng nhất để kết hợp quyền
truy cập thư mục dùng chung với
quyền truy cập NTFS là:
+ Với Share giữ nguyên default Full
Control gán cho nhóm Everyone
+ Sau đó cấp quyền truy cập NTFS
cho tài khoản người dùng hoặc tài
khoản Group cụ thể để truy cập
thư mực và tập tin chứa trong hệ
thống phân tầng của forlder share
Permiss.
Khi kết hợp quyền truy cập NTFS với quyền truy cập share thì cấp độ truy cập
giới hạn nhất luôn là cấp độ hiệu lực.
Biên soạn: Võ Khôi Thọ Trang: 11
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Ví dụ :
Nếu được cấp quyền truy cập với mức độ Full Control cho 1 forlder, đồng thời lại
được cấp quyền truy cập NTFS ở cấp độ Read cho cùng thư mục đó, thì mức độ
hiệu lực sẽ là Read vì đây là cấp độ giới hạn nhất.
Xét 1 ví dụ cụ thể sau:
Trên Server tạo thư mục dungchung, trên thư mục dùng chung tạo các file data1
và data2
Tạo các User: u1, u2
Cấp quyền truy cập cho u1 như sau:
+ Truy cập thư mục dungchung với quyền Full Control
+ Quyền NTFS là Full Control với file data1
+ Quyền NTFS là Read với file data2
Cấp quyền truy cập cho u2 như sau:
+ Truy cập thư mục dungchung với quyền Read
+ Quyền NTFS là Full với file data1.
+ Quyền NTFS là Read với file data2.
Lúc này cấp độ hiệu lực của u1 là: Full với file data1 và Read với file data2
` dungchung
Data1 Data2
Share Full cho u1
Share Read cho u2
NTFS cho u1 - Full
NTFS cho u2 - Full
NTFS cho u1 - Read
NTFS cho u2 - Read
Cấp độ hiệu
lực của u2 là:
Read với file
data1 và
Read với file
data2
Biên soạn: Võ Khôi Thọ Trang: 12
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Cách thực hiện như sau:
Trên Server:
Cấp quyền truy cập thư mục
Dungchung cho u1 là Full Control
Trên màn hình Permission: Remove
nhóm Everyone và Add vào u1
Trong khung Permission nhấp chọn vào
ô Allow tương ứng với Full rồi nhấp OK
để áp dụng và đóng hộp thoại
Permission
Cấp quyền truy cập thư mục
Dungchung cho u2 là Read:
Làm tương tự như đã cấp quyền
cho u1.
Sau khi cấp quyền cho u2 màn
hình Share Permission như minh
họa
Biên soạn: Võ Khôi Thọ Trang: 13
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Tiếp theo cấp quyền NTFS cho data1
Biên soạn: Võ Khôi Thọ Trang: 14
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Nhấp phải chuột vào file data1 chọn properties trên màn hình xuất hiện, nhấp thẻ
Security rồi nhấp nút
Advanced và bỏ dấu
check tại Allow
Inheritable permission
from the parent to
propagate to this
object and all child
objects. Include these
with entries explicity
defined here
Nhấp chọn nút Copy và nhấp OK để trở lại màn hình thuộc tính của file
Trên màn hình thuộc tính file Add vào
người dùng cần cấp quyền và quyền
sẽ cấp rồi nhấp OK để áp dụng và
thoát khỏi màn hình.
Làm tương tự để cấp quyền truy cập
tập tin data1 cho u2 là Read.
Nhấp OK để áp dụng và thoát khỏi
hộp thoại.
Tiếp theo làm tương tự để cấp quyền
NTFS cho data2
Biên soạn: Võ Khôi Thọ Trang: 15
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Nhấp OK để áp dụng và thoát khỏi màn hình
Như vậy ta đã cấp quyền NTFS xong
NGUYÊN TẮC KHI ÁP DỤNG QUYỀN TRUY CẬP NTFS II.
Trước khi bắt đầu chỉ định cấp độ truy cập NTFS đối với thư mục và tập tin. nên
xác định đâu là những cấp độ truy cập cần thiết và nên cấp chúng cho ai.
Trong phần này sẽ trình bày những nguyên tắc phải tuân thủ khi quyết định sử
dụng quyền NTFS.
Mục đích của phần này là giúp cho người học có thể:
+ Hoạch định một cách rõ ràng những cấp độ truy cập định gán cho cá nhân
hoặc cho group đối với chương trình, dữ liệu mạng, và thư mục cá nhân.
+ Nắm vững các tác vụ cần thiết để tạo thư mục cá nhân trên volume NTFS.
1. Nguyên Tắc Hoạch Định Thư Mục Chương Trình
Biên soạn: Võ Khôi Thọ Trang: 16
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Dưới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ truy cập NTFS
cho thư mục:
+ Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và đem
cấp cho nhóm Administrators.
+ Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp cho
những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm.
+ Nếu các chương trình mạng thường trú dùng chung, hãy cấp quyền truy cập ở cấp
độ Read cho nhóm Users.
2. Nguyên Tắc Hoạch Định Thư Mục Dữ Liệu
Có 2 nguyên tắc chung khi chỉ định quyền truy cập NTFS cho thư mục và dữ liệu:
+ Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone và đem
cấp cho nhóm Administrator
+ Chỉ Định cấp độ truy cập Add&Read cho nhóm Users và cấp độ Full Control cho
nhóm Creator Owner. Việc làm này sẽ cung cấp cho người dùng đăng nhập cục bộ
khả năng hủy bỏ và sửa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo
ra trên máy tính nơi họ đăng nhập.
3. Nguyên Tắc Hoạch Định Thư Mục Cá Nhân
Cuối cùng là nguyên tắc áp dụng khi chỉ định các cấp độ truy cập NTFS cho thư mục cá
nhân.:
+ Tập chung mọi thư mục cá nhân trên 1 Volume NTFS (Trên 1 server nào đó) riêng
biệt với Volume chứa hệ điều hành và các chương trình, nhằm hợp lí hóa công tác
quản trị và sao lưu dữ liệu. Thường thì cái gì cũng vậy, nếu chúng ta gọn gàng thì sẽ
rất dễ cho công việc sau này.
+ Dùng biến %Usersname% để tự động gán tên tài khoản của người dùng cho thư
mục cá nhân và tự động chỉ định quyền truy cập NTFS ở cấp độ Full Control cho
người dùng tương ứng.
Tạo Thư Mục Cá Nhân (Home Folder) Trên Volume NTFS
Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn, đó là có thể tổ
chức chúng thành hệ thống phân tầng và giới hạn khả năng truy cập ở những người
dùng tương ứng mà không cần chia sẻ từng thư mục.
Các bước để tạo thư mục cá nhân trên Volume NTFS:
Tạo thư mục có tên Users trên một Volume riêng biệt với Volume chứa hệ điều hành,
làm thế thư mục cá nhân sẽ được bảo toàn nếu xảy ra sự cố đòi hỏi phải định dạng lại
volume có chứa hệ điều hành.
Chia sẻ thư mục Users nhằm cung cấp một điểm truy cập đơn lẻ cho người dùng mạng
và điểm quản trị đơn lẻ cho nhà quản trị.
Biên soạn: Võ Khôi Thọ Trang: 17
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Bỏ chế độ mặc định Full Control từ Everyone và cấp quyền truy cập thư mục dùng
chung (share Permis) ở cấp độ Full Control cho nhóm Users.
Dùng biến %Username% để tự động gán tên tài khoản của người dùng cho thư mục cá
nhân của người này. Biến %Username% còn có thể tự động chỉ định quyền truy cập
NTFS ở cấp độ Full Control cho ngừoi dùng tương ứng (Trên FAT, thư mục cá nhân chỉ
có thể được hạn chế truy cập thông qua quyền truy cập thư mục dùng chung).
Trong UserManager for Domains, tạo 1 tài khoản người dùng mới hoặc double Click và
tài khoản sẵn có.
Trong hộp thoại Newuser hoặc User Properties,click vào Profile, sau đó gõ \\PC
name\Users\%Username% vào hộp thoại Home Directory To.
Lưu ý:
Khi đã tạo thư mục cá nhân nên yêu cầu User của mình lưu trữ dữ liệu mạng và dữ liệu
cá nhân vào thư mục cá nhân của họ. Nếu thư mục cá nhân của họ được chuyển từ
server này sang server khác thì chỉ cần chuyển đường dẫn là xong.
4. Điều kiện để cấp quyền NTFS
Muốn cấp quyền truy cập NTFS người dùng phải thỏa các điều kiện sau:
+ là chủ sở hữu của tập tin hoặc thư mục,
+ phải có quyền truy cập ở cấp độ FC,hoặc quyền truy cập ở cấp độ
Change Permiss hay Take Ownership.
5. Quyền truy cập đặc biệt
Trong hầu hết các trường hợp của Windows dùng quyền truy cập chuẩn
(standard permission) là có thể bảo vệ tập tin và thư mục.
Tuy nhiên trong 1 vài trường hợp cần chỉ định quyền truy cập đặc biệt (special
access permiss) quyền này cho phép khả năng cấp quyền truy cập cá nhân
(individual) cho từng tài khoản người dùng hoặc cho group.
Nên cấp quyền truy cập đặc biệt cho user nhằm mục đích sau:
Cho phép người dùng khác quản lí quyền truy cập những tập tin do bạn sở hữu,
cấp cho ngừoi dùng quyền truy cập ở cấp độ Change Permis (P)
Bảo vệ các tập tin chương trình hỏi bị hủy bỏ do sơ ý hoặc do Virus phá hoại,
Cấp cho mọi tài khoản ngừoi dùng, kể cả tài khoản của nhà quản trị
Administrator.
Cấp quyền truy cập ở cấp độ READ đối với các tập tin điều hành.
Cho phép nhà quản trị chỉnh sửa tập tin điều hành,
Cấp cho nhóm Administrator quyền truy cập Change Permissions. Quyền truy cập
này cung cấp cho nhà quản trị khả năng thay đổi quyền truy cập với những tập
tin chỉ đọc Read only nếu cần.
Chú ý: Quyền truy cập đạc biệt này giống nhau cho cả tập tin và thư mục.
Biên soạn: Võ Khôi Thọ Trang: 18
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
6. Take Ownership
Mặc định người dùng nào tạo ra tập tin hoặc thư mục sẽ hiển nhiên là chủ sở
hữu của tập tin và thư mục hoặc tập tin đó.
Khi đã là chủ sở hữu thư mục hoặc tập tin có thể ấn định quyền truy cập nhằm
kiểm soát những gì người khác có thể thực hiện cho tập tin và thư mục này.
Trong vài trường hợp có lúc những người quản trị cần phải tước bỏ quyền sở
hữu của người dùng vì lý do an ninh. Đó gọi là Take Ownership.
Cách xác định quyền truy cập và quyền sở hữu tập tin
Nhấp phải chuột vào tập tin/ properties/ Security/ Advanced/ Permission
Trong màn hình này quyền truy cập được xác định trong khung Permission
entries.
Để xác định quyền sở hữu tập tin nhấp thẻ owner
Biên soạn: Võ Khôi Thọ Trang: 19
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Người dùng trong khung này là
người có quyền sở hữu tập tin
Cấp quyền Take Ownership cho một người dùng
Nhấp phải chuột vào tập tin/ Properties/ Security/ Advanced/ Permission
Biên soạn: Võ Khôi Thọ Trang: 20
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
Trên màn hình này nhấp nút Add rồi chọn user trong hộp thoại Select User or
Group
Nhấp OK để áp dụng
Biên soạn: Võ Khôi Thọ Trang: 21
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
trên màn hình Permission Entry
nhấp chọn Take Ownership rồi
nhấp OK để áp dụng.
III. Những việc cần làm khi
cấp quyền truy cập NTFS.
1. Cấp quyền truy cập NTFS
trước khi chia sẻ 1 thư mục.
Bằng cách này sẽ ngăn ngừa
được tình trạng người dùng nối
kết và truy cập thư mục hay tập
tin trước khi đảm bảo an toàn
cho chúng.
2. Hãy cấp quyền cho nhóm
thay vì cho từng người dùng.
Bằng cách này có thể chấm dứt
khả năng truy cập của người
dùng bằng cách loại người này
ra khỏi nhóm, thay vì phải mất
công thay đổi cấp độ truy cập
trên thư mục và tập tin.
3. Cấp quyền truy cập mọi tập tin điều hành ở quyền READ cho nhóm Users và
nhóm Administrators.
4. Hướng dẫn các user dưới quyền sử dụng chung 1 máy tính ấn định quyền truy
cập các tập tin và thư mục do họ sở hữu.
5. Cấp quyền ở mức độ READ cho mọi tài khoản người dùng kể cả
Administrator. Bằng cách này sẽ ngăn không cho người dùng hay Virus phá hoại
hoặc sửa đổi tập tin chương trình (file System).
Ngoài ra hãy cấp cho group Admin quyền truy cập đặc biệt ớ cấp độ change
permission. Sao cho thành viên của nhóm này có thể tự cấp cho mình quyền ít
hạn chế hơn khi cần có sự thay đổi bắt buộc trong công việc.
6. Dùng biến %username% tạo thư mục cá nhân, giúp đơn giản hóa công tác
quản trị bằng cách tự động cấp cho mỗi người dùng quyền FC khi họ tạo ra thư
mục đó.
7. Cấp cho nhóm Creator Owner quyền truy cập thư mục Data ở cấp độ FC ,như
thế người dùng chỉ có quyền FC đối với những thư mục hay tập tin mà họ tạo ra
trong thư mục Data.
Biên soạn: Võ Khôi Thọ Trang: 22
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng
8. Đối với tài khoản người dùng hãy đặt tên dài có tính mô tả. Hoạch định
cách đặt tên trướckhi làm. Nếu 1 thư mục được chia sẻ hãy đặt tên sao cho mọi
máy khác đều có thể đọc được chúng.
Biên soạn: Võ Khôi Thọ Trang: 23
Các file đính kèm theo tài liệu này:
- Giáo trình Quản trị mạng Windows Server 2003 (Chương 4).pdf