MCSA 2012 – NTFS Permission: phân quyền truy cập NTFS

Quản trị server bao gồm quản trị rất nhiều tài nguyên và dịch vụ. Bài viết hôm nay đề cập đến vấn đề NTFS Permission: phân quyền truy cập trên máy chủ window server. Rõ ràng việc nắm vững ý nghĩa cũng như quyền truy cập tập tin, thư mục theo định dạng NTFS rất quan trọng. Bởi nó không trị quyết định việc user sẽ thao tác như thế nào mà còn quyết định tài nguyên chia sẻ trên mạng như thế nào.

Tải ứng dụng Viettel Money – Chuyển tiền và mua bán

XEM THÊM: Dịch vụ cho thuê máy chủ tại SCTT

Ở các bài học trước, bạn đã biết cách cài đặt máy chủ ảo Window Server 2012 trên Vmware. Sau đó học cách tạo các user trong hệ thống bằng dòng lệnh. Tiếp theo bạn học cách quản lý Local Policy – quản lý chính sách nội bộ trên windows server

Ở bài học ngày hôm nay bạn sẽ tìm hiểu về NTFS và các quyền truy cập tập tin thư mục. Bên cạnh đó là các share permission để quản lý tài nguyên chia sẻ trên mạng nội bộ nhé.

I. NTFS Permission: quyền truy cập tập tin, thư mục trên máy chủ window Server

Ok, bây giờ bạn cần nắm một số ý nghĩa với các quyền NTFS cơ bản nhé.

Bạn hãy tạo 1 thư mục bất kỳ và bấm phải chuột chọn Property. Sau đó qua tab Security để xem các quyền NTFS nhé

Standard permission

• Full control: toàn quyền
• Modify: thay đổi nội dung
• Default permission (file nào cũng có):
  • Read + executive: đọc và thực thi
  • List folder: xem nội dung thư mục
  • Read: chỉ đọc
  • Write: thêm nội dung

Special permission

• Traverse: truy cập và thực thi một thư mục (mặc dù không được mở thư mục)
  • Read extend attribute
    • Compress: nén tập tin
    • Encrypt: mã hóa tập tin
    • Chỉ được 1 trong 2, không đồng thời

Thực tập kiểm tra các NTFS permision của tập tin và thư mục

Chúng ta cần chuẩn bị một chút xíu

Phân quyền cho user U1

Bấm chọn advanced để vào phân quyền nâng cao. Chọn U1, chọn “disable inheritance” để bỏ thừa kế quyền từ thư mục cha.

Chọn “convert inherited permission…“

Tạo thư mục Data trong ổ đĩa C

Chọn thư mục data, chọn Property, chọn thẻ Security

chọn users, và thử remove nhưng sẽ không được.

Lý do chúng ta muốn remove group users là để có thể cấp quyền cho các user chỉ định u1,u2,u3,u4 và các user khác sẽ ko có quyền trên thư mục data này

Vũ i Tờ’s Blog

Trường hợp chúng ta vẫn muốn xóa group users thì phải bỏ tính năng thừa hưởng quyền của group đó đi nhé mới xóa được.

Bấm chọn advanced để vào phân quyền nâng cao. Chọn users, chọn “disable inheritance” để bỏ thừa kế quyền từ thư mục cha.

Chọn “convert inherited permission…”

Giờ chúng ta sẽ thêm 4 user vừa tạo vào để quản lý thư mục data

Cấp quyền theo hình nhé

Quyền thừa hưởng

• Chịu ảnh hưởng bởi quyền cấp cao hơn,
• Tuy nhiên có thể bỏ được ảnh hưởng quyền để ko còn chịu ảnh hưởng nữa

II. Phân biệt quyền NTFS Permission

• Full control: tạo, sửa, xóa thay đổi quyền của người khác thoải mái
• Modify: tạo, sửa, xóa thay đổi quyền của mình, không thay đổi của người khác được
• Write: tạo, sửa, xóa thay đổi quyền của những gì mình tạo ra thôi

Chiếm, trả quyền chủ sở hữu

Chuẩn bị

• Thư mục phim1 → tạo file abc.txt → u1 bỏ hết quyền user khác
• Thư mục phim2 → tạo file 123.txt

Chú ý: khi chiếm quyền xong → u1 mất quyền còn nhóm user được add vào.

Trả quyền

Mở property thư mục phim 1, chọn tab Security

Chọn Advanced, chọn continue

Gõ Administrator, chọn Check Names

Chọn “replace owner on ….“

Đăng nhập vào user u1, để kiểm tra, mở file abc trong thư mục phim 1.

U1 đã bị cấm truy cập. Wow

Giờ trả lại quyền quản lý thư mục cho U1 nhé

Đăng nhập lại administrator

Phân quyền U2 chiếm quyền kiểm soát thư mục phim 3

Thiết lập cho u2 được quyền full control

Xóa hết các user khác chỉ để lại U2 quản lý thư mục phim 3 thôi

Sau khi đã chiếm quyền và xóa hết các user khác thì chỉ còn lại U2 thôi

III. Share Permission

• Full / Change / Read: đây là 3 quyền cơ bản của Share Permission
• Khi user truy cập tài nguyên qua mạng sẽ bị ảnh hưởng cả 2 quyền. NTFS + Share Permission
• Tổng hợp quyền: user sẽ bị ảnh hưởng các quyền là giao giữa NTFS và share Permission
  • TH1: share: full + ntfs : read → Read
  • TH2: share: read + ntfs: full → Read

Để các quyền không bị thay đổi khi user từ xa truy cập (share) hay truy cập tại chỗ (ntfs) thì nên làm như sau. Ntfs: các quyền cần cấp + share : Full – Cái này quan trọng lắm à nha.

Vũ i Tờ’s blog

Một số lưu ý khi phân quyền NTFS Permission

• Share Permission:
  • Đối với server không hạn chế số lượng user truy cập đồng thời (lên đến 167777216 người)
  • Win 10,8,7: chỉ cho phép 20 user truy cập đồng thời

Network access (trong policy)

• Client truy cập vào server theo dạng \\Ip server (xác thực bằng user/pass)
• Classic – Điều kiện:
  • User guest: disable
  • Tất cả các user phải có pass
• Guest: điều kiện
  • User guest phải enable
  • Máy share file không có password
  • Chỉnh Policy
• Share ẩn:
  • Thêm dấu $ phía sau sharename → sẽ tạo ra share ẩn
  • Chỉ ai biết sharename mới vào được
• Share bằng lệnh (command line)
  •               (sharename)   (đường dẫn tuyệt đối)     (quyền và đối tượng)
  • Net share “phongIT” = “c://phong IT” /grant: everyone, full
  • Muốn share ẩn thì thêm $ sau sharename$

Quản lý Folder Share (chỉ có từ window server 2008)

• Mở: server manager → shares → thư mục share → setting → enable access-base enumeration (chỉ thấy thư mục được share)

Map network driver

Ánh xạ một thư mục mạng thành 1 ổ đĩa trên máy local

• Command line: cmd → enter
• Lệnh Map: net use M: \\IP máy share\data → enter
• Lệnh disconnect: net use M: /delete → enter

IV. Bài tập kiểm tra share thư mục

Truy cập thư mục chia sẻ data

Network access (trong policy)

Share ẩn

Share bằng lệnh (command line)

Quản lý Folder Share (chỉ có từ window server 2008)

THAM KHẢO ĐĂNG KÝ ỨNG DỤNG NÓI TIẾNG ANH TỐT NHẤT

Đăng ký