Giáo trình Chuyên đề Domain Server

xem). Xem toàn bộ nội dung folder. 
 Contributor (ngƣời đóng góp). Xem toàn bộ nội dung folder, có thể tạo 
thêm file và folder và sửa file / folder mà bản thân đã thêm. 
 Co-owner (đồng chủ sở hữu). Xem và sửa toàn bộ nội dung của folder, kể cả 
các file/folder mà ngƣời khác tạo ra. 
- Ba quyền này không độc lập với nhau. Co-owner bao hàm Contributor, và 
Contributor lại bao hàm Viewer. 
- Cơ chế này rất dễ dùng và tiện dùng, nhƣng không dùng đƣợc trong nhiều trƣờng 
hợp. Hơn nữa, cơ chế này không có trên Windows Server 2003 mà chỉ có ở 
Windows Server 2008. 
2. Phân quyền cơ bản 
2.1. Giới thiệu cơ chế phân quyềnNTFS 
- Cơ chế kiểm soát truy nhập cơ bản trên Windows Server là kết hợp giữa hai cơ 
chế phân quyền: phân quyền trên hệ thống tệp NTFS và phân quyền trên giao thức 
chia xẻ tệp CIFS (hay còn gọi là phân quyền share). 
Phân quyền CIFS có ba quyền: 
 Read (đọc) 
 Change (sửa) 
 Full Control (toàn quyền). 
- Ba quyền này không độc lập với nhau. Full Control bao hàm Change, và Change 
bao hàm Read. 
- Phân quyền NTFS có 6 quyền: Full Control (toàn quyền), Modify (sửa), Read & 
Execute (đọc tệp và chạy chƣơng trình),List folder contents (hiện nội dung thƣ 
mục), Read (đọc), và Write (viết). 
 - Khi truy nhập server từ máy trạm, quyền truy nhập là giao giữa hai quyền CIFS và 
NTFS. Do đó, trong thực tiễn làm việc, để giảm bớt sự phức tạp, khi tạo nhiều share 
trên một server, có thể và nên tạo các share ấy theo cùng một quyền (CIFS) thống 
nhất cho mọi share và mọi ngƣời dùng, cụ thể: 
 Trên mọi share tự quản, Everyone có quyền Full Control. 
 Trên mọi share quản chế, Everyone có quyền Change. 
- Sự phân biệt quyền truy nhập giữa các nhóm khác nhau và trên các share khác 
nhau khi đó sẽ chỉ thể hiện ở phân quyền NTFS. 
2.2. Các công cụ phân quyền NTFS 
- Tất cả quyền truy nhập cơ sở của NTFS là : 
 Traverse folder/execute file (đi xuyên qua folder / thi hành file). 
 List folder/read data (hiện thƣ mục, đọc dữ liệu). 
 Read attributes (đọc thuộc tính). 
 Read extended attributes (đọc thuộc tính mở rộng). 
 Create files/write data (tạo file, viết dữ liệu). 
 Create folders/append data (tạo folder, nối dữ liệu). 
 Write attributes (viết thuộc tính). Cho phép thay đổi các thuộc tính của file và 
folder. 
 Write extended attributes (viết thuộc tính mở rộng). 
 Delete subfolders and files (xóa folder con và file). 
 Delete (xóa). 
 Read permissions (đọc quyền). 
 Change permissions (đổi quyền). 
 Take ownership (đoạt chủ quyền). 
 - Khi phân quyền cho một folder, quyền đã phân sẽ có thể sẽ áp dụng lên cả các 
folder con và file bên trong, việc này gọi là thừa kế. Việc thừa kế thực hiện theo 
một trong sáu kiểu sau đây. 
 This folder only (chỉ folder này thôi). Quyền chỉ áp dụng cho folder này, không 
thừa kế. 
 This folder, subfolders and files (folder này, các folder con và các file). Quyền 
áp dụng cho folder này, các folder con và các file. Thừa kế toàn phần. 
 This folder and subfolders (folder này và các folder con). Quyền áp dụng cho 
folder này và các folder con. Các folder con thừa kế. 
 This folder and files (folder này và các file). Quyền áp dụng cho folder này và 
các file. Các file thừa kế. 
 Subfolders and files only (các folder con và các file thôi). Quyền áp dụng chỉ 
cho các folder con và các file. Thừa kế toàn phần ngoại trừ bản thân. 
 Subfolders only (chỉ các folder con thôi). Quyền áp dụng chỉ cho các folder 
con. Các folder thừa kế ngoại trừ bản thân. 
 2.3. Thực hiện các quyền cơ bản của dữ liệu doanh nghiệp trên NTFS 
- Trong hệ thống tệp NTFS, năm quyền cơ bản trên folder dữ liệu doanh nghiệp 
đƣợc thực hiện theo những công thức sau đây: 
 Quyền sử dụng = Read & Execute, List Folder Contents và Read this folder, 
subfolders and files. 
 Quyền đóng góp = quyền sử dụng + Create files / Write data và Create 
folders/Append data this folder and subfolders. 
 Quyền biên tập = quyền sử dụng + Modify và Write this folder, subfolders and 
files. 
 Quyền xem thƣ mục = List folder / Read data this folder and subfolders. 
 Quyền xem quyền = Read Permissions this folder and subfolders. 
 Quyền xem quyền = Read Permissions this folder, subfolders and files. 
II. NGUYÊN TẮC KHI ÁP DỤNG QUYỀN TRUY CẬP 
1. Nguyên tắc hoạch định thƣ mục chƣơng trình 
 Dƣới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ truy cập 
NTFS cho thƣ mục: 
- Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và 
đem cấp cho nhóm Administrators. 
- Chỉ định cấp độ truy cập Full Control hoặc Change đối với thƣ mục thích hợp cho 
những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm. 
- Nếu các chƣơng trình mạng thƣờng trú dung chung, cấp quyền truy cập ở cấp độ 
Read cho nhóm Users. 
2 Nguyên tắc hoạch đinh thƣ mục dữ liệu 
 Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone và 
đem cấp cho nhóm Administrators. 
 Chỉ định cấp độ Add&Read cho nhóm Users và cấp độ PC cho nhóm 
CreatorOwner. Việc này sẽ cung cấp cho ngƣời dùng đăng nhập cục bộ khả năng 
hủy bỏ và sữa chữa chỉ những thƣ mục và tập tin họ đã sao chép hoặc tạo ra trên 
máy tính mà họ đăng nhập. 
2. Nguyên tắc hoạch định thƣ mục cá nhân 
 Tập trung mọi thƣ mục cá nhân trên 1 Volume NTFS riêng biệt với Volume 
chứa hệ điều hành và các chƣơng trình, nhằm hợp lí hóa công tác quản trị và sao lƣu 
dữ liệu 
 Dùng biến %UserName% để tự động gán tên tài khoản của ngƣời dung cho 
thƣ mục và tự động chỉ định quyền truy cập NTFS ở cấp độ PC cho ngƣời tƣơng 
ứng. 
4. Tạo thƣ mục cá nhân (Home Folder) trên Volume NTFS 
- Lƣu trữ thƣ mục cá nhân trên một Volume NTFS có thuận lợi rất lớn, có thể tổ 
chức chúng thành hệ thống phân tầng và giới hạn khả năng truy cập ở những ngƣời 
dùng tƣơng ứng mà không cần chia sẽ từng thƣ mục. 
III. SHARE PERMISSION 
- Đầu tiên mở trình Windows Explorer ra chọn Organize Folder and Search 
Options. 
- Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended). 
 Trong Windows server 2008 để chia sẻ một thƣ mục nào đó nhấp chuột phải vào 
thƣ mục cần share chọn Share 
- Nhấp chọn Advanced Sharing... 
 - Ở ô Share Name máy sẽ tự lấy tên default là tên thƣ mục hiện hành bạn có thể 
chỉnh sửa tên này tùy ý. 
Với các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tƣơng 
ứng. 
Với các tùy chọn là Deny: User không có quyền truy cập tài nguyên với quyền hạn 
tƣơng ứng. 
Để thực hiện phân quyền cho các Group thì ta cần Deny tất cả các quyền của Group 
User này. 
Sau khi Deny tất cả các quyền của Group User nhấp nút Add thể thêm Group hoặc 
User vào. 
Trong này giả sử Add thêm User tai và cũng Set quyền cho User này là Deny tất cả 
mọi quyền. 
 Tƣơng tự Add thêm User phat và Set quyền cho User này là Allow tất cả mọi 
quyền. 
Để tạo một thƣ mục mà không muốn cho ai thấy (chỉ có gõ lệnh mới vào đƣợc) thỉ 
thêm dấu $ vào ngay sau Share Name của mình. 
VD: Máy có IP là 192.168.1.10 và thƣ mục Share có tên là New Folder (2)$. Trong 
này giả sử ta Add thêm User tai và Set quyền cho User này là Allow tất cả mọi 
quyền. Khi đó truy cập từ máy khác vào phải nhập là \\172.16.1.10\New Folder (2)$ 
thì mới vào đƣợc. 
Bây giờ từ một máy Client khác, truy cập thƣ mục New Folder (2) với User là tai 
Máy sẽ báo là không có lối vào lý do là đã Set cho User tai bị Deny tất cả. 
User tai bị từ chối truy cập New Folder (2) . Tuy nhiên với User phat thì có thể 
xem đƣợc các tài nguyên trong này. 
Để xem các thƣ mục Share ẩn trong Windows, vào Administrative Tools Share 
and Storage Management. 
Trong này sẽ liệt kê toàn bộ các thƣ mục đã Share trƣớc đó. 
Để tránh phải mất công nhập dòng lệnh \\[IP máy tới]\[thƣ mục share] chúng ta có 
thể ánh xạ ổ đĩa đối với các thƣ mục Share thƣờng xuyên truy cập bằng cách nhấp 
phải vào thƣ mục đã Share cần ánh xạ và chọn Map Network Drive 
 Trong cửa sổ Map Nerwork Drive hiện ra bạn chọn tên ổ đĩa ánh xạ và click Finish. 
Vào Computer sẽ thấy xuất hiện thêm ổ đĩa mới (Ổ đĩa ánh xạ). Nhấp vào đấy sẽ đi 
đến ngay thƣ mục mà bạn vừa ánh xạ. 
CHƢƠNG 7: XÂY DỰNG MÔ HÌNH MẠNG MỘT CÔNG TY 
I. CẤU HÌNH DỊA CHỈ IP, DHCP,DNS 
1. Cấu hình địa chỉ IP 
 Server Client 
IP address 192.168.1.10 192.168.1.11 30 
Subnet mask 255.255.255.0 255.255.255.0 
Default gateway 192.168.1.10 192.168.1.10 
Preferred DNS 192.168.1.10 192.168.1.10 
2. Cấu hình DHCP 
3.Cấu hình DNS 
II. TẠO OU,USER VÀ GROUP 
Công ty taiphat gồm 4 phòng : Phòng Giám Đốc , Phòng Kế Toán , Phòng Kỹ 
Thuật , Phòng Kinh Doanh. 
Phòng Giám Đốc gồm 3 user : gd1, gd2, gd3. 
Phòng Kế toán gồm 4 user : kt1, kt2, kt3, kt4. 
 Phòng Kỹ thuật gồm 3 user : kth1, kth2, kth3. 
Kinh Doanh gồm 3 user : kd1, kd2 , kd3. 
III. GROUP POLICY,DICK QUOTA 
1. Phòng Giám Đốc : các user của phòng giám đốc có toàn quyền trên domain và 
dung lƣợng ỗ đĩa không giới hạn, không qui định thời gian vào mạng. 
 2. Phòng Kế Toán : các user thuộc phòng kế toán có các yêu cầu là mật khẩu ít 
nhất phải 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày, ngƣời dùng đăng nhập sai 
3 lần sẽ bị khóa account, thời gian khóa sẽ là 5 phút, user không phải ấn tổ hợp 
phím Ctrl+Alt+Del khi đăng nhập, dung lƣợng ỗ đĩa tối đa là 100 MB, thời gian vào 
mạng từ 8h sang -> 14h các ngày thứ hai, tƣ , sáu. 
 Mật khẩu ít nhất 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày 
 ngƣời dùng đăng nhập sai 3 lần sẽ bị khóa account, thời gian khóa sẽ là 
5 phút 
 user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng 
nhập 
 dung lƣợng ỗ đĩa tối đa là 100 MB 
 thời gian vào mạng từ 8h sang -> 14h các ngày thứ hai, tƣ , sáu 
3. Phòng Kinh Doanh : Không cho phép user trên Client truy cập vào ỗ chứa hệ 
điều hành (ỗ C), không đƣợc cài đặt chƣơng trình, không đƣợc truy cập vào 
registry, không đƣợc truy cập Control Panel trên máy Client, dung lƣợng ỗ đĩa tối 
đa là 100 MB, thời gian đăng nhập từ 8h -> 15h thứ ba, năm , bảy 
 Không cho phép user trên Client truy cập vào ỗ chứa hệ điều hành (ỗ C) 
không đƣợc cài đặt chƣơng trình 
 không đƣợc truy cập vào registry 
không đƣợc truy cập Control Panel trên máy Client 
 dung lƣợng ỗ đĩa tối đa là 100 MB 
thời gian đăng nhập từ 8h -> 15h thứ ba, năm , bảy 
4. Phòng Kỹ Thuật : mật khẩu ngoài viêc có 8 ký tự trở lên thì còn phải có mật khẩu 
khó, tức là phải có thêm các ký tự (- _ ? / ). Không cho phép Auto play tất cả các 
loại ỗ đĩa kể cả USB. Dung lƣợng ỗ đĩa tối đa là 100MB . Thời gian vào mạng từ 5h 
-> 10h và từ 13h -> 18h các ngày thứ hai, năm , bảy , chủ nhật 
 mật khẩu có 8 ký tự trở lên, phải có mật khẩu khó 
Không cho phép Auto play tất cả các loại ỗ đĩa kể cả USB 
 Dung lƣợng ỗ đĩa tối đa là 100MB 
Thời gian vào mạng từ 5h -> 10h và từ 13h -> 18h các ngày thứ hai, năm , bảy , 
chủ nhật 
IV. CHIA SẺ DỮ LIỆU 
- Thiết lặp permission trên thƣ mục DATA : cho phép các user ở phòng Kế 
Toán, phòng Kinh Doanh, phòng Kỹ Thuật, chỉ đƣợc phép đọc dữ liệu, nhƣng 
không đƣợc đọc các thuộc tính, và các thuộc tính mở rộng, các user ở phòng Giám 
Đốc thì toàn quyền. 
 - Thiết lặp permission trên thƣ mục DATA chung : cho phép các user ở phòng 
Kế Toán, phòng Kinh Doanh, phòng Kỹ Thuật, đƣợc phép đọc dữ liệu và đọc các 
thuộc tính, Đƣợc phép tạo file và viết dữ liệu, nhƣng không đƣợc phép thay đổi các 
thuộc tính của file và viết các thuộc tính mở rộng, đƣợc phép xóa nhƣng không 
đƣợc xóa file. 
- Thiết lặp permission trên thƣ mục Kế Toán : cho phép các user ở phòng Kế 
Toán đƣợc quyền đọc, nhƣng chỉ đƣợc đọc dữ liệu không đƣợc đọc các thuộc tính 
của file. Đƣợc phép tạo file và viết dữ liệu, và đƣợc quyền xóa sửa. Còn các user ở 
phòng Kinh Doanh và Kỹ Thuật chỉ đƣợc phép đọc dữ liệu. 
cho phép các user ở phòng Kế Toán đƣợc quyền đọc, chỉ đƣợc đọc dữ liệu 
không đƣợc đọc các thuộc tính của file. Đƣợc phép tạo file và viết dữ liệu, và 
đƣợc quyền xóa sửa 
 các user ở phòng Kinh Doanh và Kỹ Thuật chỉ đƣợc phép đọc dữ liệu. 
- Thiết lặp permission trên thƣ mục Kinh Doanh : cho phép các user ở phòng 
Kinh Doanh đƣợc phép đọc dữ liệu và các thuộc tính. Đƣợc phép viết dữ liệu,tạo 
file, folder. Đƣợc phép thay đổi các thuộc tính của file và folder nhƣng không đƣợc 
phép xóa file và folder. Còn các user ở phòng Kế Toán và phòng Kỹ Thuật chỉ đƣợc 
quyền đọc dữ liệu. 
các user ở phòng Kinh Doanh đƣợc phép đọc dữ liệu và các thuộc tính. Đƣợc 
phép viết dữ liệu,tạo file, folder. Đƣợc phép thay đổi các thuộc tính của file và 
folder nhƣng không đƣợc phép xóa file và folder 
các user ở phòng Kế Toán và phòng Kỹ Thuật chỉ đƣợc quyền đọc dữ liệu. 
- Thiết lặp permission trên thƣ mục Kỹ Thuật : cho phép các user ở phòng Kỹ 
Thuật đƣợc phép tạo file, đọc dữ liệu và đọc các thuộc tính mở rộng, nhƣng không 
cho phép tạo folder, viết các thuộc tính mở rộng và không đƣợc xóa file. Các user o 
phòng Kinh Doanh và phòng Kế Toán chỉ đƣợc phép đọc và ghi dữ liệu 
các user ở phòng Kỹ Thuật đƣợc phép tạo file, đọc dữ liệu và đọc các thuộc 
tính mở rộng, nhƣng không cho phép tạo folder, viết các thuộc tính mở rộng và 
không đƣợc xóa file 
Các user o phòng Kinh Doanh và phòng Kế Toán chỉ đƣợc phép đọc và ghi dữ 
liệu 
V. KIỂM TOÁN 
Thiết lập kiểm toán nhằm để ghi nhận lại những trƣờng hợp truy cập trái phép. 
Click phải thƣ mục daata Properties. 
Tab Security Chọn Advanced. 
 Tab Auditing Chọn Edit. 
Chọn Add. 
 Nhập Everyone Check Names OK. 
Chọn tất cả các chọn lựa OK. 
 Và nhấn OK để hoàn tất. 
Mở Group Policy Management. 
Click phải lên Default Domain Policy Edit. 
Click phải Audit object access Properties. 
Chọn Define these policy settings Chọn Success , Failure. 
 Mở Run nhập lệnh GPUpdate /Force. 
 Kiểm tra : 
Trên máy client log on KT1 truy cập vào thƣ mục daata báo lỗi không có 
quyền truy cập. 
Trên máy Server Mở Event Viewer. 
 Mở Windows Logs Security Mở các event Audit Failure (& event id 
5140). 
Quan sát thấy trƣờng hợp truy cập trái phép của KT1 vào thƣ mục daata đã đƣợc 
ghi nhận lại. 
 VI. QUẢN LÝ MÁY IN 
Tạo 4 máy in có tên là ph giam doc, ph ke toan ,ph kinh doanh, ph ki thuat 
tƣơng ứng cho mỗi phòng . 
Gán quyền cho các user ở phòng Giám Đốc đƣợc quyền in trên máy in tên ph 
Giám Đốc . Và cho máy in này luôn ở trạng thái sẵn sàng, gán độ ƣu tiên cho máy 
in này là 2. 
 Riêng user gd1 đƣợc quyền thay đổi các cấu hình và đƣợc quyền xóa tài liệu đã 
đƣợc sử dụng trên máy in ph Giám Đốc . 
Trên máy in ph Kế Toán các user ở phòng Kế Toán đƣợc quyền in trên máy in 
này, thời gian đƣợc in từ 7h sáng đến 18h chiều . Mức độ ƣu tiên 1, các user ở 
phòng Giám Đốc đƣợc phép in trên máy in này, riêng user gd1 đƣợc phép toàn 
quyền. 
Trên máy in ph Kinh Doanh các user ở phòng Kinh Doanh đƣợc quyền in trên 
máy in này, mức độ ƣu tiên cho máy in này là 1, thời gian đƣợc in từ 9h sáng đến 
14h chiều. User gd1 đƣợc toàn quyền. 
Trên máy in ph Kỹ Thuật các user ở phòng Kỹ Thuật đƣợc quyền in trên máy in 
này, thời gian đƣợc in từ 8h sáng đến 16h chiều, mức độ ƣu tiên là 1.