Giáo trình Quản lý và duy trì hệ điều hành Microsoft Windows Server 2003 (Phần 2)

Nội dung text: Giáo trình Quản lý và duy trì hệ điều hành Microsoft Windows Server 2003 (Phần 2)

1. LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH QUAN LÝ VÀ DUY TRÌ CÁC NGUỒN TÀI NGUYÊN CHIA SẺ QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 - 385 -
2. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE CHƯƠNG 9: CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Một trong những lý do chính của sự tồn tại các mạng dữ liệu đó là khả năng chia sẻ các fíle cho nhiều người sử dụng trên các máy tính khác nhau. Trên một mạng nhỏ, chia sẻ fíle thường là một tiến trình thông thường được thực hiện bởi người sử dụng đầu cuối, ở đó tính chất bảo mật ít được chú ý tới. Tuy nhiên, trên một mạng lớn, mà đặc biệt là trong các tố chức thường xuyên vận hành với các dữ liệu nhạy cảm. Người quản trị mạng cần đảm bảo rằng các flle cần thiết đã được chia sẻ, đảm bảo chúng phải được bảo vệ đe tránh những phá hủy do yếu tố khách quan hoặc chủ quan và chỉ những người nào được xác thực mới có thế làm việc với chúng.Trong chương này, chúng ta sẽ điếm lại các nội dung và các yêu cầu đe chia sẻ fíle cho những người sử dụng mạng một cách hiệu quả và an toàn. Hoàn thành chưong này bạn có khả năng: ■ Tạo/quàn lý các thư mục chia sẻ và làm việc với các cấp phép chia sẻ ■ Sử dụng các cấp phép truy cập NTFS đế kiểm soát quá trình truy cập đến các íĩle ■ Quản lý việc chia sè íĩle bằng Microsoft Internet Information Services QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 386
3. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE TÌM HIỂU VÈ CÁC CẮP PHÉP cấp phép là một trong nhừng khái niệm cơ bản trong quá trình quản trị hệ thống trên hệ điều hành Windows Server 2003. Nói cách khác, cấp phép là một đặc ân được gán cho một thực thể xác định như một người sử dụng, nhóm hoặc máy tính chang hạn nhằm cho phép thực thế này hình thành một hành động xác định hoặc truy cập tới một tài nguyên cụ the. Windows Server 2003 và tất cả các hệ điều hành Windows khác sử dụng các cấp phép theo một loạt các phương pháp khác nhau để kiếm soát truy cập tới các thành phần khác nhau trên hệ điều hành. Windows Server 2003 có nhiều loại cấp phép, trong đó nổi bật là các cấp phép được liệt kê ở dưới đây. Mỗi loại cấp phép này được phân biệt hoàn toàn với nhau mặc dù chúng có thể được cấp cho cùng các thành phần hệ thống. ■ Các Cấp phép trên file: được sử dụng đe kiểm soát việc truy cập tới các file và thư mục trên các 0 đĩa NTFS. Tất cả các người dùng đều sử dụng các cấp phép này đe truy cập tới các file và thư mục NTFS, bất kể họ đang làm việc trên mạng hoặc trên máy tính chứa dữ liệu. ■ Các Cấp phép chia sẻ: được sử dụng đế kiểm soát việc truy cập tới các file/folder/máy in được chia sẻ. Đe có thể truy cập đến các tài nguyên chia sẻ này, các người dùng phải có các cấp phép nhất định. ■ Các Cấp phép Active Directory, được sử dụng đế kiểm soát việc truy cập tới các đối tượng của dịch vụ Active Directory. Người dùng phái có một số cấp phép nhất định đế có thể đăng nhập vào Miền và truy cập tới các tài nguyên trên mạng. Người quản trị cần có các Cấp phép cao hơn nhằm duy trì các đặc tính của các đối tượng và cấu trúc cây Active Directory. ■ Các Cấp phép registry: được sử dụng để kiếm soát việc truy cập tới các khóa của registry. Đe có thể thay đối các khóa này, người quản trị cần có các cấp phép tương ứng. Trong số các cấp phép nói trên, một số cần có sự duy trì nhiều hơn so với những cái còn lại. Một người quản trị mạng thông thường có thế làm việc với các Cấp phép trên file mồi ngày nhưng sẽ không bao giờ thay đổi bằng tay các cấp phép registry. Trong các chương 6,7 và 8 bạn đã được học về các Cấp phép Active Directory nhằm cho phép người quản trị QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 387
4. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE {Administrator) tạo và quản trị các đối tượng như: người dùng, nhóm và máy tính chẳng hạn. Trong nhiều trường họp, các cấp phép Active Directory được chuyển giao một lần cho các nhóm quản trị cụ thể và không cần phải điều chỉnh lại trừ phi có sự tái cơ cấu lại cấu trúc tố chức doanh nghiệp của bạn. Danh sách Kiểm soát Truy cập (ACL) Chức năng của các c ấ p phép nói trên dựa trên khái niệm Danh sách Điều khiển Truy cập (Access Control List - ACL). Hầu hết các thành phần của Windows bao gồm các file, các tài nguyên chia sẻ, các đối tượng của Active Directory và các khóa của registry đều có một ACL. ACL thực chất là một danh sách các c ấ p phép nhằm xác định xem ai có c ấ p phép truy cập và truy cập đến mức độ nào. ACL của một thành phần xác định bao gồm các Mục vào Kiếm soát Truy cập (Access Control Entry - ACE). Một ACE xác định tên của Chủ thế Bảo mật (đó có thể là người dùng, nhóm hoặc máy tính được gán cấp phép) và các cấp phép xác đinh được gán cho chủ thể đó. CHỦ Ỷ: Vậy các ACL được đặt ở đâu? Người quản trị hệ thống cần phải hiếu rằng ACL luôn luôn được đi kèm vón các thành phần được kiếm soát chứ không phải đi kèm với các Chủ thể Bảo mật. Ví dụ, một thư mục trên ô đĩa NTFS có một ACL chứa danh sách các người dùng hay nhóm có cấp phép truy cập tới thư mục đó. Neu bạn xem đặc tính của một đoi tượng cụ thế, bạn sẽ không thể tìm thấy danh sách các thư mục mà đoi tượng đó được phép truy cập. Đây chỉnh là một điếm quan trọng khi bạn khi bạn di chuyến các thành phần giữa các vị trí khác nhau hoặc sao lưu chúng ra một thiết bị lưu trữ khác. Di chuyến các file từ một ô đìa NTFS tới một ố đĩa FAT, sẽ làm cho các Cấp phép bị mất đi do hệ thong file FAT không chứa các ACL. Làm việc trên các ACL là khá đơn giản do tất cả các cấp phép trên hệ điều hành Windows Server 2003 đều sử dụng một giao diện giống nhau. Tất cả các thành phần hệ thống được bảo vệ bằng các cấp phép đều có hộp thoại Properties chứa thẻ Security, như được chỉ ra trong hình vẽ 9-1. Trong hộp thoại này, phần trên hiến thị danh sách các ACE (đó chính là các chủ thế bảo mật) còn phần dưới xác định các cấp phép tương ứng được cấp cho các ACE phía trên. Bạn có thê thêm và xóa các ACE khi cần và xác định các Cấp phép được cho phép hoặc cấm cho từng ACE. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 388
5. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE t f cn u ư c r CV*C“. ă Z"3yw*ĩ ÄMTtMta >»• fxmwxw,! ¡ ■ m m H frtifR W i' Ukm 0 *rv ru ic« * J B □ £ B □ 0 □ 0 □ 0 □ — 0 □ t a ■ ha »» V fcfcrod I Hình 9-1: Thẻ Security trong hộp thoại Properties Các Cấp phép Các Cấp phép trong các ACE được thiết kế nhằm cung cấp cho việc kiểm soát truy cập một cách tập trung cho các thành phần mà chúng cung cấp. Khi bạn gán cấp phép truy cập đến một thư mục cho một người dùng, việc truy cập không chỉ đơn thuần là Có hay Không. Bạn có nhiều lựa chọn cho phép xác định mức độ truy cập mà người dùng nhận được. Mồi cấp phép của hệ thống Cấp phép được liệt kê ở trên đều có một danh sách các cấp phép riêng rẽ nhằm xác định các loại tài nguyên mà chúng kiểm soát. Khi tạo một ACE, bạn lựa chọn một chủ thể bảo mật sau đó lựa chọn các cấp phép riêng lẻ mà bạn định gán cho đối tượng đó. Ví dụ, các Cấp phép NTFS cho phép bạn xác định một người dùng có khả năng đọc các file trong một thư mục nhưng không được phép thay đối chúng hoặc bạn cũng có thể cấp nhiều cấp phép hơn so với nhu cầu của anh ta. Tùy thuộc vào tài nguyên bạn đang làm việc, bạn có thể có hàng tá các cấp phép khác nhau, ở đó bạn có thế kết hợp chúng theo bất kỳ cách nào mà bạn thích. Trong một số trường hợp, số lượng các cấp phép chính xác có thể làm cho người quản trị ACL cảm thấy phức tạp. Đe đơn giản hóa vấn đề này, Windows Server 2003 sử dụng 02 mức cấp phép: các cấp phép Chuấn và Cấp phép Đặc biệt. Các cấp phép Chuân là các cấp phép mà bạn nhìn thấy trong thẻ Security trong hộp thoại Properties. Đây là các cấp phép mà bạn có thế làm việc hàng ngày do chúng cung cấp điều khiển cơ bản tới thành phần được báo vệ. Tuy nhiên, các Cap phép Chuấn là sự kết hợp của hai hay nhiều cấp phép Đặc biệt (bạn có the đọc thêm về việc sử dụng các cấp phép Đặc biệt này QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 389
6. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE như thế nào trong chương này). Để truy cập đến các cấp phép Đặc biệt, bạn kích chuột vào nút Advanced trong Thẻ Security, đê hiên thị hộp thoại Advanced Security Settings như trong hình vẽ 9.2. 0 3 ■* Ị au1»v 1 5««»41 tlu M I tím r h -W fc -4 , nvtM r«Cji CQHTOMVJ c • Unn *XHfCJUJ\U - I Hình 9-2: Hộp thoại Advanced Security Settings Trong hộp thoại này, bạn có thế kiếm soát quá trình truy cập tới một tài nguyên với mức độ tập trung cao hơn bằng cách lựa chọn từ một danh sách đầy đủ các Cấp phép đặc biệt trong hộp thoại Permission Entry (xem hình 9-3 để biết thêm chi tiết). Điều này thường không cần thiết trên một mạng thông dụng, nhưng một số các thiết lập về cấp phép mặc định được Windows Server 2003 tạo ra trong suốt tiến trình cài đặt hệ điều hành lại dựa trên các cấp phép Đặc biệt này. I'H I TÜmJTTTmw %» c*r*y •UlUrtd 0 □ • 0 □ ut tau« nuiD« AtkMi □ □ IhWlMAlMÜkiu □ □ [Mmnx.WMDu 0 □ Í«« >• ¿««»10#* 0 □ G9 □ R □ 0 □ □ □ ¡«••4 fVvtttOT □ □ zi Hình 9-3: Hộp thoại Permission Entry CHÚ Ỷ: Bạn làm việc với tất cả các hệ thống cấp phép trên Windows Server 2003 theo cùng một phương pháp, ngoại trừ các Cấp phép Chuẩn và Đặc biệt có thế khác nhau tùy thuộc vào tài nguyên mà bạn cần bảo vệ. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 390
7. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Tính kế thừa Một trong những đặc tính quan trọng của các hệ thống cấp phép trên Windows Server 2003 đó là các đối tượng con sẽ thừa hưởng các cấp phép từ đối tượng cha. Các cấp phép luôn luôn đi theo một “dòng chảy” dựa trên tính chất phân cấp của hệ thống file, kiến trúc phân cấp của dịch vụ Active Directory hay cấu trúc của registry. Khi bạn gán cấp phép truy cập đến một thư mục NTFS hoặc chia sẻ, một đôi tượng Active Directory hoặc khóa registry cho một đối tượng bảo mật nào đó, đối tượng này cũng sẽ nhận được các Cấp phép giống hệt khi truy cập đến các thư mục con bên trong thư mục NTFS hoặc chia sẻ, các đối tượng con bên trong đối tượng Active Directory hoặc các khóa con bên trong một khóa xác định. Ví dụ, bạn gán cấp phép cho một người dùng tại thư mục gốc của ổ đĩa NTFS điều đó có nghĩa rằng người dùng sẽ nhận được các cấp phép giống hệt trên tất cả các file và thư mục con nằm trên 0 đĩa đó. Trong hầu hết các trường họp, sự kế thừa cấp phép có ưu điếm to lớn là tránh cho người quán trị phải cung cấp các cấp phép riêng biệt cho từng thư mục con, từng đổi tượng trên dịch vụ Active Directory hoặc các khóa. Trong thực tế, đối với hầu hết các nhà quản trị mạng, ưu điểm tiếp theo được tính đến của tính kế thừa là ứng dụng chúng khi thiết kế cấu trúc dịch vụ thư mục, chia sẻ trạng thái và các cây Active Directory. Tuy nhiên, trong một số trường họp sự kế thừa này là không cần thiết và để loại bỏ tính chất mặc định này chúng ta có hai phương pháp: ■ Tắt tính năng kế thừa: khi bạn làm việc trên các cấp phép đặc biệt, bạn có thể điều khiến các cấp phép mà bạn gán cho một thành phần xác định có được cho một số hoặc tất cả các thành phần con bên trong kế thừa hay không. ■ Cấm các Cấp phép: tất cả các hệ thống cấp phép đều cho phép bạn ngăn cấm một cấp phép cụ thể đối với một đối tượng xác định. Điều này sẽ ngăn cản cấp phép kế thừa mà đối tượng nhận được từ các đối tượng cha. Các Cấp phép Hiệu dụng Các đối tượng được gán cấp phép thường là các người dùng, nhóm hoặc máy tính, vì vậy rất dễ xảy ra trường hợp một đối tượng sẽ nhận được các Cấp phép khác nhau từ các nguồn khác nhau và trong một số trường hợp các Cấp phép này là xung đột với nhau. Vì lý do này mà có một số chính sách cho phép xác định xem các cấp phép mà đối tượng nhận được từ các nguồn QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 391
8. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE khác nhau tương tác với nhau như thế nào. Tất cả các cấp phép mà một đối tượng nhận được một cách riêng rẽ thông qua tính kể thừa và thành viên nhóm đều là các thông số đầu vào cho các luật này. Chúng có nhiệm vụ kết hợp các Cấp phép này lại và tạo nên các cấp phép Hiệu dụng của người dùng. Các luật tạo nên các cấp phép Hiệu dụng của các đối tượng bao gồm: ■ Các Cấp phép cho phép {Allow) là tích lũy: tất cả các cấp phép cho phép được gán cho một đối tượng được kết hợp đế tạo nên các Cấp phép ảnh hưởng của đối tượng đó. Ví dụ, một người dùng nào đó được gán cấp phép truy cập toàn quyền (Full Control) đến một thư mục trên 0 đĩa NTFS. Tuy nhiên lúc này người dùng cũng đang là thànli viên của một nhóm có cấp phép truy cập chỉ đọc (read­ only) trên thư mục này. Ngoài ra, người dùng còn thừa hưởng cấp phép read và write từ thư mục cha của thư mục nói trên. Trong trường họp này tất cả các cấp phép của người dùng bất kể là được gán hay thừa hưởng từ bất kỳ nguồn nào cũng sẽ được kết hợp lại. ■ Các Cấp phép ngăn cấm (Deny) loại bỏ các cấp phép cho phép (Allow): các Cấp phép deny mà một đối tượng nhận được sẽ loại bỏ tất cà các Cấp phép allow bất kế từ nguồn nào. Ví dụ, nếu một người dùng nhận được cấp phép truy cập toàn quyền tới một thư mục thông qua tính kế thừa và đồng thời cũng nhận được cấp phép truy cập toàn quyền thông qua cơ chế thành viên nhóm. Tuy nhiên Cấp phép mà bạn tạo ra nhằm ngăn chặn người dùng này truy cập tới thư mục nói trên sẽ ghi đè tất các cấp phép thừa hưởng từ thư mục cha và nhóm. Vì vậy trong trường họp này, cấp phép Hiệu dụng của người dùng là không được phép (Deny) truy cập tới thư mục này. ■ Các Cấp phép gán riêng rẽ có mức độ ưu tiên cao hon các cấp phép kế thừa: khi một đối tượng bảo mật kế thừa các cấp phép từ đối tượng cha hoặc thông qua nhóm, bạn có thế loại bỏ các cấp phép này bằng cách gán trực tiếp các cấp phép khác nhau cho chính đối tượng đó. Các cấp phép kế thừa tuân theo luật còn các Cấp phép gán riêng rẽ nằm ngoài luật đó. Vì vậy, các cấp phép cho phép gán riêng rẽ sẽ loại bỏ các cấp phép kế thừa ngăn cấm. CÁC THƯ MỤC CHIA SẺ Khi bạn đang ngồi vào một máy tính sử dụng hệ điều hành Windows Server 2003, bạn có thế truy cập đến các file và thư mục trên các 0 đĩa của nó từ QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 392
9. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE màn hình giao diện (hay còn gọi là bảng điều khiển hệ thống — System Console) với giả thiết bạn có các cấp phép thích họp. Bạn cũng có thê cho phép các người dùng trên mạng truy cập tới các file và thư mục trên máy tính của bạn, nhưng đế làm được điều đó trước hết bạn phải tạo một chia sẻ nhằm xác định những gì mà họ có the truy cập. THÔNG TIN THÊM Bạn có thể tạo ra hai loại chia sẻ trên các mảy tỉnh sử dụng hệ điều hành Windows: các chia sẻ trên hệ thống file và các chia sẻ máy in. Trong chương này bạn sẽ được làm quen với các chia sẻ trên hệ thong file. Việc tạo các chia sẻ máy in sẽ được đề cập trong chương 10. Tính năng đế tạo ra các chia sẻ trên Windows Server 2003 được dựa trên hai dịch vụ được chạy trên mỗi máy tính Windows: dịch vụ Workstation (dịch vụ máy trạm) và dịch vụ Server (dịch vụ máy chủ). Hai dịch vụ này được thực hiện bởi hai module: Client For Microsoft Networks và File And Printer Sharing For Microsoft Networks. Cả hai module nói trên đều xuất hiện trong hộp thoại Local Area Connection Properties của tat cả các giao diện mạng được cài đặt trên máy tính (xem hình vẽ 9-4). Dịch vụ Server chịu trách nhiệm tạo ra các tài nguyên chia sẻ sẵn sàng trên mạng còn dịch vụ Workstation cho phép các máy tính khác truy cập tới những tài nguyên này. CHỦ Ỷ Workstations và Servers Mặc dù các tên này có nhiều phiên bản khác nhau nhưng Windows là một hệ điều hành ngang hàng (peer-ttì-peer) có nghĩa là mỗi máy tính đều có khả năng hoạt động được cả ở chế độ máy trạm lẫn máy chủ. Thậm chí các mảy tính không sử dụng hệ điều hành có tên Server trên đó vẫn có thế chạy dịch vụ Server. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 3 9 3
10. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Ị4 . L«cal Ai«a CowaocUp» Pnyoita»t ___ DB Ccm ìcl UOTP Im AM D PC\Æ T F in ira ElfMrUAdifM Ị ¿yjifliM. 1 f*3 '-irrwdut leriT Nfl v k, l oad &-*înrrig * ^Ị-rỉ?»tiPrrlff Shii-jjfaMccqcMlifv«*«» 7 nrir«wf*Cie*jKi|TCP*pl 1 Unrcldl Dnofrion K J ccfTOJtsr Is 3CC«II ÍK O J;« y> j M c r a a * nBtmofc. r rJíiH con» I 'iJ - Êj ~ ^ á1 g ú(*ia Mrucnt Lurf ■ 555 ỊU* • ^ 'ftrt t i x t g sa - u 9C» C\ 9 t K^i».kic c V*tiK>*V»ír* teJhcESntjif c Nít*- *JKI V*#*»* *jJ tc • ICC ;N c VAtllOa'yffr'í. ¡J p '- I c u* UV# . A otrt.tvo'XP t V»flt»>^SVÇri v»v«to> át» Jầ'“V H»»-«.#* 'V ta ji K Dư 0«a#i»«á I ¡ ¡ Ị o * Hình 9-5: Các chia sẻ quản trị trong snap-in Shared Folders ■ Các chia sẻ ổ đĩa Mỗi ổ đĩa trên máy tính đều có một chia sẻ quán trị mặc định tại mức gốc. Chia sẻ này sẽ được đặt tên dựa theo ký tự 0 đĩa viết hoa và ký tự $ (ví dụ c$). Ký tự này làm cho chia sẻ không được hiển thị trong My Network Places mặc dù vẫn có thể truy cập chúng trực tiếp bằng cách sử dụng snap-in Shared Folders trong MMC băng việc tạo một shortcut hoặc sử dụng Windows Explorer. Mặc định nhóm Administrators (nhóm quản trị) được gán Cấp phép Full Control cho các chia sẻ này. Các cấp phép này là không thế thay đối hay xóa được. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 394
11. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Adrain$ Thư mục gốc hệ thống (mặc định nó có đường dẫn là C:\Windows) tự động được chia sẻ với tên Admin$. Đây cũng là một chia sẻ ẩn, nó cho phép các thành viên của nhóm Administrators truy cập đầy đủ tới thư mục gốc hệ thống mà không cần biết chính xác vị trí của chúng. ■ IPC$ Một chia sẻ được tạo ra nhằm cung cấp quá trình truy cập từ xa tới các Named Pipe trên máy tính. Đây là một phần của bộ nhớ được sử dụng đe chuyến thông tin từ một tiến trình này sang một tiến trình khác. Chia sẻ này là cần thiết dế thực hiện các công việc quản trị máy tính từ xa qua mạng. Ngoài ra, Windows Server 2003 còn tạo ra các chia sẻ quản trị khác khi bạn cài đặt các thành phần xác định: ■ Prints Khi bạn cài đặt một máy in được chia sẻ đầu tiên trên máy tính, Windows Server 2003 tạo ra một chia sẻ ẩn tại thư mục \Systemỉ2\Spool\Drivers với tên là Prints. Chia sẻ này cho phép các hệ thống khác trên mạng truy cập tới các trình điều khiến máy in được cài đặt tên máy tính. Các nhóm Administrators, Print Operators, Server Operators có Cap phép Full Control đối với chia sẻ này. Nhóm đồng nhất đặc biệt Everyone chỉ có cấp phép Read. ■ Faxclient Khi bạn cài đặt dịch vụ Fax trên máy tính, Windows Server 2003 tự động tạo ra một chia sẻ tại thư mục C:\WINDOWS\system32\clients\faxclient có tên là faxclient. Chia sẻ này cho phép các người dùng trên mạng truy cập đến phần mềm fax dành cho máy trạm. Nhóm đồng nhất đặc biệt Everyone có cấp phép Read trên chia sẻ này. ■ FxsSrvCp$ Khi bạn cài đặt dịch vụ Fax trên máy tính, Windows tự động tạo ra một chia sẻ ấn tại thư mục C:\Document and Settings\All Users\Applicatỉon Data\Microsoft\Windows NT\MSFax\Common Coverpage với tên chia sẻ là FxsSrvCp$. Chia sẻ này cho phép các máy khách fax truy cập tới các trang được lưu trên máy chủ. Nhóm Administrators có cấp phép Full Control (toàn quyền) trên chia sẻ này trong khi nhóm đồng nhất đặc biệt Everyone chỉ có cấp phép Read. ■ SYSVOL Khi bạn nâng cấp một máy tính Windows Server 2003 thành một DC (Máy chủ Điều khiển Miền), hệ thống sẽ chia sẻ thư mục \SYSVOL\sysvol và đặt tên nó là SYSVOL. Máy chủ Điều khiển Miền sử dụng chia sẻ này đế lưu trữ các GPO QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 3 9 5
12. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE (Group Policy Object - chính sách nhóm) và các script (kịch bản), chúng sẽ được nhân bản đến các máy tính khác thuộc Miền. Các nhóm Administrators và Authenticated Users (nhóm những người sử dụng được xác thực) có cấp phép Full Control trên chia sẻ này trong khi nhóm đặc biệt Everyone chỉ có cấp phép Read. ■ NETLOGON Khi bạn nâng cấp một máy tính Windows Server 2003 thành một Máy chủ Điều khiển Miền, hệ thống sẽ chia sẻ thư mục Systemroot\SYSVOL\sysvol\ \SCRIPTS và đặt tên nó là NETLOGON. Đây là một chia sẻ được tạo ra nhằm tạo tính tương thích ngược cho các hệ điều hành mạng trước đây. Máy chủ Điều khiến Miền sử dụng chia sẻ này nhằm cung cấp chức năng cơ bán giống như SYSVOL cho các Máy chủ Điều khiển Miền Windows NT4. Nhóm Administrators có cấp phép Full Control (toàn quyền) trên chia sẻ này trong khi nhóm đặc biệt Everyone chỉ có Cấp phép Read. CHỦ Ỷ Các chia sẻ ẩn Bản chất ẩn của các chia sẻ quản trị không giới hạn các chia sẻ xác định khác. Bạn có thê ân bất kỳ chia sẻ nào bằng cách sử dụng kỷ lự $ tại cuối của tên chia sẻ. Nó không ngăn ngừa người sử dụng truy cập tới các chia sẻ, nó chỉ ngăn không cho chúng hiến thị trong Windows Explorer. Chuẩn bị cho quá trình tạo các thư mục chia sẻ Đẻ tạo một hệ thống file chia sẻ, bạn phải có các quyền sau: ■ Trên Máy chủ Điều khiển Miền: trên máy chủ Điều khiển Miền, để tạo các thư mục chia sẻ, bạn phải là thành viên của nhóm Administrators hoặc Server Operators. Do các nhóm Enterprise Admins và Domain Admins là thành viên của nhóm Administrators nên các nhóm này cũng có thể tạo các thư mục chia sẻ. ■ Trên Máy chủ thành viên hoặc máy trạm đã gia nhập miền: Đe tạo các thư mục chia sẻ trên máy chủ thành viên hoặc máy trạm thuộc Miền, bạn phải là thành viên của nhóm Administrators, Server Operators hoặc Power Users. ■ Trên nhóm làm việc hay máy độc lập: Đe tạo các thư mục chia sẻ trên một máy tính không phải là thành viên của một Miền, bạn phải là thành viên của nhóm Administrators hoặc Power Users. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 3 9 6
13. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Trên ổ đĩa NTFS: Nếu thư mục mà bạn định chia sẻ trên ổ đĩa NTFS, bạn phải đăng nhập vào máy tính với tài khoản có ít nhất Cấp phép Read rrên thư mục đó. Cũng như nhiều các công việc khác trên Windows Server 2003, bạn có the tạo các thư mục chia sẻ theo nhiều cách. Trong phần sau sẽ cung cấp một số các công cụ giúp bạn tạo và quản trị các thư mục chia sẻ. CHỦ Ỷ Mục đích của kỳ thi Mục đích của kỳ thi 70-290 yêu cầu học viên có thê "cấu hình truy cập tới các thư mục chia sẻ" Tạo thư mục chia sẽ bằng Windows Explorer Phương pháp thông dụng nhất đó là sử dụng Windows Explorer để lựa chọn thư mục cần chia sẻ sau đó thực hiện chia sẻ chúng. Bạn có thể chia sẻ bất kỳ thư mục nào trên bất kỳ ố đĩa nào của máy tính. Khi người sử dụng trên mạng duyệt các thư mục chia sẻ, chúng sẽ xuất hiện như các thư mục riêng biệt nhưng không có lời chú thích. Trừ phi bạn nói với người sử dụng, còn họ không thế biết được các thư mục chia sẻ nằm trên 0 đĩa nào hoặc vị trí của chúng. Đe chia sẻ thư mục trong Windows Explorer, nhấp chuột phải vào nó và lựa chọn Sharing And Security đế hiến thị hộp thoại như trên hình vẽ 9-6. bạn cũng có thế truy cập tới hộp thoại này bằng cách lựa chọn một thư mục rồi chọn theo đường dẫn File -> Properties -> Sharing. Genwd SHsnj W obStarrol C*#fiori>»| Y k‘ Hình 9-6: Thẻ Sharing trên hộp thoại Properties của folder Khi bạn lựa chọn Share This Folder, bạn sẽ thực hiện công việc kích hoạt các điều khiến khác trong thẻ Sharing cho phép cấu hình các tham số sau: QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 397
14. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Share Name (tên chia sẽ): Xác định tên hiển thị trên mạng của thư mục chia sẻ. Mặc định, tên của thư mục xuất hiện trong hộp văn bản nhưng bạn có thế đặt bất cứ tên nào với chiều dài cho phép lên tới 80 ký tự. Trường này là bắt buộc. ■ Description (mô tả): cho phép bạn cung cấp các thông tin thêm về thư mục chia sẻ như: mục đích của thư mục chia sẻ, nội dung của nó hoặc bất kỳ thông tin khác. Trường này là không bắt buộc. ■ User limit (giới hạn người sử dụng): cho phép bạn xác định có bao nhiêu người có khả năng kết nối tới thư mục chia sẻ tại cùng một thời điếm. Đặc tính này giúp bạn ngăn ngừa tình trạng các tài nguyên hệ thống bị qúa tải do có quá nhiều người sử dụng truy cập đồng thời. ■ Permissions (Cap phép truy cập): cho phép bạn xác định ai có cấp phép truy cập đến thư mục chia sẻ và mức độ truy cập. Đe biết thêm chi tiết về vấn đề này xem phần “quản lý các cấp phép chia sẻ” trong chương này. ■ Offline Settings (các thiết lập về cơ chế làm việc không kết nối): có cho phép người sử dụng mạng lưu trữ tạm thời nội dung thư mục chia sẻ trên máy tính của họ hay không. Đe biết thêm chi tiết về vấn đề này, xin xem phần “điều khiển lưu trữ không kết nối” trong chương này. Một khi bạn đã hoàn tất việc cấu hình các tham số trong thẻ Sharing, nhấp OK để tạo thư mục chia sẻ. Để xác nhận thư mục đã được chia sẻ, bạn có một vài phương pháp bao gồm: ■ Trong Windows Explorer, phần My Computer thư mục được chia sẻ sẽ có biểu tượng hình bàn tay mở ra. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 3 9 8
15. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE □ 3 J B H P I D I F>? Id » ¥ r * ụ F jv c * iw Io o ầ ĩ HWp í , 6» : l - T SmuIi Foldri ! À *ọ 1 c v ~ D a * X F d d o u •1 j J D e iM cp - Ị I sus -ỉ iũi MvCtcureríi ® S « Q J l; *1 J MkCotvUw J I T g » r > w g ) U- a s»- Local O i* c 1 - It L j Clocs-norfi ĨÊ\ J$ íü r» :& / W INDO W S ft) L j O p r ilo g i B O FVc^ren Fie« f f l ö s u s / v * ifjU b I t U J te re fc L j W1WDQWS ® L J W Q j i 1 v.ll I c no O W U T c n c — ___ X___ncầicni rum.) - d SobareisiDsl 1 17G8I 0 b ; te l J My CornwA* ■ Trong Windows Explorer, phần My Network Places, một biểu tượng thư mục chia sẻ sẽ xuất hiện trên máy tính mà bạn đã tạo nó. ftr \\S«rraữ1 » r a n ] Fỉf £ .A -LUosctw- d zJ LÚC này, các người dùng trên mạng có thể truy cập đến thư mục chia sẻ và các flle/thư mục bên trong nó nếu họ có cấp phép truy cập thích hợp. Chia sẻ ổ đĩa bằng cách sử dụng Windows Explorer Bạn có thể tạo ra một chia sẻ cho ổ đĩa cụ thể bằng cách sử dụng Windows Explorer nhưng tiến trình thực hiện có khác đôi chút so với thông thường do sự tồn tại của chia sẻ quản trị trên mỗi ố đĩa. Khi bạn lựa chọn ổ đĩa trong Windows Explorer và nhấp vào thẻ Sharing, bạn sẽ thấy một giao diện như hình vẽ 9-7. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 399
16. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ¡ Ta* I toMTO ( ♦•> « •» r-y^» l _ : 'Wtti # « • \ OM í* DiptiMirtiMi fci J I * r I.tơ- > W r í!* rg i — - — J Hj»Vv<r I Hình 9-7: Một ổ đĩa chia sẻ Ở đây, bạn có thể thấy lựa chọn Share This Folder đã được lựa chọn và tên của chia sẻ quản trị xuất hiện trong hộp văn bản Share Name. Neu bạn muốn gán cấp phép truy cập cho người sử dụng nhưng không muốn xung đột với tính bảo mật của chia sẻ quản trị, bạn phải tạo ra một chia sẻ thứ hai tại mức gốc của ố đĩa. Đe thực hiện công việc này, bạn nhấp New Share để hiển thị hộp thoại New Share như hình vẽ 9-8. [m «iw S t e l l* n o 1 SKUW fUfTti 1 r o r 1 QiituJcri 1" c * * d 1 lise* Irrrf Ẽemiione. ị alûfcveii ^ ûfcjwrfiit t i n t e d Hình 9-8: Hộp thoại New Share Trong hộp thoại này, bạn xác định một tên mới chia sẻ, mô tả về nó, giới hạn số lượng người sử dụng, các cấp phép chia sẻ giống như bạn tạo một thư mục chia sẻ lúc trước. Khi bạn nhấp vào OK, chia sẻ mới được tạo ra và được đưa vào hộp danh sách số Share Name trong thẻ Sharing. Bây giờ bạn có thể lựa chọn bất kỳ chia sẻ mức gốc nào từ hộp liệt kê thả đê phục vụ cho công tác quản trị. Bất kế bạn lựa chọn chia sẻ nào thì nó cũng được kiếm soát bởi các thông số: giới hạn về người sử dụng, cấp phép và các thiết lập về cơ chế không kết nối. Tạo thư mục chia S C bằng cách sử dụng snap-in Shared Folders Sừ dụng Windows Explorer là một phương pháp thuận tiện để tạo các thư mục chia sẻ nhưng nó cũng có một nhược điểm: bạn chỉ có thố tạo ra các chia sẻ khi bạn đang làm việc trên chính máy tính đó. Bạn không thể lựa QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 400
17. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE chọn các thư mục trên các máy tính khác và chia sẻ nó. Tuy nhiên, Windows Server 2003 cho phép bạn thực hiện điều đó nhờ công cụ Shared Folders, một dang snap-in MMC. Snap-in Shared Folders được tích hợp vào trong màn hình quản trị Windows Server 2003 như trên hình vẽ 9-9. Bạn cũng có thể tạo một màn hình quản trị MMC tùy biến chứa Shared Folders và bất kỳ snap-in nào mà bạn muốn. Nhấp vào thư mục con Shares của snap-in sẽ hiến thị một danh sách các chia sẻ hiện tại trên máy tính kể cả những chia sẻ ẩn không hiển thị trong Windows Explorer. 3«r - i a j _ i > • G3 3) 01» ã' c *' U niiVr«ra4U c4 T r r friiw t ! Tmp f ( '.fim t T«ofc 1 BC» c \ VNV# 1 a ïtvn-cf'Aios ■aV* v * • t . E S 1 a J C t M f h l U P C I . .« v d ik t. ■jj»crux:cH MA m 1 c'M W CO AS TT* 1 c * $ • - C t a i VsVAi-* 1 •I 1»; fj ĨÌ Hình 9-9: Snap-in Shared Folders CHỦ Ỷ Quản lý các chia sẻ từ xa Đe quản trị một máy tính khác trên mạng, lựa chọn biểu tượng Computer Management (Local), tiếp theo trên thực đơn Action lựa chọn Connect To Another Computer. Nhập tên máy tính mà bạn muốn quản trị và nhấp OK. Sau đó, bạn có thế tạo và quản trị các chia sẻ trên máy tỉnh khác như thế bạn đang làm việc trên máy tỉnh đó. Đe tạo một chia sẻ mới lựa chọn thư mục con Shares và trên thực đơn Action lựa chọn New Share đế khởi tạo Trình hướng dẫn Share A Folder. Trình hướng dẫn này bao gồm 03 trang: ■ Folder Path (đường dẫn thư mục) xác định đường dẫn tới thư mục mà bạn muốn chia sẻ QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 401
18. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE îç m o h Hn Dîlh to 'tia Mtfc» ye*J v*9*. »0 ¿ 'V £onpUí» fvîrri» jSERWERöl Ty*» (hdp^ti tữ cìin f0u Himì la a de* B10.VỈ« co pici. 0 « rdfc» Ci *31 il nim ra d a EoWetesn Eaipb' ~| Ciếtc«! Name, Description, And Settings (tên, mô tả và các thiết lập) xác định tên và mô tả dành cho chia sẻ. Bạn cũng có thế nhấp Change để cấu hình các thiết lập không kết nối cho chia sẻ. Dfij-'.«I1*Í «V» «nd SeMirx>* cfy h wv crtx.tr ¡99 0-tj uc* tilt Tyç* r(rTTT*«tcr> ftjoÀ ihffçb tin?»! ro«c*lỉ.f tick l>wç ~j Circuí I Permissions (1các cấp phép) lựa chọn cấp phép mà bạn muốn gán cho thư mục chia sẻ. PnMHHiaiu ĨC T tá y pf» rc .’ »ir»t It r IK 5 ;Hí»o u«íon-i/lhelolr»rt«njb ff*ï weder|£acc*n ocflQol ÌCOUÌ »:• I ta : b n » H*J n Ợ i A o M ill 'u 4C< perrdiẽro or< rdu& dể lầM ã «j feidoi. id rrw £ n k t n e h V iâ b ũ ilp a im iic M s e e H d ti To c» fri* c*w*.cfct Fin»*! Bai» I Frt». I C ^ D I QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 4 0 2
19. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Ket thúc Trình hướng dẫn, hệ thống sẽ đưa chia sẻ mới vào danh sách. Tạo• một • hệ • thống o file chia sẻ bằng Ü cách sử dụng • ó Net.exe Windows Server 2003 cho phép bạn tạo chia sẻ từ chế độ dòng lệnh bằng cách sử dụng chương trình netexe với câu lệnh con share. Cú pháp câu lệnh như sau: net share = :\ [ ] Các tham số mà bạn có thể đưa vào trong câu lệnh bao gồm: ■ /grant: , [read|change|full] gán cho một đối tượng bảo mật cấp phép Read (đọc), Change (thay đối) hoặc Full Control (toàn quyền điều khiển) đối với thư mục chia sẻ. ■ /users: xác định số lượng lớn nhất người sử dụng có thế truy cập đồng thời đến thư mục chia sẻ. ■ /unlimited không hạn chế số lượng người sử dụng truy cập đến thư mục chia sẻ. ■ /cache: [manual|documents|programs|none] cấu hình các thiết lập không kết nối dành cho thư mục chia sẻ. Ví dụ dưới đây minh họa việc tạo một thư mục chia sẻ Documents nằm trong thư mục C:\Docs và gán cho nhóm Users cấp phép Read. net share documents=c:\docs /grant:users, read QUẢN LÝ CÁC THƯ MỤC CHIA SẺ Khi bạn đã tạo các hệ thống file chia sẻ, bạn có the quản lý chúng bất cứ lúc nào với Windows Explorer, bằng cách sử dụng thẻ Sharing của hộp thoại Properties mà bạn đã sử dụng để chia sẻ. Bạn cũng có thế lựa chọn chia sẻ trong snap-in Shared Folders khi đó trong thực đơn Action, lựa chọn Properties để hiển thị hộp thoại trên hình 9-10. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 4 0 3
20. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE (ỉvnmé ỊputW i| 1fta»fP»m w onc| Secutjj [ST Fotta pJíi Ịcự srp Lieíoicfcoft U s * 11# (• Ma«»».™ al O'.1* J c* Älrjjth«: rt.ntw'cf uw«« T o trtyjiy hc*v K < ii? IIP? h í c c r te r l «rf-i? c flV » . ck*. Qlffo ÛilfceSeBmji. Hình 9-10: Hộp thoại Properties của thư mục chia sẻ Hơn nữa, để có thể thay đổi các đặc tính chia sẻ đã được thiết lập trong quá trình tạo chia sẻ chang hạn như giới hạn người dùng hoặc miêu tả, bạn cũng có thể cấu hình các tính năng được mô tả trong các phần dưới đây. Kiểm soát lưu trữ không kết nối ( offline) Bảo mật thường là một vấn đề quan trọng đối với hệ thống chia sẻ dữ liệu. Bạn muốn các file lưu trên thư mục chia sẻ luôn luôn sẵn sàng đối với những người sử dụng thích hợp và chi những người dùng đó mà thôi. Người quản trị có the dùng các Câp phép đê kicm soát ai sẽ là người có the truy cập đên các thư mục chia sẻ nhưng anh ta không thể làm như vậy đối với các file đang được sử dụng. Một phương án cho phép khắc phục tình trạng này đó là giới hạn tính năng Offline Files (các file ở chế độ không kết nối) của người dùng truy cập tới các chia sẻ. Khi bạn nhấn vào lựa chọn Offline Settting trong hộp thoại Properties của chia sẻ, bạn sẽ thấy hộp thoại như trên hình vẽ 9-11. Ớ đây bạn có thế lựa chọn các máy tính trạm khi truy cập vào chia sẻ có được phép lưu thông tin vào bộ nhớ đệm thông qua tính năng Windows Offline Files hay không. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 404
21. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE tMHto* Soiling* Vcn ( ? ».Icmslic-Jy woíobb din?. — Qpirrcttdla fiatairOTCO c Ffcí (■ ^cVflnifn)rihçtH5»B>ftinoibe«wW)hi3H»w Femó»? irfctTiflffc*i«te»jioWf»»»:!*lir5» t>— H«4rv Hình 9-11: Hộp thoại Offline Settings Trên Windows Server 2003, Microsoft Windows XP, và Microsoft Windows XP, Offline Files là cơ chế nhằm duy trì một phiên bản cũa các file nằm trên máy tính của người sử dụng khi họ ữuy cập trên mạng. Neu liên kết mạng của các máy trạm tới máy chủ bị mất hay đứt, người dùng vẫn có thể tiếp tục làm việc với các phiên bản này của các file. Khi kết nối được thiết lập lại, máy trạm sẽ cập nhật những thay đổi trên phiên bản offline lên phiên bản gốc của các file nằm trên thư mục chia sẻ. Vấn đề phát sinh với các file offline đó là các phiên bản nằm trên máy tính cục bộ không có cấp phép bảo vệ như các file gốc nằm trên thư mục chia sẻ. Các file nhạy cảm mặc dù được bảo vệ cẩn mật trên thư mục chia sẻ nhưng khi được lưu trữ tại các máy trạm lại không được bảo vệ tí nào. Lựa chọn trong hộp thoại Offline Settings sẽ cho phép người quản trị quyết định có cho phép các máy trạm lưu các phiên bản offline của các file hay không với tính năng Offline Files. Lựa chọn này được miêu tá như sau: CHỦ Ỷ: Sử dụng Netexe Bạn cũng có thế cấu hình các thiết lập offline từ dòng lệnh, bằng cách sử dụng chương trình N etexe với câu lệnh con share. Các thông so dòng lệnh tương ứng với các lựa chọn trong hộp thoại Offline Settings được liệt kê dưới đây. ■ Only The Files And Programs That Users Specify Will Be Available Offline (Chi các file và chương trình mà người sử dụng xác định mới có thê dùng offline): cho phép người dùng lựa chọn tài liệu và các chương trình được lưu trừ offline trên các máy trạm của người sử dụng. Các tham số dòng lệnh cho N etexe là /cache :m anual ■ All Files And Programs That Users Open From The Share Will Be Automatically Available Offline ( Tat cả các file và chương trình mà người sử dụng mở từ thư mục chia sẻ sẽ tự động offline) QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 405
22. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Tự động lưu tất cả tài liệu chia sẻ oýfline trên các máy trạm của người sử dụng. Đánh dấu chọn tại hộp kiểm tra Optimized For Performance sẽ tự động ghi vào bộ nhớ đệm tất cả các chương trình dùng đe thực thi nội bộ trên máy trạm. Các tham số dòng lệnh cho N etexe là /cache:documents và /cache.'programs. ■ Files And Programs From The Share Will Not Be Available Offline (Các file và chương trình trên thư mục chia sẻ sẽ không được dùng ở cơ chế offline) Ngăn không cho tất cả các tài liệu và các file thực thi được lun trừ offline trên máy trạm. Các thông số dòng lệnh tương ứng cho Netexe ìầ/cache:none. Công bố các thư mục chia sẻ trong Active Directory Khi bạn nhấn thẻ Publish trên hộp thoại Properties của thư mục chia sẻ trong snap-in Shared Folders (xem hình 9-12), thẻ này sẽ cho phép bạn công bố các thư mục chia sẻ trên Active Directory. Công bố các thư mục chia sẻ trên Active Directory không có nghĩa là lưu chúng trong cơ sở dữ liệu của Active Directory mà nó sẽ tạo ra một đối tượng thư mục chia sẻ trỏ đến vị trí thực sự của thư mục này ở trên mạng. Khi thư mục chia sẻ được công bố, người dùng có the tìm kiếm nó trên Active Directory bằng cách sử dụng ngay công cụ Active Directory Users and Computers. O ilrig f t iW i I Pfcrrésenc I SecMfj I p ttoi« r.ûcivv CiKclâji Part» tdjtafid tùế±r jWatfN'EfiDI ‘'Jwç Qoiaçfoii I QyffiP 1*5 l«PÿrrfNî*çdir«d«*pr«r>îofr.cw*a radncndUftfMfrJ f Jfamvtcfc r I Hình 9-12: Thé Publish trong hộp thoại Properties của thư mục chia sẻ Để công bố một thư mục chia sẻ trên Active Directory, bạn cần lựa chọn hộp kiếm tra Publish This Share In Active Directory và cung cap tên của người sở hữu thư mục chia sẻ đó. Bạn cũng có thế cung cấp các từ khóa miêu tả QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 4 0 6
23. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE nội dung đối tượng chia sẻ nhằm tăng tính hiệu quả của quá trình tìm kiếm thông tin. Quản lý các cấp phép chia sẻ Như đã đề cập ở trong chương trước, các đối tượng chia sẻ đều có các hệ thống Cấp phép riêng cho phép ai được phép truy cập chúng. Đe xác định Cấp phép cho các thư mục chia sẻ, bạn có thể dùng một trong các giao diện sau: ■ Trong Windows Explorer, mở hộp thoại Properties của thư mục và nhấn Permissions trong phần thẻ Sharing. ■ Trong snap-in Shared Folders, mở hộp thoại Properties của thư mục chia sẻ và chọn thé Share Permissions. CHỦ Ỹ: Mục tiêu của kỳ thi Môn thi 70-290 yêu cầu học viên có the "quản lý các cấp phép chia sẻ thư mục" Bất kế bạn dùng phương pháp nào, bạn đều thấy giao diện như trên hình 9- 13. Hình 9-13: Thẻ Share Permissions trong hộp thoại Properties của thư mục chia sẻ Hệ thống phân cấp phép cho các chia sẻ là một trong những hệ thống đơn giản nhất trong Windows Server 2003. Trong trường họp này, không có sự phân biệt giữa các cấp phép Chuẩn và cấp phép Đặc biệt mà chỉ có 3 cấp phép đơn giản như sau: QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 407
24. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Read (Đọc): Người dùng có thể hiến thị tên thư mục, tên file, nội dung file và các thuộc tính. Người dùng cũng có thể thực thi các file chương trình (ví dụ các file .exe, .com, ) và truy cập tới các thư mục khác trong thư mục chia sẻ. ■ Change (Thay đoi): Người dùng có thể tạo các thư mục, thêm file vào thư mục, thay đổi nội dung của file, thêm dừ liệu vào file, thay đối thuộc tính file, xóa thư mục và file cũng như thực hiện các hoạt động cho phép trên cấp phép Read. ■ Full Control ( Toàn quyền điều khiên): người dùng có thể thay đổi các Cấp phép truy cập file, chiếm cấp phép sở hữu file và thực hiện mọi công việc cho phép trên cấp phép Change. Để thiết lập các Cấp phép truy cập, nhấp vào Add, lựa chọn đối tượng bảo mật (như người dùng, nhóm hoặc máy tính) rồi xác định các cấp phép mà bạn cho phép hay ngăn cấm đối với các đối tượng đó. Bạn có thể chọn các đối tượng đã có sắn trong danh sách Group Or User Names đề thay đổi các Cấp phép theo ý muốn. Sử dụng các cấp phép chia sẻ Các Cấp phép chia sẻ là một dạng của điều khiển truy cập nhưng chỉ cung cấp một cách hạn chế khả năng bảo vệ cho các file chia sẻ. Một vài hạn chế của các Cấp phép chia sẻ bao gồm: ■ Phạm vi bị gió’i hạn: các cấp phép chia sẻ chỉ áp dụng cho các truy cập tới file và folder qua mạng. Các cấp phép chia sẻ này không ngăn chặn được khả năng truy cập của người sừ dụng khi họ làm việc ngay trên máy tính chứa thư mục này hoặc truy cập đến máy tính bằng các công cụ khác như: Web, FTP, Telnet và các ứng dụng Terminal Server. ■ Thiếu tính mềm dẻo: Các cấp phép truy chia sẻ không có tính mềm dẻo. Chúng chỉ cung cấp một phương tiện chia sẻ đơn giản với ba lựa chọn, được ứng dụng cho mọi file và thư mục bên dưới thư mục chia sẻ. Bạn không thế thay đối cấp phép chia sẻ cho các thư mục hoặc file cụ the bên trong thư mục chia sẻ. ■ Không thể sao chép: các cấp phép chia sẻ không thể sao chép bằng dịch vụ sao chép file (FRS - File Replication Service) ■ Không có tính phục hồi: Các cấp phép chia sẻ không thể sao lưu được hoặc phục hổi khi xảy ra mất mát dữ liệu. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 408
25. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Dễ mất: Các cấp phép chia sẻ sẽ bị mất khi bạn di chuyến hay đối tên thư mục đang chia sẻ. ■ Không kiếm soát {Audit): Bạn không thể cấu hình sự kiếm soát dựa trên các cấp phép chia sẻ. Ưu điểm duy nhất của các cấp phép chia sẻ là đơn giản hóa hệ thống và chúng luôn sẵn sàng đối với mọi hệ thống file được Windows Server 2003 hồ trợ. Trong ổ đĩa dùng hệ thống file FAT, các cấp phép chia sẻ là cách duy nhất để quản lý sự truy cập vào đĩa. Trong các mạng nhỏ với ít các yêu cầu bảo mật, cấp phép chia sẻ có thể là một giải pháp chấp nhận được. Tuy nhiên trong hầu hết các trường hợp, người quản trị mạng sẽ lựa chọn các cấp phép linh hoạt và mạnh mẽ hơn được cung cấp bởi hệ thống file NTFS. Nếu bạn lựa chọn giải pháp này, cần chú ý đến các điềm sau: ■ Hệ thống Cấp phép chia sẻ sẽ vẫn có bất kể bạn có dùng NTFS hay không ■ Hệ thống Cấp phép chia sẻ là hoàn toàn độc lập đối với hệ thống cẩp phép NTFS ■ Cả hai hệ thống cấp phép này đều có thể áp dụng trên cùng một đối tượng. Do đó, cách tốt nhất để sử dụng cấp phép NTFS để quản lý truy cập là cho tất cả ngirời sử dụng (được biết đến thông qua nhóm Everyone) cấp phép Full Control trên tất cả các thư mục chia sẻ. Điều này sẽ tránh mọi xung đột giữa hai hệ thống cấp phép. Nghĩa là bạn nên sử dụng một trong hai cấp phép nói trên để quản lý file nhưng không nên dùng đồng thời cả hai. Neu không dùng cách này, cấp phép Hiệu dụng người dùng nhận được là sự kết họp Cấp phép của cả hai hệ thống. Ví dụ nếu bạn gán cấp phép chia sẻ Đọc (Read) và cấp phép NTFS là toàn quyền điều khiến {Full Control) cho nhóm Users thì tổng họp lại người sử dụng sẽ chỉ nhận được các giới hạn do Cấp phép chia sẻ cung cấp. Điều này, cùng với sự phức tạp khi thừa kế, thành viên nhóm, các cấp phép bị từ chối có thể sẽ gây nên một cơn ác mộng. Một trong những nguyên nhân thông thường nhất đối với việc truy cập hệ thống file chia sẻ là xung đột giữa cấp phép chia sẻ và cấp phép NTFS. Khi giải quyết các vấn đề như thế này, cần kiểm tra cả hai loại cấp phép để chắc chắn người dùng nhận được cấp phép truy cập tới file họ cần. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 409
26. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE THÔNG TIN THÊM: Lợi ích và khả năng của hệ thong cấp phép NTFS sẽ được miêu tả chi tiết ở phần sau của chương này. Cấp phép chia sẻ mặc định Tất cả các hệ điều hành windows trước đây cho đến Windows 2000, khi tạo ra một thư mục chia sẻ mới mặc định cấp phép Full Control sẽ được gán cho tất cả người dùng {Everyone). Điều này khiến các chia sẻ được là mở toang theo quan điếm bảo mật, dễ dàng hơn cho người quản trị khi lên kế hoạch các cấp phép NTFS, nhưng gây khó khăn cho nhừng người muốn dùng các Cấp phép chia sẻ. Ke từ Windows XP trở đi , các cấp phép mặc định cho các file chia sẻ đã được thay đổi. Windows XP và Windows 2003 Server gán cấp phép Read cho nhóm đồng nhất đặc biệt Everyone và trao Cấp phép Full Control cho nhóm quản trị Administrators . Điều này có nghĩa nếu muốn dùng các cấp phép NTFS đế kiểm soát truy cập, bạn phải nhớ thay đổi bằng cách gán cấp phép Full Control cho nhóm Everyone. Tạo• chiến lượct cho i hệ thống ơ file chia sẻ Chiến lược đơn giản nhất cho hệ thống file chia sẻ là chia sẻ thư mục gốc của các 0 đĩa (volume) trên mọi máy tính trên mạng. Tuy nhiên có hai lý do khiến đây là một phương pháp tồi: ■ Gây nhầm lẫn: Khi người dùng gặp các chia sẻ khác nhau thể hiện cho các 0 đĩa trên các máy tính khác nhau, sẽ rất khó khăn cho họ đe tìm ra đâu là file mà họ muốn tìm. Người dùng có thể phải tìm kiếm qua một vài hệ thống khác nhau trước khi họ có thể xác định đúng vị trí file cần tìm. Thậm chí với một 0 đĩa lớn duy nhất, chia sẻ từ thư mục gốc có thể dẫn tới cấu trúc thư mục lớn và phức tạp. ■ Bảo mật: chia sẻ toàn bổ ổ đĩa, đặc biệt là các ổ đĩa hệ thống sẽ cho phép người dùng có cấp phép truy cập tới rất nhiều file và thư mục mà họ không nên nhìn thấy. Người dùng thông thường không cần truy cập tới các file hệ thống và ứng dụng trên các máy tính khác, họ có thể gây hư hỏng nếu vô tình xóa mất một file hay thư mục cần thiết. Giải pháp cho vấn đề này là tạo chia sẻ đối với thư mục xác định chứ không phải trên cả 0 đĩa. Trên thực tế, snap-in Shared Folders sẽ hiển thị một hộp thoại cảnh báo khi bạn cố gắng chia sẻ một 0 đĩa nào đó vì lý do bảo mật. Các file thường được truy cập qua mạng là các file tài liệu và dữ liệu. Do đó, bạn nên tố chức các cấu trúc thư mục trên hệ thống sao cho các tài liệu và QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 410
27. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE các file chia sẻ được lưu trên thư mục có tên riêng và tạo các cấp phép chia sẻ trên các thư mục này. Chia sẻ các ố đĩa di động Một ngoại lệ đối với chiến lược trên là khi bạn chia sẻ file trên các ổ đĩa di động như: CD-ROM, DVD-ROM hay các 0 băng. Không có gì ngăn cản bạn thực hiện công việc chia sẻ một thư mục trên các 0 đĩa này nhưng cần nhớ rằng chia sẻ sẽ chỉ có hiệu lực khi đĩa hoặc băng lưu thư mục nằm trong 0 . Chia sẻ gốc của các 0 này cho phép bạn hoán đối các phương tiện theo ý muốn mà vẫn đảm bảo tính sẵn sàng của thư mục chia sẻ. Lồng các chia sẻ Như đã được đề cập ở trên, bạn có thể chia sẻ bất kỳ thư mục nào trên ố đĩa, thậm chí cả các thư mục nằm trong các thư mục đã được chia sẻ. Ví dụ: bạn có thể chia sẻ ố đĩa D với tên chia sẻ D, sau đó tạo ra một thư mục chia sẻ khác D:\docs với tên chia sẻ Does. Hai đối tượng này có thể có các cấp phép truy cập khác nhau. Tuy nhiên bạn cần nhớ rằng mặc dù các thư mục chia sẻ lồng vào nhau trên Windows Explorer nhưng đối với người dùng trên mạng thì chúng vẫn là hai đổi tượng chia sẻ riêng biệt và hoàn toàn độc lập. Hơn nữa, các cấp phép cho hai đối tượng cũng riêng biệt. Ví dụ như nếu bạn gán cho người dùng cấp phép Full Control trên D và chỉ cho cấp phép Read trên Does, sự giới hạn cấp phép truy cập trên thư mục D:\docs qua đối tượng Does không ảnh hưởng tới cấp phép điều khiển toàn bộ của họ khi truy cập tới thư mục đó dùng đối tượng D. s ử DỤNG CÁC QUYÈN NTFS Windows 2003 Server hỗ trợ hai hệ thống file chính: FAT và NTFS. Hệ thống file FAT được phát triển từ hệ điều hành MS-DOS cung cấp các chức năng cơ bản nhưng có rất ít các tính năng dành cho lưu trữ trên mạng. Thuận lợi duy nhất khi sử dụng các ố đĩa FAT đó là bạn có thế khởi động máy tính bằng đĩa khởi động MS-DOS và vẫn có thể truy cập được tới chúng. Hệ thống file NTFS được giới thiệu đầu tiên trên Microsoft Windows NT 3.1 bao gồm một số các tính năng thuận tiện cho người quản trị mạng. Tính năng quan trọng nhất mà NTFS mang lại đó là cho phép bạn cung cấp các Cấp phép một cách chi tiết đến tất cả các file và thư mục trên 0 đĩa. CHỦ Ỷ: Mục đích của kỳ thi: Mục đích của môn thi 70-290 yêu cầu học viên có thê "cẩu hình Hệ thống cap phép file" QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 411
28. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Mọi file và thư mục trên ổ đĩa NTFS có một ACL chứa các ACE, liệt kê các đối tượng bảo mật được gán cấp phép trên các file/thư mục đó. Khi người dùng truy cập tới một file hoặc thư mục, hệ thống sẽ so sánh thẻ truy cập bí mật của người sử dụng (chứa các nhận dạng bảo mật (SIDs) của tài khoản người dùng) với các SID trong các ACE của ACL (các SID này là của các nhóm mà người dùng là thành viên). Một khi người sử dụng đã được xác thực, Cấp phép truy cập tới file/folder sẽ được cấp. So với Cấp phép chia sẻ được đề cập trong chương trước, cấp phép NTFS có rất nhiều ưu điểm bao gồm: ■ Phạm vi (scope): các cấp phép NTFS áp dụng trên file và thư mục bất ke phương pháp mà nó được truy cập. Người dùng truy cập cục bộ hay kết nối qua mạng bằng bất cứ phương tiện nào đều bị quản lý bởi các Cấp phép giống nhau. ■ Tính linh hoạt (Flexibility): NTFS cung cấp một danh sách dài các Cấp phép đặc biệt, chúng có thể kểt hợp lại với nhau đề tạo nên các Cấp phép chuẩn, đều có thể áp dung cho bất cứ file/folder nào trên ổ đĩa. Đồng thời NTFS cho phép điều khiển toàn bộ thông qua tính kế thừa Cấp phép. ■ Tính sao chép (replication): cấp phép NTFS được sao chép bởi FRS. ■ Tính giữ nguyên trạng thái (resilience): khi sao lưu hay khôi phục dữ liệu trên một ổ đĩa, các cấp phép NTFS cũng được đính kèm. Vì vậy bạn không phải lo lắng về việc sửa chữa lại các cấp phép NTFS khi có sự cố xảy ra. ■ Không thay đổi (Less fragile): cấp phép NTFS sẽ không bị mất nếu bạn di chuyển hay đổi tên file/folder có các cấp phép đang áp dụng (miễn là file hay thư mục vẫn nằm trên cùng 0 NTFS) ■ Khả năng kiếm định (Audit): bạn có thể giám sát và ghi lại quá trình truy cập tới các file/folder NTFS của các đối tượng bảo mật. Làm việc với các cấp phép NTFS phức tạp hơn nhiều so với cấp phép chia sẻ, nhưng với các tính năng bảo vệ mà nó đem lại thì NTFS thực sự là một công cụ tuyệt vời cho người quản trị mạng. Quản trị các cấp phép NTFS chuẩn Hầu như người quản trị mạng đều làm việc với các cấp phép NTFS chuẩn vì nó cung cấp đủ tính linh hoạt đế kiểm soát truy cập tới các file/folder chia sẻ. Trong Windows Explorer, mọi file và thư mục trên ố đĩa NTFS đều có QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 412
29. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE hộp thoại Properties với thẻ Security như trên hình 9-14, bạn có thế dùng đế thiết lập các Cấp phép NTFS chuẩn cho file/folder đó cũng như truy cập tới các Cấp phép điều khiến phức tạp hơn được thảo luận ở phần dưới của chương này. «t eje Gen-« cxJft a □ Lut FcAJo Ccrier li a o □ □ -J Wti» □ □ .J Foi i(a.*tí|»nticn ar|oràj.^c<:o dirgt, ¿kl. Aápví-tứ Çjrcel I Hình 9-14: Thẻ Security của một thư mục NTFS. CHỦ Ỷ: Quản trị NTFS từ xa Windows Explorer có khả năng cẩu hình các cấp phép NTFS cho bất cứ file hay thư mục nào trên mạng miễn là người sử dụng có các đặc quyền phù hợp. Điều này trái ngược với Cấp phép chia sẻ của Windows Explorer, chỉ dùng được trong các hệ thống file cục bộ. Quá trình gán các cấp phép NTFS chuẩn cho file/folder tương tự như việc gán các Cấp phép chia sẻ. Bạn phải chọn đối tượng chia sẻ trong danh sách "Group Or User Names" hay nhấp "Add" để thêm đối tượng bảo mật mới. Tiếp theo bạn phải lựa chọn các hộp kiếm tra Allow (cho phép) hay Deny (cấm) trên các cấp phép mà bạn muốn cung cấp cho đối tượng trong hộp Permissions. Các cấp phép NTFS chuấn và các công việc mà bạn có thể thực hiện được với các cấp phép đó được liệt kê trên bảng 9-1. CHỦ Ỷ: Các Cấp phép trên file/folder Có một sự khác biệt nhỏ giữa Cấp phép được gán một file và thư mục. cấp phép List Folder Contents (liệt kê nội dung thư mục) không áp dụng cho file. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 413
30. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Bảng 9-1: Các cấp phép NTFS chuẩn Cấp phép Khi gán cho một thư mục, Khi gán cho một file, cho NTFS cho phép chủ thể bảo mật: phép chủ thể bảo mật: chuẩn Read ■ Xem các file và các ■ Đọc nội dung file thư mục con trong ■ Xem chủ sở hữu, các thư mục đó. Cấp phép và các đặc ■ Xem chủ sở hữu, tính của file. các Cấp phép và các đặc tính của thư mục. Read and ■ Cho phép đi qua ■ Cho phép thực hiện tất Excute các thư mục bị ngăn cả các chức năng đo cản đế tới các file Cấp phép Read cung và thư mục khác. cấp. ■ Cho phép thực hiện ■ Chạy các ứng dụng tất cả các chức năng do Cấp phép Read và List Folder Contents cung cấp. Write ■ Tạo các file và các ■ Cho phép ghi đè lên thư mục con mới file bên trong một thư ■ Thay đổi các đặc tính mục. của file ■ Thay đổi các đặc ■ Xem chủ sở hữu và tính thư mục. các Cấp phép trên file ■ Xem chủ sở hữu và các Cấp phép trên thư mục Modify ■ Xóa thư mục Thay đổi file ■ Cho phép thực hiện Xóa file tất cả các chức năng Cho phép thực hiện tất do Cấp phép Write cả các chức năng do và Cấp phép Read Cấp phép Write và QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 414
31. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE and Excute cung cấp phép Read and cấp. Excute cung cấp. List Folder ■ Xem các tên của ■ Không áp dụng Contents các file và các thư mục con chứa trong thư mục cha. Full ■ Thay đổi các cấp ■ Thay đổi các cấp phép Control phép trên thư mục trên file ■ Chiếm Cấp phép sở ■ Chiếm Cấp phép sở hữu thư mục hữu file ■ Xóa các thư mục ■ Cho phép thực hiện tất con và các file nằm cả các chức năng do tất trong thư mục cha cả các cấp phép NTFS ■ Cho phép thực hiện khác cung cấp. tất cả các chức năng do tất cả các Cấp phép NTFS khác cung cấp. CHỦ Ỷ: Các Cấp phép thừa kế Khi hộp kiểm tra trong thẻ Security được chọn và có màu xám, có nghĩa là cấp phép này được kế thừa từ thư mục cha. Sử dụng các thiết lập bảo mật nâng cao Giao diện cơ bản trong thẻ Security cho phép người quản trị thiết lập các Cấp phép thông thường nhanh chóng và dễ dàng nhưng nó không cung cấp nhiều thông tin hay cung cấp đủ công cụ đế sử dụng hết các tính năng của hệ thống file NTFS. Nhẩn vào nút Advanced trong hộp thoại Advanced Security Settings (hình vẽ 9-15) bạn sẽ thu được giao diện tương tự như bạn xem ACL thực sự của file hay thư mục trong giao diện đồ họa của Windows. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 415
32. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE cm » ituteol am loiHiM raauinl * wr « CA I t r * o * - V V 10 •««Sm |W>tT F éCar*4 c*. htWrt» M K t '.T'-or-M r w i r - » v . 'll.k.Lki W f r íl C'. h - . » J CFCAir* f e * ut ' yr t*- -* Mat 5TJUM téi-jrtá es •hl» riikJB: , •1 J -r I »•” I 5 Ị*w If »» I !•; »N k. (I-M^ iM rírv « trtM t ĩ««««» «ne: c &• £=Í_L Hình vẽ 9-15: Hộp thoại Advanced Security Settings The Permissions mặc định của hộp thoại Advanced Security Settings chứa một danh sách các mục vào cấp phép, về cơ bán đây là một danh sách của các ACE riêng lẻ trong ACL của file/folder. Mồi mục vào chứa các thông tin sau: ■ Type {loại) Cho biết mục vào cho phép hay từ chối cấp phép ■ Name (tên) Cho biết tên của đối tượng bảo mật nhận các cấp phép đó. ■ Permission (cấp phép)', cho biết các cấp phép NTFS chuẩn được gán cho đối tượng bảo mật. Neu ACE được dùng để gán các cấp phép đặc biêt, từ "Special" sẽ xuất hiện trong trường này. ■ Inherited From {kể thừa từ) Cho biết cấp phép có được kế thừa không và nếu có thì kế thừa từ đâu. ■ Apply to {áp dụng cho) Cho biết cấp phép này có được áp dụng cho các thư mục con hay các file bên trong nó hay không. Neu có thì đó là những thư mục con hoặc file nào. Danh sách các mục vào cấp phép có thể chứa nhiều mục vào cho cùng một đối tượng. Điều đó có nghĩa rằng đối tượng nhận được nhiều cấp phép từ các nguồn khác nhau ví dụ như có cấp phép được gán trực tiếp cho đối tượng, có Cấp phép được kế thừa hoặc có thể có các đối tượng được thiết lập cả hai Cấp phép Allow và Deny. Trong trường hợp này, mồi mục vào trong danh sách được quán lý riêng biệt. Đe làm việc với mồi mục vào trong danh sách, bạn lựa chọn và nhấn Edit đế mở hộp thoại Permission Entry. Ngoài ra, chỉ có hai điều khiển được kích hoạt trong hộp thoại Advanced Security Settings cung cấp thêm hai lựa chọn: QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 416
33. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Allow Inheritable Permissions From The Parent To Propagate To This Object And All Child Objects (cho phép các cấp phép kế thừa từ đoi tượng cha được truyền đến đoi tượng này và tất cả các đối tượng con): Xác định xem các flle/folder có kế thừa cấp phép từ đối tượng cha hay không. Mặc định hộp kiếm tra này được lựa chọn. Khi bạn loại bỏ lựa chọn này một thông báo sẽ xuất hiện cho phép hoặc xóa bỏ hoặc giừ lại các cấp phép kế thừa từ thư mục cha xuống. Neu bạn lựa chọn giữ lại, các cấp phép ảnh hưởng vẫn được giữ nguyên nhưng file/folder không còn kế thừa cấp phép từ thư mục cha nữa. Neu bạn thay đổi các cấp phép trên thư mục cha, file và các thư mục con sẽ không bị ảnh hưởng gì. ■ Replace Permission Entries On All Child Objects With Entries Shown Here That Apply To Child Objects (Thay thế Mục vào Cap phép ở đây cho các đoi tượng con) Lựa chọn này làm cho các đối tượng con được thừa hưởng các cấp phép từ thư mục này trừ các Cấp phép được gán riêng chúng. Hộp kiểm tra này chỉ áp dụng cho các thư mục. Quản lý các cấp phép đặc biệt Khi bạn thay đổi một trong các Mục vào cấp phép trong hộp thoại Advanced Security Settings hay thêm một Mục vào mới vào hộp thoại đó bạn đều nhận được hộp thoại Permission Entry được mô tả trong hình 9-16. Lần đầu tiên, bạn truy cập trực tiếp đến các cấp phép đặc biệt tạo nên xương sống của hệ thống Cap phép NTFS. H+sir*» ị'« 1] «Í» Ocry 0 □ 0 □ UtroHm fWJD*« 0 □ 0 □ 1 MAiAlhib □ □ ,'avwp»« B □ 0 □ M □ 0 □ 0 □ S3 □ B □ ft—« ru rw_ _ - - ra n t-t z¡ r I ___ r~^~ì <rr I Hình 9-16: Hộp thoại Permission Entry NTFS có 14 Cấp phép đặc biệt, chức năng của chúng được mò tả chi tiết ở dưới. Trong trường họp các cấp phép đặc biệt xuất hiện theo cặp và được QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 417
34. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ngăn cách bởi một dấu chéo có nghĩa là cấp phép đầu tiên sẽ được áp dụng cho thư mục và cấp phép tiếp theo sẽ áp dụng cho file. ■ Traverse Folder/Execute File (duyệt thư mục/thực thi các fìlè) Cấp phép Traverse Folder cho phép hay ngăn cấm các đối tượng bảo mật khả năng di chuyển qua các thư mục mà họ không có cấp phép truy cập, vì vậy họ có thể tới được file hay thư mục mà họ có Cấp phép. Cấp phép này chỉ áp dụng cho các thư mục. cấp phép Execute File cho phép hay ngăn cấm các đối tượng chạy chương trình. Cấp phép này chỉ áp dụng cho file. ■ List Folder/Read Data (Liệt kê thư mục/Đọc dữ liệu) cấp phép List Folder cho phép hay ngăn cấm các đối tượng bảo mật khả năng hiên thị file và tên các thư mục con. Câp phép này chỉ áp dụng vào các thư mục. cấp phép Read Data cho phép hay ngăn cấm các đối tượng xem nội dung file. cấp phép này chỉ áp dụng cho các fíle. ■ Read Attributes (.Đọc thuộc tính) Cho phép hay ngăn cấm các đối tượng bảo mật khả năng xem các thuộc tính NTFS của file hay thư mục. ■ Read Extended Attributes (Đọc thuộc tính mở rộng) Cho phép hay ngăn cản các đổi tượng bảo mật khả năng xem các thuộc tính mở rộng của file hay thư mục. ■ Create Files/Write Data (tạo các file/thay đoi nội dung) cấp phép Create Files cho phép hay ngăn cản đối tượng bảo mật khả năng tạo fĩle trong thư mục. cấp phép này chỉ áp dụng cho các thư mục. Cấp phép Write Data cho phép hay ngăn cấm đối tượng khả năng thay đổi nội dung fĩle sẵn có. cấp phép này chỉ áp dụng cho các fĩle. ■ Create Folders/Append Data (Tạo thư mục/Chèn dữ liệu) cấp phép Create Folders cho phép hay ngăn cản đối tượng bảo mật khả năng tạo thư mục con trong một thư mục. cấp phép này chỉ áp dụng cho các thư mục. cấp phép Append Data cho phép hay ngăn cấm đối tượng khả năng thêm dữ liệu vào cuối fíle nhưng không được thay đối nội dung sẵn có trong fíle. cấp phép này chỉ áp dụng cho tì le. ■ Write Attributes {thay đổi thuộc tính) Cho phép hay ngăn cấm đối tượng bảo mật khá năng thay đổi các thuộc tính NTFS của một file hay thư mục sẵn có. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 418
35. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Write Extended Attributes {thay đôi thuộc tính mở rộng) Cho phép hay ngăn cấm đối tượng bảo mật khả năng thay đôi các thuộc tính mở rộng của một ílle hay thư mục sẵn có. ■ Delete Subfolders and Files {Xóa các thư mục con và fìle) Cho phép hay ngăn cấm đoi tượng bảo mật khả năng xóa các thư mục con và íĩle thậm chí cấp phép Delete không được gán các thư mục con hay ílle. ■ Delete (xóa) Cho phép hay ngăn cấm đối tượng bảo mật khả năng xóa ílle hay thư mục. ■ Read Permissions (cho phép hiến thị các cấp phép) Cho phép hay ngăn cấm đối tượng bảo mật khá năng đọc các cấp phép trên fíle hay thư mục. ■ Change Permissions (Thay đổi cấp phép) Cho phép hay ngăn cấm đối tượng bảo mật khả năng thay đổi các cấp phép của fĩle hay thư mục. ■ Take Ownership (Chiếm quyền sở hữu) Cho phép hay ngăn cấm đối tượng bảo mật khả năng chiếm quyền sở hữu của file hay thư mục. ■ Synchronize (Đồng bộ) Cho phép hay ngăn cấm các thread {chuỗi) khác nhau của một multithread (đa chuỗi), các chương trình đa xử lý có khả năng “chờ đợi” việc điều khiển fíle hay thư mục và đồng bộ nó với các thread khác thông báo cho nó. Hộp thoại Permission Entries cho một ACE hiển thị các cấp phép đặc biệt riêng rẽ mà về chức năng nó tương đương với các cấp phép NTFS chuẩn được xác định trong hộp thoại Advanced Security Settings. Các cấp phép đặc biệt tạo nên sáu cấp phép NTFS chuẩn được liệt kê trong bảng 9-2. Bảng 9-2: Các cấp phép NTFS chuẩn và các cấp phép đặc biệt tương ứng Cấp phép NTFS Các Cấp phép đặc biệt chuẩn Read ■ List Folder/Read Data (liệt kê thư mục/đọc dữ liệu) ■ Read Attributes (đọc các đặc tỉnh) ■ Read Extended Attributes (đọc các đặc QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 419
36. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE tính mở rộng) ■ Read Permissions (đọc các cấp phép) ■ Synchronize (đồng bộ) Read and Excute ■ List Folder/Read Data (liệt kê thư mục/đọc dữ liệu) ■ Read Attributes (đọc các đặc tính) ■ Read Extended Attributes (đọc các đặc tính mở rộng) ■ Read Permissions (đọc các cấp phép) ■ Synchronize (đồng bộ) ■ Traverse Folder/Execute File (cho phép duyệt thư mục/thực thi file) Modify ■ Create Files/Write Data (tạo các file/co khả năng ghi dữ liệu) ■ Create Folders/Append Data (tạo thư mục/thêm dữ liệu) ■ Delete (xóa) ■ List Folder/Read Data (liệt kê thư mục/đọc dữ liệu) ■ Read Attributes (đọc các đặc tỉnh) ■ Read Extended Attributes (đọc các đặc tính mở rộng) ■ Read Permissions (đọc các cấp phép) ■ Synchronize (đồng bộ) ■ Traverse Folder/Execute File (cho phép duyệt thư mục/thực thi file) ■ Write Attributes (thay đổi các đặc tính) ■ Write Extended Attributes (thay đổi các đặc tính mở rộng) Write ■ Create Files/Write Data (tạo các íĩle/có khả năng ghi dữ liệu) QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 420
37. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Create Folders/Append Data (tạo thư mục/có khả năng thêm dữ liệu) Read Permissions (đọc các cấp phép) Synchronize (đồng bộ) Write Attributes (thay đối các đặc tính) Write Extended Attributes (thay đổi các đặc tính mở rộng) List Folder Contents ■ List Folder/Read Data (liệt kê thư mục/đọc dữ liệu) ■ Read Attributes (đọc các đặc tính) ■ Read Extended Attributes (đọc các đặc tính mở rộng) ■ Read Permissions (đọc các cấp phép) ■ Synchronize (đồng bộ) ■ Traverse Folder/Execute File (cho phép duyệt thư mục/thực thi file) Full Control Change Permissions (thay đối các cấp phép) Create Files/Write Data (tạo các file/có khả năng ghi dữ liệu) Create Folders/Append Data (tạo thư mục/có khả năng thêm dừ liệu) Delete (xóa) Delete Subfolders and Files (xóa các thư mục con và các file) List Folder/Read Data (liệt kê thư mục/đọc dữ liệu) Read Attributes (dọc các đặc tinh) Read Extended Attributes (đọc các đặc tính mở rộng) Read Permissions (đọc các cấp phép) QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 421
38. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Synchronize (đồng bộ) ■ Take Ownership (đoạt Quyền sở hữu) ■ Traverse Folder/Execute File (cho phép duyệt thư mục/thực thi fĩle) ■ Write Attributes (thay đổi các đặc tính) ■ Write Extended Attributes (thay đổi các đặc tính mở rộng) Khi thay đổi một Mục vào cấp phép, bạn có thể thay đổi bất kỳ thông số nào dưới đây: ■ Name (Tên) Xác định tên của đối tượng bảo mật được gán cấp phép. Khi bạn muốn thay đổi cấp phép từ một đối tượng này sang một đối tượng khác, thay vì tạo ra một ACE mới, bạn có thể dùng giao diện này để thay đổi tên đối tượng được gán ■ Apply Onto (Gán cho) Xác định đối tượng nào được gán cấp phép bằng cách sử dụng các lựa chọn trên hình 9-17. Giao diện này cho phép bạn điều khiển hoàn toàn tính kế thừa các cấp phép được gán cho một thư mục cha: cho các file, các thư mục, các thư mục con và các ílle sâu hơn nữa. |XMr£K&ấfclíf»Ju*uU| ■ I i n* A □ □ □ D□ ¡r*?r ndfin o□ -1 a ạ M U I I ä I Hình 9-17: Các lựa chọn Apply Onto ■ Permissions (cấp phép) Xác định các cấp phép đặc biệt được gán cho các dối tượng bảo mật. Hộp danh sách Permissions bao gồm tất cả các Cấp phép đặc biệt có thể dùng được liệt kê ở trên cộng thêm Cấp phép NTFS chuẩn Full Control. CHỦ Ỷ: Sử dụng lựa chọn Apply Onto Khi bạn sử dụng lựa chọn Apply Onto đê giới hạn các đoi tượng nhận Cap phép kế thừa, tất cả QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 422
39. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE các thư mục con và file vẫn nhận được ACE từ thư mục cha. Đe ngăn không cho các đối tượng con kế thừa chỉ cần ngăn không cho chúng nhận các cấp phép trong ACE. Trường hợp ACE được kế thừa bởi một số lượng lớn các đối tượng con điều này sẽ ảnh hưởng tới hoạt động của mạng, khi đó sử dụng lựa chọn Apply Onto sẽ không phải là một giải pháp tốt để giới hạn kế thừa cấp phép. Hiển thị các cấp phép Hiệu dụng Mặc dù hệ thống cấp phép NTFS phức tạp nhưng rất may mắn là Windows Server 2003 chứa một cơ chế cho phép hiển thị cấp phép Hiệu dụng của một đối tượng bảo mật trên một file hoặc thư mục xác định. Đe xem các cấp phép Hiệu dụng, hãy mở hộp thoại Advance Security Settings của file hoặc thư mục và chọn thẻ Effective Permissions như trên hình 9-18. Khi bạn nhấn Select và xác định tên của đối tượng bảo mật trong hộp thoại "Select User, Computer, Or Group" hộp kiếm tra trong danh sách Effective Permission sẽ thay đối để hiển thị cấp phép tống hợp đối tượng đó nhận được. fMMuare I AjjSm i I CWiMCVfcUM I <>*• 1 '# * ? . m itn r 1 M ỉaMmhdr 'ỈIMIMÍÌI B . • »Mdli»! ■ ."WaiAAkJa H c*#» lé* ■ t » a Zméu fi» » H ■ Jh 6i . ■ .«*1 mriB ■ OtMt •1 Hình 9-18: Thẻ Effective Permissions của hộp thoại Advanced Security Settings CHỦ Ỷ Mục tiêu của kỳ thi Mục tiêu cho môn thi 70-290 yêu cầu học viên có thê "xác định cấp phép Hiệu dụng khi gán cấp phép" Mặc dù thẻ Effective Permissions rất thuận tiện để sửa các lồi liên quan tới việc truy cập các file chia sẻ tuy nhiên nó cũng không được thật sự hoàn hảo. Cấp phép Hiệu dụng hiển thị trên giao diện này được xác định nhờ tống họp các vấn đề sau: ■ Các Cấp phép được gán riêng rẽ cho đối tượng ■ Cấp phép kế thừa từ đối tượng cha QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 423
40. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Cấp phép kể thừa từ nhóm cục bộ hay Miền Tuy nhiên danh sách cấp phép Hiệu dụng không tính đến các cấp phép chia sẻ hay Cấp phép được kế thừa từ các nhóm đồng nhất đặc biệt do chúng phụ thuộc vào trạng thái truy cập của đối tượng bảo mật. Ví dụ, thẻ Effective Permissions có thể chỉ ra rằng một nhóm cụ thể có cấp phép Full Control trên một thư mục của ố đĩa chia sẻ. Tuy nhiên nếu bạn vẫn sử dụng cấp phép chia sẻ mặc định điều đó có nghĩa là nhóm đồng nhất đặc biệt everyone chỉ có cấp phép Read (đọc) tức là nhóm này chỉ có cấp phép đọc bất kế Effective Permissions hiến thị như thế nào. Cũng theo cách như vậy, cấp phép Hiệu dụng không thể tính đển trạng thái truy cập của đối tượng bảo mật tại một thời điếm bất kỳ. Windows Server 2003 cho phép gán cấp phép dựa trên các nhóm Đồng nhất Đặc biệt như: Truy cập nặc danh {Anonymous Logon), quay so qua đường thoại (Dialup) và tương tác {Interactive). Như đã học ở chương 7, những Đồng nhất Đặc biệt này được xác định dựa trên cách mà người dùng truy nhập vào hệ thống hay mạng. Ví dụ một người sử dụng truy cập vào mạng bằng cách sử dụng dialup là một phần của nhóm Đồng nhất Đặc biệt Dialup trong suốt quá trình kết nối đó. Vì đối tượng báo mật không cần truy nhập khi bạn xem cấp phép Hiệu dụng của họ vì vậy không có cách nào đê hệ thống có thể biết được Đồng nhất Đặc biệt nào sẽ có ảnh hưởng tới các đổi tượng khi họ truy nhập. CHỦ Ỷ: Liên quan đến cấp phép Hiệu dụng Để xem xét các cấp phép được cấp cho các nhóm Đồng nhất Đặc biệt có the có ảnh hưởng thế nào tới người sử dụng của bạn, bạn có thê dùng thẻ Effective Permissions đê hiển thị cấp phép Hiệu dụng của một nhóm Đồng nhất Đặc biệt nào đó, sau đó bạn có thê chuyên những kết quả đó vào Cấp phép Hiệu dụng của người sử dụng. Sở hữu tài nguyên (Resource Ownership) Mọi file và thư mục trên hệ thông file NTFS (cũng như mọi đối tượng trên Active Directory) đều có một chủ sở hữu. Mặc định, chủ sở hữu là người đã tạo ra file hay thư mục đó. Trong trường hợp file hay thư mục được tạo bởi hệ điều hành thì nhóm Administrators sẽ là chủ sở hừu. Tuy nhiên các thành viên của nhóm Administrators hoặc những người sử dụng được cấp cấp phép đặc biệt Take Ownership {chiếm quyền sở hữu) đối với file hay thư mục đều có khả năng chiếm đoạt quyền sở hữu của file hay thư mục tại bất kỳ thời điếm nào. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 424
41. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE CHỦ Ỷ Mục tiêucủa kỳ thi Mục tiêu của môn thi 70-290 yêu cầu học viên có khả năng "thay đổi quyền sở hữu của file hay thư mục" Quyền sở hữu file hay thư mục có hai mục tiêu chính sau ■ Các chủ sỏ’ hữu có thế thaỵ đối các ACL Bất kế chủ sở hữu của một file hay thư mục có cấp phép gì anh ta vẫn có thể thay đổi được ACL của file hay thư mục. Vì vậy có thể coi sự sở hữu như một cơ chế dự phòng khi có một ai đó khóa file hay thư mục đối với tất cả mọi người. Ví dụ nếu bạn tạo một file mới và ngẫu nhiên bỏ hết mọi Cấp phép của bạn đối với file đó, quyền sở hữu file cho phép bạn có thế thay đổi ACL và khôi phục lại các cấp phép. ■ Hạn ngạch đĩa đưọ’c xác định theo chủ sỏ’ hữu Hạn ngạch đĩa cho phép người quản trị theo dõi và kiểm soát mồi người sử dụng có thế sử dụng bao nhiêu không gian đĩa cứng trên máy chủ. Bạn sẽ được học vấn đề này trong chương 12. Ngoài Cấp phép Take Ownership (chiếm quyền sở hữu) cũng có hai cấp phép nhằm cung cấp khả năng quản lý chủ sở hữu của file hoặc thư mục NTFS: ■ Take Ownership Of Files Or Other Objects (chiếm quyền sở hữu của các file và các đoi tượng khác) Người dùng hay nhóm sở hữu Quyền này có thể chiếm quyền của bất kỳ file hay thư mục NTFS. Mặc định, nhóm Administrators nhận được quyền này từ chính sách nhóm Default Domain Controller Policy (chỉnh sách nhóm mặc định dùng cho các máy chủ điều khiến vùng). ■ Restore Files And Directories {phục hồi các file và thư mục) Người dùng hay nhóm sở hữu Quyền này có thế chiếm quyền sở hữu của bất kỳ file hoặc thư mục NTFS nào hay gán quyền sở hữu cho người dùng hay nhóm khác. Mặc định, chính sách nhóm Default Domain Controller Policy sẽ gán Quyền này cho các nhóm Administartors (nhóm quản trị), nhóm Backup Operator (thực hiện các công việc sao lưu) và nhóm Server Operators (nhóm quản trị các hoạt động trên máv chủ). Dể xem hay chiếm quyền sở hữu của file hay thư mục, mở hộp thoại Advanced Security Settings và chọn thẻ Owner như trên hình 9-19. Thẻ này liệt kê chủ sở hữu hiện thời của file hay thư mục. Neu bạn có cấp phép đặc biệt Take Ownership đối với file hay thư mục hoặc có quyền Take Ownership O f Files Or Other Objects, bạn có thế lựa chọn tài khoản của bạn trong hộp Change Owner To rồi nhấn Apply hay OK đe chiếm quyền sở QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 425
42. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE hữu đối tượng đó. Nếu bạn có quyền Restore Files And Directories, bạn cũng có thể nhấn vào Other Users Or Groups để lựa chọn đối tượng bảo mật khác rồi cấp quyền sở hữu đối tượng đó cho nó. P«Muani I 0»«* Ịc h e H . 1UII I «u y ci »'»>««< w » ^ i n r* w e j9 ' ÇunrtOMWttttMMr ỊlầWệặ»»*y*y-rc OÑñ w j i j w 1» í; c<*-w» 4 - -.- CO'vWtwwtyvl C»te»ywK« hp Ẩ» r l~.ru.4uJMaítầl I « I I Hình 9-19: Thẻ Owner của hộp thoại Advanced Security Settings Nếu bạn là người chủ sở hữu hiện tại cuả file hay thư mục và bạn muốn chuyến quyền sở hừu cho người khác nhưng bạn lại không có quyền Restore Files And Directories, bạn vẫn có the thay đối ACL và cấp cho người sử dụng đó Cấp phép Take Ownership. Sau đó người sử dụng kia sẽ dùng các tiến trình như trên đế chiếm quyền sử dụng của file hay thư mục. QUẢN TRỊ IIS Cho tới chương này, chúng ta đã học cách cung cấp cho người dùng mạng khả năng truy cập tới các file trên một máy tính chạy Windows Server 2003 thông qua việc công bố các điếm chia sẻ bằng dịch vụ Server. Dịch vụ này cho phép các máy trạm sử dụng dịch vụ Worksbantion có thể truy nhập được. Tuy nhiên trên Windows Server 2003, đây không phải là cách duy nhất để chia sẻ các file. Thay vào đó bạn cũng có thể sử dụng các dịch vụ Internet được cung cấp bởi Microsoft IIS kể cả khi máy trạm của bạn nằm trong mạng LAN. CHỦ Ỷ Mục tiêu của kỳ thi Các mục tiêu cho môn thi 70-290 yêu cầu các học viên có khả năng “quản trị dịch vụ IỈS” IIS là một ứng dụng của Windows Server 2003 có khả năng công bố các file và các ứng dụng bằng việc sử dụng các giao thức chuẩn Internet như HTTP {là một giao thức chuấn cho truyền thông Web ) và FTP . So sánh với việc chia sẻ file thông thường, việc chia sẻ file trong IIS, với cấu hình mặc định của IIS, là một phương pháp hạn chế trong việc công bố các file . Vì các lý do an ninh , IIS được cài đặt trong chế độ khóa và bảo mật cho phép máy QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 426
43. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE chủ chỉ cung cấp nội dung tĩnh cho các máy trạm. Người dùng có thế lẩy các file từ một máy chủ II s về ô đĩa nội bộ của mình và làm việc với chúng trên máy cá nhân nhưng họ không thể mở file trực tiếp từ máy chủ cũng như lưu các phiên bản được sửa đổi so với trạng thái ban đầu của file như họ vẫn làm trên hệ thống file chia sẻ thông thường. Tuy nhiên , kể cả khi ở trong trạng thái khóa, IIS vẫn cung cấp những phương tiện đế phố biến các file một cách dễ dàng và bảo mật. Trong các phần sau đây, chúng bạn sẽ học cách cài đặt và cấu hình IIS trên một máy tính chạy Windows Server 2003 và quản lý vấn đề bảo mật của một máy chủ IIS . Cài đặt n s Không giống như Windows 2000, mặc định Windows Server 2003 không cài đặt IIS. Việc làm này nhằm phòng ngừa lồ hống an ninh tiềm ấn trong hệ điều hành. Mặc định, các phiên bản trước đó của Windows cài đặt dịch vụ IIS, kích hoạt dịch vụ World Wide Web Publishing và tạo một trang Web mặc định . Trong các trường hợp mà người quán trị không dùng tới và quên tắt dịch vụ, nó sẽ trở thành một lối vào tiềm ấn cho những người dùng trái phép . Trong Windows Server 2003 , bạn phải cài đặt IIS một cách thủ công sau khi đã hoàn tất việc cài đặt hệ điều hành. Đe cài đặt IIS, mở Add Or Remove Programs trong Control Panel rồi chọn Add/Remove Windows Components để khởi động Trình hướng dẫn Windows Components . Trong Trình hướng dẫn này , chọn Application Server , nhấn Details , rồi chọn Internet Information Services (IIS) . Bạn có the nhấn Details một lần nữa đê chỉ rõ các thành phần IIS nào mà bạn muốn cài đặt . Mặc định, Trình hướng dẫn sẽ cài đặt các thành phần sau : ■ Common Files: Cài đặt các file chương trình cần thiết dành cho IIS ■ Internet Information Services Manager: cài đặt snap-in IIS Manager. Bạn sử dụng snap-in này đe quản lý các dịch vụ IIS và cấu hình an ninh site . ■ World Wide Web Service: Cài đặt dịch vụ cung cấp kết nối HTTP với các máy trạm TCP/IP trên mạng . CHỦ Ỷ Cài đặt các thành phần bồ sung Mặc dù chúng không cần thiết cho các chức năng sẽ được mô tả trong chương này, bạn vẫn có thê chọn các thành phần IIS bỏ sung đế cung cấp tính năng cao hơn cho máy chủ, nhưng không được bỏ bất cứ thành phần mặc định nào liệt kê ở đây. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 427
44. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Sau khi bạn hoàn tất Trình hướng dẫn , Windows Server 2003 sẽ cài đặt các thành phần mà bạn đã lựa chọn và kích hoạt dịch vụ World Wide Web Publishing. Quản trị một Web Site n s Khi IIS đã được cài đặt, một trang Web mặc định được tạo ra, cho phép bạn thực thi một môi trường Web nhanh chóng và dễ dàng. Ban đầu, site mặc định chưa có nội dung gì (ngoại trừ một bản tin Under Construction). Bang cách bổ sung các file của bạn vào thư mục gốc của site mặc định , bạn có thế tạo ra một trang chủ nhằm cung cấp cho các máy trạm khả năng truy cập tới bất kỳ file, thư mục và thông tin nào mà bạn muốn công bố. CHỦ Ỷ Mục tiêu của kỳ thi Các mục tiêu cho môn thi 70-290 yêu cầu các học viên có khả năng “quản trị một máy chủ Web ” Đe quản trị các Web site trên một Máy chủ IIS, bạn sử dụng snap-in IIS Manager (như ừong hình 9-20) , bằng cách truy nhập Administrative Tools ữên thực đơn S ta rt. Snap-in này cho phép bạn tạo và quản lý một số lượng Web site riêng biệt nhiều tới mức mà phần cứng của máy chủ có thể chạy được. *1 if» èr*" &*• > • Ê 5 dPQÇ? d* à. • " »W * Hnntan t t e * . a * . ptv,. - »1 ItfM rtJI (.>.* I l f J .y*4- Ü / P J : à v w ti* * • « è '*"<* î- e Il J £ * f n r t • i . J Hình 9-20: Snap-in quản trị dịch vụ IIS Ban đầu chỉ có một Web site duy nhay trên máy chủ, gọi là Default Web Site. Đế xem các site trên máy chủ, mở rộng nút của máy chủ trong khung Phạm vi rồi mở rộng thư mục Web Sites. Bằng cách chọn một trong các web site được liệt kê rồi chọn Properties từ thực đơn Action, bạn có thế mở hộp thoại Properties của site đó . Hộp thoại này chứa một lượng lớn các chức năng điều khiến cho phép bạn cấu hình các thông số cho Web site này . Các phần sau đây xem xét một vài chức năng điều khiến quan trọng của hộp thoại này. Sử dụng thẻ Web Site QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 428
45. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Thẻ Web Site của hộp thoại Properties (hình vẽ 9-21), chứa các thiết lập xác định cách thức các máy trạm có thê truy nhập tới Web Site. IIS có thê duy trì (Host) một số lượng không giới hạn các Web site ảo trên một máy tính, nhưng đe cho các máy trạm có thế truy nhập được tới chúng, phải có một cách thức đế phân biệt giữa site này với các site khác. 1 t —.TIT? S*M tr 1 KITT rtto taa 1 C u m f a m 1 IVfWMKl 1 E*n Mt*,t 1 MCMte iw a i ; V* WWW Vepx*" 1 W . n ü B 1 m [ T ' r~ kSTf kq wr : WJ: ü n « .nj •U "xrrmt • 1 troarwi. 1 1 « 1 1 1 "* Hình 9-21: Thẻ Web Site trong hộp thoại Properties của một Web site Các máy chủ Web thông thường sử dụng các kỹ thuật sau đây để duy trì nhiều site cùng lúc : ■ Các địa chỉ IP khác nhau: Bằng cách cấu hình máy tính với nhiều địa chỉ IP khác nhau và gán mồi địa chỉ IP khác nhau cho một Web site, máy chủ Web có thế hướng các yêu cầu tới site thích hợp, dựa trên địa chỉ IP được xác định trong yêu cầu. ■ Các cống khác nhau: Mặc định, giao thức HTTP sử dụng cống thông dụng là 80 cho thông tin TCP/IP của nó. Khi kết nối vào một Web site, trình duyệt sẽ mặc định sử dụng cống 80 trừ phi bạn chỉ định khác đi, bằng cách sử dụng một địa chỉ URL như Bằng cách gán các cống khác nhau cho các Web site, một máv chủ có thể hướng các yêu cầu tới site thích hợp dựa trên số cống được chỉ rõ trong yêu cầu. ■ Host headers: Mặc dù các máy trạm thông thường sừ dụng tên để truy nhập vào các Web site nhưng quá trình truyền thông TCP/IP vần dựa trên các địa chỉ IP. Các máy chủ DNS chịu trách nhiệm chuyển đổi các tên này sang các địa chỉ IP. Host Header là một trường tùy chọn trong bản tin yêu cầu HTTP bao hàm tên URL của máy chủ Web. Các yêu cầu với các giá trị host header khác nhau có thế được hướng tới một máy chủ Web đơn với một địa chỉ IP và một cống duy nhất. Sau đó, máy chủ có thể hướng các yêu cầu tới site thích hợp dựa vào giá trị host header. Ví dụ, một công ty có thể QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 429
46. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE duy trì (host) hai Web site www.adatum.com và www.ACNA.com trên một máy chủ Web. Máy chủ DNS của công ty sẽ chuyến đổi cả hai tên gọi sang cùng một địa chỉ IP vì vậy các bản tin yêu cầu gửi đến mỗi site đều tới cùng một máy chủ. Máy chủ Web sau đó sẽ phân biệt hai đích bằng cách xem xét các trường host header. Với các chức năng điều khiển trong thẻ Web Site, bạn có thể sừ dụng bất cứ phương pháp nào trong 3 phương pháp nêu trên đế phân biệt các Web site với nhau. Web site mặc định được cấu hình sử dụng cống 80 và tất cả các địa chỉ IP của máy tính sẽ không được gán cho các Web site khác. Neu bạn muốn tạo thêm các Web site khác trên máy chủ, bạn có thế thay đối các giá trị này bằng cách chọn một giá trị địa chỉ IP xác định, thay đối giá trị cống TCP hoặc nhấp vào nút Advanced để xác định tên host header cho site . Thẻ này còn cho phép bạn định ra một giới hạn thời gian trước khi những người dùng ở trạng thái inactive (không hoạt động mặc dù vẫn đang kết nối) bị ngắt kết nối ra khỏi máy chủ, cũng như kiếm soát cách thức đăng nhập của máy chủ đối với site này bằng cách chọn một định dạng file nhật ký, xác định thông tin nào được ghi vào nhật ký và cấu hình thời gian biểu đe ghi nhật ký. Sử dụng thẻ Home Directory Thư mục gốc của một web site là vị trí mặc định chứa các file nội dung của một web site. Khi bạn xác định một URL trong trình duyệt Web với tên site nào đó (như www.ACNA.com chằng hạn), máy chủ sẽ tự động cung cấp cho bạn các file nội dung trong thư mục gốc của site đó. Trong thẻ Home Directory (hình vẽ 9-22) bạn có thế xác định vị trí của thư mục gốc cho một Web site nhất định. Bằng cách tạo ra các thư mục gốc khác nhau cho các site khác nhau chạy trên một máy chủ duy nhất, bạn có thể duy trì nội dung riêng biệt cho mồi site. I TFl'î V QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 430
47. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Hình 9-22: Thẻ Home Directory trong hộp thoại Properties của một Web site IIS cho phép bạn xác định một thư mục gốc bằng cách chọn một trong ba tùy chọn sau : ■ A Directory Located On This Computer (thư mục trên máy tính này) sử dụng kỷ hiệu chữ cái 0 đĩa chuẩn đe xác định thư mục gốc trên một trong các 0 đĩa logic của máy tính. ■ A Share Located On Another Computer {thư mục chia sẻ trên máy tỉnh khác) sử dụng đường dẫn Universal Naming Convention (UNC) đế xác định thư mục gốc nằm trên một vùng chia sẻ ở đâu đó trên mạng. ■ A Redirection To A URL (chuyến hướng tới URL) sử dụng đường dẫn URL để xác định thư mục gốc trên một máy chủ Web khác. Web site mặc định sử dụng một thư mục gốc cục bộ được tạo ra mặc định trong quá trình cài đặt IIS đặt tại thư mục C:\Inetpub\wwwoot. Ban đầu thư mục này không chứa một nội dung thực sự nào ngoại trừ các file đế thể hiện trang Under Construction nhung bằng việc đưa các file nội dung vào thư mục này, bạn có thể biến chúng sử dụng được ngay lập tức đối với các máy trạm. Ngoài việc cho phép bạn xác định vị trí thực sự của thư mục gốc, thẻ này còn cho phép bạn cấu hình các kiểu truỵ nhập mà máy trạm có thể sử dụng để truy nhập tới thư mục này. Bạn có thể chọn các tùy chọn dưới đây sau khi xác định thư mục gốc trên 0 đĩa cục bộ hay trên điểm chia sẻ trên mạng: ■ Script Source Access: cho phép các máy trạm có thể truy nhập các file kịch bản (script) trong thư mục với giả thiết rằng các cấp phép Read hay Write đã được thiết lập. ■ Read: cho phép các máy trạm có thể đọc và tải về các file trong thư mục . ■ Write: cho phép các máy trạm tải lên thư mục các file hoặc thay đổi nội dung của các file cho phép ghi. ■ Directory Browsing: giả thiết rằng không có tài liệu mặc định (.Default Documents), cho phép người dùng xem một danh sách các liên kết siêu văn bản liệt kê các file và các folder có trong thư mục . QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 431
48. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Log Visits: giả thiết rằng tính năng ghi nhật ký đã được kích hoạt cho site này, cho phép ghi lại các cuộc truy nhập vào thư mục vào nhật ký ■ Index This Resource: tạo một chỉ mục của các nội dung văn bản {full-text index) của thư mục trong dịch vụ Microsoft Indexing (bạn phải cài đặt dịch vụ Indexing bằng cách nhấn Add/Remove Windows Components trong công cụ Add or Remove Programs). ■ Application Settings: cho phép bạn xác định các kiểu ứng dụng Web mà máy trạm được phép chạy. S ử dụng thẻ Documents Trong thẻ Documents (hình vẽ 9-23) bạn có thể xác định tên của file nội dung mà IIS phân phối tới các máy trạm một cách mặc định. Khi một máy trạm đưa một URL không chứa bất cứ một tên tệp nào trong trình duyệt, máy chủ Web phân phối file với tên mặc định được chỉ rõ trong hộp Enable Default Content Page. Neu tên tệp đầu tiên được liệt kê không tồn tại trong thư mục, máy chủ sẽ kiếm tra lần lượt các file được liệt kê trong hộp nói trên theo thứ tự từ trên xuống. Neu không có tệp nào trong danh sách tồn tại, máy chủ hoặc hiến thị một siêu văn bản liệt kê nội dung của thư mục (nếu tùy chọn Directory Browsing được kích hoạt trong thẻ Home Directory) hoặc một bản thông báo lỗi (nếu Direcoty Browsing bị vô hiệu). VéỉU I hrtmau I Etflflni I ikni«MU) I hutiỊỈHiir I tftrFMt*a I CutnbKii 3 <w«.* tnVMT .tç» ivtarf rr LvawtL.w1*. •M 1 Ur.Mn ___ 1 1 1 V . -. — 1 ___ I g l_ggj I. "+ Hình 9-23: Thẻ Documents trong hộp thoại Properties của một Web site Hộp Enable Document Footer cho phép bạn cung cấp tên của file footer được gắn vào tất cả các tài liệu được Website xuất bản. Sử dụng thẻ Performance Trong thẻ Performance (hình vẽ 9-24) bạn có thể giới hạn băng thông sử dụng cho site này cũng như số lượng người dùng có thế kết nối đồng thời. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 432
49. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Nó cho phép bạn ngăn chặn tình trạng một Web site độc chiếm toàn bộ băng thông hẹ thong. u a I N »1H ) i m l f I »irr» n t a h i I . 'u l i i ỉ i u i M ( U4 tmtun -» I (* I iư t M h n MriMtttMMlI r ụri f * r » w * 4»i*«*>'c.tfcc ụ * . í » B w%* r*» :g»n t t r » * ư*«>J r iUtmu«kyédu ___ r^~Ị ■ I j_g_j Hình 9-24: Thẻ Perfomance trong hộp thoại Properties của Web site Tạo các thư mục ảo Khi bạn xác định một thư mục gốc cho một Website IIS, tất cả các file trong thư mục và các thư mục con của nó đều được máy chủ công bố và sẵn sàng phục vụ cho các máy trạm. Tuy nhiên, nếu bạn muốn công bố các file và thư mục sẵn có thì bạn cũng không cần phải di chuyển chúng đến cấu trúc thư mục gốc. Thay vào đó bạn có thể tạo ra một thư mục ảo. Một thư mục ảo là một con trỏ đến một thư mục nằm tại một vị trí khác và đối với các máy trạm chúng là một phần trong cấu trúc thư mục của Web site. Để tạo ra một thư mục ảo trên một IIS Web site, bạn lựa chọn site trên màn hình quản trị IIS Manager, sau đó trên thực đơn Action trỏ tới New rồi lựa chọn Virtual Directory. Hoạt động này kích hoạt Trình hướng dẫn Virtual Directory Creation, ở đó bạn phải cung cấp những thông tin sau: ■ Virtual Directory Alias (các bí danh cho thư mục ảo): cung cấp tên của thư mục ảo cho các máy trạm. Bí danh mà bạn nhập sẽ xuất hiện như một thư mục con của Web site trong các URL của máy trạm. Bí danh mà bạn chọn không cần thiết phải là tên thật của thư mục mà bạn muốn công bố. ■ Web Site Content Directory (thư mục chứa nội dung của Web site): xác định đường dẫn tới thư mục mà bạn địiili chia sẻ cho thư mục ảo. Đường dẫn mà bạn đưa vào có thể sử dụng một ký tự 0 đĩa hoặc đường dẫn UNC và có thế được đặt trên một ố đĩa cục bộ hoặc một thư mục chia sẻ trên mạng. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 433
50. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE ■ Virtual Directory Access Permissions (các cấp phép truy cập đến thư mục ảo): xác định cấp phép cấp cho các máy trạm khi truy cập đến thư mục ảo (như Read (đọc), Run Scripts (chạy các kịch bản), Excute (thực thí), Write (ghi) và Browse (duyệt trang Web)). Một khi bạn đã tạo thư mục ảo, các file trong thư mục nội dung mà bạn muốn công bố trên Web site sẽ nằm trong một thư mục con được xác định theo bí danh bạn cung cấp ở trên. Cấu hình bảo mât IIS Hầu hết các Web site trên Internet đều cung cấp cho các máy trạm cấp phép truy cập nặc danh (anonymous). Khi bạn cẩu hình một IIS Web site cho việc truy cập nặc danh, tất cả các máy trạm kết nối tới máy chủ đều sử dụng một tài khoản đặc biệt được thiết kê cho mục đích này. Tên tài khoản mặc định trong Windows Server 2003 là l u s R servername trong đó servername là tên của máy tính, về mặt kỹ thuật, các máy khách vẫn được xác thực nhưng không có sự trao đối các thông tin bí mật và chúng không bị hạn chế trong quá trình truy cập tới Web site. CHỦ Ỷ Mục tiêu của kỳ thi Các mục tiêu cho kỳ thi 70-290 yêu cầu các học viên có khả năng “quản trị tỉnh bảo mật của IIS” Tuy nhiên, nếu bạn muổn hạn chế việc truy cập tới một Web site, bạn có thể gia tăng mức bảo mật theo một vài phương pháp sau đây: ■ Authentication and Access Control {kiểm soát truv cập và xác thực): yêu cầu các máv trạm cung cấp tên truy cập và mật khấu khi truy cập Web site. IIS cung cấp một số loại mã hóa vói mức độ bảo mật khác nhau. ■ IP Address and Domain Name Restrictions (các hạn chế về tên miền và địa chỉ IP): bạn có thế cho phép hoặc ngăn cấm các máy khách nhất định truy cập tới site dựa trên địa chỉ IP và tên miền của chúng. ■ Secure Communications (các kênh truyền thông bảo mật): yêu cầu các máy trạm sử dụng một giao thức truyền thông bảo mật hoặc một chứng chỉ số khi truy cập tói Web site. Bạn có thể cấu hình tất cả các cơ chế bảo mật nói trên trong thẻ Directory Security trong hộp thoại Properties của Web site như hình vẽ 9-25. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 434
51. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE s*4,U m I 1 «(UMLI 1 t^Pirau. cvara tt«« 0«M ti U m xayU ăM tt 1 MlTFMiAi 1 Cut»(ioi AfrmotavrimarM mềttrtttềcr, = m = .1 F It»ni ntiầrm m «ara tw fr tfm f~ ị ú >1 « ikn. ICM —■■« u l*ar »I Ểếrtrnm >CJI imwila’i 1 «* 1 2 - J J — 1 ■* 1 Hình 9-25: Thẻ Directory Security trong hộp thoại Properties của Web site CHỦ ỶIIS và các Cấp phép NTFS Ngoài các cơ chế bảo mật ở trên bạn cũng có thê sử dụng các cấp phép NTFS đế bảo vệ các Web site. Như đã đề cập trong chương trước, các cấp phép NTFS cung cấp cho các người dùng bất kế họ truy cập bằng phương pháp nào. Điều đó có nghĩa rằng một người dùng truy cập tcrì một Web site với nội dung được lưu trên ô đĩa NTFS phải có các cấp phép tương ứng đế truy cập các file nội dung. Xem phần “Sử dụng các Cấp phép NTFS” trong chương trước đế biết thêm thông tin. Cấu hình xác thực IIS Đe cấu hình một IIS Web site sử dụng một mô hình nhận thực khác với truy cập nặc danh mặc định, bạn nhấp vào nút Edit trong hộp Authentication And Access Control trên thẻ Directory Security đe hiến thị hộp thoại Authentication Methods (xem hình vẽ 9-26). ỊAiaharầtc:.«!»*» MtfCtwnl» o [7 ịrũ&i ircrtt r»u*i ùítt^ì UM th ô r o ẳ x n q urirkáOMỉ u u * x c c u r i for ỉrcoyfull*: jccftx: LM r narret | lia & _ S B G r * « o i fcTCA.ce. ị ÇwAvcrd: I AJtMlKOWS »KKÍ Pc« tĩi? !ú k ]M r»2 <*Jt\trtkJ!ỂLari n e f r u i i ‘M i unc<injiiSM ud »*reojf«dv,ftcr - «cos» © ifrvèw or • 4í< f t x i£ f6tỉrctútíif*gN rPS aoaott corfrcJItti F tyv? ¿Util trocara far «VndQM; donutfi âwtirt r j J J e r i t  i r i ipasftMCrfd & se rt h {fear le*t) r .fJET Pm çatt atheflbcxrifcn I ___I I sa« I I g» I I 3» QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 435
52. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE Hình 9-26: Hộp thoại Authentication Methods Đe ngăn chặn hình thức truy cập không xác thực tới Web site, bạn phải bỏ dấu chọn tại hộp kiểm tra Enable Anonymous Access. Bạn cũng phái cấp các Cấp phép NTFS cho các file và thư mục mà bạn muốn bảo vệ. Ke đó bạn phải lựa chọn một hình thức xác thực thay thế từ các lựa chọn sau: ■ Integrated Windows Authentication (xác thực tích hợp với Windows): máy chủ thực hiện trao đổi mật mã với máy trạm vì vậy tên truy cập và mật khẩu được truyền đi trong dạng các mớ rối (Hash) nhằm ngăn chặn những người nghe trộm có thế đọc được nội dung về tài khoản của người sử dụng. Hình thức xác thực này không phù hợp với việc truy cập qua máy chủ proxy hoặc các tường lửa. ■ Digest Authentication For Windows Domain Servers (.xác thực dạng phân loại cho các máy chủ Miền): chí dành cho các máy trạm có các tài khoán Active Directory, Máy chủ sẽ thu thập các chứng thực người sử dụng và lưu chúng trên Máy chủ Điều khiến dưới dạng MD5 (Message Digest 5) Hash {mớ roi MD5). ■ Basic Authentication (xác thực cơ bản): máy trạm truyền tên truy cập và mật khấu theo dạng văn bán tường minh, vì vậy sẽ tạo nên một nguy cơ tiềm ấn về bảo mật. Bạn chỉ sử dụng lựa chọn này khi không có khả năng chọn các lựa chọn khác mang tính bảo mật hơn. ■ .NET Passport Authentication (xác thực dựa trên .NET Passport)', các máy trạm kết nối tới máy chủ bằng cách sử dụng các tài khoản .NET Passport sẵn có của chúng. Chúng được xác thực bởi một máy chủ .NETPassport trung tâm trên Internet. Cấu hình các hạn chế về địa chỉ IP và tên miền Khi bạn nhấp vào nút Edit trong hộp IP Address And Domain Name Restrictions, bạn sẽ nhìn thấy hộp thoại IP Address And Domain Name Restrictions như hình vẽ 9-27. Ớ đây bạn có thể xác định các địa chỉ IP riêng rẽ, các địa chỉ mạng và các tên miền sau đó bạn sẽ cho phép hoặc cấm chúng truy cập tới Web site. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 436
53. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE IF Atlikutt »Ni D« I P d i t ì c « a x &Si re í tuitions B> défaut, £ cũnỊfj£t*mềbe „y (• îçîçiftédir.cets tuet*, ihç fcẬ>«n3 Otcjedaccfii* |p »30*« í I['sdbnci nwc*c| c«mel tMi» Hình 9-27: Hộp thoại IP Address And Domain Restrictions Trong hộp thoại IP Address And Domain Name Restrictions, trước hết bạn phải xác định xem bạn muốn các địa chỉ và các tên mà bạn lựa chọn sẽ được phép hay ngăn cấm truy cập đến Web site. Tiếp theo bạn nhấp vào Add để mở hộp thoại Granted Access or Denied Access, ở đó bạn sẽ nhập địa chỉ IP của máy tính nào đó, địa chỉ mạng và mặt nạ mạng con hoặc tên miền. Loại hạn chế này được dựa trên máy tính chứ không phải dựa trên người sử dụng. Khi bạn gán cấp phép truy cập đến Web site cho một địa chỉ IP nào đó thì bất kỳ người sử dụng nào làm việc trên máy tính đó cũng có thể truy cập đến Web site đó ngoại trừ có các cơ chế bảo mật khác được thực thi. Do những hạn chế này là độc lập với cơ chế xác thực của Web site nên bạn có thế sử dụng nó để thay thế hoặc kết hợp với cơ chế xác thực. Ví dụ, bạn có thế gán Cấp phép truy cập đến Web site cho một người dùng xác định nhưng với một điều kiện là người dùng đó phải truy cập từ một máy tính cụ thể. Bang cách cho phép xác thực và thực hiện hạn chế theo địa chỉ IP, bạn có thể sử dụng đồng thời cả hai. Cấu hình báo mật truyền thông Khi bạn nhấp vào nút Edit trong hộp Secure Communications, hộp thoại Secure Communications sẽ xuất hiện (hình vẽ 9-28), ở đó bạn có thế cấu hình các lựa chọn sau: QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 437
54. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE r *"r ñ 1 77 I Oérl Oitfcsí« (• Jjraeilert Ctttfkjlet &90ept rlenícífrficatw r I *ccg O w t tfcdte Oust 1st I 3 Caned I Hefc Hình 9-28: Hộp thoại Secure Communications ■ Require Secure Channel (SSL) {yêu cầu kênh bảo mật): yêu cầu các máy tính sử dụng một giao thức truyền thông mã hóa khi kết nối tới Web server như giao thức SSL chẳng hạn. Bạn cũng có the yêu cầu các máy trạm sử dụng mã hóa 128-bit để tăng tính bảo mật. ■ Client Certificates (các chứng thực máy trạm): xác định xem các máy trạm có the, không thế hoặc phải sử dụng các chứng thực số khi truy cập tới Web site. Đe yêu cầu các chứng thực, bạn phải chọn lựa chọn Secure Socket Layer (SSL). ■ Enable Client Certificate Mapping (cho phép ánh xạ chứng thực máy trạm)', cấu hình máy chủ xác thực các máy trạm truy nhập với các chứng thực họp lệ. Nhấp Edit đế ánh xạ các chứng thực với các tài khoản người sử dụng. ■ Enable Certificate Trust List (kích hoạt danh sách chứng thực tin cây): cấu hình máy chủ sử dụng một danh sách các trung tâm ủy quyền chứng thực tin cậy để xác minh tính họp lệ các chứng thực của người sử dụng. Các người dùng không nhận một chứng thực từ một trong các trung tâm ủy quyền được liệt kê ở trên bị cấm truy cập. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 438
55. CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE TỎNG KÉT ■ Windows Server 2003 chứa một số các hệ thống cấp phép độc lập bao gồm: các cấp phép chia sẻ, các cấp phép NTFS, các cấp phép Active Directory và các cấp phép trên registry. Mỗi một hệ thống Cấp phép cho phép bạn kiếm soát việc truy cập tới một loại tài nguyên hệ thống xác định. ■ Mỗi đối tượng được bảo vệ thông qua các cấp phép đều có một ACL (Danh sách Kiểm soát Truy cập). Mồi ACL là một danh sách các ACE (Mục vào Kiếm soát Truy cập) chứa một đối tượng bảo mật (như người dùng, nhóm hoặc máy tính chang hạn) và các cấp phép được gán cho đối tượng đó. ■ Hệ thống file chia sẻ cho phép các người dùng trên mạng truy cập tới các file và các thư mục nằm trên các máy tính khác. Đe tạo ra các chia sẻ, bạn có thể sử dụng Windows Explorer hoặc snap-in Shared Folders hoặc công cụ N etexe ở chế độ dòng lệnh. ■ Các Cấp phép chia sẻ cung cấp mức báo vệ cơ bán cho các thư mục chia sẻ, nhưng chúng không có tính đa dạng và mềm dẻo như các Cấp phép NTFS. Các cấp phép chia sẻ chỉ áp dụng cho các truy cập mạng thông qua dịch vụ Server. Các file được bảo vệ bằng các Cấp phép chia sẻ vẫn có thế truy cập được từ máy tính cục bộ hoặc thông qua các dịch vụ mạng khác như IIS hay dịch vụ đầu cuối (Terminal) chẳng hạn. ■ Các Cấp phép NTFS có thế cho phép hoặc ngăn cấm, gán cấp phép một cách riêng rẽ hoặc được kế thừa từ trên, cấp phép ngăn cấm sẽ loại bỏ tất cả các cấp phép cho phép khác và các cấp phép gán riêng rẽ sẽ có mức ưu tiên cao hơn so với các cấp phép kể thừa. Ket quả là một cấp phép cho phép gán riêng rẽ sẽ loại bỏ cấp phép ngăn cấm kế thừa. Các cấp phép Hiệu dụng trên một file hoặc thư mục là sự tống họp của tất cả các cấp phép gán cho đối tượng xác định bao gồm cả cấp phép gán trực tiếp hoặc thông qua cơ chế kế thừa. ■ Các Cấp phép truy cập NTFS có thế bị hạn chế hơn nữa nhờ các Cấp phép khác và các nhân tố khác như các cấp phép IIS trên một Web site. Bất kế hai kiếu cấp phép nào được gán cho một tài nguyên, như các cấp phép chia sẻ và cấp phép NTFS chẳng hạn, mỗi kiểu cung cấp một tập hợp các cấp phép khác nhau và bạn phải tính toán xem kiểu nào hạn chế hơn. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 439