Tải bản đầy đủ (.doc) (16 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Hệ điều hành

CHƯƠNG 3 QUẢN LÝ TÀI NGUYÊN FILE VÀ THƯ MỤC potx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (226.23 KB, 16 trang )

Chơng 3

Quản lý tài nguyên file và th mục
3.1. Các hệ thống file của Windows 2000
Windows 2000 hỗ trợ ba hƯ thèng file lµ FAT (File Alocation Table),
NTFS (New Technology File System) vµ EFS (Encrypting File System).
FAT: Lµ mét hƯ thống lu trữ file cơ bản nhất. Ưu điểm của hệ thống này
là hỗ trợ rất rộng các ứng dụng, nhng tính bảo mật thấp.
NTFS: Là hệ thống phân hoạch file tiên tiến, Hệ thống phân hoạch này
có lợi thế là bảo mật đợc ở mức file và phân chia lµm nhiỊu møc cho phÐp truy
cËp vµo th mơc vµ file.
EFS: Là hệ thống bảo đảm sự bảo mật tối đa cho ngời sở hữu file bằng
cách mà hoá các file.
3.2. Chế độ bảo mật của NTFS
3.2.1. Một số khái niƯm
Qun truy cËp (Permission): ChØ møc ®é ngêi sư dơng có thể truy cập
vào một file hoặc một th mục. Trên hệ thống NTFS có rất nhiều quyền truy
cập đáp ứng đợc nh cầu bảo mật dữ liệu đa dạng. Có hai loại quyền truy cập
vào tài nguyên file và th mục là: quyền truy cập chia sẻ (share permission) vµ
qun truy cËp file vµ th mơc (file and directorry permission). Sau đây để cho
ngắn gọn và dễ phân biệt, ta sẽ gọi quyền truy cập chia sẻ là quyền truy cËp tõ
xa, gäi qun truy cËp file vµ th mục là quyền truy cập cục bộ.
Quyền sở hữu (Ownership): Một ngời sử dụng có quyền sở hữu đối với
một file hoặc th mục nào đó sẽ có thể cấp cho mình toàn quyền sử dụng file
hoặc th mục này, ®ång thêi cßn cã thĨ cÊp qun truy cËp file hoặc th mục này
cho các đối tợng khác. Khi một ngời sử dụng tạo ra một file hoặc th mục mới
thì quyền sở hữu file hoặc th mục này sẽ thuộc về họ. Mỗi một file hoặc th
mục chỉ có duy nhất một đối tợng có quyền sở hữu.
3.2.2. Quyền truy cËp tõ xa
Trong hƯ thèng m¹ng Windows 2000, mét th mục (kể cả ổ đĩa) bất kỳ
của máy tính nào muốn trở thành tài nguyên chung (cho những ngời ở máy


tính khác cùng sử dụng) đều phải tiến hành thao tác chia sẻ. Khi ta tiến hành
chia sẻ một th mục của một máy tính nào đó, tức là đà đa th mục đó ra cho
mọi ngời trên các máy tính khác cùng truy cập. Tuy nhiên mức độ cho ngời
khác truy cập đến đâu là do ngời chia sẽ quy định thông qua các quyền truy
cập từ xa. Nh vËy quyÒn truy cËp tõ xa cho phÐp ngêi sử dụng từ những máy
tính khác trong mạng, đợc truy nhập vào hệ thống th mục của một máy tính có
th mục chia sẻ.
Quyền truy cập từ xa là hàng rào cản đầu tiên (từ xa) mà ngời sử dụng
cần vợt qua khi truy nhập vào hệ thống file và th mục trên mạng. Có thể ví
chúng nh cái núm gạt chống ghi trên một đĩa mềm. Cho dù ta cã thĨ xo¸, sưa

51


đối với tất cả các file và th mục trên đĩa mềm, nhng chỉ cần cái núm gạt ấy ở
đúng vị trí là ta không thể thay đổi đợc thứ gì.
Windows 2000 chỉ cho phép chia sẻ các th mục, mà không chia sẻ đợc
các file. Do vậy quyền truy cËp tõ xa chØ ¸p dơng víi th mơc. C¸c qun truy
cËp tõ xa gåm:
Full Control: Cho phÐp thùc hiƯn tất cả mọi công việc trên tất cả các file
và th mơc con trong th mơc chia sỴ.
Change: Cho phÐp đọc và thi hành, cũng nh thay đổi và xoá, các file và
th mục trong th mục chia sẻ.
Read: Cho phép đọc và thi hành các file, xem nội dung th mục chia sẻ,
không có khả năng sửa đổi hoặc xoá bất kỳ thứ gì trong th mục chia sẻ.
3.2.3. Quyền truy cập cục bộ
Nh trên ta thấy các quyền truy cập từ xa chỉ đợc phân thành ba mức và
cũng chỉ áp dụng đợc cho th mục. Bởi vậy không đáp ứng đợc nhu cầu bảo
mật dữ liệu đa dạng trên mạng, vì có rất nhiều loại đối tợng sử dụng khác
nhau trên mạng, đòi hỏi các quyền trên cần đợc chia nhỏ tiếp và phải đợc áp

dụng chi tiết đến mức file. Sự có mặt của quyền truy cập cục bộ chính là nhằm
đáp ứng yêu cầu trên.
Quyền truy cập cục bộ đợc xem nh những quyền truy cập trực tiếp (rào
cản trực tiếp) mà ngời dùng phải qua khi truy nhËp vµo hƯ thèng file vµ th mục
trên ổ đĩa cục bộ của máy tính, nh hình ảnh minh hoạ sau:
Đăng nhập từ máy tính này

Users

Users

Rào cản quyền từ xa
Rào cản quyền cục bộ

Đăng nhập từ máy tính khác

Máy có th mục chia sẻ

Chính vì vậy, tại máy tính có th mục chia sẻ, nếu ngời dùng truy cập vào
th mục chia sẻ này nh một tài nguyên cục bộ của máy, thì quyền truy cập từ xa
sẽ không đợc áp dụng, tức là lúc đó chỉ có các quyền truy cập cục bộ là có
hiệu lực.
Đối với các th mục và file, có hai mức quyền truy cập khác nhau, có thể
tạm gọi là quyền truy cËp møc cao vµ qun truy cËp møc thÊp, trong đó
quyền truy cập mức cao là tổ hợp của những quyền truy cập mức thấp. Bảng
3.1 trình bày cách kết hợp của các quyền truy cập mức cao từ các quyền truy
cập mức thấp.
Bảng 3.1. Các quyền truy cập mức cao vµ qun truy cËp møc thÊp
Møc cao Write Read List Folder Read & Modify
Full

Møc thÊp
Contents Execute
Control
Traverse folder/Execute File
×
×
×
×
List Folder/Read Data
×
×
×
×
×

52


Read Attributes

×

×

×

×

×


Read Extended Attributes

×

×

×

×

×

Create Files/Write Data

×

×

×

Create Folders/Append Data

×

×

×

Write Attributes
Write Extended Attributes

Delete Subfolders and Files
Delete
Read Permissions
Change Permissions
Take Ownership

ì
ì

ì
ì

ì

ì
ì

ì
ì
ì
ì
ì
ì
ì

ì

ì

ì


Những qui luật hình thành các quyền truy cập mức cao trong bảng trên đợc áp dụng cho cả file và th mục, chỉ trừ List Folder Contents, vì quyền truy
cập này chỉ áp dơng cho th mơc.
Nh÷ng qun truy cËp møc thÊp cã d¹ng chän mét trong hai nh: Traverse
folder/Execute File, List Filder/Read Data, Create Files/Write Data và Create
Folders/Append Data, thì quyền đầu đợc áp dụng cho th mục, quyền sau đợc
áp dụng cho file.
Các quyền truy cập ở mức thấp là cơ sở để tạo nên các quyền truy cập ở
mức cao mµ chóng ta thêng thÊy nh: Read, Modify vµ Full Control … ý nghÜa
cđa c¸c qun truy cËp møc thÊp nh sau:
Traverse folder/Execute File: Traverse folder (nghĩa là đi qua th mục)
chỉ áp dụng với các th mục. Có những lúc ta thực hiện các file chơng trình nào
đó có gọi đến các file khác trong các th mục khác. Ví dụ, ta thực hiện một file
chơng trình Program1.exe, trong th mục APP1 (nh hình 3.1). Giả sử file chơng
trình đó lại cố gắng gọi đến một file khác trong một th mục nằm sâu hơn một
cấp bên dới APP1 (giả sử đó là file Data.dat trong th mục App111), trong khi
ta lại không đợc phép truy cập các th mục cấp một bên dới App1 (là App11).
Khi đó ta sẽ nhận đợc một thông báo lỗi Access denied (từ chối truy cập), vì
Windows 2000 không cho phép đi qua một th mục không đợc phép truy cập.
Nhng chỉ cần có quyền Traverse folder đối với các th mục ở mức trên (là
App11), thì ta sẽ đi qua đợc các th mục trung gian để đến đích (là App111).
App1
Program.exe
App11
App111
Data.dat
Hình 3.1. Minh hoạ cho quyền truy cập Traverse folder

Còn với Execute File, thì chỉ áp dụng với các file, và nếu file có đuôi
là .EXE, .COM, hoặc một kiểu file khả thi khác, thì quyền này cho ta thi hành

đợc file ®ã.
List Folder/Read Data: List Folder cho phÐp xem néi dung cđa th mơc,
cßn Read Data cho phÐp xem néi dung của file.
Read Attributes: Cho phép nhìn thấy các thuộc tính cơ bản của file
gồm: Read Only, Hidden, System và Archive.
53


Read Extended Attributes: Một số chơng trình có gộp các thuộc tính
khác vào kiểu file của chúng. Ví dụ Microsoft Word có gắn thêm vào file
.DOC các thuộc tính nh: Author, Subject, Title, ... Các thuộc tính này đợc gọi
là thuộc tính mở rộng (extended attributes), và chúng thay đổi từ chơng trình
này sang chơng trình khác. Quyền truy cập mức thấp này cho phép ta xem đợc
các thuộc tính mở rộng đó.
Create Files/Write Data: Create Files cho phép đặt các file mới vào th
mục đang xét (nghĩa là có thể tạo ra hoặc sao chép, di chuyển từ nơi khác
đến). Write Data thì cho phép ghi đè lên (sửa) những dữ liệu hiện có bên trong
file, nhng không cho bổ sung thêm dữ liệu vào file.
Create Folders/Append Data: Create Folders cho phép tạo ra các th
mục con trong th mục đang xét. còn Append Data cho phép bổ sung thêm dữ
liệu vào cuối file đang xét, nh không cho sửa những dữ liệu đà có của file đó.
Write Attributes: Cho phép thay đổi các thuộc tính cơ bản của một file.
Write Extended Attributes: Cho phép thay đổi các thuộc tÝnh më réng
cña mét file.
Delete Subfolders and Files: Cho phÐp xoá các th mục con và các file
của th mục đang xét, nhng không xoá đợc chính th mục này.
Delete: Cho phép xoá một file hoặc th mục, nếu là th mục thì chỉ xoá đợc
khi nó đà rỗng.
Read Permissions: Cho phép xem tất cả các quyền truy cập vào file
hoặc th mục đà đợc trao cho các đối tợng, nhng không thể thay đổi đợc các

quyền đà trao này.
Change Permissions: Cho phép thay đổi các quyền truy cập vào file
hoặc th mục cho các đối tợng.
Take Ownership: Cho phép chiếm lấy quyền sở hữu file hoặc th mục.
3.3. Cách chia sẻ th mục và trao quyền truy cập từ xa,
định nghĩa ổ đĩa mạng
3.3.1. Cách chia sẻ th mục và trao quyền truy cập từ xa
Muốn tạo ra một th mục dùng chung (chia sẻ th mục), thì ta phải có
những quyền thích hợp. Điều này đòi hỏi ta phải là một quản trị viên (là thành
viên nhóm administrators) hoặc một điều hành viên server (server operators).
Có nhiều cách để tạo ra các th mục dùng chung, nhng nếu ngồi tại máy
có th mục cần tạo, thì giao diện Explorer hoặc My Computer là những phơng
tiên đơn giản và trực tiếp để tạo ra và quản lý các đặc tÝnh cđa mét th mơc
dïng chung.
Tõ Explorer hc My Computer, ta nhấn phải chuột tại th mục cần chia
sẻ (ví dụ th mục TP7, chọn Sharing từ menu ngữ cảnh, ®Ĩ hiƯn ra cưa sỉ nh
h×nh 3.2. Sau ®ã ®Ĩ chia sỴ ta chän Share this folder.
Mơc chän Share name để gõ vào tên chia sẻ. Tên chia sẻ giống nh một
bí danh của th mục đợc chia sẻ. Ban đầu tên này đợc đặt mặc định chính là tên
của th mục đợc chia sẻ, nhng ta có thể đổi lại thành một tên bất kỳ. Những ng54


ời sử dụng trên mạng sẽ dùng tên chia sẻ để tham chiếu đến th mục dùng
chung, mà không cần biết tên thực sự của nó.
Mục User limit dùng để giới hạn số ngời dùng có thể đồng thời truy cËp
vµo th mơc dïng chung nµy: NÕu chän Maximum allowed thì số ngời dùng
đồng thời là không hạn chế. Còn nếu muốn chỉ một số nhất định ngời dùng
(ví dụ 100 ngời) đợc phép đồng thời truy cập, thì ta chọn Allow và gõ vào số
ngời tại đó.
Để thiết lập chế độ bảo mật cho th mục chia sẻ ta chän nót Permissions,

cưa sỉ nh h×nh 3.3 sÏ hiƯn ra cho thấy đà có nhóm Everyone trong khung
Name đợc trao mặc định tất cả các quyền truy cập từ xa ®èi víi th mơc nµy.
NÕu mn trao qun truy cËp từ xa th mục này cho những ngời sử dụng hoặc
các nhóm khác thì ta nhấn nút Add, và tiến hành chọn các đối tợng mong
muốn từ danh sách đợc hiện ra.

Hình 3.2. Cửa sổ thay đổi các đặc tính cđa th mơc dïng chung

55


H×nh 3.3. Cưa sỉ trao qun truy cËp tõ xa của th mục cho các đối tợng

Nếu không muốn trao quyền truy cập từ xa cho một đối tợng (ngời sử
dụng hoặc nhóm) nào thì ta chọn đối tợng đó tõ khung Name råi nhÊn
Remove.
NÕu mn sưa l¹i qun truy cập của một đối tợng nào đó, ta chọn đối tợng đó, rồi duyệt / bỏ duyệt vào ô Allow tại quyền cần trao / không trao. Nếu
muốn cấm tờng minh một đối tợng không đợc nhận quyền nào đó, thì ta duyệt
vào ô Deny của quyền đó. Để ngăn cấm không tờng minh một quyền nào đó,
thì ta không duyệt ở cả hai ô Allow và Deny.
Kết thúc mục này nhấn OK để trở về cửa sổ hình 3.2.
Tại cửa sổ hình 3.2 ta thấy có một tính năng mới khác với NT4, đó là nút
Caching (nghĩa là đệm trữ chia sẻ). Nút chọn này sử dụng tính năng Offline
Files (file ngoại tuyến) làm cho việc truy cập file từ xa đợc nhanh hơn.
Offline Files hoạt động bằng cách tự động đệm trữ (cache) các file thờng
đợc truy cập từ xa, lu những bản sao đệm trữ (cached copy) đó trong một th
mục (gọi là cache) trên một ổ đĩa cứng của mỗi máy trạm có sự truy cập tõ xa
®Õn th mơc dïng chung ®ang xÐt. Sau ®ã Offline Files dùng các bản sao đệm
trữ đó để tăng tốc độ truy cập, vì việc truy cập đến những file thờng đợc truy
cập ấy không phải là từ xa nữa, mà đợc giải quyết ngay trên bản sao đệm trữ

trong cache tại chính máy trạm. Tuy nhiên trớc hết Offline Files phải kiểm tra
cho chắc chắn rằng file đó đà bị thay đổi tại th mục dùng chung hay cha, bằng
cách xem xét ngày giờ và kích thớc file trên cả th mục dùng chung và trong
cache của máy trạm; nếu thấy giống nhau thì Offline Files sẽ trao cho ta file
trong cache; nếu không phải nh vậy (hai bản đó có sự khác nhau), thì Offline
Files sẽ đọc bản ở mạng (th mục dùng chung) về, đa vào cache để máy trạm
có đợc bản cập nhật mới nhất.
Offline Files là một cơ chế đệm trữ write-through, nghĩa là khi ta lu
những thay đổi của một file, thì những thay đổi đó luôn luôn đợc ghi ngay lên
mạng (chứ không ghi tạm vào cache rồi một lúc nào đó sau đó mới thực sự ghi
lên mạng nh loại cache write-back), và những thay đổi đó cũng đợc đệm trữ
vào ổ đĩa cứng tại chỗ luôn.
Khi chọn Caching, cửa sổ nh hình 3.4 hiện ra, và ta thấy ô duyệt Allow
caching of files in this shared folder đợc chọn mặc định, nghĩa là có sử dụng
tính năng đệm trữ các file trong th mục chia sẻ.
Tại mục Setting cho phép ta chọn một trong ba kiểu đệm trữ sau:
56


Manual Caching for Documents: Gọi là đệm trữ thủ công (đợc chọn
mặc định). Kiểu đệm trữ này có nghĩa là không đệm trữ tất cả các file trong
th mục chia sẻ, mà chỉ đệm trữ những file cần thiết do ngời dùng chỉ ra. Mục
đích là để tiếp kiệm không gian đĩa cứng trên máy trạm, và giảm các thao tác
đồng bộ dữ liệu trên mạng giữa bản gốc (trong th mục chia sẻ) và bản sao đệm
trữ (trong đĩa cứng của các máy trạm khác).
Hai kiểu thiết định sau lµ Automatic Caching for Documents vµ
Automatic Caching for Programs, gäi là đệm trữ tự động. Khi đó mọi file
trong th mục chia sẻ khi đợc mở đều sẽ đợc tự động đệm trữ. Sự khác nhau
duy nhất giữa hai kiểu đệm trữ tự động này là ở chỗ các file chơng trình trong
đệm trữ Automatic Caching for Programs khi đợc gọi thực hiện sẽ không cần

kiểm tra xem nó có đợc cập nhật gần đây nhất hay không. Mục đích thiết định
này là để việc gọi thực hiện chơng trình đợc nhanh hơn vì không cần thực hiện
thủ tục kiểm tra tính đồng bộ trên mạng (thờng mất một số thời gian), trong
khi các file chơng trình lại ít khi có sửa đổi.

Hình 3.4. Cửa sổ đặt thiết định đệm trữ cho th mục chia sẻ

Kết thúc mục này nhấn OK để trở về cửa sổ hình 3.2, tại đó nhấn tiếp OK
để kết thúc quá trình chia sẻ.
Chú ý: Ta có thể tiến hành chia sẻ nhiều lần một th mục, mỗi lần với một
tên chia sẻ khác nhau. Tại những lần chia sẻ sau, trên cửa sổ hình 3.2 sẽ có
thêm mục New Share để chọn tên chia sẻ và những thiết định bảo mật mới.
Cửa sổ hình 3.2 cũng để sửa lại các thiết định bảo mật cho một tên chia
sẻ đà tạo, hoặc bỏ một tên chia sẻ đà tạo của một th mục dùng chung. Khi đó
tên chia sẻ đợc chọn từ mục Share name, các thao tác chỉnh sửa thiết định bảo
mật đợc tiến hành nh khi đang chia sẻ, còn nếu muốn bỏ tên chia sẻ đang
chọn thì ta chọn mục Remove Share. Nếu muốn bỏ tất cả các tên chia chia sẻ
đà có (không chia sẻ nữa) thì chọn mục Do not share this folder.
3.3.2. Định nghĩa ổ đĩa mạng
57


Khi một máy chia sẻ một th mục, thì các máy khác sẽ nhìn thấy và truy
cập qua tên chia sẻ. Tuy nhiên tại các máy khác này ta có thể gắn cho mỗi tên
tên chia sẻ một ký tự ổ đĩa (nh là một bí danh của tên chia sẻ), và ổ đĩa này đợc gọi là ổ đĩa mạng (để phân biệt với ổ đĩa cục bộ đợc gắn với máy tính). ổ
đĩa mạng sẽ đợc hiện trong mục My computer.
Tất cả các chữ cái từ A Z mà cha dùng đến đều có thể dùng để đặt tên
ổ đĩa mạng.
Muốn định nghĩa một ổ đĩa mạng ta phải truy nhập vào tài nguyên mạng
để tìm một tên chia sẻ, bằng cách từ giao diện Explorer, lần lợt chọn My

Network Places/Entire Network/Microsoft Windows Network/Nhóm máy(ví
dụ Khoatin)/Máy cần truy nhập (ví dụ May1). Nh hình 3.5 ta đà truy nhập vào
máy tính có tên May1, và nhìn thấy các tài nguyên mà máy này đà chia sẻ để
dùng chung trên mạng, trong đó có th mục Documents. Nếu muốn gắn một ổ
đĩa mạng cho th mục này, ta nhấn nút chuột phải tại nó, rồi chọn mục Map
Network Drive từ menu ngữ cảnh để hiện ra cửa sổ nh hình 3.6.

Hình 3.5. Dùng giao diện Explorer để truy nhập tài nguyên mạng

58


Hình 3.6. Cửa sổ định nghĩa ổ đĩa mạng

Tiếp theo ta chọn ký tự làm ổ đĩa mạng tại mục Drive. Ô duyệt
Reconnect at logon đợc chọn mặc định có nghĩa là, ổ đĩa mạng này sẽ đợc
dùng lại tại những lần đăng nhập vào mạng sau này. Còn nếu bỏ ô duyệt tại
đây, thì ổ đĩa mạng này sẽ không còn hiệu lực tại lần đăng nhập kế tiếp. Kết
thúc việc định nghĩa ta nhấn nút Finish.
Để xem các ổ đĩa mạng đà định nghĩa, ta vào mục My compter cũng
trong giao diện Explorer, trong đó những ổ đĩa mạng sẽ có thêm biểu tợng
ở đầu để phân biệt với các ổ đĩa cục bộ, nh hình 3.7 ta thấy có ba ổ đĩa mạng
là F, G và M. Tại đây nếu muốn bỏ (không định nghĩa) ổ đĩa mạng nào thì
nhấn nút phải chuột tại nó, rồi chọn Disconnect từ menu ngữ cảnh.

Hình 3.6. Xem các ổ đĩa mạng

3.4. Cách trao quyền truy cập cục bộ
59



Mỗi file hay th mục trong hệ thống NTFS đều có một thuộc tính gọi là
Owner, để chứa chủ nhân hay ngời sở hữu của nó. Luôn có một chủ nhân nào
đó cho mỗi file hay th mục. Chủ nhân của một file hay th mục thì có quyền sở
hữu (ownership) file hay th mục đó. Quyền sở hữu hoàn toàn tách biệt với các
quyền truy cập, và phải có quyền sở hữu một file hay th mục thì ta míi cã thĨ
trao qun truy cËp file hay th mơc (quyền truy cập cục bộ) cho các nhóm và
ngời sử dụng khác.
Nh vậy kể cả ngời quản trị Administrator, nếu không phải là chủ sở hữu
của một file hay th mục thì cũng không thể trao quyền truy cập cục bộ cho các
đối tợng khác. Nhng ngời quản trị Administrator và nhóm quản trị
Administrators lại có một khả năng đặc biệt là có thể chiếm quyền sở hữu của
bất kỳ file hay th mục nào, cho dù họ không có bất kỳ quyền truy cập nào đối
với các file hay th mục này.
Khi một ngời sử dụng tạo ra một file hay th mục, thì họ sẽ mặc định là
chủ sở hữu của file hay th mục này. Với những file hay th mục mà không có ai
là ngời rõ ràng tạo ra (nh các file và các th mục hệ thống) thì quyền sở hữu
của chúng đợc giao cho nhóm quản trị Administrators.
Khi đà là chủ nhân của một file hay th mục, nếu muốn thiết định hoặc
sửa thiết định chế độ bảo mật cho nó (trao quyền truy cập cục bộ), thì ta nhấn
nút phải chuột tại file hay th mục đó từ giao diện Explorer hoặc My
Documents, chọn Properties từ menu ngữ cảnh, rồi chọn trang Security, để
hiện ra cửa sổ nh hình 3.8. Trên đó ta thÊy cã tuú chän Allow inheritable
permissions from parent to propagate to this object và đợc chọn duyệt mặc
định. Tuỳ chọn này xuất hiện nếu th mục hoặc file đang xét đang nằm trong
th mục mẹ nào đó ở mức trên. Và ý nghĩa của tuỳ chọn này là thừa hởng
những thiết định bảo mật đà có từ th mục mẹ. Nh trong hình 3.8, tất cả các
quyền truy cập mà nhóm Everyone có đợc đều là những quyền thừa hởng từ
th mục mẹ. Nếu không muốn thừa hởng những thiết định đà có từ th mục mẹ
thì ta bỏ ô duyệt của tuỳ chọn trên. Khi đó sẽ hiện ra cửa sổ nh hình 3.9 để ta

chọn một trong những khả năng sau: nếu ta muốn bắt đầu bằng cách lấy các
thiết định đà thừa hởng làm cơ sở thì chọn Copy. Khi đó nhóm Everyone vẫn
có đầy đủ các quyền nh cũ nhng sẽ đợc coi là quyền đặt trực tiếp mà không
phải là quyền thừa hởng; nếu muốn bắt đầu từ đầu (bỏ hết các quyền thừa hởng) thì chọn Remove. Khi đó nhóm Everyone sẽ không còn một quyền nào
và cũng bị loại luôn ra khỏi khung Name; nếu lại muốn thừa hởng những thiết
định đà có th× chän Cancel.

60


H×nh 3.8. Cưa sỉ trao qun truy cËp cơc bé cho các đối tợng

Hình 3.9. Những lựa chọn trớc khi ngăn không cho thừa hởng những thiết định đà có

Tại cưa sỉ h×nh 3.8, nÕu mn trao qun truy cËp cục bộ cho các ngời
sử dụng hoặc nhóm khác thì nhấn nút Add, và chọn những đối tợng mong
muốn từ danh sách hiện ra.
Nếu không muốn trao quyền truy cập cục bộ cho một đối tợng nào đó thì
ta chọn ®èi tỵng ®ã tõ khung Name råi nhÊn Remove.
NÕu mn sửa lại quyền truy cập của một đối tợng nào ®ã, ta chän ®èi tỵng ®ã, råi dut / bá duyệt vào ô Allow tại quyền cần trao / không trao. Nếu
muốn ngăn cấm tờng minh một đối tợng không đợc nhận quyền nào đó, thì ta
duyệt vào ô Deny của quyền đó. Để ngăn cấm không tờng minh một quyền
nào đó, thì ta không duyệt ở cả hai ô Allow vµ Deny
61


Đến đây ta có thể nhấn nút OK để kết thúc quá trình thiết định chết độ
bảo mật cho file hoặc th mục. Tuy nhiên ta thấy các quyền đợc đặt ở trên là
các quyền truy cập mức cao (luôn là tổ hợp của các quyền truy cập mức thấp).
Nếu muốn thiết định tới tận các quyền truy cập mức thấp và cũng để chọn một

số thiết định khác, thì ta nhÊn nót Advance ®Ĩ hiƯn ra cưa sỉ nh hình 3.10.
Một số thông tin đợc trình bày ở cửa sỉ nµy cịng gièng vµ cã ý nghÜa nh cưa
sỉ trong hình 3.8, có chỗ đợc đổi lại từ ngữ một chút. Chẳng hạn khung Name
và Permissions bây giờ gộp thành Permission Entries để cho ta thấy các
nhóm và ngời dùng đợc chọn, kèm theo những lời mô tả về các quyền truy cập
mà họ vừa đợc cấp.
ở đây ta thấy có thêm ô duyệt mới là Reset permissions on all child
objects and enable propagation of inheritable permissions. Ô duyệt này
chỉ xuất hiện khi ta tiến hành thiết định chế độ bảo mật cho th mục, và khi nó
đợc chọn thì có nghĩa là các thiết định bảo mật của th mục này sẽ đợc phân bổ
cho các file và c¸c th mơc con cđa nã b»ng c¸ch tù chän « duyÖt Allow
inheritable permissions from parent to propagate to this object của mỗi
file và các th mục con trong nó.

Hình 3.10. Cửa sổ đặt những thiết định truy cập cao cÊp

NÕu mn trao c¸c qun truy cËp møc thÊp cho một đối tợng nào đó, thì
ta chọn nó trong khung Permission Entries, råi nhÊn nót View/Edit. Khi ®ã
ta sÏ cã đợc những chọn lựa nh hình 3.11. Từ đây ta cũng có thêm nhiều cách
lựa chọn tổ hợp của các qun truy cËp møc thÊp nµy. Mơc Apply onto cho
phÐp ta phân bổ các quyền truy cập này cho một sự kết hợp nào đó của: th
62


mục hiện tại, các th mục con và các file của th mục hiện tại. Tuy nhiên nếu
muốn phân bổ đến các th mục con và các file của th mục hiện tại thì ta phải
thêm chọn duyệt ô Apply these permissions to objects and/or containers
within this container only.

H×nh 3.11. Cưa sỉ trao qun truy cËp møc thÊp


§Ĩ kÕt thóc ta nhấn nút OK tại các cửa sổ.
Chú ý: Các qun truy cËp tõ xa cã thĨ ¸p dơng cho cả hệ thống FAT và
NTFS, trong khi các quyền truy cập cục bộ chỉ đợc áp dụng cho hệ thống
NTFS.
3.5. lấy quyền sở hữu
Trong quá trình phân bổ và thu hồi các quyền truy cập, có thể chúng ta sẽ
gặp trờng hợp là không một ai, kể cả ngời quản trị mạng có thể truy cập đợc
vào một file hoặc một th mục xác định, đồng thời cũng không thể thay đổi đợc
quyền truy cập vào file hoặc th mục đó. Đó là do ngời sở hữu file hoặc th mục
đó đà bị xoá. Vậy thì tình huống này sẽ đợc giải quyết nh thế nào?
Trong mục 3.2.1, khi nói về quyền sở hữu ta đà biết là khi một ngời sử
dụng tạo ra một file hoặc th mục mới thì quyền sở hữu file hoặc th mục này sẽ
thuộc về họ. Và khi một ngời sử dụng đà có quyền sở hữu đối với một file
hoặc th mục nào đó sẽ có thể cấp cho mình toàn quyền sử dụng file hoặc th
mục này, đồng thời còn có thể cấp quyền truy cập file hoặc th mục này cho
các đối tợng khác.
63


Nh vậy để giải quyết tình huống này thì trớc hết ta phải chiếm lấy quyền
sở hữu file hoặc th mục này. Trong mục 3.2.3 ta thấy nếu đối tợng nào có
quyền Take Ownership đối với một file hoặc th mục thì đều có thể lấy đợc
quyền sở hữu của file hoặc th mục này. Nhng hiện tại có thể không có một đối
tợng nào có quyền Take Ownership đối với một file hoặc th mục đó. Rất may
là Windows 2000 cho phép ngời quản trị Administrator và các thành viên của
nhóm quản trị Administrators, luôn có thể lấy đợc quyền sở hữu của bất kỳ
file hoặc th mục nào mặc dù không có quyền Take Ownership đối với một file
hoặc th mục đó.
Để lấy lấy đợc quyền sở hữu của một file hoặc th mục, ta phải đăng nhập

vào máy với t cách là ngời sẽ lấy quyền sở hữu của một file hoặc th mục đó.
Do vậy, trớc hết ta đăng nhập vào máy với t cách là ngời quản trị
Administrator hoặc là thành viên nào của nhóm quản trị Administrators, sau
đó thực hiện các thao tác tơng tù nh khi trao qun truy cËp cơc bé ®èi với file
hoặc th mục đó, cho đến khi mở tới cửa sổ nh hình 3.10 thì nhấn chuột vào
mục Owner ®Ĩ hiƯn ra cưa sỉ nh h×nh 3.12.

H×nh 3.12. Cưa sổ xem/lấy quyền sở hữu

Nhìn vào cửa sổ này ta thấy quyền sở hữu th mục TTAP đang thuộc về
user Binh, Nếu muốn chuyển quyền sở cho đối tợng khác, thì ta nhấn chuột
tại đối tợng cần chuyển trong khung Name, rồi nhấn OK.
Khi đà có quyền sở hữu file hoặc th mục đó, thì ta có thể trao quyền truy
cập vào file hoặc th mục này cho chính mình.
3.6. Tổng hợp các quyền truy cập
Khi ngời sử dụng đợc trao cả quyền truy cập đối với một th mục, và cả
với một số file hay th mục con của nó, thì chỉ quyền truy cập đối file hay th
mục con lµ cã hiƯu lùc. Nh vËy nÕu mét ngêi sử dụng có thể đợc trao toàn
quyền sử dụng một th mục TM1, nhng sau đó lại chỉ đợc trao quyền chỉ đọc
đối với file vanban.doc nằm trong TM1, thì ngời sử dụng đó vẫn không thể sửa
đợc nội dung cđa file nµy.

64


Nhng cũng có ngoại lệ là nếu ngời sử dụng có quyền mọi đối tợng trong
một th mục, nhng lại đợc trao quyền cấm xoá đối với một file hay th mơc con
cđa nã, th× thùc chÊt ngêi sư dơng vẫn xoá đợc file hay th mục con này.
Vì ngời sử dụng có thể đợc trao cả quyền truy cập từ xa và quyền truy
cập cục bộ đối với một file hoặc th mục. Đồng thời họ cũng có thể nhận đợc

các quyền này từ các nhóm mà họ là thành viên. Khi đó tổng hợp lại thì họ có
những quyền truy cập thực sự nào đối với một file hoặc th mục? Nguyên tắc
của cách tính quyền truy cập tổng hợp nh sau:
ã Trớc hết ta tổng hợp các quyền truy cập mà ngời sử dụng có đợc nhờ đợc trao trực tiếp, và đợc kế thừa từ các nhóm mà họ là thành viên (khi tổng
hợp, ta phân thµnh hai nhãm lµ: qun truy cËp tõ xa vµ quyền truy cập cục
bộ). Quyền tổng hợp ở đây sẽ là hợp của các quyền mà ngời sử dụng có đợc
nhờ đợc trao trực tiếp, và các quyền kế thừa từ các nhóm mà họ là thành viên,
trừ ra những qun bÞ cÊm têng minh.
VÝ dơ:
NÕu ngêi sư dơng A ®ỵc trao qun truy cËp tõ xa Change (bao gåm cả
các quyền Modify, Read, Write), và quyền truy cập cục bộ Modify, Write đối
với th mục Thuctap.
Giả sử A là thành viên của nhóm N1, nhóm này đợc trao quyền truy cËp
tõ xa Read, vµ qun truy cËp cơc bé Read, trong khi bÞ cÊm têng minh hai
qun truy cËp cục bộ Modify và Write đối với th mục Thuctap.
Khi đó quyền tổng hợp từ xa mà A có đợc đối với th mục Thuctap là
Change, quyền tổng hợp cục bộ là Read.
ã Sau đó quyền tổng hợp thực sự mà ngời sử dụng có đợc sẽ là những
quyền hạn chế nhất giữa các quyền tổng hợp từ xa và các quyền tổng hợp cục
bộ, tức là sẽ bằng giao của các quyền tổng hợp từ xa và các quyền tổng hợp
cục bộ.
Nh trong ví dụ trên, thì quyền truy cËp thùc sù cđa A ®èi víi th mơc
Thuctap sÏ bằng giao của Change và Read, cho kết quả là Read.
Câu hỏi và bài tập
1. Thế nào là quyền truy cËp tõ xa? Cã nh÷ng qun truy cËp tõ xa nào?
Khi nào quyền truy cập từ xa không có ý nghĩa?
2. Thế nào là quyền truy cập cục bộ? Trình bày hệ thống các quyền truy
cập cục bộ.
3. Thực hành cách chia sẻ th mục và trao quyền truy cập từ xa, định
nghĩa ổ đĩa mạng.

4. Thực hành trao quyền truy cập cục bộ.
5. Khi ngời sử dụng đợc trao cả quyền truy cập đối với một th mục, và c¶
víi mét sè file hay th mơc con cđa nã thì Windows 2000 sẽ xử lý nh thế nào?
6. Thực hành tổng hợp quyền truy cập thực sự của một ngời sử dụng nào
đó đối với một th mục (đợc trao cả quyền truy cập từ xa và cục bộ, vừa đợc
65


trao trực tiếp, vừa đợc thừa hởng từ nhóm), rồi thử truy nhập vào th mục đó để
kiểm tra kết qu¶.

66



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×