Bài 2: Quản lí tài khỏan người dùng và nhóm Administrator Là tài khoản đặc biệt.Bạn có toàn quyền trên máy Local và Domain Guest Là tài khoản khách,tài khoản này bị hạn chê rầt nhiều Loc
Trang 1QUẢN TRỊ WINDOWS 2000 SERVER
Bài 1:Giới thiệu chung
I.Giới thiệu về Active Directory:
Có thể so sánh Active Directory với LanManager trong WinNT 4.0.Về căn bản Active
Directory là 1 cơ sở dữ liệu của 1 tài nguyên trên mạng cũng như các hệ thống liên quan đến các đối tượng đó.Tuy vậy đây không phải là 1 khái niệm mới bởi Novell đã sử dụng dịch vụ thư mục(directory service) trong nhiều năm rồi
II.Domain:
1 khái niệm không thay đổi từ WinNT 4.0 là Domain.1 domain vẫn là trung tâm của 1 mạng trong Windows 2000,tuy nhiên lại được thiết lập khác đi.Các DC(domain Controller) không còn phân biệt PDC hay BDC Bây giờ chỉ còn là DC.Theo mặc định tất cả các máy khi mới cài Windows 2000 server đều là server độc lập(standalone
server).DCPROMO.EXE chính là Active Directory Installation Wizard và được dùng
để thăng cấp 1 máy không phải là DC thành DC
III.Nâng cấp máy server bình thường thành DC:
Bước 1:Chọn mneu Start/Run gõ DCPROMO rồi Enter.
Bước 2:Hộp thoại Active Directory Installation Wizard xuất hiện.Nhấn Next để tiếp
tục
Bước 3:Trong hộp thoại Domain Controller Type,chọn mục Domain Controller for a
new Domain và nhấn chọn Next.Nếu bạn muốn bổ sung máy điều khiển vùng vào 1
domain có sẵn ,bạn chọn Additional domain controller for an existing domain.
Bước 4:Trong hộp thoại Create Tree or Child Domain,chọn Create a new domain
tree để tạo 1 cây domain mới.Nếu trên hệ thống mạng đã có sẵn Active Directory và bạn
muốn tạo domain con của cây domain sẵn có ,chọn Create a new child domain in an
axisting domain tree.
Bước 5:Trong hộp thoại Create or Join Forest,chọn Create a new forest of domain
tree,chọn next.Nếu bạn có sẵn Active Directory và bạn muốn đưa cây domain vào rừng
sẵn có,bạn sẽ chọn Place this new domain tree in an existing forest.
Bước 6:Trong hộp thoại New domain name,bạn có thể điền tên nào cũng được.Ví dụ
như:manguon.edu.vn(trường hợp đối với mạng cục bộ LAN);và nếu máy chủ của bạn đăng
kí với nhà cung câp thì bạn sẽ lấy tên do bạn đăng kí.Sau đó nhấn Next
Bước 7:Hộp thoại Database and Log Locations cho phép bạn chỉ định nới lưu trữ
database Active Directory và tập tin Log.Bạn muốn thay đổi thì chọn Browse, ở đây tôi chọn Next.hehheheh
Bước 8:Hộp thoại Shared System Volume chỉ định vị trí của thư mục SYSVOL.Lưu ý
thư mục này phải nằm trên đĩa có định dạng NTFS nếu không sẽ báo lỗi.Chọn Next
Bước 9:Bạn sẽ thấy thông báo cho biết trên hệ thống của bạn chưa có DNS server quản trị domain bạn định tạo.Nhấn OK để tiếp tục
Bước 10:Hộp thoại Configure DNS,bạn chọn “Yes,Install and Configure DNS on
this computer(recommended)” và chọn Next.Nếu bạn muốn tự cấu hình dịch vụ DNS
bạn chọn mục còn lại
Bước 11:Trong hộp thoại Permission,bạn chọn giá trị Permission Compatible with
pre-windows 2000 server khi hệ thống có các server phiên bản trước Windows 2000.Nếu
chọn Permission compatible only with windows 2000 servers khi hệ thống máy của bạn
toàn là các server của Windows 2000
Trang 2Bước 12:Nhập password bảo vệ hệ thống,sau đó nhấn Next rồi OK.Bạn sẽ phải chờ khỏang 10-15 phút để quá trình hoàn thành.Trong quá trình này có thể máy sẽ yêu cầu bạn đưa đĩa nguồn của Windows 2000 server vào
Bước 13:Bước này thì quá dễ,bạn chỉ cần Restar Now.hehehe
Bài 2: Quản lí tài khỏan người dùng và nhóm
Administrator Là tài khoản đặc biệt.Bạn có
toàn quyền trên máy
Local và Domain
Guest Là tài khoản khách,tài khoản
này bị hạn chê rầt nhiều
Local và Domain
ILS_Anonymous_USER Là tài khoản được dùng cho
dịch vụ ILS.ILS hỗ trợ cho các ứng dụng Điện thoại có các đặ tính như:ID,video conferencing…Muốn sử dụng dịch vụ này thì phải cài đặt
Domain
IUSR_computer_name Là tài khoản đặc biệt được
dùng trong các truy nhập dấu tên trong dịch vụ IIS
Local và Domain
IWAM_computer_name Là tài khoản dùng cho IIS
khởi động các tiến trình của các ứng dụng trên máy có IIS
Local và Domain
Krbtgt Là tài khoản đặc biệt được
dùng cho dịch vụ trung tâm phân phối khoá(Key Distribution Center)
Domain
TSinternetUser Là tài khoản dùng cho
Terminal services Domain
Tài khoản nhóm cài sẵn:
Account Operators Thành viên của nhóm này
có thể tạo tài khoản nhóm,tài khoản người dùng nhưng chỉ có thể quản lí những gì do nó tạo ra
Domain
Administrators Nhóm này thì có toàn
quyền trên hệ thống Local và Domain Backup Operators Thành viên của nhóm này
có quyền Backup và Restore.Nếu hệ thống sử dụng NTFS,họ phải được
Local và Domain
Trang 3gán quyền thì mới có thể thực hiện được công việc Guests Đây là nhóm bị hạn chế
nhiều nhất Local và Domain Power Users Nhóm này có ít quyền hơn
nhóm Administrators nhưng nhiều quyền hơn nhóm Users.Nhóm này cũng có thể tạo ,quản lí tài khoản nhóm và người dùng
do họ tạo ra.Ngoài ra còn
có quyền chia sẻ thư mục
và máy in mạng
Local
Print Operator Thành viên nhóm này có
quyền quản trị máy in
Domain
Replicator Nhóm này được dùng để hổ
trợ tạo bản sao thư mục,nó
là 1 đặc tính được dùng trong các server
Local và Domain
Server Operators Thành viên nhóm này có
thể quản trị các server vùng Domain Users Nhóm này cũng có quyền
rất hạn chế Local và Domain Cert Publishers Thành viên nhóm này có
thể quản lí các chứng thực của các công ty
Global
DHCP Administrators Nhóm này có quyền quản lí
các dịch vụ DHCP Domain DHCP Users Nhóm này có quyền sử
dụng dịch vụ DHCP
Domain
DNSAdmins Nhóm này có các quyền
quản lí các dịch vụ DNS
Domain
DNSUpdateProxy Nhóm này có quyền cho
phép các máy trạm dns được gửi yêu cầu dns thay cho các máy trạm khác
Domain
Domain Computers Nhóm này chứa tất cả các
máy trạm và máy server như là 1 phần của vùng
Global
Domain Controllers Nhóm này chứa tất cả các
máy điều khiển vùng của vùng
Global
Domain Guests Là nhóm có quyền truy cập
giới hạn trên vùng
Global Domain Users Nhóm này có quyền tối
thiểu trên vùng Global
Trang 4Enterprise Admins Nhóm này có quyền quản lí
các thông tin của các công
ty liên quan đến hệ thống
Global
Group Policy Creator
Owners
Nhóm này có quyền hiệu chỉnh chính sách bảo mật trong vùng
Global
RAS and ISA Server Nhóam này chứa các thông
tin về dịch vụ truy cập từ xa
và dịch vụ chứng thực trên Internet
Domain
Schema Admins Nhóm này có quyền hiệu
chỉnh các lược đồ của Active Directory
Global
WINS Users Thành viên nhóm này có
quyền xem thông tin trên dịch vụ WINS(Windows Internet Name Services)
Domain
*Tổ chúc tài khoản người dùng và nhóm(Đối với máy chưa nâng cấp thành DC)
Cách tạo tài khoản người dùng và nhóm:Start/Settings/Controlpanel/Administrative Tools/Computer Management.Trong mục Local Users and Groups nhấp chuột phải chọn New User hay new Group thì tuỳ bạn chọn
Khi tạo tài khoản người dùng mới,có 4 mục:
-User Must change Password At Next Logon:Người dùng phải thay đổi password ngay
lần đăng nhập đầu tiên
-User Cannot Change Password:Ngừoi dùng không tự thay đổi được mật khẩu.
-Password Nerver Expires:Tài khoản này sẽ không hết hạn.
-Account is Disabled:Tài khoản tạm thời bị khoá.
Nếu ta muốn người dùng nào gia nhập 1 nhóm thì trong Local users and groups chọn Group rồi add tên người dùng vào nhóm mà mình muốn
Bài 3:Active Directory
Ở bài 1 khi nâng cấp lên DC,có người sẽ hỏi nâng cấp lên làm gì?
Ta nâng cấp lên DC để có thể quản lí 1 cách chi tiết hơn các tài khoản nhóm và người dùng
Chú ý:Khi ta nâng cấp lên DC thì Local Users and Groups sẽ bị đánh dấu chéo(Không sử sdụng được nữa) Để có thể add User hay Group thì ta sử dụng Active Directory Users and Computers.Khi cửa sổ Active Directory Users and Computers xuất hiện,chọn Users.Sau đó nhấp chuột phải chọn new ….(tuỳ bạn )
Ở phần First name,Last name,Full name thì tuỳ.Nhưng ở phần User Logon name thì bạn phải nhớ để mà đăng nhập cục bộ.Sau đó cũng có 4 mục giống như trên Muốn xem thuộc tính người dùng thì click chuột phải chọn Properties.Trong tab hộp thoại bạn sẽ thấy rất chi tiết thông tin về người dùng Ở tab Account ta sẽ thấy tên Logon và cho phép ta cấu hình các phần sau:
-Quy định giờ logon
-Quy định máy trạm mà người dùng có thể sử dụng để vào mạng
-Quy định các chính sách tài khoản người cho người dùng
Trang 5-Quy định thời điểm hết hạn của tài khoản.
Điều khiển giờ Logon vào mạng:Khi chọn Logon hours,hộp thoại xuất hiện và mặc định là được sử dụng 24/24 giờ và 7 ngày /tuần Ở đây có 2 nút:Logon Permitted là cho phép,Logon Denied là từ chối.Tuỳ bạn thay đổi mà cho phép người dùng sử dụng ngày
nào,giờ nào trong tuần
Chọn máy được truy cập:click logon to,bạn sẽ thấy hộp thoại Logon Workstations
xuất hiện ,ta có thể chỉ định cho người dùng Logon từ bất kì máy nào hay từ 1 số máy do ta chọn bằng cách nhập tên máy tính vào mục Computer Name và sau đó chọn add
*Nếu muốn kích hoạt tài khoản để chạy ngay trên máy của mình:chọn Domain Security Policy/Local Policies/User Rights Assignment tìm dòng Logon Locally rồi add tên
mà muốn cho Logon ngay trên máy Server.Sau đó vào Start/run/gõ cdm
Gõ các lệnh sau:secedit /refreshpolicy user_policy
secedit /refreshpolicy machine_policy
Và như vậy bạn đã kích hoạt tài khỏan xong.Nếu không làm như trên thì bạn sẽ phải chờ 8h thì tài khoản mới tự động kích hoạt
Thêm 1 nhóm tài khoản,tương tự như thêm User nhưng ta chọn New Group.Ta có các mục :
-Domain local nếu dùng nhóm cho việc gán quyền cho các tài nguyên
-Global:nếu dùng nhóm này cho tất cả người dùng mà họ có quyền truy cập giống nhau -Universal:nếu bạn muốn gán quyền quan hệ với những tài nguyên trong nhiều miền khác nhau
-Security:nếu nhóm này là những người dùng mà họ cần truy cập đến tài nguyên cụ thể -Distribution:nếu nhóm này là tập hợp những người dùng mà họ có đặc trưng giống nhau
Xem thuộc tính của nhóm,chọn Properties
*Tab General
*Tab Members:cho phép thay đổi các thành viên
*Tab Members Of:cho phép bạn xem và thêm,xoá nhóm hiện tại là thành viên của các nhóm khác
*Tab Managed by:Cho phép thay đổi người dùng quản lí nhóm này
QUẢN LÍ TÀI KHOẢN THÔNG QUA COMMAND LINE
Chức năng tạo thêm,hiệu chỉnh và hiển thị thông tin của các tài khoản người dùng:
Cú pháp:
-net user username password /domain.
Chức năng tạo thêm nhóm tài khoản:
Cú pháp:
-net group groupname /domain.
Chúc năng tạo thêm nhóm cục bộ
-net localgroup groupname /domain.
Bài 4:Chính sách và phương pháp bảo mật
I.Chính sách tài khoản người dùng:
Chính sách tài khoản người dùng(Account Policies) được dùng để chỉ định các thông số
về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra.Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật mã,khoá tài khoản và chứng thực
Kerberos trong vùng.Nếu trên Windows 2000 thành viên thì bạn sẽ thấy 2 mục Password Policy và Account Lockout Policy,trên máy Windows 2000 Server làm DC(Domain
Trang 6Controller) thì bạn sẽ thấy 3 mục:Password Policy,Account Lockout Policy và Kerberos
Policy.Trong Windows 2000 Server cho phép bạn quản lí chính sách bảo mật tại 2 cấp đó
là:cục bộ và vùng.Muốn cấu hình các chính sách bảo mật tài khoản người dùng ta
vào:Administrative Tools/Domain Security Policy hay Local Security Policy.
II.Cấu hình chính sách mật mã:(Password Policy)
nhất Giá trị lớn nhất
Enforce
Password
History
Số lần đặt mật
mã không được trùnh nhau
Maximum
Password Age Quy định số ngày nhiều nhất
mà mật mã người dùng có hiệu lực
Giữ mật mã trong 42 ngày Giữ mật mã trong 1 ngày Giữ mật mã trong 999 ngày
Minimum
Password Age
Quy định số ngày ìt nhất mà người dùng có thể thay đổi mật mã
0 ngày(người dùng có thể thay đổi ngay lập tức)
0 999 ngày
Minimum
Password
Length
Chiều dài ngắn nhất của mật mã
Passwords Must
Meet
Complexity
Requirements
Cho phép bạn cài bộ lọc mật mã
Không cho phép Không cho phép Cho phép
Store Password
Using
Reversible
Encryption for
All Users In the
Domain
Mật mã người dùng được lưu dưới dạng mã hoá
Không cho phép Không cho phép Cho phép
III.Cấu hình chính sách khoá tài khoản(Account Lockout Policy)
Chính sách Mô tả Giá trị mặc
định
Giá trị min Giá trị max Gợi ý
Account
Lockout
Threshold
Quy định số lần đăng nhập trước khi tài khoản
bị khoá
0 0 Thử 999 lần 5 lần
Account
Lockout
Duration
Quy định thời gian khoá tài khoản
Là 0,nhưng nếu Account Lockout Threshold
Như giá trị mặc định
99999 phút 5 phút
Trang 7được thiết lập thì giá trị này là 30 phút
Reset
Account
Lockout
Counter
After
Quy định thời gian đếm lại số lần đăng nhập không thành công
Là 0,nhưng nếuAccount Lockout Threshold được thiết lập thì giá trị này là 5 phút
Như giá trị mặc định
99999 Phút 5 phút
IV.Cấu hình chính sách cục bộ
Chính sách cục bộ(Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung Đồng thời dựa vào tính năng trên bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật
1.Cấu hình chính sách kiểm toán
Cấu hình chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,trên các đối tương cũng như đối với các người dùng
Audit Account Logon Events Ghi nhận khi người dùng logon,logoff hay
tạo 1 kết nối mạng Audit Account Management Ghi nhận khi tài khoản người dùng hay
nhóm được tạo xoá hay các thao tác quản lí người dùng
Audit Directory Service Access Ghi nhận việc truy cập các dịch vụ thư mục Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình
logon như thi hành 1 logon script hay truy cập đến 1 roaming profile
Audit Object Access Ghi nhận việc truy cập các tập tin ,thư
mục,máy in Audit Policy Change Ghi nhận các thay đoi63 trong chính sách
kiểm toán 2.Gán quyền người dùng:
Quyền người dùng(User Right)là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống
Access This Computer form the Network Cho phép người dùng truy cập máy tính trên
mạng.Mặc định mọi người đều có quyền này
Act as Part of the Operating System Cho phép các dịch vụ chứng thực ở mức
thấp chứng thực với bất kì người dùng nào Add Workstations to the Domain Cho phép người dùng thêm 1 tài khoản máy
tính vào vùng Back Up Files and Directories Cho phép người dùng sao lưu dự phòng các
tập tin và thư mục bất chấp các tập tin và
Trang 8thư mục này người đó có quyền hay không Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư
mục nếu người dùng không có quyền xem (list) nội dung thư mục này
Change the System Time Cho phép người dùng thay đổi giờ hệ thống
máy Create a Token Object Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến
trình này dùng NTCreate Token API Create Permanent Shared Objects Cho phép 1 tiến trình tạo 1 đối tượng thư
mục thông qua Windows 2000 Object Manager
Debug Programs Cho phép người dùng gắn 1 chương trình
debug vào bất kì tiến trình nào Deny Access to This Computer from the
Network
Cho phép bạn khoá người dùng hay nhóm không được truy cập đến các máy tính trên mạng
Deny Logon as a Batch File Cho phép bạn ngăn cản những người dùng
và nhóm được phép logon như 1 batch file Deny Logon as a Service Cho phép bạn ngăn cản những nguời dùng
và nhóm truy cập đến máy tính cục bộ Enable Computer and User Accounts to Be
Trusted by Deletgation
Cho phép người dùng hay nhóm được uỷ quyền cho người dùng hay 1 đối tượng máy tính
Force Shutdown from a Remote System Cho phép người dùng Shutdown hệ thống từ
xa thông qua mạng Generate Security Audits Cho phép người dùng,nhóm hay 1 tiến trình
tạo 1 entry vào Security log Increase Quotas Cho phép người dùng điều khiển các quota
của các tiến trình Increase Scheduling Priority Quy định 1 tiến trình có thể tăng hay giảm
độ ưu tiên đã được gán cho tiến trình khác Load and Unload Device Drivers Cho phép người dùng có thể cài đặt hay gỡ
bỏ các driver của các thiết bị Lock Pages in Memory Khoá trang trong vùng nhớ
Log On as a Batch Job Cho phép 1 tiến trình logon vào hệ thống và
thi hành 1 tập tin chứa các lệnh hệ thống Log on as a Service Cho phép 1 dịch vụ logon và thi hành 1 dịch
vụ riêng Logon Locally Cho phép người dùng Logon tại máy server Manage Auditingand Security Log Cho phép người dùng quản lí security log Modify Firmware Environment Variables Cho phép người dùng hay 1 tiến trình hiệu
chỉnh các biến môi trường hệ thống
Profiles Single Process Cho phép người dùng giám sát các tiến trình
bình thường thông qua công cụ Performancẻ Logs and Alerts
Profile System Performance Cho phép người dùng giám sát các tiến trình
Trang 9hệ thống thông qua công cụ Performancẻ Logs and Alerts
Remove Computer from Docking Station Cho phép người dùng gỡ bỏ 1 Laptop thông
qua giao diện người dùng của Windows 2000
Replace a Process Level Token Cho phép 1 tiến trình thay thế 1 token mặc
định mà được tạo bởi 1 tiến trình con Restore Files and Directories Cho phép người dùng phục hồi tập tin và
thư mục ,bất chấp người dùng này có quyền trên file và thư mục này hay không
Shut Down the System Cho phép người dùng shutdown máy cục bộ
windows 2000 Synchronize Directory Service data Cho phép người dùng đồng bộ dữ liệu với 1
dịch vụ thư mục Take Ownership of Files or Others Objects Cho phép người dùng tước quyền sỡ hữu
của 1 đối tượng hệ thống 3.Các lựa chọn bảo mật:
Các lựa chọn bảo mật (Security Options)cho phép người quản trị server định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị thao tác trên server dễ dàng và an toàn hơn
Allow Server Operators to
Schedule Tasks(domain
controller only)
Cho phép nhóm Server Operator lập lịch tác vụ trên Server
Không định nghĩa
Allow System to Be Shut
Down Without Having to
Log On
Cho phép người dùng Shutdown hệ thống mà không cần Logon
Không cho phép
Audit the Access of Global
System Objects Giám sát việc truy cập các đối tượng hệ thống toàn cục Không cho phép
Automatically Log Off users
When Logon Time Expires
Tự động logoff khỏi hệ thống khi người dùng hết hạn thời gian sử dụng
Cho phép
Disable CTRL+ALT+DEL
Requirement for logon Không yêu cầu bấm 3 phím CTRL+ALT+DEL khi logon Không cho phép
Do Not Display Last user
Name in Logon Screen
Không hiển thị tẹn người dùng đã logon trên hộp thoại Logon
Không cho phép
Rename Administrator
Account Cho phép đổi tên tài khoản Administratror Không cho phép
Rename Guest Account Cho phép đổi tên tài khỏan
Guest
Không cho phép V.Phương pháp bảo mật (Security):Chỉ sủ dụng với đĩa có định dạng NTFS
Mã hoá dữ liệu bằng EFS:
-EFS (Encrypting File System) là 1 kỹ thuật dùng trong Windows 2000 dùng để mã hoá
các tập tin lưu trên Partition NTFS.Việc mã hoá sẽ bổ sung thêm 1 lớp bảo vệ an toàn cho
Trang 10hệ thống tập tin.Chỉ người dùng có đúng khoá mới có thể truy xuất các tập tin này còn những người khác thì bị từ chối truy cập.Ngoài ra người quản trị mạng còn có thể dùng tác nhân phục hồi (recovery agent) để truy xuất đến bất kì tập tin nào bị mã hoá
-Để mã hoá các tập tin,ta tiến hành theo các bước:
*Chọn các tập tin và thư mục cần mã hoá
*Nhấn chuột phải lên các tập tin và thư mục,chọn Properties/Advanced
*Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypting contents to secure
data và nhấn OK.
*Hộp thoại Confirm Attribute Changes yêu cầu bạn chỉ mã hoá riêng thư mục được chọn(Apply changes to this folder only) hay mã hoá toàn bộ thư mục ,kể cả các thư mục con(Apply changes to this folder,subfolders and files).Sau dó nhấn OK.
-Để gỡ bỏ mã hoá,ta thực hiện tương tự
Các quyền trong NTFS:
Full control Có toàn quyền trên thư mục hay tập tin Modify Có quyền xoá ,sửa,thay đổi
Read&Execute Có quyền đọc và thi hành tập tin
Write Có quyền sửa,nhưng không xoá hay thay
đổi được List Folder Contents Duyệt danh sách thư mục
-Thực hiện :Nhấp chuột phải vào tập tin,thư mục hay ổ đĩa chọn Tab Security.Muốn cấp quyền cho người nào thì nhấn Add,muốn bỏ quyền người nào thì nhấn Remove.Cột
Allow:là đồng ý;cột Deny:là từ chối.Trong Tab security,nếu ta đánh dấu chọn mục:Allow Inheritable permissions from parent to propagate to this object thì thư mục hiện tại
được thừa hưởng danh sách quyền truy cập từ thư mục cha.Nếu muốn cấu hình chi tiết cho
từng người dùng thì click vào nút Advanced.Hộp thoại Access Control Settings xuất hiện.
-Ở hộp thoại,nếu ta muốn thêm người dùng vào danh sách truy cập thì nhấn Add ngược lại
thì bấm Remove.Nếu xem và hiệu chỉnh quyền truy cập thì click vào View/Edit.Trong hộp thoại Access Control Settings,nếu đánh dấu chọn mục:Reset permission on all child
objects and enable propagation of inheretable permissions thì danh sách quyền truy cập
của thư mục hiện tại sẽ được áp xuống các tập tin và thư mục con.Bạn muốn giám sát quyền và ghi nhận lại các người dùng truy xuất thư mục hiện tại,trong hộp thoại
*Access Control Settings chọn Tab Auditing,click Add chọn người giám sát,sau đó click vào Successful.
VI.Chia sẻ truy cập qua mạng
Click chuột phải lên thư mục ,chọn Properties,chọn Tab Sharing
Ý nghĩa các mục:
Do not share this folder Chỉ định thư mục này chỉ được phép truy
cập cục bộ Share this folder Chỉ định thư mục này được phép truy cập
cục bộ và qua mạng Share name Tên thư mục người dùng nhìn thấy trên
mạng Comment Mô tả thêm thông tin về thư mục này