Bài học 1: Vấn đề quản lý bảo mật các tập tin Windows Server 2008 là phiên bản được sử dụng nhiều nhất trong các doanh nghiệp, cung cấp cho bạn 2 công nghệ để kiểm soát truy cập các tập
Trang 12010
ICT24H.NET ICT24H TEAM
Tài liệu được thực hiện bởi nhóm ICT24H
Trang 2Có rất nhiều loại tài liệu, từ những bảng báo cáo tài chính, những kế hoạch kinh doanh cho đến những bảng thuyết trình báo cáo về bán hàng phải được chia sẻ trên mạng của bạn trong khi nó vẫn còn chưa được an toàn từ những truy cập chưa được chứng thực đến Windows Server 2008 cung cấp cho bạn công nghệ cho phép bạn có thể bảo mật cũng như tài liệu của bạn luôn ở trạng thái ổn định
Để kiểm soát truy cập, sử dụng NTFS permission và Encrypting File System (EFS) Để cung cấp tài liệu thêm cho các phòng ban, bạn có thể tạo một vùng không gian Distributed File System (DFS) và sử dụng chức năng reaplication (nhân bản) dể sao chép tập tin giữa các server Bạn có thể sử dụng quota để giới hạn việc lưu trữ trên ở cứng Với chức năng shadow copy and backup cho phép bạn có thể khôi phục lại
dữ liệu bị hỏng Trong chương này, bạn có thể học được cách sử dụng những công nghệ trên và được tìm hiểu những tính năng trong dịch vụ File Services trong Windows Server 2008
Chủ đề trong chương này
Cấu hình một File server
Cấu hình Distributed File System (DFS)
Cấu hình dịch vụ shadow copy
Cấu hình sao lưu và khôi phục
Quản lý quota ổ cứng
Những bài học trong chương này
Bài học 1: Vấn đề về quản lý bảo mật các tập tin
Bài học 2: Thư mục chia sẻ
Bài học 3: Sao lưu và khôi phục tập tin
Trước khi bắt đầu
Để hoàn tất những bài học trong chương này, bạn nên thực hiện các công việc sau:
2 máy tính cài đặt Windows Server 2008
Nâng cấp lên Domain Controller
Cài đặt role File Service trong máy tính chạy Windows Server 2008
Tên server là Server1 và domain là ict24h.net Server phải có tối thiểu 2 ổ đĩa để thực hiện việc sao lưu từ ổ đĩa này sang ổ đĩa kia
Tên server còn lại là Server2 và được join vào domain ict24h.net
Bài học 1: Vấn đề quản lý bảo mật các tập tin
Windows Server 2008 là phiên bản được sử dụng nhiều nhất trong các doanh nghiệp, cung cấp cho bạn
2 công nghệ để kiểm soát truy cập các tập tin và thư mục, bao gồm NTFS file permission và Encrypting File System
Trang 3Sau bài học, bạn có thể:
Sử dụng NTFS file permission để kiểm soát truy cập đến các tập tin và thư mục
Sử dụng EFS để bảo vệ các tập tin từ những hành vi xâm nhập
User files: Những người dùng có toàn quyền kiểm soát đối với tập tin của họ Những quản trị
viên cũng có toàn quyền kiểm soát Những người dùng khác ngoại trừ quản trị viên thì không thể đọc hoặc ghi lên những tập tin đó
System files: Người dùng có thể đọc, nhưng không thể ghi Những tập tin này nằm trong thư
mục hệ thống %SystemRoot% và các thư mục con trong đó
Program files: giống như permission trong các tập tin hệ thống, lưu trữ trong thư mục
%ProgramFIles% ,cho phép người dùng chạy các ứng dụng và chỉ cho phép quản trị viên cài đặt ứng dụng Những người dùng có quyền đọc và quản trị viên có toàn quyền kiểm soát
Thêm vào đó, cũng có những thư mục mới được tạo ra ở ổ đĩa hệ thống và được gán toàn quyền kiểm soát đối với quản trị viên, người dùng chỉ có thể xem
Trên File server, bạn cần gán quyền cho nhóm của người dùng để cho phép họ cộng tác làm việc cùng nhau Ví dụ bạn có thể tạo một thư mục cho tất cả nhân viên thuộc nhóm Marketing được đọc và cập nhật nhưng những nhân viên bên ngoài nhóm này không có quyền truy cập Quản trị viên có thể gán cho người dùng hoặc nhóm một số quyền hạn trên tập tin hoặc thư mục :
List Folder Content: người dùng có thể mở được thư mục nhưng không mở được các tập tin
trong đó
Read: người dùng có thể xem được nội dung trong một thư mục và mở được các tập tin trong
đó Nếu người dùng chỉ có quyền Read mà không có quyền Read & Execute thì họ cũng sẽ không thể thực thi được tập tin
Read & Execute: ngoài quyền Read như trên, quyền này cho phép người dùng có thể chạy
được các ứng dụng, các tập tin
Write: người dùng có thể tạo những tập tin trong một thư mục nhưng không thể xem được
chúng Quyền này thật sự hữu ích nếu để tạo một thư mục và người dùng có thể đưa các tập tin lên thư mục này và không có quyền truy cập vào các tập tin của người khác cho dù họ thấy tập tin đó
Modify: những người dùng có thể xem, chỉnh sửa và xóa tập tin hoặc thư mục
Full Controll: người dùng có quyền này có thể thực hiện bất cứ thao tác nào trên tập tin hoặc
thư mục, bao gồm việc tạo, xóa và thậm chí là sửa được quyền đối với những tập tin và thư mục
Trang 4Để bảo vệ một file hoặc thư mục với NTFS, làm theo các bước sau:
1 Mở Windows Explorer
2 R-click vào một tập tin hoặc thư mục, sau đó chọn Properties
3 Click vào tab Security
4 Click Edit Hôp thoại Permission hiển thị
5 Nếu người dùng mà bạn muốn cấu hình truy cập không hiển thị trong danh sách Group or user
names bạn có thể click Add, sau đó nhập tên tài khoản và click OK
6 Ví dụ bạn muốn cho người dùng có tên Guest chỉ được phép mở thư mục Marketing nhưng
không được phép mở các tập tin tài liệu trong đó Bạn đánh dấu chọn vào List folder contents
ở danh sách Permission for Guests
7 Bạn có thể thực hiện lại bước 5 và 6 cho những người dùng khác
8 Click OK hai lần để hoàn tất
Nếu bạn cấu hình Full Control cho một người dùng trong nhóm nào đó nhưng lại hủy quyền Full Control đối vối nhóm đó thì người dùng đó cũng không có quyền Full Control Ví dụ, bạn là nhân viên thuộc nhóm Marketing, được quản trị viên cấu hình Full Control Tuy nhiên nếu quản trị viên đó hủy quyền Full Control đối với nhóm Marketing thì bạn sẽ mất quyền Full Control
Thêm vào đó, có hơn 12 quyền đặc biệt để bạn gán cho một người dùng hoặc một nhóm Để gán quyền
đặc biệt, click Advance ở tab Security
Trang 5Bạn có thể cấu hình NTFS file permission bằng dòng lệnh, sử dụng lệnh icacls Để xem đầy đủ hướng dẫn về lệnh này bạn có thể gõ lệnh
icacls /?
NTFS file permission sử dụng cả khi người dùng đăng nhập ở máy tính của họ hay truy cập thư mục thông qua mạng
Encrypting File System
NTFS cung cấp phương thức bảo vệ các tập tin và thư mục khi Windows đang chạy Tuy nhiên, một hacker có thể truy cập đến máy tính của bạn và bằng những kĩ thuật khai thác, thâm nhập, hacker sẽ có được quyền Full Control
EFS bảo vệ các tập tin và thư mục của bạn bằng cách mã hóa chúng trên ổ đĩa Nếu hacker có thể xâm nhập vào máy tính dể mở tập tin thì hacker buộc phải biết mật mã để có thể chứng thực trước khi mở tập tin
EFS hỗ trợ từ phiên bản Windows 2000 trở đi
Cấu hình bảo vệ tập tin và thư mục với EFS
Để bảo vệ một tập tin và thư mục với EFS, thực hiện các bước sau:
1 Mở Windows Explorer
2 R-lick vào tập tin hoặc thư mục sau đó chọn Properties
3 Trên tab General, click Advanced
4 Đánh dấu chọn Encrypt contents to secure data
5 Click OK 2 lần
Nếu bạn mã hóa một thư mục, Windows sẽ tự động mã hóa tất cả các tập tin mới trong thư mục đó Ở lần mã hóa một thư mục hay tập tin đầu tiên, Windows sẽ nhắc bạn sao lưu key mã hóa
Trang 6Chia sẻ các file đã được mã hóa bằng EFS
Nếu bạn muốn chia sẻ các file đã được mã hóa bằng EFS cho những người dùng khác, bạn cần thêm các điều kiện chứng thực vào tập tin Bạn không cần thực hiện những bước chia sẻ tập tin thông qua mạng; EFS chỉ có tác dụng với những tập tin được truy cập trên máy tính nội bộ vì Windows tự động giải mã những tập tin này trước khi chia sẻ chúng
Để chia sẻ các tập tin đã được mã hóa EFS, thực hiện các bước sau:
1 Mở cửa sổ Properties trên file đã được mã hóa
2 Trên tab General, click Advanced
3 Click Detail
4 Click Add
5 Chọn người dùng mà bạn muốn gán quyền truy cập, sau đó click OK
6 Click OK 3 lần và đóng tất cả các hộp thoại
Cấu hình EFS sử dụng Group Policy
Người dùng có thể chọn việc mã hóa EFS cho tập tin hoặc thư mục của họ Tuy nhiên trên thực tế, hầu hết người dùng không nhận thức đươc việc mã hóa mà sẽ không sử dụng EFS Vì thế bạn nên sử dung Group Policy để đảm bảo các máy tính thuộc domain được cấu hình bảo mật nhằm đáp ứng nhu cầu an toàn thông tin trong doanh nghiệp
Với công cụ Group Policy Management Editor, bạn có thể cấu hình EFS bằng cách r-click vào
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Encrypting File System và chọn Properties để mở hộp thoại Encrypting File System Properties
Trang 7 File Encryption using Encrypting File System (EFS): mặc định, EFS đã được kích hoạt Nếu bạn chọn Don’t allow, những người dùng sẽ không thể mã hóa tập tin bằng EFS
Encrypt the content of the user’s Documents folder: tùy chọn này cho phép tự động mã
hóa thư mục Document của người dùng Mặc dù một số thư mục gồm cả những thông tin bí mật,
mã hóa thư mục Document để nâng cáo tính bảo mật EFS bảo vệ các tập tin ngay cả khi hệ điều hành không hoạt động Vì thế, nếu một ai đó lấy trộm laptop của bạn thì họ cũng không thể truy cập vào tập tin đã dược mã hóa bởi EFS nếu như tài khoản chưa được đăng nhập vào Nếu bạn bật EFS, bạn nên cấu hình màn hình desktop của bạn tự động khóa trong vài phút nếu không sử dụng
Require a smart card for EFS: đánh dấu chọn vào đây để hạn chế việc sử dụng phần mềm
chứng thực cho EFS Nếu người dùng có smart card và bạn yêu cầu người dùng này đưa thẻ smart card để truy cập tập tin đã được mã hóa
Create caching-capable user key from smart card: nếu đánh dấu chọn và các tùy chọn
trước cũng được đánh dấu, người dùng chỉ cần đưa thẻ smart card ở lần đầu tiên khi họ truy cập vào các tập tin đã được mã hóa Nếu vô hiệu hóa tùy chọn này, smart card phải luôn được sử dụng mỗi khi truy cập tập tin
Enable pagefile encryption: mã hóa các trang tập tin Windows sử dụng các trang tập tin để
lưu trữ các bản sao chép dữ liệu đã được lưu trữ ở bộ nhớ và bao gồm cả những bản sao chép tập tin đã được mã hóa EFS Tuy nhiên bản sao chép các tập tin mã hóa bằng EFS này lại không được mã hóa, điều này có thể khiến hacker có thể tìm ra những trang tập tin nếu như tùy chọn này bị vô hiệu hóa
Display key backup notifications when user key is created or changed: nếu đánh dấu
chọn, Windows sẽ nhắc người dụng sao lưu key EFS mỗi khi key mã hóa được tạo hoặc thay đổi
Allow EFS to generate seft-signed certificate when a certification authority is not
avaiable: nếu vô hiệu hóa tùy chọn này, các máy client cần phải liên hệ chứng thực ở lần đầu
tiên khi một tập tin được mã hóa Đây có thể ngăn chặn người dùng nếu như họ đứt kết nối mạng khi đã bật EFS ở lần đầu tiên Để cho phép EFS tìm được một chứng thực từ một CA ngoại trừ việc tự động chứng thực, bạn nên cấu hình một CA và kích hoạt chế độ tự động nạp Bài thực hành sẽ hướng dẫn bạn chi tiết về vấn đề này
Thêm vào đó, bạn nên xem xét và cấu hình các tùy chọn sau:
Computer configuration > Policies > Administrative Templates > Network > Offline
Files > Encrypt the offline files cache Cho phép mã hóa Offline Files Bạn sẽ được tìm hiểu
Offline Files ở bài học thứ 2
Computer Configuration > Policies > Administrative Templates > Windows
Components > Search > Allow indexing of encrypted files: nếu bạn cho hiển thị các tập
tin đã được mã hóa, kẻ tấn công có thể thấy nội dung của tập tin mã hóa đó Vô hiệu hóa tùy chọn này để ngăn chặn người dùng tìm kiếm những tập tin này
Cấu hình Data Recovery Agent khôi phục key EFS
Một tập tin đã được mã hóa sẽ không thể truy cập được nếu như không có key, ngay cả quản trị viên hệ thống và nếu mất key, thì tập tin này sẽ không được giải mã để mở ra Vì thế bạn cần phải khôi phục tập tin mã hóa, EFS hỗ trợ DRA DRA có thể giải mã một tập tin đã được mã hóa Trong Active Directory, bạn
Trang 8có thể sử dụng Group Policy để cấu hình một hoặc nhiều tài khoản người dùng như DRA cho toàn doanh nghiệp Để cấu hình DRA, thực hiện các bước sau:
1 Cài đặt chứng thực một CA Ví dụ, bạn có thể cài đặt role Active Directory Certificate Services
2 Tạo một tài khoản người dùng để thực hiện DRA
3 Mở Group Policy Object bằng công cụ Group Policy Management Editor
4 R-click vào Computer Configuration > Policies > Windows Settings > Security Settings
> Public Key Policies > Encrypting File System, sau đó chọn Create Data Recovery
Agent Group Policy Management Editor tạo một tập tin khôi phục để lấy lại chứng thực từ tài
khoản DRA
Thực hành: Mã hóa và khôi phục tập tin
Trong bài thực hành, bạn tạo 2 tài khoản: một tài khoản sẽ mã hóa tập tin với EFS và DRA sẽ truy cập tập tin mã hóa này Sau đó bạn sẽ mã hóa một tập tin, xác nhận tài khoản không thể truy cập được tập tin này Cuối cùng sử dụng DRA để khôi phục tập tin được mã hóa này
Bài thực hành 1: Cấu hình một DRA
1 Cài đặt role Active Directory Certificate Services trên DC
2 Tạo tài khoản có tên EFSUser và đưa vào nhóm Domain Admin để có thể đăng nhập vào DC Bạn
sử dụng tài khoản này để tạo và mã hóa một tập tin
3 Tạo một tài khoản có tên DRA và đưa vào nhóm Domain Admin Đăng nhập bằng tài khoản DRA
4 Trên Server Manager, r-click Features > Group Policy Management > Forest:ict24h.net
> Domains > ict24h.net > Default Domain Policy và chọn Edit
5 Click Computer Configuration > Policies > Windows Settings > Security Settings và chọn Public Key Policies Tại khung chi tiết, double click vào Certificate Services Client –
Auto-Enrollment Thiết lập Enable cho Configuration Model, sau đó click OK
6 R-click vào Computer Configuration > Poicies > Windows Settings > Security Settings
> Public Key Policies > Encrypting File System và chọn Create Data Recovery Agent
Bài thực hành 2: Mã hóa một tập tin
Trong bài thực hành này, bạn sử dụng tài khoản mới tạo là EFSUser để tạo một tập tin dạng text
1 Trên Server1, đăng nhập bằng tài khoản EFSUser
2 Click Start và chọn Document
3 Trong cửa sổ Document, r-lick vào Documents và chọn Properties
4 Trên tab General, click Advance Đánh dấu chọn Encrypt contents to secure data, sau đó click OK 3 lần
5 Mở tài liệu mã hóa và thêm đoạn chữ “Hello ict24h.net”
Bài thực hành 3: Thử truy cập một tập tin đã được mã hóa
Trong bài thực hành này, bạn sử dụng tài khoản Administrator (chưa được cấu hình như một DRA) và giả lập một kẻ tấn công thử truy cập vào một tập tin mà một người dùng khác đã mã hóa
Trang 91 Trên Server1, đăng nhập bằng tài khoản Administrator Tài khoản này đặc quyền trên
Server1 nhưng không được cấu hình DRA
2 Click Start, chọn Computer
3 Tại cửa sổ Computer, mở C:\Users\EFSUser\Document
4 Double click và Encrypted document Một thông báo hiển thị dòng chữ Access is denied
error Bạn cũng sẽ nhận được thông báo tương tự thậm chí bạn cài lại hệ điều hành hoặc kết
nối đến ổ cứng từ một máy tính khác
Bài thực hành 4: Khôi phục một tập tin đã được mã hóa
Trong bài thực hành này, bạn sử dụng tài khoản DRA để truy cập tập tin đã được mã hóa, sau đó xóa bỏ
mã hóa từ tập tin đó để những người dùng khác có thể truy cập được
1 Trên Server1, đăng nhập bằng tài khoản DRA Tài khoản này được cấu hình DRA
2 Click Start, chọn Computer
3 Trong cửa sổ Computer, mở C:\Users\EFSUser\Documents Hộp thoại UAC hiển thị
4 Double click vào Encrypted document ở khung Detail Bạn sẽ nhận được thông báo và có thể
truy cập được tập tin
5 Tại cửa sổ Windows Explorer, r-click vào tập tin đã được mã hóa và chọn Properties Trên tab General, click Advanced Bỏ chọn dòng Encrypt contents to secure data, sau đó click
OK 2 lần Tài khoản DRA đã xóa mã hóa, co phép các tài khoản khác có thể truy cập vào những
tập tin đã mã hóa trước đó
Tóm tắt bài học
NTFS file permission kiểm soát truy cập các tập tin khi Windows đang chạy, cho dù người
dùng có truy cập tập tin từ máy tính của họ hay thông qua mạng đi chăng nữa NTFS file permission cho phép bạn có thể gán cho người dùng và nhóm được các quyền xem, ghi hoặc toàn quyền
EFS mã hóa những tập tin, giúp bạn bảo vệ chúng khi Windows không làm việc Mặc dù sự mã
hóa cung cấp phương thức bảo mật khá mạnh, thì điểm yếu ở chỗ nếu người dùng quên key họ không thể truy cập được tập tin đã mã hóa Để bảo vệ tốt hơn, bạn có thể sử dụng Active Directory Group Policyt để cấu hình DRA cho phép khôi phục lại key mã hóa khi bị quên
Trắc nghiệm
1 Bạn tạo một thư mục có tên Marketing trên máy tính có tên File Server và cấu hình NTFS
permission gán quyền Read cho nhóm Domain User và quyền Modify cho nhóm Marketing Bạn
chia sẻ thư mục và gán quyền Read cho nhóm Everyone Nam - một tài khoản thuộc cả nhóm Marketing và nhóm Domain Users – đăng nhập vào máy tính FileServer để truy cập vào thư mục Marketing Nam có những quyền hạn nào?
A Không có quyền truy cập
B Read
C Write
D Full Control
Trang 102 Bạn tạo một thư mục và được bảo vệ bằng EFS bao gồm cả một tập tin được chia sẻ qua mạng
Bạn chia sẻ thư mục này và sử dụng NTFS, cho phép người dùng có thể mở tập tin Bạn nên làm
gì để cho phép người dùng truy cập vào tập tin đã được mã hóa mà không giảm đi tính bảo mật?
A R-click vào tập tin, sau đó chọn Properties Trên tab Security, thêm tài khoản người
dùng
B R-click vào tập tin, sau đó chọn Properties Trên tab General, click Advanced Click Details, sau đó thêm tài khoản người dùng
C R-click vào tập tin, sau đó chọn Properties Trên tab General, click Advanced Bỏ
chọn dòng Encrypt contents to secure data
D Không làm gì cả
Bài học 2: Chia sẻ thư mục
Một trong những phương pháp cộng tác phổ biến nhất là chia sẻ các tài liệu trong những thư mục chia
sẻ Những thư mục chia sẻ này cho phép bất cứ người dùng nào có thể truy cập đến nếu ở trong cùng môi trường mạng Các thư mục chia sẻ cho phép tài liệu được tập trung hóa và nhân viên có thể dễ dàng quản lý chúng nếu như họ muốn chia sẻ chúng đến hàng nghìn máy tính client
Dịch vụ File Services trong Windows Server 2008 cung cấp cho bạn những tính năng mạnh trong việc chia sẻ thư mục và quản lý các tập tin Với sự cải tiến về quota, Windows có thể thông báo cho người dùng và các quản trị viên nếu như người dùng sử dụng vượt mức dung lượng cho phép DFS cung cấp cho bạn khả năng tập trung hóa cấu trúc thư mục chia sẻ từ nhiều máy tính khác nhau và tự động nhân bản các tập tin trong các thư mục Offline Files tự động sao chép những tập tin chia sẻ đến các thiết bị máy tính cầm tay để cho phép người dùng có thể truy cập đến những tập tin này ngay cả khi họ đứt kết nối mạng
Sau bài học, bạn sẽ được:
Cài đặt File Services
Sử dụng quota thông báo đến bạn khi người dùng sử dụng vượt quá mức dung lượng cho phép
Chia sẻ thư mục thông qua mạng
Sử dụng DFS để tạo một vùng không gian chia sẻ thư mục trên nhiều server
Sử dụng Offline File để cho phép người dùng có thể truy cập đến tập tn và thư mục ngay cả khi
họ bị đứt kết nối mạng
Thời lượng cho bài học: 55 phút
Cài đặt File Services
Windows Server 2008 có thể chia sẻ những thư mục mà không cần bất cứ role nào Tuy nhiên, việc cài đặt dịch vụ File Services cho bạn những công cụ quản lý hữu dụng, giúp bạn có thể làm việc với DFS, cấu hình quota, tạo các bản báo cáo lưu trữ và những tính năng khác Để cài đặt File Services, thực hiện theo các bước sau:
1 Trên Server Manager, r-lick Roles > Add Role
2 Trên trang Before you begin, click Next
3 Trên trang Server Roles, đánh dấu chọn vào File Services Click Next
4 Trên trang File Services, click Next
Trang 115 Trên trang Select role services, chọn các role sau:
File Server: mặc dù nó không cần thiết cho việc chia sẻ tập tin, nhưng khi thêm role
này vào sẽ cho phép bạn sử dụng công cụ Share and Storage management
Distributed File System: cho phép chia sẻ tập tin bằng cách sử dụng vùng không gian
DFS và nhân bản các tập tin trên DFS server Nếu bạn chọn dịch vụ này, hệ thống sẽ hiển thị khung cấu hình vùng không gian
File Server Resource Manager: cài đặt những công cụ để tạo ra các báo cáo lưu trữ,
cấu hình quota và xác định các chính sách về tập tin Nếu bạn chọn dịch vụ này, hệ thống sẽ hiển thị khung cho phép bạn kích hoạt chức năng giám sát dung lượng lưu trữ trên ổ cứng
Services for Network File System: cung cấp khả năng kết nối đến các máy tính chạy
hệ điều hành Unix để chia sẻ tập tin
Windows Search Service: hiển thị các tập tin để tìm kiếm nhanh hơn khi các máy
client kết nối đến các thư mục chia sẻ Dịch vụ này ít khi được sử dụng trong doanh nghiêp để đảm bảo tính riêng tư
Windows Server 2003 File Services: cung cấp dịch vụ tương thích với máy tính chạy
Windows Server 2003
6 Đáp ứng cài đặt các dịch vụ mà bạn đã chọn trên
7 Trên trang Confirmation, click Install
8 Trên trang Results, click Close
Bạn có thể sử dụng các công cụ trong dịch vụ File Services bằng cách click Role > File Services trên
Server Manager
Sử dụng Quota
Khi những người dùng chia sẻ trên một ổ cứng, cho dù là tại máy tính hay thông qua mạng thì dung lượng ổ cứng đó sẽ nhanh chóng đầy Với chức năng quota, bạn có thể dễ dàng giám sát người dùng sử dụng dung lượng ổ cứng Thêm vào đó, khi bạn thiết lập quota để giới hạn sử dụng, người dùng sẽ không thể làm tăng thêm dung lượng ổ cứng
Với Windows Server 2008, bạn nên sử dụng Quota Management dể cấu hình quota Bạn cũng có thể cấu hình quota bằng các lệnh DirQuota Thêm vào đó, bạn có thể cấu hình quota bằng Group Policy hoặc Windows Explorer
Cấu hình Disk Quota bằng công cụ Quota Management
Sau khi cài đặt File Server Resource Manage, bạn có thể quản lý ổ cứng bằng cách sử dụng công cụ
Quota Management Trên Server Manager, click Roles > File Services > Share and Storage
Management > Files Server Resource Manager > Quota Management
Creating Quota Templates: Quota Management hỗ trợ sử dụng quota template Bạn có thể sử dụng
một quota template để thiết lập quota cho ổ cứng Windows Server 2008 gồm các chuẩn template sau:
100 MB Limit: định nghĩa một hard quota (quota ngăn chặn người dùng tạo thêm các tập tin)
chỉ cho phép sử dụng dung lượng không quá 100MB cho mỗi người dùng, với e-mail cảnh báo được gửi đến cho người dùng mỗi khi dung lượng đạt từ 85-95% Khi đạt 100% quota, template này sẽ gửi một e-mail đến người dùng và quản trị viên
Trang 12 200 MB Limit reports to user: cho phép sử dụng 200 MB cho mỗi người dùng, e-mal cảnh báo
dến người dùng khi đạt đến 85-95% Khi đạt 100%, template này sẽ gửi e-mail đến người dùng
và quản trị viên, đồng thời gửi bảng báo cáo sử dụng cho người dùng
200 MB limit with 50 MB extension: Khi đạt đến dung lượng 200MB, máy tính sẽ gửi e-mail
đến người dùng và quản trị viên sau đó cho phép mở rộng lên đến 250 MB
250 MB extended limit: template này cho phép người dùng sử dụng không quá 250MB
Monitor 200 GB Volume usage: e-mail thông báo mỗi khi đạt đến 70%, 80% 90% và 100%
khi ổ cứng đạt đến các mức % tương đương 200GB
Monitor 500 MB share: e-mail sẽ thông báo mỗi khi đạt đến 80%, 100% và 120% tương ứng
với 500 MB
Để tạo quota template, bạn có thể r-lick vào Quota Template trên Quota Management, sau đó chọn
Create quota template Trên hộp thoại Create quota template, chọn chuẩn mà bạn muốn sử dụng,
sau đó click Copy
1 Chọn và r-click vào Quotas trên Server Manager Sau đó chọn Create quota
2 Click Browse và chọn một thư mục bạn cần áp dụng quota, sau đó click OK
Trang 133 Chọn Auto apply template and create quotas on existing and new subfolders Với lựa
chọn này cho phép bạn áp dụng templae này đến bất cứ thư mục mới nào được tạo bên trong thư mục mà bạn vừa chọn ở bước 2
4 Chọn Derive properties from this quota temmplate, sau đó chọn quota ở danh sách Mặt khác, bạn có thể chọn Define custom quota properties và click Custom properties để xác
định quota này không dựa trên các quota tồn tại trước đó
5 Click Create
Cấu hình Disk Quota bằng dòng lệnh
Bạn có thể sử dụng lệnh DirQuota để cấu hình quota Ví dụ, để áp dụng chuẩn 200 MB Limit report cho thư mục C:\ICT24H bạn gõ lệnh sau:
dirquota quota add /Path:C:\ICT24H /SourceTemplate:”200 MB Limit Reports To User”
Để sử dụng chuẩn 100 MB, sử dụng lệnh sau:
dirquota quota add /Path:C:\ICT24H /Limit:100MB /Type:Hard
Để tìm hiểu về các lệnh DirQuota bạn có thể gõ lệnh:
dirQuota /?
Cấu hình Disk Quota bằng Windows Explorer
Mặc dù bạn nên sử dụng Quota Management để cấu hình quota trên Windows Server 2008, tuy nhiên
hệ điều hành hỗ trợ bạn quản lý quota bằng Windows Explorer Để cấu hình quota bằng Windows
Explorer, thực hiện các bước sau:
1 Mở Windows Explorer
2 R-click vào ổ cứng bạn muốn cấu hình quota, sau đó chọn Properties Bạn không thể cấu hình
quota cho từng thư mục cụ thể
3 Trên tab Quota, đánh dấu chọn Enable quota management
Trang 144 Chọn Limit disk space to và thiết lập giá trị dung lượng
5 Đánh dấu chọn vào Log event when a user exceeds their quota limit hoặc Log event
when a user exceeds their warning level để cảnh báo
6 Nếu bạn đánh dấu chọn Deny disk space to users exceeding quota limit, người dùng sẽ
không thể lưu hoặc cập nhật các tập tin khi họ đã vượt qua phạm vi quota cho phép
7 Click Quota Entries để xem dung lượng sử dụng hiện tại của ổ cúng Trên cửa sổ Quota
Entries, double click vào người dùng để cấu hình quota cho người dùng đó
Trang 158 Click OK để đón hộp thoại Quota Setings for…., đóng Quota Entries Ở ổ cứng đang cấu hình, click OK sau đó đóng cửa sổ Local Disk Properties Nếu hiển thị khung thông báo, click
OK để kích hoạt quota
Cấu hình Disk quota bằng Group Policy
Bạn có thể cấu hình quota bằng Group Policy một cách đơn giản Trong công cụ Group Policy
Management Editor, chọn Computer Configuration > Policies > Administrative Templates > System > Disk Quotas
Enable Disk Quotas: bạn phải bật chính sách này để sử dụng quota
Enforce Disk Quota Limit: tương tự với lựa chọn Deny disk space to users exceeding
quota limit khi cấu hình ở Windows Explorer
Default Quota Limit and Warning level: xác định giới hạn và cảnh báo ở các cấp độ
Log Event when Quota limit exceeded: tương tự với lựa chọn Log event when a user
exceed their quota limit khi cấu hình ở Windows Explorer
Log Event when quota warning level exceeded: tương tự lựa chọn Log event when a
user exceeds their warning level trong Windows Explorer
Apply Policy to removable media: xác định quota được áp dụng hoặc xóa bỏ Bạn nên vô
hiệu hóa chính sách này
Chia sẻ thư mục
Bạn có thể chia sẻ thư mục thông qua mạng và cho phép các máy tính khác co thể truy cập đến
Chia sẻ thư mục từ Windows Explorer
Cách đơn giản nhất để chia sẻ thư mục là r-click vào thư mục trong Windows Explorer và chọn Share Hộp hoại File Sharing hiển thị cho phép bạn lựa chọn người dùng mà bạn muốn truy cập được thư mục Click Share để tạo thư mục chia sẻ và click Done
Trang 16Có các cấp độ quyền cho bạn lựa chọn:
Reader: chỉ có quyền đọc Tương tự quyền Read ở NTFS file permission
Contributor: cho phép đọc và ghi
Co-owner: cho phép người dùng có thể thay đổi quyền của tập tin chẳng hạn gán thêm quyền đọc và ghi Tương tự quyền Full Control
Owner: quyền này cho phép người dùng có thể tạo tập tin chia sẻ và cho phép thay đổi quyền Tương tự quyền Full Control
Chia sẻ thư mục sử dụng chức năng Provision a shared folder wizard
Bạn có thể chia sẻ thư mục, cấu hình quota và thiết lập bảo mật bằng Provision a shared folder
wizard
1 Trên Server Manager, r-click vào Roles > File Services > Share and Storage
Management và chọn Provision share
2 Trên trang Shared folder location, click Browse và chọn thư mục để chia sẻ
3 Trên trang NTFS Permission, chọn Yes, change NTFS Permission Sau đó click Edit
Permission nếu bạn muốn thiết lập quyền hạn Cấu hình NTFS là điều nên làm Click OK, sau
đó click Next
Trang 174 Trên trang Share Protocols, chọn kiểu chia sẻ sử dụng Windows (SMB-Server Message Block)
hoặc sử dụng UNIX ( Network File System) Chọn SMB cũng có thể áp dụng cho các máy client
sử dụng hệ điều hành UNIX Click Next
5 Trên trang SMB Settings, click Advance nếu bạn muốn thay đổi mặc định số lượng người dùng đồng thời hoặc Offline Files Click Next
6 Trên trang SMB Permission, chọn quyền hạn bạn muốn gán Để tạo quyền hạn tùy ý, chọn
User and Group have a Custom share permission và click Permission Click Next
7 Trên trang Quota Policy, chọn Apply Quota nếu bạn muốn áp dụng quota này Sau đó chọn quota template Click Next
8 Trên trang File Screen Policy, đánh dấu chọn Apply file screen nếu bạn muốn cho phép tập tin cụ thể nào đó trên thư mục Sau đó chọn tập tin bạn muốn sử dụng Click Next
9 Trên trang DFS Namespace Publishing, chọn Publish the SMB share to a DFS
Namespace nếu muốn đưa tập tin đến vùng không gian DFS Sau đó, cung cấp thông tin DFS
Click Next
10 Trên trang Review Settings and Create Share, click Create
11 Click Close
Chia sẻ thư mục bằng dòng lệnh
Trang 18Bạn có thể chia sẻ thư mục bằng lệnh net share
Để xem danh sách chia sẻ, gõ lệnh:
net share
Để tạo một chia sẻ, gõ lệnh theo cấu trúc sau:
net share ShareName=Path [/GRANT:user, [READ|CHANGE|FULL]]
[/CACHE:Manual|Document|Programs|None|]
Ví dụ để chia sẻ thư mục ICT24H nằm trong ổ C:\, sử dụng tên chia sẻ là Networking, chia sẻ đến mọi người và cho phép họ đọc, thực hiện lệnh sau:
net share Networking=C:\ICT24H /GRANT:Everyone,Read
Để xóa thư mục chia sẻ Networking, sử dụng /DELETE
net share Networking /DELETE
Để xem hướng dẫn và đầy đủ các lệnh, gõ lệnh
net share /?
Kết nối đến thư mục chia sẻ
Các máy client kết nối đến thư mục chia sẻ thông qua mạng bằng lệnh \\ <tên server>\ <tên chia sẻ>
Ví dụ, nếu bạn muốn chia sẻ thư mục Networking trên Server1, bạn có thể kết nối bằng cách gõ
\\Server1\Networking Bạn có thể truy cập đến một tập tin chẳng hạn tài liệu network.doc bằng cách gõ
bằng cách click Map Network Drive trên Windows Explorer hoặc click vào menu Tools và chọn Map
Network Driver Ví dụ bạn muốn truy cập thư mục Networking trên ổ M, gõ lệnh sau:
net use M:\Server1\Networking
Trang 19có thể tạo thư mục \\ict24h.net\dfs\networking và đưa chúng đến thư mục chia sẻ dành cho cả
\\server1\networking và \\server2\networking
Bên cạnh việc cung cấp một vùng không gian cho phép người dùng có thể dễ dàng tìm tập tin, DFS co thể cho phép nhân bản những tập tin chia sẻ
Cài đặt DFS
Bạn có thể cài đặt DFS khi cài đặt File Services sử dụng Add Roles Wizard hoặc bạn cũng có thể thêm
dịch vụ DFS bằng cách sử dụng Server Manager, r-click vào Roles > File Services > Add Role
Services Dù bạn có cài đặt trước hay sau khi cài đặt cũng sẽ đến bước cấu hình DFS, thực hiện các
bước sau:
1 Trên trang DFS Namespaces, tạo một vùng không gian mới Đặt tên cho vùng không gian, ví
dụ là ICT24H Ebook Centre
2 Trên trang Namspace Type, bạn có thể chọn Domain-based namespace (dành cho môi trường Active Directory) hoặc Standalone-based namspace (dành cho môi trường workgroup) Nếu tất cả server chạy Windows Server 2008, đánh dấu chọn vào Enable
Windows Server 2008 mode Click Next
3 Trên trang Credentials, chọn tài khoản để tạo vùng không gian, tài khoản này phải thuộc nhóm
Domain Admin
4 Trên trang Namspace Configuration, bạn có thể click Add sau đó thêm các thư mục vào Bạn
có thể làm thao tác này lúc sau cũng được (sử dụng DFS Management)
5 Click Next
Trang 20Tạo một vùng không gian DFS từ DFS Management
Để thực hiện việc tạo một DFS từ DFS Management, thực hiện các bước sau:
1 Trên Server Manager, r-click Roles > File Services > DFS Management > Namspaces và chọn New Namespace
2 Trên trang Namespace Server, nhập tên server chứa vùng không gian Bạn có thể thêm các
server khác để chứa vùng không gian ở thời gian sau Người dùng không thể thấy được tên server khi họ truy cập đến vùng không gian DFS Click Next
3 Trên trang Namespace Name and Settings, nhập tên Đây là tên vùng không gian chia sẻ khi
mà người dùng truy cập vào Ví dụ: \\ict24h.net\Ebook Click Edit Settings để thiết lập permisison cho vùng không gian Click Next
4 Trên trang Namspace Type, bạn có thể chọn Domain-based namespace (dành cho môi trường Active Directory) hoặc Standalone-based namspace (dành cho môi trường workgroup) Nếu tất cả server chạy Windows Server 2008, đánh dấu chọn vào Enable
Windows Server 2008 mode Click Next
Trang 215 Trên trang Review Settings and Create Namspace, click Create