chỗ tại server này, hoặc có quyền truy cập vào công cụ DSA.MSC.
Administrator : Nhóm này có hầu hết nh mọi quyền hạn đợc ấn định sẵn, cho nên các thành viên thực chất có tất cả năng lực quản trị của máy.
Backup Operators : Thành viên của nhóm này có quyền lu dự phòng và khôi phục các tập tin, bất luận họ có quyền truy cập tập tin đó hay không.
Server Operators : Nhóm này có tất cả quyền hạn cần thiết để quản lý các server của miền. Thành viên của nó có thể tạo ra, quản lý, và xoá bỏ các th mục mạng dùng chung tại các server; tạo ra, quản lý, và xoá bỏ các đối tợng máy
in dùng chung tại các server. Lu dự phòng và khôi phục lại các tập tin trên các server; định dạng đĩa cứng của một server; khoá chặt và mở khoá các server; mở khoá các tập tin; thay đổi giờ của máy. Ngoài ra các thành viên server này có thể đăng nhập vào mạng từ các server của miền cũng nh tắt đi các server đó.
Account Operators : Thành viên của nhóm tại chỗ này đợc phép tạo ra các tài khoản ngời dùng và nhóm dành cho miền; sửa đổi hoặc xoá bỏ hầu hết các tài khoản ngời dùng và nhóm của miền
Thành viên của Account Operators không thể sửa đổi hoặc xoá bỏ các nhóm sau đây : Administrators, Domain Admins, Account Operators,
Backup Operators, Print Operators và Server Operators. Tơng tự thành viên của nhóm này không thể sửa đổi hoặc xoá bỏ tài khoản ngời dùng là quản trị viên. Họ cũng không thể quản trị các chính sách bảo mật, nhng có thể bổ sung tài khoản máy vào miền, đăng nhập các server, và tắt các server.
Printe Operators : Thành viên của nhóm này có thể tạo ra, quản lý và xoá bỏ các đối tợng máy in dùng chung dành cho server Win2K. Ngoài ra có thể đăng nhập lên hoặc tắt các server
Power Users : Nhóm này có mặt trên các server không phải là DC và các máy trạm Win2K Pro. thành viên của nó có thể tạo ra các tài khoản ngời dùng và các local group, quản lý danh sách thành viên của các nhóm Users, Power Users, và Guests, cũng nh quản trị các tài khoản ngời dùng và nhóm họ tạo ra.
Users : Thành viên của nhóm này có thể chạy các ứng dụng nhng không thể cài đặt chúng. Họ cũng có thể tắt và khoá chặt các máy trạm. Nếu một ngời dùng có quyền đăng nhập tại chỗ vào một máy trạm, họ cũng có quyền tạo ra các local group và quản lý các nhóm họ đã tạo ra.
Guests : Thành viên nhóm này có thể đăng nhập và chạy các ứng dụng. Họ cũng có thể tắt máy, nhng ngoài ra thậm chí các khả năng của họ còn hạn chế hơn Users nữa. Ví dụ họ không thể giữ riêng một profile tại chỗ.
Replicator : Nhóm này chỉ đợc dùng hoàn toàn cho việc sao chép danh bạ. Một tài khoản ngời dùng có thể chạy Replicator và nó phải là thành viên duy nhất của nhóm này.
Bảng 4_Các global group đợc tạo sẵn.
Nhóm Công dụng của nó
Domain Admins Bằng cách đặt một tài khoản ngời dùng vào trong global group này, chúng ta cung cấp đợc các năng lực ở mức độ quản trị cho ngời dùng đó. Các thành viên của Domain Admins của một miền có thể quản trị miền nhà, các máy trạm của miền ấy, và mọi miền đợc uỷ quyền khác nếu đã lồng global group Domain Admins của miền ấy vào các local group Administrators của chúng. Theo mặc định, global group Domain Admins đợc tạo sẵn của một miền sẽ là thành viên của cả local group Administrators của miền ấy lẫn các local group Administrators của mọi máy trạm NT hoặc Win2K Pro trong miền ấy. Global group Domain Admins của một miền sẽ tự động có một thành viên là tài khoản Administrator đợc tạo sẵn của miền ấy.
Domain Users Các thành viên của global group Domain Users của một miền có quyền truy cập và quyền hành của ngời dùng bình thờng đối với cả miền ấy lẫn mọi máy trạm NT/Win2K trong miền ấy. Nhóm này chứa tất cả tài khoản ngời dùng của miền ấy, theo
mặc định, là một thành viên của mọi local group Users trên mọi máy trạm NT/Win2K trong miền ấy.
Domain Guests Miền này cho phép các tài khoản khách vãng lai (guest) truy cập đợc các tài nguyên ngang qua các ranh giới miền nếu họ đã đợc các quản trị viên miền này cho phép làm nh thế.
Ngoài các local và global group đợc tạo sẵn, có một số nhóm đặc biệt, vốn không đợc liệt kê trong DSA.MSC (hoặc các Computer Management Users and Groups cũng vậy) sẽ xuất hiện trên các ACL của các tài nguyên và đối tợng bao gồm các nhóm sau đây :
Interactive : Bất kỳ ai đang dùng máy một cách tại chỗ.
Network : Tất cả các ngời dùng đợc nối kết vào máy trên mạng. System : Hệ điều hành.
Creator owner : Ngời tạo ra hoặc ngời chủ sở hữu của các th mục con, các tập tin, và các ấn vụ (print job).
Authenticated uers : Mọi ngời mà đã đợc xác minh đối với hệ thống. Đ- ợc dùng một nhóm thay thế an toàn hơn so với Everyone.
Anonymous logon : Một ngời dùng mà đã đăng nhập một cách nặc danh, chẳng hạn nh một ngời dùng FTP nặc danh.
Batch : Một tài khoản mà đã đăng nhập với tính cách nh một tác vụ lô (batch job) hay hàng đợi lô (batch queue).
Service : Một tài khoản mà đã đăng nhập với một tính cách nh một dịch vụ.
Dialup : Những ngời dùng mà đang truy cập hệ thống thông qua Dial-Up Networking.
Bảng 5_Các permission nguyên tử và các permission phân tử. Quyền truy cập
nguyên tử Write Read List FolderContents Read &Execute Modify FullControl
Traverse Folder / Execute File
* * * *
List Folder / Read Data * * * * * Read Attributes * * * * * Read Extended Attributes * * * * *
Create Files / Write Data * * * Create Folder / Append Data * * * Write Attributes * * * Write Extended Attributes * * *
Delete Subfolders and Files * Delete * * Read Permission * * * * * * Change Permission * Take Ownership * Các permission nguyên tử :
Traverse Folder / Execute File : chỉ áp dụng đối với các folder thôi. List Folder / Read Data : List Folder cho phép ta xem các tập tin và folder bên trong một folder. Read Data cho phép ta xem nội dung của một tập tin. Permission nguyên tử này là thành phần cốt lõi của Read.
Read Attributes : Các thuộc tính cơ bản của tập tin là Read-only; Hidden; System; và Archive. Read Attributes cho phép ta nhìn thấy các thuộc tính này.
Create Extended Attributes : Một số chơng trình có gộp các thuộc tính khác vào các kiểu tập tin của chúng. Các thuộc tính này đợc gọi là các thuộc tính mở rộng (extended attributes).
Create files / Write Data : cho phép ta đặt các tập tin mới bên trong folder đang xét. Write Data cho phép ta ghi đè lên các dữ liệu hiện có bên trong một tập tin. Các quyền này không cho ta đa thêm dữ liệu hiện có vào một tập tin hiện có.
Create Folder / Append Data : Create Folder cho phép ta tạo các folder con bên trong folder đang xét. Append Data cho phép ta đa thêm dữ liệu vào cuối một tập tin hiện có nhng không thay đổi dữ liệu đã có lúc trớc bên trong tập tin đó.
Write Attributes : Cho phép ta thay đổi các thuộc tính cơ bản của một tập tin.
Write Extended Attrributes : Cho phép ta thay đổi các thuộc tính mở rộng của một tập tin.
Delete Sufolder and Files : Với quyền truy cập này ta có thể xoá bỏ các folder con và các tập tin cho dù ta không có quyền truy cập Delete trên Folder con hoặc tập tin đó.
Delete : Cho phép ta xoá một đối tợng.
Read Permission : Cho phép ta xem tất cả các permission NTFS có liên kết với một tập tin hoặc folder, nhng ta không thể thay đổi permission nào cả. Change Permission : Cho phép ta thay đổi các permission đợc ấn định cho một file hoặc folder.
Take ownership : Cho phép ta chiếm quyền sở hữu của một tập tin.
Các permission phân tử :
Read : Là quyền truy cập cơ bản nhất của ta. Nó cho phép ta xem nội dung các permission và các thuộc tính có liên kết với một đối tợng (Đối tợng đó có thể là folder hoặc tập tin).
Write : Quyền truy cập Write trên một folder cho phép ta tạo một tập tin hoặc folder mới bên trong folder ấy.
Read and Excute : Cũng giống nh Read nhng nó cho phép ta thêm một permission nguyên tử nữa là Traverse Folder.
Modify : Là sự kết hợp của Read and Excute và Write nhng có thêm một permission nữa là Delete.
Full Control : Là sự kết hợp của tất cả các permission đã nói ở trên, ngoài ra còn có các permission nguyên tử Delete Subfolder and Files; Change Permission; Take Ownership. Full Control cũng cho phép ta xoá bỏ một tập tin và folder con ngay cả khi tập tin và folder đó không cho phép ta xoá.
List Folder Contents : Cho phép ta xem nội dung của các folder, chỉ hiển thị khi ta nhìn vào đặc tính bảo mật của một folder. Nó sẽ cho ta thấy các tập tin đang có mặt trong một folder.
Tài liệu tham khảo chính
Mạng máy tính và các hệ thống mở_Nguyễn Thúc Hải, NXBGD.
Làm chủ Microsoft Windows 2000 Server - Tập 1_MK.PUB, do Phạm Hoàng Dũng & Hoàng Đức Hải dịch, NXBTK.
Làm chủ Microsoft Windows 2000 Server “ Tập 2_MK.PUB, do Phạm Hoàng Dũng & Hoàng Đức Hải dịch, NXBTK.
Mục lục
Trang
Lời nói đầu v