Cai dat va cau hinh Windows Server 2012 R2 (13)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (12)")




Thực hiện cấp quyền sử dụng


Cũng như các hệ điều hành Windows server khác, bạn có thể sử dụng Windows Server 2012 R2 để quản lý việc sử dụng các thư mục, tập tin trên máy lưu trữ dữ liệu (file server). Người dùng trên mạng sẽ bị kiểm soát trong quá trình truy cập và sử dụng, nhằm bảo vệ sự an toàn của dữ liệu. Để kiểm soát việc truy cập và sử dụng, Windows Server 2012 R2 có cơ chế cấp quyền sử dung (permission)(từ đây gọi tắt là cấp quyền) cho người dùng trên tất cả các tài nguyên.

Cấp quyền là việc cung cấp cho người dùng, nhóm người dùng hoặc máy tính các quyền thao tác cụ thể trên một tài nguyên mạng. Tài nguyên mạng có thể là tập tin, thư mục, máy in…v.v. Ví dụ, có thể cho phép người dùng A được phép xem nội dung của một tập tin, nhưng không cho phép họ sửa hoặc xóa tập tin đó.

Với một thư mục, khi được chia sẻ, Windows sẽ có hai hệ thống để kiểm soát việc sử dụng của người dùng trên mạng, đó là hệ thống kiểm soát việc sử dụng tài nguyên chia sẻ, gọi tắt là quyền chia sẻ (share permission) và hệ thống kiểm soát việc sử dụng tài nguyên trên hệ thống NTFS, gọi tắt là quyền NTFS (NTFS permission).

-         Quyền chia sẻ: kiểm soát việc truy cập và sử dụng của người dùng trên mạng, để truy cập và sử dụng một tập tin trên mạng (tất nhiên là đã được chia sẻ), người dùng phải có quyền chia sẻ, và quyền chia sẻ này phải phù hợp với quyền NTFS (nếu tập tin đang nằm trên ổ đĩa định dạng theo NTFS). Ví dụ, người dùng A có quyền chia sẻ là Read, thì anh ta cũng phải có quyền NTFS là Read, thì khi đó anh ta mới thực sự được quyền Read trên một tài nguyên nào đó.

-         Quyền NTFS: kiểm soát việc truy cập và sử dụng các tài nguyên trên các volume của đĩa cứng. Quyền này chỉ có trên các volume định dạng NTFS. Để truy cập tới một tập tin bất kì, dù là tại máy cụ bộ hay trên mạng, người dùng đều phải có quyền NTFS thì mới được phép truy cập và sử dụng tập tin. Cụ thể, với một tập tin trên đĩa cứng, bạn là người dùng cục bộ, có thể bạn không cần quyền chia sẻ, nhưng bắt buộc bạn phải có quyền NTFS thì mới được phép truy cập và sử dụng tập tin.

Các hệ thống kiểm soát quyền này thường hoạt động độc lập, đôi khi nó cũng có kết hợp với nhau để tăng thêm sự an toàn cho dữ liệu. Như vậy, nếu một người dùng trên mạng muốn truy cập và sử dụng một tập tin trên volume NTFS, thì người dùng đó phải có cả quyền chia sẻ và quyền NTFS. Nghĩa là, người quản trị phải cấp quyền cho người dùng đó ở cả hai nơi: chia sẻ và NTFS.

 

Hệ thống quản lý quyền của Windows


Để quản lý quyền, Windows sử dụng ACL (Access Control List: danh sách kiểm soát sử dụng). ACL là một công cụ để kiểm soát việc truy cập và sử dụng một tài nguyên. Mỗi tài nguyên sẽ có một ACL đi kèm.

ACL chứa các quyền truy cập và sử dụng của người dùng, nhóm người dùng (gọi chung là người dùng). Một ACL gồm nhiều ACE (Access Control Entry: danh mục kiểm soát sử dụng).

Một ACE gồm tên người dùng và các quyền của người dùng đó. Khi thực hiện cấp quyền, hệ thống Windows sẽ tạo ra một ACE mới. Khi thực hiện thay đổi quyền, nội dung của các ACE liên quan trong ACL sẽ được cập nhật.

Cũng như trong các hệ điều hành Windows Server trước đây, trong Windows Server 2012 R2, bạn có thể quản lý quyền chia sẻ và quyền NTFS, bằng cách bấm chuột phải vào thư mục cần quản lý quyền, chọn Properties, chọn táp Sharing để quản lý quyền chia sẻ, chọn táp Security để quản lý quyền NTFS. Lưu ý: Windows không cho phép chia sẻ tập tin, muốn chia sẻ tập tin, cần tạo một thư mục và đặt tập tin vào trong đó.



Ví dụ, ở hình trên, mục Group or user names: là danh sách các người dùng, nhóm người dùng được phép truy cập và sử dụng tài nguyên có tên là DungChung. Ứng với mỗi lựa chọn ở mục này là danh sách các quyền tương ứng tại mục Permissions for (tên của người dùng, nhóm).

Bạn cũng có thể quản lý việc truy cập và sử dụng tài nguyên bằng công cụ Server Manager, tuy nhiên, giao diện có hơi khác một chút.

 

Quyền Basic, quyền Advanced


Cơ chế sử dụng quyền để bảo vệ tập tin không giống với bảo vệ một căn phòng bằng một ổ khóa. Với một ổ khóa, nếu bạn không có chìa khóa, bạn sẽ không làm được gì; nếu bạn có chìa khóa, bạn có toàn quyền sử dụng mọi thứ trong phòng. Tuy nhiên, để quản lý được linh hoạt hơn, hệ thống quyền trong NTFS được chia thành nhiều mức độ khác nhau, và khi thực hiện cấp quyền, bạn có thể cấp cho người dùng các mức độ khác nhau.

Hệ thống NTFS gồm hai loại quyền: basic và advanced.

-         Quyền advanced: là các quyền sử dụng được chia theo nhiều mức độ khác nhau.

-         Quyền basic: dựa trên nhu cầu sử dụng thực tế của người dùng, hệ thống sẽ kết hợp một số quyền advanced để tạo thành quyền basic.

Khi bạn mở cửa sổ để thực hiện cấp quyền NTFS (táp Security), các quyền NTFS mà bạn nhìn thấy là các quyền basic. Các quyền basic được sử dụng nhiều trong việc quản lý truy cập và sử dụng một tập tin.

Trong các phiên bản trước Windows Server 2012, quyền basic có tên gọi là standard permission, quyền advanced có tên gọi là special permission.

Ví dụ, hệ thống NTFS có 14 quyền advanced để gán cho tập tin hoặc thư mục (gọi tắt là tập tin), trong khi đó, số quyền basic là sáu. Sáu quyền basic này là các kết hợp khác nhau từ 14 quyền advanced. Bạn có thể vừa gán quyền advanced, vừa gán quyền basic cho một tập tin. Như vậy, trong một ACE sẽ vừa chứa thông tin về các quyền basic, vừa chứa thông tin về các quyền advanced. Trong thực tế, bạn thường xuyên sử dụng các quyền basic, và rất hiếm khi sử dụng các quyền advanced.

Để thực hiện cấp quyền advanced cho một tập tin, bạn chuột phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện. Từ đây, bạn có thể truy cập và thay đổi trực tiếp các ACE thuộc về một tập tin. Bạn cũng có thể mở cửa sổ này từ Server Manager.



Quyền cho phép (Allow) và quyền từ chối (Deny)


Khi bạn thực hiện cấp quyền sử dụng một tập tin, một ACE trong ACL của tập tin đó sẽ được tạo ra. Có hai loại ACE cơ bản là Allow (cho phép) và Deny (từ chối). Dựa trên hai loại ACE này sẽ có hai cách tiếp cận để thực hiện cấp quyền:

-         Thêm quyền (Additive): khởi đầu, người dùng sẽ không có bất cứ quyền gì trên tập tin, sau đó sẽ thêm cho người dùng các quyền theo nhu cầu sử dụng (quyền Allow).

-         Bớt quyền (Subtractive): khởi đầu, cấp cho người dùng toàn quyền sử dụng tập tin (cho tất cả quyền Allow), sau đó, sẽ hạn chế bớt các quyền mà người dùng không được phép, bằng cách sử dụng quyền từ chối (Deny).

Đa số mọi người thích sử dụng phương pháp thêm quyền, phương pháp này an toàn hơn, người dùng cần sử dụng tới đâu, gán quyền tới đó. Thực tế, rất ít người sử dụng kết hợp cả hai phương pháp này cùng một lúc, vì nó rất phức tạp, khó kiểm soát.

 

Kế thừa quyền


Kế thừa quyền là nguyên lý quan trọng trong việc quản lý quyền của người dùng. Kế thừa quyền là hiện tượng quyền sẽ được truyền từ đối tượng cha xuống cho tất cả các đối tượng con. Ví dụ: khi bạn cấp quyền cho người dùng A được phép đọc ổ đĩa D:\, thì người dùng A cũng sẽ có quyền đọc tất cả các thư mục và tập tin có trên ổ đĩa D:\.

Kế thừa quyền giúp cho việc phân quyền được thuận tiện hơn. Nếu như không có nguyên lý này, bạn sẽ phải cấp quyền sử dụng cho tất cả các tập tin và thư mục. Ngược lại, sử dụng nguyên lý kế thừa, bạn chỉ cần cấp quyền một lần cho thư mục cha.

Trong thực tế, khi xây dựng cấu trúc thư mục để lưu trữ dữ liệu, hoặc khi xây dựng hệ thống OU trong AD DS người quản trị đã phải xem xét đến yếu tố kế thừa trong phân quyền và ủy quyền trong quản trị.

Trong một vài trường hợp nếu bạn không muốn áp dụng nguyên lý kế thừa trong phân quyền, nghĩa là bạn không muốn các quyền của thư mục cha sẽ truyền xuống các tập tin hay thư mục con, bạn có hai cách để thực hiện:

-         Tắt chế độ kế thừa: trong cửa sổ cấu hình quyền advanced, có tùy chọn cho phép bạn ngăn không cho các quyền trong một ACE nào đó được truyền xuống các tập tin hoặc thư mục con.

-         Sử dụng quyền kiểu Deny: dựa vào độ ưu tiên, quyền Deny luôn có quyền ưu tiên cao hơn quyền Allow, nghĩa là nếu một người dùng vừa có quyền đọc (Allow Read), vừa bị cấm đọc (Deny Read), thì người đó sẽ bị cấm đọc. Dựa vào tính chất này, nếu bạn không muốn người dùng kế thừa một quyền nào đó từ thư mục cha, bạn chỉ cần gán quyền Deny tương ứng.

 

Cơ chế tác động của các quyền


Một người dùng có thể nhận được quyền từ nhiều nguồn khác nhau. Một người dùng có thể nhận được quyền do gán trực tiếp, do kế thừa, do nhận được từ nhóm người dùng mà nó là thành viên. Điều này có thể dẫn đến tình trạng các quyền bị chồng lấn, đối nghịch nhau.

Vì vậy, người quản trị cần phải nắm rất rõ về cơ chế kết hợp của các quyền. Quyền của người dùng sẽ là kết hợp của các quyền trong ACE Allow và ACE Deny.

Sau đây là một số quy tắc được áp dụng khi cấp quyền:

-         Quyền Allow được cộng dồn (tích lũy): nếu người dùng nhận được các quyền Allow từ nhiều nguồn khác nhau, thì các quyền đó sẽ được kết hợp lại.

-         Quyền Deny có độ ưu tiên cao hơn quyền Allow: khi người dùng nhận được quyền Allow do kế thừa, hoặc nhận được do là thành viên của nhóm người dùng, bạn vẫn có thể vô hiệu các quyền đó bằng cách gán quyền Deny tương ứng.

-         Quyền gán công khai có độ ưu tiên cao hơn: khi người dùng nhận được quyền do kế thừa hoặc do là thành viên của nhóm người dùng, bạn có thể vô hiệu hóa các quyền đó bằng cách gán quyền công khai.

Tất nhiên, người quản trị rất khó để xác định xem người dùng A được phép làm gì trên một tài nguyên. Để xác định, chuột phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện, chọn táp Effective Access, chọn người dùng, nhóm người dùng, hoặc thiết bị, bấm nút View effective access để xem các quyền mà người dùng được phép thực hiện.




-------------------- 
Tham khảo (Lược dịch):
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2014/9/30
---------------------------

Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (14)

Cai dat va cau hinh Windows Server 2012 R2 (12)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (11)")

Chương 2. Quản lý tập tin, in ấn và truy cập từ xa

Chương này đề cập tới một số dịch vụ cơ bản, được sử dụng nhiều trên các máy server. Các dịch vụ đó là:

-          Quản lý và chia sẻ tập tin

-          Quản lý in ấn

-          Truy cập từ xa

2.1 Quản lý và chia sẻ tập tin


Một trong những công việc quan trọng hàng ngày của một người quản trị là quản lý việc lưu trữ tập tin của người dùng và quản lý việc truy cập đến các tập tin đó. Hệ thống Windows không cho phép chia sẻ từng tập tin. Vì vậy, để chia sẻ tập tin, bạn sẽ tạo thư mục, bỏ tập tin vào trong đó và tiến hành chia sẻ thư mục.

 

Chia sẻ thư mục


Chia sẻ thư mục là làm cho người dùng trên mạng có thể sử dụng được thư mục đó. Sau khi thực hiện xong công việc cấu hình đĩa cứng tại máy lưu trữ dữ liệu (file server), bạn phải thực hiện cấu hình chia sẻ để cho mọi người trên mạng có thể sử dụng được đĩa cứng đó.

Trước khi cấu hình chia sẻ, bạn phải chuẩn bị trước các thứ sau:

-          Các thư mục nào sẽ được chia sẻ

-          Tên để đặt cho các thư mục chia sẻ là gì

-          Các quyền sẽ được cấp cho người dùng

-          Các thiết lập cho chế độ làm việc ngoại tuyến (offline file) liên quan đến dữ liệu chia sẻ

Trong Windows Server 2012 R2, để thực hiện chia sẻ, mở chương trình quản lý tập tin bất kì (ví dụ: File Explorer), bấm chuột phải vào thư mục cần chia sẻ (lưu ý: tài khoản đang sử dụng phải có quyền chia sẻ), chọn mục Share with, chọn Specific People, cửa sổ File Sharing xuất hiện.



Nếu bạn không phải là người tạo ra thư mục (creator owner), để thực hiện chia sẻ, bấm chuột phải vào thư mục cần chia sẻ, chọn Properties, chọn táp Sharing, bấm Share…

Ở cửa sổ File Sharing, bạn chỉ có thể thực hiện được hai thiết lập là: lựa chọn người được phép sử dụng thư mục chia sẻ này, và quyền tương ứng cho mỗi người.

Để cho phép người dùng có quyền truy cập thư mục chia sẻ, nhập tên người dùng hoặc tên nhóm, bấm nút Add, hệ thống sẽ tự động kiểm tra xem tên đó có tồn tại trong hệ thống mạng hay không? Nếu tên đó không tồn tại, hệ thống sẽ báo lỗi. Cũng có thể nhập người dùng bằng cách bấm vào dấu mũi tên (cạnh chữ Add), chọn Find people…, cửa sổ Select Users or Groups xuất hiện.



Bấm Advanced…, hệ thống sẽ yêu cầu chứng thực bằng tài khoản được phép quản trị hệ thống (ví dụ: administrator), cửa sổ Select Users or Groups sẽ xuất hiện thêm một số nút mới, bấm nút Find Now, chọn người dùng hoặc nhóm, bấm OK, OK.

Để thiết lập quyền cho người dùng, tại cửa sổ File Sharing, chọn người dùng bất kì, tại cột Permision Level, bấm dấu mũi tên (hình tam giác), chọn quyền đọc (Read), đọc và ghi (Read/Write), hoặc không cho truy cập (Remove).

Để thực hiện các thiết lập khác liên quan đến chia sẻ, bấm chuột phải vào thư mục cần chia sẻ, chọn Properties, chọn táp Sharing, chọn Advanced Sharing để mở cửa sổ Advanced Sharing.





Chức năng File and Storage Services trong Server Manager cho phép bạn cấu hình chia sẻ trên mọi đĩa cứng và mọi server trong mạng.

Windows Server 2012 R2 hỗ trợ hai hình thức chia sẻ thư mục:

-          Server Message Blocks (SMB): đây là giao thức chia sẻ tập tin phổ biến, được sử dụng trong mọi phiên bản của Windows.

-          Network File System (NFS): đây là giao thức chia sẻ tập tin phổ biến, được dùng trong các dòng hệ điều hành UNIX, Linux.

Khi cài đặt Windows Server 2012 R2, hệ thống đã cài đặt sẵn các dịch vụ để hỗ trợ hai kiểu chia sẻ này. Hai dịch vụ nằm trong role File and Storage Services gồm: Storage Services và File Server.

Các bước để thực hiện chia sẻ thư mục bằng Server Manager:


  1. Trong Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con, chọn Shares, khung SHARES xuất hiện.
  2.  Trong khung SHARES, chọn TASKS, chọn New Share, cửa sổ New Share Wizard xuất hiện.



  1. Lựa chọn một trong các tùy chọn tại cửa sổ Select The Profile For This Share:

-          SMB Share – Quick: cung cấp các chức năng chia sẻ cơ bản dựa trên SMB với đầy đủ các quyền NTFS và quyền chia sẻ.

-          SMB Share – Advanced: cung cấp các chức năng chia sẻ dựa trên SMB với đầy đủ các quyền NTFS và quyền chia sẻ. Cho phép sử dụng các dịch vụ cung cấp bởi File Server Resource Manager.

-          SMB Share – Applications: cung cấp các chức năng chia sẻ dựa trên SMB với các thiết lập tương thích với Hyper-V và các ứng dụng khác.

-          NFS Share – Quick: cung cấp các chức năng chia sẻ cơ bản dựa trên NFS cùng với cơ chế chứng thực và phân quyền.

-          NFS Share – Advanced: cung cấp các chức năng chia sẻ dựa trên NFS cùng với cơ chế chứng thực và phân quyền. Cho phép sử dụng các dịch vụ cung cấp bởi File Server Resource Manager.

  1. Bấm Next để mở cửa sổ Select The Server And Path For This Share.
  2. Chọn Server, volume để chia sẻ thư mục do hệ thống thiết lập sẵn hoặc chỉ đường dẫn tới thư mục cần chia sẻ. Bấm Next để mở sổ Specify Share Name.
  3. Nhập tên hiển thị khi thư mục được chia sẻ. Bấm Next để mở cửa sổ Configure Share Settings.




  1. Lựa chọn thêm các tùy chọn sau (có thể chọn tất cả):

-          Enable Access-Based Enumeration: chỉ liệt kê các thư mục mà người dùng được phép truy cập.

-          Allow Caching Of Share: cho phép người dùng làm việc theo kiểu ngoại tuyến (offline file) – chép luôn một bản sao xuống máy của người dùng.

-          Enable BranchCache On The File Share: cho phép server BranchCache lưu bản sao của các tập tin đã được người dùng truy cập.

-          Encrypt Data Access: server sẽ mã hóa tập tin khi người dùng truy cập từ xa.

  1. Bấm Next để chuyển sang cửa sổ Specify Permissions To Control Access.
  2. Chỉnh lại các quyền chia sẻ và quyền NTFS (NTFS permission) theo nhu cầu sử dụng, bấm Next để chuyển sang cửa sổ Comfirm Seclections.
  3. Bấm Create, hệ thống thực hiện chia sẻ và mở cửa sổ View Results.
  4. Bấm Close để kết thúc.
Sau khi được tạo, các chia sẻ sẽ xuất hiện trong khung SHARES, mục Shares, của Server Manager. Để quản lý các chia sẻ này, bạn chỉ việc bấm chuột phải vào chia sẻ, chọn Properties. Nếu không muốn chia sẻ, chọn Stop Sharing.
-------------------- 
Tham khảo (Lược dịch):
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2014/9/26
---------------------------

Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (13)