Cai dat va cau hinh Windows Server 2012 R2 (13)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (12)")




Thực hiện cấp quyền sử dụng


Cũng như các hệ điều hành Windows server khác, bạn có thể sử dụng Windows Server 2012 R2 để quản lý việc sử dụng các thư mục, tập tin trên máy lưu trữ dữ liệu (file server). Người dùng trên mạng sẽ bị kiểm soát trong quá trình truy cập và sử dụng, nhằm bảo vệ sự an toàn của dữ liệu. Để kiểm soát việc truy cập và sử dụng, Windows Server 2012 R2 có cơ chế cấp quyền sử dung (permission)(từ đây gọi tắt là cấp quyền) cho người dùng trên tất cả các tài nguyên.

Cấp quyền là việc cung cấp cho người dùng, nhóm người dùng hoặc máy tính các quyền thao tác cụ thể trên một tài nguyên mạng. Tài nguyên mạng có thể là tập tin, thư mục, máy in…v.v. Ví dụ, có thể cho phép người dùng A được phép xem nội dung của một tập tin, nhưng không cho phép họ sửa hoặc xóa tập tin đó.

Với một thư mục, khi được chia sẻ, Windows sẽ có hai hệ thống để kiểm soát việc sử dụng của người dùng trên mạng, đó là hệ thống kiểm soát việc sử dụng tài nguyên chia sẻ, gọi tắt là quyền chia sẻ (share permission) và hệ thống kiểm soát việc sử dụng tài nguyên trên hệ thống NTFS, gọi tắt là quyền NTFS (NTFS permission).

-         Quyền chia sẻ: kiểm soát việc truy cập và sử dụng của người dùng trên mạng, để truy cập và sử dụng một tập tin trên mạng (tất nhiên là đã được chia sẻ), người dùng phải có quyền chia sẻ, và quyền chia sẻ này phải phù hợp với quyền NTFS (nếu tập tin đang nằm trên ổ đĩa định dạng theo NTFS). Ví dụ, người dùng A có quyền chia sẻ là Read, thì anh ta cũng phải có quyền NTFS là Read, thì khi đó anh ta mới thực sự được quyền Read trên một tài nguyên nào đó.

-         Quyền NTFS: kiểm soát việc truy cập và sử dụng các tài nguyên trên các volume của đĩa cứng. Quyền này chỉ có trên các volume định dạng NTFS. Để truy cập tới một tập tin bất kì, dù là tại máy cụ bộ hay trên mạng, người dùng đều phải có quyền NTFS thì mới được phép truy cập và sử dụng tập tin. Cụ thể, với một tập tin trên đĩa cứng, bạn là người dùng cục bộ, có thể bạn không cần quyền chia sẻ, nhưng bắt buộc bạn phải có quyền NTFS thì mới được phép truy cập và sử dụng tập tin.

Các hệ thống kiểm soát quyền này thường hoạt động độc lập, đôi khi nó cũng có kết hợp với nhau để tăng thêm sự an toàn cho dữ liệu. Như vậy, nếu một người dùng trên mạng muốn truy cập và sử dụng một tập tin trên volume NTFS, thì người dùng đó phải có cả quyền chia sẻ và quyền NTFS. Nghĩa là, người quản trị phải cấp quyền cho người dùng đó ở cả hai nơi: chia sẻ và NTFS.

 

Hệ thống quản lý quyền của Windows


Để quản lý quyền, Windows sử dụng ACL (Access Control List: danh sách kiểm soát sử dụng). ACL là một công cụ để kiểm soát việc truy cập và sử dụng một tài nguyên. Mỗi tài nguyên sẽ có một ACL đi kèm.

ACL chứa các quyền truy cập và sử dụng của người dùng, nhóm người dùng (gọi chung là người dùng). Một ACL gồm nhiều ACE (Access Control Entry: danh mục kiểm soát sử dụng).

Một ACE gồm tên người dùng và các quyền của người dùng đó. Khi thực hiện cấp quyền, hệ thống Windows sẽ tạo ra một ACE mới. Khi thực hiện thay đổi quyền, nội dung của các ACE liên quan trong ACL sẽ được cập nhật.

Cũng như trong các hệ điều hành Windows Server trước đây, trong Windows Server 2012 R2, bạn có thể quản lý quyền chia sẻ và quyền NTFS, bằng cách bấm chuột phải vào thư mục cần quản lý quyền, chọn Properties, chọn táp Sharing để quản lý quyền chia sẻ, chọn táp Security để quản lý quyền NTFS. Lưu ý: Windows không cho phép chia sẻ tập tin, muốn chia sẻ tập tin, cần tạo một thư mục và đặt tập tin vào trong đó.



Ví dụ, ở hình trên, mục Group or user names: là danh sách các người dùng, nhóm người dùng được phép truy cập và sử dụng tài nguyên có tên là DungChung. Ứng với mỗi lựa chọn ở mục này là danh sách các quyền tương ứng tại mục Permissions for (tên của người dùng, nhóm).

Bạn cũng có thể quản lý việc truy cập và sử dụng tài nguyên bằng công cụ Server Manager, tuy nhiên, giao diện có hơi khác một chút.

 

Quyền Basic, quyền Advanced


Cơ chế sử dụng quyền để bảo vệ tập tin không giống với bảo vệ một căn phòng bằng một ổ khóa. Với một ổ khóa, nếu bạn không có chìa khóa, bạn sẽ không làm được gì; nếu bạn có chìa khóa, bạn có toàn quyền sử dụng mọi thứ trong phòng. Tuy nhiên, để quản lý được linh hoạt hơn, hệ thống quyền trong NTFS được chia thành nhiều mức độ khác nhau, và khi thực hiện cấp quyền, bạn có thể cấp cho người dùng các mức độ khác nhau.

Hệ thống NTFS gồm hai loại quyền: basic và advanced.

-         Quyền advanced: là các quyền sử dụng được chia theo nhiều mức độ khác nhau.

-         Quyền basic: dựa trên nhu cầu sử dụng thực tế của người dùng, hệ thống sẽ kết hợp một số quyền advanced để tạo thành quyền basic.

Khi bạn mở cửa sổ để thực hiện cấp quyền NTFS (táp Security), các quyền NTFS mà bạn nhìn thấy là các quyền basic. Các quyền basic được sử dụng nhiều trong việc quản lý truy cập và sử dụng một tập tin.

Trong các phiên bản trước Windows Server 2012, quyền basic có tên gọi là standard permission, quyền advanced có tên gọi là special permission.

Ví dụ, hệ thống NTFS có 14 quyền advanced để gán cho tập tin hoặc thư mục (gọi tắt là tập tin), trong khi đó, số quyền basic là sáu. Sáu quyền basic này là các kết hợp khác nhau từ 14 quyền advanced. Bạn có thể vừa gán quyền advanced, vừa gán quyền basic cho một tập tin. Như vậy, trong một ACE sẽ vừa chứa thông tin về các quyền basic, vừa chứa thông tin về các quyền advanced. Trong thực tế, bạn thường xuyên sử dụng các quyền basic, và rất hiếm khi sử dụng các quyền advanced.

Để thực hiện cấp quyền advanced cho một tập tin, bạn chuột phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện. Từ đây, bạn có thể truy cập và thay đổi trực tiếp các ACE thuộc về một tập tin. Bạn cũng có thể mở cửa sổ này từ Server Manager.



Quyền cho phép (Allow) và quyền từ chối (Deny)


Khi bạn thực hiện cấp quyền sử dụng một tập tin, một ACE trong ACL của tập tin đó sẽ được tạo ra. Có hai loại ACE cơ bản là Allow (cho phép) và Deny (từ chối). Dựa trên hai loại ACE này sẽ có hai cách tiếp cận để thực hiện cấp quyền:

-         Thêm quyền (Additive): khởi đầu, người dùng sẽ không có bất cứ quyền gì trên tập tin, sau đó sẽ thêm cho người dùng các quyền theo nhu cầu sử dụng (quyền Allow).

-         Bớt quyền (Subtractive): khởi đầu, cấp cho người dùng toàn quyền sử dụng tập tin (cho tất cả quyền Allow), sau đó, sẽ hạn chế bớt các quyền mà người dùng không được phép, bằng cách sử dụng quyền từ chối (Deny).

Đa số mọi người thích sử dụng phương pháp thêm quyền, phương pháp này an toàn hơn, người dùng cần sử dụng tới đâu, gán quyền tới đó. Thực tế, rất ít người sử dụng kết hợp cả hai phương pháp này cùng một lúc, vì nó rất phức tạp, khó kiểm soát.

 

Kế thừa quyền


Kế thừa quyền là nguyên lý quan trọng trong việc quản lý quyền của người dùng. Kế thừa quyền là hiện tượng quyền sẽ được truyền từ đối tượng cha xuống cho tất cả các đối tượng con. Ví dụ: khi bạn cấp quyền cho người dùng A được phép đọc ổ đĩa D:\, thì người dùng A cũng sẽ có quyền đọc tất cả các thư mục và tập tin có trên ổ đĩa D:\.

Kế thừa quyền giúp cho việc phân quyền được thuận tiện hơn. Nếu như không có nguyên lý này, bạn sẽ phải cấp quyền sử dụng cho tất cả các tập tin và thư mục. Ngược lại, sử dụng nguyên lý kế thừa, bạn chỉ cần cấp quyền một lần cho thư mục cha.

Trong thực tế, khi xây dựng cấu trúc thư mục để lưu trữ dữ liệu, hoặc khi xây dựng hệ thống OU trong AD DS người quản trị đã phải xem xét đến yếu tố kế thừa trong phân quyền và ủy quyền trong quản trị.

Trong một vài trường hợp nếu bạn không muốn áp dụng nguyên lý kế thừa trong phân quyền, nghĩa là bạn không muốn các quyền của thư mục cha sẽ truyền xuống các tập tin hay thư mục con, bạn có hai cách để thực hiện:

-         Tắt chế độ kế thừa: trong cửa sổ cấu hình quyền advanced, có tùy chọn cho phép bạn ngăn không cho các quyền trong một ACE nào đó được truyền xuống các tập tin hoặc thư mục con.

-         Sử dụng quyền kiểu Deny: dựa vào độ ưu tiên, quyền Deny luôn có quyền ưu tiên cao hơn quyền Allow, nghĩa là nếu một người dùng vừa có quyền đọc (Allow Read), vừa bị cấm đọc (Deny Read), thì người đó sẽ bị cấm đọc. Dựa vào tính chất này, nếu bạn không muốn người dùng kế thừa một quyền nào đó từ thư mục cha, bạn chỉ cần gán quyền Deny tương ứng.

 

Cơ chế tác động của các quyền


Một người dùng có thể nhận được quyền từ nhiều nguồn khác nhau. Một người dùng có thể nhận được quyền do gán trực tiếp, do kế thừa, do nhận được từ nhóm người dùng mà nó là thành viên. Điều này có thể dẫn đến tình trạng các quyền bị chồng lấn, đối nghịch nhau.

Vì vậy, người quản trị cần phải nắm rất rõ về cơ chế kết hợp của các quyền. Quyền của người dùng sẽ là kết hợp của các quyền trong ACE Allow và ACE Deny.

Sau đây là một số quy tắc được áp dụng khi cấp quyền:

-         Quyền Allow được cộng dồn (tích lũy): nếu người dùng nhận được các quyền Allow từ nhiều nguồn khác nhau, thì các quyền đó sẽ được kết hợp lại.

-         Quyền Deny có độ ưu tiên cao hơn quyền Allow: khi người dùng nhận được quyền Allow do kế thừa, hoặc nhận được do là thành viên của nhóm người dùng, bạn vẫn có thể vô hiệu các quyền đó bằng cách gán quyền Deny tương ứng.

-         Quyền gán công khai có độ ưu tiên cao hơn: khi người dùng nhận được quyền do kế thừa hoặc do là thành viên của nhóm người dùng, bạn có thể vô hiệu hóa các quyền đó bằng cách gán quyền công khai.

Tất nhiên, người quản trị rất khó để xác định xem người dùng A được phép làm gì trên một tài nguyên. Để xác định, chuột phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện, chọn táp Effective Access, chọn người dùng, nhóm người dùng, hoặc thiết bị, bấm nút View effective access để xem các quyền mà người dùng được phép thực hiện.




-------------------- 
Tham khảo (Lược dịch):
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2014/9/30
---------------------------

Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (14)