2.4.4. Sử dụng các quyền đặc biệt của NTFS
Các quyền tiêu chuẩn của NTFS nói chung cung cấp đầy đủ sự kiểm soát cần thiết để bảo đảm an toàn cho các tài nguyên. Tuy nhiên, có những thực thể mà các quyền NTFS tiêu chuẩn không cung cấp những mức độ truy cập muốn gán cho các user. Để chỉ định những mức độ truy cập, gán các quyền NTFS đặc biệt.
1) Giới thiệu về quyền đặc biệt của NTFS
Các quyền truy cập đặc biệt mức độ kiểm soát cao hơn với các tài nguyên. Có 13 quyền truy cập đặc biệt mà khi kết hợp lại sẽ tạo thành các quyền NTFS tiêu chuẩn. Ví dụ quyền Read tiêu chuẩn bao gồm quyền Read Data, Read Attributes, Read Permissions và quyền đặc biệt Read Extended Attributes tạo thành.
folder:
Hình 2.106: Mô hình quyền đặc biệt của NTFS
Hai quyền truy cập đặc biệt sau là rất có ích khi quản lý truy cập vào các file ha
Change Permissions. Gán quyền này cho phép một user khả năng thay đổi
quyền của một file hay folder.
Take Ownership. Gán quyền này cho phép một user khả năng lấy ownership của các file và folder.
Thay đổi các quyền: Có thể cho phép các người administrator và user khả năng thay đổi các quyền trên file và folder mà không cần cho họ quyền Full Control. Theo cách này người Administrator hay user không thể ghi vào file hay folder nhưng có thể gán các quyền trên file hay folder đó.
Để cho phép group administrators khả năng thay đổi các quyền, gán quyền Change Permissions trên file hay folder đó cho group administrators.
Lấy ownership: Có thể chuyển ownership của các file và folder từ một user account hay group đến một user account hay group khác. Cũng có thể cho ai đó quyền lấy ownership, như là một người administrator có thể lấy ownership của một file hay folder.
Các luật sau áp dụng khi lấy ownership của một file hay folder:
- Owner hiện tại hay bất kỳ user nào với quyền Full Control có thể gán quyền Full Control tiêu chuẩn hay quyền truy cập đặc biệt Take Ownership cho user account hay group khác. Điều này cho phép user account hay một thành viên của group lấy được ownership.
- Một thành viên của group Administrators có thể lấy ownership của một file hay folder mà không cần quan tâm đến các quyền khác đã gán cho file hay folder đó. Nếu một người administrator lấy ownership, group Administrators trở thành owner, và bất kỳ thành viên nào của group Administrators đều có thể thay đổi các quyền của file hay folder và gán quyền Take Ownership cho user account hay group khác.
Ví dụ như một nhân viên rời công ty, người administrator lấy ownership của các file của nhân viên này và gán quyền Take Ownership cho nhân viên khác, sau đó nhân viên kia có thể lấy lại ownership của các files của nhân viên nghĩ việc.
Ghi chú: Để trở thành owner của một file hay folder, một user hay thành viên của group với quyền Take Ownership phải lấy ownership của file hay folder đó. Không thể tự động gán cho ai ownership của một file hay folder. Người chủ của một file, một thành viên của nhóm Administrators hay bất cứ ai với quyền Full Control đều có thể gán quyền Take Ownership cho một user account hay group, để sau đó user account hay group này có thể lấy ownership của file đó.
2) Thiết lập sự thừa kế quyền đặc biệt
Hình 2.107: Thiết lập sự thừa kế quyền đặc biệt
Để gán các quyền truy cập đặc biệt cho các user và group, thực hiện các bước sau: Trong hộp Properties của một file hay folder, trên tab Security, click Advanced.
Trong hộp Access Control Setting của file hay folder, trên tab Permission, chọn user account hay group muốn cho quyền truy cập đặc biệt NTFS, rồi click View/Edit.
Trong hộp Permission Entry của file hay folder, cấu hình các option như bảng
sau.
Mô tả | |
Name | Chỉ định tên user account hay group. Để chọn một user account hay group khác, click Change. |
Apply on to | Chỉ định mức độ phân cấp folder mà các quyền truy cập đặc biệt NTFS được thừa kế. Mặc định là This folder, subfolders and files. |
Permissions | Cho phép chỉ định các quyền truy cập đặc biệt. Để cho phép quyền Chang Permissions hay Take Ownership, chọn check box Allow từ mỗi quyền. |
Apply these permissions to objects and/or containers within this container only | Chỉ định subfolder và file bên trong một folder được thừa kế các quyền truy cập đặc biệt từ folder đó hay không. Chọn check box này để nhân rộng các quyền truy cập đặc biệt cho các files hay subfolder. Xoá check box này để ngăn chặn thừa kế quyền. |
Clear All | Click nút này để xoá tất cả các quyền đã chọn. |
Có thể bạn quan tâm!
-
Hộp Thoại Assign Drive Letter Or Path -
Cấu Hình Thư Mục Chia Sẻ Bằng Sử Dụng Hệ File Phân Tán (Dfs) -
Quản Lý Quyền Truy Nhập Của Đối Tượng -
Các Dịch Vụ Mạng Và Bảo Mật -
Hệ điều hành mạng - 26 -
Hộp Thoại Để Qui Định Giấy Và Chất Lượng In
Xem toàn bộ 350 trang tài liệu này.
2.4.5. Nén dữ liệu trên một phân vùng NTFS
Khả năng nén dữ liệu của hệ thống file NTFS cho phép nén các file và folder. Các file và folder đã nén chiếm ít chổ trống hơn trên phân vùng định dạng NTFS cho phép chứa nhiều dữ liệu hơn. Đặt tình trạng nén cho các file và folder. Các file và folder copy giữ nguyên tình trạng nén, hay chúng có thể thừa kế tình trạng nén của folder nơi đến. Nên theo bài thực hành để tập quản lý việc nén dữ liệu.
Hình 2.108: Mô hình nén dữ liệu
1) Giới thiệu về các file nén và folder nén
Mỗi file và folder trên một phân vùng NTFS có một trạng thài nén là compressed hay uncompressed. Trạng thái nén của một folder không phản ánh trạng thái nén của các file và subfolder bên trong nó. Ví dụ một folder có thể được nén nhưng tất cả các file bên trong nó có thể là không nén. Cũng vậy, các folder không nén cũng có thể chứa các file nén.
Xem xét các thông tin sau khi làm việc với các file và folder nén:
- Cấp phát khoảng trống: NTFS cấp phát khoảng trống dựa trên kích thước chưa nén của file. Nếu copy một file nén vào một phân vùng không đủ chổ trống cho file lúc chưa nén thì sẽ nhận được thông báo lỗi là không đủ chổ trống.
- Trạng thái nén hiển thị màu sắc: có thể thay đổi màu sắc hiển thị của các file và folder nén để phân biệt chúng với các file và folder không nén.
- Truy cập các file và folder nén qua các ứng dụng: Các file nén có thể được đọc, ghi từ các ứng dụng chạy trên nền Windows hay MS-DOS mà không cần phải được giải nén trước bởi một chương trình khác. Khi một ứng dụng hay lệnh hệ điều hành yêu cầu truy cập vào một file nén, Windows Server 2003 tự động giải nén file đó. Khi đóng hay ghi một file, Windows Server 2003 nén nó trở lại.
Hình 2.109: Hộp thoại cho phép nén dữ liệu
2) Nén các file và folder
Windows Explorer cho phép lập tình trạng nén cho file và folder và thay đổi màu sắc của các file và folder đã nén.
Ghi chú: Không thể nén một file hay folder đã được mã hoá. Nếu check box
Encrypt content to secure data được chọn không thể nén file hay folder đó.
- Thiết lập tình trạng nén: Để lập tình trạng nén của một file hay folder, trong hộp
Advanced attribute, chọn check box Compress contents to save disk space. Nếu nén một folder, Windows Server 2003 hiển thị hộp Confirm Attribute Changes, hộp này có hai option được mô tả như sau:
Mô tả | |
Apply changes to this folder only | Chỉ nén folder đã chọn và bất kỳ folder hay file nào đã thêm vào nó. |
Apply changes to this folder, subfolders and files | Nén folder này và tất cả các subfolder và file chứa trong nó cũng được thêm vào nó. |
- Thay đổi màu sắc hiển thị: Có thể đặt màu hiển thị cho các file và folder nén. Trong Windows Explorer, trên menu Tools, click Folder Options. Trên tab View, chọn check box Display compressed files and folders with alternative color.
3) Copy và di chuyển các file và folder nén
Danh sách sau mô tả cách Windows Server 2003 xử lý với tình trạng nén của các file hay folder khi copy hay di chuyển một file hay folder nén bên trong hay giữa các phân vùng NTFS, hay giữa phân vùng NTFS và không phải NTFS:
Hình 2.110: Mô hình Copy và di chuyển các file và folder nén
Trong phần Active Directory Users and Computers cho thấy, khi copy một file hay folder bên trong một phân vùng NTFS, file đó thừa kế tình trạng nén của folder nơi đến. Ví dụ nếu copy một file hay folder nén đến một folder không nén thì file hay folder đó tự động được giải nén.
- Trong phần B mô tả, khi di chuyển một file hay folder bên trong một phân vùng NTFS, file hay folder giữ nguyên tình trạng nén của nó. Ví dụ nếu di chuyển một file nén vào một folder chưa nén, file đó sẽ vẫn được nén.
- Trong phần C cho thấy, khi copy một file hay folder giữa các phân vùng
NTFS thì file hay folder đó sẽ thừa kế tình trạng nén của folder nơi đến.
- Trong phần Domain user accounts mô tả, khi di chuyển một file hay folder giữa các phân vùng NTFS, file hay folder đó thừa kế trạng thái nén của folder nơi đến. Bởi vì Windows Server 2003 coi việc di chuyển giữa các phân vùng như là copy và delete, nên các file sẽ thừa kế tình trạng nén của folder nơi đến.
Windows Server 2003 chỉ hổ trợ nén trên các phân vùng NTFS. Khi copy hay di chuyển một file hay folder nén đến một phân vùng không phải NTFS thì Windows Server 2003 tự động giải nén file hay folder đó.
Khi copy một file nén, Windows Server 2003 giải nén file, copy file đó, rồi nén file lại một lần nữa. Điều này sẽ ảnh hưởng làm chậm tốc độ của hệ thống.
2.4.6. Cấu hình đĩa theo dòi và kiểm soát (Disk quotas) trên các phân vùng NTFS
Sử dụng disk quotas để quản lý sự tăng trưởng dung lượng đĩa sử dụng trong môi trường phân tán. Disk quotas cho phép cấp phát khoảng trống cho các user dựa trên các file và folder mà họ có. Disk quotas cho phép kiểm soát lượng dung lượng đĩa các user dùng để chứa file. Điều quan trọng là phải hiểu disk quotas làm việc như thế nào, khi đó có thể dùng disk quotas cách hiệu quả nhất trên mạng.
1) Sử dụng Disk quotas
Windows Server 2003 disk quotas theo dòi và kiểm soát dung lượng đĩa dùng của mỗi user, mỗi phân vùng. Thông thường, Windows Server 2003 theo dòi lượng đĩa mỗi người sử dụng mà không quan tâm đến folder họ chứa các file. Danh sách sau mô tả các đặc tính của Windows Server 2003 disk quotas:
- Lượng đĩa sử dụng được tính trên ownership của các file và folder. Khi một user copy hay ghi một file mới vào một phân vùng NTFS, hay lấy ownership của một file trên một phân vùng NTFS, Windows Server 2003 sẽ tính vào dung lượng đĩa đã dùng cho giới hạn quotas của user đó.
- Disk quotas không tính trên dung lượng nén. Các user được tính lượng đĩa sử dụng dựa trên dung lượng chưa nén mà không cần biết lượng đĩa cứng đã dùng thật sự là bao nhiêu. Nguyên do là vì file nén tạo ra mức độ nén khác nhau trên từng loại file.
- Khoảng trống đĩa dành cho các ứng dụng được tính dựa trên giới hạn quotas. Khi thực hiện disk quotas, khoảng trống đĩa mà Windows Server 2003 báo cho các ứng dụng của phân vùng là lượng khoảng trống còn lại trong giới hạn quotas của user.
- Windows Server 2003 theo dòi disk quotas độc lập theo từng phân vùng, ngay cả khi các phân vùng nằm cùng trên một đĩa cứng vật lý.
Chỉ áp dụng disk quotas cho các phân vùng định dạng theo hệ thống file NTFS trong Windows Server 2003.
Để kiểm soát lượng đĩa trống mà các user còn, đặt một cảnh báo chỉ rò khi nào Windows Server 2003 nên log một event, cho biết user đã gần tới mức giới hạn sử
dụng. Áp đặt giới hạn disk quotas và từ chối truy cập của các user nếu họ vượt giới hạn cho phép, hay bỏ qua disk quotas và cho họ tiếp tục sử dụng.
2) Thiết lập Disk quotas
Cấu hình disk quotas để áp đặt các cảnh báo và các giới hạn disk quotas cho tất cả các user hay cho từng user riêng lẻ.
Hình 2.111: Sử dụng Disk quotas
- Thực hiện disk quotas: Để thực hiện disk quotas, mở hộp Properties của một ổ đĩa. Trên tab Quotas, cấu hình các options mô tả trong bảng sau:
Mô tả | |
Enable quotas management | Chọn check box này để kích hoạt khả năng quản lý disk quotas cho đĩa. |
Deny disk space to users exceeding quota limit | Chọn check box này để các user nhận thông báo Out of disk space và bị ngăn không cho ghi lên đĩa nếu họ vượt quá dung lượng đĩa cứng cấp phát. |
Do not limit disk usage | Chọn option này khi không muốn giới hạn lượng đĩa dùng của các user. |
Limit disk space to | Cấu hình lượng đĩa sẵn dùng cho các user. |
Set warning level to | Cấu hình lượng đĩa sẵn dùng cho các user trước khi Windows Server 2003 log một event cho biết user đang gần tới mức giới hạn. |
Quotas entries | Click nút này để thêm vào một entry, delete một entry và xem thuộc tính của một quota entry. |
- Áp đặt disk quotas cho tất cả các user: Để áp đặt giới hạn quota cho tất cả các user, thực hiện các bước sau:
Trong hộp Limit disk space to và Set warning level to, nhập vào các giá trị giới hạn và cảnh báo muốn lập.
Chọn check box Deny disk space to users exceeding quota limit.
Windows Server 2003 sẽ giám sát việc sử dụng đĩa và sẽ không cho phép user tạo file hay folder mới trên phân vùng khi họ vượt quá giới hạn.
- Áp đặt disk quotas cho tất các cá nhân: Để áp đặt giới hạn quota cho một user nào đó, thực hiện các bước sau:
Trong hộp Properties của đĩa, trên tab Quota, click Quota Entries.
Trong hộp Quota Entries, tạo một entry mới bằng cách click New Quotas Entry trên menu Quota, rồi chọn một user.
Cấu hình giới hạn lượng đĩa sử dụng và mức độ cảnh báo cho user này.
BÀI TẬP CHƯƠNG 2
Bài 1: Với hệ thống mạng như sau. Hãy tạo tài khoản người dùng và nhóm cho Công ty theo yêu cầu sau:
Hãy cấp quyền các tài khoản theo yêu cầu sau:
- Tài khoản TUNG chỉ có thể đăng nhập từ máy TUNG và phải thay đổi mật khẩu ở lần đăng nhập đầu tiên
- Tài khoản DIEP chỉ sử dụng đến ngày 30.09.2008 thì sẽ bị khóa. Tài khoản này chỉ có thể đăng nhập trong giờ hành chánh. Tài khoản này không được phép đổi mật khẩu.
Hướng dẫn:
- Sử dụng công cụ Active Directory Users and Computers để tạo tài khoản người dùng và nhóm
- Đối với tài khoản TUNG sử dụng thuộc tính Logon WorkStations và thuộc tính User must change password at the next logon.