Thực hiện cấp quyền sử dụng
Cũng như các hệ điều hành Windows server khác, bạn có thể sử dụng Windows Server 2012 R2 để quản lý việc sử dụng các thư mục, tập tin trên máy lưu trữ dữ liệu (file server). Người dùng trên mạng sẽ bị kiểm soát trong quá trình truy cập và sử dụng, nhằm bảo vệ sự an toàn của dữ liệu. Để kiểm soát việc truy cập và sử dụng, Windows Server 2012 R2 có cơ chế cấp quyền sử dung (permission)(từ đây gọi tắt là cấp quyền) cho người dùng trên tất cả các tài nguyên.
Cấp quyền là việc cung cấp cho người dùng, nhóm người dùng
hoặc máy tính các quyền thao tác cụ thể trên một tài nguyên mạng. Tài nguyên
mạng có thể là tập tin, thư mục, máy in…v.v. Ví dụ, có thể cho phép người dùng
A được phép xem nội dung của một tập tin, nhưng không cho phép họ sửa hoặc xóa
tập tin đó.
Với một thư mục, khi được chia sẻ, Windows sẽ có hai hệ
thống để kiểm soát việc sử dụng của người dùng trên mạng, đó là hệ thống kiểm
soát việc sử dụng tài nguyên chia sẻ, gọi tắt là quyền chia sẻ (share
permission) và hệ thống kiểm soát việc sử dụng tài nguyên trên hệ thống NTFS,
gọi tắt là quyền NTFS (NTFS permission).
-
Quyền chia sẻ: kiểm soát việc truy cập và sử dụng của
người dùng trên mạng, để truy cập và sử dụng một tập tin trên mạng (tất nhiên là
đã được chia sẻ), người dùng phải có quyền chia sẻ, và quyền chia sẻ này phải
phù hợp với quyền NTFS (nếu tập tin đang nằm trên ổ đĩa định dạng theo NTFS).
Ví dụ, người dùng A có quyền chia sẻ là Read, thì anh ta cũng phải có quyền
NTFS là Read, thì khi đó anh ta mới thực sự được quyền Read trên một tài nguyên
nào đó.
-
Quyền NTFS: kiểm soát việc truy cập và sử dụng các tài
nguyên trên các volume của đĩa cứng. Quyền này chỉ có trên các volume định dạng
NTFS. Để truy cập tới một tập tin bất kì, dù là tại máy cụ bộ hay trên mạng,
người dùng đều phải có quyền NTFS thì mới được phép truy cập và sử dụng tập
tin. Cụ thể, với một tập tin trên đĩa cứng, bạn là người dùng cục bộ, có thể
bạn không cần quyền chia sẻ, nhưng bắt buộc bạn phải có quyền NTFS thì mới được
phép truy cập và sử dụng tập tin.
Các hệ thống kiểm soát quyền này thường hoạt động độc lập,
đôi khi nó cũng có kết hợp với nhau để tăng thêm sự an toàn cho dữ liệu. Như vậy,
nếu một người dùng trên mạng muốn truy cập và sử dụng một tập tin trên volume
NTFS, thì người dùng đó phải có cả quyền chia sẻ và quyền NTFS. Nghĩa là, người
quản trị phải cấp quyền cho người dùng đó ở cả hai nơi: chia sẻ và NTFS.
Hệ thống quản lý quyền của Windows
Để quản lý quyền, Windows sử dụng ACL (Access Control List:
danh sách kiểm soát sử dụng). ACL là một công cụ để kiểm soát việc truy cập và
sử dụng một tài nguyên. Mỗi tài nguyên sẽ có một ACL đi kèm.
ACL chứa các quyền truy cập và sử dụng của người dùng, nhóm
người dùng (gọi chung là người dùng). Một ACL gồm nhiều ACE (Access Control
Entry: danh mục kiểm soát sử dụng).
Một ACE gồm tên người dùng và các quyền của người dùng đó.
Khi thực hiện cấp quyền, hệ thống Windows sẽ tạo ra một ACE mới. Khi thực hiện
thay đổi quyền, nội dung của các ACE liên quan trong ACL sẽ được cập nhật.
Cũng như trong các hệ điều hành Windows Server trước đây,
trong Windows Server 2012 R2, bạn có thể quản
lý quyền chia sẻ và quyền NTFS, bằng cách bấm chuột phải vào thư mục cần quản
lý quyền, chọn Properties, chọn táp Sharing để quản lý quyền chia sẻ, chọn táp
Security để quản lý quyền NTFS. Lưu ý: Windows không cho phép chia sẻ tập tin,
muốn chia sẻ tập tin, cần tạo một thư mục và đặt tập tin vào trong đó.
Ví dụ, ở hình trên, mục Group or user names: là danh sách
các người dùng, nhóm người dùng được phép truy cập và sử dụng tài nguyên có tên
là DungChung. Ứng với mỗi lựa chọn ở mục này là danh sách các quyền tương ứng
tại mục Permissions
for (tên của người dùng, nhóm).
Bạn cũng có thể quản lý việc truy cập và sử dụng tài nguyên
bằng công cụ Server Manager, tuy nhiên, giao diện có hơi khác một chút.
Quyền Basic, quyền Advanced
Cơ chế sử dụng quyền để bảo vệ tập tin không giống với bảo
vệ một căn phòng bằng một ổ khóa. Với một ổ khóa, nếu bạn không có chìa khóa,
bạn sẽ không làm được gì; nếu bạn có chìa khóa, bạn có toàn quyền sử dụng mọi
thứ trong phòng. Tuy nhiên, để quản lý được linh hoạt hơn, hệ thống quyền trong
NTFS được chia thành nhiều mức độ khác nhau, và khi thực hiện cấp quyền, bạn có
thể cấp cho người dùng các mức độ khác nhau.
Hệ thống NTFS gồm hai loại quyền: basic và advanced.
-
Quyền advanced: là các quyền sử dụng được chia theo
nhiều mức độ khác nhau.
-
Quyền basic: dựa trên nhu cầu sử dụng thực tế của người
dùng, hệ thống sẽ kết hợp một số quyền advanced để tạo thành quyền
basic.
Khi bạn mở cửa sổ để thực hiện cấp quyền NTFS (táp
Security), các quyền NTFS mà bạn nhìn thấy là các quyền basic. Các quyền basic được
sử dụng nhiều trong việc quản lý truy cập và sử dụng một tập tin.
Trong các phiên bản trước Windows Server 2012, quyền basic có
tên gọi là standard permission, quyền advanced có tên gọi là special
permission.
Ví dụ, hệ thống NTFS có 14 quyền advanced để gán cho tập tin
hoặc thư mục (gọi tắt là tập tin), trong khi đó, số quyền basic là sáu. Sáu
quyền basic này là các kết hợp khác nhau từ 14 quyền advanced. Bạn có thể vừa
gán quyền advanced, vừa gán quyền basic cho một tập tin. Như vậy, trong một ACE
sẽ vừa chứa thông tin về các quyền basic, vừa chứa thông tin về các quyền advanced.
Trong thực tế, bạn thường xuyên sử dụng các quyền basic, và rất hiếm khi sử dụng
các quyền advanced.
Để thực hiện cấp quyền advanced cho một tập tin, bạn chuột
phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ
Advanced Security Settings for…sẽ xuất hiện. Từ đây, bạn có thể truy cập và
thay đổi trực tiếp các ACE thuộc về một tập tin. Bạn cũng có thể mở cửa sổ này
từ Server Manager.
Quyền cho phép (Allow) và quyền từ chối (Deny)
Khi bạn thực hiện cấp quyền sử dụng một tập tin, một ACE
trong ACL của tập tin đó sẽ được tạo ra. Có hai loại ACE cơ bản là Allow (cho
phép) và Deny (từ chối). Dựa trên hai loại ACE này sẽ có hai cách tiếp cận để
thực hiện cấp quyền:
-
Thêm quyền (Additive): khởi đầu, người dùng sẽ không có
bất cứ quyền gì trên tập tin, sau đó sẽ thêm cho người dùng các quyền theo nhu
cầu sử dụng (quyền Allow).
-
Bớt quyền (Subtractive): khởi đầu, cấp cho người dùng
toàn quyền sử dụng tập tin (cho tất cả quyền Allow), sau đó, sẽ hạn chế bớt các
quyền mà người dùng không được phép, bằng cách sử dụng quyền từ chối (Deny).
Đa số mọi người thích sử dụng phương pháp thêm quyền, phương
pháp này an toàn hơn, người dùng cần sử dụng tới đâu, gán quyền tới đó. Thực
tế, rất ít người sử dụng kết hợp cả hai phương pháp này cùng một lúc, vì nó rất
phức tạp, khó kiểm soát.
Kế thừa quyền
Kế thừa quyền là nguyên lý quan trọng trong việc quản lý
quyền của người dùng. Kế thừa quyền là hiện tượng quyền sẽ được truyền từ đối
tượng cha xuống cho tất cả các đối tượng con. Ví dụ: khi bạn cấp quyền cho
người dùng A được phép đọc ổ đĩa D:\, thì người dùng A cũng sẽ có quyền đọc
tất cả các thư mục và tập tin có trên ổ đĩa D:\.
Kế thừa quyền giúp cho việc phân quyền được thuận tiện hơn.
Nếu như không có nguyên lý này, bạn sẽ phải cấp quyền sử dụng cho tất cả các
tập tin và thư mục. Ngược lại, sử dụng nguyên lý kế thừa, bạn chỉ cần cấp quyền
một lần cho thư mục cha.
Trong thực tế, khi xây dựng cấu trúc thư mục để lưu trữ dữ
liệu, hoặc khi xây dựng hệ thống OU trong AD DS người quản trị đã phải xem xét
đến yếu tố kế thừa trong phân quyền và ủy quyền trong quản trị.
Trong một vài trường hợp nếu bạn không muốn áp dụng nguyên
lý kế thừa trong phân quyền, nghĩa là bạn không muốn các quyền của thư mục cha
sẽ truyền xuống các tập tin hay thư mục con, bạn có hai cách để thực hiện:
-
Tắt chế độ kế thừa: trong cửa sổ cấu hình quyền advanced,
có tùy chọn cho phép bạn ngăn không cho các quyền trong một ACE nào đó được
truyền xuống các tập tin hoặc thư mục con.
-
Sử dụng quyền kiểu Deny: dựa vào độ ưu tiên, quyền Deny
luôn có quyền ưu tiên cao hơn quyền Allow, nghĩa là nếu một người dùng vừa có
quyền đọc (Allow Read), vừa bị cấm đọc (Deny Read), thì người đó sẽ bị cấm đọc.
Dựa vào tính chất này, nếu bạn không muốn người dùng kế thừa một quyền nào đó
từ thư mục cha, bạn chỉ cần gán quyền Deny tương ứng.
Cơ chế tác động của các quyền
Một người dùng có thể nhận được quyền từ nhiều nguồn khác
nhau. Một người dùng có thể nhận được quyền do gán trực tiếp, do kế thừa, do
nhận được từ nhóm người dùng mà nó là thành viên. Điều này có thể dẫn đến tình
trạng các quyền bị chồng lấn, đối nghịch nhau.
Vì vậy, người quản trị cần phải nắm rất rõ về cơ chế kết hợp
của các quyền. Quyền của người dùng sẽ là kết hợp của các quyền trong ACE Allow
và ACE Deny.
Sau đây là một số quy tắc được áp dụng khi cấp quyền:
-
Quyền Allow được cộng dồn (tích lũy): nếu người dùng
nhận được các quyền Allow từ nhiều nguồn khác nhau, thì các quyền đó sẽ được
kết hợp lại.
-
Quyền Deny có độ ưu tiên cao hơn quyền Allow: khi người
dùng nhận được quyền Allow do kế thừa, hoặc nhận được do là thành viên của nhóm
người dùng, bạn vẫn có thể vô hiệu các quyền đó bằng cách gán quyền Deny tương
ứng.
-
Quyền gán công khai có độ ưu tiên cao hơn: khi người
dùng nhận được quyền do kế thừa hoặc do là thành viên của nhóm người dùng, bạn
có thể vô hiệu hóa các quyền đó bằng cách gán quyền công khai.
Tất nhiên, người quản trị rất khó để xác định xem người dùng
A được phép làm gì trên một tài nguyên. Để xác định, chuột phải vào một tập
tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ Advanced
Security Settings for…sẽ xuất hiện, chọn táp Effective Access, chọn người dùng,
nhóm người dùng, hoặc thiết bị, bấm nút View effective access để xem các quyền
mà người dùng được phép thực hiện.
--------------------
Tham khảo (Lược dịch):
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
---------------------------
Cập nhật 2014/9/30
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (14)