Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment: Chương 5 - ThS. Trần Bá Nhiệm (Biên soạn)

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Chương 5: Quản lý truy cập file

Mục tiêu

• Xác định và hiểu các hệ thống file khác nhau được

hỗ trợ trong Windows Server 2003 • Tạo và quản lý các thư mục chia sẻ • Hiểu và cấu hình các quyền trên thư mục chia sẻ • Hiểu và cấu hình các quyền NTFS sẵn có trong

Windows Server 2003

• Xác định tác động của việc kết hợp chia sẻ thư

mục và quyền NTFS

• Chuyển đổi từ FAT  NTFS

2

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các hệ thống file trong Windows Server 2003

• 3 hệ thống chính

• File Allocation Table (FAT) • FAT32 • NTFS

• Lựa chọn hệ thống file phụ thuộc vào • Hệ thống sẽ được dùng như thế nào? • Có dùng nhiều hệ điều hành không? • Y/c bảo mật

• NTFS là khuyến cáo nên chọn

3

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

FAT

• Dùng bởi MS-DOS • Được hỗ trợ bởi tất cả các phiên bản Windows trước đó • Giới hạn phân vùng đĩa lên đến 2GB

• Windows Server 2003 hỗ trợ phân vùng đĩa lên đến 4 GB

• Các hạn chế

• Kích thước phân vùng nhỏ • Không có đặc tính bảo mật hệ thống file • Cách dùng không gian đĩa kém

4

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

FAT32

• Một dẫn xuất của FAT • Hỗ trợ kích thước phân vùng lên đến 2 TB • Vẫn không cung cấp đặc tính bảo mật nâng cao • Không thể cấu hình các quyền trên file và thư mục

5

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

NTFS

• Được giới thiệu với hệ điều hành Windows NT • Phiên bản hiện hành (version 5)

• Windows NT 4.0 • Windows 2000 • Windows XP • Windows Server 2003

• Theo lý thuyết có thể hỗ trợ kích thước phân vùng

lên đến 16 Exabytes (EB) • Thực tế hỗ trợ kích thước phân vùng tối đa từ 2 TB đến

16 TB

6

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

NTFS (tt)

• NTFS có thuận lợi:

• Khả năng linh hoạt và hiệu suất rất tốt trên các phân vùng lớn • Hỗ trợ cho AD trên các hệ thống được cấu hình như DC • Khả năng cấu hình các quyền bảo mật trên từng file và thư mục • Tích hợp sẵn hỗ trợ nén và bảo mật • Khả năng cấu hình quota (hạn mức) đĩa cho mỗi người dùng • Hỗ trợ Remote Storage • Báo cáo lỗi cho các hoạt động đĩa

7

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Tạo và quản lý các thư mục chia sẻ

• Thư mục chia sẻ

• Một nguồn dữ liệu sẵn sàng thông qua mạng cho những

client đã chứng thực

• Đặc tả các quyền cho hoạt động tạo, đọc, sửa

• Các Groups có thể tạo thư mục chia sẻ:

• Administrators • Server Operators • Power Users (chỉ trên các server thành viên)

8

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Tạo và quản lý các thư mục chia sẻ (tt)

• Nhiều cách tạo thư mục chia sẻ • 2 cách quan trọng

• Thông qua Windows Explorer • Giao diện Computer Management console

• Cũng cho phép kiểm soát các thư mục chia sẻ

9

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Dùng Windows Explorer

• Dùng từ Windows 95 • Có thể tạo, bảo trì và chia sẻ các thư mục • Các thư mục có thể trên bất kỳ ổ đĩa nào được kết

nối vào máy tính

• Chia sẻ thư mục thông qua Properties  Sharing

tab

10

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Dùng Windows Explorer (tt)

11

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-1: Tạo thư mục chia sẻ dùng Windows Explorer

• Start  Explorer • Dùng Explorer để tạo thư mục mới • Kiểm tra thư mục dùng lệnh net view • Mở Explorer từ dòng lệnh để kiểm tra cách khác

12

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-1 (tt)

13

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Dùng Windows Explorer (tt)

• Tên chia sẻ thư mục không cần phải là tên thực • Biểu tượng bàn tay chỉ dấu hiệu cho biết thư mục

chia sẻ

• Các thư mục chia sẻ ẩn trong My Network Places

và Network Neighborhood • Đặt dấu ($) sau tên, ví dụ, Salary$ • Một số chia sẻ ẩn được tạo tự động sau khi cài đặt

14

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Dùng Windows Explorer (tt)

15

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Dùng Windows Explorer (tt)

16

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Dùng Computer Management

• Giao diện Computer Management là một

Microsoft Management Console (MMC) xây dựng sẵn • Cho phép chia sẻ và kiểm soát các thư mục trên máy

tính cục bộ và từ xa

• Cho phép ngừng chia sẻ nếu cần

17

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Dùng Computer Management (tt)

• Folder Wizard

• Dùng để tạo các thư mục trong Shared Folders của

Computer Management

• Cung cấp các quyền cấu hình sẵn hoặc cấu hình thủ

công

• Tất cả user có quyền truy cập chỉ đọc (read-only) • Các Administrator có toàn quyền, mọi user khác chỉ

đọc

• Các Administrator có toàn quyền, mọi user khác chỉ

đọc và ghi

• Chia sẻ tùy biến và các quyền thư mục

18

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-2: Tạo và xem thư mục chia sẻ dùng Computer Management

• Mở Computer Management  mở nút Shared

Folders

• Mở thư mục Shares và chú ý các file ẩn, file khác

19

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-2 (tt)

20

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-2 (tt)

• Dùng Folder Wizard • Cấu hình các thuộc tính thư mục • Cấu hình các quyền thư mục • Kiểm tra khả năng truy cập thư mục từ dòng lệnh

21

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-2 (tt)

22

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Kiểm soát các truy cập vào Shared Folders

• Kiểm soát bao gồm:

• Ai dùng các file chia sẻ • File chia sẻ nào mở tại thời điểm nào

• Các chức năng khác

• Hủy kết nối các user vào một chia sẻ • Gửi các thông điệp cảnh báo trên mạng • Công cụ kiểm soát chính là Computer

Management

23

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Kiểm soát các truy cập vào Shared Folders (tt)

24

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Quản lý các quyền thư mục chia sẻ • Mỗi thư mục chia sẻ có 1 discretionary access control list

(DACL)-ds điều khiển truy cập tùy biến • Chứa 1 danh sách user hoặc tham chiếu group vừa được cho quyền

hoặc từ chối

• Mỗi tham chiếu group là một access control entry (ACE) • Mỗi tham chiếu là 1 Accessed từ nút lệnh Permissions trong

Sharing tab

• Các quyền chỉ áp dụng cho các user mạng, không dùng cho

user đã đăng nhập trực tiếp từ máy cục bộ

25

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Quản lý các quyền thư mục chia sẻ (tt)

26

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Quản lý các quyền thư mục chia sẻ (tt)

• Để từ chối truy cập đ/với user hoặc group

• Windows Server 2003 không cung cấp quyền từ chối

truy cập

• Phải rõ ràng từ chối truy cập với mỗi cá nhân

• Quyền mặc định là truy cập chỉ đọc cho Everyone

group • Phải trực tiếp xác định khi 1 chia sẻ được tạo ra • Các quyền thư mục được thừa kế bởi tất cả đối

tượng chứa trong nó

27

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-3: Hiện thực các quyền chia sẻ thư mục • Mục tiêu là dùng quyền chia sẻ thư mục để điều

khiển truy cập tài nguyên

• Hiện thực các y/c sau:

• Nhóm Domain Admins có toàn quyền • Nhóm Marketing Users có quyền Change • Các user khacs không được truy cập

28

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các quyền NTFS

• Các tài nguyên định vị trên 1 phân vùng hoặc ổ

đĩa NTFS có thể gán quyền NTFS

• Một administrator phải:

• Biết áp dụng các quyền như thế nào • Các quyền cơ bản và đặc biệt • Tác động của các quyền như thế nào

29

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các khái niệm quyền NTFS

• Các quyền NTFS được cấu hình thông qua

Security tab

• Các quyền NTFS là tích lũy • Từ chối truy cập luôn luôn đè lên quyền được

phép

• Thừa kế quyền từ thư mục ngoại trừ các đặc tả

riêng

• Các quyền NTFS có thể thiết lập trên file hoặc thư

mục

30

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các khái niệm quyền NTFS (tt)

• Một ACE mới có các quyền mặc định: • Read và Read and Execute cho các file • List Folder Contents cho các thư mục

• Windows Server 2003 có 1 tập các quyền cơ bản

và đặc biệt

31

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các khái niệm quyền NTFS (tt)

32

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-4: Hiện thực các quyền NTFS cơ bản

• Hiện thực các quyền NTFS cơ bản trên 1 thư mục • Xem lại các quyền mặc định • Khảo sát cách thừa kế quyền

33

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các quyền NTFS đặc biệt

• Có thể cung cấp nhiều hoặc ít quyền hơn cơ bản • Truy xuất các quyền đặc biệt từ Properties 

Security tab  Advanced

• Hộp thoại Permission Entry cho phép gán quyền

và điều khiển các thiết lập thừa kế

34

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các quyền NTFS đặc biệt (tt)

35

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các quyền NTFS đặc biệt (tt)

• Các thiết lập thừa kế:

• This folder only (Chỉ thư mục này) • This folder, subfolders, and files (mặc định) • This folder and subfolders (Thư mục này và các thư

mục con)

• This folder and files (Thư mục này và các file) • Subfolders and files only (Thư mục con và các file) • Subfolders only (Chỉ các thư mục con) • Files only (chỉ các file)

36

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các quyền NTFS đặc biệt (tt)

37

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Các quyền NTFS đặc biệt (tt)

38

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-5: Cấu hình các quyền NTFS đặc biệt

• Xem, cấu hình và kiểm tra các quyền NTFS đặc

biệt • Từ chối 1 group khả năng đọc các quyền liên quan đến

1 thư mục

• Kiểm tra quyền truy cập đã bị từ chối

39

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Kiểm tra tác động của các quyền • Quyền thực sự áp dụng cho 1 user có thể là kết

qủa là thành viên trong nhiều nhóm

• Trước Windows Server 2003, xác định các quyền

tác động được hoàn tất thủ công

• Trong Windows Server 2003, dùng Advanced

Security Settings  Effective Permissions tab cho các tài nguyên • Hiển thị các quyền đặc biệt cho 1 user hoặc group

40

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Kiểm tra tác động của các quyền (tt)

41

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-6: Xác định các tác động quyền NTFS • Mở thẻ Effective Permissions cho thư mục kiểm

thử

• Nhập vào tên của user • Xem lại các quyền đặc biệt được xác nhận cho

user trong thư mục đó

• Lặp lại với 1 group

42

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Kết hợp chia sẻ thư mục và các quyền NTFS

• Các quyền NTFS có thể được kết hợp với các

quyền chia sẻ • Khi truy cập dùng chia sẻ thông qua mạng, nếu cả hai

được áp dụng, sử dụng quyền hạn chế nhất

• Khi truy cập 1 file cục bộ, chỉ áp dụng các quyền NTFS

43

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 5-7: Khảo sát tác động chia sẻ thư mục và các quyền NTFS

• Tạo 1 thư mục với cả các quyền • Thử tạo 1 thư mục cục bộ và thông qua mạng

44

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Chuyển đổi từ FAT  NTFS

• Để bảo mật cao nhất, các phân vùng và ổ đĩa phải

được cấu hình dùng NTFS

• Ứng dụng dòng lệnh CONVERT chuyển

FAT/FAT32 sang NTFS

• Tất cả các file và thư mục đã có được giữ nguyên • CONVERT không thể chuyển NTFS 

FAT/FAT32

45

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Tổng kết

• Windows Server 2003 hỗ trợ 3 hệ thống file:

• FAT • FAT32 • NTFS (khuyến cáo)

• 2 kiểu quyền

• Thư mục chia sẻ (chỉ trên mạng)

• Các công cụ là Windows Explorer, Computer

Management và lệnh NET SHARE

• NTFS (cục bộ và mạng)

• Chỉ với các phân vùng NTFS

46

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Tổng kết (tt)

• Các quyền

• Chia sẻ các thư mục, 3 quyền cơ bản • NTFS, 6 quyền cơ bản và 14 quyền đặc biệt

• Các quyền được tích lũy • Các quyền đặc biệt của 1 tài nguyên xác định từ

Advanced Security Settings

• Chia sẻ các thư mục và quyền có thể được kết hợp • Ứng dụng CONVERT có thể chuyển hệ thống file

FAT/FAT32  NTFS

47

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment