3. Để thực hiện đợc điều này, thành viên của nhóm hoặc phải có quyền đăng nhập tại chỗ trên Server này, hoặc phải có quyền truy cập vào công cụ Active Directory Users and
2.3. Các quyền hạn ngời dùng
Quyền sử dụng của ngời dùng trên mạng Windows 2000 đợc kiểm soát theo hai cách: bằng cách cấp cho ngời dùng các quyền hạn (Rights), tức là ban cho hoặc bác bỏ khả năng truy cập vào một vài đối tợng hệ thống (ví dụ khả năng đăng nhập vào một server), và bằng cách trao cho các đối tợng những quyền truy cập hay giấy phép truy cập (Permissions), tức là chỉ định ai đợc phép dùng các đối tợng nào và đợc dùng ở mức nào (ví dụ cấp quyền truy cập
Read đối với một th mục cụ thể cho một ngời dùng cụ thể).
Quyền hạn của một ngời dùng cho phép họ thực hiện một số tác vụ hệ thống. Trong khi các quyền truy cập lại áp dụng cho các đối tợng cụ thể nh các tập tin, th mục và máy in …
Theo nguyên tắc, các quyền hạn ngời dùng đợc u tiên hơn các quyền hạn truy cập đối tợng. Ví dụ nếu một ngời dùng là thành viên của nhóm lu trữ dự phòng Backup Operators, thì khi thực hiện việc lu dự phòng, họ luôn có quyền đọc (Read) tất cả các th mục và tập tin trên Server, mặc dù ngời chủ sở hữu của các th mục và tập tin có thể bác bỏ quyền truy cập Read đối với mọi thành viên thuộc nhóm Backup Operators. Tuy nhiên các quyền hạn của nhóm Backup Operators chỉ có hiệu lực cùng với một thủ tục lu dự phòng, nên họ vẫn không thể mở các tập tin trên server và đọc nội dung của nó, nếu không có quyền truy cập tơng ứng.
Các nhóm đợc tạo sẵn của Windows 2000 có một số quyền hạn đã đợc cấp sẵn cho chúng, ta cũng có thể tạo ra các nhóm mới rồi cấp một bộ quyền hạn ngời dùng theo ý riêng cho các nhóm đó. Nhờ đó, việc kiểm soát tính bảo mật sẽ dễ dàng hơn nhiều so với cách cấp các quyền hạn riêng lẻ cho từng ng- ời.
Để xem hoặc sửa đổi sự cấp quyền hạn cho một ngời dùng hoặc nhóm, từ mục Administrative Tools, ta mở cụng cụ Local Security Policy trên máy không phải DC, hoặc công cụ Domain Controller Security Policy đối với máy DC. Khi đó một danh sách các quyền hạn sẽ đợc hiện ra trong mục User Rights Assignment nh hình 2.22.
Để thêm hoặc bớt một quyền hạn nào đó cho một ngời dùng hoặc nhóm, ta chọn quyền hạn đó, chọn Security từ menu Action. Nh trong hình 2.23 ta thấy một số đối tợng đã đợc gán quyền Back up files and directories.
Hình 2.22. Danh sách các quyền hạn ngời dùng
Hình 2.23. Thêm bớt đối tợng đợc cấp quyền hạn ngời dùng
Để tớc bỏ quyền này đối với một đối tợng nào đó, ta chọn đối tợng đó rồi nhấn nút Remove.
Để cấp thêm quyền này cho một nhóm hoặc ngời dùng, ta nhấn nút Add, rồi gõ vào tên ngời dùng hoặc nhóm cần thêm vào mục User and group name trong cửa sổ hình 2.24, hoặc có thể nhấn nút Browse để tìm chọn. Cuối cùng nhấn OK. Bảng 2.4 liệt kê các quyền hạn ngời dùng và giải thích ý nghĩa của chúng.
Hình 2.24. Cửa sổ chọn đối tợng mới để cấp quyền hạn ngời dùng
Bảng 2.4. Các quyền hạn ngời dùng
Quyền hạn ý nghĩa
Access this computer from the network Nối kết vào máy này ngang qua mạng.
Act as part of the operating system Đóng vài trò nh một phần đợc uỷ quyền của hệ điều hành. Một số tiểu hệ thống đợc cấp quyền hạn này.
Add workstations to domain Thêm các máy trạm vào miền.
Back up files and directories Lu dự phòng các tập tin và th mục. Quyền này phủ quyết các quyền truy cập tập tin và th mục.
Bypass traverse checking Duyệt lớt qua một cây th mục, cho dù ngời dùng đó không có quyền truy cập nào đối với th mục đó.
Change the system time ấn định giờ đồng hồ trong máy tại chỗ. Create a pagefile Tạo một tập tin phân trang (bộ nhớ ảo)
Create a token object Tạo các thẻ hiệu truy cập (access token). Chỉ bộ phận Local Security Authority mới có quyền này.
Create permanent shared objects Tạo những đối tợng vĩnh viễn đặc biệt. Debug programs Gỡ rối các ứng dụng.
Deny access to this computer from the network
Ngợc lại với quyền Access this computer from the network, thu hồi riêng quyền này đối với những ngời dùng hay nhóm mà bình thờng họ vẫn có.
Deny logon as a batch job Thu hồi quyền Logon as a batch job. Deny logon as a service Thu hồi quyền Logon as a service.
Deny logon locally Thu hồi quyền Logon locally. Enable computer and user accounts to
be trussted for delegation
Chỉ định các tài khoản có thể đợc uỷ quyền. Force shutdown from a remote system Buộc máy này phải tắt đi từ một máy ở xa. Generate security audits Tạo ra các đề mục ghi chép kiểm toán.
Increase quotas Tăng các hạn ngạch của đối tợng (mỗi đối t- ợng có một hạn ngạch đợc cấp cho nó).
Increase scheduling priority Tăng cờng độ u tiên lịch biểu của một quá trình xử lý.
Load and unload device drivers Thêm/bớt các trình điều khiển thiết bị vào/ra khỏi hệ thống.
Lock pages in memory Khoá chặt các trang vào trong bộ nhớ để ngăn không cho chúng bị đa vào trong bộ lu trữ dự phòng.
Logon as a batch job Đăng nhập vào hệ thống nh một phơng tiện hàng đợi theo lô (batch queue facility).
Logon as a service Thực hiện các dịch vụ bảo mật (ví dụ, ngời dùng mà thực hiện việc sao chép sẽ đăng nhập với t cách nh một dịch vụ).
Logon locally Đăng nhập tại chỗ, tại chính máy server này. Manager auditing and security log Chỉ rõ những loại sự kiện và kiểu truy cập tài
nguyên gì sẽ đợc kiểm toán. Ngoài ra còn cho phép xem và xoá sạch bản ghi chép bảo mật (security log).
Modify firmware environment values Sửa đổi các biến môi trờng của hệ thống (không phải biến môi trờng của ngời dùng). Profile single process Sử dụng những khả năng ghi chép hoạt động
(profilling) của Windows 2000 để quan sát, nhận xét hoạt động của một quá trình xử lý. Profile system performance Sử dụng các khả năng ghi chép hoạt động của
Windows 2000 để quan sát, nhận xét hoạt động của hệ thống.
Remove computer from docking station Tháo gỡ một máy tính ra khỏi hộp nối ghép vào mạng (docking station) của nó.
Replace a process level token Sửa đổi thẻ hiệu truy cập của một quá trình. Restore files and directories Khôi phục lại các tập tin và th mục. Quyền
này phủ quyết các quyền truy cập tập tin và th mục.
Shut down the system Tắt máy Windows 2000.
Synchronize directory service data Cập nhật thông tin của Active Directory. Take ownership of files or other objects Chiếm quyền sở hữu của các tập tin, th mục,
và các đối tợng khác, mà trớc đó đợc những ngời dùng khác sở hữu.