TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 1: QUẢN TRỊ MẠNG NGANG HÀNG (Workgroup) Số tín chỉ: Số tiết: 60 tiết (30 LT + 30 TH) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn NỘI DUNG • Giới thiệu mạng Workgroup • Cấu hình máy tính tham gia Workgroup • Truy cập vào Windows • Các chế bảo mật truy cập vào Windows • Chia sẻ phân quyền truy cập tài nguyên Giới thiệu mạng Workgroup • Khái niệm: • Workgroup: hệ thống mạng theo kiến trúc ngang hàng (peer-to-peer) phát hành hãng Microsoft • Tham gia mạng Workgroup, người dùng chia sẻ tài nguyên máy tính cho người dùng khác mạng dùng chung • Workgroup thường triển khai hệ thống mạng LAN Cấu hình máy tính tham gia Workgroup • Cấu hình máy Windows tham gia Workgroup: • Mỗi máy tính có tên máy (Computer Name) riêng Cấu hình máy tính tham gia Workgroup • Cấu hình máy Windows tham gia Workgroup: • Cấu hình mạng cần có thành phần: • Internet Protocol - TCP/IP: giao thức mạng dùng IP address (static or dynamic) Cấu hình máy tính tham gia Workgroup • Cấu hình máy Windows tham gia Workgroup: • Cấu hình mạng cần có thành phần: • Client for Microsoft networks: cho phép máy tính tham gia mạng Workgroup Cấu hình máy tính tham gia Workgroup • Cấu hình máy Windows tham gia Workgroup: • Cấu hình mạng cần có thành phần: • File and Printer sharing for Microsoft networks: dịch vụ cho phép máy tính chia sẻ liệu cho máy khác truy cập Cấu hình máy tính tham gia Workgroup • Các Services cần dùng cho máy tính tham gia Workgroup: • Server: dịch vụ cho phép máy tính khác truy cập vào máy Windows qua mạng • Workstation: dịch vụ cho phép máy tính trở thành thành viên mạng Workgroup • Computer Browser: dịch vụ cho phép duyệt nhanh máy mạng cách cache lại thông tin máy duyệt trước Truy cập vào Windows • Tài khoản truy cập vào máy tính: • Người dùng muốn truy cập vào máy Windows phải có tài khoản (User password) hợp lệ • Tài khoản hợp lệ tài khoản mà máy bị truy cập chấp nhận (được xác thực) • Các loại tài khoản dùng xác thực: • Local Users: tài khoản tồn máy bị truy cập • Domain Users: tài khoản tạo miền quản trị (Domain) Máy bị truy cập thành viên Domain Truy cập vào Windows • Các hình thức truy cập vào Windows: • Logon Locally (đăng nhập cục bộ): • Network Access (đăng nhập qua mạng): 10 Các chế bảo mật truy cập • Cơ chế truy cập vào máy tính: • Classic Model: Theo truyền thống, người truy cập phải khai báo User/Password • Guest Only: Chỉ cho phép truy cập vào máy Tài khoản khơng có danh sách Local Users máy bị truy cập • Tài khoản Guest (khách vãng lai) loại tài khoản mà Windows khơng cần biết tên User Nói cách khác, chế độ Guest Only, Windows cho truy cập vào mà khơng cần hỏi User password • Mặc định, tài khoản Guest khơng có giá trị sử dụng (Disabled) • Điều chỉnh chế truy cập vào máy tính: • Local Security Policy 🡪 Security Option 🡪Network Access: Sharing and Security model for user account 18 Các chế bảo mật truy cập • Danh sách User bị cấm truy cập vào máy tính từ mạng: Local Security Policy 🡪 User Rights Assignment 🡪Deny access to this computer from the network • Trong danh sách tài khoản tạo Windows (Local Users) Người dùng định user cụ thể bị cấm truy cập vào máy tính từ mạng cách đưa tên user vào danh sách Deny access to this computer from the network • Mặc định, tài khoản Guest đặt danh sách cấm • Danh sách User bị cấm truy cập cục vào máy tính: Local Security Policy 🡪 User Rights Assignment 🡪Deny logon locally • Tương tự sách trên, áp dụng cho truy cập cục • Mặc định, tài khoản Guest đặt danh sách cấm 19 Các chế bảo mật truy cập • Những tài khoản khơng có password khơng truy cập vào máy tính từ mạng Local Security Policy 🡪 Security Option 🡪 Limit local account use of blank password to console logon • Thói quen người dùng Windows không đặt password cho tài khoản Administrator (tài khoản có quyền cao việc quản trị điều khiển máy Windows) • Nếu dùng tài khoản Administrator để xâm nhập máy Windows qua mạng, người có tồn quyền điều khiển máy Windows bị xâm nhập • Mặc định, Windows giới hạn (khơng cho) Những tài khoản khơng có password khơng truy cập vào máy tính từ mạng, nhằm đảm bảo an toàn cho người dùng 20 Chia sẻ phân quyền truy cập tài nguyên • Tài nguyên chia sẻ mạng Workgroup bao gồm: • File: tập tin đặt thư mục (folder) • Printer: máy in kết nối vào máy tính tham gia Workgroup • Internet: đường truyền internet máy tính tham gia Workgroup • Quyền truy xuất tài nguyên người dùng lệ thuộc vào tên tài khoản mà người dùng truy cập vào máy tính chia sẻ tài nguyên • Phân quyền truy xuất tài nguyên tài khoản (User name) 21 Chia sẻ phân quyền truy cập tài nguyên • Sharing Permissions: phân quyền tài nguyên chia sẻ • Tài nguyên máy tính người dùng khác truy xuất qua mạng tài ngun chia sẻ (Sharing) • Tài nguyên chia sẻ phân quyền truy xuất theo tài khoản người dùng (User name) • Quyền (Permission) chia sẻ có dạng: • Read: quyền “đọc” tài nguyên, bao gồm xem (View), chép (copy) • Change: quyền sửa / thay đổi nội dung tài nguyền, bao gồm quyền xóa (delete) tài ngun • Full control: toàn quyền tài nguyên, bao gồm quyền Read Modify, cộng thêm quyền thay đổi Permission 22 Chia sẻ phân quyền truy cập tài nguyên • Sharing Permissions: Phân quyền tài nguyên chia sẻ • Nếu Windows sử dụng chế cấp phép truy cập Guest Only (cho phép người dùng từ máy khác truy cập vào máy tính mà khơng khai báo tài khoản): quyền truy cập tài nguyên người dùng khác xác định quyền truy cập group Everyone (mọi người) • Lưu ý: Phân quyền truy xuất tài nguyên Sharing Permissions có hiệu lực việc truy xuất tài ngun qua mạng (Network Access), khơng có hiệu lực người dùng truy cập nội (Logon Locally) 23 Chia sẻ phân quyền truy cập tài nguyên • NTFS Permissions: Phân quyền truy cập File / Folder • Khi người dùng sử dụng máy tính, họ logon vào Windows tài khoản (gọi Local Logon), người truy cập tồn File / Folder máy tính • Đối với File / Folder lưu trữ ổ đĩa định dạng NTFS, quyền truy xuất người dùng áp đặt NTFS Permissions • Lưu ý: quyền truy cập File / Folder áp đặt NTFS Permissions có hiệu lực với hình thức truy cập (Network access Locally access) 24 Chia sẻ phân quyền truy cập tài nguyên • Các quyền truy cập NTFS Permissions: • Read and Executive: quyền “đọc” (view) thực thi (open, executive) tập tin • List folder contents: liệt kê danh sách file (trong folder) • Write: quyền tạo (create) file / folder, quyền “ghi đè” (overwrite) file / folder hữu, không bao gồm quyền xóa (delete) tài ngun • Modify: quyền write cơng với quyền sửa / thay đổi tên (rename) file / folder, quyền sửa / thay đổi thuộc tính (attribute) file / folder • Full control: tồn quyền tài ngun, bao gồm Permissions, kể quyền thay đổi Permission 25 Chia sẻ phân quyền truy cập tài nguyên • Các quyền truy cập chi tiết (Special NTFS Permissions) • Traverse folder / Executive File: quyền duyệt thư mục thực thi tập tin • List Folder / Read Data: quyền xem nội dung thư mục xem nội dung file • Read Attributes: quyền “xem” thuộc tính File / Folder • Create File / Write Data: quyền tạo file / ghi liệu vào Folder • Create Folder / Append Data: quyền tạo Folder / ghi liệu vào File hữu • Delete Subfolder and file: quyền xóa file / folder thự mục ”con” • Delete: quyền xóa file / folder thự mục ”hiện tại” • Read Permissions: Xem phân quyền truy cập (NTFS Permissions) • Change Permissions: Thay đổi phân quyền truy cập • Take Ownership: quyền giành lại sở hữu tài nguyên 26 Chia sẻ phân quyền truy cập tài ngun • Các tính chất phân quyền • Tính thừa kế (Inheritance): Phân quyền truy cập thiết lập thư mục “cha”, file subfolder thư mục thừa kế phân quyền từ thư mục cha File subfolder điều chỉnh quyền thừa kế trừ chúng từ chối tính thừa kế (khơng lựa chọn Allow inheritance…) • Tính sở hữu cho người tạo tài nguyên (Creator Owner): Khi người dùng tạo File / Folder mới, người dùng có tồn quyền (Full Control) File / Folder tạo 27 Chia sẻ phân quyền truy cập tài ngun • Các tính chất phân quyền • Phạm vi áp đặt quyền truy cập (Apply onto): Khi thiết lập phân quyền NTFS cho Folder, Windows cho phép người dùng đưa phạm vi áp đặt phân quyền folder theo lựa chọn: • This folder, subfolder and files: áp đặt lên thư mục tại, files thư mục • This folder only: áp đặt thư mục • This folder and subfolders: áp đặt cho thư mục thư mục • This folder and Files: áp đặt file thư mục • Subfolder and Files only: áp đặt Files thư mục • Subfolder only: áp đặt thư mục • Files Only: áp đặt files 28 Chia sẻ phân quyền truy cập tài nguyên • Quan hệ “Share permissions” “NTFS permissions” • Share permission: Phân quyền dành cho người dùng (mạng) truy cập tài nguyên (File / Folder / Printer) qua mạng Workgroup Share Permission không tác dụng với người dùng truy cập nội • NTFS permission: Phân quyền truy cập tài ngun có hiệu lực với hình thức truy cập • Tài ngun khơng chia sẻ: • Chỉ có người dùng local truy cập tài ngun • Quyền truy cập lệ thuộc NTFS permission • Tài nguyên chia sẻ: • Chỉ có người dùng mạng bị khống chế Share permission • NTFS permission ảnh hưởng người dùng mạng local • Lưu ý quyền Deny (cấm) mạnh quyền Allow (cho) 29 Chia sẻ phân quyền truy cập tài nguyên • Một vài ví dụ: • Phân quyền folder D:\DATA Trường hợp NTFS Permissions Share Permissions User U1: allow Read User U1: allow Full User U1: allow Full User U1: allow Full User U1: allow Full Everyone: deny Full User U1: allow Full U1 truy cập U1 truy qua mạng cập cục User U1: allow Read User U1: allow Full Everyone: deny Full 30 Chia sẻ phân quyền truy cập tài nguyên • Một vài ví dụ: • Phân quyền folder D:\DATA Trường hợp U1 truy cập qua mạng Tạo, xóa, User U1: allow Read User U1: allow Full sửa Không User U1: allow Full User U1: allow Read quyền tạo, xóa, sửa NTFS Permissions Share Permissions User U1: allow Full User U1: allow Full Everyone: deny Full User U1: allow Full User U1: allow Full U1 truy cập cục Tạo, xóa, sửa Tạo, xóa, sửa You don’t You not currently have have permission permission to access to access this folder You not have Tạo, xóa, 31 Cám ơn ! 32