Nối tiếp nội dung phần 1, phần 2 của ebook Quản lý và duy trì hệ điều hành Microsoft Windows Server 2003 cung cấp cho người học những kiến thức về: Chia sẻ các tài nguyên hệ thống file, làm việc với máy in, quản lý các trình điều khiển thiết bị, quản lý lưu trữ dữ liệu trên đĩa. Mời các bạn cùng tham khảo.
LÀM V IỆ C yớ I TÀI KHOẢN MÁY TÍNH QUAN LÝ VÀ DUY TRÌ CÁC NGUỒN TÀI NGUYÊN CHIA SẺ QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 - 385 - CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE CHƯƠNG 9: CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Một lý tồn mạng liệu khả chia sẻ fíle cho nhiều người sử dụng máy tính khác Trên mạng nhỏ, chia sẻ fíle thường tiến trình thơng thường thực người sử dụng đầu cuối, tính chất bảo mật ý tới Tuy nhiên, mạng lớn, mà đặc biệt tố chức thường xuyên vận hành với liệu nhạy cảm Người quản trị mạng cần đảm bảo flle cần thiết chia sẻ, đảm bảo chúng phải bảo vệ đe tránh phá hủy yếu tố khách quan chủ quan người xác thực làm việc với chúng.Trong chương này, điếm lại nội dung yêu cầu đe chia sẻ fíle cho người sử dụng mạng cách hiệu an toàn Hoàn thành chưong bạn có khả năng: ■ Tạo/quàn lý thư mục chia sẻ làm việc với cấp phép chia sẻ ■ Sử dụng cấp phép truy cập NTFS đế kiểm sốt q trình truy cập đến íĩle ■ Quản lý việc chia sè íĩle Microsoft Internet Information Services QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 386 CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE TÌM HIỂU VÈ CÁC CẮP PHÉP cấp phép nhừng khái niệm trình quản trị hệ thống hệ điều hành Windows Server 2003 Nói cách khác, cấp phép đặc ân gán cho thực thể xác định người sử dụng, nhóm máy tính chang hạn nhằm cho phép thực hình thành hành động xác định truy cập tới tài nguyên cụ the Windows Server 2003 tất hệ điều hành Windows khác sử dụng cấp phép theo loạt phương pháp khác để kiếm soát truy cập tới thành phần khác hệ điều hành Windows Server 2003 có nhiều loại cấp phép, bật cấp phép liệt kê Mỗi loại cấp phép phân biệt hoàn toàn với chúng cấp cho thành phần hệ thống ■ Các Cấp phép file: sử dụng đe kiểm soát việc truy cập tới file thư mục đĩa NTFS Tất người dùng sử dụng cấp phép đe truy cập tới file thư mục NTFS, họ làm việc mạng máy tính chứa liệu ■ Các Cấp phép chia sẻ: sử dụng đế kiểm soát việc truy cập tới file/folder/máy in chia sẻ Đe truy cập đến tài nguyên chia sẻ này, người dùng phải có cấp phép định ■ Các Cấp phép Active Directory, sử dụng đế kiểm soát việc truy cập tới đối tượng dịch vụ Active Directory Người dùng phái có số cấp phép định đế đăng nhập vào Miền truy cập tới tài nguyên mạng Người quản trị cần có Cấp phép cao nhằm trì đặc tính đối tượng cấu trúc Active Directory ■ Các Cấp phép registry: sử dụng để kiếm soát việc truy cập tới khóa registry Đe thay đối khóa này, người quản trị cần có cấp phép tương ứng Trong số cấp phép nói trên, số cần có trì nhiều so với cịn lại Một người quản trị mạng thơng thường làm việc với Cấp phép file mồi ngày không thay đổi tay cấp phép registry Trong chương 6,7 bạn học Cấp phép Active Directory nhằm cho phép người quản trị QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 387 CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE {Administrator) tạo quản trị đối tượng như: người dùng, nhóm máy tính chẳng hạn Trong nhiều trường họp, cấp phép Active Directory chuyển giao lần cho nhóm quản trị cụ thể khơng cần phải điều chỉnh lại có tái cấu lại cấu trúc tố chức doanh nghiệp bạn Danh sách Kiểm soát Truy cập (ACL) Chức c ấ p phép nói dựa khái niệm Danh sách Điều khiển Truy cập (Access Control List - ACL) Hầu hết thành phần Windows bao gồm file, tài nguyên chia sẻ, đối tượng Active Directory khóa registry có ACL ACL thực chất danh sách c ấ p phép nhằm xác định xem có c ấ p phép truy cập truy cập đến mức độ ACL thành phần xác định bao gồm Mục vào Kiếm soát Truy cập (Access Control Entry - ACE) Một ACE xác định tên Chủ Bảo mật (đó người dùng, nhóm máy tính gán cấp phép) cấp phép xác đinh gán cho chủ thể CHỦ Ỷ: Vậy ACL đặt đâu? Người quản trị hệ thống cần phải hiếu ACL ln ln kèm vón thành phần kiếm sốt khơng phải kèm với Chủ thể Bảo mật Ví dụ, thư mục đĩa NTFS có ACL chứa danh sách người dùng hay nhóm có cấp phép truy cập tới thư mục Neu bạn xem đặc tính đoi tượng cụ thế, bạn khơng thể tìm thấy danh sách thư mục mà đoi tượng phép truy cập Đây chỉnh điếm quan trọng bạn bạn di chuyến thành phần vị trí khác lưu chúng thiết bị lưu trữ khác Di chuyến file từ đìa NTFS tới ố đĩa FAT, làm cho Cấp phép bị hệ thong file FAT không chứa ACL Làm việc ACL đơn giản tất cấp phép hệ điều hành Windows Server 2003 sử dụng giao diện giống Tất thành phần hệ thống bảo vệ cấp phép có hộp thoại Properties chứa thẻ Security, hình vẽ 9-1 Trong hộp thoại này, phần hiến thị danh sách ACE (đó chủ bảo mật) cịn phần xác định cấp phép tương ứng cấp cho ACE phía Bạn có thê thêm xóa ACE cần xác định Cấp phép cho phép cấm cho ACE QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 388 CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE t f c n u c r CV*C“ ă Z"3yw*ĩ ÄMTtM ta>»•fxmwxw,! ¡ ■ m m H fr tifR W i' Ukm *rv B B 0 0 □ □ □ □ □ □ ru ic « * J ta ■ »» V fc fc ro d £ — I Hình 9-1: Thẻ Security hộp thoại Properties C ác C ấp phép Các Cấp phép ACE thiết kế nhằm cung cấp cho việc kiểm soát truy cập cách tập trung cho thành phần mà chúng cung cấp Khi bạn gán cấp phép truy cập đến thư mục cho người dùng, việc truy cập khơng đơn Có hay Khơng Bạn có nhiều lựa chọn cho phép xác định mức độ truy cập mà người dùng nhận Mồi cấp phép hệ thống Cấp phép liệt kê có danh sách cấp phép riêng rẽ nhằm xác định loại tài nguyên mà chúng kiểm soát Khi tạo ACE, bạn lựa chọn chủ thể bảo mật sau lựa chọn cấp phép riêng lẻ mà bạn định gán cho đối tượng Ví dụ, Cấp phép NTFS cho phép bạn xác định người dùng có khả đọc file thư mục không phép thay đối chúng bạn cấp nhiều cấp phép so với nhu cầu Tùy thuộc vào tài nguyên bạn làm việc, bạn có hàng tá cấp phép khác nhau, bạn kết hợp chúng theo cách mà bạn thích Trong số trường hợp, số lượng cấp phép xác làm cho người quản trị ACL cảm thấy phức tạp Đe đơn giản hóa vấn đề này, Windows Server 2003 sử dụng 02 mức cấp phép: cấp phép Chuấn Cấp phép Đặc biệt Các cấp phép Chuân cấp phép mà bạn nhìn thấy thẻ Security hộp thoại Properties Đây cấp phép mà bạn làm việc hàng ngày chúng cung cấp điều khiển tới thành phần báo vệ Tuy nhiên, Cap phép Chuấn kết hợp hai hay nhiều cấp phép Đặc biệt (bạn có the đọc thêm việc sử dụng cấp phép Đặc biệt QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 389 CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE chương này) Để truy cập đến cấp phép Đặc biệt, bạn kích chuột vào nút Advanced Thẻ Security, đê hiên thị hộp thoại Advanced Security Settings hình vẽ 9.2 ■* Ị au 1» v 5««»41t l u M I tím nvtM llW «p}H ĨCN 3V j CQHTOMVJ Unn*XHfCJUJ\U - r«Cji< t t * v i í •» I Hình 9-2: Hộp thoại Advanced Security Settings Trong hộp thoại này, bạn kiếm sốt q trình truy cập tới tài nguyên với mức độ tập trung cao cách lựa chọn từ danh sách đầy đủ Cấp phép đặc biệt hộp thoại Permission Entry (xem hình 9-3 để biết thêm chi tiết) Điều thường không cần thiết mạng thông dụng, số thiết lập cấp phép mặc định Windows Server 2003 tạo suốt tiến trình cài đặt hệ điều hành lại dựa cấp phộp c bit ny I'HI**TĩmJTTTm w ãUlUrtd ut tauô nuiDô< ?k*4>AtkMi IhWlMAlMĩkiu [Mmnx.WMDu ôô***>ã ôôằ10#* Ăôãã4fVvtttOT %ằ 0 □ □ 0 G9 R □ □ c*r*y □ • □ □ □ □ □ □ □ □ □ □ □ zi Hình 9-3: Hộp thoại Permission Entry CHÚ Ỷ: Bạn làm việc với tất hệ thống cấp phép Windows Server 2003 theo phương pháp, ngoại trừ Cấp phép Chuẩn Đặc biệt khác tùy thuộc vào tài nguyên mà bạn cần bảo vệ QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 390 CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Tính k ế thừa Một đặc tính quan trọng hệ thống cấp phép Windows Server 2003 đối tượng thừa hưởng cấp phép từ đối tượng cha Các cấp phép luôn theo “dịng chảy” dựa tính chất phân cấp hệ thống file, kiến trúc phân cấp dịch vụ Active Directory hay cấu trúc registry Khi bạn gán cấp phép truy cập đến thư mục NTFS chia sẻ, đơi tượng Active Directory khóa registry cho đối tượng bảo mật đó, đối tượng nhận Cấp phép giống hệt truy cập đến thư mục bên thư mục NTFS chia sẻ, đối tượng bên đối tượng Active Directory khóa bên khóa xác định Ví dụ, bạn gán cấp phép cho người dùng thư mục gốc ổ đĩa NTFS điều có nghĩa người dùng nhận cấp phép giống hệt tất file thư mục nằm đĩa Trong hầu hết trường họp, kế thừa cấp phép có ưu điếm to lớn tránh cho người quán trị phải cung cấp cấp phép riêng biệt cho thư mục con, đổi tượng dịch vụ Active Directory khóa Trong thực tế, hầu hết nhà quản trị mạng, ưu điểm tính đến tính kế thừa ứng dụng chúng thiết kế cấu trúc dịch vụ thư mục, chia sẻ trạng thái Active Directory Tuy nhiên, số trường họp kế thừa không cần thiết để loại bỏ tính chất mặc định có hai phương pháp: ■ T tính kế thừa: bạn làm việc cấp phép đặc biệt, bạn điều khiến cấp phép mà bạn gán cho thành phần xác định có cho số tất thành phần bên kế thừa hay không ■ Cấm Cấp phép: tất hệ thống cấp phép cho phép bạn ngăn cấm cấp phép cụ thể đối tượng xác định Điều ngăn cản cấp phép kế thừa mà đối tượng nhận từ đối tượng cha Các Cấp phép Hiệu dụng Các đối tượng gán cấp phép thường người dùng, nhóm máy tính, dễ xảy trường hợp đối tượng nhận Cấp phép khác từ nguồn khác số trường hợp Cấp phép xung đột với Vì lý mà có số sách cho phép xác định xem cấp phép mà đối tượng nhận từ nguồn QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 391 CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE khác tương tác với Tất cấp phép mà đối tượng nhận cách riêng rẽ thơng qua tính kể thừa thành viên nhóm thơng số đầu vào cho luật Chúng có nhiệm vụ kết hợp Cấp phép lại tạo nên cấp phép Hiệu dụng người dùng Các luật tạo nên cấp phép Hiệu dụng đối tượng bao gồm: ■ Các Cấp phép cho phép {Allow) tích lũy: tất cấp phép cho phép gán cho đối tượng kết hợp đế tạo nên Cấp phép ảnh hưởng đối tượng Ví dụ, người dùng gán cấp phép truy cập toàn quyền (Full Control) đến thư mục đĩa NTFS Tuy nhiên lúc người dùng thànli viên nhóm có cấp phép truy cập đọc (read only) thư mục Ngồi ra, người dùng cịn thừa hưởng cấp phép read write từ thư mục cha thư mục nói Trong trường họp tất cấp phép người dùng gán hay thừa hưởng từ nguồn kết hợp lại ■ Các Cấp phép ngăn cấm (Deny) loại bỏ cấ p phép cho phép (Allow): Cấp phép deny mà đối tượng nhận loại bỏ tất cà Cấp phép allow bất kế từ nguồn Ví dụ, người dùng nhận cấp phép truy cập toàn quyền tới thư mục thơng qua tính kế thừa đồng thời nhận cấp phép truy cập toàn quyền thơng qua chế thành viên nhóm Tuy nhiên Cấp phép mà bạn tạo nhằm ngăn chặn người dùng truy cập tới thư mục nói ghi đè tất cấp phép thừa hưởng từ thư mục cha nhóm Vì trường họp này, cấp phép Hiệu dụng người dùng không phép (Deny) truy cập tới thư mục ■ Các Cấp phép gán riêng rẽ có mức độ ưu tiên cao hon cấp phép kế thừa: đối tượng bảo mật kế thừa cấp phép từ đối tượng cha thơng qua nhóm, bạn loại bỏ cấp phép cách gán trực tiếp cấp phép khác cho đối tượng Các cấp phép kế thừa tuân theo luật Cấp phép gán riêng rẽ nằm ngồi luật Vì vậy, cấp phép cho phép gán riêng rẽ loại bỏ cấp phép kế thừa ngăn cấm CÁC THƯ MỤC CHIA SẺ Khi bạn ngồi vào máy tính sử dụng hệ điều hành Windows Server 2003, bạn truy cập đến file thư mục đĩa từ QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 392 CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE hình giao diện (hay gọi bảng điều khiển hệ thống — System Console) với giả thiết bạn có cấp phép thích họp Bạn có thê cho phép người dùng mạng truy cập tới file thư mục máy tính bạn, đế làm điều trước hết bạn phải tạo chia sẻ nhằm xác định mà họ có the truy cập THƠNG TIN THÊM Bạn tạo hai loại chia sẻ mảy tỉnh sử dụng hệ điều hành Windows: chia sẻ hệ thống file chia sẻ máy in Trong chương bạn làm quen với chia sẻ hệ thong file Việc tạo chia sẻ máy in đề cập chương 10 Tính đế tạo chia sẻ Windows Server 2003 dựa hai dịch vụ chạy máy tính Windows: dịch vụ Workstation (dịch vụ máy trạm) dịch vụ Server (dịch vụ máy chủ) Hai dịch vụ thực hai module: Client For Microsoft Networks File A nd Printer Sharing For Microsoft Networks Cả hai module nói xuất hộp thoại Local Area Connection Properties tat giao diện mạng cài đặt máy tính (xem hình vẽ 9-4) Dịch vụ Server chịu trách nhiệm tạo tài nguyên chia sẻ sẵn sàng mạng cịn dịch vụ Workstation cho phép máy tính khác truy cập tới tài nguyên CHỦ Ỷ Workstations Servers Mặc dù tên có nhiều phiên khác Windows hệ điều hành ngang hàng (peer-ttì-peer) có nghĩa máy tính có khả hoạt động chế độ máy trạm lẫn máy chủ Thậm chí mảy tính khơng sử dụng hệ điều hành có tên Server chạy dịch vụ Server QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 393 CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Ị4 L«cal A i«a CowaocUp» P n y o ita » t D B C cm ìcl UOTP Im AMD P C \ Æ T F i n i r a E lf M r U A d if M Ị ¿yjifliM 1f*3'-irrwdut leriT Nfl v**k, l oad &-*ỵnrrig * ^ Ị - r ỉ? » tiP r r lff S h ii-jjfaM ccqcM lifv«*« » n rir« w f*C ie *jK i|T C P *p l Unrcldl Dnofrion K J ccfT O Jtsr I s 3CC «II Í K O J ; « y > jM c r a a * nBtmofc r rJíiHcon» I'iJ