Quản trị phân quyền trong windows sever

User và Group là những thành phần cơ bản để quản lý máy tính và tài nguyên trên máy tính. Tùy vào mức độ được cấp quyền mà người dùng có quyền truy xuất vào những tài nguyên nào trên máy tính, hoặc trong hệ thống mang. Ở bài này chúng ta tìm hiểu vế cách tạo và quản lý user trên máy cục bộ (local host).

M C L C Ụ Ụ

I Đặt vấn đề 2

II Tìm hiểu về user 2

1 Giới thiệu một số quyền cơ bản 3

2 Khởi động trình quản lý Local user and Group 3

3 Những điều cần lưu ý 8

III Phân quyền người truy cập (Với một số quyền đơn giản) 8

IV NTFS Permission 13

V Share permission 17

I Đặt vấn đề

Nhà bạn hay phòng làm việc ở cơ quan chỉ có một máy tính, mà lại có nhiều người Làm thế nào để sử dụng chung mà mỗi người chỉ có một số quyền hạn nhất định? Có thể có nhiều tiện ích, chẳng hạn như những phần mềm khóa thư mục Tuy nhiên việc đó không khả dụng cho lắm, hiện nay trên các hệ điều hành của ta đều cho người quản trị có thể tạo thêm nhiều người dùng khác

Nhưng nếu máy tính là máy chung của công ty và vấn đề đặt ra là ta không muốn tài liệu của người dùng này người dùng kia có thể xem tùy tiện được Vậy cách tốt nhất là cấp cho mỗi nhân viên một máy nhất định và yêu cầu

họ đặt password lên máy của mình, nhưng như thế thì rất tốn kém và không được ưa chuộng Chính vì thế người quản trị mạng sẽ sử dụng công cụ Local Users and Groups (công cụ phân quyền) để tạo các tài khoản người dùng trên

cùng một máy, khi đó dữ liệu của người này người kia không thể truy cập được

User và Group là những thành phần cơ bản để quản lý máy tính và tài nguyên trên máy tính Tùy vào mức độ được cấp quyền mà người dùng có quyền truy xuất vào những tài nguyên nào trên máy tính, hoặc trong hệ thống mang Ở bài này chúng ta tìm hiểu vế cách tạo và quản lý user trên máy cục bộ (local host)

Việc quản lý trên máy tính dựa vào tài khoản (account).Mỗi account như vậy có tên (user name),mât khẩu (password) và kèm theo một số quyền hạn (permission) nhất định Mỗi khi bật máy bạn sẽ logon (đăng nhập) bằng cách

chọn một account để sử dụng.Nếu account có mật khẩu, bạn phải gõ đúng mật khẩu thì mới đăng nhập vào được

Để sử dụng hệ điều hành thì mỗi user cần phải có một account vì:

+ Mỗi người sử dụng trong hệ thống phải có một cấp độ quyền khách nhau

+ Mỗi người sử dụng phải có mối trường làm việc khác nhau dù sử dụng chung một máy tính

- Admintrantor: Tài khoản có quyền cao nhất trong máy tính

- Built-in account: Tài khoản mặc định trên máy tính (không xóa được)

- Mỗi account khi được tạo ra sẽ được cập một SID Không có SID

nào trùng nhau trong một máy tính

- Mỗi user có nhiều quyền trên nhiều tài nguyên khác nhau

1 Giới thiệu một số quyền cơ bản

- Quyền nhỏ nhất: (read): Read (là quyền Hiển thị tên,thuộc tính,tên

chủ sở hữu và cấp độ truy cập); List Folder Contents và Read & Execute (là quyền hiển thị thuộc tính thư mục, thực hiện thay đổi cho các thư mục con, hiển thị thông tin và cấp độ truy cập)

- Quyền Write

- Quyền modifi (read, write and delete)

- Quyền full control : đây là quyền cao nhất, Được phép phân quyền cho

các user khác

- Cấm user: cấm tường minh (cấp quyền deny) Cấm deny cho các user đang

nằm trong nhóm allow

2 Khởi động trình quản lý Local user and Group

 Cách 1: Vào Control Panel -> User Accounts -> Manage Accounts -> Create New Accounts

- Standard user: Tài khoản người dùng có thể sử dụng phần mềm và thay

đổi cài đặt hệ thống, nhưng không áp dụng được cho các người dùng khác hoặc sự bảo mật của máy tính

- Administrator: Là tài khoản cấp cao có quyền truy cập vào máy tính và

có quyền thay đổi bất kỳ cho hành động nào đó Có thể thay đổi và cài đặt đối với các user khác

hình-> Manager -> System tools -> Local User and Group Cửa sổ

Local user and Group sẽ hiện ra để bạn thao tác trên user hoặc Group

group không bị rối mắt)

 Built-in account không thể xóa, nhưng có thể disable Riêng user Administrator bị disabale thì vẫn có thể login vào chế độ Safe Mode, vì vậy việc tạo Password của user này là rất quan trọng để bảo mật cho hệ thống

Nhập đầy đủ các thông tin như hình bên dưới

-Với các ô check box

User must change password at next logon : Nếu check vào checkbox này thì

khi tạo user thì user phải thay đổi password ngay trong lần đăng nhập đầu tiên

User cannot change password : Không cho phép user thay đổi password Password never expires : Password không bao giờ bị thay đổi giá trị.

Password tạo ra default thường có giá trị trong 42 giờ

Account is disabled: Nếu chọn ô này lập tức tài khoản này sẽ bị khóa lại

- Lưu ý : Nếu chọn User must change password at next logon thì User canot change password và Password never expires sẽ không được phép chọn nữa.

Vì trong Windows Server 2008 có tính bảo mật cao hơn hẳn Windows Server

2003 nên lúc này nếu bạn đặt các Password đơn giản thì sẽ thấy xuất hiện màn

hình báo lỗi sau

Nếu muốn nhập mật khẩu đơn giản ta có thể thay đổi để dễ dàng thực hiện hơn bằng cách vô hiệu hóa mật khẩu

Mật khẩu bạn đặt phải thỏa mãn 3 trong 4 điều kiện sau:

- Mật khẩu phải chứa kí tự a-z và là chữ thường

- Mật khảu phải chứa kí tự A-Z và là chữ hoa

- Mật khẩu phải chứa kí tự số từ 0-9

- Mật khẩu phải chứa ký tự đặc biệt như: !@$%^&*(_)

Bây giờ bạn hãy log off Administrator và log on vào các user

3 Những điều cần lưu ý

 Khi bạn cài đặt Windows, lúc hoàn tất cài đặt Windows cho phép bạn tạo một user User này có quyền tương đương Administrator, bạn nên sử dụng user này

 User Administrator bạn chỉ nên dùng nó ở những trường hợp cấp thiết, như quên mật khẩu của người dùng bạn có thể vào để reset password, xóa profile người dùng khi có lổi Bạn không nên sử dụng user này như một user thông thường và phải có mật khẩu cho User Administrator

Khởi tạo các user

Vào các user cần phân quyền ( Properties) ->Member Of( lúc này các

user mới chỉ có quyền người dùng)

Chọn Add -> Advanced -> Find Now và chọn quyền muốn cấp cho user trong

list quyền

Chọn quyền và nhấp OK

Bạn cũng có thể xóa quyền của user nếu muốn bằng cách vào Properties( của

user muốn xóa quyền) nhấp vào quyền muốn xóa và chọn

Remove -> Apply -> OK (đã xóa user trong nhóm quyền)

Vậy là bạn đã cấp quyền thành công cho user và Bây giờ bạn hãy log

off Administrator và log on vào các user để test quyền

 Đối với các thao tác trên chỉ ứng dụng cho máy có số lương user ít và chia sẻ tài nguyên không nhiều Còn đối với máy tính có số lượng người truy cập tài nguyên lớn ta nên sử dụng phân quyền theo nhóm để không mất nhiều thời gian vào dễ quản lí

Ta cũng thực hiện các thao tác để vào Local User and Groups -> Groups ( ở đây đã có sẵn các quyền theo từng nhóm và việc chúng ta cần làm

bây giờ chỉ là Add các user vào các nhóm quyền này)

Chuột phải vào quyền muốn thêm User -> Properties -> chọn nhóm muốn thêm user -> Add user

Nhấp OK Bây giờ user đã có trong nhóm quyền đó và đồng thời có quyền hạn

đó

Bạn cũng có thể xóa quyền của một số user nếu muốn bằng cách vào

Properties( của nhóm có user muốn xóa quyền) nhấp vào user muốn xóa và

chọn

Remove -> Apply -> OK (đã xóa user trong nhóm quyền)

Bây giờ bạn hãy log off Administrator và log on vào các user để test quyền

IV NTFS Permission

Đặc trưng : Tính thừa kế(quyền của folder cha thế nào thì khi tạo folder con sẽ

có quyền tương tự)

Tạo một foder(test2) mới với nội dùng cần thiêt lập quản lý

Nhấp vào properties của test2 ->Edit->Add->nhập tên user ->Check

Names->OK

(Đây là giao diện của bộ quyền NTFS)

- Read: cho phép user đọc nội dung file.

- List folder contents: liệt kê nội dung folder (user có thể mở folder để xem có

các file, sub folder nào trong đó)

- Read and execute: Có thể đọc nội dung các file và thực thi các file

(Khi phân quyển user thì ta nên cho cả 3 quyền này)

-Write: chỉnh sửa, tạo mới dữ liệu.

+ Nếu user có quyền write trên file thì user có thể chỉnh sửa dữ liệu, nếu là folder thì có thể tạo mới các đối tượng trong folder, chép dữ liệu vào folder Nhưng không thể xóa các đối tượng

-Full control: là Modify và cộng thêm:

+ Quyền: change permission (là quyền được cho phép thiết lập lại các bộ quyền)

+ Quyền: Take Ownership

Nhập tên user cần phân quyền

- Đây là nơi cấp phát quyền full control là toàn quyền modify là chỉnh sửa

Các lưu ý khi phân quyền:

– Phân quyền từ folder cha đến folder con

– Nếu 1 user nằm ở 2 group, 1 group bị Deny, và 1 group có quyền Read thì user đó sẽ bị quyền Deny

– Nếu 1 user nằm ở 2 group thì group nào có quyền lớn hơn thì user sẽ có quyền

đó ( group quyền Read và group quyền Modify thì user có quyền Modify)

Khi chọn Create xong thì được tài khoản mới Vào lại phần Add xong ta

được như hình

- Chọn Aply-> OK.Để chỉnh sửa chi tiết vào Advanced ->Edit ->Edit

Đây là 1 list quyền của tài khoản oanh vừa tạo.Ví dụ ta cấp phát cho tài khoản vừ tạo toàn quyền nhưng không được xóa thư mục và thư mục con bên trong

- Click chuột chọn full control bên cột Alow và click chuột chọn delete subfolders and file và delete bên cột Deny(không cấp phát quyền) ->

OK->Aply->OK->OK

- Bây giờ log off ra để vào thử tài khoản vừa tạo

- Vào thư mục test lúc đầu tạo và xóa thử

- Giờ chúng ta sẽ không thể xóa được file vì tài khoản này đã bị chặn quyền Nếu bạn chọn tiếp Conitinue thì bạn sẽ phả nhập pass của Administrator để toàn quyền xóa

Điều kiện: User phải có password và máy phải liên lạc được với server(được cấp quyền chia sẻ tài nguyên)

Trong Windows server 2008 để chia sẻ một thư mục nào đó bạn nhấp chuột phải vào thư mục cần share chọn Properties -> Sharing

Bạn tiếp tục chọn Advanced Sharing-> Add (thêm các user có thể xem được) -> Share -> Change sharing permissions

Hoàn tất thủ tục Share.

Kiểm tra các thư mục tài nguyên đã share :

Start-> Administrative Tools -> Share and Storage Management

Test kiểm thử cần 2 máy kiết nối với nhau( cần có password)

Truy cập từ máy này đến máy khác ta sử dụng đường dẫn UNC:

\\IP_address(\\computer_name)