Quan tri mang - lecture 5

Phạm vi của nhóm scope Domain Local Group  Sử dụng để gán quyền sử dụng tài nguyên trong 1 miền cho các Global group Domain local group # machine group  Sử dụng để gán quyền sử dụng tà

CHƯƠNG 5: GROUP –

COMPUTER ACCOUNT – FILE – FORLDE

Permissions Assigned Once for Each User Account

Phạm vi của nhóm (scope)

Domain Local Group

 Sử dụng để gán quyền sử dụng tài nguyên trong 1 miền cho các Global group (Domain local group # machine group)

 Sử dụng để gán quyền sử dụng tài nguyên trong 1 miền cho các Global group (Domain local group # machine group)

Global Group

 Sử dụng để tổ chức các người dùng có cùng các yêu cầu truy cập mạng (security,

KinhDoanh, )

 Sử dụng để tổ chức các người dùng có cùng các yêu cầu truy cập mạng (security,

KinhDoanh, )

Universal Group

 Sử dụng để gán quyền truy cập tài nguyên có liên quan tới nhiều domain

nguyên có liên quan tới nhiều domain

Nest Permissions

Add

Domain local group

Domain Local Group

Resources

User Accounts

Global Group Universal Group

Permissions Permissions

Add Add

Permissions

Sử dụng Globla + Domain local

group

1. Tổ chức người dùng theo nhu cầu quản

trị -> tạo các global group (SinhVien,

GiaoVien…)

2. Xác định các tài nguyên dùng chung ->

tạo các domain local group

Các chiến lược phát triển nhóm

Chiến lược1 A DL P Không linh hoạt

Nhóm cục bộ (local, machine group)

Chứa

Domain User Accounts Local User Accounts Global Groups

Universal Groups

Sử dụng nhóm local group

Local Group Permissions

Global Group User Accounts

Các nhóm xây dựng sẵn

 Built-in Global Groups

 Built-in Domain Local Groups

 Built-in Local Groups

 Built-in System Groups

Built-in Global Groups

Active Directory

Built-in Global Groups

Built-in Global Groups

Domain Users Domain Admins Domain Guests Enterprise Admins

Built-in Domain Local

Groups

Domain

Domain Local Groups

Built-in Domain Local Groups

Account Operators Print Operators Backup Operators Server Operators Administrators Guests

Users

 Chứa thành viên khởi tạo

 Định nghĩa trước

quyền người dùng

Built-in Local Groups

Built-in Local Groups

Built-in Local Groups

Users Administrators Guests

Backup Operators Power Users

Windows 2003 Server (Member or Stand-Alone Server)

Windows 2003 Server (Member or Stand-Alone Server)

Windows 2003 Professional

Thực hành

 Tạo group

 Add thành viên

 Sử dụng gán quyền

Computer Account

 Gồm 3 thành phần: name + password + SID

 Chỉ có thành viên của nhóm

Administrator & Account Operator hoặc các user được uỷ quyền mới có quyền

tạo computer account

 1 user thuộc nhóm Authenticated User được phép join 10 máy tính vào domain

 Tạo OU cho computer account

Join máy tính vào domain

 Là động tác tạo sự liên kết giữa tài

khoản máy tính (đã được tạo trên server) với 1 máy trạm

 Sau khi thực hiện join vào domain máy

tính có thể hoạt động ở 2 hình thức (local hoặc domain)

 Nếu trên máy server chưa có tài khoản

thì động tác join sẽ tự động tạo tài khoản mới

Thực hành

 Tạo tài khoản máy tính

 Join máy tính vào domain

 Move tài khoản máy tính

Các quyền trên tài nguyên chia sẻ

 Quyền được tích hợp

 Quyền deny ưu tiên hơn quyền allow

Quy n chia s ền chia sẻ ẻ

Quy n chia s ền chia sẻ ẻ

Read Write Full Control

Hạn chế của sharing

 Quyền áp đặt cho mọi đối tượng con

 Không áp dụng được cho HTTP, FTP,

telnet…

 Sẽ bị mất nếu thay đổi hoặc di chuyển

 -> sharing cho everyone với full control, phân quyền dựa trên NTFS

 Sharing thường sử dụng cho các ổ đĩa

FAT, FAT32

Cấu hình quyền trên hệ

Write

advanced

Thực hành

 Gán quyền (user, group of user, computer, group of computer)

Quyền đối với thư mục

Folder Permissions

Folder Permissions

Read Write List Folder Contents Read & Execute

Modify Full Control

Quyền đối với file

File Permissions

Read Write Read & Execute

Modify Full Control

Kế thừa quyền (inheritance)

 Quyền áp đặt cho thư mục sẽ được áp đặt cho file và thư mục con thuộc thư

mục đó (mặc định)

 Khi một thư mục hoặc file mới được tạo

nó sẽ được kế thừa quyền của thư mục cha (mặc định)

Ngăn chặn quyền kế thừa

 Override quyền

 Ngắt kế thừa

Read & Execute

List Folder Contents

Read

Write

You are preventing any inheritable permissions from propagating to this object What do you want to do?

- To copy previously inherited permissions to this object, click Copy.

- To Remove the inherited permissions and keep only the permissions explicitly specified on this object, click Remove.

- To abort this operation, click Cancel.

Copy Remove Cancel

Security

Thiết lập lại kế thừa quyền

 Từ thư mục

cha

 Từ thư mục

con

Hiệu lực của quyền

 Các quyền Allow trên 1 đối tượng được tích luỹ

 Quyền trên file ưu tiên hơn quyền trên thư mục

 deny được thực thi trước, có độ ưu tiên cao hơn allow

 Quyền gán trực tiếp ưu tiên cao hơn

quyền được kế thừa

Làm sao xác định được quyền của

1 user hoặc 1 nhóm?

Sở hữu tài nguyên

administrators hoặc các user được gán

quyền take ownership mới có quyền take ownership

Copy File và Folder

Permissions = Full Control

Non-NTFS Partition

Copy

Lose NTFS Permissions

Lose NTFS Permissions

NTFS Partition

C:\

Permissions = Full Control

Permissions = Full Control

Di chuyển File và Folder

NTFS Partition

C:\

Permissions = Full Control

Permissions = Full Control

Permissions = Full Control

Move

Non-NTFS Partition

Lose NTFS Permissions

Lose NTFS Permissions

NTFS Partition

C:\

Permissions = Full Control

Permissions = Full Control

Move

Write, Modify Permissions

Ánh xạ ổ đĩa

 Public

 Private

 Quota: hạn ngạch đĩa

CHƯƠNG 5: GROUP –

COMPUTER ACCOUNT – FILE – FORLDE