Quản Lý Quyền Truy Nhập Của Đối Tượng

master), sao đó lặp lại nội dung của nó sang các Folder chia sẻ khác trong tập hợp các Folder chia sẻ DFS. Sự lặp lại xảy ra dưới dạng một phần của qui trình Active Directory Replication.

Để cài đặt chiến lược lặp lại này tuân theo các bước sau: Mở Distributed File System.

Nhấp phải lên một DFS root hoặc DFS link, rồi nhấp Replication policy

Trong danh sách các Folder chia sẻ, hãy nhấp lên một Folder chia sẻ DFS muốn sử dụng làm cho folder master dành cho việc lặp lại.

Theo mặc định, Folder DFS đầu tiên tạo trở thành folder master dành cho việc lặp lại (Replication). Nếu muốn thay đổi mặc định này, hãy nhấp set master.

Sau khi đã cài đặt một master dành cho Replication, thì nút set master Không còn xuất hiện lúc hiển thị cửa sổ này ở những lần sau. Điều này do bởi chỉ cài đặt một master một lần để khởi đầu qui trình lặp; từ đó trở đi các Folder chia sẻ lặp lại cho một folder khác bất cứ lúc nào dữ liệu trong một trong các Folder chia sẻ DFS thay đổi.

Nhấp tất cả các replication vốn sẽ tham gia vào trong quá trình rồi nhấp enable.

Để ngăn một replication không được tham gia vào trong qui trình lặp lại. Ví dụ lúc không muốn lặp lại DFS để tạo nên một mạng lưu chuyển- chọn lọc Replica thì hãy nhấp Disable.

7) Kiểm tra các trạng thái của DFS

Thực hiện các mục kiểm tra trạng thái định kỳ của DFS replica để bảo đảm rằng các cài đặt của replica vẫn có hiệu lực dành cho các folder chia sẻ DFS, và rằng các replica đã gán hiện đang được tham chiếu một cách hoàn chỉnh bởi DFS. Lúc thực hiện việc kiểm tra các trạng thái này trên các tập hợp replica, thì kết quả chỉ ra một trong các điều kiện sau.

- Replica đã được tìm thấy và có thể được truy cập. Điều này chỉ ra rằng mọi thứ điều thực hiện chức năng một cách hoàn chỉnh.

- Replica đã được tìm thấy nhưng không thể truy cập . Điều này có nghĩa rằng các mức cho phép NTFS hoặc mức cho phép Folder chia sẻ không được cấu hình hoàn chỉnh.

- Replica đã không được tìm thấy. 9iều này có nghĩa rằng folder chia sẻ không có sẵn, ví dụ: bởi vì máy tính chủ hiện không chạy.

Để kiểm tra trạng thái của một Folder chia sẻ DFS, hãy thực hiện các bước sau đây:

- Mở Distributed file System

- Trong Distributed File System, hãy nhấp lên DFS root hoặc DFS link muốn kiểm tra tình trạng thái lặp, rồi nhấp check status.

2.4. Quản lý dữ liệu bằng NTFS

Hệ thống file NTFS trong Microsoft Windows Server 2003 vô cùng quan trọng về việc lưu trữ dữ liệu trên phần chia. Với NTFS có thể cấp quyền truy cập trên thư mục và tập tin cũng như tài nguyên, làm cho tiết kiệm được không gian đĩa như nén dữ liệu và gán giới hạn cho mỗi user. Đặt biệt NTFS cho phép mã hoá tập tin trên đĩa vật lý sử dụng Encrypting File System (EFS). Quan trọng là hiểu rò về NTFS và thực thi những tính năng trong Windows Server 2003.

2.4.1. Giới thiệu về quyền NTFS

Định dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa. Hệ thống Windows Server 2003 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory. Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người.

Hình 2 100 Quản lý quyền truy nhập của đối tượng 2 Các quyền NTFS Dùng các 1

Hình 2.100: Quản lý quyền truy nhập của đối tượng

2) Các quyền NTFS

Dùng các quyền NTFS để chỉ định user, group và computer nào có thể truy cập vào các file và folder. Các quyền NTFS cũng các user, group, và computer có thể làm được những gì với các nội dung của các file và folder.

a) Các quyền trên folder NTFS

Gán các quyền của folder để kiểm soát truy cập vào các folder, file và các subfolder. Bảng sau liệt kê các quyền tiêu chuẩn trên folder NTFS có thể gán và kiểu truy cập mà mỗi quyền cung cấp.

Các quyền NTFS

Cho phép các user

Read

Xem các file và subfolder chứa trong folder, xem các thuộc tính của folder, ownership, và các quyền của folder.

Có thể bạn quan tâm!

Xem toàn bộ 350 trang tài liệu này.

Tạo ra các file mới và subfolder bên trong folder, thay đổi các thuộc tính của folder, xem ownership và các quyền của folder.

List Folder Contents

Xem tên các file và subfolder bên trong folder.

Read & Execute

Cho phép di chuyển qua các folder, cộng với các quyền được cho phép của Read và List Folder Content

Modify

Xoá folder và thực hiện các thao tác được cho phép của Write và Read & Execute

Full Control

Thay đổi các quyền, lấy ownership, xoá các subfolder, file. Thực hiện tất cả các quyền được cho phép của tất cả các quyền NTFS khác trên folder.

Write

b) Các quyền trên file NTFS

Gán các quyền của file để kiểm soát truy cập vào file. Bảng sau liệt kê các quyền tiêu chuẩn trên file NTFS có thể gán và kiểu truy cập mà mỗi quyền cung cấp cho các user.

Các quyền NTFS

Cho phép các user

Read

Đọc file, xem các thuộc tính của file, ownership, và các quyền của file.

Write

Ghi đè lên file, thay đổi các thuộc tính của file, xem ownership và các quyền của file.

Read & Execute

Chạy các ứng dụng và thực hiện các quyền được cho phép của Read.

Modify

Chỉnh sửa và xoá file, thực hiện các thao tác được cho phép của Write và Read & Execute

Full Control

Thay đổi các quyền, lấy ownership, xoá các subfolder, file. Thực hiện tất cả các quyền được cho phép của tất cả các quyền NTFS khác trên file.

Ghi chú: Khi format một phân vùng đĩa với NTFS, Windows Server 2003 tự động gán quyền Full Control cho nhóm Everyone của root folder. Nhóm Everyone sẽ có quyền Full Control mặc định đối với tất cảc các file, folder được tạo ra trong root folder. Để giới hạn truy cập của các user được cho phép, nên thay đổi các quyền mặc định cho các file và folder mình tạo ra.

2.4.2. Áp dụng các quyền NTFS cho Windows Server

Mặc định, khi gán các quyền cho các user, group trên một folder, các user và group được truy cập vào các subfolder và file bên trong folder đó. Phải hiểu tầm quan trọng của việc các subfolder và file thừa kế các quyền NTFS từ các parent folder để có thể sử dụng khả năng thừa kế để nhân rộng các quyền cho các file và folder.

Nếu gán các quyền cho một file hay folder trên một user account riêng lẻ hay một group mà user này là thành viên, thì user này có nhiều (đa) quyền trên cùng một tài nguyên. Có những luật và độ ưu tiên liên quan đến cách thức NTFS kết hợp các quyền này. Cũng có thể tác động đến các quyền khi copy hay di chuyển các file và folder.

1) Đa quyền NTFS

Nếu gán các quyền NTFS cho một user account riêng lẻ và cho cả group mà user đó là thành viên đã gán đa quyền cho user. Có những luật kết hợp các quyền của NTFS để tạo ra quyền có hiệu lực của user.

Hình 2 101 Mô hình gán truyền truy nhập dữ liệu Các quyền được tích lũy 2

Hình 2.101: Mô hình gán truyền truy nhập dữ liệu

- Các quyền được tích lũy: Quyền có hiệu lực của user trên một tài nguyên là sự kết hợp của các quyền NTFS đã gán cho user account và group mà user account đó là thành viên. Ví dụ nếu một user có quyền Read trên một folder và đồng thời là thành viên của group có quyền Write trên cùng folder thì user này sẽ có cả hai quyền Read và Write trên folder.

- Các quyền trên file cao hơn các quyền trên folder: Các quyền NTFS trên file có độ ưu tiên cao hơn các quyền trên folder. Ví dụ như một user có quyền Change trên một file sẽ có thể thay đổi trên file dù anh ta chỉ có quyền Read trên folder chứa file đó.

- Deny vượt trên tất cả các quyền khác: Có thể từ chối truy cập vào một file hay folder nào đó bằng cách gán quyền Deny vào user account hay group. Ngay cả khi một user có quyền truy cập vào file hay folder với vai trò một thành viên của group, quyền deny sẽ khoá tất cả các quyền khác mà user có. Vì thế Deny là một quyền ngoại lệ đối với luật tích lũy các quyền. Nên tránh quyền Deny bởi vì chúng ta dễ dàng gán quyền truy cập trên các user và group hơn là gán quyền Deny. Hay hơn cả là cấu trúc

các group và sắp xếp các tài nguyên trong folder để cho các quyền cho phép truy cập là đủ dùng.

Ghi chú: Với Windows Server 2003, có một khác biệt giữa việc một user không có quyền truy cập và việc từ chối truy cập trên user đó bằng các thêm Deny entry vào ACL trên file hay folder. Nghĩa là với vai trò người administrator, có nhiều cách để từ chối truy cập. Thay vì gán quyền Deny có thể đơn giản không cho phép user truy cập vào một file hay folder.

2) Thừa kế quyền NTFS

Mặc định, các quyền gán cho parent folder được thừa kế và nhân ra cho các file và subfolder chứa trong nó. Tuy nhiên, có thể ngăn chặn điều này nếu muốn các folder và file có các quyền khác với parent folder của chúng.

Hình 2 102 Mô hình thừa kế quyền truy nhập Thừa kế các quyền Bất cứ 3

Hình: 2.102: Mô hình thừa kế quyền truy nhập

- Thừa kế các quyền: Bất cứ quyền gì gán cho parent folder cũng đều áp dụng cho các subfolder và file bên trong nó. Khi gán các quyền NTFS để cho phép truy cập vào một folder, tức là không những đã gán các quyền trên folder đó mà còn gán các quyền cho bất kỳ các file và subfolder có sẵn cũng như bất kỳ các file và subfolder tạo ra sau này mà chứa bên trong nó.

- Ngăn chặn sự thừa kế các quyền: Có thể ngăn chặn sự thừa kế quyền, theo đó sẽ ngăn chặn các file và folder thừa hưởng các quyền từ parent folder. Để ngăn chặn sự thừa kế, gở bỏ các quyền được thừa kế và chỉ giữ lại các quyền được gán rò ràng.

3) Sao chép và di chuyển các file và thư mục

Khi copy hay di chuyển các file hay folder, các quyền có thể thay đổi tùy thuộc vào nơi di chuyển file hay folder. Phải hiểu tầm quan trọng của sự thay đổi các quyền khi di chuyển hay copy các file hay folder.

Hình 2 103 Mô hình sao chép quyền truy nhập Copy các file và folder Khi copy hay di 4

Hình: 2.103: Mô hình sao chép quyền truy nhập

- Copy các file và folder : Khi copy hay di chuyển các file hay folder từ folder này đến folder kia, hay từ một phân vùng này đến phân vùng kia thì các quyền trên các file hay folder đó có thể thay đổi. Copy một file hay folder có một số các tác động sau trên các quyền NTFS :

Khi copy một folder hay file bên trong một phân vùng NTFS đơn, bản copy của file hay folder đó thừa hưởng các quyền của folder nơi đến.

Khi copy một folder hay file giữa các phân vùng NTFS, bản copy của file hay folder đó thừa hưởng các quyền của folder nơi đến.

Khi copy một folder hay file đến các phân vùng không phải NTFS (như là FAT), bản copy của file hay folder đó bị mất các quyền NTFS bởi vì các phân vùng không phải NTFS thì không hổ trợ các quyền này.

Để copy các file và folder trong một phân vùng NTFS hay giữa các phân vùng NTFS, phải có quyền Read cho thư mục nguồn và quyền Write cho thư mục nơi đến.

- Di chuyển các file và folder: Khi di chuyển một file hay folder, quyền có thể thay đổi tùy thuộc vào quyền của folder nơi đến. Di chuyển một file hay folder có một số các tác động sau trên các quyền NTFS :

Khi di chuyển một folder hay file bên trong một phân vùng NTFS, file hay folder giữ nguyên các quyền gốc của nó.

Khi di chuyển một folder hay file giữa các phân vùng NTFS, file hay folder đó thừa hưởng các quyền của folder nơi đến. Khi di chuyển một folder hay file giữa các phân vùng, thực sự copy một folder hay file đến vị trí mới và xoá folder hay file ở vị trí cũ.

Khi di chuyển một folder hay file đến các phân vùng không phải NTFS (như là FAT), file hay folder đó bị mất các quyền NTFS bởi vì các phân vùng không phải NTFS thì không hổ trợ các quyền này.

Để di chuyển các file và folder trong một phân vùng NTFS hay giữa các phân vùng NTFS, phải có quyền Write cả cho thư mục nơi đến và quyền Modify cho thư

mục nguồn của folder hay file. Quyền Modify được yêu cầu để di chuyển một folder hay file bởi vì Windows Server 2003 gỡ bỏ folder hay file ra khỏi folder nguồn sau khi nó copy folder hay file đó vào folder nơi đến.

2.4.3. Sử dụng các quyền NTFS

Những người Administrator, các user có quyền Full Control, và owner của các file hay folder có thể gán quyền trên các file hay folder cho các user account và các group. Khi gán quyền và kiểm soát việc thừa kế, nên theo bài thực hành tốt nhất để giúp gán quyền một cách có hiệu quả. Chỉ nên gán quyền theo nhu cầu của các group và user.

1) Gán các quyền NTFS

Gán các quyền NTFS trong hộp Properties của folder. Khi gán và chỉnh sửa các quyền NTFS cho một file hay folder, có thể thêm bớt các user, group, computer có quyền trên file hay folder đó. Bằng cách chọn một user hay group có thể chỉnh sửa các quyền của user hay group đó.

Hình 2 104 Gán các quyền NTFS cho các user Trên tab Security của hộp Properties của 5

Hình 2.104: Gán các quyền NTFS cho các user

Trên tab Security của hộp Properties của file hay folder, cấu hình các options được mô tả trong bảng sau.

Option

Mô tả

Name

Chọn user account hay group muốn thay đổi các quyền hay muốn bỏ ra khỏi danh sách.

Permissions

Cho phép một quyền khi chọn check box Add. Từ chối một quyền khi chọn check box Deny.

Add

Mở hộp Select User, Groups, or Computers để chọn các user account và group muốn thêm vào danh sách Name.

Gở bỏ các user account hay group đã chọn và các quyền có liên quan trên file hay folder.

Remove

2) Thiết lập sự thừa kế quyền

Để cho Windows Server 2003 nhân rộng các quyền từ một parent folder đến các subfolder hay file chứa trong parent folder đó. Sự nhân các quyền này làm đơn giản hóa việc gán các quyền cho tài nguyên.

Hình 2 105 Thiết lập sự thừa kế quyền Tuy nhiên có đôi lúc muốn ngăn chặn 6

Hình 2.105: Thiết lập sự thừa kế quyền

Tuy nhiên, có đôi lúc muốn ngăn chặn sự thừa kế quyền. Ví dụ có thể cần giữ tất cả các file của phòng Sales trong một folder Sales mà mọi người trong phòng đều có quyền Write. Tuy vậy, cần phải giới hạn các quyền trên một số file trong folder có quyền Read mà thôi. Để làm việc này sẽ ngăn chặn sự kế thừa để quyền Write không được nhân ra cho các file chứa trong folder đó.

Mặc định, các subfolder và file thừa kế các quyền gán cho parent folder của chúng, trong tab Security trong hộp Properties khi check box Allow inheritable permissions from parent to propagate to this object được chọn.

Để ngăn chuyện đó hãy xoá check box đã nói trên và chọn một trong hai option mô tả sau đây.

Option

Mô tả

Copy

Copy các quyền thừa kế trước đây từ parent folder cho các subfolder và file và từ chối thừa kế các quyền gán cho parent folder sau này.

Remove

Bỏ quyền thừa kế được gán cho parent folder khỏi các subfolder và file, chỉ giữ lại các quyền gán có chủ đích cho chúng.

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 29/06/2022