English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Security Resources With NTFS Permission  XML
  [Article]   Security Resources With NTFS Permission 14/06/2006 17:03:55 (+0700) | #1 | 282
thangdiablo
HVA Friend
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Giới Thiệu Quyền Truy Cập NTFS Trên các volume NTFS,bạn có thể ấn định quyền truy cập NTFS trên tập tin và thư mục.QuyỀN truy cập NTFS giúp bạn bảo vệ tài nguyên trên máy tính cục bộ khi ngừơi dung nối kết với tài nguyên qua mạng.

Và mục tiêu của tôi khi viết bài này là giúp các bạn hiểu và có thể:

-Mô tả những tình huống đòi hỏi phải chỉ định cấp độ truy cập tập tin và thư mục NTFS
-Định nghĩa các cấp độ cho phép truy cập tập tin và thư mục NTFS.
-Mô tả kết quả khi có nhiều cấp độ cho phép truy cập NTFS được chỉ định cho một tài nguyên.

I. Quyền Truy Cập NTFS là gì?

NTFS permissions là các cấp độ truy cập chỉ khả dụng trên một Volume đã được định dạng với hệ thống tập tin Windowns NT 2000, 2003. Quyền truy cập NTFS cung cấp khả năng bảo mật cao hơn so với FAT và FAT32, vì chúng áp dụng cho thưc mục và cho từng tập tin cá thể.Quyền truy cập tập tin NTFS áp dụng cho cả những ngừoi làm việc tại máy tính lưu trữ dự liệu, lẫn ngừoi dung truy cập thư mục hoặc tập tin qua mạng bằng cách kết nối thư mục dùng chung.

II. Tại Sao Phải Dùng Quyền Truy Cập NTFS?

Bạn có thể dung quyền truy cập NTFS để bảo vệ tài nguyên khỏi ngừoi dung có thể truy cập máy tính bằng 2 phương pháp sau:
- Cục Bộ,ngồi ngay trước máy tính có tài nguyên đang thường trú.
- Từ xa, kết nối thư mục dung chung.
Bạn có thể áp đặt nhiều cấp độ cho phép truy cập lên từng tập tin trong một thư mục.
Vd: Cho phép ngừoi này đọc và thay đổi nội dung của tập tin, cho phép ngừoi kia chỉ được quyền đọc tập tin và không cho bất cứ ai trong nhóm ngừoi còn lại được truy cập dứoi bất kì hình thức nào.

Chú ý: Khi một volume được định dạng NTFS thì mặc định của Volume đó sẽ là group Everyone và có quyền Full ConTrol.

III. Quyền Truy Cập NTFS Cá Thể

Windowns NT trở lên cung cấp 6 cấp độ truy cập NTFS cá thể (individual NTFS permissions). Mỗi cấp độ định rõ khả năng truy cập thư mục hoặc tập tin mà một người dùng hoặc group có thể có.

Dưới đây tôi sẽ chỉ rõ từng cấp độ và chi tiết quyền try cập của cấp độ đó đối với 1 forder hoặc 1 file

Để dễ theo dõi tôi sẽ liệt kê theo trình tự từ 1-6
- Cấp độ truy cập NTFS cá thể
1 Read ®
2 Write (W)
3 Execute (X)
4 Delete (D)
5 Change Permissions (P)
6 Take Ownership (O)

- Đối với thư mục,ngừoi dung có thể
1 Hiển thị tên, thuộc tính, tên chủ sở hữu và cấp độ truy cập
2 Bổ sung tập tin và thư mục, thay đổi thuộc tính của thư mục, hiển thị thông tin về chủ sở hữu và cấp độ truy cập
3 Hiển thị thuộc tính thưc mục, thực hiện thay đổi cho các thư mục con, hiển thị thông tin và cấp độ truy cập.
4 Hủy bỏ 1 thư mục
5 Thay đổi cấp độ truy cập của thư mục
6 Dành quyền sở hữu thư mục

Chú ý: Trên Volume NTFS khi bạn tạo 1 thư mục thì bạn sẽ sở hữu thư mục đó. Nếu ngừoi này thuộc group Administrator thì toàn bộ administrator sẽ sở hữu thư mục này.

IV. Quyền Truy Cập Chuẩn

- Trong hầu hết các trường hợp bạn sẽ dung đến quyền truy cập NTFS chuẩn (Standard NTFS permissions). Quyền truy cập chuẩn là kết hợp các cấp độ truy cập NTFS cá thể và cho phép bạn cùng lúc chỉ định nhiều cấp độ truy cập NTFS.
Bằng cách trên bạn có thể đon giản hóa công tác quản trị của mình.
- Một số cấp độ chuẩn áp dụng cho forlder
Deny = No Access: None
Read: RX
Change: RWXD
Read&Write: RW
Full Control: All

V.Cách Áp Dụng Quyền Truy Cập NTFS

Quyền Truy Cập NTFS được cấp cho tài khoản ngừoi dung hoặc cho tài khoản Group.
Người dùng có thể được cấp quyền truy cập 1 cách trực tiếp hoặc theo nhóm mà ngừoi này là thành viên trong nhóm.
- Sau đây là cách áp dụng quyền truy cập NTFS:
1. Tương tự với cấp độ truy cập thư mục dung chung, cấp độ truy cập NTFS hiệu lực cho ngừoi dung được chỉ định với tư cách cá nhân hoặc tư cách là thành viên của group.
2. Khác với quyền truy cập thư mục dung chung, quyền truy cập NTFS bảo vệ tài nguyên cục bộ cà có thể được chỉ định cho các thư mục phân tầng.

Ưu điểm của quyền truy cập NTFS: Nếu người dùng được cấp quyền Read với thư mục và quyền Write với tập tin trong thư mục đó thì ngừoi dung có thể thay đổi nội dung của tập tin nhưng không thể tạo tập tin mới trong thư mục.
Tóm Tắt Lại Chương I chúng ta rút ra những kết luận sau:
- Quyền truy cập NTFS cung cấp mức độ bảo mật cao cho thư mục và từng tập tin cá thể trên những Volume đã được định dạng NTFS
- Quyền truy cập NTFS áp dụng cả cho những người làm việc tại máy tính có lưu trữ tài nguyên và những người truy cập qua mạng theo kiểu tham gia domain.
- Quyền truy cập NTFS áp dụng cho từng cá thể hoặc có thể cho group
- Tương tự với quyền truy cập thư mục dung chung, cấp độ truy cập hiệu lực của người dùng là sự kết hợp với cá nhân hoặc group mà ngừoi đó là thành viên.
- Quyền truy cập NTFS có thể được cấp cho các thư mục và tài nguyên khác trong hệ thống mạng phân tầng.
- Quyền truy cập NTFS được ưu tiên trước các quyền truy cập khác áp cho thư mục hay tập tin đó.



Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Article]   Security Resources With NTFS Permission 14/06/2006 17:04:36 (+0700) | #2 | 283
thangdiablo
HVA Friend
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Chương II

KẾT HỢP QUYỀN TRUY CẬP DÙNG CHUNG VÀ QUYỀN TRUY CẬP NTFS.
Quyền truy cập dung chung hay còn gọi là share permissions dành cho các volume NTFS hoạt động kết hợp với các cấp độ truy cập tập tin và thư mục.


Chương này tôi sẽ cố gắng giải thích cách kết hợp quyền truy cập thư mục dung chung với quyền truy cập NTFS để bảo vệ tài nguyên.
Và mục tiêu của tôi là làm sao cho các bạn sau khi đọc bài này có thể:
Hiểu sâu và mô tả được kết quả khác nhau giữa cấp độ truy cập áp dụng cho tập tin và cấp độ truy cập cho thư mục
Hiểu và làm việc hiệu quả khi kết hợp share permissions và NTFS permissions
-Muốn cho phép ngừoi dung có thể truy cập tài nguyên qua mạng thì các thư mục chứa tài nguyên phải được share.Khi một thư mục đã được share,bạn có thể bảo vệ thư mục bằng cách ấn định quyền truy cập thư mục dung chung cho ngừoi sử dụng hoặc nhóm sử dụng theo mục đích thích hợp mà bạn đề ra.
Tuy nhiên,quyền truy cập thư mục dung chung sẽ cung cấp mức độ bảo mật giới hạn..Vì sao????
Vì : Cho phép ngừoi dùng truy cập mọi thư mục và tập tin trong phạm vi thư mục dùng chung với cùng cấp độ.
Không có hiệu lục khhi ngừoi dung ngồi ngay trước máy tính chưa tài nguyên và tìm cách truy cập tài nguyên trên máy này.
Không thể dung để bảo vệ từng cả thể tập tin.
-Nếu thư mục dung chung thường trú trên một molume NTFS,bạn có thể dung quyền truy cập NTFS để phong tỏa hoặc thay đồi khả năng truy cập của ngừoi dung đới với thư mục hoặc tập tin chứa trong hệ thống phân tầng của thư mục dung chung.bạn sẽ có được mức độ bảo mất cao nhất bằng cách kết hợp quyền truy cập NTFS với quyền truy cập thư mực dung chung….
Các bạn có thể đọc thêm bài viết của ViKhoa bên box Windown nói về bảo mật thư mục nhưng với định dạng partition là FAT.

Các bạn chú ý điểm sau:Cách dễ dàng nhất để kết hợp quyền truy cập thư mục dung chung với quyền truy cập NTFS là giữ nguyên default Full Control gán cho nhóm Everyone,sau đó cấp quyền truy cập NTFS cho tài khoản ngừoi dung và tài khoản Group cụ thể để truy cập thư mực và tập tin chưa trong hệ thống phân tầng của forlder share permis.

-Khi kếthợp quyền truy cập NTFS với quyền truy cập share thì cấp độ truy cập giới hạn nhất luôn (các bạn chú ý từ luôn) là cấp độ hiệu lực.
Ví dụ :Nếu bạn được cấp quyền truy cập với mức độ Full Control cho 1 forlder,đồng thời lại được cấp quyền truy cập NTFS ở cấp độ Read cho cùng thư mục đó, thì mức độ hiệu lực sẽ là Read vì đây là cấp độ giới hạn nhất.

Sau đây tôi xin đưa ra ví dụ về sự kết hợp giữa quyền truy cập thư mục dung chung và quyền truy cập NTFS.Các bạn tưởng tượng vậy nha :
Tôi là user 1 và máy tính của tôi có 1 thư mục tên thangdiablo. Và thư mục đó bị administrator share với quyền share permis. Trong thư mục thangdiablo có 2 file A và B.hai file này tôi gán quyền truy cập NTFS .Với file A là FC với file B là Read
Còn bạn là user2 bạn sẽ có quyền truy cập thư mục dung chung ở cấp độ readđối với thư mục thangdiablo trên máy tính của tôi. Tất nhiên khi đó các bạn phải kết nối qua mạng. Và quyền truy cập NTFS ở cấp độ Full Control đối với file A.
Lúc này cấp dộ hiệu lực của bạn với file A sẽ là Read, vì Read là cấp dộ truy cập giới hạn nhất.Cấp độ truy cập hiệu lực của user 2 đối với File B là Read vì quyền truy cập NTFS ở cấp độ Read cũng có hạn chế với cấp độ Read của quyền truy cập thư mục dung chung.
Và khi tôi sử dụng máy tính của mình. Tôi không bị quyền quyền truy cập thư mục dung chung giới hạn khả năng truy cập thư mục thangdiablo. Tuy nhiên tôi có quyền truy cập File A ở cấp độ Full Control và quyền truy cập File B ở cấp độ Read,bới vì đây là cấp độ thuộc quyền truy cập NTFS.
Nếu tôi kết nối thư mục dung chung thangdiablo, tôi sẽ có quyền truy cập thư mục này ở cấp độ Read hệt như bạn.

Tóm lại cái chương này cần có những điểm chú ý sau:

1.

Bạn sẽ có được mức độ bảo mất cao nhất khi kết hợp NTFS permis với share permis.
2.

Cách dễ dàng nhất để kết hợp lại đó là giữ nguyên chế độ mặc định Full ConTrol của nhóm Everyone sau đó cấp quyền NTFS cho tài khoản cá nhân hoặc cho nhóm cụ thể đối với từng thư mục và tập tin chưa trong hệ thống phân tầng của thư mục dung chung.
3.

Cấp độ truy cập giới hạn nhất luôn luôn là cấp độ hiệu lực khi có sự kết hợp giữa 2 thứ này.
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Article]   Security Resources With NTFS Permission 14/06/2006 17:06:00 (+0700) | #3 | 284
thangdiablo
HVA Friend
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Chương III

NGUYÊN TẮC KHI ÁP DỤNG QUYỀN TRUY CẬP NTFS

Trước khi bắt đầu chỉ định cấp độ truy cập NTFS đối với thư mục và tập tin,tốt nhất bạn nên xác định đâu là những cấp độ truy cập cần thiết và nên cấp chúng cho ai.Tôi sẽ trình bày những nguyên tắc bạn phải cố gắng tuân thủ khi quyết định sử dụng quyền NTFS này.
Và cũng như 2 chương trước.Mục tiêu của tôi khi viết chương này là giúp bạn có thể:

-Hoạch định một cách rõ rang những cấp độ truy cập mà bạn gán cho cá nhân hoặc cho group đới với chương trình,dữ liệu mạng,và thư mục cá nhân.
-Khi đọc xong các bạn sẽ nắm vững các tác vụ cần thiết khi thi hành để tạo thư mục cá nhân trên volume NTFS.

I.Nguyên Tắc Hoạch Định Thư Mục Chương Trình

-Dưới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ truy cập NTFS cho thư mục.
1.Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và đem cấp cho nhóm Administrators.
2.Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp cho những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm.
3.Nếu các chương trình mạng thường trú dùng chung,hãy cấp quyền truy cập ở cấp độ Read cho nhóm Users.

II.Nguyên Tắc Hoạch Định Thư Mục Dữ Liệu

Và đây là 2 nguyên tắc chung khi chỉ định quyền truy cập NTFS cho thư mục và dữ liệu:
1.Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone và đem cấp cho nhóm Administrator
2.Chỉ Định cấp độ truy cập Add&Read cho nhóm Users cà cấp độ FC cho nhóm Creator Owner.Việc làm này sẽ cung cấp cho ngừoi dùng đăng nhập cục bộ khả năng hủy bỏ và sửa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo ra trên máy tính nơi họ đăng nhập.

III.Nguyên Tắc Hoạch Định Thư Mục Cá Nhân

Cuối cùng là nguyên tắc áp dụng khi bạn chỉ định các cấp độ truy cập NTFS cho thư mục cá nhân.:
1.Tập chung mọi thư mục cá nhân trên 1 Volume NTFS (Trên 1 server nào đó)riêng biệt với Volume chứa hệ điều hành và các chương trình,nhằm hợp lí hóa công tác quản trị và sao lưu dữ liệu.Thường thì cái gì cũng vậy.Nếu chung ta gọn gang thì sẽ rất dễ cho công việc sau này.
2.Dùng biến %Usersname% để tự động gán tên tài khoản của ngừoi dùng cho thư mục và tự động chỉ định quyền truy cập NTFS ở cấp độ FC cho ngừoi tương ứng.

IV.Tạo Thư Mục Cá Nhân (Home Folder) Trên Volume NTFS

Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn,đó là bạn có thể tổ chức chúng thành hệ thống phân tầng và giới hạn khả năng truy cập ở những ngừoi dùng tương ứng mà không cần chia sẻ từng thư mục.

Các bạn làm theo các bước sau để tạo thư mục cá nhân trên Volume NTFS:

1.Tạo thư mục có tên Users trên một Volume riêng biệt với Volume chứa hệ điều hành…Cái này tôi nói ở trên giờ nhắc lại 1 chút.làm thế,thư mục cá nhân sẽ được bảo toàn nếu xảy ra sự cố đòi hỏi phải định dạng lại volume chưa hệ điều hành.
2.Chia sẻ thư mục Users nhằm cung cấp một điểm truy cập đơn lẻ cho ngừoi dùng mạng và điểm quản trị đơn lẻ cho nhà quản trị.
3.Nhớ bỏ chế độ mặc định FC từ Everyone và cấp quyền truy cập thư mục dùng chung (share Permis) ở cấp độ FC cho nhóm Users.
4.Dùng biến %Username% để tự động gán tên tài khoản của ngừoi dùng cho thư mục cá nhân của ngừoi này.Biến %Username% còn có thể tự động chỉ quyền truy cập NTFS ở cấp độ FC cho ngừoi dùng tương ứng (Trên FAT,thư mục cá nhân chỉ có thể được hạn chế truy cập thông qua quyền truy cập thư mục dùng chung).
a.Trong UserManager for Domains,bạn tạo 1 tài khoản ngừoi dùng mới hoặc double Click và tài khoản sẵn có.
b.Trong hộp thoại Newuser hoặc User Properties,click vào Profile,sau đó gõ \\PC name\Users\%Username% vào hộp thoại Home Directory To.

Là 1 administrator kinh nghiệm bạn nên:

Yêu cầu User của mình lưu trữ dữ liệu mạng và dữ liệu cá nhân vào thư mục cá nhân của họ.Nếu thư mục cá nhân của họ được chuyển từ server này sang server khác thì chỉ cần chuyển đường dẫn là xong.

Tóm lại cả chương này tôi muốn nói với các bạn những điểm sau:


1. Phải xác định cần cấp quyền truy cập ở những cấp độ nào và cấp cho ai trước khi bắt tay vào chỉ định quyền truy cập NTFS đối với forlder và file.
2. Đối vơi thư mục chương trình,hãy cấp quyền truy cập ở cấp độ FC cho nhóm Administrator và cho nhóm chịu trách nhiệm nâng cấp hoặc xử lí phần mềm.Cấp quyền truy cập Read cho nhóm Users.
3. Đối với thư mục dữ liệu,chỉ cấp quyền truy cập ở mức độ FC cho riêng nhóm administrator.Cấp cho nhóm Users quyền truy cập ở cấp độ Add và Read,ấn định quyền truy cập Creator Owner.Những việc làm trên của bạn cho phép ngừoi dùng có khả năng hủy bỏ và hiệu chỉnh những thư mục và tập tin do họ tạo hoặc sao chép mà ra.
4. Dùng biến %Username% để tự động gán tên tài khoản của ngừoi dùng làm tên cho thư mục cá nhân cả ngừoi này,và để tự đông ấn định quyền truy cập NTFS ở cấp độ FC cho ngườii dùng tương ứng.


Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Article]   Security Resources With NTFS Permission 14/06/2006 17:20:15 (+0700) | #4 | 288
thangdiablo
HVA Friend
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
CẤP QUYỀN TRUY CẬP NTFS

I. Các Yêu Cầu Đặt Ra Khi Cấp Quyền Truy Cập NTFS
Muốn cấp quyền truy cập NTFS,bạn phải là chủ sở hữu của tập tin hoặc thư mục,hoặc bạn có quyền trong 1 những cấp độ sau đây:
.Quyền truy cập chuẩn :Full Control
.Quyền truy cập đạc biệt :Change Permissions
.Quyền truy cập đặc biệt :Take Ownership (Với quyền truy cập này ngừoi dùng có thể dảnh quyền sở hữu một tập tin hoặc thư mục của ngừoi khác,và có thể thay đổi quyền truy cập áp dụng cho thư mục hay tập tin này.) Ngày xưa tôi học là tôi khoái nhất món này…


II. Các Cấp Độ Mặc Định (Default) Của Quyền Truy Cập NTFS
Khi một volume được định dạng với NTFS,quyền truy cập ở cấp độ Full Control tự động được cấp cho nhóm Everyone,cho phép toàn bộ ngừoi dùng được phép Log on locally toàn quyền truy cập Volume đó.
Khi có thư mục hoặc tập tin mới được tạo trên volume NTFS,thư mục /tập tin này sẽ thừa hưởng tất cả các quyền truy cập ấn định cho thư mục chứa nó.

III. Cấp Quyền Truy Cập Tập Tin Và Thư Mục NTFS Muốn cấp quyền cho thư mục nào bạn chỉ cần click phải chuột lên thư mục đó chọn Properties sau đó chọn Tab Security-Permissions.

Nếu bạn cấp quyền cho forlder thì hộp thoại Directory permissions mở ra.Nếu là file thì hộp thoại File Permission sẽ mở ra.Và bạn sẽ cấp quyền với mục đích đã hoạch định trước do bạn hoặc công ty của bạn đề ra.

IV. Cấp Quyền Truy Cập Thư Mục Public cho nhóm Users. 1.Đăng nhập với tư cách admin và khỏi động Windowns NT &2000 Exploer
2.Mở rộng thư mục LabFiles,Rclick lên thư mục Public chọn Properties.
3.Chọn Tab SecurityPermissions
Hộp thoại Directory Permissions mở ra.
Bạn nên chú ý rằng nhóm Everyone được cấp quyền truy cập NTFS ở cấp độ NTFS theo mặc định.
4.Nhấp add trong Directory Permissions.
Mở hộp thoại Add Users and Groups.
5.Kiểm Tra để đảm bảo tên vùng của bạn đã hiển thị trong hộp thoại List Names From.
6.Dứoi Name,click Users,nhấp tiếp Add.
7.Click Add&Read trong hộp thoại Type of Access sau đó OK
8.Dứoi Names,nhấp Everyone (nếu everone được chọn) thì nhấp remove.
Và lúc này các bạn đã loại nhóm mặc định Everyone ra khỏi danh sách.

V. CẤP QUYỀN TRUY CẬP THƯ MỤC PUBLIC CHO NHÓM CREATOR OWNER Ở phần này tôi giới thiệu cùng các bạn về việc cấp quyền FC cho nhóm Creator Owner để họ có thể hiệu chỉnh các tập tin riêng của họ.
1.Trong hộp thoại Directory Permissions click Add.
Hộp thoại Add Users and Groups xuất hiện.
2.Kiểm Tra nhằm bảo đảm tên vùng của bạn đã hểin thị trong List Names From.
3.Dứoi Names,click Creator Owner rồi click Add.
4.Click FC trong hộp thoại Type of Access,nhấp OK
Và lúc này nhóm Creator Owner đã xuất hiện trong hộp thoại Directory Permis với cấp độ FC

VI. CẤP QUYỀN TRUY CẬP THƯ MỤC PUBLIC CHO NHÓM ADMINISTRATOR
1.Trong hộp thoại Directory Permiss bạn click vào Add
Hộp Thoại Add Users And Groups Mở ra .
2.Kiểm tra (check) nhằm bảo đảm tên vùng của bạn đã hiển thị trong hộp List names From.
3.Dứoi Names click Administrator,sau đó click Add
4.Click FC từ hộp thoại Type of Access,rồi nhấp OK
Trong hộp thoại Directory Permis ta thấy nhóm Administrator và nhóm Creator Owner được cấp quyền FC,còn nhóm user thì chỉ có Add&Read
5.Các bạn chọn check vào ô Replace permis on Subdirectories sao cho cấp độ truy cập áp dụng cho tất cả các thư mục trong hệ thống mạng phân tầng.
6.kiểm tra nhằm đảm bảo Replace permis on Existing Files đã được chọn click OK.
7.Click Yes quay về hộp thoại Public Properties rồi click OK áp dụng cho các thây đổi.

VII. CẤP QUYỀN TRUY CẬP ĐẶC BIỆTTrong hầu hết các trường hợp của Windows quyền truy cập chuẩn (standard permission) là tất cả những gì bạn cần để bảo vệ tập tin và thư mục.Tuy nhiên trong 1 vài trường hợp bạn sẽ cần chỉ định quyền truy cập đặc biệt (special access permiss) quyền này cho phép bạn có khả năng cấp quyền truy cập cá nhân (individual) cho từng tài khoản hoặc cho group.
Bạn nên cấp quyền truy cập đặc biệt cho user nhằm mục đích sau:
.Cho phép ngừoi dùng khác quản lí quyền truy cập những tập tin do bạn sở hữu,cấp cho ngừoi dùng quyền truy cập ở cấp độ Change Permis (P)
.Bảo vệ các tập tin chương trình hỏi bị huy bỏ do sơ ý hoặc do Virus phá hoại,cấp cho mọi tài khoản ngừoi dùng,kể cả tài khoản của nhà quản trị Administrator ý mà .Cấp quyền truy cập ở cấp độ READ đối với các tập tin điều hành.
.Cho phép nhà quản trị chỉnh sửa tập tin điều hành,cấp cho nhóm Administrator quyền truy cập Change Permissions.Quyền truy cập này cung cấp cho nhà quản trị khả năng thay đổi quyền truy cập với những tập tin chỉ đọc Read only nếu cần.

Các bạn chú ý 1 điều rằng: Quyền truy cập đạc biệt này giống nhau cho cả tập tin và thư mục.

Tóm tắt: Trong phần 4 này bạn cần lưu ý những điểm sau:

-Muốn cấp quyền truy cập NTFS bạn phải là chủ sở hữu của tập tin hoặc thư mục,phải có quyền truy cập ở cấp độ FC,hoặc phải có quyền truy cập ở cấp độ Change Permiss hay Take Ownership.
-Khi 1 volume được định dạng NTFS,nhóm Everyone tự động được cấp quyền FC (Các bạn nên chú ý điều này)
-Sử dụng quyền truy cập đạc biệt khi bạn cần chỉ định 1 kết hợp giữa nhiều cấp độ thuộc quyền truy cập chuẩn

Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Article]   Security Resources With NTFS Permission 17/06/2006 15:37:04 (+0700) | #5 | 425
thangdiablo
HVA Friend
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
I. GIÀNH QUYỀN SỞ HỮU TẬP TIN VÀ THƯ MỤC

Mặc định ngừoi dùng nào tạo ra tập tin hoặc thư mục sẽ nghiễm nhiên là chủ sở hữu của tập tin và thư mục hoặc tập tin đó.Khi đã là chủ sở hữu bạn có thể ấn định quyền truy cập nhằm kiểm soát những gì ngừoi khác có thể thực hiện cho tập tin và thư mục này.Trong vài trường hợp có lúc những ngừoi quản trị hay còn gọi là administrator cần phải tước bỏ quyền sở hữu của bạn.Đó gọi là Take Ownership.


Để dễ hiểu tớ xin có 1 vd đơn giản thế này:Bạn làm việc trong 1 công ty và bạn nắm 1 server lien quan đến việc quản lí cho phép users có thể truy suất xem tài liệu trong server này.Nhưng vì 1 lỗi lầm nghiêm trọng và bạn bị đuổi việc…Bạn ấm ức trong long và muốn làm phản công ty hihihihi… .bạn tạo ra rất nhiều thư mục chứa file có tính phản lại hoạt động của công ty.bạn tạo password rất kĩ luỡng cho các folder và file này.Bạn rời công ty và hy vọng sẽ trả thù được lão giám đốc bằng những hành động của bạn.
Nhưng bạn đã nhầm vì Administrator (Domain Controller) hoàn toàn có khả năng tước bỏ quyền sở hữu thư mục hay tập tin của bạn sễ như bỡn….

1) Mục Tiêu Của Tôi Trong Bài Này Là Giúp Các Bạn Thực Hiện Điều Đó
-Giải Thích Khái Niệm Giành Quyền Sở Hữu Tập Tin và Thư Mục (Tôi Đã Nêu Ở Trên)
-Giải Thích Cách Cung Cấp Khả Năng Giành Quyền Sở Hữu Tập Tin Và Thư Mục CHo Users
-Xác Định Chủ Sở Hữu Hiện Hành Của Tập Tin Và Thư Mực
-Cách Làm
2) Chủ sở hữu có thể luôn chi phối khả năng truy cập tập tin và thư mục
Bằng cách thay đổi quyền truy cập áp đặt lên thư mục và tập tin đó.Nhưng người dùng không thể chia sẻ
thư mục hoặc cấp quyền truy cập cho những thư mục không thuộc quyền sở hữu của họ.

Và nếu bạn nào rời công ty mà để lại 1 folder có password thì 5 sao trong HVA hoàn toàn có quyền thay đổi hoặc cấp cho folder đó permission mới.

II. CÁCH GIÀNH QUYỀN SỞ HỮUMặc định những ngừoi dùng là thành viên cảu nhóm Administrator luôn có khả năng giành quyền sở hữu kột tập tin hay thư mục.Nếu 1 ngừoi trong nhóm Admin dành quyền sở hữu thì đương nhiên cả group Admin cũng sẽ có quyền trong tài nguyên này.

Cách làm dưới đây giúp các bạn thực hiện điều đó

Đăng nhập với tư cách là 1 nhà quản trị
Trong tag Security của hộp thoại (Rclick vào thư mục chọn Properties) hoặc tập tin.Nhấp OwnerShip để xác định chủ sở hữu hiện hành.
Click Take Owner Ship trong hộp thoại Owner

III. CUNG CẤP KHẢ NĂNG GIÀNH QUYỀN SỞ HỮU CHO NGƯỜI DÙNG
Một ngừoi sở hữu tài nguyên không thể thay đổi quyền sở hữu một tài nguyên do anh ta làm chủ,mà chỉ có thể cho phép ngừoi dùng hoặc nhóm khác có khả năng dành quyền sở hữu tài nguyên.Tài nguyên sẽ vẫn được bảo vệ bằng cách ngăn không cho ngừoi dùng tạo hoặc hiệu chỉnh tập tin.
Là chủ sở hữu của tập tin bạn có thể cấp cho ngừoi dùng hoặc nhóm khả năng giành quyền sở hữu tập tin hoặc thư mục bằng cách cấp một trong những quyền sau:
-Quyền Truy Cập Chuẩn : Full Control
-Quyền Truy Cập Đạc Biệt : Take Ownership (Với cấp độ này ngừoi dùng có thể tự cấp cho mình hay cho nhóm khác quyền take ownership).

IV. XÁC ĐỊNH CHỦ SỞ HỮU VÀ QUYỀN TRUY CẬP MỘT TẬP TIN1.Đăng nhập với tư cách nhà quản trị
2.Khỏi động WindownsNT, 2000 Explorer sau đó tạo 1 tập tin văn bản có tên Owner.txt trong thư mục LabFiles
3.Right Click lên tập tin Owner.txt chọn Properties
Hộp Thoại Owner.rxt Properties xuất hiện
4.Click Tab Security click tiết Ownership
Chủ sở hữu hiện hành là nhóm Administrator
5.Nhấp Close, nhấp Permission.Nhóm Everyone có quyền truy cập FC

V. CẤP QUYỀN TAKEOWNER CHO MỘT NGỪOI DÙNG
1.Trong hộp thoại File Permis click Add
Hộp thoại Add users And Groups mở ra
2.Kiểm tra nhằm đảm bảo rằng tên vùng của bạn hiển thị trong hộp thoại List Names From.
3.Click Show Users.
4.Chọn Sales rồi click Add
5.Từ hộp Type of Access nhấp Read….Click OK
Trong Sales xuất hiện trong hộp thoại File Permission và có quyền ở cấp độ READ
6.Click sales click tiếp Special Access từ hộp Type of Access.Và Special Access mở ra
7.Đánh giấu vào Take Ownership click OK 3 lần để áp dụng các thay đổi
Thế là xong
Cách giành quyền sở hữu 1 tập tin cũng tương tự như vậy….



Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Article]   Security Resources With NTFS Permission 17/06/2006 15:37:26 (+0700) | #6 | 426
thangdiablo
HVA Friend
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Những việc cần làm khi cấp quyền truy cập NTFS.

1. Cấp quyền truy cập NTFS trước khi chia sẻ 1 thư mục. Và tại soa lại cần như vậy? Bằng cách này bạn ngăn ngừa được tình trạng người dùng nối kết và truy cập thư mục hay tập tin trước khi bạn đảm bảo an toàn cho chúng.

2. Hãy cấp quyền cho nhóm thay vì cho từng người dùng cá thể.Nếu người dùng là thành viên của 1 nhóm vốn có quyền truy cập 1 số tập tin nhất định, bạn có thể chấm dứt khả năng truy cập của người dùng bằng cách loại người này ra khỏi nhóm, thay vì phải mất công thay đổi cấp độ truy cập trên thư mục và tập tin.
Và còn thú vị hơn nhiều lần khi trên Win2k xuất hiện OU sẽ còn giúp ích cho các admin những vấn đề mà chúng ta không lường tới được. Cái này tôi sẽ đề cập trong 1 bài khác.

3. Cấp quyền truy cập mọi tập tin điều hành ở quyền READ cho nhóm user và nhóm Administrator.

4. Bạn hãy hướng dẫn các nhân viên của bạn hay đúng hơn là các user dưới quyền bạn sử dụng chung 1 máy tính ấn định quyền truy cập các tập tin và thư mục do họ sở hữu.

5. Các tập tin chương trình bị hủy hoại thường là do tai nạn hoặc do virus. Để ngăn ngừa sự cố này hãy cấp quyền ở mức độ READ cho mọi tài khoản người dùng kể cả Administrator. Bằng cách này bạn sẽ ngăn không cho người dùng hay Virus phá hoại hoặc sửa đổi tập tin chương trình (file System).
Ngoài ra hãy cấp cho group Admin quyền truy cập đặc biệt ớ cấp độ change permission. Sao cho thành viên của nhóm này có thể tự cấp cho mình quyền ít hạn chế hơn khi cần có sự thay đổi bắt buộc trong công việc.

6. Dùng biến%username% tạo thư mục cá nhân-giúp đơn giản hóa công tác quản trị bằng cách tự động cấp cho mỗi người dùng quyền FC khi họ tạo ra thư mục đó.

7. Cấp cho nhóm Creator Owner quyền truy cập thư mục Data ở cấp độ FC ,như thế người dùng chỉ có quyền FC đối với những thư mục hay tập tin mà họ tạo ra trong thư mục Data.

8. Đối với tài khoản người dùng hãy đặt tên dài có tính mô tả.Hoạch định
cách đặt tên trướckhi làm.Nếu 1 thư mục được chia sẻ hãy đặt tên sao cho mọi máy khác đều có thể đọc được chúng.

Tài liệu tham khảo:

1.

MicroSoft Training and Certification Implementing MicroSoft Window 2000
2.

Professional and Server Workbook
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|