Chương 4- quyền người dùng

Chương 4- quyền người dùng

2 Một số quyền User Right

Để biết quyền User Right có thể cấp cho người dùng

là những quyền nào ta mở như sau:

 Start/ Administrative Tool/ Domain Security Policy/ Local Policy/ User Rights Assignment

 Trên màn hình bên phải là các quyền User Rights sẽ cấp cho người dùng.

Chức năng của một số quyền:

+ Access this computer from the network: Quyền được truy cập vào server thông qua mạng

+ Act as part of the operating system: Quyền được thi hành một số phần của hệ điều hành

+ Add workstation to domain: Quyền được thêm trạm làm việc vào domain.+ Allow logon locally: Quyền được đăng nhập cục bộ

+ Allow log on through terminal Services: Quyền đăng nhập thông qua dịch

vụ Terminal

+ Back up files and directories: Quyền sao lưu files và thư mục

+ Change the system time: Quyền thay đổi thời gian hệ thống

+ Deny log on locally: không được quyền đăng nhập cục bộ

+ Shut down the system: Quyền tắt máy

Một người dùng khi được cấp quyền User Rights thì chỉ được thực hiện chức năng được cấp ngoài ra không được làm bất cứ việc gì khác

Ví dụ: Một người được cấp quyền log on locally thì chỉ có thể mở máy ngoài ra không có việc gì khác kể cả việc tắt máy cũng không được

3 Cách cấp quyền User Rights

Giả sử người dùng u1 không được cấp quyền Logon locally để logon nếu vẫn dùng tài khoản u1 để đăng nhập sẽ báo lỗi như sau:

Đăng nhập bằng tài khoản

u1 khi chưa được cấp

quyền logon locally

Thông báo của hệ thống là không thể log on

Để cấp quyền log on locally ta thực hiện như sau:

 Trên màn hình Domain Security Policy /Local Policies /User Rights Assignment nhấp đúp vào mục Allow logon locally

 Trên màn hình Allow log on locally Properties đánh dấu chọn mục Define these policy setting sau đó nhấp nút add xuất hiện màn hình Add User or Group

 Trên hộp thoại Add User or Group nhấp nút Browse làm xuất hiện hộp thoại Select Users, Computers, or Groups trên hộp thoại này nhấp nút Advanced rồi nhấp Find, nhấp chọn u1 trong hộp search results:

 Nhấp OK 3 lần để áp dụng và đóng hộp thoại này và trở về hộp thoại Allow log

on locally properties

 Nhấp OK để kết thúc quá trình cấp quyền và đóng hộp thoại Allow log on locally properties.

 Làm tương tự để Add u1 vào Domain Controller Security Policy \Local Policy

\User Rights Assignment \Allow log on locally

Kiểm tra kết quả

+ Log off server và đăng nhập với tài khoản u1 và đăng nhập thành công.+ Thử tạo tài khoản mới: trên màn hình Active Directory Users and Computers khi đăng nhập bằng u1 nhấp phải chuột vào OU User ta

không thấy mục New để tạo các đối tượng mới như vậy là không tạo được gì

Trên menu thứ cấp này không có mục New để tạo các đối tượng mới

 Kể cả khi u1 tắt máy cũng không được

 Bằng cách tương tự thử lại với các quyền khác và với các Users khác nhau

II QUYỀN PERMISSION

Người dùng có 2 loại quyền truy cập đó là: Share và NTFS

 Share: cấp quyền truy cập thư mục dùng chung

 NTFS: cấp quyền truy cập cho thư mục và tập tin

1 Một số đặc điểm quyền NTFS:

Quyền NTFS chỉ có thể được cấp trên volume được định dạng là NTFS

Quyền truy cập NTFS cung cấp khả năng bảo mật cao hơn so với FAT và FAT32,

vì chúng áp dụng cho thư mục và cho từng tập tin cá thể

Quyền truy cập tập tin NTFS áp dụng cho cả những ngừơi làm việc tại máy tính lưu trữ dự liệu, lẫn người dùng truy cập thư mục hoặc tập tin qua mạng bằng cách kết nối tới thư mục dùng chung.

Có thể dùng quyền truy cập NTFS để bảo vệ tài nguyên khỏi người dùng có thể truy cập máy tính bằng 2 phương pháp sau:

+ Đăng nhập Cục bộ, ngồi ngay trước máy tính có tài nguyên đang thường trú

+ Kết nối từ xa tới thư mục dùng chung

Có thể áp đặt nhiều cấp độ cho phép truy cập lên từng tập tin trong một thư mục

Ví dụ:

 Cho phép người này đọc và thay đổi nội dung của tập tin

 Cho phép ngừoi kia chỉ được quyền đọc tập tin và không cho bất cứ ai trong nhóm người còn lại được truy cập dưới bất kì hình thức nào

Chú ý:

Khi một volume được định dạng NTFS thì Permission mặc định của Volume đó sẽ

là group Everyone và có quyền Full ConTrol

Trên Volume NTFS khi bạn tạo 1 thư mục thì bạn sẽ sở hữu thư mục đó Nếu người này thuộc group Administrator thì toàn bộ administrator sẽ sở hữu thư mục này

2 Cách áp dụng quyền NTFS

Quyền Truy Cập NTFS được cấp cho tài khoản người dùng hoặc cho tài khoản Group

Ngừơi dùng có thể được cấp quyền truy cập 1 cách trực tiếp hoặc theo nhóm

mà người này là thành viên trong nhóm Nên cấp quyền truy cập thông qua nhóm

Khác với quyền truy cập thư mục dùng chung, quyền truy cập NTFS bảo vệ tài nguyên cục bộ tức là có thể bảo vệ tài nguyên theo cấu trúc phân tầng trên máy tính mà người dùng đó đăng nhập cục bộ

Chú ý:

Nếu người dùng được cấp quyền Read với thư mục và quyền Write với tập tin trong thư mục đó thì người dùng vẫn có thể thay đổi nội dung của tập tin nhưng không thể tạo tập tin mới trong thư mục

Quyền truy cập NTFS có thể cấp cho người dùng hoặc nhóm

Tương tự với quyền truy cập thư mục dung chung, cấp độ truy cập hiệu lực của ngừơi dùng là sự kết hợp với cá nhân hoặc group mà ngừoi đó là thành viên

Quyền truy cập NTFS có thể được cấp cho các thư mục và tài nguyên khác trong hệ thống mạng phân tầng.

Quyền truy cập NTFS được ưu tiên trước các quyền truy cập khác áp cho thư mục hay tập tin đó

Tuy nhiên, quyền truy cập thư mục dùng chung sẽ cung cấp mức độ bảo mật giới hạn vì các lí do sau đây:

+ Cho phép người dùng truy cập mọi thư mục và tập tin trong phạm vi thư mục dùng chung với cùng cấp độ

+ Không có hiệu lực khi người dùng ngồi ngay trước máy tính chứa tài nguyên

và tìm cách truy cập tài nguyên trên máy này

+ Không thể dùng để bảo vệ từng cá thể tập tin

Cách cấp quyền NTFS

Nhấp phải chuột vào Folder hoặc File rồi chọn Properties rồi nhấp thẻ Security

Tại mục Group or User names: Chứa người dùng và nhóm được cấp quyền

Tại mục Permission: Là các quyền có thể cấp cho người dùng hoặc nhóm

Tương ứng với các quyền là 2 cột Allow là cho phép và Deny là cấm

Ngoài ra

để cấp quyền truy cập đặc biệt nhấp nút

Advanced

Trên màn hình Advanced

Security Setting bỏ dấu

check tại Allow inheritable permissions from the parent to propagate to this object and all child objects Include these with entries explcitly defined here làm xuất hiện màn hình Security như sau:

Trên màn hình này nếu nhấp nút Copy tức là chúng ta sẽ copy các quyền đã cấp cho thư mục Parent xuống cho các thư mục con theo cấu trúc phân tầng

Nếu nhấp nút Remove chúng ta sẽ loại bỏ các quyền đã cấp và cấp lại quyền khác cho các thư mục con theo cấu trúc phân tầng

Nhấp nút Copy và nhấp OK để trở lại

màn hình thuộc tính của thư mục

Trên màn hình này giờ muốn cấp

quyền cho người dùng nào chỉ việc

+ Với Share giữ nguyên default Full

Control gán cho nhóm Everyone

+ Sau đó cấp quyền truy cập NTFS cho tài khoản người dùng hoặc tài khoản Group cụ thể để truy cập thư mực và tập tin chứa trong hệ thống phân tầng của forlder share Permiss

Khi kết hợp quyền truy cập NTFS với quyền truy cập share thì cấp độ truy cập giới hạn nhất luôn là cấp độ hiệu lực.

Ví dụ :

Nếu được cấp quyền truy cập với mức độ Full Control cho 1 forlder, đồng thời lại được cấp quyền truy cập NTFS ở cấp độ Read cho cùng thư mục đó, thì mức độ hiệu lực sẽ là Read vì đây là cấp độ giới hạn nhất

Xét 1 ví dụ cụ thể sau:

Trên Server tạo thư mục dungchung, trên thư mục dùng chung tạo các file data1

và data2

Tạo các User: u1, u2

Cấp quyền truy cập cho u1 như sau:

+ Truy cập thư mục dungchung với quyền Full Control

+ Quyền NTFS là Full Control với file data1

+ Quyền NTFS là Read với file data2

Cấp quyền truy cập cho u2 như sau:

+ Truy cập thư mục dungchung với quyền Read

+ Quyền NTFS là Full với file data1

+ Quyền NTFS là Read với file data2

` dungchung

Data1 Data2Share Full cho u1

Share Read cho u2

NTFS cho u1 - Full NTFS cho u2 - Full

NTFS cho u1 - Read NTFS cho u2 - Read

Lúc này cấp độ hiệu lực của u1 là: Full với file data1 và Read với file data2

Cấp độ hiệu lực của u2 là: Read với file data1 và Read với file data2

Cách thực hiện như sau:

Trên Server:

Cấp quyền truy cập thư mục Dungchung

cho u1 là Full Control

Trên màn hình Permission: Remove

nhóm Everyone và Add vào u1

Trong khung Permission nhấp chọn vào ô Allow tương ứng với Full rồi nhấp OK

Tiếp theo cấp quyền NTFS cho data1

Nhấp phải chuột vào file data1 chọn properties trên màn hình xuất hiện, nhấp thẻ Security rồi nhấp nút Advanced và bỏ dấu check tại Allow Inheritable permission

from the parent to propagate to this object and all child objects Include these with entries explicity defined here

Nhấp chọn nút Copy và nhấp OK để trở lại màn hình thuộc tính của file

Trên màn hình thuộc tính file Add vào

người dùng cần cấp quyền và quyền

sẽ cấp rồi nhấp OK để áp dụng và

thoát khỏi màn hình

Làm tương tự để cấp quyền truy cập

tập tin data1 cho u2 là Read

Nhấp OK để áp dụng và thoát khỏi hộp

thoại

Tiếp theo làm tương tự để cấp quyền

NTFS cho data2

Nhấp OK để áp dụng và thoát khỏi màn hình

Như vậy ta đã cấp quyền NTFS xong

II NGUYÊN TẮC KHI ÁP DỤNG QUYỀN TRUY CẬP NTFS

Trước khi bắt đầu chỉ định cấp độ truy cập NTFS đối với thư mục và tập tin nên

xác định đâu là những cấp độ truy cập cần thiết và nên cấp chúng cho ai.

Trong phần này sẽ trình bày những nguyên tắc phải tuân thủ khi quyết định sử dụng quyền NTFS

Mục đích của phần này là giúp cho người học có thể:

+ Hoạch định một cách rõ ràng những cấp độ truy cập định gán cho cá nhân hoặc cho group đối với chương trình, dữ liệu mạng, và thư mục cá nhân.+ Nắm vững các tác vụ cần thiết để tạo thư mục cá nhân trên volume NTFS

1 Nguyên Tắc Hoạch Định Thư Mục Chương Trình

Dưới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ truy cập NTFS cho thư mục:

+ Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và đem cấp cho nhóm Administrators

+ Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp cho những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm

+ Nếu các chương trình mạng thường trú dùng chung, hãy cấp quyền truy cập ở cấp độ Read cho nhóm Users

2 Nguyên Tắc Hoạch Định Thư Mục Dữ Liệu

Có 2 nguyên tắc chung khi chỉ định quyền truy cập NTFS cho thư mục và dữ liệu:+ Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone và đem cấp cho nhóm Administrator

+ Chỉ Định cấp độ truy cập Add&Read cho nhóm Users và cấp độ Full Control cho nhóm Creator Owner Việc làm này sẽ cung cấp cho người dùng đăng

nhập cục bộ khả năng hủy bỏ và sửa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo ra trên máy tính nơi họ đăng nhập.

3 Nguyên Tắc Hoạch Định Thư Mục Cá Nhân

Cuối cùng là nguyên tắc áp dụng khi chỉ định các cấp độ truy cập NTFS cho thư mục cá nhân.:

+ Tập chung mọi thư mục cá nhân trên 1 Volume NTFS (Trên 1 server nào đó) riêng biệt với Volume chứa hệ điều hành và các chương trình, nhằm hợp lí hóa công tác quản trị và sao lưu dữ liệu Thường thì cái gì cũng vậy, nếu chúng ta gọn gàng thì sẽ rất dễ cho công việc sau này

+ Dùng biến %Usersname% để tự động gán tên tài khoản của người dùng cho thư mục cá nhân và tự động chỉ định quyền truy cập NTFS ở cấp độ Full Control cho người dùng tương ứng

Tạo Thư Mục Cá Nhân (Home Folder) Trên Volume NTFS

Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn, đó là có thể

tổ chức chúng thành hệ thống phân tầng và giới hạn khả năng truy cập ở những người dùng tương ứng mà không cần chia sẻ từng thư mục

Các bước để tạo thư mục cá nhân trên Volume NTFS:

Tạo thư mục có tên Users trên một Volume riêng biệt với Volume chứa hệ điều hành, làm thế thư mục cá nhân sẽ được bảo toàn nếu xảy ra sự cố đòi hỏi phải định dạng lại volume có chứa hệ điều hành

Chia sẻ thư mục Users nhằm cung cấp một điểm truy cập đơn lẻ cho người dùng mạng và điểm quản trị đơn lẻ cho nhà quản trị

Bỏ chế độ mặc định Full Control từ Everyone và cấp quyền truy cập thư mục dùng chung (share Permis) ở cấp độ Full Control cho nhóm Users

Dùng biến %Username% để tự động gán tên tài khoản của người dùng cho thư mục cá nhân của người này Biến %Username% còn có thể tự động chỉ định

quyền truy cập NTFS ở cấp độ Full Control cho ngừoi dùng tương ứng (Trên FAT, thư mục cá nhân chỉ có thể được hạn chế truy cập thông qua quyền truy cập thư mục dùng chung).

Trong UserManager for Domains, tạo 1 tài khoản người dùng mới hoặc double Click và tài khoản sẵn có

Trong hộp thoại Newuser hoặc User Properties,click vào Profile, sau đó gõ \\PC name\Users\%Username% vào hộp thoại Home Directory To

Lưu ý:

Khi đã tạo thư mục cá nhân nên yêu cầu User của mình lưu trữ dữ liệu mạng và

dữ liệu cá nhân vào thư mục cá nhân của họ Nếu thư mục cá nhân của họ được chuyển từ server này sang server khác thì chỉ cần chuyển đường dẫn là xong

4 Điều kiện để cấp quyền NTFS

Muốn cấp quyền truy cập NTFS người dùng phải thỏa các điều kiện sau:

+ là chủ sở hữu của tập tin hoặc thư mục,

+ phải có quyền truy cập ở cấp độ FC,hoặc quyền truy cập ở cấp độ Change Permiss hay Take Ownership

5 Quyền truy cập đặc biệt

Trong hầu hết các trường hợp của Windows dùng quyền truy cập chuẩn (standard permission) là có thể bảo vệ tập tin và thư mục

Tuy nhiên trong 1 vài trường hợp cần chỉ định quyền truy cập đặc biệt (special access permiss) quyền này cho phép khả năng cấp quyền truy cập cá nhân (individual) cho từng tài khoản người dùng hoặc cho group

Nên cấp quyền truy cập đặc biệt cho user nhằm mục đích sau: Cho phép người dùng khác quản lí quyền truy cập những tập tin do bạn sở hữu,cấp cho ngừoi dùng quyền truy cập ở cấp độ Change Permis (P) Bảo vệ các tập tin chương trình hỏi bị hủy bỏ do sơ ý hoặc do Virus phá hoại,

Cấp cho mọi tài khoản ngừoi dùng, kể cả tài khoản của nhà quản trị Administrator.Cấp quyền truy cập ở cấp độ READ đối với các tập tin điều hành.

Cho phép nhà quản trị chỉnh sửa tập tin điều hành,

Cấp cho nhóm Administrator quyền truy cập Change Permissions Quyền truy cập này cung cấp cho nhà quản trị khả năng thay đổi quyền truy cập với những tập tin chỉ đọc Read only nếu cần

Chú ý: Quyền truy cập đạc biệt này giống nhau cho cả tập tin và thư mục

Cách xác định quyền truy cập và quyền sở hữu tập tin

Nhấp phải chuột vào tập tin/ properties/ Security/ Advanced/ Permission

Trong màn hình này quyền truy cập được xác định trong khung Permission entries.

Để xác định quyền sở hữu tập tin nhấp thẻ owner

Người dùng trong khung này là người có quyền sở hữu tập tin

Cấp quyền Take Ownership cho một người dùng

Nhấp phải chuột vào tập tin/ Properties/ Security/ Advanced/ Permission

Trên màn hình này nhấp nút Add rồi chọn user trong hộp thoại Select User or Group

Nhấp OK để áp dụng

trên màn hình Permission Entry nhấp chọn Take Ownership rồi nhấp OK để áp dụng

III Những việc cần làm khi cấp quyền truy cập NTFS

1 Cấp quyền truy cập NTFS trước khi chia sẻ 1 thư mục Bằng cách này sẽ ngăn ngừa được tình trạng người dùng nối kết và truy cập thư mục hay tập tin trước khi đảm bảo an toàn

2 Hãy cấp quyền cho nhóm thay

vì cho từng người dùng Bằng cách này có thể chấm dứt khả năng truy cập của người dùng bằng cách loại người này ra khỏi nhóm, thay vì phải mất công thay đổi cấp độ truy cập trên thư mục và

3 Cấp quyền truy cập mọi tập tin điều hành ở quyền READ cho nhóm Users và