Tải bản đầy đủ (.doc) (105 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Bài thực hành bảo mật mạng với ISA

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (11.95 MB, 105 trang )

BÀI THỰC HÀNH 1
LOCAL USER ACCOUNT & GROUP ACCOUNT
I. Giới thiệu
Bài Lab bao gồm những nội dung chính sau:
A. Tạo Local User Account
B. Tạo Local Group Account
II. Chuẩn bị
Mô hình bài Lab gồm 1 máy:
- PC01: Cài đặt Windows Server 2003 SP1
III. Thực hiện
A. Tạo Local User Account
Bước 1: Mở chương trình Local User Account: Start Run đánh lệnh lusrmgr.msc
Bước 2: Chuột phải mục User Chọn New User
Bước 3: Điền thông số:
- Username: U1
- Password/ Confirm password: 123
- Bỏ dấu check trước dòng User must change password  Chọn Create

Bước 4: Tạo user U2 theo các bước trên với các thông số:
- Username: U2
- Password/ Confirm password: 123
- Bỏ dấu check trước dòng User must change password Chọn Create
Bước 5: Log on User U1

1


Bước 6: Truy cập thư mục C:\Documents and Settings\U1 Quan sát cấu hình của U1

Bước 7: Truy cập thư mục C:\Documents and Settings\Administrator Báo lỗi không có quyền truy cập vào
Profile của user khác Chọn Cancel



B. Tạo Local Group Account
Bước 1: Start  Run  Đánh lệnh lusrmgr.msc
Bước 2: Chuột phải mục Group New Group
Bước 3: Group Name: Ke Toan
Bước 4: Hộp thoại New Group Chọn Add Chọn U1 Chọn Check Name  Ok

Bước 5: Quan sát thấy user U1 đã được add vào group Ke Toan
Bước 6: Làm theo các bước trên để tạo nhóm NhanSu thêm user U2 vào nhóm này
2


BÀI THỰC HÀNH 2
LOCAL POLICY
I. GIỚI THIỆU
Bài LAB bao gồm những nội dung chính sau:
A - Điều chỉnh policy computer configuration
B - Điều chỉnh policy user configuration
C- Những Policy thường dùng
II. CHUẨN BỊ
Bài LAB dùng 1 máy PC01
- PC01: Cài đặt Windows Server 2003 SP1
- Tại PC01: Tạo console Group Policy Object
- Tạo 3 user: U1, U2, U3 với password: 123
- Add user U1 vào Group Administrators
Bước 1: Mở Group Policy Object Editor: Start Run gõ lệnh MMC

Bước 2: Màn hình Console 1Chọn menu File Add/Remove Snap-in
Bước 3: Màn hình Add or Remove Snap-in  Chọn Group Policy Object Editor Chọn Add


Bước 4: Nhấn Finish
Bước 5: Vào menu File Chọn Save Lưu lại vào Desktop với tên Local Policy
3


III. THỰC HIỆN
A. Điều chỉnh Policy Computer Configuration
Bước 1: Log on vào máy bằng account Administrator Chọn Shutdown Xuất hiện bảng Shudown Even
Tracker  Cancel
(Cắm USB vào máy  Xuất hiện bảng Autorun)
Bước 2: Mở Local Policy trên Desktop Mở Local Computer Policy Computer Configuration
Administrative Templates System Cột bên phải Double Click vào Display Shutdown Event Tracker
Chọn Disable.

4


Bước 3: Cột bên trái Mở theo đường dẫn: Local Computer Policy Computer Configuration
Administrative Templates System
Bước 4: Cột bên phải chọn Turn Off AutoPlay

Bước 5: Chọn Enabled All Drives OK

Bước 6: Mở Start Run Đánh lệnh cmd ENTER
- Tại màn hình Command line đánh lệnh GPUPDATE /FORCE  Enter
Kiểm tra:
- Start Shutdown Không còn xuất hiện bảng Shutdown Event Tracker
- Cắm USB vào máy Không còn Autorun nữa
5



B. Điều chỉnh Policy User Configuration
- Chỉnh Policy để user không thể truy cập Control Panel
Bước 1: Log on bằng Account Administrators Mở Local Policy trên Desktop Mở theo đường dẫn Local
Computer Policy User Configuration Administrative Templates Control Panel Cột bên phải
Double Click vào Policy Prohibit Access to the Control Panel Chọn Enabled

- Đánh lệnh GPUPDATE /FORCE ở cửa sổ cmd
Bước 2: Kiểm tra
Log Off Administrator Log on lần lượt bằng U1, U2 Vào Start Settings Không thấy Control
Panel
- Chỉnh Policy ẩn Desktop chỉ áp dụng trên những User không thuộc Group Administrators
Bước 1: Log on bằng Account Administrators Mở Local Policy trên Desktop Mở theo đường dẫn Local
Computer Policy User Configuration Administrative Templates Desktop Cột bên phải Double
Click vào Hide and disable items on the destop Enabled

- Đánh lệnh gpupdate /force
Bước 2: Kiểm Tra
- Log on vào máy bằng account U2 mọi chương trình trên Desktop đều bị ẩn
- Log on vào máy bằng accoutn U 1 Mọi chương trình trên Desktop đều bị ẩn

6


- Chỉnh policy ẩn chức năng Change Password khi nhấn Ctrl + Alt + Del chỉ áp dụng cho user thuộc
group Administrators
Bước 1: Log on bằng account Administrators  Mở Local Policy trên desktop  Mở theo đường dẫn: Local
Computer Policy  user configuration  administrative Templates  Systems  Ctrl + Alt + Del options
- Cột bên phải double click vào policy Remove Change Password  chọn Enable
- Đánh lệnh Gpupdate /force trong cmd để cập nhật Policy


Bước 2: Kiểm Tra
- Log on vào bằng quyền U1 nhấn Ctrl + Alt + Del Quan sát thấy không có chức năng change Password
- Log on vào bằng quyền U2 nhấn Ctrl + Alt + Del Thấy có chức năng change password
C. Những Policy thường dùng
- Remove My Computer icon on the Desktop (User Configuration -> Administrative Templates ->
Desktop): Nếu bật chức năng Enabled thì sẽ ẩn biểu tượng My Computer trên màn hình Desktop của user.
Còn Disabled hoặc Not Configuration thì ngược lại.
- Hide and Disabled all items on the Desktop (User Configuration -> Administrative Templates ->
Desktop): Nếu bật chức năng Enabled thì sẽ xóa hết các biểu tượng có trên màn hình Desktop của user. Còn
Disabled hoặc Not Configuration thì ngược lại.
- Don't Display the Getting Started welcome Screen at logon và chỉ áp dụng trên winxp pro và win
2000 (computer configuration -> administrative templates -> system -> logon): Nếu bật chức năng
Enabled thì sẽ làm ẩn đi màn hình welcome khi user logon vào hệ thống. Còn disabled và nót configuration
thì ngược lại.
- Display shutdown Event Tracker (Computer Configuration -> Administrative Templates -> System):
Nếu bật chức năng Enabled thì sau mỗi lần shutdown máy sẽ không hiển thị màn hình Shutdown Event
Tracker yêu cầu nhập lý do shutdown máy. Còn Disabled và Not Configuration thì ngược lại.

7


BÀI THỰC HÀNH 3
LOCAL SECURITY POLICY
I. Giới thiệu
Bài Lab bao gồm những nội dung chính sau:
A. Password Policy
B. Account Lockout Policy
C.User Rights Assignment
D. Network Access

II. Chuẩn bị
- Bài Lab dùng 2 máy PC01 và PC02
- PC01: Dùng Windows Server 2003 SP1
- PC02: Dùng bản Windows Xp
- 2 máy tắt firewall  kiểm tra đường truyền bằng lệnh ping
III. Thực hiện
A. Password Policy
Bước 1: Log on bằng Administrator
- Tạo tài khoản có tên là U4 bằng Password: 123  báo lỗi không thể tạo được do không thỏa yêu cầu về độ
phức tạp của password.

Bước 2: Vào Start  Program  Adminmistrative Templates  Local Security Policy
Bước 3: Mở Account Polices  Password Policy

8


Bước 4: Thiết lập các thông số như sau:
- Enforce password history: Số password hệ thống lưu trữ (khuyên dùng: 24)
- Maximum password age: Thời gian hiệu lực tối đa của 1 password (khuyên dùng: 42)
- Minimum password age: Thời gian hiệu lực tối thiểu của 1 password (khuyên dùng: 1)
- Minimum password length: Độ dài của password nhỏ nhất (khuyên dùng: 6)
- Pasword must meet complexity...: Yêu cầu password phức tạp (khuyên dùng: Enabled)
Bước 5: Cập nhật Policy: Đánh lệnh GPUPDATE /FORCE ở cmd
Bước 6: Kiểm tra
- Tạo account U 4 với password: abc123!!!  Thành công
B. Account Lockout Policy
Bước 1: Mở Local Security Policy
Bước 2: Mở theo đường dẫn Account Policies  Account Lockout Policy


- Account Lockout threshold: Số lần nhập sai password trước khi account bị khóa
- Account Lockout duration: Thời gian khi account bị khóa
- Reset account Lockout counter after: thời gian khởi động lại bộ đếm
Bước 3: Đặt các thông số như sau:
- Account lockout threshold: 3
- Account lockout duration: 30
- Reset account lockout counter after: 30
Bước 4: Kiểm tra
- Đăng nhập thử sai password 4 lần  không thể đăng nhập tiếp
- Chờ sau 30 phút  Có thể đăng nhập lại
C. User Rights Assigment
Bước 1:
- Log on bằng quyền U2 Shut down máy tính  Không được
- Thay đổi ngày giờ hệ thống  Không được

9


Bước 2: Log on administrator Mở Local Security policy Local Policies user rights assigment Cột
bên phải: Quan sát 2 policy:
- Change the system time: Cho phép 1 user có quyền thay đổi ngày giờ hệ thống
- Shut down the system: cho phép 1 user có quyền shut down máy

Bước 3: Điều chỉnh policy
- Change the system time: Đưa user U2 vào
- Shut down the system: Đưa group users vào

Bước 4: Kiểm tra thiết lập
- Logon U2 Shut down thử  thành công
- Thay đổi ngày giờ hệ thống  Thành công

10


D. Network Access
Khi ta truy cập đến một máy thì tại máy đó sẽ thực hiện cơ chế chứng thực. Trên Windows có 2 cơ chế
chứng thực cơ bản sau: Guest Only và Classic-Local User.
Vào Run gpedit.msc computer configuration Windows Setting Security Setting Local
Policy Security Option, tìm đến va click đúp dòng Network access: Sharing and Security model for local
account, trong mục xổ xuống bạn sẽ thấy có 2 mục như trên.
• Với Guest Only: bạn phải bật account Guest lên
• Với Classic-Local User bạn phải tắt account Guest đi
Lưu ý: Muốn không dùng password khi truy cập qua mạng thì bạn thực hiện: Rungpedit.msc
Computer configuration Windows SettingSecurity SettingLocal Policy Security Option, nhìn qua
phía tay phải bạn để ý dòng Accounts: Limit local account use of blank password to console logon only
(Disable).
Sau mỗi lần cấu hình trong Group Policy (gpedit.msc) thì tại Run bạn gõ GPUPDATE /FORCE hoặc
Restart lại máy).
Trường hợp Classic
Mở Local Security Local Policy Security Options Double Click Network Access: Sharing and
security model for local accounts

D1. Trường hợp 2 máy cùng password
Bước 1: Thực hiện trên cả 2 máy
- Đổi password administrator là 123
Bước 2: Thực hiện truy cập bằng url máy PC01 qua máy PC02 và ngược lại
- Tại PC02 (Windows XP): Start Run đánh \\PC01 (Windows Server 2003)  Truy cập thành
công mà không hỏi username và password
- Nhận xét: Khi truy cập vào PC02 nếu account dùng để log on trên máy PC01 trùng user name và
password với 1 account trên máy pc02, thì khi network access sẽ không bị hỏi username và password
11



D2: Trường hợp 2 máy khác password
Bước 1: Thực hiện trên cả 2 máy
- Đổi password administrator máy PC01 thành 123, password administrator máy PC02 thành 456  log on
vào PC01 bằng account administrator
Bước 2: Thực hiện truy cập bằng Url từ máy PC01 qua máy PC02 và ngược lại
-Tại PC02: Start Run đánh \\PC01  Hiện thông báo đòi User name and password  Khai báo
username và password Máy PC01: administrator/123

 Truy cập thành công
Trường hợp Guest only
Bước 1: Thực hiện trên cả 2 máy: Enabled account Guest
Bước 2: Thực hiện việc truy cập giữa 2 máy

12


BÀI THỰC HÀNH 4
SHARE PERMISSION
I – TÓM TẮT LÝ THUYẾT
1. Share Resources (Chia sẻ tài nguyên)
- Tài nguyên trên máy có thể là thông tin như files, folders, có thể là các thiết bị như Prints, ổ đĩa cd,…để các
máy khách có thể sử dụng các tài nguyên này thì ta phải chia sẻ chúng.
- Để kiểm soát ai có thể truy cập vào các thông tin này qua mạng ta phải sử dụng Share Permission. Share
Permission không có tác dụng cho người dùng logon vào máy cục bộ, chỉ có tác dụng cho người dùng logon
từ mạng.
2. Share Folders
- Là một phần của Share Resources. Share folder có thể chứa file dữ liệu và các chương trình mà các máy
khác có thể truy cập đến và sử dụng.

- Share chỉ làm được ở cấp folder nên muốn share các file thì phải đặt chúng trong một folder nào đó rồi mới
Share.
3. Ai có thể Share các folder
- Trong mô hình Workgroup thì các thành viên trong nhóm Administrators và Power users
- Trong mô hình domain thì các thành viên trong nhóm Administrators và Server Operators
4. Các loại Share Permission
Share Permission có 3 loại:
Read: Cho phép người dùng thấy được tên các thư mục, các files, các thuộc tính và dữ liệu trong file.
Chạy các ứng dụng trong thư mục.
Change: Cho phép thêm file vào thư mục, tạo thêm thư mục, thay đổi thuộc tính của file, gắn thêm dữ
liệu vào file, xóa thư mục và tập tin và có mọi quyền của Read.
Full Control: Có thể đoạt chủ quyền của file và thay đổi phân quyền của file và có phân quyền của
Read và Change.
5. Share ẩn dấu
- Là các Share có tên và dấu $ gắn liền phía sau. Các share ẩn sẽ không được liệt kê ra khi tìm kiếm các share
trên máy tính cũng như khi dùng Netview.
- Các Share do hđh ẩn gọi là các Administrative Shares hay Default Share. Chúng được tạo ra cho
Administrators, các chương trình các dịch vụ có thể sử dụng chúng để quản lý môi trường máy tính trên
mạng. Theo mặc định hđh tạo ra các Administrative Shares ẩn dấu sau:
• Thư mục gốc: Đó là các ổ đĩa như: C$; D$,…
• Thư mục gốc của hệ thống (%Systemroot%) được share với tên là Admin$. Đây chính là thư mục
Windows.
• FAX$
• IPC$
• PRINT$
6. Map Network Drive
Là một thư mục Share nằm trên máy tính ở xa. Khi tạo map đĩa ta phải tạo cho nó một chữ cái không
được trùng với ổ đĩa trên máy cục bộ.
7. Offline files
- Cho phép ta có thể tiếp tục sử dụng các files, folders và các ứng dụng trên mạng khi máy tính của mình

không còn kết nối vào mạng. Khi máy tính kết nối lại vào mạng thì nó tự động đồng bộ dữ liệu khi có sự thay
đổi dữ liệu trên máy chủ. Để có thể cấu hình Offline file ta phải cấu hình ở cả 2 phía:
Phía Server: vào Tab Sharing trong properties của thư mục Share  Chọn Caching Chọn Allow caching
of file in share folder và cho chúng ta chọn một trong 3 tùy chọn:
• Manual Caching of documents: Những files, folders chỉ offiline khi user đã sử dụng chúng.

13




Automatic caching of documents: Thường sử dụng cho files, folders chứa dữ liệu của cá nhân. Các
files và folders tự động offline khi user mở file và folder ra.
• Automatic caching of programs and Applications: Thường sử dụng cho thư mục chứa các dữ liệu
Read-only. Các files và folders cũng tự động offlile khi người dùng mở chúng ra.
Phía Client: vào Options Folders trong control panel. Vào Tab OfflineChọn Enable
II – THỰC HÀNH
1. Chuẩn bị
- Bài Lab sử dụng ít nhất 2 máy
- Đảm bảo đường truyền giữa 2 máy đã thông
- Đổi password administrator:
Máy 1 password administrator là: P@ssmay1
Máy 2 password administrator là: P@ssmay2
2. Share Permission
2.1. Tạo Share Folders
Bước 1: Máy 1 khởi động windows server 2003 Vào đĩa C tạo thư mục có tên là “Data’

Bước 2: Kích chuột phải vào thư mục DataPropertiesChọn Tab SharingChọn Share this
folderTrong Share name giữ mặc định là DataChọn mục Maximum allowed


Bước 3: vào thư mục Data tạo file dữ liệu Dulieumay1.txt Mở file và gõ nội dung “Hello”.
Bước 4: Máy 2 vào StartRunGõ \\tên máy 1 Trong hộp thoại chứng thực gõ Administrator vào
Username, gõ mật khẩu P@ssmay1 vào passwordokTrong cửa sổ thấy Data và trong Data ta thấy có
Dulieumay1.txt
14


2.2. Tạo Share Folder ẩn
Bước 1: Vào máy 1 tạo thư mục Bimat
Bước 2: Kích chuột phải vào BimatChọn PropertiesChọn SharingChọn Share this foldertrong
Share name sửa Bimat thành Bimat$-->Chọn Maximum AllowedApply

Chọn PermissionCho Everyone quyền Full Control

Bước 3: Máy 2, StartRunGõ \\tên máy 1oktrong hộp thoại chứng thực gõ Administrator và
P@ssmay1--> OkKhông thấy thư mục Bimat của máy 1.
Bước 4: Máy 2, StartRunGõ \\tên máy 1\Bimat$oktrong hộp thoại chứng thực gõ Administrator và
P@ssmay1--> OkThì thấy thư mục Bimat của máy 1.
2.3. Phần quyền trên thư mục Share
Bước 1: Tạo 3 user “Giamdoc’, “U1”, “U2”, Password của 3user là “P@ssmay1”

Bước 2: Kích chuột phải vào thư mục DataPropertiesSharingPermission Remove nhóm EveryOne
đang có. Trong hộp thoại này chọn AddTrong hộp thoại Select Users or Groups tìm và add 3 users
“Giamdoc”, “u1”, “U2”Ok

15


Trong hộp thoại Permission for Data
• kích chọn User u1 Đánh dấu chọn vào ô ReadApply

• Kích chọn user u2Đánh dấu chọn Read và ChangeApply
• Kích chọn user Giamdoc Đánh dấu chọn Full ControlApply

Bước 3: Máy 2 logoff và logon AdministratorStartRun\\Tên máy 1trong hộp thoại chứng thực gõ
U1 và password để đăng nhậpOk
Vào thư mục Data Kích chuột phải trên Dulieumau1.txt Chọn RenameSửa thành
Dulieumay2.txtEnter thì máy sẽ báo lỗi.

Bước 4: Logoff và Logon với AddministratorStartRunGõ \\Tên máy 1Logon với U2OkVào
thư mục DataKích chuột phải vào tập tin Dulieumay1.txt và sửa thành Dulieumay2.txtSửa tên thành
công.
Bước 5: Logoff và Logon với AddministratorStartRunGõ \\Tên máy 1Logon với GiamdocOk
Vào thư mục DataKích chuột phải vào Dulieumay2.txt sửa thành Dulieuchung.txt
16


2.4. Map Network Driver
Logoff và Logon với AdministratorStartRunGõ \\Tên máy 1Logon với GiamdocOk
Kích chuột phải vào DataKích chọn Map Network DriverChọn tên đĩa và kích Finish.

3. Offline File
Bước 1: Máy 2, logoff với quyền Administrator
Bước 2: Cả 2 máy đổi mật khẩu Administrator là “P@ssword”
Bước 3: Máy 1, logoff với Administrator vào ổ đĩa C tạo thư mục DulieuTrong thư mục này tạo file
tailieu.txt có nội dung là “hello”.
Kích chuột phải trên DulieuChọn SharingChọn Share this folderChọn PermissionsChọn
Everyone và chọn Full ControlOk
Trong Tab SharingKích chọn Caching.. Và kích chọn các tùy chọn như hình sau:

17



Bước 4: Máy 2, vào StartRun\\Tên máy 1. Kích chuột phải trên thư mục DulieuAlways Available
Offline

Bước 5: Máy 1, Shutdown
Bước 6: Máy 2, Vào StartRun\\Tên máy 1 Ta vẫn có thể truy cập vào thư mục Dulieu trên máy 1.

Bước 7: Máy 1, khởi động và logon với AdministratorSửa nội dung trong file tailieu.txt và lưu lại.
Mở lại tập tin tailieu.txt trên máy 2 thì dữ liệu vẫn không thay đổi.
 Kích chuột phải vào tailieu.txt trên máy 2 và chọn Synchronize để đồng bộ dữ liệu với máy chủ.

18


BÀI THỰC HÀNH 5
NTFS PERMISSION
I. Giới thiệu
Bài lab gồm những nội dung chính sau:
1. Phân quyền thư mục bằng Standard Permission
2. Phân quyền thư mục bằng Special Permission
3. Take OwnerShip
4. Xét quyền khi di chuyển dữ liệu
II. Chuẩn bị
- Mô hình bài lab bao gồm 1 máy sử dụng WINDOWS 2003 SERVER SP1
- Tạo cây thư mục như hình:

- Tạo 2 Group: KETOAN, NHANSU
- Tạo 2 User: KT1, KT2. Add 2 user này vào Group KETOAN
- Tạo 2 User: NS1, NS2. Add 2 user này vào Group NHANSU

III. Thực hiện
1. Phân quyền thư mục bằng standard Permission
Phân quyền cho các Group như sau:
- Trên thư mục DATA: Group KeToan và NhanSu có quyền Read
- Trên thư mục CHUNG: Group KeToan và NhanSu có quyền Full
- Trên thư mục KETOAN: Group KeToan có quyền Full; Group NhanSu không có quyền
- Trên thư mục NHANSU: Group NhanSu có quyền Full; Group Ketoan không có quyền
1.1. Phân quyền trên thư mục DATA
Bước 1: Chuột phải lên thư mục DATA -> Chọn Properties -> ChọnTab Security -> Chọn Advenced
Bước 2: Trong tab Permissions -> Bỏ chọn Allow Inheritable permission…

Trong hộp thoai Security chọn CopyApplyOk
19


Bước 3: Trong hộp thoại Data Properities kích chọn UsersChọn RemoveAdvanced

Trong hộp thoại Advanced Security Settings for Data  Chọn Replace permission…OKTrong hộp
thoại Security chọn Yes.

Bước 4: Trong Tab SecurityChọn Add Tìm và Add 2 nhóm Ketoan và Nhansu vào.

20


Trong hộp thoại Data Properties  Kiểm Tra nhóm Ketoan và Nhansu đang có quyền ReadApplyOk
Bước 5: Kiểm Tra
- Lần lượt log on vào máy bằng quyền KT1, NS1 -> Mở thư mục C:\DATA -> truy cập thành công
- Tạo folder bất kỳ -> xuất hiện thông báo lỗi không có quyền
1.2. Phân quyền trên thư mục CHUNG

Bước 1: Vào thư mục Data Kích chuột phải trên thư mục CHUNGChọn Properties Vào Tab
Security Kích chọn nhóm Ketoan và NhansuĐánh dấu chọn Full Control Apply.

Bước 2: Kiểm tra
- Lần lượt log on vào bằng KT1, NS1 -> Truy cập vào thư mục CHUNG -> Truy cập thành công
- Tạo, xóa folder bất kỳ trong thư mục Chung -> Thành công

21


1.3. Phân quyền trên thư mục Ketoan
Bước 1: Vào thư mục DataKích chuột phải trên thư mục KetoanProperitiesChọn SecurityChọn
Advaned

 Bỏ chọn Allow inheritable…Chọn Copy trong hộp SecurityApplyOk
Bước 2: Trong thẻ Security chọn nhóm NhansuChọn Remove. Kích chọn nhóm KetoanChọn Full
ControlApplyOk

Bước 3: Kiểm tra:
- Lần lượt Log on vào bằng KT1, NS1 -> Truy cập vào thư mục KETOAN -> chỉ có KT1 truy cập thành
công, còn NS1 không truy cập được
- User KT1 tạo, xóa file, foder bất kỳ trong thư mục KETOAN -> Thành công

22


1.4. Phân quyền trên thư mục Nhansu
Bước 1: Vào thư mục DataKích chuột phải trên thư mục NhansuProperitiesChọn SecurityChọn
Advaned


 Bỏ chọn Allow inheritable…Chọn Copy trong hộp SecurityApplyOk
Bước 2: Trong thẻ Security chọn nhóm KetoanChọn Remove. Kích chọn nhóm NhansuChọn Full
ControlApplyOk

Bước 3: Kiểm Tra
- Lần lượt log on vào bằng KT1, NS1 -> Truy cập thư mục NHANSU -> Chỉ có NS1 truy cập thành công còn
KT1 không truy cập được
- User NS1 tạo, xóa file, folder bất kỳ trong thư mục NHANSU -> Thành công

23


1.5. Kết hợp Share Permission với NTFS
Bước 1: Trên máy Domain Controller chia sẻ thư mục C:\DATA  Cho erveryone quyền Full controll
Bước 2: Lấy máy Windows XP Join vào Domain
Bước 3: Máy Windows XP logon với KT1
Bước 4: StartRun\\Tên máy DomainOk
• Vào thư mục DATA\Chung tạo một file DataKT1.txt
• Vào thư mục DATA\Ketoan tạo một file DataKt1.txt
• Vào thư mục DATA\Nhansu tạo một file DataKt1.txtHệ thống sẽ báo lỗi
Bước 5: KT2, KT3 làm tương tự như bước 3 và 4
Bước 6: Logon với NS1
Bước 7: StartRun\\Tên máy DomainOk
• Vào thư mục DATA\Chung tạo một file DataNS1.txt
• Vào thư mục DATA\Nhansu tạo một file DataNS1.txt
• Vào thư mục DATA\Ketoan tạo một file DataNS1.txt Hệ thống sẽ thông báo lỗi
2. Phân quyền thư mục bằng Special Permission
Phân quyền theo yêu cầu: File do User nào tạo ra thì User đó mới có quyền xóa được.
Bước 1: Sử dụng máy Domain controller, logon bằng administrator Vào C:\DATA Kích chuột phải trên
thư mục Ketoan PropertiesSecurityAdvanedChọn nhóm KetoanChọn Edit


Trong hộp thoại Permission Entry for KetoanBỏ dấu check tại Delete Subfolders and Files vào ô Delete
 Đánh dấu chọn Apply these Permission…OkOk

Tại hộp thoại Ketoan Properties  Kích chọn nhóm Ketoan  Ngoài những quyền thông thường ta còn thấy
có một quyền Special PermisstionOk
24


Bước 2: Logoff với AdministratorLogon với KT1Vào C:\DataVào thư mục KetoanTạo một file có
tên là Dulieucuakt1.txtGõ nội dung và lưu lại.
Bước 3: Logoff với Kt1Logon với Kt2Vào C:\DataVào thư mục KetoanKích chuột phải Vào tập
tin Dulieucuakt1.txtDeleteHệ thống sẽ báo lỗi
Bước 4: Trong thư mục DataKích chuột phải và tọa một file có tên là Dulieucuakt2.txt Gõ nội dung và
lưu lại.
Bước 5: Logoff với Kt2Logon với Kt1Vào C:\DataVào thư mục KetoanKích chuột phải trên
Dulieucuakt1.txt chọn DeleteTập tin bị xóa. Kích chuột phải vào Dulieucuakt2.txtDeleteHệ thống sẽ
thông báo lỗi.
3. Take OwnerShip
Bước 1: Máy Domain Controller, logon bằng Administrator
Bước 2: Vào C:\Data, kích chuột phải trên thư mục nhansuPropertiesSecurityAdvanedChọn nhóm
AdministratorsEdit

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×