Sự truy cập của ngời dùng vào tài nguyên mạng_các tập tin, th mục, dịch vụ, máy in. Trong Win2K đợc kiểm soát theo hai cách :
- Cấp cho ngời dùng các quyền hạn_rights.
- Trao cho các đối tợng những quyền truy cập_permissions.
Theo nguyên tắc, các quyền hạn ngời dùng đợc u tiên hơn các quyền truy cập đối tợng.
Các nhóm đợc tạo sẵn của Win2K có một số quyền hạn đợc cấp sẵn cho chúng, chúng ta có thể tạo ra một nhóm mới rồi cấp một quyền hạn ngời dùng
theo ý riêng của nhóm ấy. Việc kiểm soát tính bảo mật sẽ dễ dàng hơn khi tất cả quyền hạn đều đợc cấp thông qua các nhóm thay vì cho từng ngời dùng riêng lẻ. Để xem hoặc sửa đổi sự cấp quyền tại chỗ cho một ngời dùng hay một nhóm, ta mở công cụ Local Security Policy từ nhóm công cụ Administrator Tools trên một máy phi-DC hoặc dùng công cụ Domain Controller Security Policy đối với một máy DC. Mở Local Policies \ User Rights Assignment . Một danh sách các quyền hạn và những ngời dùng hoặc nhóm đã đợc cấp sẽ đợc hiện ra trong ngăn chi tiết ở bên phải nh hình sau:
Hình 5.III.4_Chính sách đối với quyền hạn ngời dùng tại chỗ.
Để thêm hoặc bớt một quyền hạn ngời dùng hoặc nhóm, chúng ta nhắp kép quyền hạn đợc hiển thị trong ngăn chi tiết, hoặc nhắp phải quyền đó rồi chọn lệnh Security. Trong hình xuất hiện, chúng ta sẽ thấy thông tin bảo mật dành cho quyền Change the system time. Để tớc bỏ một quyền khỏi một nhóm, ta làm nổi bật nhóm đó nên rồi nhắp nút Remove. Để thêm một nhóm hoặc ngời dùng vào danh sách này ta nhắp Add rồi trong khung thoại Select users of Groups, ta gõ tên ngời dùng hoặc nhóm cần dùng rồi nhắp Browse để tìm nó. Tóm lại quyền hạn duy nhất mà ngời quản trị cứ phải cấp phát là Change the system time, những ngời dùng bình thờng dùng nó để đồng bộ hoá giờ với server giờ giấc (time server).
IV. Chính sách nhóm (Group policy).
Công việc của một quản trị viên dờng nh không bao giờ hết. Chúng ta phải duy trì một cấu hình mạng chuẩn mực, triển khai các ứng dụng mới ra khắp mạng, đóng gói và phân bổ ứng dụng, các hệ thống quản trị từ xa.
Với Group policy chúng ta có thể :
Phát hành và phân bổ các gói phần mềm cho ngời dùng hoặc máy.
Phân bổ các kịch bản khởi sự_startup, tắt máy_shutdown, đăng nhập_logon và đăng xuất_logoff.
Qui định các chính sách mật khẩu, khoá chặt tài khoản và kiểm toán cho miền.
Nhân bản hàng loạt các thiết định bảo mật cho các máy ở xa, áp đặt các t cách thành viên nhóm và định cấu hình các dịch vụ.
Qui định và áp đặt những thông số thiết định dành cho Internet Explorer.
Qui định và áp đặt những sự hạn chế trên các máy desktop của ngời dùng.
Định hớng lại một số folder trong các profile của một ngời dùng, rồi lu trữ chúng vào một vị trí trung ơng để ngời dùng đó có thể truy cập chúng từ mọi nơi trong mạng.
Định cấu hình và nhân bản các thiết định dành cho các tính năng mới nh offline folder, disk quota, thậm chí chính group policy nữa.
Các quản trị viên định cấu hình và triển khai một số chính sách nhóm bằng cách xây dựng các đối tợng chính sách nhóm_Group Policy Object, viết tắt là GPO. Các GPO là các khoang chứa dành cho tài khoản ngời dùng và tài khoản máy trên toàn mạng. Các GPO đợc tạo ra bằng cách dùng snap-in Group Policy, thông thờng đợc gọi bằng trang Group Policy trong DSA.MSC hoặc DSSITE.MSC. Ta có thể tạo ra một GPO chứa tất cả các thiết định hoặc nhiều GPO khác nhau, mỗi GPO dành cho nhiều loại chức năng nào đó. Chỉ cần một GPO là có thể cài đặt một loạt các ứng dụng trên máy trạm của tất cả ngời dùng nh qui định các mật khẩu và các chính sách trên toàn miền.
* Các chính sách về Group Policy.
Hình 5.IV.1_Các chính sách về Group Policy.
Để kiểm soát Group Policy ta sử dụng các chính sách bên dới Administrator Tools. Các tuỳ chọn trong User Configuration và Computer Configuration dành cho Group Policy. Sau đây là những thông tin tóm lợc về các tuỳ chọn cấu hình quan trọng nhất :
• Group Policy refresh interval for users / computer / domain controllers: Chính sách riêng này sẽ quyết định các GPO có đợc “làm tơi” thờng xuyên đến mức nào trong khi các ngời dùng hoặc máy đang làm việc.
• Disable backgroup refesh: Các chính sách sẽ chỉ đợc “làm tơi” vào lúc khởi động máy và ngời dùng đăng nhập mà thôi nếu ta áp dụng thiết định này.
• Apply Group Policy for users / computer synchronously during start-up: Chúng ta nên áp dụng thiết định này để ngăn không cho ngời dùng đăng nhập chừng nào các thiết định còn cha đăng nhập hết. Nếu không, các chính sách sẽ đợc áp dụng ở chế độ backgroud, và ngời dùng có thể đăng nhập trong khi các thiết định còn đang thay đổi.
* Các chính sách về việc xử lý chính sách.
Các chính sách : Registry Policy Procesing và Folder Redirection Policy Processing có thể đợc dùng để tuỳ biến cách hành xử của các thành phần GPO khác nhau. Mỗi chính sách này đều có một hoặc hai trong số những tuỳ chọn sau :
• Allow processing across a slow network connection : dùng để tăng c- ờng hiệu năng đối với các mối nối kết mạng bằng cách dùng một số chính
sách tắt đi. Tuy nhiên các thiết định về bảo mật và xử lý chính sách không thể tắt đi.
• Do not apply during periodic background processing : chỉ định những thành phần nào sẽ đợc “làm tơi” theo định kỳ .
• Process even if the Group Policy objects have not changed : để bảo tồn tài nguyên mạng và tài nguyên hệ thống, theo mặc định các GPO không đợc “làm tơi” nếu không có gì thay đổi.
• User Group Policy loopback Processing mode : mặc định các chính sách cấu hình ngời dùng đợc xử lý sau các chính sách cấu hình máy, và các chính sách ngời dùng sẽ đợc u tiên hơn nếu có mâu thuẫn.
Chơng 6_Việc tạo ra và quản lý cácfolder dùng chung
Chức năng cốt lõi của một server bất kỳ là chia sẻ dùng chung các tập tin và các folder. Thực ra chính dịch vụ Server trong tất cả các dòng sản phẩm Windows NT, và giờ đây là Windows 2000 Server, chịu trách nhiệm giải quyết việc chia sẻ các tài nguyên in ấn và thông tin lu trữ tức là các tập tin. Theo mặc định việc chúng ta có một server đang vận hành không có nghĩa ngời dùng mạng có thể dùng đợc mọi thứ trên đó đâu. Trớc khi ngời dùng đó có thể thực sự truy nhập vào những tài nguyên trên server đó chúng ta phải tiến hành chia sẻ các tài nguyên trên server đó. Chia sẻ dùng chung các tài nguyên nghĩa là chúng ta cho phép ngời dùng mạng truy cập các tài nguyên từ mạng. Không có quá trình xử lý thực sự nào trên mạng can thiệt vào đó cả, mà nó chỉ trao các tập tin và folder theo dạng vốn có của chúng.
I. Việc tạo ra các folder dùng chung.
Có rất nhiều cách để tạo ra các folder dùng chung : chúng ta có thể dùng giao diện Explorer khi chúng ta ở tại server đó, hoặc dùng console Computer Management từ server, hoặc thực hiện chuyện đó từ xa.