Ban Cơ yếu phủ Học viện kỹ thuật mật m ã Nguyễn Văn Phác- Nguyễn Đức tâm Giáo trình Quản trị mạng Hà Nội, 4-2006 Chương I Mở đầu 1.1 Giới thiệu chung Windows 2000 Windows 2000 phiên b ản NT (NT4 đ ược đưa từ năm 1996) Nhưng so v ới NT , Windows 2000 có khác biệt lớn nội dung giao diện Về nội dung, Windows 2000 đ ược phát triển theo hướng phục vụ mạng lớn, điều thể tr ên thay đổi quan trọng sau: + Có thêm tính Active Directory + Hạ tầng kiến trúc nối mạng TCP/IP đ ược cải tiến cho phép ng ười dùng kết nối mạng LAN, WAN v Internet nơi giới + Những sở hạ tầng bảo mật dễ co gi ãn + Việc chia sẻ dùng chung t ập tin trở nên mạnh mẽ với hệ thống tập tin phân tán (Distributed File System) v dịch vụ chép tập tin (File Replication Service) Active Directory tính quý giá quan tr ọng Windows 2000, đồng thời l phận toả rộng khắp n hệ điều h ành Nhiều tính mới, hấp dẫn Windows 2000 nh ư: Các sách nhóm (group policy), (tree) r ừng (forest) miền, đơn vị tổ chức (organizational unit), địa b àn (site), triển khai tập trung ứng dụng, tính hệ thống tập tin phân tán tr ên mạng Windows 2000 nhiều tính khác, khơng hoạt động đ ược chưa có máy ch ủ đóng vai trị Active Directory Server Về giao diện, với ng ười dùng quen NT 4, khó có th ể tìm lại giao diện quen thuộc tr ước đây, có th êm nhiều giao diện Đồng thời tính cũ đ ược thay đổi giao diện v nơi kích hoạt chúng 1.2 Làm quen với Active Directory Active Directory đư ợc phát triển sở cấu trúc miền cũ NT v có bổ sung thêm nhiều điểm cải tiến mới, l phần quan trọng v phần phức tạp Windows 2000, hầu nh tính Windows 2000 đ ều địi hỏi phải có Active Directory Bởi việc t ìm hiểu kỹ Active Directory phải trải rộng hầu hết tính Windows 2000, phần nhằm giới thiệu s lược Active Directory 1.2.1 Vai trò Active Directory Vai trò Active Directory thể tr ên vấn đề sau: 1.2.1.1 Vấn đề bảo mật Bằng cách tr ì “danh bạ” ng ười sử dụng đối tượng khác mạng Active Directory theo d õi xem phép sử dụng mạng, chế xác minh xem người sử dụng có hợp lệ khơng v cấp phép quyền sử dụng tài nguyên cho ngư ời sử dụng 1.2.1.2 Vấn đề tìm kiếm thơng tin mạng Ngày nay, mơ hình Client – Server (Khách – Phục vụ) trở thành mẫu mực để giải nhu cầu t ìm kiếm thơng tin Nh ưng cấu trúc khơng có tác dụng khơng giúp Client t ìm Server Ch ức tra cứu thông tin Active Directory giúp Client t ìm kiếm nhanh đến t ên Mail Server, Web Server, Print Server, hay m ột File Server cụ thể 1.2.1.3 Sự phân chia quyền hành miền Dưới NT 4, để có phân quyền v bảo mật cho phận khác mạng phải tổ chức mạng cho phận th ành miền, mà miền phải tốn máy chủ l máy điều khiển miền (Primary Domain Controller - PDC) Sau phận muốn trao đổi thơng tin liên lạc với mức đó, phải thiết lập mối quan hệ uỷ quyền (Trust relationship), m việc thiết lập quan hệ uỷ quyền NT có phần rắc rối khơng đáng tin cậy Với Active Directory Windows 2000, cần d ùng chung miền phân quyền v bảo mật cho phận khác nhau, cách chia miền thành đơn v ị tổ chức (Organizational Unit – OU ) cho phận khác Sau u ỷ quyền kiểm sốt OU cho nhóm điều hành viên 1.2.2 Cấu trúc Active Directory Khi thiết kế cấu trúc mạng NT4 ta có v ài cơng cụ như: miền (domain), t ài khoản máy (machine account), nhóm (group) mối quan hệ uỷ quyền (trust relationship) Còn thi ết kế mạng Windows 2000, ngo ài tất công cụ tr ên, cịn có cơng c ụ khác là: đơn vị tổ chức (unit organization), (tree), r ừng (forest), địa bàn (site) Mục khảo sát qua cơng cụ để tạo n ên cấu trúc Active Directory 1.2.2.1 Miền Miền tập hợp máy tính mạng cho phép quản trị bảo mật cách tập trung Một miền có chứa máy chủ v máy trạm làm việc miền Các máy chủ miền chia thành hai loại sau: a) Máy điều khiển miền (DC - Domain Controller) Mỗi miền phải có máy chủ điều khiển miền gọi l DC (Domain Controller - DC), để trì sở liệu (CSDL) khoản mục miền (trong có khoản mục l à: tài khoản người sử dụng, tài khoản nhóm tài khoản máy) Bất kỳ máy chủ khác n có lưu giữ CSDL khoản mục miền đ ược gọi DC, máy chủ n ày có nhiệm vụ phân tải truy nhập v CSDL khoản mục miền b) Máy chủ (Server) Là máy chủ khác miền, dùng để cung cấp dịch vụ nh ư: dịch vụ tệp, dịch vụ in, … Các máy chủ n ày không cập nhật thông tin CSDL khoản mục miền, cân tải v điều khiển miền trường hợp xảy cố 1.2.2.2 Đơn vị tổ chức (OU) Nhiều khi, miền khu vực lớn, n ên khó trao quyền điều khiển cho Giải pháp cho tr ường hợp Windows 2000 chia nh ỏ miền thành đơn vị tổ chức (Organizational Unit - OU) Điều cho phép ta tạo biên miền để d ễ quản lý tăng tính bảo mật Mỗi OU thường chứa t ài khoản người dùng, tài khoản nhóm, tài khoản máy miền, t ài khoản mạng xuất nhiều l OU Cơng dụng OU để tập hợp t ài khoản người dùng tài khoản máy vào nơi (trong OU), sau trao quyền kiểm sốt OU cho tập hợp người dùng Điều cho phép ta qui đ ịnh nhóm điều h ành viên có khả năng, chẳng hạn nh ư, định lại mật phận đó, mà khơng c ần biến họ thành quản trị vi ên có quyền lực lớn h ơn mức mong muốn Nhờ mà ta xác định rõ sơ đồ tổ chức, thiết lập biên yêu cầu an tồn miền Trong OU lại tạo OU Ví dụ: Hình 1.1 minh hoạ OU đ ược tạo miền HVKTMM.COM: HVKTMM.COM PHONG_BAN DAO_TAO TC_CBCT TH_HC TAI_VU KHOA CHUYEN_NGANH CO_BAN CO_SO TIN_HOC Hình 1.1 Cấu trúc OU miền HVKTMM.COM 1.2.2.3 Địa bàn (Site) Với Active Directory, ngo ài việc nắm thông tin máy v người dùng mạng, cịn theo dõi khía cạnh địa lý mạng Mỗi khu vực mà nối kết mạng LAN th ì gọi Site Windows 2000 dùng nh ững thông tin chi tiết vế cá ch bố trí vật lý mạng mà ta cung cấp cho để tính n có đường liên kết WAN phần chậm chạp mà lại đắt tiền mạng Sau l àm hai việc có ích sau: Thứ nhất, nén liệu cần chép tr ước gửi đi, thứ hai, dùng thơng tin chi phí tiếp vận (route costing information) mà ta cung c ấp cho để tính cách gửi chuyển tiếp tốt liệu cần chép với chi phí rẻ Mỗi Site thơng th ường cần máy DC để thuận tiện cho đăng nhập địa bàn Một miền có nhiều Site v Site lại chứa nhiều miền 1.2.3.4 Cây miền (Tree of domains) Các doanh nghiệp có mạng đa miền mong muốn xây dựng hệ thống cấp bậc theo cấu trúc cho miền Microsoft thiết kế Windows 2000 cho dùng DNS làm h ệ thống giải đáp tên, DNS thiết kế có chất cấu trúc cây, cho n ên Windows 2000 khai thác s ự trùng hợp khuyến khích thành lập mạng đa miền d ưới dạng có cấp bậc Ví dụ: Một mạng gồm năm miền có cấu trúc nh sau: Hình 1.2 Cấu trúc miền Miền tạo mạng đa miền đ ược gọi gốc (root) Trong ví dụ tr ên, gốc Bancoyeu.Com có tên gọi mẹ, cấu trúc phân cấp thư mục DOS Các miền mức gọi miền mẹ miền mức d ưới nó, Các miền mức gọi miền miền b ên Khi miền tổ chức theo cấu trúc cây, Windows 2000 tự động tạo quan hệ uỷ q uyền miền mẹ v miền Ví dụ tạo miền HVKTMM.Bancoyeu.Com, th ì tự động có mối quan hệ uỷ quyền hai chiều Bancoyeu.Com v HVKTMM.Bancoyeu.Com M ối quan hệ uỷ quyền hai chiều n ày có nghĩa là: quản trị viên miền Bancoyeu.Com định mở rộng quyền truy cập tập tin v máy in mi ền họ cho ng ười dùng miền HVKTMM.Bancoyeu.Com ngư ợc lại Ngoài ra, với Windows 2000, mối quan hệ uỷ quyền c òn có tính bắc cầu Điều dẫn tới tất miền có quan hệ uỷ quyền hai chiều với Như vậy, miền đem lại lợi điểm l tự động tạo quan hệ uỷ quyền Nh ưng tất tên miền phải đặt theo hệ thống cấp bậc xác tương t ự ví dụ hình thành Windows 2000 1.2.3.5 Rừng miền (Forest of domains) Rừng tập hợp hai hay nhiều Các th ường nối qua tuyến truyền thơng H ình 1.3 ví dụ rừng có hai Hình 1.3 Rừng Windows 2000 địi hỏi phải có miền l àm gốc rừng, miền tạo miền gốc rừng Các quan hệ uỷ quyền miền thuộc hai khác rừng không tự động tạo ra, mà phải xác lập tay Chú ý: Với Windows 2000 ta nối hai miền có sẵn v cây, khơng thể ghép có sẵn v rừng, mà cách để đưa thêm miền vào cây, v rừng, xây dựng từ đầu rừng có sẵn 1.3 Đăng nhập vào mạng Muốn làm việc khai thác tài nguyên m ạng, trước hết ta phải thực thủ tục đăng nhập v mạng Sau số khái niệm li ên quan đến thủ tục 1.3.1 Một số khái niệm User name: Là tên đăng nhập vào mạng k hoản mục người sử dụng Những khoản mục ng ười sử dụng ng ười quản trị có thẩm quyền tạo ra, khoản mục n ày trao cho số quyền hạn định làm việc mạng Tại thời điểm tr ên máy cho phép nhiều người sử dụng đăng nhập v mạng Mỗi lần muốn đăng nhập vào mạng với user name khác, ta chọn lần l ượt Start/Shut Down Log off Administrator: Là user name đ ặc biệt, tự động tạo trình cài đặt, đóng vai trị người quản trị mạng, người có quyền cao việc tổ chức quản lý mạng Password: Là mật gán riêng cho khoản mục ng ười sử dụng Chỉ người sử dụng gõ mật tương ứng với user name vào mạng 1.3.2 Khởi động máy đăng nhâp vào mạng Trình tự khởi động máy đăng nhập vào mạng máy chủ máy trạm tương tự gồm bước sau: - Khởi động máy - Nếu máy chủ máy trạm có c ài nhiều hệ điều hành chọn dịng thơng báo: MicroSoft Windows 2000 Server (trên máy chủ) MicroSoft Windows 2000 Professional (trên máy trạm) để khởi động Windows 2000 - Chờ hình dịng chữ: Press Ctrl - Alt - Delete to begin bấm tổ hợp ba phím Ctrl - Alt - Delete để cửa sổ đăng nhập v mạng gồm thông tin sau: User name : (để vào tên người sử dụng, ví dụ: Administrator) Password : (để vào mật người sử dụng) Log on to : (để chọn tên miền mà người sử dụng đăng nhập v ào) Sau vào xong nh ững thông tin ta nh ấn nút OK Nếu thông tin đư ợc vào đắn, việc khởi động máy đăng nhập vào mạng hoàn tất, ngược lại máy d ịng thơng báo lỗi 1.4 Tạo quản lý OU 1.4.1 Tạo OU Để tạo OU, ta sử dụng công cụ Active Directory Users and Computers cách chọn lần l ượt mục sau: Start/Programs/Administrator Tools/Active Directory Users and Computers Khi cửa sổ sau: Hình 1.4 Cửa sổ Active Directory Users and Computers Phần bên trái cửa sổ cấu trúc Active Directory đơn mi ền Do tên miền Khoatin.Local l gốc gốc rừng Bên phải phần chi tiết để nội dung mục chọn phần b ên trái Các mục bên miền Khoatin.Local đư ợc coi khoang chứa (container), tương t ự khái niệm Folder Windows Các mục n ày tự động tạo tr ình cài đặt, dùng để chứa tài khoản người dùng, tài khoản nhóm, tài khoản máy Tuy có phân chia th ành mục ta tạo di chuyển t ài khoản vào mục nào, kể mức miền Khoatin.Local, v ì coi container Khi nâng cấp miền từ NT l ên Windows 2000, tài khoản người dùng tài khoản máy NT tự động chuyển v hai mục tương ứng Users Computers Các OU có biểu tượng sách mở để phân biệt, hay phân biệt qua cột Type phần chi tiết b ên phải Như hình 1.4 có OU Domain Controllers , cộng thêm thân miền Khoatin.Local coi OU Để tạo OU mới, ta chọn OU chứa OU tạo (ví dụ chọn Khoatin.Local), sau m menu Action, chọn New/Organizational Unit Khi cửa sổ: Hình 1.5 Cửa sổ khai báo OU Trong cửa sổ trên, giả sử ta muốn tạo OU có t ên PTHUC HANH nằm miền KHOATIN.LOCAL để chứa tất học vi ên tham gia thực hành phòng máy khoa Tin học Khi kết thúc tạo ta nhấn OK Hình ảnh Active Directory sau: Hình 1.6 Cửa sổ Active Directory Users and Computers sau tạo thêm OU PTHUC HANH Chú ý: Tên OU đặt d ài tới 64 ký tự chứa ký tự mức tên OU phải khác nhau, nh ưng mức khác chúng có th ể có tên giống 1.4.2 đổi tên OU có Chọn OU cần đổi t ên, chọn Remane từ menu Action, tiến hành đổi tên 1.4.3 Xoá OU có Chọn OU cần xố, chọn Delete từ menu Action bấm phím Delete, sau chọn: Yes - để xố, No – khơng xố Chú ý: Khi xố OU tất tài khoản nằm kể các OU bị xoá khỏi cấu trúc Active Directory Câu hỏi tập Trình bày vai trị Active Directory Trình bày cấu trúc Active Director y Thực hành tạo cấu trúc OU nh hình 1.1 (khơng cần tạo miền HVKTMM.COM mà ch ỉ tạo OU bên miền này), sau đổi tên số OU Cuối c ùng xố cấu trúc OU vừa tạo Chương Quản lý tài nguyên file thư m ục 4.1 Các hệ thống file Windows 2000 Windows 2000 hỗ trợ ba hệ thống file l FAT (File Alocation Table), NTFS (New Technology File System) EFS (Encrypting File System) FAT: Là hệ thống lưu trữ file Ưu điểm hệ thống hỗ trợ rộng ứng dụng, nh ưng tính bảo mật thấp NTFS: Là hệ thống phân hoạch file ti ên tiến, Hệ thống phân hoạch n ày có lợi bảo mật mức file v phân chia làm nhi ều mức cho phép truy cập vào thư mục file EFS: Là hệ thống bảo đảm bảo mật tối đa cho ng ười sở hữu file cách mã hoá file 4.2 Chế độ bảo mật NTFS 4.2.1 Một số khái niệm Quyền truy cập (Permission): Chỉ mức độ người sử dụng truy cập vào file th mục Trên hệ thống NTFS có nhiều quyền truy cập đáp ứng cầu bảo mật liệu đa dạng Có hai loại quyền truy cập vào tài nguyên file thư m ục là: quyền truy cập chia sẻ (share permission) quyền truy cập file thư mục (file and directorry permission) Sau ngắn gọn v dễ phân biệt, ta gọi quyền truy cập chia sẻ quyền truy cập từ xa, gọi quyền truy cập file thư mục quyền truy cập cục Quyền sở hữu (Ownership): Một người sử dụng có quyền sở hữu file th mục cấp cho tồn quyền sử dụng file thư mục này, đồng thời cịn cấp quyền truy cập file th mục cho đối tượng khác Khi ng ười sử dụng tạo file thư mục quyền sở hữu file th mục thuộc họ Mỗi file thư mục có đối t ượng có quyền sở hữu 4.2.2 Quyền truy cập từ xa Trong hệ thống mạng Windows 2000, th mục (kể ổ đĩa) máy tính n muốn trở thành tài nguyên chung (cho nh ững người máy tính khác sử dụng) phải tiến h ành thao tác chia s ẻ Khi ta tiến h ành chia sẻ thư mục máy tính đó, tức đưa thư mục cho người máy tính khác truy c ập Tuy nhiên mức độ cho người khác truy cập đến đâu l người chia quy định thông qua quyền truy cập từ xa Nh quyền truy cập từ xa cho phép ng ười sử dụng từ máy tính khác mạng, đ ược truy nhập v hệ thống thư mục máy tính có th mục chia sẻ Quyền truy cập từ xa l hàng rào cản (từ xa) mà người sử dụng cần vượt qua truy nhập v hệ thống file thư mục mạng Có thể ví chúng núm g ạt chống ghi đĩa mềm Cho d ù ta xố, sửa tất file thư mục đĩa mềm, cần núm gạt vị trí ta khơng thể thay đổi thứ Windows 2000 cho phép chia sẻ th mục, mà không chia sẻ file Do quyền truy cập từ xa áp dụng với th mục Các quyền truy cập từ xa gồm: Full Control: Cho phép thực tất công việc tr ên tất file thư mục thư mục chia sẻ Change: Cho phép đọc thi hành, thay đổi xoá, file thư mục thư mục chia sẻ Read: Cho phép đọc thi hành file, xem n ội dung thư mục chia sẻ, khơng có khả sửa đổi xoá thứ g ì thư mục chia sẻ 4.2.3 Quyền truy cập cục Như ta thấy quyền truy cập từ xa đ ược phân thành ba mức áp dụng đ ược cho thư mục Bởi không đáp ứng đ ược nhu cầu bảo mật liệu đa dạng mạng, có nhiều loại đối t ượng sử dụng khác mạng, đòi hỏi quyền tr ên cần chia nhỏ tiếp v phải áp dụng chi tiết đến mức file Sự có mặt quyền truy cập cục nhằm đáp ứng yêu cầu Quyền truy cập cục xem quyền truy cập trực tiếp (rào cản trực tiếp) mà người dùng phải qua truy nhập v hệ thống file thư mục ổ đĩa cục máy tính, nh hình ảnh minh hoạ sau: Đăng nhập từ máy tính n ày Users Users Rào cản quyền từ xa Rào cản quyền cục Đăng nhập từ máy tính khác Máy có thư mục chia sẻ Chính vậy, máy tính có th mục chia sẻ, ng ười dùng truy cập vào thư mục chia sẻ tài nguyên cục máy, th ì quyền truy cập từ xa khơng đ ược áp dụng, tức lúc có quyền truy cập cục có hiệu lực Đối với thư mục file, có hai mức quyền truy cập khác nhau, tạm gọi quyền truy cập mức cao quyền truy cập mức thấp , quyền truy cập mức cao l tổ hợp quyền truy cập mức thấp Bảng 3.1 trình bày cách k ết hợp quyền truy cập mức cao từ quyền truy cập mức thấp Bảng 3.1 Các quyền truy cập mức cao v quyền truy cập mức thấp Mức thấp M ức cao Write Read List Folder Read & Modify Full Contents Execute Control Traverse folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Create Files/Write Data Create Folders/Append Da ta Write Attributes Write Extended Attributes Delete Subfolders and Files Delete Read Permissions Change Permissions Take Ownership Những qui luật hình thành quyền truy cập mức cao bảng tr ên áp dụng cho file thư mục, trừ List Folder Contents , quyền truy cập áp dụng cho thư mục Những quyền truy cập mức thấp có dạng chọn hai nh ư: Traverse folder/Execute File, List Filder/Read Data, Create Files/Write Data Create Folders/Append Data, quy ền đầu áp dụng cho th mục, quyền sau áp dụng cho file Các quyền truy cập mức thấp l sở để tạo nên quyền truy cập mức cao mà thường thấy như: Read, Modify Full Control … ý nghĩa quyền truy cập mức thấp nh sau: Traverse folder/Execute File: Traverse folder (ngh ĩa qua thư mục) áp dụng với th mục Có lúc ta thực file ch ương trình có gọi đến file khác th mục khác Ví dụ, ta thực file chương trình Program1.exe, th mục APP1 (như hình 3.1) Giả sử file chương trình lại cố gắng gọi đến file khác th mục nằm sâu cấp bên APP1 (giả sử file Data.dat thư m ục App111), ta l ại không phép truy cập th mục cấp bên App1 (là App11) Khi ta s ẽ nhận thơng báo lỗi “Access denied” (từ chối truy cập), v ì Windows 2000 không cho phép qua thư mục không phép truy cập Nh ưng cần có quyền Traverse folder thư mục mức (là App11), ta s ẽ qua thư mục trung gian để đến đích (là App111) App1 Program.exe App11 App111 Data.dat Hình 3.1 Minh hoạ cho quyền truy cập Traverse folder Cịn với Execute File, th ì áp dụng với file, v file có EXE, COM, kiểu file khả thi khác, th ì quyền cho ta thi hành file List Folder/Read Data : List Folder cho phép xem n ội dung thư mục, Read Data cho phép xem n ội dung file Read Attributes: Cho phép nhìn th thuộc tính c file gồm: Read – Only, Hidden, System Archive Read Extended Attributes: Một số chương trình có gộp thuộc tính khác vào kiểu file chúng Ví dụ Microsoft Word có gắn th êm vào file DOC thuộc tính như: Author, Subject, Title, Các thu ộc tính gọi thuộc tính mở rộng (extended attributes), v chúng thay đ ổi từ chương trình sang ch ương trình khác Quyền truy cập mức thấp cho phép ta xem thuộc tính mở rộng Create Files/Write Data : Create Files cho phép đ ặt file vào thư mục xét (nghĩa l tạo chép, di chuyển từ n khác đến) Write Data th ì cho phép ghi đè lên (sửa) liệu có b ên file, không cho b ổ sung thêm liệu vào file Create Folders/Append Data : Create Folders cho phép t ạo thư mục thư mục xét Append Data cho phép b ổ sung thêm liệu vào cuối file xét, nh không cho sửa liệu đ ã có file Write Attributes : Cho phép thay đ ổi thuộc tính c file Write Extended Attributes: Cho phép thay đ ổi thuộc tính mở rộng file Delete Subfolders and Files: Cho phép xoá thư m ục file thư mục xét, khơng xố đư ợc thư mục Delete: Cho phép xoá file thư mục, thư mục xố rỗng Read Permissions : Cho phép xem t ất quyền truy cập v file thư mục trao cho đ ối tượng, thay đổi quyền trao Change Permissions : Cho phép thay đ ổi quyền truy cập v file thư mục cho đối tượng Take Ownership: Cho phép chiếm lấy quyền sở hữu file th mục 4.3 Cách chia sẻ thư mục trao quyền truy cập từ xa, định nghĩa ổ đĩa mạng 4.3.1 Cách chia s ẻ thư mục trao quyền truy cập từ xa Muốn tạo th mục dùng chung (chia s ẻ thư mục), ta phải có quyền thích hợp Điều n ày đòi hỏi ta phải quản trị viên (là thành viên nhóm administrators) ho ặc điều hành viên server (server operators) Có nhiều cách để tạo th mục dùng chung, n ếu ngồi máy có thư mục cần tạo, giao diện Explorer My Computer l phương tiên đơn gi ản trực tiếp để tạo v quản lý đặc tính thư mục dùng chung Từ Explorer My Computer, ta nhấn phải chuột th mục cần chia sẻ (ví dụ thư mục TP7, chọn Sharing từ menu ngữ cảnh, để cửa sổ hình 3.2 Sau để chia sẻ ta chọn Share this folder Mục chọn Share name để gõ vào tên chia s ẻ Tên chia sẻ giống bí danh thư mục chia sẻ Ban đầu tên đặt mặc định tên thư mục chia sẻ, ta đổi lại thành tên Những người sử dụng mạng dùng tên chia sẻ để tham chiếu đến th mục dùng chung, mà không c ần biết tên thực Mục User limit dùng để giới hạn số ng ười dùng đồng thời truy cập vào thư mục dùng chung này: Nếu chọn Maximum allowed số người dùng đồng thời khơng hạn chế Cịn muốn số định ng ười dùng (ví dụ 100 người) phép đồng thời truy cập, th ì ta chọn Allow gõ vào số người Để thiết lập chế độ bảo mật cho th mục chia sẻ ta chọn nút Permissions, cửa sổ hình 3.3 cho thấy đ ã có nhóm Everyone khung Name trao mặc định tất quyền truy cập từ xa thư mục Nếu muốn trao quyền truy cập từ xa th mục cho người sử dụng nhóm khác th ì ta nhấn nút Add, tiến hành chọn đối tượng mong muốn từ danh sách đ ược Hình 3.2 Cửa sổ thay đổi đặc tính th mục dùng chung Hình 3.3 Cửa sổ trao quyền truy cập từ xa th mục cho đối tượng Nếu không muốn trao quyền truy cập từ xa cho đối t ượng (người sử dụng nhóm) n ta chọn đối tượng từ khung Name nhấn Remove Nếu muốn sửa lại quyền truy cập đối t ượng đó, ta chọn đối tượng đó, duyệt / bỏ duyệt v Allow quyền cần trao / không trao Nếu muốn cấm t ường minh đối tượng không nhận quyền đó, ta duyệt vào Deny quyền Để ngăn cấm khơng t ường minh quyền đó, ta khơng duyệt hai ô Allow v Deny Kết thúc mục nhấn OK để trở cửa sổ h ình 3.2 Tại cửa sổ hình 3.2 ta thấy có tính khác với NT4, l nút Caching (nghĩa đệm trữ chia sẻ) Nút chọn n ày sử dụng tính Offline Files (file ngoại tuyến) làm cho việc truy cập file từ xa đ ược nhanh Offline Files hoạt động cách tự động đệm trữ (cache) f ile thường truy cập từ xa, l ưu đệm trữ (cached copy) thư mục (gọi cache) ổ đĩa cứng máy trạm có truy cập từ xa đến thư mục dùng chung xét Sau Offline Files dùng đệm trữ để tăng tốc độ truy cập, việc truy cập đến file thường truy cập l từ xa nữa, mà giải đệm trữ cache máy trạm Tuy nhi ên trước hết Offline Files ph ải kiểm tra cho chắn file đ ã bị thay đổi thư mục dùng chung hay chưa, b ằng cách xem xét ng ày kích thước file thư mục dùng chung cache c máy trạm; thấy giống th ì Offline Files trao cho ta file cache; khơng phải nh (hai có khác nhau), Offline Files s ẽ đọc mạng (th mục dùng chung) về, đưa vào cache đ ể máy trạm có đ ược cập nhật Offline Files chế đệm trữ write-through, nghĩa ta lưu thay đổi file, th ì thay đổi ln ghi lên mạng (chứ không ghi tạm v cache lúc sau thực ghi lên mạng loại cache write-back), thay đổi đ ược đệm trữ vào ổ đĩa cứng chỗ Khi chọn Caching, cửa sổ hình 3.4 ra, ta thấy ô duyệt Allow caching of files in this shared fold er chọn mặc định, nghĩa l có sử dụng tính đệm trữ file th mục chia sẻ Tại mục Setting cho phép ta chọn ba kiểu đệm trữ sau: Manual Caching for Documents : Gọi đệm trữ thủ công (được chọn mặc định) Kiểu đệm trữ n ày có nghĩa không đệm trữ tất file thư mục chia sẻ, mà đệm trữ file cần thiết ng ười dùng Mục đích để tiếp kiệm không gian đĩa cứng tr ên máy trạm, giảm thao tác đồng liệu mạng gốc (trong th mục chia sẻ) đệm trữ (trong đĩa cứng máy trạm khác) Hai kiểu thiết định sau l Automatic Caching for Documents Automatic Caching for Programs , gọi đệm trữ tự động Khi file thư mục chia sẻ đ ược mở tự động đệm trữ Sự khác hai kiểu đệm trữ tự động n ày chỗ file ch ương trình đệm trữ Automatic Caching for Programs đ ược gọi thực khơng cần kiểm tra xem có đ ược cập nhật gần hay khơng Mục đích thiết định để việc gọi thực ch ương trình nhanh khơng cần thực thủ tục kiểm tra tính đồng tr ên mạng (thường số thời gian), file ch ương trình lại có sửa đổ i Hình 3.4 Cửa sổ đặt thiết định đệm trữ cho th mục chia sẻ Kết thúc mục nhấn OK để trở cửa sổ h ình 3.2, nhấn tiếp OK để kết thúc q trình chia sẻ Chú ý: Ta tiến hành chia sẻ nhiều lần th mục, lần với tên chia sẻ khác Tại lần chia sẻ sau, tr ên cửa sổ hình 3.2 có thêm mục New Share để chọn tên chia sẻ thiết định bảo mật Cửa sổ hình 3.2 để sửa lại thiết định bảo mật cho t ên chia sẻ tạo, bỏ t ên chia sẻ tạo thư mục dùng chung Khi tên chia sẻ chọn từ mục Share name, thao tác chỉnh sửa thiết định bảo mật tiến hành chia s ẻ, cịn muốn bỏ tên chia sẻ chọn ta chọn mục Remove Share Nếu muốn bỏ tất t ên chia chia sẻ có (khơng chia s ẻ nữa) chọn mục Do not share this folder 4.3.2 Định nghĩa ổ đĩa mạng Khi máy chia sẻ th mục, máy khác s ẽ nhìn thấy truy cập qua tên chia sẻ Tuy nhiên máy khác n ày ta gắn cho t ên tên chia sẻ ký tự ổ đĩa (nh bí danh t ên chia sẻ), ổ đĩa gọi ổ đĩa mạng (để phân biệt với ổ đĩa cục đ ược gắn với máy tính) ổ đĩa mạng đ ược mục My computer Tất chữ từ A – Z mà chưa dùng đ ến dùng để đặt tên ổ đĩa mạng Muốn định nghĩa ổ đĩa mạng ta phải truy nhập v tài nguyên mạng để tìm tên chia sẻ, cách từ giao diện Explorer, lần l ượt chọn My Network Places/Entire Network/Microsoft Windows Network/Nhóm máy(ví dụ Khoatin)/Máy cần truy nhập (ví dụ May1) Nh hình 3.5 ta truy nhập vào máy tính có tên May1, nhìn thấy tài nguyên mà máy đ ã chia sẻ để dùng chung mạng, có th mục Documents Nếu muốn gắn ổ đĩa mạng cho th mục này, ta nhấn nút chuột phải nó, chọn mục Map Network Drive từ menu ngữ cảnh để cửa sổ nh hình 3.6 Hình 3.5 Dùng giao diện Explorer để truy nhập t ài nguyên mạng Hình 3.6 Cửa sổ định nghĩa ổ đĩa mạng Tiếp theo ta chọn ký tự l àm ổ đĩa mạng mục Drive Ô duyệt Reconnect at logon chọn mặc định có nghĩa l à, ổ đĩa mạng dùng lại lần đăng nhập v mạng sau Còn bỏ ô duyệt đây, ổ đĩa mạng khơng cịn hiệu lực lần đăng nhập Kết thúc việc định nghĩa ta nhấn nút Finish Để xem ổ đĩa mạng đ ã định nghĩa, ta v mục My compter giao diện Explorer, ổ đĩa mạng có th êm biểu tượng đầu để phân biệt với ổ đĩa cục bộ, nh hình 3.7 ta thấy có ba ổ đĩa mạng F, G M Tại muốn bỏ (không định nghĩa) ổ đĩa mạng n nhấn nút phải chuột nó, chọn Disconnect từ menu ngữ cảnh Hình 3.6 Xem ổ đĩa mạng 4.4 Cách trao quy ền truy cập cục Mỗi file hay thư mục hệ thống NTFS có thuộc tính gọi l Owner, để chứa chủ nhân hay ng ười sở hữu Ln có chủ nhân cho file hay thư mục Chủ nhân file hay th mục có quyền sở hữu (ownership) file hay th mục Quyền sở hữu ho àn toàn tách biệt với quyền truy cập, v phải có quyền sở hữu file hay th mục ta trao quyền truy cập file hay th mục (quyền truy cập cục bộ) cho nhóm ngư ời sử dụng khác Như kể người quản trị Administrator, l chủ sở hữu file hay th mục khơng thể trao quyền truy cập cục cho đối tượng khác Nhưng người quản trị Administrator v nhóm quản trị Administrators lại có khả đặc biệt l chiếm quyền sở hữu file hay th mục nào, cho dù họ khơng có quyền truy cập file hay th mục Khi người sử dụng tạo file hay th mục, họ mặc định l chủ sở hữu file hay th mục Với file hay th mục mà khơng có người rõ ràng tạo (như file thư m ục hệ thống) quyền sở hữu chúng đ ược giao cho nhóm quản trị Administrators Khi chủ nhân file hay th mục, muốn thiết định sửa thiết định chế độ bảo mật cho (trao quyền truy cập cục bộ), th ì ta nhấn nút phải chuột file hay thư mục từ giao diện Explorer My Documents, chọn Properties từ menu ngữ cảnh, chọn trang Security, để cửa sổ hình 3.8 Trên ta thấy có tuỳ chọn Allow inheritable permissions from parent to propagate to this object chọn duyệt mặc định Tuỳ chọn n ày xuất thư mục file xét nằm thư mục mẹ mức Và ý nghĩa tuỳ chọn n ày thừa hưởng thiết định bảo mật đ ã có từ thư mục mẹ Như hình 3.8, tất quyền truy cập m nhóm Everyone có quyền thừa hưởng từ thư mục mẹ Nếu không muốn thừa h ưởng thiết định đ ã có từ thư mục mẹ ta bỏ duyệt tuỳ chọn Khi cửa sổ nh hình 3.9 để ta chọn khả sau: ta muốn bắt đ ầu cách lấy thiết định đ ã thừa hưởng làm sở chọn Copy Khi nhóm Everyone có đầy đủ quyền nh cũ coi quyền đặt trực tiếp mà quyền thừa hưởng; muốn đầu (bỏ hết quyền thừa h ưởng) chọn Remove Khi nhóm Everyone s ẽ khơng cịn quyền bị loại khỏi khung Name; lại muốn thừa hưởng thiết định đ ã có chọn Cancel Hình 3.8 Cửa sổ trao quyền truy cập cục cho đối t ượng Hình 3.9 Những lựa chọn trước ngăn khơng cho thừa h ưởng thiết định có Tại cửa sổ hình 3.8, muốn trao quyền truy cập cục cho ng ười sử dụng nhóm khác th ì nhấn nút Add, chọn đối tượng mong muốn từ danh sách Nếu không muốn trao quyền truy cập cục cho đối t ượng ta chọn đối tượng từ khung Name nhấn Remove Nếu muốn sửa lại quyền truy cập đối t ượng đó, ta chọn đối tượng đó, duyệt / bỏ duyệt v ô Allow quyền cần trao / không trao Nếu muốn ngăn cấm tường minh đối t ượng khơng nhận quyền n đó, ta duyệt vào Deny quyền Để ngăn cấm khơng t ường minh quyền đó, ta khơng duyệt hai ô Allow v Deny Đến ta nhấn nút OK để kết thúc tr ình thiết định chết độ bảo mật cho file th mục Tuy nhiên ta thấy quyền đ ược đặt quyền truy cập mức cao (luôn l tổ hợp quyền truy cập mức thấp) Nếu muốn thiết định tới tận quyền truy cập mức thấp v để chọn số thiết định khác, ta nhấn nút Advance để cửa sổ nh hình 3.10 Một số thơng tin trình bày cửa sổ giống có ý nghĩa cửa sổ hình 3.8, có chỗ đổi lại từ ngữ chút Chẳng hạn khung Name Permissions gộp thành Permission Entries ta thấy nhóm người dùng chọn, kèm theo lời mô tả quyền truy cập mà họ vừa cấp ta thấy có th êm duyệt Reset permissions on all child objects and enable propagation of inheritable permissions Ô duyệt xuất ta tiến h ành thiết định chế độ bảo mật cho th mục, chọn có nghĩa thiết định bảo mật th mục phân bổ cho file thư mục cách tự chọn ô duyệt Allow inheritable permissions from parent to propagate to this object file thư mục Hình 3.10 Cửa sổ đặt thiết định truy cập cao cấp Nếu muốn trao quyền truy cập mức thấp cho đối t ượng đó, ta chọn khung Permission Entries, nhấn nút View/Edit Khi ta có chọn lựa nh hình 3.11 Từ ta có th êm nhiều cách lựa chọn tổ hợp quyền truy cập mức thấp n ày Mục Apply onto cho phép ta phân b ổ quyền truy cập n ày cho kết hợp của: thư mục tại, th mục file thư mục Tuy nhi ên muốn phân bổ đến th mục file thư mục ta phải thêm chọn duyệt Apply these permissions to objects and/or containers within this container only Hình 3.11 Cửa sổ trao quyền truy cập mức thấp Để kết thúc ta nhấn nút OK cửa sổ Chú ý: Các quyền truy cập từ xa áp dụng cho hệ thống FAT v NTFS, quyền truy cập cục đ ược áp dụng cho hệ thống NTFS 4.5 lấy quyền sở hữu Trong trình phân b ổ thu hồi quyền truy cập, gặp trường hợp không ai, kể ng ười quản trị mạng truy cập vào file th mục xác định, đồng thời thay đổi quyền truy cập vào file thư mục Đó người sở hữu file thư mục bị xố Vậy tình giải nh nào? Trong mục 4.2.1, nói quyền sở hữu ta đ ã biết người sử dụng tạo file th mục quyền sở hữu file th mục thuộc họ Và người sử dụng có quyền sở hữu file thư mục cấp cho tồn quyền sử dụng file th mục này, đồng thời cịn cấp quyền truy cập file th mục cho đối tượng khác Như để giải t ình trước hết ta phải chiếm lấy quyền sở hữu file th mục Trong mục 4.2.3 ta thấy đối t ượng có quyền Take Ownership file th mục lấy quyền sở hữu file th mục Nhưng khơng có đối tượng có quyền Take Ownership file thư mục Rất may Windows 2000 cho phép ngư ời quản trị Administrator thành viên c nhóm quản trị Administrators , ln lấy quyền sở hữu file th mục khơng có quyền Take Ownership file th mục Để lấy lấy quyền sở hữu file th mục, ta phải đăng nhập vào máy với tư cách người lấy quyền sở hữu file th mục Do vậy, tr ước hết ta đăng nhập v máy với tư cách ngư ời quản trị Administrator ho ặc thành viên nhóm quản trị Administrators, sau thực thao tác t ương tự trao quyền truy cập cục đối v ới file thư mục đó, mở tới cửa sổ nh hình 3.10 nhấn chuột vào mục Owner để cửa sổ nh hình 3.12 Hình 3.12 Cửa sổ xem/lấy quyền sở hữu Nhìn vào cửa sổ ta thấy quyền sở hữu th mục TTAP thuộc user Binh, Nếu muốn chuyển quyền sở cho đối t ượng khác, ta nhấn chuột đối tượng cần chuyển khung Name, nhấn OK Khi có quyền sở hữu file th mục đó, ta trao quyền truy cập vào file thư mục cho 4.6 Tổng hợp quyền truy cập Khi người sử dụng trao quyền truy cập th mục, với số file hay th mục nó, th ì quyền truy cập đối file hay thư mục có hiệu lực Như người sử dụng đ ược trao toàn quyền sử dụng thư mục TM1, sau lại trao quyền đọc file vanban.doc nằm TM1, th ì người sử dụng khơng thể sửa nội dung file n ày Nhưng có ngoại lệ l người sử dụng có quyền đối t ượng thư mục, lại trao quyền cấm xoá file hay thư mục nó, th ì thực chất người sử dụng xố đ ược file hay th mục Vì người sử dụng đ ược trao quyền truy cập từ xa v quyền truy cập cục file th mục Đồng thời họ nhận quyền n ày từ nhóm mà họ thành viên Khi t hợp lại họ có quyền truy cập thực n file th mục? Nguyên tắc cách tính quyền truy cập tổng hợp nh sau: Trước hết ta tổng hợp cá c quyền truy cập mà người sử dụng có nhờ trao trực tiếp, kế thừa từ nhóm m họ thành viên (khi tổng hợp, ta phân th ành hai nhóm là: quyền truy cập từ xa v quyền truy cập cục bộ) Quyền tổng hợp l hợp quyền mà người sử dụng có nhờ trao trực tiếp, v quyền kế thừa từ nhóm m họ thành viên, trừ quyền bị cấm t ường minh Ví dụ: Nếu người sử dụng A trao quyền truy cập từ xa Change (bao gồm quyền Modify, Read, Write), v quyền truy cập cục Modify, Write thư mục Thuctap Giả sử A thành viên nhóm N1, nhóm đư ợc trao quyền truy cập từ xa Read, quyền truy cập cục Read, bị cấm tường minh hai quyền truy cập cục Modify Write thư mục Thuctap Khi quyền tổng hợp từ xa mà A có thư mục Thuctap Change, quyền tổng hợp cục l Read Sau quyền tổng hợp thực mà người sử dụng có quyền hạn chế quyền tổng hợp từ xa v quyền tổng hợp cục bộ, tức giao quyền tổng hợp từ xa v quyền tổng hợp cục Như ví dụ trên, quyền truy cập thực A thư mục Thuctap giao Change Read, cho kết Read Câu hỏi tập Thế quyền truy cập từ xa? Có quyền truy cập từ xa n ào? Khi quyền truy cập từ xa khơng có ý nghĩa? Thế quyền truy cập cục bộ? Tr ình bày hệ thống quyền truy cập cục Thực hành cách chia sẻ thư mục trao quyền truy cập từ xa, định nghĩa ổ đĩa mạng Thực hành trao quyền truy cập cục Khi người sử dụng trao quyền truy cập th mục, với số file hay th mục th ì Windows 2000 s ẽ xử lý nào? Thực hành tổng hợp quyền truy cập thực m ột người sử dụng thư mục (được trao quyền truy cập từ xa v cục bộ, vừa trao trực tiếp, vừa đ ược thừa hưởng từ nhóm), thử truy nhập v thư mục để kiểm tra kết