Chương 4- quyền người dùng
Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Chương 4 QUYỀN NGƯỜI DÙNG Người dùng có các loại quyền sau: User Right Permission I. Quyền User Right 1. Định nghĩa: Quyền User Right là quyền cấp cho user thực thi một số tác vụ trên hệ thống tức là một số quyền mà user được sử dụng trên server. 2. Một số quyền User Right Để biết quyền User Right có thể cấp cho người dùng là những quyền nào ta mở như sau: Start/ Administrative Tool/ Domain Security Policy/ Local Policy/ User Rights Assignment Biên soạn: Võ Khôi Thọ Trang: 1 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Trên màn hình bên phải là các quyền User Rights sẽ cấp cho người dùng. Chức năng của một số quyền: + Access this computer from the network: Quyền được truy cập vào server thông qua mạng. + Act as part of the operating system: Quyền được thi hành một số phần của hệ điều hành. + Add workstation to domain: Quyền được thêm trạm làm việc vào domain. + Allow logon locally: Quyền được đăng nhập cục bộ. + Allow log on through terminal Services: Quyền đăng nhập thông qua dịch vụ Terminal. + Back up files and directories: Quyền sao lưu files và thư mục + Change the system time: Quyền thay đổi thời gian hệ thống. + Deny log on locally: không được quyền đăng nhập cục bộ + Shut down the system: Quyền tắt máy. Biên soạn: Võ Khôi Thọ Trang: 2 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Một người dùng khi được cấp quyền User Rights thì chỉ được thực hiện chức năng được cấp ngoài ra không được làm bất cứ việc gì khác Ví dụ: Một người được cấp quyền log on locally thì chỉ có thể mở máy ngoài ra không có việc gì khác kể cả việc tắt máy cũng không được 3. Cách cấp quyền User Rights Giả sử người dùng u1 không được cấp quyền Logon locally để logon nếu vẫn dùng tài khoản u1 để đăng nhập sẽ báo lỗi như sau: Biên soạn: Võ Khôi Thọ Trang: 3 Đăng nhập bằng tài khoản u1 khi chưa được cấp quyền logon locally Thông báo của hệ thống là không thể log on Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Để cấp quyền log on locally ta thực hiện như sau: Trên màn hình Domain Security Policy /Local Policies /User Rights Assignment nhấp đúp vào mục Allow logon locally Biên soạn: Võ Khôi Thọ Trang: 4 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Trên màn hình Allow log on locally Properties đánh dấu chọn mục Define these policy setting sau đó nhấp nút add xuất hiện màn hình Add User or Group Trên hộp thoại Add User or Group nhấp nút Browse làm xuất hiện hộp thoại Select Users, Computers, or Groups trên hộp thoại này nhấp nút Advanced rồi nhấp Find, nhấp chọn u1 trong hộp search results: Biên soạn: Võ Khôi Thọ Trang: 5 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Nhấp OK 3 lần để áp dụng và đóng hộp thoại này và trở về hộp thoại Allow log on locally properties Biên soạn: Võ Khôi Thọ Trang: 6 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Nhấp OK để kết thúc quá trình cấp quyền và đóng hộp thoại Allow log on locally properties. Làm tương tự để Add u1 vào Domain Controller Security Policy \Local Policy \User Rights Assignment \Allow log on locally Kiểm tra kết quả + Log off server và đăng nhập với tài khoản u1 và đăng nhập thành công. + Thử tạo tài khoản mới: trên màn hình Active Directory Users and Computers khi đăng nhập bằng u1 nhấp phải chuột vào OU User ta Biên soạn: Võ Khôi Thọ Trang: 7 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng không thấy mục New để tạo các đối tượng mới như vậy là không tạo được gì Biên soạn: Võ Khôi Thọ Trang: 8 Trên menu thứ cấp này không có mục New để tạo các đối tượng mới Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Kể cả khi u1 tắt máy cũng không được Bằng cách tương tự thử lại với các quyền khác và với các Users khác nhau II. QUYỀN PERMISSION Người dùng có 2 loại quyền truy cập đó là: Share và NTFS Share: cấp quyền truy cập thư mục dùng chung NTFS: cấp quyền truy cập cho thư mục và tập tin 1. Một số đặc điểm quyền NTFS: Quyền NTFS chỉ có thể được cấp trên volume được định dạng là NTFS. Quyền truy cập NTFS cung cấp khả năng bảo mật cao hơn so với FAT và FAT32, vì chúng áp dụng cho thư mục và cho từng tập tin cá thể. Biên soạn: Võ Khôi Thọ Trang: 9 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Quyền truy cập tập tin NTFS áp dụng cho cả những ngừơi làm việc tại máy tính lưu trữ dự liệu, lẫn người dùng truy cập thư mục hoặc tập tin qua mạng bằng cách kết nối tới thư mục dùng chung. Có thể dùng quyền truy cập NTFS để bảo vệ tài nguyên khỏi người dùng có thể truy cập máy tính bằng 2 phương pháp sau: + Đăng nhập Cục bộ, ngồi ngay trước máy tính có tài nguyên đang thường trú. + Kết nối từ xa tới thư mục dùng chung. Có thể áp đặt nhiều cấp độ cho phép truy cập lên từng tập tin trong một thư mục. Ví dụ: Cho phép người này đọc và thay đổi nội dung của tập tin Cho phép ngừoi kia chỉ được quyền đọc tập tin và không cho bất cứ ai trong nhóm người còn lại được truy cập dưới bất kì hình thức nào. Chú ý: Khi một volume được định dạng NTFS thì Permission mặc định của Volume đó sẽ là group Everyone và có quyền Full ConTrol. Trên Volume NTFS khi bạn tạo 1 thư mục thì bạn sẽ sở hữu thư mục đó. Nếu người này thuộc group Administrator thì toàn bộ administrator sẽ sở hữu thư mục này. 2. Cách áp dụng quyền NTFS Quyền Truy Cập NTFS được cấp cho tài khoản người dùng hoặc cho tài khoản Group. Biên soạn: Võ Khôi Thọ Trang: 10 [...]... Server 2003 Chương 4 – Quyền người dùng Ngừơi dùng có thể được cấp quyền truy cập 1 cách trực tiếp hoặc theo nhóm mà người này là thành viên trong nhóm Nên cấp quyền truy cập thông qua nhóm Khác với quyền truy cập thư mục dùng chung, quyền truy cập NTFS bảo vệ tài nguyên cục bộ tức là có thể bảo vệ tài nguyên theo cấu trúc phân tầng trên máy tính mà người dùng đó đăng nhập cục bộ Chú ý: Nếu người dùng được... thẻ owner Người dùng trong khung này là người có quyền sở hữu tập tin Biên soạn: Võ Khôi Thọ Trang: 27 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Cấp quyền Take Ownership cho một người dùng Nhấp phải chuột vào tập tin/ Properties/ Security/ Advanced/ Permission Biên soạn: Võ Khôi Thọ Trang: 28 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Trên... Quyền người dùng Cách cấp quyền NTFS Nhấp phải chuột vào Folder hoặc File rồi chọn Properties rồi nhấp thẻ Security Tại mục Group or User names: Chứa người dùng và nhóm được cấp quyền Biên soạn: Võ Khôi Thọ Trang: 13 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Tại mục Permission: Là các quyền có thể cấp cho người dùng hoặc nhóm Tương ứng với các quyền là 2 cột Allow là cho... và cấp quyền truy cập thư mục dùng chung (share Permis) ở cấp độ Full Control cho nhóm Users Dùng biến %Username% để tự động gán tên tài khoản của người dùng cho thư mục cá nhân của người này Biến %Username% còn có thể tự động chỉ định Biên soạn: Võ Khôi Thọ Trang: 24 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng quyền truy cập NTFS ở cấp độ Full Control cho ngừoi dùng tương... cần chỉ định quyền truy cập đặc biệt (special access permiss) quyền này cho phép khả năng cấp quyền truy cập cá nhân (individual) cho từng tài khoản người dùng hoặc cho group Nên cấp quyền truy cập đặc biệt cho user nhằm mục đích sau: Cho phép người dùng khác quản lí quyền truy cập những tập tin do bạn sở hữu, cấp cho ngừoi dùng quyền truy cập ở cấp độ Change Permis (P) Bảo vệ các tập tin chương trình... Không thể dùng để bảo vệ từng cá thể tập tin 3.2 Quyền NTFS Nếu thư mục dùng chung thường trú trên một volume NTFS, có thể dùng quyền truy cập NTFS để bảo vệ thư mục và tập tin Mức độ bảo mật thư mục và tập tin cao nhất bằng cách kết hợp quyền truy cập NTFS với quyền truy cập thư mục dùng chung… Biên soạn: Võ Khôi Thọ Trang: 12 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Cách... tước bỏ quyền sở hữu của người dùng vì lý do an ninh Đó gọi là Take Ownership Cách xác định quyền truy cập và quyền sở hữu tập tin Nhấp phải chuột vào tập tin/ properties/ Security/ Advanced/ Permission Biên soạn: Võ Khôi Thọ Trang: 26 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng Trong màn hình này quyền truy cập được xác định trong khung Permission entries Để xác định quyền. .. vì cho từng người dùng Bằng cách này có thể chấm dứt khả năng truy cập của người dùng bằng cách loại người này ra khỏi nhóm, thay vì phải mất công thay đổi cấp độ truy cập trên thư mục và tập tin 3 Cấp quyền truy cập mọi tập tin điều hành ở quyền READ cho nhóm Users và nhóm Biên soạn: Võ Khôi Thọ Administrators Trang: 30 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người dùng 4 Hướng... 2003 Chương 4 – Quyền người dùng Trong khung Permission nhấp chọn vào ô Allow tương ứng với Full rồi nhấp OK để áp dụng và đóng hộp thoại Permission Cấp quyền truy cập thư mục Dungchung cho u2 là Read: Làm tương tự như đã cấp quyền cho u1 Sau khi cấp quyền cho u2 màn hình Share Permission như minh họa Biên soạn: Võ Khôi Thọ Trang: 18 Giáo trình Quản trị mạng Windows Server 2003 Chương 4 – Quyền người. .. Windows Server 2003 Chương 4 – Quyền người dùng Nhấp chọn nút Copy và nhấp OK để trở lại màn hình thuộc tính của file Trên màn hình thuộc tính file Add vào người dùng cần cấp quyền và quyền sẽ cấp rồi nhấp OK để áp dụng và thoát khỏi màn hình Làm tương tự để cấp quyền truy cập tập tin data1 cho u2 là Read Nhấp OK để áp dụng và thoát khỏi hộp thoại Tiếp theo làm tương tự để cấp quyền NTFS cho data2 . 2003 Chương 4 – Quyền người dùng Chương 4 QUYỀN NGƯỜI DÙNG Người dùng có các loại quyền sau: User Right Permission I. Quyền User Right 1. Định nghĩa: Quyền. Windows Server 2003 Chương 4 – Quyền người dùng Trên màn hình bên phải là các quyền User Rights sẽ cấp cho người dùng. Chức năng của một số quyền: + Access