Quyền truy cập từ xa Trong hệ thống mạng Windows 2000, một th mục kể cả ổ đĩa bất kỳ của máy tính nào muốn trở thành tài nguyên chung cho những ngời ở máy tính khác cùng sử dụng đều phải
Trang 1Chơng 3 Quản lý tài nguyên file và th mục
3.1 Các hệ thống file của Windows 2000
Windows 2000 hỗ trợ ba hệ thống file là FAT (File Alocation Table), NTFS (New Technology File System) và EFS (Encrypting File System).
FAT: Là một hệ thống lu trữ file cơ bản nhất Ưu điểm của hệ thống này
là hỗ trợ rất rộng các ứng dụng, nhng tính bảo mật thấp
NTFS: Là hệ thống phân hoạch file tiên tiến, Hệ thống phân hoạch này
có lợi thế là bảo mật đợc ở mức file và phân chia làm nhiều mức cho phép truy cập vào th mục và file
EFS: Là hệ thống bảo đảm sự bảo mật tối đa cho ngời sở hữu file bằng
cách mã hoá các file
3.2 Chế độ bảo mật của NTFS
3.2.1 Một số khái niệm
Quyền truy cập (Permission): Chỉ mức độ ngời sử dụng có thể truy cập
vào một file hoặc một th mục Trên hệ thống NTFS có rất nhiều quyền truy cập đáp ứng đợc nh cầu bảo mật dữ liệu đa dạng Có hai loại quyền truy cập
vào tài nguyên file và th mục là: quyền truy cập chia sẻ (share permission) và
quyền truy cập file và th mục (file and directorry permission) Sau đây để cho
ngắn gọn và dễ phân biệt, ta sẽ gọi quyền truy cập chia sẻ là quyền truy cập từ
xa, gọi quyền truy cập file và th mục là quyền truy cập cục bộ.
Quyền sở hữu (Ownership): Một ngời sử dụng có quyền sở hữu đối với
một file hoặc th mục nào đó sẽ có thể cấp cho mình toàn quyền sử dụng file hoặc th mục này, đồng thời còn có thể cấp quyền truy cập file hoặc th mục này cho các đối tợng khác Khi một ngời sử dụng tạo ra một file hoặc th mục mới thì quyền sở hữu file hoặc th mục này sẽ thuộc về họ Mỗi một file hoặc
th mục chỉ có duy nhất một đối tợng có quyền sở hữu
3.2.2 Quyền truy cập từ xa
Trong hệ thống mạng Windows 2000, một th mục (kể cả ổ đĩa) bất kỳ của máy tính nào muốn trở thành tài nguyên chung (cho những ngời ở máy tính khác cùng sử dụng) đều phải tiến hành thao tác chia sẻ Khi ta tiến hành chia sẻ một th mục của một máy tính nào đó, tức là đã đa th mục đó ra cho mọi ngời trên các máy tính khác cùng truy cập Tuy nhiên mức độ cho ngời khác truy cập đến đâu là do ngời chia sẽ quy định thông qua các quyền truy cập từ xa Nh vậy quyền truy cập từ xa cho phép ngời sử dụng từ những máy tính khác trong mạng, đợc truy nhập vào hệ thống th mục của một máy tính có
th mục chia sẻ
Quyền truy cập từ xa là hàng rào cản đầu tiên (từ xa) mà ngời sử dụng cần vợt qua khi truy nhập vào hệ thống file và th mục trên mạng Có thể ví chúng nh cái núm gạt chống ghi trên một đĩa mềm Cho dù ta có thể xoá, sửa
Trang 2đối với tất cả các file và th mục trên đĩa mềm, nhng chỉ cần cái núm gạt ấy ở
đúng vị trí là ta không thể thay đổi đợc thứ gì
Windows 2000 chỉ cho phép chia sẻ các th mục, mà không chia sẻ đợc các file Do vậy quyền truy cập từ xa chỉ áp dụng với th mục Các quyền truy cập từ xa gồm:
Full Control: Cho phép thực hiện tất cả mọi công việc trên tất cả các file
và th mục con trong th mục chia sẻ
Change: Cho phép đọc và thi hành, cũng nh thay đổi và xoá, các file và
th mục trong th mục chia sẻ
Read: Cho phép đọc và thi hành các file, xem nội dung th mục chia sẻ,
không có khả năng sửa đổi hoặc xoá bất kỳ thứ gì trong th mục chia sẻ
3.2.3 Quyền truy cập cục bộ
Nh trên ta thấy các quyền truy cập từ xa chỉ đợc phân thành ba mức và cũng chỉ áp dụng đợc cho th mục Bởi vậy không đáp ứng đợc nhu cầu bảo mật dữ liệu đa dạng trên mạng, vì có rất nhiều loại đối tợng sử dụng khác nhau trên mạng, đòi hỏi các quyền trên cần đợc chia nhỏ tiếp và phải đợc áp
dụng chi tiết đến mức file Sự có mặt của quyền truy cập cục bộ chính là nhằm
đáp ứng yêu cầu trên
Quyền truy cập cục bộ đợc xem nh những quyền truy cập trực tiếp (rào cản trực tiếp) mà ngời dùng phải qua khi truy nhập vào hệ thống file và th mục trên ổ đĩa cục bộ của máy tính, nh hình ảnh minh hoạ sau:
Đăng nhập từ máy tính này Users Rào cản quyền từ xa
Đăng nhập từ máy tính khác Máy có th mục chia sẻ
Chính vì vậy, tại máy tính có th mục chia sẻ, nếu ngời dùng truy cập vào
th mục chia sẻ này nh một tài nguyên cục bộ của máy, thì quyền truy cập từ
xa sẽ không đợc áp dụng, tức là lúc đó chỉ có các quyền truy cập cục bộ là có hiệu lực
Đối với các th mục và file, có hai mức quyền truy cập khác nhau, có thể
tạm gọi là quyền truy cập mức cao và quyền truy cập mức thấp, trong đó
quyền truy cập mức cao là tổ hợp của những quyền truy cập mức thấp Bảng 3.1 trình bày cách kết hợp của các quyền truy cập mức cao từ các quyền truy cập mức thấp
Bảng 3.1 Các quyền truy cập mức cao và quyền truy cập mức thấp
Mức cao
Mức thấp
Write Read List Folder
Contents
Read &
Execute
Modify Full
Control
Traverse folder/Execute File List Folder/Read Data
Trang 3Read Extended Attributes Create Files/Write Data Create Folders/Append Data
Write Extended Attributes Delete Subfolders and Files
Những qui luật hình thành các quyền truy cập mức cao trong bảng trên
đ-ợc áp dụng cho cả file và th mục, chỉ trừ List Folder Contents, vì quyền truy
cập này chỉ áp dụng cho th mục
Những quyền truy cập mức thấp có dạng chọn một trong hai nh: Traverse folder/Execute File, List Filder/Read Data, Create Files/Write Data và Create Folders/Append Data, thì quyền đầu đợc áp dụng cho th mục, quyền sau đợc
áp dụng cho file
Các quyền truy cập ở mức thấp là cơ sở để tạo nên các quyền truy cập ở mức cao mà chúng ta thờng thấy nh: Read, Modify và Full Control … ý nghĩa của các quyền truy cập mức thấp nh sau:
Traverse folder/Execute File: Traverse folder (nghĩa là đi qua th mục)
chỉ áp dụng với các th mục Có những lúc ta thực hiện các file chơng trình nào
đó có gọi đến các file khác trong các th mục khác Ví dụ, ta thực hiện một file chơng trình Program1.exe, trong th mục APP1 (nh hình 3.1) Giả sử file chơng trình đó lại cố gắng gọi đến một file khác trong một th mục nằm sâu hơn một cấp bên dới APP1 (giả sử đó là file Data.dat trong th mục App111), trong khi
ta lại không đợc phép truy cập các th mục cấp một bên dới App1 (là App11) Khi đó ta sẽ nhận đợc một thông báo lỗi “Access denied” (từ chối truy cập), vì Windows 2000 không cho phép đi qua một th mục không đợc phép truy cập Nhng chỉ cần có quyền Traverse folder đối với các th mục ở mức trên (là App11), thì ta sẽ đi qua đợc các th mục trung gian để đến đích (là App111)
App1 Program.exe
Hình 3.1 Minh hoạ cho quyền truy cập Traverse folder
Còn với Execute File, thì chỉ áp dụng với các file, và nếu file có đuôi
là EXE, COM, hoặc một kiểu file khả thi khác, thì quyền này cho ta thi hành
đợc file đó
List Folder/Read Data: List Folder cho phép xem nội dung của th mục,
còn Read Data cho phép xem nội dung của file
Read Attributes: Cho phép nhìn thấy các thuộc tính cơ bản của file
gồm: Read – Only, Hidden, System và Archive
Read Extended Attributes: Một số chơng trình có gộp các thuộc tính
khác vào kiểu file của chúng Ví dụ Microsoft Word có gắn thêm vào file DOC các thuộc tính nh: Author, Subject, Title, Các thuộc tính này đợc
Trang 4gọi là thuộc tính mở rộng (extended attributes), và chúng thay đổi từ chơng trình này sang chơng trình khác Quyền truy cập mức thấp này cho phép ta xem đợc các thuộc tính mở rộng đó
Create Files/Write Data: Create Files cho phép đặt các file mới vào th
mục đang xét (nghĩa là có thể tạo ra hoặc sao chép, di chuyển từ nơi khác
đến) Write Data thì cho phép ghi đè lên (sửa) những dữ liệu hiện có bên trong file, nhng không cho bổ sung thêm dữ liệu vào file
Create Folders/Append Data: Create Folders cho phép tạo ra các th
mục con trong th mục đang xét còn Append Data cho phép bổ sung thêm dữ liệu vào cuối file đang xét, nh không cho sửa những dữ liệu đã có của file đó
Write Attributes: Cho phép thay đổi các thuộc tính cơ bản của một file Write Extended Attributes: Cho phép thay đổi các thuộc tính mở rộng
của một file
Delete Subfolders and Files: Cho phép xoá các th mục con và các file
của th mục đang xét, nhng không xoá đợc chính th mục này
Delete: Cho phép xoá một file hoặc th mục, nếu là th mục thì chỉ xoá đợc
khi nó đã rỗng
Read Permissions: Cho phép xem tất cả các quyền truy cập vào file
hoặc th mục đã đợc trao cho các đối tợng, nhng không thể thay đổi đợc các quyền đã trao này
Change Permissions: Cho phép thay đổi các quyền truy cập vào file
hoặc th mục cho các đối tợng
Take Ownership: Cho phép chiếm lấy quyền sở hữu file hoặc th mục 3.3 Cách chia sẻ th mục và trao quyền truy cập từ xa,
định nghĩa ổ đĩa mạng
3.3.1 Cách chia sẻ th mục và trao quyền truy cập từ xa
Muốn tạo ra một th mục dùng chung (chia sẻ th mục), thì ta phải có những quyền thích hợp Điều này đòi hỏi ta phải là một quản trị viên (là thành viên nhóm administrators) hoặc một điều hành viên server (server operators)
Có nhiều cách để tạo ra các th mục dùng chung, nhng nếu ngồi tại máy
có th mục cần tạo, thì giao diện Explorer hoặc My Computer là những phơng tiên đơn giản và trực tiếp để tạo ra và quản lý các đặc tính của một th mục dùng chung
Từ Explorer hoặc My Computer, ta nhấn phải chuột tại th mục cần chia
sẻ (ví dụ th mục TP7, chọn Sharing từ menu ngữ cảnh, để hiện ra cửa sổ nh hình 3.2 Sau đó để chia sẻ ta chọn Share this folder.
Mục chọn Share name để gõ vào tên chia sẻ Tên chia sẻ giống nh một
bí danh của th mục đợc chia sẻ Ban đầu tên này đợc đặt mặc định chính là tên của th mục đợc chia sẻ, nhng ta có thể đổi lại thành một tên bất kỳ Những
ng-ời sử dụng trên mạng sẽ dùng tên chia sẻ để tham chiếu đến th mục dùng chung, mà không cần biết tên thực sự của nó
Trang 5Mục User limit dùng để giới hạn số ngời dùng có thể đồng thời truy cập vào th mục dùng chung này: Nếu chọn Maximum allowed thì số ngời dùng
đồng thời là không hạn chế Còn nếu muốn chỉ một số nhất định ngời dùng
(ví dụ 100 ngời) đợc phép đồng thời truy cập, thì ta chọn Allow và gõ vào số
ngời tại đó
Để thiết lập chế độ bảo mật cho th mục chia sẻ ta chọn nút Permissions,
cửa sổ nh hình 3.3 sẽ hiện ra cho thấy đã có nhóm Everyone trong khung
Name đợc trao mặc định tất cả các quyền truy cập từ xa đối với th mục này.
Nếu muốn trao quyền truy cập từ xa th mục này cho những ngời sử dụng hoặc
các nhóm khác thì ta nhấn nút Add, và tiến hành chọn các đối tợng mong
muốn từ danh sách đợc hiện ra
Hình 3.2 Cửa sổ thay đổi các đặc tính của th mục dùng chung
Trang 6Hình 3.3 Cửa sổ trao quyền truy cập từ xa của th mục cho các đối tợng
Nếu không muốn trao quyền truy cập từ xa cho một đối tợng (ngời sử
dụng hoặc nhóm) nào thì ta chọn đối tợng đó từ khung Name rồi nhấn Remove
Nếu muốn sửa lại quyền truy cập của một đối tợng nào đó, ta chọn đối
t-ợng đó, rồi duyệt / bỏ duyệt vào ô Allow tại quyền cần trao / không trao Nếu
muốn cấm tờng minh một đối tợng không đợc nhận quyền nào đó, thì ta duyệt
vào ô Deny của quyền đó Để ngăn cấm không tờng minh một quyền nào đó,
thì ta không duyệt ở cả hai ô Allow và Deny
Kết thúc mục này nhấn OK để trở về cửa sổ hình 3.2
Tại cửa sổ hình 3.2 ta thấy có một tính năng mới khác với NT4, đó là nút
Caching (nghĩa là đệm trữ chia sẻ) Nút chọn này sử dụng tính năng Offline Files (file ngoại tuyến) làm cho việc truy cập file từ xa đợc nhanh hơn
Offline Files hoạt động bằng cách tự động đệm trữ (cache) các file thờng
đợc truy cập từ xa, lu những bản sao đệm trữ (cached copy) đó trong một th
mục (gọi là cache) trên một ổ đĩa cứng của mỗi máy trạm có sự truy cập từ xa
đến th mục dùng chung đang xét Sau đó Offline Files dùng các bản sao đệm trữ đó để tăng tốc độ truy cập, vì việc truy cập đến những file thờng đợc truy cập ấy không phải là từ xa nữa, mà đợc giải quyết ngay trên bản sao đệm trữ trong cache tại chính máy trạm Tuy nhiên trớc hết Offline Files phải kiểm tra cho chắc chắn rằng file đó đã bị thay đổi tại th mục dùng chung hay cha, bằng cách xem xét ngày giờ và kích thớc file trên cả th mục dùng chung và trong cache của máy trạm; nếu thấy giống nhau thì Offline Files sẽ trao cho ta file trong cache; nếu không phải nh vậy (hai bản đó có sự khác nhau), thì Offline Files sẽ đọc bản ở mạng (th mục dùng chung) về, đa vào cache để máy trạm
có đợc bản cập nhật mới nhất
Offline Files là một cơ chế đệm trữ write-through, nghĩa là khi ta lu
những thay đổi của một file, thì những thay đổi đó luôn luôn đợc ghi ngay lên mạng (chứ không ghi tạm vào cache rồi một lúc nào đó sau đó mới thực sự ghi
lên mạng nh loại cache write-back), và những thay đổi đó cũng đợc đệm trữ
vào ổ đĩa cứng tại chỗ luôn
Khi chọn Caching, cửa sổ nh hình 3.4 hiện ra, và ta thấy ô duyệt Allow caching of files in this shared folder đợc chọn mặc định, nghĩa là có sử dụng
tính năng đệm trữ các file trong th mục chia sẻ
Tại mục Setting cho phép ta chọn một trong ba kiểu đệm trữ sau:
Trang 7Manual Caching for Documents: Gọi là đệm trữ thủ công (đợc chọn
mặc định) Kiểu đệm trữ này có nghĩa là không đệm trữ tất cả các file trong
th mục chia sẻ, mà chỉ đệm trữ những file cần thiết do ngời dùng chỉ ra Mục
đích là để tiếp kiệm không gian đĩa cứng trên máy trạm, và giảm các thao tác
đồng bộ dữ liệu trên mạng giữa bản gốc (trong th mục chia sẻ) và bản sao đệm trữ (trong đĩa cứng của các máy trạm khác)
Hai kiểu thiết định sau là Automatic Caching for Documents và Automatic Caching for Programs, gọi là đệm trữ tự động Khi đó mọi file
trong th mục chia sẻ khi đợc mở đều sẽ đợc tự động đệm trữ Sự khác nhau duy nhất giữa hai kiểu đệm trữ tự động này là ở chỗ các file chơng trình trong
đệm trữ Automatic Caching for Programs khi đợc gọi thực hiện sẽ không cần kiểm tra xem nó có đợc cập nhật gần đây nhất hay không Mục đích thiết định này là để việc gọi thực hiện chơng trình đợc nhanh hơn vì không cần thực hiện thủ tục kiểm tra tính đồng bộ trên mạng (thờng mất một số thời gian), trong khi các file chơng trình lại ít khi có sửa đổi
Hình 3.4 Cửa sổ đặt thiết định đệm trữ cho th mục chia sẻ
Kết thúc mục này nhấn OK để trở về cửa sổ hình 3.2, tại đó nhấn tiếp OK
để kết thúc quá trình chia sẻ
Chú ý: Ta có thể tiến hành chia sẻ nhiều lần một th mục, mỗi lần với một
tên chia sẻ khác nhau Tại những lần chia sẻ sau, trên cửa sổ hình 3.2 sẽ có
thêm mục New Share để chọn tên chia sẻ và những thiết định bảo mật mới
Cửa sổ hình 3.2 cũng để sửa lại các thiết định bảo mật cho một tên chia
sẻ đã tạo, hoặc bỏ một tên chia sẻ đã tạo của một th mục dùng chung Khi đó tên chia sẻ đợc chọn từ mục Share name, các thao tác chỉnh sửa thiết định bảo mật đợc tiến hành nh khi đang chia sẻ, còn nếu muốn bỏ tên chia sẻ đang
chọn thì ta chọn mục Remove Share Nếu muốn bỏ tất cả các tên chia chia sẻ
đã có (không chia sẻ nữa) thì chọn mục Do not share this folder.
3.3.2 Định nghĩa ổ đĩa mạng
Trang 8Khi một máy chia sẻ một th mục, thì các máy khác sẽ nhìn thấy và truy cập qua tên chia sẻ Tuy nhiên tại các máy khác này ta có thể gắn cho mỗi tên tên chia sẻ một ký tự ổ đĩa (nh là một bí danh của tên chia sẻ), và ổ đĩa này
đ-ợc gọi là ổ đĩa mạng (để phân biệt với ổ đĩa cục bộ đđ-ợc gắn với máy tính) ổ
đĩa mạng sẽ đợc hiện trong mục My computer
Tất cả các chữ cái từ A – Z mà cha dùng đến đều có thể dùng để đặt tên
ổ đĩa mạng
Muốn định nghĩa một ổ đĩa mạng ta phải truy nhập vào tài nguyên mạng
để tìm một tên chia sẻ, bằng cách từ giao diện Explorer, lần lợt chọn My Network Places/Entire Network/Microsoft Windows Network/Nhóm máy(ví
dụ Khoatin)/Máy cần truy nhập (ví dụ May1) Nh hình 3.5 ta đã truy nhập vào
máy tính có tên May1, và nhìn thấy các tài nguyên mà máy này đã chia sẻ để dùng chung trên mạng, trong đó có th mục Documents Nếu muốn gắn một ổ
đĩa mạng cho th mục này, ta nhấn nút chuột phải tại nó, rồi chọn mục Map Network Drive từ menu ngữ cảnh để hiện ra cửa sổ nh hình 3.6.
Hình 3.5 Dùng giao diện Explorer để truy nhập tài nguyên mạng
Trang 9Hình 3.6 Cửa sổ định nghĩa ổ đĩa mạng
Tiếp theo ta chọn ký tự làm ổ đĩa mạng tại mục Drive Ô duyệt Reconnect at logon đợc chọn mặc định có nghĩa là, ổ đĩa mạng này sẽ đợc
dùng lại tại những lần đăng nhập vào mạng sau này Còn nếu bỏ ô duyệt tại
đây, thì ổ đĩa mạng này sẽ không còn hiệu lực tại lần đăng nhập kế tiếp Kết
thúc việc định nghĩa ta nhấn nút Finish.
Để xem các ổ đĩa mạng đã định nghĩa, ta vào mục My compter cũng trong giao diện Explorer, trong đó những ổ đĩa mạng sẽ có thêm biểu tợng
ở đầu để phân biệt với các ổ đĩa cục bộ, nh hình 3.7 ta thấy có ba ổ đĩa mạng
là F, G và M Tại đây nếu muốn bỏ (không định nghĩa) ổ đĩa mạng nào thì
nhấn nút phải chuột tại nó, rồi chọn Disconnect từ menu ngữ cảnh.
Hình 3.6 Xem các ổ đĩa mạng
3.4 Cách trao quyền truy cập cục bộ
Trang 10Mỗi file hay th mục trong hệ thống NTFS đều có một thuộc tính gọi là
Owner, để chứa chủ nhân hay ngời sở hữu của nó Luôn có một chủ nhân nào
đó cho mỗi file hay th mục Chủ nhân của một file hay th mục thì có quyền sở hữu (ownership) file hay th mục đó Quyền sở hữu hoàn toàn tách biệt với các quyền truy cập, và phải có quyền sở hữu một file hay th mục thì ta mới có thể trao quyền truy cập file hay th mục (quyền truy cập cục bộ) cho các nhóm và ngời sử dụng khác
Nh vậy kể cả ngời quản trị Administrator, nếu không phải là chủ sở hữu của một file hay th mục thì cũng không thể trao quyền truy cập cục bộ cho các
đối tợng khác Nhng ngời quản trị Administrator và nhóm quản trị Administrators lại có một khả năng đặc biệt là có thể chiếm quyền sở hữu của bất kỳ file hay th mục nào, cho dù họ không có bất kỳ quyền truy cập nào đối với các file hay th mục này
Khi một ngời sử dụng tạo ra một file hay th mục, thì họ sẽ mặc định là chủ sở hữu của file hay th mục này Với những file hay th mục mà không có ai
là ngời rõ ràng tạo ra (nh các file và các th mục hệ thống) thì quyền sở hữu của chúng đợc giao cho nhóm quản trị Administrators
Khi đã là chủ nhân của một file hay th mục, nếu muốn thiết định hoặc sửa thiết định chế độ bảo mật cho nó (trao quyền truy cập cục bộ), thì ta nhấn nút phải chuột tại file hay th mục đó từ giao diện Explorer hoặc My
Documents, chọn Properties từ menu ngữ cảnh, rồi chọn trang Security, để hiện ra cửa sổ nh hình 3.8 Trên đó ta thấy có tuỳ chọn Allow inheritable permissions from parent to propagate to this object và đợc chọn duyệt mặc
định Tuỳ chọn này xuất hiện nếu th mục hoặc file đang xét đang nằm trong
th mục mẹ nào đó ở mức trên Và ý nghĩa của tuỳ chọn này là thừa hởng những thiết định bảo mật đã có từ th mục mẹ Nh trong hình 3.8, tất cả các quyền truy cập mà nhóm Everyone có đợc đều là những quyền thừa hởng từ
th mục mẹ Nếu không muốn thừa hởng những thiết định đã có từ th mục mẹ thì ta bỏ ô duyệt của tuỳ chọn trên Khi đó sẽ hiện ra cửa sổ nh hình 3.9 để ta chọn một trong những khả năng sau: nếu ta muốn bắt đầu bằng cách lấy các
thiết định đã thừa hởng làm cơ sở thì chọn Copy Khi đó nhóm Everyone vẫn
có đầy đủ các quyền nh cũ nhng sẽ đợc coi là quyền đặt trực tiếp mà không phải là quyền thừa hởng; nếu muốn bắt đầu từ đầu (bỏ hết các quyền thừa
h-ởng) thì chọn Remove Khi đó nhóm Everyone sẽ không còn một quyền nào
và cũng bị loại luôn ra khỏi khung Name; nếu lại muốn thừa hởng những thiết
định đã có thì chọn Cancel.
