Security tài nguyên mạng với quyền truy cập NTFS - Phần 3 &4


Trước khi bắt đầu chỉ định cấp độ truy cập NTFS đối với thư mục và
tập tin,tốt nhất bạn nên xác định đâu là những cấp độ truy cập cần thiết
và nên cấp chúng cho ai.Tôi sẽ trình bày những nguyên tắc bạn phải cố
gắng tuân thủ khi quyết định sử dụng quyền NTFS này.
Và cũng như 2 chương trước.Mục tiêu của tôi khi viết chương này là
giúp bạn có thể:

-Hoạch định một cách rõ rang những cấp độ truy cập mà bạn gán cho cá
nhân hoặc cho group đới với chương trình,dữ liệu mạng,và thư mục cá nhân.
-Khi đọc xong các bạn sẽ nắm vững các tác vụ cần thiết khi thi hành để tạo
thư mục cá nhân trên volume NTFS.

I.Nguyên Tắc Hoạch Định Thư Mục Chương Trình
-Dưới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ truy
cập NTFS cho thư mục.
1.Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm
Everyone và đem cấp cho nhóm Administrators.
2.Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích
hợp cho những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm.
3.Nếu các chương trình mạng thường trú dùng chung,hãy cấp quyền truy cập
ở cấp độ Read cho nhóm Users.

II.Nguyên Tắc Hoạch Định Thư Mục Dữ Liệu
Và đây là 2 nguyên tắc chung khi chỉ định quyền truy cập NTFS cho thư
mục và dữ liệu:


1.Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm

Everyone và đem cấp cho nhóm Administrator
2.Chỉ Định cấp độ truy cập Add&Read cho nhóm Users cà cấp độ FC cho
nhóm Creator Owner.Việc làm này sẽ cung cấp cho ngừoi dùng đăng nhập
cục bộ khả năng hủy bỏ và sửa chữa chỉ những thư mục và tập tin họ đã sao
chép hoặc tạo ra trên máy tính nơi họ đăng nhập.

III.Nguyên Tắc Hoạch Định Thư Mục Cá Nhân
Cuối cùng là nguyên tắc áp dụng khi bạn chỉ định các cấp độ truy cập NTFS
cho thư mục cá nhân.:
1.Tập chung mọi thư mục cá nhân trên 1 Volume NTFS (Trên 1 server nào
đó)riêng biệt với Volume chứa hệ điều hành và các chương trình,nhằm hợp
lí hóa công tác quản trị và sao lưu dữ liệu.Thường thì cái gì cũng vậy.Nếu
chung ta gọn gang thì sẽ rất dễ cho công việc sau này.
2.Dùng biến %Usersname% để tự động gán tên tài khoản của ngừoi dùng
cho thư mục và tự động chỉ định quyền truy cập NTFS ở cấp độ FC cho
ngừoi tương ứng.

IV.Tạo Thư Mục Cá Nhân (Home Folder) Trên Volume NTFS
Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn,đó là
bạn có thể tổ chức chúng thành hệ thống phân tầng và giới hạn khả năng truy
cập ở những ngừoi dùng tương ứng mà không cần chia sẻ từng thư mục.

Các bạn làm theo các bước sau để tạo thư mục cá nhân trên Volume
NTFS:


1.Tạo thư mục có tên Users trên một Volume riêng biệt với Volume chứa hệ
điều hành…Cái này tôi nói ở trên giờ nhắc lại 1 chút.làm thế,thư mục cá
nhân sẽ được bảo toàn nếu xảy ra sự cố đòi hỏi phải định dạng lại volume
chưa hệ điều hành.

2.Chia sẻ thư mục Users nhằm cung cấp một điểm truy cập đơn lẻ cho ngừoi
dùng mạng và điểm quản trị đơn lẻ cho nhà quản trị.
3.Nhớ bỏ chế độ mặc định FC từ Everyone và cấp quyền truy cập thư mục
dùng chung (share Permis) ở cấp độ FC cho nhóm Users.
4.Dùng biến %Username% để tự động gán tên tài khoản của ngừoi dùng cho
thư mục cá nhân của ngừoi này.Biến %Username% còn có thể tự động chỉ
quyền truy cập NTFS ở cấp độ FC cho ngừoi dùng tương ứng (Trên
FAT,thư mục cá nhân chỉ có thể được hạn chế truy cập thông qua quyền truy
cập thư mục dùng chung).
a.Trong UserManager for Domains,bạn tạo 1 tài khoản ngừoi dùng mới hoặc
double Click và tài khoản sẵn có.
b.Trong hộp thoại Newuser hoặc User Properties,click vào Profile,sau đó gõ
\\PC name\Users\%Username% vào hộp thoại Home Directory To.

Là 1 administrator kinh nghiệm bạn nên:
Yêu cầu User của mình lưu trữ dữ liệu mạng và dữ liệu cá nhân vào thư mục
cá nhân của họ.Nếu thư mục cá nhân của họ được chuyển từ server này sang
server khác thì chỉ cần chuyển đường dẫn là xong.

Tóm lại cả chương này tôi muốn nói với các bạn những điểm sau:


1. Phải xác định cần cấp quyền truy cập ở những cấp độ nào và cấp cho
ai trước khi bắt tay vào chỉ định quyền truy cập NTFS đối với forlder
và file.
2. Đối vơi thư mục chương trình,hãy cấp quyền truy cập ở cấp độ FC
cho nhóm Administrator và cho nhóm chịu trách nhiệm nâng cấp
hoặc xử lí phần mềm.Cấp quyền truy cập Read cho nhóm Users.
3. Đối với thư mục dữ liệu,chỉ cấp quyền truy cập ở mức độ FC cho
riêng nhóm administrator.Cấp cho nhóm Users quyền truy cập ở cấp

độ Add và Read,ấn định quyền truy cập Creator Owner.Những việc
làm trên của bạn cho phép ngừoi dùng có khả năng hủy bỏ và hiệu
chỉnh những thư mục và tập tin do họ tạo hoặc sao chép mà ra.
4. Dùng biến %Username% để tự động gán tên tài khoản của ngừoi
dùng làm tên cho thư mục cá nhân cả ngừoi này,và để tự đông ấn
định quyền truy cập NTFS ở cấp độ FC cho ngườii dùng tương ứng.
CẤP QUYỀN TRUY CẬP NTFS
I.

Các Yêu Cầu Đặt Ra Khi Cấp Quyền Truy Cập NTFS

Muốn cấp quyền truy cập NTFS,bạn phải là chủ sở hữu của tập tin hoặc thư
mục,hoặc bạn có quyền trong 1 những cấp độ sau đây:
.Quyền truy cập chuẩn :Full Control
.Quyền truy cập đạc biệt :Change Permissions
.Quyền truy cập đặc biệt :Take Ownership (Với quyền truy cập này ngừoi
dùng có thể dảnh quyền sở hữu một tập tin hoặc thư mục của ngừoi khác,và
có thể thay đổi quyền truy cập áp dụng cho thư mục hay tập tin này.) Ngày
xưa tôi học là tôi khoái nhất món này…


II.

Các Cấp Độ Mặc Định (Default) Của Quyền Truy Cập NTFS

Khi một volume được định dạng với NTFS,quyền truy cập ở cấp độ Full
Control tự động được cấp cho nhóm Everyone,cho phép toàn bộ ngừoi dùng
được phép Log on locally toàn quyền truy cập Volume đó.
Khi có thư mục hoặc tập tin mới được tạo trên volume NTFS,thư mục /tập
tin này sẽ thừa hưởng tất cả các quyền truy cập ấn định cho thư mục chứa

nó.

III.

Cấp Quyền Truy Cập Tập Tin Và Thư Mục NTFS

Muốn cấp quyền cho thư mục nào bạn chỉ cần click phải chuột lên thư mục
đó chọn Properties sau đó chọn Tab Security-Permissions.

Nếu bạn cấp quyền cho forlder thì hộp thoại Directory permissions mở
ra.Nếu là file thì hộp thoại File Permission sẽ mở ra.Và bạn sẽ cấp quyền với
mục đích đã hoạch định trước do bạn hoặc công ty của bạn đề ra.

IV.

Cấp Quyền Truy Cập Thư Mục Public cho nhóm Users.

1.Đăng nhập với tư cách admin và khỏi động Windowns NT &2000 Exploer
2.Mở rộng thư mục LabFiles,Rclick lên thư mục Public chọn Properties.
Permissions3.Chọn Tab Security
Hộp thoại Directory Permissions mở ra.
Bạn nên chú ý rằng nhóm Everyone được cấp quyền truy cập NTFS ở cấp độ
NTFS theo mặc định.
4.Nhấp add trong Directory Permissions.
Mở hộp thoại Add Users and Groups.


5.Kiểm Tra để đảm bảo tên vùng của bạn đã hiển thị trong hộp thoại List
Names From.
6.Dứoi Name,click Users,nhấp tiếp Add.

7.Click Add&Read trong hộp thoại Type of Access sau đó OK
8.Dứoi Names,nhấp Everyone (nếu everone được chọn) thì nhấp remove.
Và lúc này các bạn đã loại nhóm mặc định Everyone ra khỏi danh sách.

V.

CẤP QUYỀN TRUY CẬP THƯ MỤC PUBLIC CHO NHÓM

CREATOR OWNER
Ở phần này tôi giới thiệu cùng các bạn về việc cấp quyền FC cho nhóm
Creator Owner để họ có thể hiệu chỉnh các tập tin riêng của họ.
1.Trong hộp thoại Directory Permissions click Add.
Hộp thoại Add Users and Groups xuất hiện.
2.Kiểm Tra nhằm bảo đảm tên vùng của bạn đã hểin thị trong List Names
From.
3.Dứoi Names,click Creator Owner rồi click Add.
4.Click FC trong hộp thoại Type of Access,nhấp OK
Và lúc này nhóm Creator Owner đã xuất hiện trong hộp thoại Directory
Permis với cấp độ FC

VI.

CẤP QUYỀN TRUY CẬP THƯ MỤC PUBLIC CHO NHÓM

ADMINISTRATOR
1.Trong hộp thoại Directory Permiss bạn click vào Add
Hộp Thoại Add Users And Groups Mở ra .
2.Kiểm tra (check) nhằm bảo đảm tên vùng của bạn đã hiển thị trong hộp
List names From.
3.Dứoi Names click Administrator,sau đó click Add



4.Click FC từ hộp thoại Type of Access,rồi nhấp OK
Trong hộp thoại Directory Permis ta thấy nhóm Administrator và nhóm
Creator Owner được cấp quyền FC,còn nhóm user thì chỉ có Add&Read
5.Các bạn chọn check vào ô Replace permis on Subdirectories sao cho cấp
độ truy cập áp dụng cho tất cả các thư mục trong hệ thống mạng phân tầng.
6.kiểm tra nhằm đảm bảo Replace permis on Existing Files đã được chọn
click OK.
7.Click Yes quay về hộp thoại Public Properties rồi click OK áp dụng cho
các thây đổi.

VII.

CẤP QUYỀN TRUY CẬP ĐẶC BIỆT

Trong hầu hết các trường hợp của Windows quyền truy cập chuẩn (standard
permission) là tất cả những gì bạn cần để bảo vệ tập tin và thư mục.Tuy
nhiên trong 1 vài trường hợp bạn sẽ cần chỉ định quyền truy cập đặc biệt
(special access permiss) quyền này cho phép bạn có khả năng cấp quyền truy
cập cá nhân (individual) cho từng tài khoản hoặc cho group.
Bạn nên cấp quyền truy cập đặc biệt cho user nhằm mục đích sau:
.Cho phép ngừoi dùng khác quản lí quyền truy cập những tập tin do bạn sở
hữu,cấp cho ngừoi dùng quyền truy cập ở cấp độ Change Permis (P)
.Bảo vệ các tập tin chương trình hỏi bị huy bỏ do sơ ý hoặc do Virus phá
hoại,cấp cho mọi tài khoản ngừoi dùng,kể cả tài khoản của nhà quản trị
Administrator ý mà .Cấp quyền truy cập ở cấp độ READ đối với các tập tin
điều hành.
.Cho phép nhà quản trị chỉnh sửa tập tin điều hành,cấp cho nhóm
Administrator quyền truy cập Change Permissions.Quyền truy cập này cung

cấp cho nhà quản trị khả năng thay đổi quyền truy cập với những tập tin chỉ
đọc Read only nếu cần.


Các bạn chú ý 1 điều rằng: Quyền truy cập đạc biệt này giống nhau cho cả
tập tin và thư mục.

Tóm tắt: Trong phần 4 này bạn cần lưu ý những điểm sau:
-Muốn cấp quyền truy cập NTFS bạn phải là chủ sở hữu của tập tin hoặc thư
mục,phải có quyền truy cập ở cấp độ FC,hoặc phải có quyền truy cập ở cấp
độ Change Permiss hay Take Ownership.
-Khi 1 volume được định dạng NTFS,nhóm Everyone tự động được cấp
quyền FC (Các bạn nên chú ý điều này)
-Sử dụng quyền truy cập đạc biệt khi bạn cần chỉ định 1 kết hợp giữa nhiều
cấp độ thuộc quyền truy cập chuẩn