Giáo trình Quản trị mạng - Nguyễn Văn Phác

pdf 30 trang huongle 4110
Download
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Quản trị mạng - Nguyễn Văn Phác", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_quan_tri_mang_nguyen_van_phac.pdf

Nội dung text: Giáo trình Quản trị mạng - Nguyễn Văn Phác

  1. Ban Cơ yếu chính phủ Học viện kỹ thuật mật m ã Nguyễn Văn Phác- Nguyễn Đức tâm Giáo trình Quản trị mạng Hà Nội, 4-2006
  2. Chương I Mở đầu 1.1. Giới thiệu chung về Windows 2000 Windows 2000 là phiên b ản tiếp theo của NT 4 (NT4 đ ược đưa từ năm 1996). Nhưng so v ới NT 4 , Windows 2000 có sự khác biệt rất lớn cả về nội dung và giao diện. Về nội dung, Windows 2000 đ ược phát triển theo hướng phục vụ các mạng lớn, điều đó thể hiện tr ên những thay đổi quan trọng nhất sau: + Có thêm tính năng Active Directory. + Hạ tầng kiến trúc nối mạng TCP/IP đ ược cải tiến cho phép ng ười dùng kết nối các mạng LAN, WAN v ào Internet ở mọi nơi trên thế giới. + Những cơ sở hạ tầng bảo mật dễ co gi ãn hơn. + Việc chia sẻ dùng chung các t ập tin trở nên mạnh mẽ hơn với hệ thống tập tin phân tán (Distributed File System) v à dịch vụ sao chép tập tin (File Replication Service). Active Directory là tính năng quý giá và quan tr ọng nhất của Windows 2000, đồng thời cũng l à bộ phận toả rộng khắp n ơi duy nhất của hệ điều h ành này. Nhiều tính năng mới, hấp dẫn của Windows 2000 nh ư: Các chính sách nhóm (group policy), các cây (tree) và r ừng (forest) của các miền, các đơn vị tổ chức (organizational unit), các địa b àn (site), sự triển khai tập trung các ứng dụng, và những tính năng của hệ thống tập tin phân tán tr ên mạng Windows 2000 cũng như nhiều tính năng khác, sẽ không hoạt động đ ược nếu như chưa có máy ch ủ nào đóng vai trò như một Active Directory Server. Về giao diện, với ng ười dùng đã quen NT 4, khó có th ể tìm lại những giao diện quen thuộc tr ước đây, bởi có th êm rất nhiều giao diện mới. Đồng thời những tính năng cũ cũng đ ược thay đổi cả về giao diện v à nơi kích hoạt chúng. 1.2. Làm quen với Active Directory Active Directory đư ợc phát triển trên cơ sở cấu trúc miền cũ của NT 4 v à có bổ sung thêm nhiều điểm cải tiến mới, đây l à phần quan trọng nhất v à cũng là phần phức tạp nhất của Windows 2000, hầu nh ư mọi tính năng của Windows 2000 đ ều đòi hỏi phải có Active Directory. Bởi vậy việc t ìm hiểu kỹ
  3. về Active Directory phải trải rộng ở hầu hết các tính năng của Windows 2000, và phần này chỉ nhằm giới thiệu s ơ lược về Active Directory. 1.2.1. Vai trò của Active Directory Vai trò của Active Directory thể hiện tr ên những vấn đề chính sau: 1.2.1.1. Vấn đề bảo mật Bằng cách duy tr ì một “danh bạ” về các ng ười sử dụng và những đối tượng khác của mạng. Active Directory theo d õi xem ai được phép sử dụng mạng, bằng cơ chế xác minh xem người sử dụng có hợp lệ không v à cấp phép quyền sử dụng tài nguyên cho ngư ời sử dụng. 1.2.1.2. Vấn đề tìm kiếm thông tin trên mạng Ngày nay, mô hình Client – Server (Khách – Phục vụ) đã trở thành mẫu mực để giải quyết nhu cầu t ìm kiếm thông tin. Nh ưng cấu trúc này sẽ không có tác dụng nếu không giúp Client t ìm ra Server. Ch ức năng tra cứu thông tin của Active Directory giúp các Client t ìm kiếm nhanh đến t ên của một Mail Server, Web Server, Print Server, hay m ột File Server cụ thể. 1.2.1.3. Sự phân chia quyền hành trên một miền Dưới NT 4, để có sự phân quyền v à bảo mật cho các bộ phận khác nhau trên một mạng thì chúng ta phải tổ chức mạng sao cho mỗi một bộ phận th ành một miền, mà mỗi miền phải tốn ít nhất một máy chủ l à máy điều khiển miền chính (Primary Domain Controller - PDC). Sau đó nếu các bộ phận muốn trao đổi thông tin liên lạc với nhau ở mức nào đó, thì phải thiết lập các mối quan hệ uỷ quyền (Trust relationship), m à việc thiết lập các quan hệ uỷ quyền trong NT 4 có phần rắc rối và không đáng tin cậy lắm. Với Active Directory của Windows 2000, chỉ cần d ùng chung một miền cũng có thể phân quyền v à bảo mật cho các bộ phận khác nhau, bằng cách chia miền đó thành các đơn v ị tổ chức (Organizational Unit – OU ) cho mỗi bộ phận khác nhau. Sau đó có thể u ỷ quyền kiểm soát các OU đó cho một nhóm điều hành viên nào đó. 1.2.2. Cấu trúc của Active Directory Khi thiết kế cấu trúc của mạng NT4 ta chỉ có một v ài công cụ như: các miền (domain), t ài khoản máy (machine account), nhóm (group) mối quan hệ uỷ quyền (trust relationship). Còn khi thi ết kế mạng Windows 2000, ngo ài tất cả các công cụ tr ên, còn có các công c ụ khác nữa là: đơn vị tổ chức (unit organization), cây (tree), r ừng (forest), và địa bàn (site).
  4. Mục này sẽ khảo sát qua các công cụ chính để tạo n ên cấu trúc của Active Directory. 1.2.2.1. Miền Miền là một tập hợp các máy tính trong mạng cho phép quản trị cũng như bảo mật một cách tập trung. Một miền có chứa máy chủ v à các máy trạm làm việc của miền. Các máy chủ của miền được chia thành hai loại sau: a) Máy điều khiển miền (DC - Domain Controller) Mỗi một miền phải có ít nhất một máy chủ điều khiển miền gọi l à DC (Domain Controller - DC), để duy trì cơ sở dữ liệu (CSDL) khoản mục của miền (trong đó có những khoản mục chính l à: tài khoản người sử dụng, tài khoản nhóm và tài khoản máy). Bất kỳ máy chủ khác n ào có lưu giữ một bản sao CSDL khoản mục của miền cũng đều đ ược gọi là DC, những máy chủ n ày có nhiệm vụ phân tải sự truy nhập v ào CSDL khoản mục của miền. b) Máy chủ (Server) Là những máy chủ khác của miền, dùng để cung cấp các dịch vụ nh ư: dịch vụ tệp, dịch vụ in, Các máy chủ n ày không được cập nhật thông tin về CSDL khoản mục của miền, do vậy không thể cân bằng tải v à điều khiển miền trong trường hợp xảy ra sự cố. 1.2.2.2. Đơn vị tổ chức (OU) Nhiều khi, miền còn là một khu vực quá lớn, n ên khó có thể trao quyền điều khiển cho ai đó. Giải pháp cho tr ường hợp đó là Windows 2000 chia nh ỏ miền ra thành các đơn vị tổ chức (Organizational Unit - OU). Điều này cho phép ta tạo ra các biên mới trong miền để d ễ quản lý và tăng tính bảo mật. Mỗi OU thường chứa các t ài khoản người dùng, tài khoản nhóm, hoặc tài khoản máy của miền, các t ài khoản này là duy nhất trên mạng và chỉ được xuất hiện nhiều nhất l à trong một OU. Công dụng chính của OU là để tập hợp các t ài khoản người dùng và tài khoản máy vào một nơi (trong một OU), sau đó có thể trao quyền kiểm soát OU này cho một tập hợp người dùng nào đó. Điều này cho phép ta qui đ ịnh một nhóm điều h ành viên có khả năng, chẳng hạn nh ư, định lại mật khẩu của một bộ phận nào đó, mà không c ần biến họ thành những quản trị vi ên có
  5. những quyền lực lớn h ơn mức mong muốn. Nhờ vậy mà ta xác định được rõ hơn về sơ đồ tổ chức, và thiết lập các biên về yêu cầu an toàn trong miền. Trong một OU lại có thể tạo ra các OU con của nó. Ví dụ: Hình 1.1 dưới đây minh hoạ các OU đ ược tạo ra trong miền HVKTMM.COM: HVKTMM.COM PHONG_BAN DAO_TAO TC_CBCT TH_HC TAI_VU KHOA CHUYEN_NGANH CO_BAN CO_SO TIN_HOC Hình 1.1. Cấu trúc các OU trong miền HVKTMM.COM 1.2.2.3. Địa bàn (Site) Với Active Directory, ngo ài việc nắm những thông tin về máy v à người dùng trong một mạng, nó còn theo dõi cả khía cạnh địa lý của mạng. Mỗi khu vực mà được nối kết bằng một mạng LAN th ì được gọi là một Site. Windows 2000 dùng nh ững thông tin chi tiết vế cá ch bố trí vật lý của mạng mà ta cung cấp cho nó để tính ra n ơi nào có những đường liên kết WAN là phần chậm chạp hơn mà lại đắt tiền hơn của mạng. Sau đó nó l àm hai việc rất có ích sau: Thứ nhất, nó nén những dữ liệu cần sao chép tr ước khi gửi đi, và thứ hai, nó dùng những thông tin chi phí tiếp vận (route costing information) mà ta cung c ấp cho để tính ra cách gửi chuyển tiếp tốt nhất những dữ liệu cần sao chép đó với chi phí rẻ nhất. Mỗi một Site thông th ường cần một máy DC để thuận tiện cho các cuộc đăng nhập tại địa bàn đó. Một miền cũng có thể có nhiều Site v à một Site lại có thể chứa nhiều miền. 1.2.3.4. Cây của các miền (Tree of domains)
  6. Các doanh nghiệp có mạng đa miền đều mong muốn xây dựng hệ thống cấp bậc theo cấu trúc cây cho các miền. Microsoft đã thiết kế Windows 2000 sao cho nó dùng DNS làm h ệ thống giải đáp tên, và DNS được thiết kế đã có bản chất cấu trúc cây, cho n ên Windows 2000 khai thác s ự trùng hợp này và khuyến khích thành lập các mạng đa miền d ưới dạng có cấp bậc. Ví dụ: Một mạng gồm năm miền có cấu trúc nh ư sau: Hình 1.2. Cấu trúc cây của các miền Miền đầu tiên được tạo ra trong một mạng đa miền đ ược gọi là gốc (root) của cây. Trong ví dụ tr ên, gốc của cây là Bancoyeu.Com. ở đây cũng có tên gọi mẹ, con như cấu trúc phân cấp cây thư mục của DOS. Các miền ở mức trên được gọi là miền mẹ của các miền ở mức ngay d ưới nó, Các miền ở mức ngay dưới được gọi là miền con của miền ngay b ên trên nó. Khi các miền được tổ chức theo cấu trúc cây, Windows 2000 sẽ tự động tạo ra các quan hệ uỷ q uyền giữa miền mẹ v à các miền con. Ví dụ khi tạo ra miền con HVKTMM.Bancoyeu.Com, th ì tự động sẽ có một mối quan hệ uỷ quyền hai chiều giữa Bancoyeu.Com v à HVKTMM.Bancoyeu.Com. M ối quan hệ uỷ quyền hai chiều n ày có nghĩa là: các quản trị viên của miền Bancoyeu.Com có thể quyết định mở rộng những quyền truy cập tập tin v à máy in trong mi ền của họ cho những ng ười dùng của miền HVKTMM.Bancoyeu.Com và ngư ợc lại. Ngoài ra, với Windows 2000, các mối quan hệ uỷ quyền c òn có tính bắc cầu. Điều đó dẫn tới tất cả các miền trong một cây đều có quan hệ uỷ quyền hai chiều với nhau. Như vậy, cây của các miền đem lại lợi điểm l à tự động tạo ra các quan hệ uỷ quyền. Nh ưng tất cả các tên miền phải được đặt theo hệ thống cấp bậc
  7. chính xác tương t ự như ví dụ trên thì mới hình thành được một cây của Windows 2000. 1.2.3.5. Rừng của các miền (Forest of domains) Rừng là tập hợp của hai hay nhiều cây. Các cây th ường được nối qua tuyến truyền thông. H ình 1.3 là một ví dụ về một rừng có hai cây. Hình 1.3. Rừng của các cây Windows 2000 đòi hỏi phải có một miền l àm gốc của rừng, và miền đầu tiên được tạo ra sẽ là miền gốc của rừng. Các quan hệ uỷ quyền giữa các miền thuộc hai cây khác nhau trong một rừng không được tự động tạo ra, mà phải xác lập bằng tay. Chú ý: Với Windows 2000 ta không thể nối hai miền có sẵn v ào trong một cây, và cũng không thể ghép một cây có sẵn v ào trong một rừng, mà cách duy nhất để đưa thêm một miền vào trong một cây, hoặc một cây v ào trong một rừng, là xây dựng nó từ đầu trên một cây hoặc rừng có sẵn. 1.3. Đăng nhập vào mạng Muốn làm việc và khai thác tài nguyên trên m ạng, thì trước hết ta phải thực hiện thủ tục đăng nhập v ào mạng. Sau đây là một số khái niệm li ên quan đến thủ tục này. 1.3.1. Một số khái niệm User name: Là tên đăng nhập vào mạng của một k hoản mục người sử dụng. Những khoản mục ng ười sử dụng do những ng ười quản trị có thẩm quyền tạo ra, và mỗi khoản mục n ày sẽ được trao cho một số quyền hạn nhất định khi làm việc trên mạng. Tại mỗi thời điểm tr ên một máy chỉ cho phép nhiều nhất một người sử dụng có thể đăng nhập v ào mạng. Mỗi lần muốn
  8. đăng nhập vào mạng với user name khác, ta chọn lần l ượt Start/Shut Down Log off . Administrator: Là user name đ ặc biệt, được tự động tạo ra trong quá trình cài đặt, đóng vai trò là người quản trị mạng, là người có quyền cao nhất trong việc tổ chức và quản lý mạng. Password: Là mật khẩu được gán riêng cho từng khoản mục ng ười sử dụng. Chỉ khi nào người sử dụng gõ đúng mật khẩu tương ứng với user name của mình thì mới vào được mạng. 1.3.2. Khởi động máy và đăng nhâp vào mạng Trình tự khởi động máy và đăng nhập vào mạng trên máy chủ và máy trạm là tương tự nhau và gồm những bước sau: - Khởi động máy - Nếu máy chủ hoặc máy trạm có c ài nhiều hệ điều hành thì chọn dòng thông báo: MicroSoft Windows 2000 Server (trên máy chủ) hoặc MicroSoft Windows 2000 Professional (trên máy trạm) để khởi động Windows 2000. - Chờ cho đến khi màn hình hiện ra dòng chữ: Press Ctrl - Alt - Delete to begin thì bấm tổ hợp ba phím Ctrl - Alt - Delete để hiện ra cửa sổ đăng nhập v ào mạng gồm những thông tin sau: User name : (để vào tên người sử dụng, ví dụ: Administrator) Password : (để vào mật khẩu của người sử dụng) Log on to : (để chọn tên miền mà người sử dụng đăng nhập v ào) Sau khi vào xong nh ững thông tin trên ta nh ấn nút OK. Nếu những thông tin trên đư ợc vào đúng đắn, thì việc khởi động máy và đăng nhập vào mạng đã hoàn tất, ngược lại máy sẽ hiện ra d òng thông báo lỗi. 1.4. Tạo và quản lý các OU 1.4.1. Tạo các OU Để tạo các OU, ta sử dụng công cụ Active Directory Users and Computers bằng cách chọn lần l ượt các mục sau: Start/Programs/Administrator Tools/Active Directory Users and Computers. Khi đó sẽ hiện ra cửa sổ sau:
  9. Hình 1.4. Cửa sổ Active Directory Users and Computers Phần bên trái của cửa sổ trên chính là cấu trúc cây của một Active Directory đơn mi ền. Do đó tên miền Khoatin.Local cũng chính l à gốc của cây và cũng là gốc của rừng. Bên phải là phần chi tiết để hiện nội dung của một mục được chọn ở phần b ên trái. Các mục ngay bên dưới miền Khoatin.Local đư ợc coi như những khoang chứa (container), tương t ự như khái niệm Folder của Windows. Các mục n ày được tự động tạo ra trong quá tr ình cài đặt, dùng để chứa các tài khoản người dùng, tài khoản nhóm, tài khoản máy Tuy có sự phân chia th ành các mục như vậy nhưng ta có thể tạo ra hoặc di chuyển các t ài khoản vào bất kỳ mục nào, kể cả ở mức miền Khoatin.Local, v ì nó cũng được coi như một container. Khi nâng cấp một miền từ NT 4 l ên Windows 2000, mọi tài khoản người dùng và tài khoản máy của NT 4 sẽ được tự động chuyển v ào hai mục tương ứng là Users và Computers. Các OU sẽ có biểu tượng quyển sách mở ở giữa để phân biệt, hay có thể phân biệt qua cột Type ở phần chi tiết b ên phải. Như trong hình 1.4 ở trên thì có một OU là Domain Controllers , cộng thêm bản thân miền Khoatin.Local cũng được coi như một OU. Để tạo một OU mới, ta chọn một OU sẽ chứa OU sắp tạo (ví dụ chọn Khoatin.Local), sau đó m ở menu Action, rồi lần lượt chọn New/Organizational Unit . Khi đó sẽ hiện ra cửa sổ:
  10. Hình 1.5. Cửa sổ khai báo OU mới Trong cửa sổ trên, giả sử ta muốn tạo một OU có t ên là PTHUC HANH nằm ngay dưới miền KHOATIN.LOCAL để chứa tất cả các học vi ên tham gia thực hành tại phòng máy của khoa Tin học. Khi kết thúc tạo ta nhấn OK. Hình ảnh của Active Directory khi đó sẽ như sau: Hình 1.6. Cửa sổ Active Directory Users and Computers sau khi tạo thêm OU PTHUC HANH Chú ý: Tên của các OU có thể đặt d ài tới 64 ký tự và có thể chứa các ký tự bất kỳ. ở cùng một mức thì tên của các OU phải khác nhau, nh ưng ở các mức khác nhau thì chúng có th ể có tên giống nhau. 1.4.2. đổi tên OU đã có Chọn OU cần đổi t ên, chọn Remane từ menu Action, rồi tiến hành đổi tên mới.
  11. 1.4.3. Xoá OU đã có Chọn OU cần xoá, chọn Delete từ menu Action hoặc bấm phím Delete, sau đó chọn: Yes - để xoá, No – không xoá. Chú ý: Khi xoá một OU thì tất cả các tài khoản nằm trong nó kể các các OU con của nó cũng đều bị xoá khỏi cấu trúc của Active Directory. Câu hỏi và bài tập 1. Trình bày vai trò của Active Directory 2. Trình bày cấu trúc của Active Director y 3. Thực hành tạo cấu trúc các OU nh ư hình 1.1 (không cần tạo miền HVKTMM.COM mà ch ỉ tạo các OU ở bên dưới miền này), sau đó đổi tên một số OU. Cuối c ùng xoá cấu trúc OU vừa tạo.
  12. Chương 4 Quản lý tài nguyên file và thư m ục 4.1. Các hệ thống file của Windows 2000 Windows 2000 hỗ trợ ba hệ thống file l à FAT (File Alocation Table), NTFS (New Technology File System) và EFS (Encrypting File System). FAT: Là một hệ thống lưu trữ file cơ bản nhất. Ưu điểm của hệ thống này là hỗ trợ rất rộng các ứng dụng, nh ưng tính bảo mật thấp. NTFS: Là hệ thống phân hoạch file ti ên tiến, Hệ thống phân hoạch n ày có lợi thế là bảo mật được ở mức file v à phân chia làm nhi ều mức cho phép truy cập vào thư mục và file. EFS: Là hệ thống bảo đảm sự bảo mật tối đa cho ng ười sở hữu file bằng cách mã hoá các file. 4.2. Chế độ bảo mật của NTFS 4.2.1. Một số khái niệm Quyền truy cập (Permission): Chỉ mức độ người sử dụng có thể truy cập vào một file hoặc một th ư mục. Trên hệ thống NTFS có rất nhiều quyền truy cập đáp ứng được như cầu bảo mật dữ liệu đa dạng. Có hai loại quyền truy cập vào tài nguyên file và thư m ục là: quyền truy cập chia sẻ (share permission) và quyền truy cập file và thư mục (file and directorry permission). Sau đây để cho ngắn gọn v à dễ phân biệt, ta sẽ gọi quyền truy cập chia sẻ là quyền truy cập từ xa, gọi quyền truy cập file và thư mục là quyền truy cập cục bộ. Quyền sở hữu (Ownership): Một người sử dụng có quyền sở hữu đối với một file hoặc th ư mục nào đó sẽ có thể cấp cho mình toàn quyền sử dụng file hoặc thư mục này, đồng thời còn có thể cấp quyền truy cập file hoặc th ư mục này cho các đối tượng khác. Khi một ng ười sử dụng tạo ra một file hoặc thư mục mới thì quyền sở hữu file hoặc th ư mục này sẽ thuộc về họ. Mỗi một file hoặc thư mục chỉ có duy nhất một đối t ượng có quyền sở hữu. 4.2.2. Quyền truy cập từ xa Trong hệ thống mạng Windows 2000, một th ư mục (kể cả ổ đĩa) bất kỳ của máy tính n ào muốn trở thành tài nguyên chung (cho nh ững người ở máy tính khác cùng sử dụng) đều phải tiến h ành thao tác chia s ẻ. Khi ta tiến h ành chia sẻ một thư mục của một máy tính nào đó, tức là đã đưa thư mục đó ra
  13. cho mọi người trên các máy tính khác cùng truy c ập. Tuy nhiên mức độ cho người khác truy cập đến đâu l à do người chia sẽ quy định thông qua các quyền truy cập từ xa. Nh ư vậy quyền truy cập từ xa cho phép ng ười sử dụng từ những máy tính khác trong mạng, đ ược truy nhập v ào hệ thống thư mục của một máy tính có th ư mục chia sẻ. Quyền truy cập từ xa l à hàng rào cản đầu tiên (từ xa) mà người sử dụng cần vượt qua khi truy nhập v ào hệ thống file và thư mục trên mạng. Có thể ví chúng như cái núm g ạt chống ghi trên một đĩa mềm. Cho d ù ta có thể xoá, sửa đối với tất cả các file và thư mục trên đĩa mềm, nhưng chỉ cần cái núm gạt ấy ở đúng vị trí là ta không thể thay đổi được thứ gì. Windows 2000 chỉ cho phép chia sẻ các th ư mục, mà không chia sẻ được các file. Do vậy quyền truy cập từ xa chỉ áp dụng với th ư mục. Các quyền truy cập từ xa gồm: Full Control: Cho phép thực hiện tất cả mọi công việc tr ên tất cả các file và thư mục con trong thư mục chia sẻ. Change: Cho phép đọc và thi hành, cũng như thay đổi và xoá, các file và thư mục trong thư mục chia sẻ. Read: Cho phép đọc và thi hành các file, xem n ội dung thư mục chia sẻ, không có khả năng sửa đổi hoặc xoá bất kỳ thứ g ì trong thư mục chia sẻ. 4.2.3. Quyền truy cập cục bộ Như trên ta thấy các quyền truy cập từ xa chỉ đ ược phân thành ba mức và cũng chỉ áp dụng đ ược cho thư mục. Bởi vậy không đáp ứng đ ược nhu cầu bảo mật dữ liệu đa dạng trên mạng, vì có rất nhiều loại đối t ượng sử dụng khác nhau trên mạng, đòi hỏi các quyền tr ên cần được chia nhỏ tiếp v à phải được áp dụng chi tiết đến mức file. Sự có mặt của quyền truy cập cục bộ chính là nhằm đáp ứng yêu cầu trên. Quyền truy cập cục bộ được xem như những quyền truy cập trực tiếp (rào cản trực tiếp) mà người dùng phải qua khi truy nhập v ào hệ thống file và thư mục trên ổ đĩa cục bộ của máy tính, nh ư hình ảnh minh hoạ sau: Đăng nhập từ máy tính n ày Users Rào cản quyền từ xa Users Rào cản quyền cục bộ
  14. Đăng nhập từ máy tính khác Máy có thư mục chia sẻ Chính vì vậy, tại máy tính có th ư mục chia sẻ, nếu ng ười dùng truy cập vào thư mục chia sẻ này như một tài nguyên cục bộ của máy, th ì quyền truy cập từ xa sẽ không đ ược áp dụng, tức là lúc đó chỉ có các quyền truy cập cục bộ là có hiệu lực. Đối với các thư mục và file, có hai mức quyền truy cập khác nhau, có thể tạm gọi là quyền truy cập mức cao và quyền truy cập mức thấp , trong đó quyền truy cập mức cao l à tổ hợp của những quyền truy cập mức thấp. Bảng 3.1 trình bày cách k ết hợp của các quyền truy cập mức cao từ các quyền truy cập mức thấp. Bảng 3.1. Các quyền truy cập mức cao v à quyền truy cập mức thấp M ức cao Write Read List Folder Read & Modify Full Mức thấp Contents Execute Control Traverse folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Create Files/Write Data Create Folders/Append Da ta Write Attributes Write Extended Attributes Delete Subfolders and Files Delete Read Permissions Change Permissions Take Ownership Những qui luật hình thành các quyền truy cập mức cao trong bảng tr ên được áp dụng cho cả file và thư mục, chỉ trừ List Folder Contents , vì quyền truy cập này chỉ áp dụng cho thư mục. Những quyền truy cập mức thấp có dạng chọn một trong hai nh ư: Traverse folder/Execute File, List Filder/Read Data, Create Files/Write Data và Create Folders/Append Data, thì quy ền đầu được áp dụng cho th ư mục, quyền sau được áp dụng cho file.
  15. Các quyền truy cập ở mức thấp l à cơ sở để tạo nên các quyền truy cập ở mức cao mà chúng ta thường thấy như: Read, Modify và Full Control ý nghĩa của các quyền truy cập mức thấp nh ư sau: Traverse folder/Execute File: Traverse folder (ngh ĩa là đi qua thư mục) chỉ áp dụng với các th ư mục. Có những lúc ta thực hiện các file ch ương trình nào đó có gọi đến các file khác trong các th ư mục khác. Ví dụ, ta thực hiện một file chương trình Program1.exe, trong th ư mục APP1 (như hình 3.1). Giả sử file chương trình đó lại cố gắng gọi đến một file khác trong một th ư mục nằm sâu hơn một cấp bên dưới APP1 (giả sử đó là file Data.dat trong thư m ục App111), trong khi ta l ại không được phép truy cập các th ư mục cấp một bên dưới App1 (là App11). Khi đó ta s ẽ nhận được một thông báo lỗi “Access denied” (từ chối truy cập), v ì Windows 2000 không cho phép đi qua một thư mục không được phép truy cập. Nh ưng chỉ cần có quyền Traverse folder đối với các thư mục ở mức trên (là App11), thì ta s ẽ đi qua được các thư mục trung gian để đến đích (là App111). App1 Program.exe App11 App111 Data.dat Hình 3.1. Minh hoạ cho quyền truy cập Traverse folder Còn với Execute File, th ì chỉ áp dụng với các file, v à nếu file có đuôi là .EXE, .COM, hoặc một kiểu file khả thi khác, th ì quyền này cho ta thi hành được file đó. List Folder/Read Data : List Folder cho phép xem n ội dung của thư mục, còn Read Data cho phép xem n ội dung của file. Read Attributes: Cho phép nhìn th ấy các thuộc tính c ơ bản của file gồm: Read – Only, Hidden, System và Archive. Read Extended Attributes: Một số chương trình có gộp các thuộc tính khác vào kiểu file của chúng. Ví dụ Microsoft Word có gắn th êm vào file .DOC các thuộc tính như: Author, Subject, Title, Các thu ộc tính này được gọi là thuộc tính mở rộng (extended attributes), v à chúng thay đ ổi từ chương trình này sang ch ương trình khác. Quyền truy cập mức thấp này cho phép ta xem được các thuộc tính mở rộng đó. Create Files/Write Data : Create Files cho phép đ ặt các file mới vào thư mục đang xét (nghĩa l à có thể tạo ra hoặc sao chép, di chuyển từ n ơi khác đến). Write Data th ì cho phép ghi đè lên (sửa) những dữ liệu hiện có b ên trong file, nhưng không cho b ổ sung thêm dữ liệu vào file.
  16. Create Folders/Append Data : Create Folders cho phép t ạo ra các thư mục con trong thư mục đang xét. còn Append Data cho phép b ổ sung thêm dữ liệu vào cuối file đang xét, nh ư không cho sửa những dữ liệu đ ã có của file đó. Write Attributes : Cho phép thay đ ổi các thuộc tính c ơ bản của một file. Write Extended Attributes: Cho phép thay đ ổi các thuộc tính mở rộng của một file. Delete Subfolders and Files: Cho phép xoá các thư m ục con và các file của thư mục đang xét, nhưng không xoá đư ợc chính thư mục này. Delete: Cho phép xoá một file hoặc thư mục, nếu là thư mục thì chỉ xoá được khi nó đã rỗng. Read Permissions : Cho phép xem t ất cả các quyền truy cập v ào file hoặc thư mục đã được trao cho các đ ối tượng, nhưng không thể thay đổi được các quyền đã trao này. Change Permissions : Cho phép thay đ ổi các quyền truy cập v ào file hoặc thư mục cho các đối tượng. Take Ownership: Cho phép chiếm lấy quyền sở hữu file hoặc th ư mục. 4.3. Cách chia sẻ thư mục và trao quyền truy cập từ xa, định nghĩa ổ đĩa mạng 4.3.1. Cách chia s ẻ thư mục và trao quyền truy cập từ xa Muốn tạo ra một th ư mục dùng chung (chia s ẻ thư mục), thì ta phải có những quyền thích hợp. Điều n ày đòi hỏi ta phải là một quản trị viên (là thành viên nhóm administrators) ho ặc một điều hành viên server (server operators). Có nhiều cách để tạo ra các th ư mục dùng chung, nhưng n ếu ngồi tại máy có thư mục cần tạo, thì giao diện Explorer hoặc My Computer l à những phương tiên đơn gi ản và trực tiếp để tạo ra v à quản lý các đặc tính của một thư mục dùng chung. Từ Explorer hoặc My Computer, ta nhấn phải chuột tại th ư mục cần chia sẻ (ví dụ thư mục TP7, chọn Sharing từ menu ngữ cảnh, để hiện ra cửa sổ như hình 3.2. Sau đó để chia sẻ ta chọn Share this folder. Mục chọn Share name để gõ vào tên chia s ẻ. Tên chia sẻ giống như một bí danh của thư mục được chia sẻ. Ban đầu tên này được đặt mặc định chính là tên của thư mục được chia sẻ, nhưng ta có thể đổi lại thành một tên bất kỳ.
  17. Những người sử dụng trên mạng sẽ dùng tên chia sẻ để tham chiếu đến th ư mục dùng chung, mà không c ần biết tên thực sự của nó. Mục User limit dùng để giới hạn số ng ười dùng có thể đồng thời truy cập vào thư mục dùng chung này: Nếu chọn Maximum allowed thì số người dùng đồng thời là không hạn chế. Còn nếu muốn chỉ một số nhất định ng ười dùng (ví dụ 100 người) được phép đồng thời truy cập, th ì ta chọn Allow và gõ vào số người tại đó. Để thiết lập chế độ bảo mật cho th ư mục chia sẻ ta chọn nút Permissions, cửa sổ như hình 3.3 sẽ hiện ra cho thấy đ ã có nhóm Everyone trong khung Name được trao mặc định tất cả các quyền truy cập từ xa đối với thư mục này. Nếu muốn trao quyền truy cập từ xa th ư mục này cho những người sử dụng hoặc các nhóm khác th ì ta nhấn nút Add, và tiến hành chọn các đối tượng mong muốn từ danh sách đ ược hiện ra. Hình 3.2. Cửa sổ thay đổi các đặc tính của th ư mục dùng chung
  18. Hình 3.3. Cửa sổ trao quyền truy cập từ xa của th ư mục cho các đối tượng Nếu không muốn trao quyền truy cập từ xa cho một đối t ượng (người sử dụng hoặc nhóm) n ào thì ta chọn đối tượng đó từ khung Name rồi nhấn Remove. Nếu muốn sửa lại quyền truy cập của một đối t ượng nào đó, ta chọn đối tượng đó, rồi duyệt / bỏ duyệt v ào ô Allow tại quyền cần trao / không trao. Nếu muốn cấm t ường minh một đối tượng không được nhận quyền nào đó, thì ta duyệt vào ô Deny của quyền đó. Để ngăn cấm không t ường minh một quyền nào đó, thì ta không duyệt ở cả hai ô Allow v à Deny. Kết thúc mục này nhấn OK để trở về cửa sổ h ình 3.2. Tại cửa sổ hình 3.2 ta thấy có một tính năng mới khác với NT4, đó l à nút Caching (nghĩa là đệm trữ chia sẻ). Nút chọn n ày sử dụng tính năng Offline Files (file ngoại tuyến) làm cho việc truy cập file từ xa đ ược nhanh hơn. Offline Files hoạt động bằng cách tự động đệm trữ (cache) các f ile thường được truy cập từ xa, l ưu những bản sao đệm trữ (cached copy) đó trong một thư mục (gọi là cache) trên một ổ đĩa cứng của mỗi máy trạm có sự truy cập từ xa đến thư mục dùng chung đang xét. Sau đó Offline Files dùng các bản sao đệm trữ đó để tăng tốc độ truy cập, vì việc truy cập đến những file thường được truy cập ấy không phải l à từ xa nữa, mà được giải quyết ngay trên bản sao đệm trữ trong cache tại chính máy trạm. Tuy nhi ên trước hết Offline Files ph ải kiểm tra cho chắc chắn rằng file đó đ ã bị thay đổi tại thư mục dùng chung hay chưa, b ằng cách xem xét ng ày giờ và kích thước file trên cả thư mục dùng chung và trong cache c ủa máy trạm; nếu thấy giống nhau th ì Offline Files sẽ trao cho ta file trong cache; nếu không phải nh ư vậy (hai bản đó có sự khác nhau), thì Offline Files s ẽ đọc bản ở mạng (th ư mục dùng chung) về, đưa vào cache đ ể máy trạm có đ ược bản cập nhật mới nhất. Offline Files là một cơ chế đệm trữ write-through, nghĩa là khi ta lưu những thay đổi của một file, th ì những thay đổi đó luôn luôn được ghi ngay
  19. lên mạng (chứ không ghi tạm v ào cache rồi một lúc nào đó sau đó mới thực sự ghi lên mạng như loại cache write-back), và những thay đổi đó cũng đ ược đệm trữ vào ổ đĩa cứng tại chỗ luôn. Khi chọn Caching, cửa sổ như hình 3.4 hiện ra, và ta thấy ô duyệt Allow caching of files in this shared fold er được chọn mặc định, nghĩa l à có sử dụng tính năng đệm trữ các file trong th ư mục chia sẻ. Tại mục Setting cho phép ta chọn một trong ba kiểu đệm trữ sau: Manual Caching for Documents : Gọi là đệm trữ thủ công (được chọn mặc định). Kiểu đệm trữ n ày có nghĩa là không đệm trữ tất cả các file trong thư mục chia sẻ, mà chỉ đệm trữ những file cần thiết do ng ười dùng chỉ ra. Mục đích là để tiếp kiệm không gian đĩa cứng tr ên máy trạm, và giảm các thao tác đồng bộ dữ liệu trên mạng giữa bản gốc (trong th ư mục chia sẻ) và bản sao đệm trữ (trong đĩa cứng của các máy trạm khác). Hai kiểu thiết định sau l à Automatic Caching for Documents và Automatic Caching for Programs , gọi là đệm trữ tự động. Khi đó mọi file trong thư mục chia sẻ khi đ ược mở đều sẽ được tự động đệm trữ. Sự khác nhau duy nhất giữa hai kiểu đệm trữ tự động n ày là ở chỗ các file ch ương trình trong đệm trữ Automatic Caching for Programs khi đ ược gọi thực hiện sẽ không cần kiểm tra xem nó có đ ược cập nhật gần đây nhất hay không. Mục đích thiết định này là để việc gọi thực hiện ch ương trình được nhanh hơn vì không cần thực hiện thủ tục kiểm tra tính đồng bộ tr ên mạng (thường mất một số thời gian), trong khi các file ch ương trình lại ít khi có sửa đổ i. Hình 3.4. Cửa sổ đặt thiết định đệm trữ cho th ư mục chia sẻ
  20. Kết thúc mục này nhấn OK để trở về cửa sổ h ình 3.2, tại đó nhấn tiếp OK để kết thúc quá trình chia sẻ. Chú ý: Ta có thể tiến hành chia sẻ nhiều lần một th ư mục, mỗi lần với một tên chia sẻ khác nhau. Tại những lần chia sẻ sau, tr ên cửa sổ hình 3.2 sẽ có thêm mục New Share để chọn tên chia sẻ và những thiết định bảo mật mới. Cửa sổ hình 3.2 cũng để sửa lại các thiết định bảo mật cho một t ên chia sẻ đã tạo, hoặc bỏ một t ên chia sẻ đã tạo của một thư mục dùng chung. Khi đó tên chia sẻ được chọn từ mục Share name, các thao tác chỉnh sửa thiết định bảo mật được tiến hành như khi đang chia s ẻ, còn nếu muốn bỏ tên chia sẻ đang chọn thì ta chọn mục Remove Share. Nếu muốn bỏ tất cả các t ên chia chia sẻ đã có (không chia s ẻ nữa) thì chọn mục Do not share this folder . 4.3.2. Định nghĩa ổ đĩa mạng Khi một máy chia sẻ một th ư mục, thì các máy khác s ẽ nhìn thấy và truy cập qua tên chia sẻ. Tuy nhiên tại các máy khác n ày ta có thể gắn cho mỗi t ên tên chia sẻ một ký tự ổ đĩa (nh ư là một bí danh của t ên chia sẻ), và ổ đĩa này được gọi là ổ đĩa mạng (để phân biệt với ổ đĩa cục bộ đ ược gắn với máy tính). ổ đĩa mạng sẽ đ ược hiện trong mục My computer. Tất cả các chữ cái từ A – Z mà chưa dùng đ ến đều có thể dùng để đặt tên ổ đĩa mạng. Muốn định nghĩa một ổ đĩa mạng ta phải truy nhập v ào tài nguyên mạng để tìm một tên chia sẻ, bằng cách từ giao diện Explorer, lần l ượt chọn My Network Places/Entire Network/Microsoft Windows Network/Nhóm máy(ví dụ Khoatin)/Máy cần truy nhập (ví dụ May1). Nh ư hình 3.5 ta đã truy nhập vào máy tính có tên May1, và nhìn thấy các tài nguyên mà máy này đ ã chia sẻ để dùng chung trên mạng, trong đó có th ư mục Documents. Nếu muốn gắn một ổ đĩa mạng cho th ư mục này, ta nhấn nút chuột phải tại nó, rồi chọn mục Map Network Drive từ menu ngữ cảnh để hiện ra cửa sổ nh ư hình 3.6.
  21. Hình 3.5. Dùng giao diện Explorer để truy nhập t ài nguyên mạng Hình 3.6. Cửa sổ định nghĩa ổ đĩa mạng Tiếp theo ta chọn ký tự l àm ổ đĩa mạng tại mục Drive. Ô duyệt Reconnect at logon được chọn mặc định có nghĩa l à, ổ đĩa mạng này sẽ được dùng lại tại những lần đăng nhập v ào mạng sau này. Còn nếu bỏ ô duyệt tại đây, thì ổ đĩa mạng này sẽ không còn hiệu lực tại lần đăng nhập kế tiếp. Kết thúc việc định nghĩa ta nhấn nút Finish.
  22. Để xem các ổ đĩa mạng đ ã định nghĩa, ta v ào mục My compter cũng trong giao diện Explorer, trong đó những ổ đĩa mạng sẽ có th êm biểu tượng ở đầu để phân biệt với các ổ đĩa cục bộ, nh ư hình 3.7 ta thấy có ba ổ đĩa mạng là F, G và M. Tại đây nếu muốn bỏ (không định nghĩa) ổ đĩa mạng n ào thì nhấn nút phải chuột tại nó, rồi chọn Disconnect từ menu ngữ cảnh. Hình 3.6. Xem các ổ đĩa mạng 4.4. Cách trao quy ền truy cập cục bộ Mỗi file hay thư mục trong hệ thống NTFS đều có một thuộc tính gọi l à Owner, để chứa chủ nhân hay ng ười sở hữu của nó. Luôn có một chủ nhân nào đó cho mỗi file hay thư mục. Chủ nhân của một file hay th ư mục thì có quyền sở hữu (ownership) file hay th ư mục đó. Quyền sở hữu ho àn toàn tách biệt với các quyền truy cập, v à phải có quyền sở hữu một file hay th ư mục thì ta mới có thể trao quyền truy cập file hay th ư mục (quyền truy cập cục bộ) cho các nhóm và ngư ời sử dụng khác. Như vậy kể cả người quản trị Administrator, nếu không phải l à chủ sở hữu của một file hay th ư mục thì cũng không thể trao quyền truy cập cục bộ cho các đối tượng khác. Nhưng người quản trị Administrator v à nhóm quản trị Administrators lại có một khả năng đặc biệt l à có thể chiếm quyền sở hữu của bất kỳ file hay th ư mục nào, cho dù họ không có bất kỳ quyền truy cập nào đối với các file hay th ư mục này. Khi một người sử dụng tạo ra một file hay th ư mục, thì họ sẽ mặc định l à chủ sở hữu của file hay th ư mục này. Với những file hay th ư mục mà không
  23. có ai là người rõ ràng tạo ra (như các file và các thư m ục hệ thống) thì quyền sở hữu của chúng đ ược giao cho nhóm quản trị Administrators. Khi đã là chủ nhân của một file hay th ư mục, nếu muốn thiết định hoặc sửa thiết định chế độ bảo mật cho nó (trao quyền truy cập cục bộ), th ì ta nhấn nút phải chuột tại file hay thư mục đó từ giao diện Explorer hoặc My Documents, chọn Properties từ menu ngữ cảnh, rồi chọn trang Security, để hiện ra cửa sổ như hình 3.8. Trên đó ta thấy có tuỳ chọn Allow inheritable permissions from parent to propagate to this object và được chọn duyệt mặc định. Tuỳ chọn n ày xuất hiện nếu thư mục hoặc file đang xét đang nằm trong thư mục mẹ nào đó ở mức trên. Và ý nghĩa của tuỳ chọn n ày là thừa hưởng những thiết định bảo mật đ ã có từ thư mục mẹ. Như trong hình 3.8, tất cả các quyền truy cập m à nhóm Everyone có được đều là những quyền thừa hưởng từ thư mục mẹ. Nếu không muốn thừa h ưởng những thiết định đ ã có từ thư mục mẹ thì ta bỏ ô duyệt của tuỳ chọn trên. Khi đó sẽ hiện ra cửa sổ nh ư hình 3.9 để ta chọn một trong những khả năng sau: nếu ta muốn bắt đ ầu bằng cách lấy các thiết định đ ã thừa hưởng làm cơ sở thì chọn Copy. Khi đó nhóm Everyone vẫn có đầy đủ các quyền nh ư cũ nhưng sẽ được coi là quyền đặt trực tiếp mà không phải là quyền thừa hưởng; nếu muốn bắt đầu từ đầu (bỏ hết các quyền thừa h ưởng) thì chọn Remove. Khi đó nhóm Everyone s ẽ không còn một quyền nào và cũng bị loại luôn ra khỏi khung Name; nếu lại muốn thừa hưởng những thiết định đ ã có thì chọn Cancel.
  24. Hình 3.8. Cửa sổ trao quyền truy cập cục bộ cho các đối t ượng Hình 3.9. Những lựa chọn trước khi ngăn không cho thừa h ưởng những thiết định đã có Tại cửa sổ hình 3.8, nếu muốn trao quyền truy cập cục bộ cho các ng ười sử dụng hoặc nhóm khác th ì nhấn nút Add, và chọn những đối tượng mong muốn từ danh sách hiện ra. Nếu không muốn trao quyền truy cập cục bộ cho một đối t ượng nào đó thì ta chọn đối tượng đó từ khung Name rồi nhấn Remove. Nếu muốn sửa lại quyền truy cập của một đối t ượng nào đó, ta chọn đối tượng đó, rồi duyệt / bỏ duyệt v ào ô Allow tại quyền cần trao / không trao.
  25. Nếu muốn ngăn cấm tường minh một đối t ượng không được nhận quyền n ào đó, thì ta duyệt vào ô Deny của quyền đó. Để ngăn cấm không t ường minh một quyền nào đó, thì ta không duyệt ở cả hai ô Allow v à Deny Đến đây ta có thể nhấn nút OK để kết thúc quá tr ình thiết định chết độ bảo mật cho file hoặc th ư mục. Tuy nhiên ta thấy các quyền đ ược đặt ở trên là các quyền truy cập mức cao (luôn l à tổ hợp của các quyền truy cập mức thấp). Nếu muốn thiết định tới tận các quyền truy cập mức thấp v à cũng để chọn một số thiết định khác, thì ta nhấn nút Advance để hiện ra cửa sổ nh ư hình 3.10. Một số thông tin được trình bày ở cửa sổ này cũng giống và có ý nghĩa như cửa sổ trong hình 3.8, có chỗ được đổi lại từ ngữ một chút. Chẳng hạn khung Name và Permissions bây giờ gộp thành Permission Entries để cho ta thấy các nhóm và người dùng được chọn, kèm theo những lời mô tả về các quyền truy cập mà họ vừa được cấp. ở đây ta thấy có th êm ô duyệt mới là Reset permissions on all child objects and enable propagation of inheritable permissions . Ô duyệt này chỉ xuất hiện khi ta tiến h ành thiết định chế độ bảo mật cho th ư mục, và khi nó được chọn thì có nghĩa là các thiết định bảo mật của th ư mục này sẽ được phân bổ cho các file và các thư mục con của nó bằng cách tự chọn ô duyệt Allow inheritable permissions from parent to propagate to this object của mỗi file và các thư mục con trong nó.
  26. Hình 3.10. Cửa sổ đặt những thiết định truy cập cao cấp Nếu muốn trao các quyền truy cập mức thấp cho một đối t ượng nào đó, thì ta chọn nó trong khung Permission Entries, rồi nhấn nút View/Edit. Khi đó ta sẽ có được những chọn lựa nh ư hình 3.11. Từ đây ta cũng có th êm nhiều cách lựa chọn tổ hợp của các quyền truy cập mức thấp n ày. Mục Apply onto cho phép ta phân b ổ các quyền truy cập n ày cho một sự kết hợp nào đó của: thư mục hiện tại, các th ư mục con và các file của thư mục hiện tại. Tuy nhi ên nếu muốn phân bổ đến các th ư mục con và các file của thư mục hiện tại thì ta phải thêm chọn duyệt ô Apply these permissions to objects and/or containers within this container only. Hình 3.11. Cửa sổ trao quyền truy cập mức thấp Để kết thúc ta nhấn nút OK tại các cửa sổ. Chú ý: Các quyền truy cập từ xa có thể áp dụng cho cả hệ thống FAT v à NTFS, trong khi các quyền truy cập cục bộ chỉ đ ược áp dụng cho hệ thống NTFS. 4.5. lấy quyền sở hữu
  27. Trong quá trình phân b ổ và thu hồi các quyền truy cập, có thể chúng ta sẽ gặp trường hợp là không một ai, kể cả ng ười quản trị mạng có thể truy cập được vào một file hoặc một th ư mục xác định, đồng thời cũng không thể thay đổi được quyền truy cập vào file hoặc thư mục đó. Đó là do người sở hữu file hoặc thư mục đó đã bị xoá. Vậy thì tình huống này sẽ được giải quyết nh ư thế nào? Trong mục 4.2.1, khi nói về quyền sở hữu ta đ ã biết là khi một người sử dụng tạo ra một file hoặc th ư mục mới thì quyền sở hữu file hoặc th ư mục này sẽ thuộc về họ. Và khi một người sử dụng đã có quyền sở hữu đối với một file hoặc thư mục nào đó sẽ có thể cấp cho mình toàn quyền sử dụng file hoặc th ư mục này, đồng thời còn có thể cấp quyền truy cập file hoặc th ư mục này cho các đối tượng khác. Như vậy để giải quyết t ình huống này thì trước hết ta phải chiếm lấy quyền sở hữu file hoặc th ư mục này. Trong mục 4.2.3 ta thấy nếu đối t ượng nào có quyền Take Ownership đối với một file hoặc th ư mục thì đều có thể lấy được quyền sở hữu của file hoặc th ư mục này. Nhưng hiện tại có thể không có một đối tượng nào có quyền Take Ownership đối với một file hoặc thư mục đó. Rất may là Windows 2000 cho phép ngư ời quản trị Administrator và các thành viên c ủa nhóm quản trị Administrators , luôn có thể lấy được quyền sở hữu của bất kỳ file hoặc th ư mục nào mặc dù không có quyền Take Ownership đối với một file hoặc th ư mục đó. Để lấy lấy được quyền sở hữu của một file hoặc th ư mục, ta phải đăng nhập vào máy với tư cách là người sẽ lấy quyền sở hữu của một file hoặc th ư mục đó. Do vậy, tr ước hết ta đăng nhập v ào máy với tư cách là ngư ời quản trị Administrator ho ặc là thành viên nào của nhóm quản trị Administrators, sau đó thực hiện các thao tác t ương tự như khi trao quyền truy cập cục bộ đối v ới file hoặc thư mục đó, cho đến khi mở tới cửa sổ nh ư hình 3.10 thì nhấn chuột vào mục Owner để hiện ra cửa sổ nh ư hình 3.12.
  28. Hình 3.12. Cửa sổ xem/lấy quyền sở hữu Nhìn vào cửa sổ này ta thấy quyền sở hữu th ư mục TTAP đang thuộc về user Binh, Nếu muốn chuyển quyền sở cho đối t ượng khác, thì ta nhấn chuột tại đối tượng cần chuyển trong khung Name, rồi nhấn OK. Khi đã có quyền sở hữu file hoặc th ư mục đó, thì ta có thể trao quyền truy cập vào file hoặc thư mục này cho chính mình. 4.6. Tổng hợp các quyền truy cập Khi người sử dụng được trao cả quyền truy cập đối với một th ư mục, và cả với một số file hay th ư mục con của nó, th ì chỉ quyền truy cập đối file hay thư mục con là có hiệu lực. Như vậy nếu một người sử dụng có thể đ ược trao toàn quyền sử dụng một thư mục TM1, nhưng sau đó lại chỉ được trao quyền chỉ đọc đối với file vanban.doc nằm trong TM1, th ì người sử dụng đó vẫn không thể sửa được nội dung của file n ày. Nhưng cũng có ngoại lệ l à nếu người sử dụng có quyền mọi đối t ượng trong một thư mục, nhưng lại được trao quyền cấm xoá đối với một file hay thư mục con của nó, th ì thực chất người sử dụng vẫn xoá đ ược file hay th ư mục con này. Vì người sử dụng có thể đ ược trao cả quyền truy cập từ xa v à quyền truy cập cục bộ đối với một file hoặc th ư mục. Đồng thời họ cũng có thể nhận được các quyền n ày từ các nhóm mà họ là thành viên. Khi đó t ổng hợp lại thì họ có những quyền truy cập thực sự n ào đối với một file hoặc th ư mục? Nguyên tắc của cách tính quyền truy cập tổng hợp nh ư sau: Trước hết ta tổng hợp cá c quyền truy cập mà người sử dụng có được nhờ được trao trực tiếp, và được kế thừa từ các nhóm m à họ là thành viên (khi
  29. tổng hợp, ta phân th ành hai nhóm là: quyền truy cập từ xa v à quyền truy cập cục bộ). Quyền tổng hợp ở đây sẽ l à hợp của các quyền mà người sử dụng có được nhờ được trao trực tiếp, v à các quyền kế thừa từ các nhóm m à họ là thành viên, trừ ra những quyền bị cấm t ường minh. Ví dụ: Nếu người sử dụng A được trao quyền truy cập từ xa Change (bao gồm cả các quyền Modify, Read, Write), v à quyền truy cập cục bộ Modify, Write đối với thư mục Thuctap. Giả sử A là thành viên của nhóm N1, nhóm này đư ợc trao quyền truy cập từ xa Read, và quyền truy cập cục bộ Read, trong khi bị cấm tường minh hai quyền truy cập cục bộ Modify và Write đối với thư mục Thuctap. Khi đó quyền tổng hợp từ xa mà A có được đối với thư mục Thuctap là Change, quyền tổng hợp cục bộ l à Read. Sau đó quyền tổng hợp thực sự mà người sử dụng có được sẽ là những quyền hạn chế nhất giữa các quyền tổng hợp từ xa v à các quyền tổng hợp cục bộ, tức là sẽ bằng giao của các quyền tổng hợp từ xa v à các quyền tổng hợp cục bộ. Như trong ví dụ trên, thì quyền truy cập thực sự của A đối với thư mục Thuctap sẽ bằng giao của Change và Read, cho kết quả là Read. Câu hỏi và bài tập 1. Thế nào là quyền truy cập từ xa? Có những quyền truy cập từ xa n ào? Khi nào quyền truy cập từ xa không có ý nghĩa? 2. Thế nào là quyền truy cập cục bộ? Tr ình bày hệ thống các quyền truy cập cục bộ. 3. Thực hành cách chia sẻ thư mục và trao quyền truy cập từ xa, định nghĩa ổ đĩa mạng. 4. Thực hành trao quyền truy cập cục bộ. 5. Khi người sử dụng được trao cả quyền truy cập đối với một th ư mục, và cả với một số file hay th ư mục con của nó th ì Windows 2000 s ẽ xử lý như thế nào? 6. Thực hành tổng hợp quyền truy cập thực sự của m ột người sử dụng nào đó đối với một thư mục (được trao cả quyền truy cập từ xa v à cục bộ, vừa
  30. được trao trực tiếp, vừa đ ược thừa hưởng từ nhóm), rồi thử truy nhập v ào thư mục đó để kiểm tra kết quả.