ngừoi dung là sự kết hợp với cá nhân hoặc group mà ngừoi đó là thành viên.
-Quyền truy cập NTFS có thể được cấp cho các thư mục và tài nguyên khác trong
hệ thống mạng phân tầng.
-Quyền truy cập NTFS được ưu tiên trước các quyền truy cập khác áp cho thư mục
hay tập tin đó.

nguồn: quantrimang.com


Security tài nguyên mạng với quyền truy cập NTFS



KẾT HỢP QUYỀN TRUY CẬP DÙNG CHUNG VÀ QUYỀN TRUY CẬP
NTFS. Quyền truy cập dung chung hay còn gọi là share permissions dành cho
các volume NTFS hoạt động kết hợp với các cấp độ truy cập tập tin và thư
mục.


Chương này tôi sẽ cố gắng giải thích cách kết hợp quyền truy cập thư mục dung
chung với quyền truy cập NTFS để bảo vệ tài nguyên.
Và mục tiêu của tôi là làm sao cho các bạn sau khi đọc bài này có thể:
Hiểu sâu và mô tả được kết quả khác nhau giữa cấp độ truy cập áp dụng cho tập tin
và cấp độ truy cập cho thư mục
Hiểu và làm việc hiệu quả khi kết hợp share permissions và NTFS permissions
-Muốn cho phép ngừoi dung có thể truy cập tài nguyên qua mạng thì các thư mục
chứa tài nguyên phải được share.Khi một thư mục đã được share,bạn có thể bảo vệ
thư mục bằng cách ấn định quyền truy cập thư mục dung chung cho ngừoi sử dụng
hoặc nhóm sử dụng theo mục đích thích hợp mà bạn đề ra.
Tuy nhiên,quyền truy cập thư mục dung chung sẽ cung cấp mức độ bảo mật giới
hạn Vì sao????

Vì : Cho phép ngừoi dùng truy cập mọi thư mục và tập tin trong phạm vi thư mục
dùng chung với cùng cấp độ.
Không có hiệu lục khhi ngừoi dung ngồi ngay trước máy tính chưa tài nguyên và
tìm cách truy cập tài nguyên trên máy này.
Không thể dung để bảo vệ từng cả thể tập tin.
-Nếu thư mục dung chung thường trú trên một molume NTFS,bạn có thể dung
quyền truy cập NTFS để phong tỏa hoặc thay đồi khả nãng truy cập của ngừoi
dung đới với thư mục hoặc tập tin chứa trong hệ thống phân tầng của thư mục dung
chung.bạn sẽ có được mức độ bảo mất cao nhất bằng cách kết hợp quyền truy cập
NTFS với quyền truy cập thư mực dung chung….
Các bạn có thể đọc thêm bài viết của ViKhoa bên box Windown nói về bảo mật
thư mục nhưng với định dạng partition là FAT.

Các bạn chú ư điểm sau:Cách dễ dàng nhất để kết hợp quyền truy cập thư mục
dung chung với quyền truy cập NTFS là giữ nguyên default Full Control gán cho
nhóm Everyone,sau đó cấp quyền truy cập NTFS cho tài khoản ngừoi dung và tài
khoản Group cụ thể để truy cập thư mực và tập tin chưa trong hệ thống phân tầng
của forlder share permis.

-Khi kếthợp quyền truy cập NTFS với quyền truy cập share thì cấp độ truy cập giới
hạn nhất luôn (các bạn chú ư từ luôn) là cấp độ hiệu lực.
Ví dụ :Nếu bạn được cấp quyền truy cập với mức độ Full Control cho 1
forlder,đồng thời lại được cấp quyền truy cập NTFS ở cấp độ Read cho cùng thư
mục đó,thì mức độ hiệu lực sẽ là Read vì đây là cấp độ giới hạn nhất.

Sau đây tôi xin đưa ra ví dụ về sự kết hợp giữa quyền truy cập thư mục dung chung
và quyền truy cập NTFS.Các bạn tưởng tượng vậy nha :
Tôi là user 1 và máy tính của tôi có 1 thư mục tên thangdiablo.Và thư mục đó bị
administrator share với quyền share permis. Trong thư mục thangdiablo có 2 file A
và B.hai file này tôi gán quyền truy cập NTFS .Với file A là FC với file B là Read

Còn bạn là user2 bạn sẽ có quyền truy cập thư mục dung chung ở cấp độ readđối
với thư mục thangdiablo trên máy tính của tôi.Tất nhiên khi đó các bạn phải kết nối
qua mạng.Và quyền truy cập NTFS ở cấp độ Full Control đối với file A.
Lúc này cấp dộ hiệu lực của bạn với file A sẽ là Read,vì Read là cấp dộ truy cập
giới hạn nhất.Cấp độ truy cập hiệu lực của user 2 đối với File B là Read vì quyền
truy cập NTFS ở cấp độ Read cũng có hạn chế với cấp độ Read của quyền truy cập
thư mục dung chung.
Và khi tôi sử dụng máy tính của mình.Tôi không bị quyền quyền truy cập thư mục
dung chung giới hạn khả nãng truy cập thư mục thangdiablo.Tuy nhiên tôi có
quyền truy cập File A ở cấp độ Full Control và quyền truy cập File B ở cấp độ
Read,bới vì đây là cấp độ thuộc quyền truy cập NTFS.
Nếu tôi kết nối thư mục dung chung thangdiablo, tôi sẽ có quyền truy cập thư mục
này ở cấp độ Read hệt như bạn.

Tóm lại cái chương này cần có những điểm chú ư sau:
1. Bạn sẽ có được mức độ bảo mất cao nhất khi kết hợp NTFS permis với share
permis.
2. Cách dễ dàng nhất để kết hợp lại đó là giữ nguyên chế độ mặc định Full
ConTrol của nhóm Everyone sau đó cấp quyền NTFS cho tài khoản cá nhân
hoặc cho nhóm cụ thể đối với từng thư mục và tập tin chưa trong hệ thống
phân tầng của thư mục dung chung.
3. Cấp độ truy cập giới hạn nhất luôn luôn là cấp độ hiệu lực khi có sự kết hợp
giữa 2 thứ này.

nguồn: quantrimang.com


Security tài nguyên mạng với quyền truy cập NTFS



Chương III

NGUYÊN TẮC KHI ÁP DỤNG QUYỀN TRUY CẬP NTFS

Trước khi bắt đầu chỉ định cấp độ truy cập NTFS đối với thư mục và tập
tin,tốt nhất bạn nên xác định đâu là những cấp độ truy cập cần thiết và nên
cấp chúng cho ai.Tôi sẽ trình bày những nguyên tắc bạn phải cố gắng tuân
thủ khi quyết định sử dụng quyền NTFS này.
Và cũng như 2 chương trước.Mục tiêu của tôi khi viết chương này là giúp bạn
có thể:

-Hoạch định một cách rơ rang những cấp độ truy cập mà bạn gán cho cá nhân hoặc
cho group đới với chương trình,dữ liệu mạng,và thư mục cá nhân.
-Khi đọc xong các bạn sẽ nắm vững các tác vụ cần thiết khi thi hành để tạo thư
mục cá nhân trên volume NTFS.

I.Nguyên Tắc Hoạch Định Thư Mục Chương Trình
-Dưới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ truy cập
NTFS cho thư mục.
1.Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và
đem cấp cho nhóm Administrators.
2.Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp
cho những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm.
3.Nếu các chương trình mạng thường trú dùng chung,hãy cấp quyền truy cập ở cấp
độ Read cho nhóm Users.

II.Nguyên Tắc Hoạch Định Thư Mục Dữ Liệu
Và đây là 2 nguyên tắc chung khi chỉ định quyền truy cập NTFS cho thư mục và
dữ liệu:
1.Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone và

đem cấp cho nhóm Administrator
2.Chỉ Định cấp độ truy cập Add&Read cho nhóm Users cà cấp độ FC cho nhóm
Creator Owner.Việc làm này sẽ cung cấp cho ngừoi dùng đãng nhập cục bộ khả
nãng hủy bỏ và sửa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo ra
trên máy tính nơi họ đãng nhập.

III.Nguyên Tắc Hoạch Định Thư Mục Cá Nhân
Cuối cùng là nguyên tắc áp dụng khi bạn chỉ định các cấp độ truy cập NTFS cho
thư mục cá nhân.:
1.Tập chung mọi thư mục cá nhân trên 1 Volume NTFS (Trên 1 server nào
đó)riêng biệt với Volume chứa hệ điều hành và các chương trình,nhằm hợp lí hóa
công tác quản trị và sao lưu dữ liệu.Thường thì cái gì cũng vậy.Nếu chung ta gọn
gang thì sẽ rất dễ cho công việc sau này.
2.Dùng biến %Usersname% để tự động gán tên tài khoản của ngừoi dùng cho thư
mục và tự động chỉ định quyền truy cập NTFS ở cấp độ FC cho ngừoi tương ứng.

IV.Tạo Thư Mục Cá Nhân (Home Folder) Trên Volume NTFS
Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn,đó là bạn có
thể tổ chức chúng thành hệ thống phân tầng và giới hạn khả nãng truy cập ở những
ngừoi dùng tương ứng mà không cần chia sẻ từng thư mục.

Các bạn làm theo các bước sau để tạo thư mục cá nhân trên Volume NTFS:

1.Tạo thư mục có tên Users trên một Volume riêng biệt với Volume chứa hệ điều
hành…Cái này tôi nói ở trên giờ nhắc lại 1 chút.làm thế,thư mục cá nhân sẽ được
bảo toàn nếu xảy ra sự cố đòi hỏi phải định dạng lại volume chưa hệ điều hành.
2.Chia sẻ thư mục Users nhằm cung cấp một điểm truy cập đơn lẻ cho ngừoi dùng
mạng và điểm quản trị đơn lẻ cho nhà quản trị.
3.Nhớ bỏ chế độ mặc định FC từ Everyone và cấp quyền truy cập thư mục dùng
chung (share Permis) ở cấp độ FC cho nhóm Users.

4.Dùng biến %Username% để tự động gán tên tài khoản của ngừoi dùng cho thư
mục cá nhân của ngừoi này.Biến %Username% còn có thể tự động chỉ quyền truy
cập NTFS ở cấp độ FC cho ngừoi dùng tương ứng (Trên FAT,thư mục cá nhân chỉ
có thể được hạn chế truy cập thông qua quyền truy cập thư mục dùng chung).
a.Trong UserManager for Domains,bạn tạo 1 tài khoản ngừoi dùng mới hoặc
double Click và tài khoản sẵn có.
b.Trong hộp thoại Newuser hoặc User Properties,click vào Profile,sau đó gơ \\PC
name\Users\%Username% vào hộp thoại Home Directory To.

Là 1 administrator kinh nghiệm bạn nên:
Yêu cầu User của mình lưu trữ dữ liệu mạng và dữ liệu cá nhân vào thư mục cá
nhân của họ.Nếu thư mục cá nhân của họ được chuyển từ server này sang server
khác thì chỉ cần chuyển đường dẫn là xong.

Tóm lại cả chương này tôi muốn nói với các bạn những điểm sau:

1. Phải xác định cần cấp quyền truy cập ở những cấp độ nào và cấp cho ai
trước khi bắt tay vào chỉ định quyền truy cập NTFS đối với forlder và file.
2. Đối vơi thư mục chương trình,hãy cấp quyền truy cập ở cấp độ FC cho
nhóm Administrator và cho nhóm chịu trách nhiệm nâng cấp hoặc xử lí
phần mềm.Cấp quyền truy cập Read cho nhóm Users.
3. Đối với thư mục dữ liệu,chỉ cấp quyền truy cập ở mức độ FC cho riêng
nhóm administrator.Cấp cho nhóm Users quyền truy cập ở cấp độ Add và
Read,ấn định quyền truy cập Creator Owner.Những việc làm trên của bạn
cho phép ngừoi dùng có khả nãng hủy bỏ và hiệu chỉnh những thư mục và
tập tin do họ tạo hoặc sao chép mà ra.
4. Dùng biến %Username% để tự động gán tên tài khoản của ngừoi dùng làm
tên cho thư mục cá nhân cả ngừoi này,và để tự đông ấn định quyền truy cập
NTFS ở cấp độ FC cho ngườii dùng tương ứng.


nguồn: quantrimang.com