Friday, January 21, 2011

Phân quyền trên NTFS-Permission

Khi chia sẻ folders/files trong NTFS, ta cần phải phân quyền cho các tài nguyên này. Các user khi truy xuất đến tài nguyên chia sẻ sẽ nhận được quyền mà ta đã phân cho họ. Việc phân quyền này dựa trên quá trình:
  • -quản lý truy cập cục bộ(local access)
  • -quản lý truy cập qua mạng(network access)
Phần này sẽ tìm hiểu về việc phân quyền trên NTFS và phân quyền chia sẻ thông qua truy cập qua mạng. Việc hiểu được cách thức tài nguyên được phân quyền có thể  giúp giải quyết một số vấn đề trong việc chia sẻ tài nguyên.



1.Phân quyền cục bộ- local access

Có 2 kiểu files system chính của windows là FAT và NTFS. Trong đó FAT ko hỗ trợ cho việc bảo mật cục bộ nhưng NTFS thì có. Ta có thể xác lập mức truy cập đến tài nguyên cho từng user trên NTFS partition, tùy thuộc vào user và nhóm của user.

NTFS Permission điều khiển việc truy cập đến NTFS file và folder. Ta có thể cấu hình cho phép(allow) hoặc cấm (deny) một quyền nào đó đến users và groups. Trong 2k3 cung cấp cho ta 3 mức NTFS permission:
+Full control:quyền này cho phép
    1.duyệt folders và thực thi các files trong folders.
    2.Liệt kê các nội dung của 1 folder và đọc dữ liệu trong các files của folders
    3.Xem các thuộc tính của files và folders
    4.Thay đổi thuộc tính của file hoặc folder
    5.Tạo file, sửa file
    6.Tạo folder và nội dung cho folder
    7.Xóa các folder và files bên trong
    8.Xóa files
    9.nén files
    10.Đổi quyền cho files và folders
    11.tạo ra quyền sở hữu của files và folders
+Modify:cho phép
    1.
    2.
    3.
    4.
    5.
    6.
    8.
+Read and Execute
    1.
    2.
    3.
+List folder contents
    1.
    2.
    3.
+Read
    2.
    3.
    12.xem quyền
+Write
    13.Ghi đè files
    12.
    4.
    6.
    7.
Bất kỳ một user nào có full quyền có thể quản lý việc phân quyền cho folder. Khi một folder đc tạo trong 2k3, các quyền mặc định sau sẽ có:
  • -Nhóm Administrators có full quyền
  • -Nhóm Systems có full quyền
  • -Nhóm Users có quyền Read&exec, list folder contents, read

Để kiểm tra có thể tạo mới một folder trên DC sau đó vào properties của thư mục, chọn thẻ Security để xem quyền mặc định của thư mục



-----
Quyền thực sự cho user

Một user có thể thuộc vào các nhóm khác nhau. Mỗi nhóm này có thể có từng chính sách về quyền khác nhau đối với tài nguyên.Khi đó, quyền của user thuộc các nhóm khác nhau này là quyền kết hợp lại từ những quyền đc thừa hưởng từ group theo thứ tự ưu tiên ảnh hưởng.

Quyền deny có thứ tự ưu tiên cao nhất.

VD:
User A thuộc 2 nhóm G1 và G2 đc phân quyền trên myfile.
Đối với G1, có quyền: cho phép read&exec, list folder contents, read, bị cấm write
Đối với G2, có quyền: cho phép read&exec, list folder contents, read, write

Như vậy, khi gộp cả 2 quyền của 2 groups đối với myfile, lúc này user A sẽ có quyền là:
    Cho phép read&exec, list folder contents, read
    Bị cấm write

Để xem đc quyền thực sự của user hay groups đối với tài nguyên, trong hộp thoại Properties, tại thẻ Security chọn Advanced. Trong hộp thoại Advanced Security Settings chọn Effective Permissions sau đó select đối tượng muốn xem:

-----

Kiểm soát việc thừa kế các quyền

Mặc định, trong 2k3 các quyền dành cho thư mục cha cũng sẽ đc áp dụng cho các dữ liệu bên trong nó. Việc này gọi là việc kế thừa quyền- inherited permissions.

Nếu một thư mục có một mục(check box) allow hoặc deny bị mờ, thì quyền đó chính là quyền thừa kế từ thư mục cha. Nếu check box ko bị mờ thì quyền đó đc áp dụng cho thư mục đang được chọn.




Ta có thể kiểm soát việc thừa kế quyền cho folders/files thông qua hộp thoại Advanced Security Settings. Trong này sẽ có 2 sự lựa chọn



Nếu chọn Allow inheritable... thì thư mục,files hiện tại sẽ kế thừa các quyền từ thư mục cha. Nếu muốn phân quyền một cách mềm dẻo với các đối tượng thì nên bỏ check tại ô này để việc phân quyền ko gặp ảnh hưởng từ những quyền trước
Nếu chọn Replace... thì sẽ gán các quyền hiện tại cho tất cả các đối tượng
---


Quyền của chủ thể-owner

Sau khi 1 đối tượng đc tạo ra, owner có toàn quyền với đối tượng đó. Có thể xem owner của đối tượng bằng cách chọn properties của đối tượng, trong thẻ security chọn nút advanced, chọn tiếp owner

---
2.Phân quyền chia sẻ trên mạng-Network access.

 Ta có thể điều khiển truy cập của user đến các folder được shared bằng cách gán các quyền chia sẻ- share permissions. Share permission đỡ phức tạp hơn so với NTFS permission và chỉ có thể được áp dụng cho folders.

Ta có gán 3 kiểu share permissions:


  • -Full Control: cho phép toàn quyền điểu khiển đến folders được chia sẻ. Khi chọn Full Control thì 1 quyền Change, Read cũng sẽ tự động được gán
  • -Change: cho phép người đc chia sẻ thay đổi dữ liệu trong folder( có thể xóa)
  • -Read: chỉ cho phép đọc.

Khi tạo mới một folders, quyền mặc định cho nhóm Everyone đó là Read.

Để làm thử bài tập về việc chia sẻ này, có thể tìm kiếm trong cuốn training kit của MS hoặc cuốn 70-290 của Sybex, có hướng dẫn khá rõ ràng.


====End====

2 comments:

  1. Làm thế nào để add thêm user vào bảng danh sách phân quyền mà ko cần tạo thêm acc mới cho máy ạ?

    ReplyDelete