2. Nội dung
Các hệ thống file khác nhau
Quản lý thư mục chia sẻ
Điều khiển truy cập vào các đối tượng
Tác động của kết hợp quyền chia sẻ thư
mục và quyền ntfs
Ủy quyền quản trị các đối tượng
3. Các hệ thống file trong win
2003
3 hệ thống file chính
FAT(File Allocation Table)
FAT32
NTFS
Lựa chọn hệ thống file phụ thuộc vào
hệ thống sẽ được dùng như thế nào
Có dùng nhiều HDH không
Y/c bảo mật
NTFS khuyến cáo nên chọn
4. FAT
Dùng bởi MS-DOS
Được hỗ trợ bởi tất cả phiên bản window
trước đó
Các hạn chế
tối đa 2GB
Không có đặc tính bảo mật file
Cách dùng không gian đĩa kém
5. FAT32
Một dẫn xuất của FAT
Phân vùng có thể lên tới 2TB
Không cung cấp đặc tính bảo mật nâng
cao
6. NTFS
Giới thiệu trong WinNT
Hô trợ phân vùng từ 2TB đến 16TB
Thuận lợi
linh hoạt và hiệu xuất tốt trên phân vùng lớn
Hỗ trơ cho hệ thống AD
Cấu hình các quyền bảo mật trên từng file
và thư mục
Tích hợp hỗ trợ nén và bảo mật
Cho phép cấu hình quota
Báo cáo lỗi cho các hoạt động đĩa
7. Tạo và quản lý các thư mục
chia sẻ
Thư mục chia sẻ
Một nguồn dữ liệu sẵn sàng qua mạng cho
các client đã chứng thực
Đặc tả các quyền cho hoạt động tạo, đọc,
sửa
Các group có thể tạo thư mục chia sẻ
Administrators
Server Operator
Power Users
8. Tạo và quản lý các thư mục
chia sẻ
2 cách hay dùng
Thông qua Window Explorer
Giao diện Computer Management Explorer
9. Dùng Window Explorer
Có thể tạo, chia sẻ
các thư mục
Chia sẻ thông qua
Properties-> Sharing
tab
10. (tt)
Tên chia sẻ thư mục không cần phải là
tên thư mục
Biểu tượng bàn tay cho biết thư mục
chia sẻ
Các thư mục chia sẻ ẩn trong My
Network Place và Network Neighborhood
Đặt dấu ($) sau tên (Salary$)
11. Dùng Computer Management
Cho phép chia sẻ và kiểm soát các thư mục
trên máy tính cục bộ và từ xa
Cho phép ngừng chia sẻ
Folder Wizard
Dùng để tạo các thư mục trong shared folder
Cấu hình sẵn
Tất cả user có quyền chỉ đọc(read-only)
Administrator có toàn quyền, mọi user khác có quyền đọc
Administrator có toàn quyền, mọi user khác có quyền đọc
và ghi
Chia sẻ tùy biến và các quyền thư mục
12. Kiểm soát các truy cập vào
Shared Folders
Kiểm soát bao gồm
Ai dùng các file chia sẻ
File chia sẻ nào dùng tại thời điểm nào
Các chức năng khác
Hủy kết nối các user vào một chia sẻ
Gửi các thông điệp cảnh báo trên mạng
13. Quản lý các quyền thư mục
chia sẻ
Mỗi thư mục chia sẻ có một
discretionary access control list(DACL) -
danh sách điều khiển truy cập tùy biến
Chứa danh sách user hoặc tham chiếu
group vừa được cho quyền hay từ chối
quyền
Mỗi tham chiếu là một access control
entry(ACE)
Các quyền chỉ áp dụng cho user mạng,
không dùng cho user đăng nhập trực
tiếp từ máy cục bộ
15. Quản lý các quyền thư mục
chia sẻ
Để từ chối truy cập đ/với user hay group
Phải quy định rõ ràng quyền từ chối truy
cập với mỗi cá nhân
Default Permission: read cho group
everyone
Folder permission are inherited by all
contained object
16. Quản lý quyền truy cập và
NTFS
Quản lý quyền truy cập
Các quyền trong NTFS
17. Điều khiển quyền truy cập
Sử dụng cơ chế object-based security
cài đặt quyền truy cập vào các đối tượng
Mỗi đối tượng trong AD có một bảng mô
tả định nghĩa ai được truy cập vào đối
tượng và được làm gì.
18. Quyền truy cập
Security Principal: là các đối tượng như
user, group, computer được gán một
SID(security identifier)
Điều khiển quyền truy cập vào đối
tượng: cấp hoặc từ chối quyền truy cập
của các security principal
Window server 2003 lưu một danh sách
quyền truy cập người dùng(ACL:access
control list) -> lưu giữ ai có thể truy cập
đối tượng và có thể làm gì trên đối
tượng.
19. Permission
Quyền truy cập định nghĩa kiểu truy cập
được cấp cho người dùng, nhóm, máy
tính hay là đối tượng bất kỳ
Các quyền này liên kết với các đối tượng
như tệp, thư mục, máy in…
Gán quyền này cho người dùng, nhóm
trong AD hay trên máy cục bộ
21. Thành viên nhóm và quyền
truy cập
Một security principal có thể là thành
viên nhiều nhóm
Mỗi nhóm cung cấp quyền truy cập khác
nhau và mức độ khác nhau
Một security principal được thiết lập
quyền truy cập trên tài nguyên và anh ta
thuộc một nhóm được thiết lập quyền
khác -> quyền truy cập của security
principal sẽ là sự kết hợp 2 quyền trên
23. NTFS File and Folder
Permissions
File permissions Folder permissions
Full Control
Full Control
Modify
Modify
Read & Execute
Read & Execute
Write
Write
Read
Read
List Folder
Contents
24. Khi sao chép và di chuyển
Copy NTFS Partition
E:
NTFS Partition Copy
C: Or
Move
NTFS Partition Move
D:
Khi sao chép tập tin hay thư mục thì sẽ
kế thừa quyền của thư mục đích
Khi di chuyển file hay thư mục trong
cùng một phân vùng, vẫn dữ nguyên
quyền
Khi di chuyển sang phân vùng khác, nó
kế thừa quyền của thư mục đích.
25. Kế thừa quyền NTFS
Inherit permissions
FolderA
Read / Write
FolderB
Access to FolderB
Prevent inheritance
FolderA
Read / Write FolderB
No access to FolderB FolderC
26. Một số lời khuyên
Cấp quyền cho nhóm cục bộ trong miền
hơn là cho từng users
Nhóm tài nguyên lại để làm đơn giản
công tác quản lý
Cấp quyền đọc và chạy cho thư mục
chứa ứng dụng
Cấp quyền đọc, ghi cho thư mục dữ liệu
29. Effective Permission
Quyền tổng quát mà một security principal có
trên một đối tượng, bao gồm quyền thành viên
nhóm, quyền kế thừa.
30. Kết hợp chia sẻ thư mục và
các quyền NTFS
Các quyền NTFS có thể được kết hợp
với các quyền chia sẻ
Khi truy cập dùng chia sẻ thông qua mạng,
nếu cả 2 được áp dụng, sử dụng quyền hạn
chế nhất
Khi truy cập một file cục bộ, chỉ áp dụng
quyền NTFS
31. Chuyển từ FAT-> NTFS
Để bào mật cao nhất, các phân vùng và ổ
đĩa phải cấu hình dùng NTFS
Ứng dụng dòng lệnh CONVERT chuyển
từ FAT/FAT32 -> NTFS
Tất cả các file và thư mục được giữ
nguyên
CONVERT không thể chuyển NTFS-
>FAT/FAT32
32. Ủy quyền là gì
Gán quyền điều khiển
OU cho người dùng
hay nhóm khác
Ủy quyền có tác dụng
Phân tán công việc
quản trị
Giúp các người dùng, OU1 Admin1
nhóm nhiều quyền
điều khiển trên tài OU2 OU3
nguyên cục bộ
Giảm số lượng tài Admin2 Domain Admin3
khoản có quyền quản
trị trong toàn miền
33. Wizard Ủy quyền
Dùng wizard ủy quyền điều khiển để chỉ
định
Người dùng, nhóm mà bạn muốn ủy quyền
OU hay các đối tượng mà bạn muốn người
dùng hay nhóm được cấp quyền điều khiển
Công việc mà người dùng hay nhóm có thể
thực hiện
Tự động gán cho người dùng quyền phù
hợp để truy cập hay là thay đổi đối
tượng
34.
35.
36. Users group
1 Write for Folder1 NTFS Partition
Sales group
Read for Folder1
Folder1
Users Group
Users group
2 Read for Folder1
File1
Sales group
User1 Write for Folder2
Folder2
3 Users group
Modify for Folder1
File2 should only File2
be accessible to
Sales Group Sales group and
only with Read
permission
37. Effects of Combined Shared Folder and
NTFS Permissions
Public
FC
Users NTFS Volume
Read
File1
Change
File2
38. Practice: Determining Effective NTFS
and Shared Folder Permissions
In this practice, you will:
Determine effective NTFS
permissions
Determine shared folder
permissions
1 NTFS Volume
2 NTFS Volume
Users Group
Sales Group
FC Users
R Data
User1 FC User1 F
Sales Group C Sales
User2 FC User2 HR
User3 FC User3 Pubs