Giáo trình Quản trị Môi trường Mạng (P2): Quản trị Tài nguyên Chia sẻ

Bài giảng chi tiết về quản trị tài nguyên chia sẻ trong môi trường mạng. Hướng dẫn phân quyền, chia sẻ thư mục, dùng lệnh netshare và giám sát truy cập.

Chuyên ngành

Quản trị mạng

Người đăng

Ẩn danh

Thể loại

Hướng dẫn
60
2
0

Phí lưu trữ

30 Point

Tóm tắt

I. Tổng Quan Về Quản Trị Tài Nguyên Chia Sẻ và Phân Quyền

Quản trị tài nguyên chia sẻ và phân quyền mạng là nền tảng của mọi hệ thống mạng doanh nghiệp. Nó quyết định ai có thể truy cập vào dữ liệu nào, và họ có thể làm gì với dữ liệu đó. Một cấu trúc phân quyền hiệu quả không chỉ đảm bảo bảo mật mạng nội bộ mà còn tối ưu hóa luồng công việc, giúp người dùng truy cập đúng tài nguyên cần thiết một cách nhanh chóng. Việc này đòi hỏi sự hiểu biết sâu sắc về các cơ chế như Share PermissionsNTFS Permissions, cũng như cách chúng tương tác với nhau. Các tài nguyên này có thể là các thư mục chia sẻ, máy in, hoặc các ứng dụng trên một file server. Nền tảng của việc quản trị này thường dựa trên Active Directory, nơi các nhóm người dùng (user group) và tài khoản cá nhân được định nghĩa và quản lý tập trung. Một quản trị hệ thống phải nắm vững cách thiết lập các quyền này để ngăn chặn truy cập trái phép, bảo vệ dữ liệu nhạy cảm và duy trì tính toàn vẹn của hệ thống. Hiểu rõ sự khác biệt giữa quyền truy cập qua mạng và quyền truy cập cục bộ là yếu tố then chốt, vì mỗi loại được quản lý bởi một cơ chế riêng biệt, và quyền hạn cuối cùng của người dùng là kết quả của sự kết hợp chặt chẽ giữa các cơ chế này.

1.1. Khái niệm cốt lõi về tài nguyên và mục đích phân quyền

Tài nguyên chia sẻ là bất kỳ tài sản nào trên mạng, như thư mục, tệp tin, hoặc máy in chia sẻ, mà người dùng được phép truy xuất từ xa. Mục đích chính của việc chia sẻ là tạo điều kiện cho sự cộng tác và trao đổi thông tin hiệu quả trong một tổ chức. Tuy nhiên, việc chia sẻ rộng rãi cũng tiềm ẩn nhiều rủi ro. Do đó, phân quyền ra đời như một cơ chế kiểm soát truy cập tài nguyên. Phân quyền xác định rõ ràng quyền hạn của mỗi người dùng hoặc nhóm người dùng đối với một tài nguyên cụ thể. Ví dụ, một số người dùng chỉ có quyền đọc (Read), trong khi người khác có quyền thay đổi (Change) hoặc toàn quyền (Full Control). Việc thiết lập này giúp bảo vệ dữ liệu khỏi những thay đổi không mong muốn, xóa nhầm, hoặc truy cập trái phép, đóng vai trò sống còn trong việc duy trì an ninh và ổn định cho toàn bộ hạ tầng cấu hình mạng LAN.

1.2. Phân biệt hai cơ chế Share Permissions và NTFS Permissions

Trong môi trường Windows, có hai lớp phân quyền chính cần phân biệt rõ ràng: Share PermissionsNTFS Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập vào một thư mục chia sẻ thông qua mạng. Nó hoạt động như một lớp cổng kiểm soát ở cấp độ chia sẻ, với các quyền cơ bản như Read, Change, và Full Control. Ngược lại, NTFS Permissions áp dụng cho cả truy cập qua mạng và truy cập cục bộ (ngồi trực tiếp tại máy chủ). Nó cung cấp một hệ thống phân quyền chi tiết hơn nhiều, được quản lý thông qua Access Control List (ACL), cho phép thiết lập các quyền như ghi, xóa, thực thi, thay đổi thuộc tính... Khi một người dùng truy cập tài nguyên qua mạng, hệ thống sẽ áp dụng quyền hạn chế nhất giữa hai cơ chế này. Ví dụ, nếu một người dùng có quyền Full Control ở Share Permissions nhưng chỉ có quyền Read ở NTFS Permissions, họ sẽ chỉ có thể đọc tệp tin. Hiểu rõ sự kết hợp này là chìa khóa để phân quyền user một cách chính xác.

II. Các Thách Thức Khi Kiểm Soát Truy Cập Tài Nguyên Mạng

Việc quản lý và kiểm soát truy cập tài nguyên mạng đối mặt với nhiều thách thức phức tạp. Thách thức lớn nhất là nguy cơ rò rỉ hoặc mất mát dữ liệu do cấu hình sai quyền. Một sai lầm nhỏ trong việc gán quyền, chẳng hạn như cấp quyền 'Full Control' cho nhóm 'Everyone', có thể mở toang cánh cửa cho các truy cập trái phép. Một vấn đề khác là sự phức tạp khi quản lý quyền cho một số lượng lớn người dùng và tài nguyên. Nếu không có một chiến lược rõ ràng, việc phân quyền user sẽ trở nên hỗn loạn, khó kiểm soát và kiểm toán. Sự chồng chéo giữa Share PermissionsNTFS Permissions cũng tạo ra sự nhầm lẫn. Nhiều quản trị viên mới thường không hiểu rằng quyền hạn thực tế của người dùng là mức độ nghiêm ngặt nhất giữa hai lớp quyền này, dẫn đến việc cấp quyền không đúng với ý định. Thêm vào đó, việc kế thừa quyền (permission inheritance) từ thư mục cha có thể vô tình cấp những quyền không mong muốn cho các thư mục con, đòi hỏi sự rà soát cẩn thận và áp dụng các chính sách chặn kế thừa khi cần thiết.

2.1. Rủi ro bảo mật từ việc cấu hình sai nhóm người dùng

Cấu hình sai nhóm người dùng (user group) là một trong những lỗ hổng bảo mật phổ biến nhất. Việc thêm nhầm một người dùng vào nhóm có đặc quyền cao, hoặc sử dụng các nhóm mặc định như 'Users' hay 'Everyone' một cách không cẩn trọng, có thể dẫn đến hậu quả nghiêm trọng. Ví dụ, việc cấp quyền ghi dữ liệu nhạy cảm cho nhóm 'Domain Users' đồng nghĩa với việc mọi tài khoản trong miền đều có thể sửa đổi hoặc xóa các tệp tin đó. Một quản trị hệ thống cần tuân thủ nguyên tắc Đặc quyền Tối thiểu (Principle of Least Privilege), tức là chỉ cấp cho người dùng những quyền hạn thực sự cần thiết để thực hiện công việc của họ. Việc tạo ra các nhóm chuyên biệt (ví dụ: 'KeToan_Read', 'NhanSu_Write') và quản lý thành viên một cách chặt chẽ là biện pháp tối quan trọng để giảm thiểu rủi ro và đảm bảo bảo mật mạng nội bộ.

2.2. Sự phức tạp của quyền kế thừa và quyền sở hữu tệp tin

Quyền kế thừa (Inheritance) là một tính năng hữu ích nhưng cũng đầy rủi ro. Theo mặc định, các tệp tin và thư mục con sẽ kế thừa quyền từ thư mục cha chứa chúng. Điều này giúp đơn giản hóa việc quản lý, nhưng nếu không được kiểm soát, nó có thể lan truyền các quyền không phù hợp xuống sâu trong cây thư mục. Một quản trị viên có thể cần phải vô hiệu hóa tính năng kế thừa trên một thư mục con nhạy cảm và định nghĩa lại một Access Control List (ACL) hoàn toàn mới cho nó. Một khái niệm liên quan khác là quyền sở hữu (Ownership). Người sở hữu một tệp tin hoặc thư mục có toàn quyền thay đổi các NTFS Permissions của nó, bất kể các quyền hiện có. Trong một số trường hợp, một người dùng có thể chiếm quyền sở hữu (Take Ownership) một đối tượng và tự cấp cho mình quyền truy cập. Việc giám sát và kiểm soát ai là người sở hữu các tài nguyên quan trọng là một phần không thể thiếu của việc quản lý truy cập.

III. Hướng Dẫn Cấu Hình Thư Mục Chia Sẻ và Phân Quyền User

Việc cấu hình một thư mục chia sẻphân quyền user đúng cách trên Windows Server là kỹ năng cơ bản của mọi quản trị viên. Quá trình này bắt đầu bằng việc tạo một thư mục trên ổ đĩa được định dạng NTFS để có thể tận dụng tối đa khả năng bảo mật. Sau đó, thư mục này được chia sẻ qua mạng với một tên chia sẻ (Share Name) cụ thể. Đây là tên mà người dùng sẽ thấy khi duyệt mạng. Bước tiếp theo và quan trọng nhất là thiết lập hai lớp quyền: Share PermissionsNTFS Permissions. Một phương pháp thực hành tốt được khuyến nghị là cấp quyền 'Full Control' hoặc 'Change' ở mức Share Permissions cho nhóm 'Authenticated Users', sau đó sử dụng NTFS Permissions để tinh chỉnh quyền truy cập một cách chi tiết. Cách tiếp cận này giúp tập trung việc quản lý bảo mật vào một nơi duy nhất là tab Security (NTFS), tránh sự nhầm lẫn và xung đột giữa hai hệ thống quyền. Việc sử dụng các nhóm người dùng thay vì gán quyền trực tiếp cho từng tài khoản cá nhân cũng là một yêu cầu bắt buộc để việc quản lý trở nên khoa học và dễ dàng mở rộng.

3.1. Quy trình tạo thư mục chia sẻ qua giao diện và lệnh Net Share

Có hai cách chính để tạo một thư mục chia sẻ. Cách phổ biến nhất là sử dụng giao diện đồ họa của Windows Explorer. Người quản trị chỉ cần nhấp chuột phải vào thư mục, chọn 'Properties', sau đó vào tab 'Sharing' và chọn 'Advanced Sharing'. Tại đây, có thể đặt tên chia sẻ, giới hạn số lượng người dùng kết nối đồng thời và thiết lập Share Permissions. Một phương pháp khác, mạnh mẽ và linh hoạt hơn cho việc tự động hóa, là sử dụng lệnh net share trong Command Prompt hoặc PowerShell. Ví dụ, lệnh net share Data=\"D:\DuLieu\" /remark:"Du lieu chung" /users:20 sẽ chia sẻ thư mục D:\DuLieu với tên là 'Data', kèm mô tả và giới hạn 20 người dùng. Lệnh này cũng cho phép xóa chia sẻ một cách nhanh chóng với tham số /delete. Việc tạo các thư mục chia sẻ ẩn bằng cách thêm ký tự $ vào cuối tên chia sẻ (ví dụ: 'Admin$') cũng là một kỹ thuật hữu ích để che giấu các tài nguyên quản trị khỏi việc duyệt mạng thông thường.

3.2. Thiết lập Access Control List ACL với NTFS Permissions

Sau khi thư mục đã được chia sẻ, việc thiết lập NTFS Permissions là bước quyết định mức độ bảo mật. Thao tác này được thực hiện trong tab 'Security' của hộp thoại 'Properties'. Tại đây, quản trị viên có thể thêm hoặc xóa người dùng và các nhóm người dùng khỏi Access Control List (ACL). Đối với mỗi mục trong ACL (được gọi là Access Control Entry - ACE), một loạt các quyền chi tiết có thể được cấp (Allow) hoặc từ chối (Deny). Các quyền này bao gồm 'Full Control', 'Modify', 'Read & Execute', 'List Folder Contents', 'Read', và 'Write'. Một nguyên tắc quan trọng cần nhớ là quyền 'Deny' luôn được ưu tiên hơn quyền 'Allow'. Nếu một người dùng thuộc hai nhóm, một nhóm được 'Allow' và một nhóm bị 'Deny' quyền ghi, thì kết quả cuối cùng là người dùng đó sẽ không thể ghi dữ liệu. Do đó, việc sử dụng 'Deny' cần được cân nhắc cẩn thận và chỉ áp dụng trong các trường hợp đặc biệt.

IV. Phương Pháp Quản Lý Tập Trung Với Active Directory và DFS

Khi hệ thống mạng phát triển, việc quản lý các tài nguyên chia sẻ trên nhiều file server khác nhau trở nên cồng kềnh. Active Directory và Distributed File System (DFS) là hai công nghệ cốt lõi của Windows Server giúp giải quyết vấn đề này. Active Directory cung cấp một cơ sở dữ liệu trung tâm để quản lý danh tính người dùng và máy tính, cho phép quản trị hệ thống tạo ra các nhóm người dùng và áp dụng quyền truy cập một cách nhất quán trên toàn bộ miền. Thay vì phải tạo tài khoản và phân quyền trên từng máy chủ, quản trị viên chỉ cần thực hiện trên Domain Controller. Điều này không chỉ tiết kiệm thời gian mà còn tăng cường bảo mật. Bên cạnh đó, DFS cho phép gộp nhiều thư mục chia sẻ từ các máy chủ khác nhau vào một không gian tên (namespace) hợp nhất. Người dùng chỉ cần truy cập vào một đường dẫn duy nhất, ví dụ \\domain\Share, mà không cần biết dữ liệu thực sự đang nằm trên máy chủ nào. Điều này giúp đơn giản hóa trải nghiệm người dùng và tạo điều kiện cho việc cân bằng tải và sao lưu dữ liệu.

4.1. Tự động hóa phân quyền qua Chính sách Nhóm Group Policy

Một trong những công cụ mạnh mẽ nhất trong Active DirectoryChính sách Nhóm (Group Policy). Group Policy cho phép quản trị viên định nghĩa và áp dụng các thiết lập cấu hình cho người dùng và máy tính một cách tự động. Thay vì phải cấu hình quyền trên từng thư mục, quản trị viên có thể sử dụng Group Policy để thiết lập các chính sách bảo mật cho hệ thống tệp tin (File System Security). Các chính sách này có thể được áp dụng cho các Organizational Unit (OU), và mọi đối tượng trong OU đó sẽ tự động tuân theo. Ví dụ, có thể tạo một GPO để đảm bảo rằng chỉ có nhóm người dùng 'Kế toán' mới có quyền truy cập vào thư mục chứa dữ liệu tài chính, dù thư mục đó nằm ở đâu. Group Policy cũng được sử dụng để tự động thực hiện network drive mapping, đảm bảo người dùng luôn có sẵn các ổ đĩa mạng cần thiết ngay khi đăng nhập.

4.2. Triển khai Hệ thống Tệp Phân tán DFS để đơn giản hóa

Hệ thống Tệp Phân tán (DFS) giải quyết bài toán về sự phân mảnh tài nguyên. DFS Namespace cho phép tạo một cấu trúc thư mục ảo, ánh xạ đến các thư mục chia sẻ thực tế nằm trên nhiều file server khác nhau. Đối với người dùng cuối, toàn bộ dữ liệu dường như được tập trung tại một nơi duy nhất, giúp họ dễ dàng tìm kiếm và truy cập. DFS có hai loại: Stand-alone và Domain-based. Domain-based DFS được tích hợp với Active Directory, mang lại khả năng chịu lỗi (fault tolerance) cao hơn. Nếu một file server gặp sự cố, DFS có thể tự động chuyển hướng người dùng đến một bản sao của dữ liệu trên một máy chủ khác (nếu được cấu hình DFS Replication). Điều này không chỉ cải thiện tính sẵn sàng của dữ liệu mà còn giúp quản trị hệ thống dễ dàng di chuyển dữ liệu giữa các máy chủ mà không làm gián đoạn công việc của người dùng.

V. Bí Quyết Giám Sát và Tối Ưu Hóa Truy Cập Tài Nguyên Mạng

Việc thiết lập phân quyền chỉ là bước đầu tiên. Một quản trị hệ thống hiệu quả cần phải liên tục giám sát và tối ưu hóa việc truy cập tài nguyên để đảm bảo an ninh và hiệu suất. Windows Server cung cấp nhiều công cụ mạnh mẽ cho mục đích này. Công cụ 'Shared Folders' trong 'Computer Management' là trung tâm để theo dõi các hoạt động liên quan đến tài nguyên chia sẻ. Tại đây, quản trị viên có thể xem danh sách tất cả các thư mục chia sẻ trên máy chủ, bao gồm cả các thư mục ẩn. Quan trọng hơn, nó cho phép theo dõi các phiên làm việc (Sessions) đang hoạt động, biết được người dùng nào đang kết nối, từ máy tính nào, và họ đã mở những tệp tin gì (Open Files). Việc giám sát này giúp phát hiện các hoạt động bất thường, chẳng hạn như một người dùng mở quá nhiều tệp tin cùng lúc hoặc các phiên kết nối không hợp lệ. Ngoài ra, việc thiết lập chính sách kiểm toán (Auditing) trên các thư mục nhạy cảm cho phép ghi lại nhật ký mọi hành vi truy cập thành công hoặc thất bại, cung cấp bằng chứng quan trọng cho việc điều tra sự cố bảo mật.

5.1. Kỹ thuật ánh xạ ổ đĩa mạng network drive mapping hiệu quả

Ánh xạ ổ đĩa mạng là một kỹ thuật giúp đơn giản hóa việc truy cập các thư mục chia sẻ cho người dùng cuối. Thay vì phải nhớ và gõ các đường dẫn UNC phức tạp (ví dụ \\Server01\PhongKinhDoanh), người dùng sẽ thấy một ký tự ổ đĩa quen thuộc (ví dụ O:) trong 'My Computer'. Việc ánh xạ này có thể được thực hiện thủ công bởi người dùng, nhưng phương pháp hiệu quả và được khuyến nghị trong môi trường doanh nghiệp là sử dụng Chính sách Nhóm (Group Policy). Thông qua Group Policy Preferences, quản trị viên có thể tạo các chính sách để tự động ánh xạ, đổi tên, hoặc xóa các ổ đĩa mạng dựa trên tư cách thành viên nhóm của người dùng. Ví dụ, tất cả thành viên của nhóm người dùng 'Marketing' sẽ tự động có ổ đĩa M: trỏ đến thư mục chia sẻ của phòng Marketing khi họ đăng nhập. Điều này đảm bảo tính nhất quán và giảm thiểu các yêu cầu hỗ trợ từ người dùng.

5.2. Sử dụng Event Viewer để theo dõi các sự kiện truy cập

Công cụ Event Viewer là một kho lưu trữ nhật ký vô giá cho việc giám sát an ninh. Để tận dụng nó, trước tiên quản trị viên phải kích hoạt chính sách kiểm toán (Audit Policy) thông qua Group Policy. Cụ thể là chính sách 'Audit object access'. Sau khi được kích hoạt, hệ thống sẽ ghi lại các sự kiện vào Security Log trong Event Viewer mỗi khi có người dùng truy cập vào một tệp tin hoặc thư mục đã được cấu hình kiểm toán. Mỗi sự kiện sẽ ghi lại thông tin chi tiết như: tài khoản người dùng thực hiện truy cập, thời gian, loại hành động (đọc, ghi, xóa), và kết quả (thành công hay thất bại). Bằng cách lọc và phân tích các nhật ký này, quản trị viên có thể phát hiện các nỗ lực truy cập trái phép vào dữ liệu nhạy cảm hoặc theo dõi dấu vết của một sự cố rò rỉ dữ liệu, góp phần củng cố hệ thống bảo mật mạng nội bộ.

04/10/2025

Trích đoạn nội dung tài liệu

BÀI 4: QUẢN TRỊ TÀI NGUYÊN CHIA SẺ 1. Tổng quan về quyền truy xuất tệp tin và thư mục 1. Chia sẻ thư mục dùng chung Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.

Ý nghĩa của các mục trong Tab Sharing: Mục Ý nghĩa Do not share this Chỉ định thư mục này chỉ được phép truy cập cục bộ folder Share this folder Chỉ định thư mục này được phép truy cập cục bộ và truy cập qua mạng Share name Tên thư mục mà người dùng mạng nhìn thấy và truy cập - 55 - Comment Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung này User Limit Cho phép bạn khai báo số kết nối tối đa truy xuất vào thư mục tại một thời điểm Permissions Cho phép bạn thiết lập danh sách quyền truy cập thông qua mạng của người dùng Offline Settings Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ Offline. Cấu hình Share Permissions Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa.

Trong hộp thoại Share Permissions, chứa danh sách các quyền sau: - Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ. - Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ. - Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ. Bạn muốn cấp quyền cho người dùng thì nhấp chuột vào nút Add.

Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK. Trong hộp thoại xuất hiện, muốn cấp quyền cho người dùng bạn đánh dấu vào mục Allow, ngược lại khóa quyền thì đánh dấu vào mục Deny. Chia sẻ thư mục dùng lệnh netshare Chức năng: tạo, xóa và hiển thị các tài nguyên chia sẻ. Cú pháp: net share sharename - 56 - net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"] net share sharename [/users:number | unlimited] [/remark:"text"] net share {sharename | drive:path} /delete Ý nghĩa các tham số: - [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ - [Sharename]: tên trên mạng của tài nguyên chia sẻ, nếu dùng lệnh net share với một tham số sharename thì hệ thống sẽ hiển thị thông tin về tài nguyên dùng chung này.

- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ. - [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này. - [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này. - [/remark:"text"]: thêm thông tin mô tả về tài nguyên này.

- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại. Xem các thư mục dùng chung Mục Shared Folders trong công cụ Computer Management cho phép bạn tạo và quản lý các thư mục dùng chung trên máy tính. Muốn xem các thư mục dùng chung trên máy tính bạn chọn mục Shares. Nếu thư mục dùng chung nào có phần cuối của tên chia sẻ (share name) là dấu $ thì tên thư mục dùng chung này được ẩn đi và không tìm thấy khi bạn tìm kiếm thông qua My Network Places hoặc duyệt các tài nguyên mạng.

Xem các phiên làm việc trên thư mục dùng chung Muốn xem tất cả các người dùng đang truy cập đến các thư mục dùng chung trên máy tính bạn chọn mục Session. Mục Session cung cấp các thông tin sau: - Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ. - Tên máy tính có người dùng kết nối từ đó. - Hệ điều hành mà máy trạm đang sử dụng để kết nối.

- Số tập tin mà người dùng đang mở. - Thời gian kết nối của người dùng. - Thời gian chờ xử lý của kết nối. - Phải là truy cập của người dùng Guest không? - 58 - 2.

Xem các tập tin đang mở trong các thư mục dùng chung Muốn xem các tập đang mở trong các thư mục dùng chung bạn nhấp chuột vào mục Open Files. Mục Open Files cung cấp các thông tin sau: - Đường dẫn và tập tin hiện đang được mở. - Tên tài khoản người dùng đang truy cập tập tin đó. - Hệ điều hành mà người dùng sử dụng để truy cập tập tin.

- Trạng thái tập tin có đang bị khoá hay không. - Trạng thái mở sử dụng tập tin (Read hoặc Write). Share Permission - 59 - Đầu tiên mở trình Windows Explorer ra chọn Organize / Folder and Search Options. Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended).

Trong Windows server 2008 để chia sẻ một thư mục nào đó nhấp chuột phải vào thư mục cần share chọn Share… - 60 - Nhấp chọn Advanced Sharing. Ở ô Share Name máy sẽ tự lấy tên default là tên thư mục hiện hành bạn có thể chỉnh sửa tên này tùy ý - 61 - Với các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tương ứng. Với các tùy chọn là Deny: User không có quyền truy cập tài nguyên với quyền hạn tương ứng. - 62 - Để thực hiện phân quyền cho các Group thì ta cần Deny tất cả các quyền của Group User này.

Sau khi Deny tất cả các quyền của Group User nhấp nút Add thể thêm Group hoặc User vào. Trong này giả sử Add thêm User tai và cũng Set quyền cho User này là Deny tất cả mọi quyền. Tương tự Add thêm User phat và Set quyền cho User này là Allow tất cả mọi quyền. - 63 - Để tạo một thư mục mà không muốn cho ai thấy (chỉ có gõ lệnh mới vào được) thỉ thêm dấu $ vào ngay sau Share Name của mình.

VD: Máy có IP là 192.10 và thư mục Share có tên là New Folder (2)$. Trong này giả sử ta Add thêm User tai và Set quyền cho User này là Allow tất cả mọi quyền. Khi đó truy cập từ máy khác vào phải nhập là \\172.10\New Folder (2)$ thì mới vào được. Bây giờ từ một máy Client khác, truy cập thư mục New Folder (2) với User là tai - 64 - Máy sẽ báo là không có lối vào lý do là đã Set cho User tai bị Deny tất cả.

User tai bị từ chối truy cập New Folder (2). Tuy nhiên với User phat thì có thể xem được các tài nguyên trong này. Để xem các thư mục Share ẩn trong Windows, vào Administrative Tools/Share and Storage Management. - 65 - Trong này sẽ liệt kê toàn bộ các thư mục đã Share trước đó Để tránh phải mất công nhập dòng lệnh \\[IP máy tới]\[thư mục share] chúng ta có thể ánh xạ ổ đĩa đối với các thư mục Share thường xuyên truy cập bằng cách nhấp phải vào thư mục đã Share cần ánh xạ và chọn Map Network Drive… - 66 - Trong cửa sổ Map Nerwork Drive hiện ra bạn chọn tên ổ đĩa ánh xạ và click Finish.

Vào Computer sẽ thấy xuất hiện thêm ổ đĩa mới (Ổ đĩa ánh xạ). Nhấp vào đấy sẽ đi đến ngay thư mục mà bạn vừa ánh xạ. NTFS Permission Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm FAT16 và FAT32). FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa.

Hệ thống Windows Server 2008 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory. Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người. Các quyền truy cập của NTFS Tên quyền Chức năng - 68 - Traverse Duyệt các thư mục và thi hành các tập tin chương Folder/Execute trình trong thư mục List File Folder/Read Liệt kê nội dung của thư mục và đọc dữ liệu của Data các tập tin trong thư mục Read Attributes Đọc các thuộc tính của các tập tin và thư mục Read Extended Đọc các thuộc tính mở rộng của các tập tin và thư Attributes mục Create File/Write Tạo các tập tin mới và ghi dữ liệu lên các tập tin Data này Create Tạo thư mục mới và chèn thêm dữ liệu vào các tập Folder/Append Data tin Write Attributes Thay đổi thuộc tính của các tập tin và thư mục Write Extendd Thay đổi thuộc tính mở rộng của các tập tin và thư Attributes mục Delete Subfolders Xóa thư mục con và các tập tin and Files Delete Xóa các tập tin Read Permissions Đọc các quyền trên các tập tin và thư mục Change Permissions Thay đổi quyền trên các tập tin và thư mục Take Ownership Tước quyền sở hữu của các tập tin và thư mục 3. Các mức quyền truy cập được dùng trong NTFS Tên quyền Full Modify Read& List Read Write Control Execute Folder Contents Traverse Folder x x x x /Execute File List Folder /Read x x x x x Data Read Attributes x x x x x Read Extended x x x x x Attributes Create File /Write x x - 69 - Data Create Folder x x x /Append Data Write Attributes x x x Write Extended x x x Attributes Delete Subfolders x and Files Delete x x Read Permissions x x x x x x Change x Permissions Take Ownership x 3.

Gán quyền truy cập NTFS trên thư mục dùng chung Bạn muốn gán quyền NTFS, thông qua Windows Explorer bạn nhấp phải chuột vào tập tin hay thư mục cần cấu hình quyền truy cập rồi chọn Properties. Hộp thoại Properties xuất hiện. Nếu ổ đĩa của bạn định dạng là FAT thì hộp thoại chỉ có hai Tab là General và Sharing. Nhưng nếu đĩa có định dạng là NTFS thì trong hộp thoại sẽ có thêm một Tab là Security.

Tab này cho phép ta có thể quy định quyền truy cập cho từng người dùng hoặc một nhóm người dùng lên các tập tin và thư mục. Bạn nhầp chuột vào Tab Security để cấp quyền cho các người dùng.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ