Đồ án Tìm Hiểu Về Bộ Quyền NTFS/SHARE Trong Windows có Video

Share Permission: Việc chia sẻ các tài nguyên trên mạng là điều không thể thiếu trong bất kỳ hệ thống mạng nào, tuy nhiên việc chia sẻ này còn tùy thuộc vào nhu cầu người sử dụng ý đồ của nhà quản trị mạng, ví dụ trong công ty chúng ta có nhiều phòng ban và các phòng ban trong công ty có nhu cầu chia sẻ tài nguyên cho nhau tuy nhiên nhà quản trị mạng muốn không phải phòng ban nào cũng có thể truy cập vô tư các dữ liệu của phòng ban khác.Chẳng hạn các nhân viên trong phòng kinh doanh thì có thể truy cập dữ liệu của phòng mình và phòng kỹ thuật thoải mái, nhưng với các nhân viên trong phòng kỹ thuật chỉ được phép truy cập tài nguyên trong phòng mình mà thôi và không được phép truy cập các tài liệu từ phòng kinh doanh, tính năng Sharing and Security… sẽ giúp ta giải quyết các yêu cầu trên.NTFS Permission: Quyền truy cập NTFS giúp bạn bảo vệ tài nguyên trên máy tính cục bộ khi người dùng nối kết với tài nguyên qua mạng, so với FAT32 thì hệ thống file NTFS trên HĐH Windows 2000 trở đi hỗ trợ hiệu quả hơn trong việc quản lý dữ liệu trên partition, Phân quyền cho các folders hoặc file để điều khiển mức độ truy cập của User đến các tài nguyên đó. HĐH Windows 2000 trở đi chỉ cung cấp các quyền NTFS trên các partitions được format theo định dạng NTFS, nếu không phân quyền cho các User hoặc Group thì các User không thể truy cập đến tài nguyên trên máy tính hoặc thông qua mạng.

ĐỒ ÁN CƠ SỞ MẠNG MÁY TÍNH

Tìm Hiểu Về Bộ Quyền NTFS/SHARE Trong

Windows

GVHD: Nguyễn Quang Anh SVTH: Đặng Thành Phát

Đồ án Cơ Sở: Mạng Máy Tính

Tháng 04 – Năm 2016

MỤC LỤC

1 Giới Thiệu: 3

2 Share Permission 3

2.1 Chức Năng: 3

2.2 Tìm Hiểu Về Share Permission: 3

3 NTFS Permission 7

3.1 Chức Năng: 7

3.2 Phân Tích: 8

3.2.1 Standard Permission (6 Bộ Quyền) 8

3.2.2 Special Permission (13 Bộ Quyền) 19

3.2.3 Ngoài ra còn có bảy thành phần trong Applies to liên kết đến 13 bộ quyền Special 21

4 Các Quyền Liên Quan 24

5 Kết Hợp Quyền Truy Cập Dùng Chung Và Quyền Truy Cập NTFS: 24

6 Kết Quả Thực Nghiệm: 25

6.1 Share Permission 25

6.1.1 Chuẩn bị: 25

6.1.2 Tạo Share Folder 26

6.1.3 Tạo Share Folder Ẩn 27

6.1.4 Phân quyền Share trên thư mục 29

6.1.5 Map Network Driver 32

6.2 NTFS Permission 33

6.2.1 Chuẩn bị: 33

6.2.2 Mục đích: 34

6.2.3 Thực hiện: 35

7 Tổng Kết: 45

7.1 Tóm tắt nội dụng: 45

7.2 Phần Làm Được, Thiếu Sót: 45

7.2.1 Làm được: 45

7.2.2 Thiếu sót: 46

8 Tài Liệu Tham Khảo: 46

Đồ án Cơ Sở: Mạng Máy Tính

1 Giới Thiệu:

Share Permission: Việc chia sẻ các tài nguyên trên mạng là điều không thể thiếu trong bất kỳ

hệ thống mạng nào, tuy nhiên việc chia sẻ này còn tùy thuộc vào nhu cầu người sử dụng & ý đồcủa nhà quản trị mạng, ví dụ trong công ty chúng ta có nhiều phòng ban và các phòng ban trongcông ty có nhu cầu chia sẻ tài nguyên cho nhau tuy nhiên nhà quản trị mạng muốn không phảiphòng ban nào cũng có thể truy cập vô tư các dữ liệu của phòng ban khác

Chẳng hạn các nhân viên trong phòng kinh doanh thì có thể truy cập dữ liệu của phòng mình vàphòng kỹ thuật thoải mái, nhưng với các nhân viên trong phòng kỹ thuật chỉ được phép truycập tài nguyên trong phòng mình mà thôi và không được phép truy cập các tài liệu từ phòngkinh doanh, tính năng Sharing and Security… sẽ giúp ta giải quyết các yêu cầu trên

NTFS Permission: Quyền truy cập NTFS giúp bạn bảo vệ tài nguyên trên máy tính cục bộ khi

người dùng nối kết với tài nguyên qua mạng, so với FAT32 thì hệ thống file NTFS trên HĐHWindows 2000 trở đi hỗ trợ hiệu quả hơn trong việc quản lý dữ liệu trên partition, Phân quyềncho các folders hoặc file để điều khiển mức độ truy cập của User đến các tài nguyên đó HĐHWindows 2000 trở đi chỉ cung cấp các quyền NTFS trên các partitions được format theo địnhdạng NTFS, nếu không phân quyền cho các User hoặc Group thì các User không thể truy cậpđến tài nguyên trên máy tính hoặc thông qua mạng

2 Share Permission

2.1 Chức Năng:

Full Control: Toàn quyền (Có quyền đi thay đổi lại quyền )

Change: Tạo, sửa, xóa

Read: Chỉ có quyền đọc (đọc, copy, thực thị)

2.2 Tìm Hiểu Về Share Permission:

Kể từ Windows Vista trở đi trình Sharing… của Windows có giao diện khác hẳn với các phiênbản trước đó giao diện Wizard mới này rất thân thiện với người dùng phổ thông tuy nhiên rấtkhó khăn cho nhà quản trị mạng, chính vì thế trước khi thực hiện ta cần phải tùy chỉnh lạiWindows để trở lại giao diện Sharing Classic

Đầu tiên bạn mở trình Windows Explorer ra chọn Organize -> Folder and Search Options

Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended)

Từ Windows Server 2000 trở đi để chia sẻ một thư mục nào đó bạn nhấp chuột phải vào thưmục cần Share chọn Share…

Đồ án Cơ Sở: Mạng Máy Tính

Nhấp chọn Advanced Sharing

Sau đó bạn click vào chọn Share this folder, ở ô Share Name máy sẽ tự lấy tên default là tên thư

mục hiện hành, bạn có thể chỉnh sửa tên này tùy ý bạn

Để phân quyền cho User truy cập bạn click chọn mục PermissionsTrong này bạn có thể giới hạn quyền cho từng group hoặc user với các quyền được giới hạn bời

các mục Allow & DenyVới các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tương ứngVới các tùy chọn là Deny: User không có quyền truy cập tài nguyên với quyền hạn tương ứng

dữ liệu đối với User

 Yêu cầu: dữ liệu phải được lưu trữ trên phân vùng có định dạng NTFS

 Lưu Ý: Nếu phân vùng đang ở định dạng Fat 32 thì ta dùng lệnh sau để chuyển từ địnhdạng Fat32 sang NTFS bằng cách Vào Start chọn Run gõ cmd, gõ vào bảng cmd lệnhdòng lệnh Convert [Drive]: /FS:NTFS

Ví dụ:

Convert D: /FS:NTFS (Lưu ý chuyển từ NTFS sang FAT, FAT32 dùng lệnh này không được)

Vào ổ đĩa tạo Folder bất kì, chọn Properties, Tab Security: đây là giao diện của bộ quyền NTFS(còn gọi là Access Control List).

Access Control List Giao diện gồm 2 phần:

– Đối tượng cần phân quyền

3.2.1 Standard Permission (6 Bộ Quyền)

Full control: Tạo + Chỉnh Sửa + Xóa + Phân Quyền + Take Ownership

Đồ án Cơ Sở: Mạng Máy Tính

Write: Cho phép tạo tài nguyên.

Lưu ý: Nếu User có quyền Write trên file thì User có thể chỉnh sửa dữ liệu, nếu là folder thì cóthể tạo mới các đối tượng trong folder, chép dữ liệu vào folder, nhưng không thể xóa các đốitượng

3.2.1.1 Tìm hiểu về Standard Permission:

Tạo 4 User: KT1, KT2 thuộc Group KeToan, NS1 và NS2 thuộc Group NhanSu

Vào ổ đĩa C tạo Folder Data

Trong Data tạo 3 Folder Chung, KeToan, NhanSu, và 2 file t1.txt và t2.txt (nội dung tùy ý).Mỗi folder con tạo 1 file txt (cũng nội dung tùy ý)

Yêu cầu: Thiết lập quyền cho các folder

Data: Cho Group KeToan, NhanSu có quyền Read and execute

Chung: Tất cả có quyền Full Control

KeToan: Chỉ Group KeToan có quyền Full Control, Cấm Group NhanSu

NhanSu: Chỉ Group NhanSu có quyền Full Control, Cấm Group KeToan

* Lưu ý: Khi thực hiện phân quyền phải thực hiện từ Folder cha di xuống

Do Folder Data chỉ cho Group KeToan và NhanSu truy cập nên ta phải xóa Group Users (Usersđại diện cho tất cả User, được kế thừa từ ổ C), chọn Edit

Chọn Users -> Remove

Xuất hiện thông báo: Không thể Remove Group Users vì Group này đang chịu quyền thừa kế

từ folder cha

Để gỡ bỏ quyền thừa kế: Chọn Advance

Đồ án Cơ Sở: Mạng Máy Tính

Chọn Disable inheritance

Xuất hiện bảng thống báo:

– Remove All Inherited Permission From This Object: Xóa tất cả các quyền thừa kế, các đốitượng trong Access Control List kể cả các group hệ thống (Creator Owner, System,Administrators).

– Convert inherited permission into…: Giữ lại các đối tượng ở folder cha và Folder con, nếuFolder cha có Group KeToan thì folder con cũng có group KeToan (khuyên nên dùng)

=> Remove thành công

Hướng dẫn tạo Group User:

Thực hiện tạo Group User ở đây tôi sẽ tạo User KeToan, đầu tiên ta chọn vào Start chọn tiếpServer Manager

Folder Chung thừa kế các quyền và các đối tượng thuộc Folder Data

Đồ án Cơ Sở: Mạng Máy Tính

Chọn Full Control cho Group KeToan, NhanSu

Folder KeToan: Chọn Full Control cho Ketoan.

Cách Cấm Group NhanSu (2 cách)

– Không đưa đối tượng vào bảng Access Control List (bỏ quyền thừa kế và xóa groupNhanSu)

– Cho quyển deny đối tượng

* (Hạn chế Deny cho đối tượng Group vì nếu xảy ra trường hợp: “NS1” có nhu cầu vào FolderKeToan làm việc thì ta phải cấp quyền Read cho NS1 nhưng do group NhanSu bị Deny nêndeny ưu tiên hơn => NS1 không có quyền Còn dùng cách trên thì chỉ cần add thêm NS1 rồicấp quyền Read là xong)

Đồ án Cơ Sở: Mạng Máy Tính

Folder Nhansu làm tương tự

Cách Test quyền cho các User:

Cách 1 (thực tế thường dùng): Chọn Folder KeToan -> Tab security -> Advance -> Tab

Effective Access

Select a user: gõ vào KT1 -> View Effective Access

Gõ vào User: NS1

Đồ án Cơ Sở: Mạng Máy Tính

 Các lưu ý khi phân quyền:

– Phân quyền từ Folder cha đến Folder con

– Nếu 1 User nằm ở 2 Group, 1 Group bị Deny, và 1 Group có quyền Read thì User đó sẽ bịquyền Deny

– Nếu 1 User nằm ở 2 Group thì Group nào có quyền lớn hơn thì User sẽ có quyền đó (Groupquyền Read và Group quyền Modify thì User có quyền Modify)

3.2.2 Special Permission (13 Bộ Quyền)

Full Control: Không tính đến.

1 Traverse Folder /Execute File: Quyền nhảy cấp (Tại thư mục này không có quyền nhưng

lại có quyền tại thư mục bên trong)

2 List Folder / Read Data: Đi vào thư mục + Đọc tài nguyên trong thư mục đó

3 Read Attributes: Đọc thuộc tính (thuộc tính Read, System, Hiden,…)

4 Read Extended Attributes: Đọc thuộc tính mở rộng (thuộc tính nén, mã hóa ).

5 Create Files / Write Data: Tạo tài nguyên + Chỉnh sửa tài nguyên.

6 Create Folders / Append Data: Tạo + sửa tên folder và ghi nối tiếp vào dữ liệu trên file.

7 Write Attributes: Ghi thuộc tính (thêm bớt dữ liệu trên file)

8 Write Extended Attributes: Ghi thuộc tính mở rộng (thêm bớt dữ liệu trên file nén, mã

hóa )

9 Delete Subfolders and Files: Xóa folder và file + > bên trong subfolder.

10 Delete: Xóa tài nguyên.

11 Read Permissions: Đọc được bộ quyền.

12 Change Permission: Cho phép thay đổi lại quyền.

13 Take Ownership: Đi cướp quyền khi user (Administrator) đó không có quyền trên tài

nguyên

3.2.2.1 Tìm hiểu về Special Permission:

Đối với Folder KeToan, Group KeToan có quyền full control, vì thế các User trong GroupKeToan có thể xóa tài nguyên của nhau Ta có nhu cầu KT1 không được phép chỉnh sửa, xóatài nguyên của người khác, chỉ được chỉnh sửa, xóa tài nguyên của mình tạo ra, để phân quyềnchi tiết như thế thì ta phải dùng đến Special permission, Special Permission là sự chi tiết hóacác quyền của Standard Permission

Giao diện Special Permission: Properties Folder Data -> Tab Security -> Advance, chọn GroupKeToan Edit

Chọn Show Basic Permission (Đây là giao diện của Special Permission)

Đồ án Cơ Sở: Mạng Máy Tính

2 This folder, Subfolder and Files: Chỉ có quyền tại folder này nhưng file tại folder này

không có quyền + (Có quyền bên trong subfolder: trên những file bên trong subfolder)

3 This folder and subfolder: Chỉ có quyền tại folder và subfolder

4 This folder and files: Chỉ có quyền tại folder này và file tại folder này.

5 Subfolder and file only: Chỉ có quyền tại subfolder và file bên trong subfolder.

6 Subfolder only: Chỉ có quyền tại subfolder

7 Files only: Chỉ có quyền tại file chỉ định

Lưu ý: Để đi đến bộ quyền Special Permissions thì ta phải đi qua hộp thoại Advanced, tại đây

chúng ta chọn đối tượng cần đi phân quyền Special Permission

Để thực hiện như ví dụ trên, ta chỉ cần cho Group KeToan quyền như hình:

Trên Folder KeToan, KT1 tạo file KT1.txt Kiểm tra ta thấy KT2 chỉ có thể đọc KT1.txt

Đối với KT1 thì lại có toàn quyền trên folder, file do nó tạo ra Vậy tại sao lại như thế ?

 Trước tiên ta phải tìm hiểu về Group định danh:

Là Group quy định điều kiện để lấy Member (thành viên) hay đại loại là các Group cơ bản

 Bao gồm:

1 Administrators: Đây là group quản trị hệ thống, User thuộc Group này sẽ có quyền quản trị.

2 System: Đây là group định danh của hệ thống mặc định Full Control

3 Creator Owner: Đây là Group thuộc Group định danh của hệ thống, những User thuộc

Group này sẽ có toàn quyền đối với tài nguyên do mình tạo ra

4 Users: Những User tạo ra mặc định sẽ thuộc vào Group Users

Đồ án Cơ Sở: Mạng Máy Tính

Administrator muốn đọc được KT1.txt thì phải làm cách nào ?

Administrator có 1 quyền rất đặc biệt là: Take ownership (chiếm sở hữu trên tài nguyên), chỉ cóGroup Administrators mới có

Administrator Properties KT1.txt -> Advance

Bấm Change: Chọn Group, User muốn chiếm sở hữu

Lưu ý: Chỉ có Group Administrator có quyền Take Ownership (các User khác nếu có quyềnFull Control cũng không thể Take Ownership) bởi vì hệ thống có 1 policy:

Computer Configuration -> Windows Setting -> Security Setting -> Local Policy -> User RightAssignment

Take ownership of files or other object (mặc định Administrator)

Cách sử dụng Permission của 1 folder lên mọi tài nguyên bên trong nó

Properties: folder KeToan -> Tab security -> Advance:

Check vào Replace all child object permission entries with inheritable permission entries fromthis object

4 Các Quyền Liên Quan

5 Kết Hợp Quyền Truy Cập Dùng Chung Và Quyền Truy Cập NTFS:

Quyền truy cập dùng chung hay còn gọi là Share Permissions dành cho các Volume NTFS hoạtđộng kết hợp với các cấp độ truy cập tập tin và thư mục Muốn cho phép người dùng có thểtruy cập tài nguyên qua mạng thì các thư mục chứa tài nguyên phải được Share khi một thưmục đã được Share, bạn có thể bảo vệ thư mục bằng cách ấn định quyền truy cập thư mục dungchung cho người sử dụng hoặc nhóm sử dụng theo mục đích thích hợp mà bạn đề ra Tuynhiên, quyền truy cập thư mục dung chung sẽ cung cấp mức độ bảo mật giới hạn vì cho phépngười dùng truy cập mọi thư mục và tập tin trong phạm vi thư mục dùng chung với cùng cấp

độ Không có hiệu lực khi người dùng ngồi ngay trước máy tính chưa tài nguyên và tìm cáchtruy cập tài nguyên trên máy này nếu thư mục dùng chung thường trú trên một Volume NTFS,

ta có thể dùng quyền truy cập NTFS để phong tỏa hoặc thay đồi khả năng truy cập của ngườidùng đới với thư mục hoặc tập tin chứa trong hệ thống phân tầng của thư mục dung chung Ta

sẽ có được mức độ bảo mất cao nhất bằng cách kết hợp quyền truy cập NTFS với quyền truycập thư mục dung chung…

Chú ý các điểm sau: Cách dễ dàng nhất để kết hợp quyền truy cập thư mục dùng chung với

quyền truy cập NTFS là giữ nguyên default Full Control gán cho nhóm Everyone, sau đó cấpquyền truy cập NTFS cho tài khoản người dùng và tài khoản Group cụ thể để truy cập thư mực

và tập tin chưa trong hệ thống phân tầng của Folder Share Permission khi kết hợp quyền truycập NTFS với quyền truy cập Share thì cấp độ truy cập giới hạn nhất là cấp độ hiệu lực, nghĩa

là ta sẽ phân quyền Share trước rồi mới phân quyền NTFS

Ví dụ: Ở Folder Data tôi phân quyền cho Group Giamdoc và NhanSu, KeToan là Full Control

- Đảm bảo đường truyền đã thông

- Máy 1 sẽ là máy chủ hay được gọi là máy Server (tôi sẽ dùng Windows Server 2003) vàMáy 2 sẽ là máy con (tôi sẽ dùng Windows XP)

- Đổi Password Administrator:

Máy 1 Password Administrator: P@ssmay1Máy 2 Password Administrator: P@ssmay2

6.1.2 Tạo Share Folder

B1: Máy1 khởi động chọn Windows Server 2003  vào C:\ tạo thư mục tên “ Data”

B2: Click chuột phải lên thư mục Data chọn Properties chọn tab Sharing  Trong Tab Sharing đánh dấu chọn mục Share this folder Trong Share name giữ mặc định là Data đánh dấu chọn mục Maximum allowed.

Đồ án Cơ Sở: Mạng Máy Tính

B3: Vào thư mục Data tạo file Dulieumay1.txt  mở file Dulieumay1.txt gõ nội dung vào

(Ví dụ: Nếu hôm nay trời mưa…)

B4: Ở Máy2 ta vào Start Run  gõ \\tênmáy 1(Ví dụ: \\may01) và bấm Enter

Trong hộp thoại chứng thực gõ Administrator vào ô Username và gõ P@ssmay1 vào ô Password  OK

Trong cửa sổ thấy thư mục Data  trong Data thấy File Dulieumay1.txt

6.1.3 Tạo Share Folder Ẩn

B1: Máy 1 vào C:\ Tạo thư mục tên “Image”

Click chuột phải lên trên thư mục Image chọn Properties  chọn tab Sharing trong tab Sharing đánh dấu chọn mục Share this folder  trong ô share name sửa “ Image” thành

“Image$”  đánh dấu chọn mục Maximum allowed  Apply

 chọn Permission  cho Everyone quyền Full control

B3: Máy 2: vào Start  Run  Gõ \\tên máy 1 ( Ví dụ: \\may01)  OK

Trong hộp thoại chứng thực gõ Administrator vào ô username, gõ P@ssmay1 vào ô

Đồ án Cơ Sở: Mạng Máy Tính

B4: Máy 2 vào Start  Run  Gõ \\tên máy 1 ( Ví dụ: \\may01\Image$)  OK

Trong hộp thoại chứng thực gõ Administrator vào ô username, gõ P@ssmay1 vào ô Password  OK

Thấy thư mục Image của Máy 1

6.1.4 Phân quyền Share trên thư mục

B1: Máy 1 tạo 3 User “ Giamdoc”, “User1”, “ User2”  Password cả 3 là P@ssmay1

B2: Vào C:\  Click chuột phải trên thư mục Data  Properties  vào Tab Sharing  chọn Permission  Remove Group Everyone đang có