6.1. Giới thiệu các Nhóm Trong windows 2003 server
Một tập tin các tài khoản của người sử dụng được gọi là Group. Một người sử dụng có thể là thành viên của nhiều hơn một nhóm.
Khi bổ sung thêm thành viên cho các nhóm cần lưu ý đến các bước sau: - Khi một user là một thành viên của một group thì user đó sẽ được thừa hưởng các quyền mà group đó có được.
- Một user account có thể là một thành viên của nhiều group.
6.1.1. Các nhóm trong Domain
Các nhóm chỉ được tạo trong domain controller và được lưu trong dịch vụ thư mục Active Directory. Các nhóm đã được sử dụng để gán các quyền đến các tài nguyên và quyền quản trị hệ thống cho bất kỳ một máy tính nào trong một domain. Các nhóm trong domain cho phép quản trị tập trung trong domain.
6.1.2. Các nhóm trong Workgroup
Các nhóm trong một Workgroup được tạo trên các máy tính, nó không có chức năng điều khiển domain. Các máy tính có thể là các Client chạy Windows Xp hoặc các member server được chạy windows 2003 server. Chúng được chứa trong Sercurity Account Manager (SAM) và đã được sử dụng để gán quyền đến các tài nguyên và quyền quản trị hệ thống trên máy tính, nơi mà ở đó các nhóm được tạo ra.
6.2. Ứng dụng các chính sách nhóm
Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là một site, domain hoặc một OU.
Việc thiết lập chính sách nhóm trong một GPO sẽ ảnh hưởng các đối tượng trong một đốitượng chứa.
Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau: - Site
- Domain - OU
6.3. Cấu hình các chính sách nhóm
Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng cách sửdụng snap- in Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:
- Administrative Templates - Folder Redirection - Scripts
- Security
- Remote Installation Servies - Software Installation
6.3.1. Triển khai thiết lập chính sách nhóm
Để hiểu rõ về chính sách nhóm và cách thiết lập chính sách nhóm, chúng em xét một ví dụ về yêu cầu thiết lập chính sách nhóm ở doanh nghiệp như sau: Công ty TNHH Bình Minh có 4 phòng ban là Phòng Giám Đốc, Phòng Kinh Doanh, Phòng Kỹ Thuật và Phòng Kế Toán. Trong đó, ban giám đốc công ty yêu cầu như sau:
- Phòng giám đốc: Các User của Phòng giám đó toàn quyền trên
domain.
- Phòng Kế Toán: Các user thuộc phòng Kế Toán có các yêu cầu như sau: Mật khẩu ít nhất phải 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày, người dùng đăng nhập sai 3 lần sẽ bị khoá account, thời gian khoá sẽ là 5 phút, user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng.
- Phòng Kinh Doanh: Các user phòng kinh doanh có các yêu cầu như sau: Không cho phép user trên client truy cập vào ổ chứa hệ điều hành (ổ C), không được cài đặt chương trình, không được truy cập vào registry, không
không cho thay đổi trang home page là http://www.nghiaphe.com.
- Phòng Kỹ Thuật: Các user phòng bảo hành có các yêu cầu sau: Mật khẩu ngoài việc từ 8 kí tự trở lên thì còn phải là mật khẩu khó, tức là phải có thêm các kí tự khác chữ và số như - , !, ~, @, #, %, (, ). Cho phép các user trong nhóm này tắt máy từ xa, không cho phép thay đổi các thuộc tính của LAN và không cho phép Auto play tất cả các loại ổ đĩa kể cả ổ đĩa USB.
Để thiết lập các chính sách với các yêu cầu như trên chúng em làm như sau: Trước hết tạo các OU tương ứng với các phòng ban của công ty, mở
cửa sổ Active Directory User and Computer, chuột phải vào tên domain chọn New và chọn Oganizational Unit, đánh tên OU tương ứng với tên của các phòng ban để tạo các OU, mỗi phòng ban là một OU. Sau đó tạo các User và Group trong từng OU. Mỗi một phòng ban có bao nhiêu người chúng ta tạo tương ứng từng đó User và tạo một Group cũng có tên là phòng ban đó. Sau khi tạo User và Group xong thì add các User của OU đó vào group vừa tạo để tiện cho việc gán quyền sau này. Các thiết đặt chính sách nhóm cho các phòng ban như sau:
- Phòng Giám Đốc: Do trong chính sách nhóm có tính thừa kế và các thiết đặt bên trong có mức ưu tiên hơn bên ngoài nên chúng ta không thiết đặt gì cho OU Phòng giám đốc mà chỉ tạo các user cho phòng đó rồi tạo một GPO cho phòng này. Mặc định mọi thiết đặt trên domain sẽ được áp xuống và phòng giám đốc thừa hưởng quyền từ domain, tức là có mọi quyền như Admin. Và ở mục Member Of chúng ta add các nhóm quản trị vào user của phòng này.
- Phòng Kế Toán: Chuột phải vào OU phòng kế toán chọn properties, chọn tab Group Policy, click New, đặt tên cho GPO và click Edit. Do yêu cầu thiết đặt chính sách nhóm ở đây là đối với Computer nên chúng ta thiết đặt chính sách nhóm như sau:
Mật khẩu 8 kí tự: chọn đến Computer Configuration\ Windows
setting\ Sercurity Setting\ Account policies\ Password policy, ở cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp và cho giá trị là 8.
Hình 6.1: thiết lập password cho user
Thời gian thay đổi mật khẩu là 30 ngày: Cũng với đường dẫn như
trên, ở cửa sổ bên phải chọn dòng chư: Maximum password age, click đúp và cho giá trị là 30.
Người dùng đăng nhập sai 3 lần sẽ bị khoá account: chọn đến
Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Account lokout policy, cửa sổ bên phải chọn dòng chữ: Account lonkout threshold, click đúp và cho giá trị là 3.
Thời gian khoá là 5 phút: Với đường dẫn vẫn như trên, ở cửa sổ bên
phải chọn đế dòng chữ: Account lockout duration, click đúp và cho giá trị là 5.
Không ấn Ctrl+Alt+Del khi đăng nhập: Tìm đến đường dẫn
Computer configuration\ Windows Setting\ Sercurity setting\ Local policy\ Sercurity Option: Ở cửa sổ bên phải chọn đến dòng chữ: Interactive logon: Do not require Ctrl+Alt+Del, click đúp và chọn Enable.
Thông báo của Quản trị mạng hệ thống tới các User: Tìm đến
đường dẫn Computer Configuration\ Windows setting\ Security setting\ Local policy\ Security Option. Tại cửa sổ bên phải tìm đến dòng chữ Messenger text for users attemping to logon, click đúp và đánh vào thông báo của quản trị mạng như trên đã nói. Tiếp theo xuống dòng dưới là Messenger title đánh vào tiêu đề thông báo của quản trị mạng như trên.
này và click Edit:
Không cho phép User truy cập vào ổ C: Tìm đến đường dẫn User
Configuration\ Administrative Templates\ Windows Components\ Windows Exploprer, ở cửa sổ bên phải chọn dòng chữ: Prevent access to drivers from My Computer, click đúp chọn enable và chọn ổ đĩa C.
Hình 6.2: thiết lập quyền trong ổ đĩa
Không được cài đặt phần mềm: Tìm đến đường dẫn Computer
Configuration\ Administrative Templates\ Windows Components\ Windows Installer, ở cửa sổ bên phải chọn dòng đầu tiên là: Disable windows installer, click đúp và chọn enable.
Không được truy cập vào Registry editor: Tìm đến đường dẫn
User Configuration\ Administrative Templates\ Windows Components\ System, ở cửa sổ bên phải chọn dòng chữ: Prevent access to registry editing tools, click đúp và chọn enable.
Không truy cập Control Panel trên máy client: Tìm đến đường
dẫn User configuration\ Administrative templates\ Control panel, ở cửa sổ bên phải tìm đến dòng chữ: Prohibit access to the Control Panel, click đúp và chọn enable.Ẩn cửa sổ Run trên client: Tìm đến đường dẫn User configuration\ Administrative templates\ Start menu and Taskbar, ở cửa sổ bên phải tìm đến dòng chữ: Remove Run menu from start menu, click đúp và chọn enable.
Trước tiên ta đặt trang chủ với địa chỉ như trên, tìm đến đường dẫn: User configuration\ Windows settings\ Internet Explorer Maintenance\ URLs, ở cửa sổ bên phải click đúp vào dòng: Important URLs, đánh dấu tích vào Customize Home page URL và đánh vào ô địa chỉ URL là địa chỉhttp://www.nghiaphe.com và ấn OK. Sau đó tìm đến đường dẫn: User configuration\ Administrative templates\ Windows Components\ Internet Explorer, ở cửa sổ bên phải chọn đến dòng chữ: Disable chaning home page settings, click đúp và chọn enable.
- Phòng Kỹ Thuật: Chuột phải vào OU phòng bảo hành chọn
properties, chọn tab Group Policy, click New đánh tên cho GPO của phòng Bảo hành và click Edit.
Mật khẩu 8 kí tự và phải khó: Tìm đến đường dẫn Computer
Configuration\ Windows setting\ Sercurity setting\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp và cho vào giá trị 8, tiếp theo chọn đến dòng chữ: Password must meet complexity requirements, click đúp và chọ enable.
Cho phép User tắt máy từ xa: Tìm đến đường dẫn Computer
Configuration\ Windows setting\ Sercutity setting\ Local Policy\ User Rights Assignment, ở cửa sổ bên phải tìm đến dòng chữ: Force shutdown from a remote system, click đúp và đánh vào User hay Group của phòng này.
đường dẫn User Configuration\ Administrative templates\ Network\ Network Connections, ở cửa sổ bên phải tìm đến dòng chữ: Prohibit access to properties of LAN connection, click đúp và chọn enable.
Không cho Auto play tất cả các ổ đĩa: Tìm đến đường dẫn
Computer Configuration\ Administrative templates\ System, ở cửa sổ bên phải chọn dòng chữ: Turn off Autoplay, click đúp chọn enable và chọn All driver.
Sau khi thiết lập các chính sách nhóm cho các OU xong, để việc thay đổi có hiệu lực thì chúng ta phải khởi động lại máy chủ, nhưng chúng ta cũng có thể không cần khởi động lại máy chủ, tại cửa sổ run ta đánh lệnh
gpupdate /force, lệnh này sẽ làm tươi lại Group Policy và cập nhật các thiết
đặt mới mà chúng ta vừa thiết đặt trong Group Policy.
VII. QUYỀN TRUY CẬP NTFS - NTFS ACCESS PERMISSION 7.1. Giới thiệu về NTFS
Để tăng tốc độ truy xuất, tăng độ tin cậy và khả năng tương thích windows 2003 đưa ra sử dụng hệ thống file NTFS (New Technology File System) mới, đó là NTFS 5.0. Nó cho phép chúng ta những thuận lợi về Active Directory, các tính năng lưu trữ và việc quản lý các phần mềm được cung cấp bởi Windows 2003. Những file Server và những máy tính đời mới cần bổ xung thêm những tính năng an toàn trong việc điều khiển truy xuất dữ liệu, điều này đã được tích hợp trong NTFS 5.0. NTFS cũng chứa những tính năng như tính khôi phục (recoverability) và tính năng nén file (compression). Các folder hoặc các file lẻ trên partition NTFS có thể được nén. Những file đã nén trên partition NTFS có thể được truy xuất bởi một ứng dụng bất kì trên windows 2003 mà không phải giải nén. Với NTFS 5.0 tốc độ truy xuất file đã được cải tiến và số lần truy xuất đĩa(để tìm file) cũng được giảm bớt. Chúng ta có thể thiết lập các mức độ quyền (permission) và truy cập (access) trên các file và folder cho các cấp độ người sử dụng khác nhau. Các cấp quyền giống nhau có thể áp dụng cho tất cả những sử dụng trên máy tính cục bộ cũng như người sử dụng truy xuất vào mạng.
NTFS có thể thiết lập quyền để chấp nhận (allowing) hay từ chối (denying) về truy xuất cho người sử dụng hay cho nhóm người sử dụng. Quyền được cung cấp để đảm bảo việc bảo mật những tài nguyên. Người quản trị mạng và người sử dụng có thể định rõ những kiểu truy xuất mà người sử dụng hoặc nhóm sử dụng có thể trên những file cụ thể. Quyền NTFS được cấp trên hai đối tượng chính là Folder và File.
- Quyền trên Folder NTFS: quyền Folder được gán quyền truy cập
đến các file và folder chứa trong nó. Những quyền chuẩn của NTFS đối với folder như sau:
Read - Đọc: Sẽ cho người sử dụng thấy các file và các subfolder.
Các thuộc tính folder, người sở hữu và quyền cũng có thể được nhìn thấy. Write - Ghi: Sẽ quyền người sử dụng tạo mới các file và các
subfolder. Các thuộc tính có thể được thay đổi và những quyền sở hữu và quyền trên folder cũng có thể được nhìn thấy.
List Folder contens - Hiển thị nội dung folder: Sẽ cho phép người
sử dụng thấy các subfolder và các tên file ở trong folder.
Read & Execute - Đọc và thực hiện: Sẽ cho phép người duyệt qua
folder. Nó cũng hỗ trợ quyền read và list folder contens.
Modify - Sửa đổi: Sẽ cho phép người sử dụng xoá folder và cũng hỗ
trợ quyền Write, read và Execute.
Full Control - Toàn quyền điều khiển: Sẽ cho phép người sử dụng
thay đổi các quyền, quyền sở hữu, xoá file và subfolder và sẽ hộ trợ tất cả những quyền của folder NTFS.
Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định là quyềnFull control đến nhóm Everyone. Vì thế để hạn chế việc truy xuất Administrator phải chủ động thay đổi quyền này.
- Quyền trên File NTFS: Những quyền chuẩn trên các file NTFS
được thể hiện như sau:
Read - Đọc: Sẽ cho phép người sử dụng thấy các file, đọc nội dung
các file. Các thuộc tính file, quyền sở hữu chúng và những quyền cũng có thể được nhìn thấy.
thuộc tính file có thể được thay đổi và quyền sở hữu file và những quyền có thể được nhìn thấy.
Read & Execute: Sẽ cho phép người sử dụng duyệt qua file. Nó
cũng hỗ trợ quyền read và hiển thị nội dung file.
Modify - Sửa, thay đổi: Sẽ cho phép người sử dụng xoá file và cũng
hỗ trợ cho phép write, read, execute.
Full control - toàn quyền điều khiển: Sẽ cho phép người sử dụng
thay đổi những quyền, giữ quyền sở hữu, và sẽ hỗ trợ tất cả những quyền file NTFS.
7.2.1. Ứng dụng của NTFS permission
Khi những quyền truy cập được cung cấp cho các User và Group trên một folder, User hay group cũng có thể truy cấp đến những file và subfolder bên trong nó. Quyền mang tính thừa kế. Có thể có nhiều quyền được gán cho một người sử dụng. NTFS có những nguyên tắc và những độ ưu tiên riêng đối với những đa quyền này.
7.2.2. Quyền bội NTFS
Những quyền bội có thể được cung cấp đến nhiều người sử dụng cho một quyền đến tài khoản riêng của người sử dụng và một quyền khác đến nhóm sử dụng, mà người sử dụng thuộc nhóm đó. Những quyền có hiệu lực của người sử dụng trong trường hợp này sẽ là kết hợp cả hai quyền đã được cung cấp cho người sử dụng. Một ví dụ chẳng hạn trong trường hợp này là người sử dụng có quyền đọc đến folder và thuộc quyền sở hữu của một nhóm, và có quyền ghi đến folder như vậy, sau đó người sử dụng sẽ có cả quyền đọc và ghi đến folder như vậy. Những quyền về file NTFS sẽ luôn có quyền ưu tiên cao nhất trên cả những quyền của folder NTFS. Trong trường hợp này người sử dụng có thể cho phép thay đổi đối với file và cho phép đọc đối với folder chứa file, người sử dụng có thể tạo ra những thay đổi trên file.
Đặc biệt file hoặc folder có thể từ chối truy xuất bởi việc cấp quyền deny đến tài khoản nhóm hoặc tài khoản người sử dụng. Quyền deny sẽ khoá tất cả trên file cũng như trong group. Do đó, quyền deny nên áp dụng một cách cẩn thận. Windows 2003 phân biệt giữa người sử dụng không có quyền truy xuất và không cho phép truy xuất đối với người sử dụng. Người quản trị
có thể chọn một cách dễ dàng không cho phép người sử dụng truy xuất đến file hoặc folder.
7.2.3. Sự kế thừa trong NTFS permission.
Việc gán quyền đến các folder là được kế thừa và truyền đến các file và subfolder bên trong nó. Chúng ta có thể ngăn cản tính kế thừa này nếu điều đó là cần thiết chonhững quyền khác nhau đã tạo cho những file nằm bên