Thực hành cấp quyền chia sẻ
Trong Windows Server 2012 R2, các thư mục chia sẻ
sẽ được quản lý bởi hệ thống quyền chia sẻ. Hệ thống quyền chia sẻ hoạt động
độc lập với các hệ thống quyền khác của Windows.
Với các người dùng trên mạng, ngoài việc phải có quyền NTFS, họ phải có quyền chia sẻ thích hợp thì mới được phép truy cập và sử dụng một thư mục chia sẻ.
Để thay đổi quyền cho một thư mục chia sẻ bằng File Explorer, chuột phải vào thư mục, chọn Properties, chọn táp Sharing, chọn Advanced Shairng, chọn Permisions để mở cửa sổ Permissions for…, từ cửa sổ này, bạn có thể thực hiện thay đổi quyền chia sẻ cho người dùng.
Với các người dùng trên mạng, ngoài việc phải có quyền NTFS, họ phải có quyền chia sẻ thích hợp thì mới được phép truy cập và sử dụng một thư mục chia sẻ.
Để thay đổi quyền cho một thư mục chia sẻ bằng File Explorer, chuột phải vào thư mục, chọn Properties, chọn táp Sharing, chọn Advanced Shairng, chọn Permisions để mở cửa sổ Permissions for…, từ cửa sổ này, bạn có thể thực hiện thay đổi quyền chia sẻ cho người dùng.
Để thay đổi quyền chia sẻ bằng Server Manager, thực hiện các
bước sau:
1. Mở Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con, chọn Shares để mở khung SHARES.
2. Trong khung SHARES, bấm chuột phải vào chia sẻ muốn thay đổi quyền, chọn Properties để mở cửa sổ Properties.
1. Mở Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con, chọn Shares để mở khung SHARES.
2. Trong khung SHARES, bấm chuột phải vào chia sẻ muốn thay đổi quyền, chọn Properties để mở cửa sổ Properties.
3. Chọn Permissions để mở cửa sổ Permisions.
4. Chọn Customize Permissions… để mở cửa sổ Advanced Security Settings for…
5. Chọn táp Share.
6. Bấm nút Edit để sửa quyền, muốn cấp quyền mới bấm nút Add để mở cửa sổ Permission Entry for...
7. Bấm Select A Principal để hiển thị cửa sổ Select User, Computer, Services Account, Or Group.
8. Nhập tên hoặc tìm người dùng, nhóm mà bạn muốn cấp quyền chia sẻ. Bấm OK. Người dùng hoặc nhóm sẽ xuất hiện trong cửa sổ Permission Entry for...
9. Lựa chọn loại quyền (Allow, Deny) mà bạn muốn cấp cho người dùng.
10. Đánh dấu chọn vào các quyền mà bạn muốn cấp cho người dùng, bấm OK.
11. Một ACE mới sẽ được tạo ra trong cửa sổ Advanced Security Settings for...
12. Bấm OK để đóng cửa sổ Advanced Security Settings.
13. Bấm OK để đóng cửa sổ Properties.
Quyền NTFS
Hầu hết các hệ điều hành Windows hiện nay đang sử dụng hệ thống quản lý tập tin NTFS thay cho FAT32. Hệ thống NTFS cung cấp cơ chế kiểm soát việc sử dụng của người dùng, trong khi hệ thống FAT32 không có.
Mỗi tập tin hoặc thư mục trong ổ đĩa logic (hoặc volume) đều có một ACL đi kèm, để kiểm soát việc sử dụng của người dùng. Mỗi ACL gồm nhiều ACE. Mỗi ACE gồm có tên người dùng hoặc nhóm người dùng, cùng với các quyền sử dụng tương ứng. Mỗi người dùng hoặc nhóm người dùng có một định danh bảo mật riêng, gọi là SID (security identifier).
Khi người dùng đăng nhập thành công vào hệ điều hành Windows, hệ thống sẽ cấp cho người dùng một thẻ bảo mật (security access token), thẻ này gồm có SID của người dùng và SID của tất cả các nhóm mà người dùng này là thành viên. Khi người dùng mở một tập tin hoặc một thư mục để sử dụng, hệ thống NTFS sẽ so sánh các SID có trong thẻ bảo mật với các SID được lưu trong các ACE, từ đó xác định được các quyền sử dụng tương ứng. Quá trình này gọi là sự cấp phép sử dụng (authorization).
Cấp quyền NTFS basic
Để kiểm soát việc truy cập và sử dụng trên máy lưu trữ dữ liệu (file server), đa số người quản trị chỉ cần sử dụng quyền basic là đủ, rất hiếm khi phải sử dụng tới quyền advanced.
Để cấp quyền basic cho một thư mục chia sẻ (hoặc thư mục không chia sẻ), mở tiện ích File Explorer (Windows Explorer trong các phiên bản trước đây) bấm chuột phải vào thư mục cần cấp quyền, chọn Properties, chọn táp Security để cấp quyền basic.
Có cách khác để cấp quyền basic cho thư mục chia sẻ là sử dụng Server Manager, sau đây là các bước thực hiện:
2. Trong khung SHARES, bấm chuột phải vào thư mục chia sẻ muốn cấp hoặc thay đổi quyền, chọn Properties để mở cửa sổ Properties.
3. Chọn Permissions để mở cửa sổ Permisions.
4. Chọn Customize Permissions… để mở cửa sổ Advanced Security Settings for…
5. Chọn táp Permissions để hiển thị nội dung của ACL.
6. Để điều chỉnh quyền, chọn người dùng, bấm Edit. Để cấp quyền mới, bấm nút Add để mở cửa sổ Permission Entry for…
7. Bấm Select A Principal để hiển thị cửa sổ Select User, Computer, Services Account, Or Group.
8. Nhập tên hoặc tìm người dùng, nhóm mà bạn muốn cấp quyền basic. Bấm OK. Người dùng hoặc nhóm sẽ xuất hiện trong cửa sổ Permission Entry for...
9. Lựa chọn loại quyền (Allow, Deny) mà bạn muốn cấp cho người dùng trong mục Type.
10. Lựa chọn thư mục con hoặc các tập tin sẽ được kế thừa quyền basic này trong mục Applies To.
11. Đánh dấu chọn vào các quyền basic mà bạn muốn cấp cho người dùng, bấm OK.
12. Một ACE mới sẽ được tạo ra trong cửa sổ Advanced Security Settings for...
13. Bấm OK để đóng cửa sổ Advanced Security Settings.
14. Bấm OK để đóng cửa sổ Properties.
Cấp quyền NTFS Advanced
Các bước để cấp quyền advanced gần giống với các bước để cấp quyền basic.
Để thực hiện cấp quyền advanced cho một tập tin, bạn chuột phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện, bấm Add hoặc Edit để mở cửa sổ Permission Entry for…, bấm vào mục Show advanced permissions, tại đây bạn có thể thay đổi trực tiếp các quyền advanced.
Bạn cũng có thể mở cửa sổ này từ Server Manager.
Kết hợp giữa quyền chia sẻ và quyền NTFS
Như đã trình bày ở phần trước, một người dùng trên mạng muốn sử dụng một thư mục chia sẻ thì họ luôn bị kiểm soát bởi hai loại quyền: quyền chia sẻ và quyền NTFS. Người dùng phải có quyền hợp lệ ở cải hai loại trên thì mới được phép sử dụng.
Hệ thống quyền chia sẻ và quyền NTFS làm việc độc lập với nhau. Do vậy, khi thực hiện cấp quyền sử dụng, người quản trị phải thực hiện cấp ở cả hai nơi.
Trong quá trình cấp quyền chia sẻ và quyền NTFS, có thể xảy ra tình trạng xung đột. Ví dụ, người dùng có thể có quyền NTFS là Modify trên một thư mục, tuy nhiên, người dùng đó lại chỉ có quyền chia sẻ là Read (không có quyền Change), khi đó người dùng chỉ được phép Read trên thư mục.
Quyền chia sẻ là hệ thống quyền đơn giản nhất của Windows, nhằm bảo vệ các tài nguyên chia sẻ. Tuy nhiên, quyền chia sẻ chỉ có ba mức độ (Read, Change, Full Control). Do vậy, khó có thể thỏa mãn được nhu cầu quản trị tập tin và thư mục trong thực tế. Trong khi đó, quyền NTFS cung cấp rất nhiều mức độ khác nhau cho người quản trị lựa chọn.
Trong thực tế, quyền chia sẻ thường được sử dụng để quản lý các tài nguyên chia sẻ trên hệ thống FAT32, vì hệ thống FAT không có cơ chế kiểm soát quyền của riêng nó.
Đối với một hệ thống được tổ chức phân quyền cẩn thận dựa trên quyền NTFS, thì quyền chia sẻ không có nhiều ý nghĩa nữa. Do vậy, bạn có thể gán quyền chia sẻ cho Everyone quyền Full control, việc kiểm soát truy cập, đảm bảo an toàn dữ liệu dựa hoàn toàn trên quyền NTFS. Vì nếu phải ngồi phân tích việc kết hợp làm sao cho hợp lý giữa quyền chia sẻ và quyền NTFS chỉ làm rắc rối thêm quá trình quản trị.
--------------------
Tham khảo (Lược dịch):
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
---------------------------
Cập nhật 2014/10/2
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (15)
Tham khảo (Lược dịch):
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
---------------------------
Cập nhật 2014/10/2
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (15)