Quản trị phân quyền trong windows sever
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.27 MB, 19 trang )
Nhóm 16
Gv :Trần Tiến Dũng
Khoa CNTT- Viện đại học mở Hà Nộị
MỤC LỤC
I.
Đặt vấn đề..........................................................................................................................2
II.
Tìm hiểu về user...............................................................................................................2
1. Giới thiệu một số quyền cơ bản............................................................................................3
2.
Khởi động trình quản lý Local user and Group...............................................................3
3.
Những điều cần lưu ý.......................................................................................................8
III.
Phân quyền người truy cập (Với một số quyền đơn giản).................................................8
IV.
NTFS Permission...........................................................................................................13
V.
Share permission...............................................................................................................17
Quản trị mạng
Page 1
Nhóm 16
Gv :Trần Tiến Dũng
I.
Đặt vấn đề
Khoa CNTT- Viện đại học mở Hà Nộị
Nhà bạn hay phòng làm việc ở cơ quan chỉ có một máy tính, mà lại có
nhiều người. Làm thế nào để sử dụng chung mà mỗi người chỉ có một số quyền
hạn nhất định? Có thể có nhiều tiện ích, chẳng hạn như những phần mềm khóa
thư mục. Tuy nhiên việc đó không khả dụng cho lắm, hiện nay trên các hệ điều
hành của ta đều cho người quản trị có thể tạo thêm nhiều người dùng khác .
Nhưng nếu máy tính là máy chung của công ty và vấn đề đặt ra là ta
không muốn tài liệu của người dùng này người dùng kia có thể xem tùy tiện
được. Vậy cách tốt nhất là cấp cho mỗi nhân viên một máy nhất định và yêu cầu
họ đặt password lên máy của mình, nhưng như thế thì rất tốn kém và không
được ưa chuộng. Chính vì thế người quản trị mạng sẽ sử dụng công cụ Local
Users and Groups (công cụ phân quyền) để tạo các tài khoản người dùng trên
cùng một máy, khi đó dữ liệu của người này người kia không thể truy cập được.
II.
Tìm hiểu về user
User và Group là những thành phần cơ bản để quản lý máy tính và tài
nguyên trên máy tính. Tùy vào mức độ được cấp quyền mà người dùng có
quyền truy xuất vào những tài nguyên nào trên máy tính, hoặc trong hệ thống
mang. Ở bài này chúng ta tìm hiểu vế cách tạo và quản lý user trên máy cục bộ
(local host).
Việc quản lý trên máy tính dựa vào tài khoản (account).Mỗi account như
vậy có tên (user name),mât khẩu (password) và kèm theo một số quyền hạn
(permission) nhất định. Mỗi khi bật máy bạn sẽ logon (đăng nhập) bằng cách
chọn một account để sử dụng.Nếu account có mật khẩu, bạn phải gõ đúng mật
khẩu thì mới đăng nhập vào được
Để sử dụng hệ điều hành thì mỗi user cần phải có một account vì:
Quản trị mạng
Page 2
Nhóm 16
Khoa CNTT- Viện đại học mở Hà Nộị
Gv :Trần Tiến Dũng
+ Mỗi người sử dụng trong hệ thống phải có một cấp độ quyền khách
nhau
+ Mỗi người sử dụng phải có mối trường làm việc khác nhau dù sử dụng
chung một máy tính
- Admintrantor: Tài khoản có quyền cao nhất trong máy tính
- Built-in account: Tài khoản mặc định trên máy tính (không xóa được)
- Mỗi account khi được tạo ra sẽ được cập một SID. Không có SID
nào trùng nhau trong một máy tính
- Mỗi user có nhiều quyền trên nhiều tài nguyên khác nhau
1. Giới thiệu một số quyền cơ bản
- Quyền nhỏ nhất: (read): Read (là quyền Hiển thị tên,thuộc tính,tên
chủ sở hữu và cấp độ truy cập); List Folder Contents và Read & Execute (là
quyền hiển thị thuộc tính thư mục, thực hiện thay đổi cho các thư mục con, hiển
thị thông tin và cấp độ truy cập)
- Quyền Write
- Quyền modifi (read, write and delete)
- Quyền full control : đây là quyền cao nhất, Được phép phân quyền cho
các user khác
- Cấm user: cấm tường minh (cấp quyền deny). Cấm deny cho các user đang
nằm trong nhóm allow
2. Khởi động trình quản lý Local user and Group
Có các cách:
Quản trị mạng
Page 3
Nhóm 16
Khoa CNTT- Viện đại học mở Hà Nộị
Gv :Trần Tiến Dũng
Cách 1: Vào Control Panel -> User Accounts -> Manage Accounts ->
Create New Accounts
- Standard user: Tài khoản người dùng có thể sử dụng phần mềm và thay
đổi cài đặt hệ thống, nhưng không áp dụng được cho các người dùng khác
hoặc sự bảo mật của máy tính.
- Administrator: Là tài khoản cấp cao có quyền truy cập vào máy tính và
có quyền thay đổi bất kỳ cho hành động nào đó. Có thể thay đổi và cài đặt
đối với các user khác.
Cách 2: Bạn click chuột phải lên This PC hoặc My Computer (trên màn
hình-> Manager -> System tools -> Local User and Group. Cửa sổ
Local user and Group sẽ hiện ra để bạn thao tác trên user hoặc Group.
Cách 3: Ta chạy lệnh run-> lusrmgr.mcs (giao diện quản lí user và
group không bị rối mắt)
Quản trị mạng
Page 4
Nhóm 16
Gv :Trần Tiến Dũng
Khoa CNTT- Viện đại học mở Hà Nộị
Built-in account không thể xóa, nhưng có thể disable. Riêng
user
Administrator bị disabale thì vẫn có thể login vào chế độ Safe Mode, vì vậy
việc tạo Password của user này là rất quan trọng để bảo mật cho hệ thống.
Nhập đầy đủ các thông tin như hình bên dưới.
Quản trị mạng
Page 5
Nhóm 16
Gv :Trần Tiến Dũng
-Với các ô check box
Khoa CNTT- Viện đại học mở Hà Nộị
User must change password at next logon : Nếu check vào checkbox này thì
khi tạo user thì user phải thay đổi password ngay trong lần đăng nhập đầu tiên.
User cannot change password : Không cho phép user thay đổi password.
Password never expires : Password không bao giờ bị thay đổi giá trị.
Password tạo ra default thường có giá trị trong 42 giờ.
Account is disabled: Nếu chọn ô này lập tức tài khoản này sẽ bị khóa lại
- Lưu ý : Nếu chọn User must change password at next logon thì User canot
change password và Password never expires sẽ không được phép chọn nữa.
Vì trong Windows Server 2008 có tính bảo mật cao hơn hẳn Windows Server
2003 nên lúc này nếu bạn đặt các Password đơn giản thì sẽ thấy xuất hiện màn
hình báo lỗi sau.
Nếu muốn nhập mật khẩu đơn giản ta có thể thay đổi để dễ dàng thực
hiện hơn bằng cách vô hiệu hóa mật khẩu.
Mật khẩu bạn đặt phải thỏa mãn 3 trong 4 điều kiện sau:
- Mật khẩu phải chứa kí tự a-z và là chữ thường
- Mật khảu phải chứa kí tự A-Z và là chữ hoa
Quản trị mạng
Page 6
Nhóm 16
Khoa CNTT- Viện đại học mở Hà Nộị
Gv :Trần Tiến Dũng
- Mật khẩu phải chứa kí tự số từ 0-9
- Mật khẩu phải chứa ký tự đặc biệt như: !@$%^&*(_)....
Bây giờ bạn hãy log off Administrator và log on vào các user
3. Những điều cần lưu ý
Khi bạn cài đặt Windows, lúc hoàn tất cài đặt Windows cho phép bạn tạo
một user. User này có quyền tương đương Administrator, bạn nên sử dụng
user này.
User Administrator bạn chỉ nên dùng nó ở những trường hợp cấp thiết,
như quên mật khẩu của người dùng bạn có thể vào để reset password, xóa
profile người dùng khi có lổi... Bạn không nên sử dụng user này như một
user thông thường và phải có mật khẩu cho User Administrator.
III.
Phân quyền người truy cập (Với một số quyền đơn giản)
Khởi tạo các user.
Quản trị mạng
Page 7
Nhóm 16
Khoa CNTT- Viện đại học mở Hà Nộị
Gv :Trần Tiến Dũng
Vào các user cần phân quyền ( Properties) ->Member Of( lúc này các
user mới chỉ có quyền người dùng)
Chọn Add -> Advanced -> Find Now và chọn quyền muốn cấp cho user trong
list quyền
Quản trị mạng
Page 8
Nhóm 16
Gv :Trần Tiến Dũng
Khoa CNTT- Viện đại học mở Hà Nộị
Chọn quyền và nhấp OK
Bạn cũng có thể xóa quyền của user nếu muốn bằng cách vào Properties( của
user muốn xóa quyền) nhấp vào quyền muốn xóa và chọn
Remove -> Apply -> OK (đã xóa user trong nhóm quyền)
Quản trị mạng
Page 9
Nhóm 16
Gv :Trần Tiến Dũng
Khoa CNTT- Viện đại học mở Hà Nộị
Vậy là bạn đã cấp quyền thành công cho user và Bây giờ bạn hãy log
off Administrator và log on vào các user để test quyền
Đối với các thao tác trên chỉ ứng dụng cho máy có số lương user ít và chia sẻ
tài nguyên không nhiều . Còn đối với máy tính có số lượng người truy cập
tài nguyên lớn ta nên sử dụng phân quyền theo nhóm để không mất nhiều
thời gian vào dễ quản lí.
Ta cũng thực hiện các thao tác để vào Local User and Groups ->
Groups ( ở đây đã có sẵn các quyền theo từng nhóm và việc chúng ta cần làm
bây giờ chỉ là Add các user vào các nhóm quyền này)
Quản trị mạng
Page 10
Nhóm 16
Gv :Trần Tiến Dũng
Khoa CNTT- Viện đại học mở Hà Nộị
Chuột phải vào quyền muốn thêm User -> Properties -> chọn nhóm muốn
thêm user -> Add user
Quản trị mạng
Page 11
Nhóm 16
Khoa CNTT- Viện đại học mở Hà Nộị
Gv :Trần Tiến Dũng
Nhấp OK. Bây giờ user đã có trong nhóm quyền đó và đồng thời có quyền hạn
đó.
Bạn cũng có thể xóa quyền của một số user nếu muốn bằng cách vào
Properties( của nhóm có user muốn xóa quyền) nhấp vào user muốn xóa và
chọn
Remove -> Apply -> OK (đã xóa user trong nhóm quyền)
Bây giờ bạn hãy log off Administrator và log on vào các user để test quyền
IV.
NTFS Permission
Đặc trưng : Tính thừa kế(quyền của folder cha thế nào thì khi tạo folder con sẽ
có quyền tương tự)
Tạo một foder(test2) mới với nội dùng cần thiêt lập quản lý
Quản trị mạng
Page 12
Nhóm 16
Khoa CNTT- Viện đại học mở Hà Nộị
Gv :Trần Tiến Dũng
Nhấp vào properties của test2 ->Edit->Add->nhập tên user ->Check Names>OK
(Đây là giao diện của bộ quyền NTFS)
- Read: cho phép user đọc nội dung file.
- List folder contents: liệt kê nội dung folder (user có thể mở folder để xem có
các file, sub folder nào trong đó).
- Read and execute: Có thể đọc nội dung các file và thực thi các file
(Khi phân quyển user thì ta nên cho cả 3 quyền này)
-Write: chỉnh sửa, tạo mới dữ liệu.
+ Nếu user có quyền write trên file thì user có thể chỉnh sửa dữ liệu, nếu là
folder thì có thể tạo mới các đối tượng trong folder, chép dữ liệu vào folder.
Nhưng không thể xóa các đối tượng.
-Modify: bằng các quyền ở trên gộp lại và thêm quyền delete ( đọc, chỉnh sửa,
xóa các đối tượng).
Quản trị mạng
Page 13
Nhóm 16
Khoa CNTT- Viện đại học mở Hà Nộị
Gv :Trần Tiến Dũng
-Full control: là Modify và cộng thêm:
+ Quyền: change permission (là quyền được cho phép thiết lập lại các bộ
quyền).
+ Quyền: Take Ownership
Nhập tên user cần phân quyền
- Đây là nơi cấp phát quyền full control là toàn quyền modify là chỉnh sửa.
Quản trị mạng
Page 14
Nhóm 16
Khoa CNTT- Viện đại học mở Hà Nộị
Gv :Trần Tiến Dũng
Các lưu ý khi phân quyền:
– Phân quyền từ folder cha đến folder con.
– Nếu 1 user nằm ở 2 group, 1 group bị Deny, và 1 group có quyền Read thì
user đó sẽ bị quyền Deny.
– Nếu 1 user nằm ở 2 group thì group nào có quyền lớn hơn thì user sẽ có quyền
đó ( group quyền Read và group quyền Modify thì user có quyền Modify).
Khi chọn Create xong thì được tài khoản mới. Vào lại phần Add xong ta
được như hình
- Chọn Aply-> OK.Để chỉnh sửa chi tiết vào Advanced ->Edit ->Edit
Đây là 1 list quyền của tài khoản oanh vừa tạo.Ví dụ ta cấp phát cho tài
khoản vừ tạo toàn quyền nhưng không được xóa thư mục và thư mục con
bên trong .
- Click chuột chọn full control bên cột Alow và click chuột chọn delete
subfolders and file và delete bên cột Deny(không cấp phát quyền) ->
OK->Aply->OK->OK
- Bây giờ log off ra để vào thử tài khoản vừa tạo.
- Vào thư mục test lúc đầu tạo và xóa thử.
Quản trị mạng
Page 15
Nhóm 16
Gv :Trần Tiến Dũng
Khoa CNTT- Viện đại học mở Hà Nộị
- Giờ chúng ta sẽ không thể xóa được file vì tài khoản này đã bị chặn
quyền. Nếu bạn chọn tiếp Conitinue thì bạn sẽ phả nhập pass của
Administrator để toàn quyền xóa.
V.
Share permission
Điều kiện: User phải có password và máy phải liên lạc được với server(được
cấp quyền chia sẻ tài nguyên).
Trong Windows server 2008 để chia sẻ một thư mục nào đó bạn nhấp chuột
phải vào thư mục cần share chọn Properties -> Sharing
Quản trị mạng
Page 16
Nhóm 16
Gv :Trần Tiến Dũng
Khoa CNTT- Viện đại học mở Hà Nộị
Bạn tiếp tục chọn Advanced Sharing-> Add (thêm các user có thể xem
được) -> Share -> Change sharing permissions
Quản trị mạng
Page 17
Nhóm 16
Gv :Trần Tiến Dũng
Hoàn tất thủ tục Share.
Khoa CNTT- Viện đại học mở Hà Nộị
Kiểm tra các thư mục tài nguyên đã share :
Start-> Administrative Tools -> Share and Storage Management
Test kiểm thử cần 2 máy kiết nối với nhau( cần có password)
Truy cập từ máy này đến máy khác ta sử dụng đường dẫn UNC:
\\IP_address(\\computer_name)
Quản trị mạng
Page 18
Nhóm 16
Gv :Trần Tiến Dũng
Quản trị mạng
Khoa CNTT- Viện đại học mở Hà Nộị
Page 19
