root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
Phân quyền cây tài nguyên chia sẻ trên FTP Server

- Mục lục:

  1. Phần 1: Cài đặt DNS và Active Directory 2012 R2 - Download tài liệu: DOWNLOAD
  2. Phần 2:
  3. Phần 3: Triển khai FTP server trên windows server 2012R2 - Download tài liệu: DOWNLOAD
  4. Phần 4: Phân quyền cây tài nguyên - Download tài liệu: DOWNLOAD

Ở phần trước mình đã triển khai dịch vụ File server. Dịch vụ FTP cho phép người dùng từ xa kết nối tới FTP server chứa tài nguyên, file, folder của người dùng (người dùng lúc này được gọi là remote user).
Phần này chúng ta cần cấu hình phân quyền trên các tài nguyên file, folder mà chúng ta sẽ chia sẽ cho remote user.
Khi remote user truy cập và sử dụng tài nguyên trên FTP server sẽ phải chịu ảnh hưởng bởi 2 quyền:


  • Share permission: nằm trong tab “Share”
  • NTFS permission: nằm trong tab “Security”
Chúng ta sẽ kết hợp nhuần nhuyễn 2 quyền Share permission và NTFS permission trong việc xây dựng cây tài nguyên chia sẻ trên FTP server windows 2012.
Đay là cây tài nguyên của chúng ta
km2AOavmTqLzyTRe7KCpeTEl6dCnH-aUDoozokb4Cv11haLIFVjWECqzUVHQJcR41GYtc2wlPm-cvBLeU8ouOmIc1D3300ij3TQGGqYd4mGLcivEfPKaSvGJC8HNHvYC-llZEuUgiYPvVAzxJQ


- Yêu cầu thực hiện cây folder chia sẽ như sau:
  • Folder cha là FTP server cho mọi người trong Active Directory có thể thấy và truy cập
  • Folder phòng ban nào thì chỉ có những người ở phòng ban đó và ban giám đốc thấy.
  • Trong từng phòng ban là từng folder cá nhân dành riêng cho từng nhân viên trong phòng ban. Tương ứng với 1 folder của người dùng thì chỉ có người dùng đó mới có toàn quyền và ban giam đốc chỉ có quyền xem thư mục cá nhân của các nhân viên mà không có quyền xóa, sửa.
  • Ban giám đốc được quyền truy xuất tới tất cả folder của các phòng ban nhưng chỉ có quyền xem.

Dựa trên việc quản lý user tập trung của Active Directory mà chúng ta có thể phần quyền cho từng user trên Active Directory với những quyền hạn khác nhau trên File Server.

Ở bài lab trước chúng ta đã tạo các user và group user trên Active Directory như sau:

  • Group Giam Doc: gd1(giamdoc1) và gd2(giamdoc2).
  • Group IT: it1(IT02) và it2(It02)
  • Group KeToan: kt1(ketoan01) và kt2(ketoan02)

3 Cấu trúc cây thư mục

- Trên ổ C chúng ta sẽ tạo một cây thư mục để lưu trữ tài nguyên cho các nhân viên, giám đốc… trong công ty.

km2AOavmTqLzyTRe7KCpeTEl6dCnH-aUDoozokb4Cv11haLIFVjWECqzUVHQJcR41GYtc2wlPm-cvBLeU8ouOmIc1D3300ij3TQGGqYd4mGLcivEfPKaSvGJC8HNHvYC-llZEuUgiYPvVAzxJQ


3.1 Share permission

- Như chúng ta đã biết, remote user sử dụng tài nguyên trên FTP server sẽ chịu ảnh hưởng bởi 2 quyền Share permission và NTFS permission.
- Bây giờ chúng ta sẽ cấu hình share permission cho thư mục gốc “FTP server” là share “Every One” với quyền “change và read”.s


3.2 NTFS permission
- Sau khi phân cấu hình share permission xong, chúng ta sẽ cấu hình NTFS permission để phần quyền trên từng thư folder cho từng group hoặc từng user.
- Quyền cuối của của user trên folder đó sẽ là giao giữa Share permission và NTFS permission.

3.2.1 Folder “01 Giam Doc”

- Đầu tiên chúng ta sẽ cấu hình NTFS trên folder “01 Giam Doc” với yêu cầu các user trong group giám đốc được phép truy cập vào folder này.
- Chúng ta phải chuột lên folder “01 Giam Doc” chọn “Properties → tab Security → Advanced”.
- Bên cửa sổ “advanced Security settings…” chúng ta nhấn vào “Disable inheritance” để không nhận kế thừa từ folder cha.


Khi bạn click vào “Disable inheritance” sẽ xuất hiện cửa sổ với 2 lựa chọn

  • Convert… : giữ nguyên quyền đã được áp dụng trước đó trên thực mục cha.
  • Remove… : xóa toàn bộ quyền kế thừa từ folder cha.


- Sau đó chúng ta add group “p.giamdoc” vào folder này để các user trong phòng giám đốc có thể xem folder này và các folder con trong thư mục này.


a. Folder “00 Phong Giam Doc”
- Group “p.giamdoc” sẽ có quyền thêm, xóa, sửa… trong folder chung của phòng Giám Đốc.


- Remove “FTP\User” ra khỏi tab “security”


- Hoàn thành việc phân quyền cho folder chung của phòng giám đốc.



=> Với cách phân quyền này thì chỉ có group “p.giamdoc” mới có quyền truy cập vào folder này và có thể chỉnh sửa các file, folder bên trong folder “01 Giam Doc”.

b. Folder “01 gd1”
- Chỉ có user giám đốc 1 mới được truy cập và toàn quyền trên Folder “01 gd1”. Các user khác sẽ không truy cập được vòa folder này.
- Tương tự như trên, chúng ta phải bỏ quyền kế thừa từ folder cha trên folder “01 gd1”.


- Cấp quyền cho “gd1” full quyền và remove các user khác ra khỏi tab “security” để các user khác không thể truy xuất đến folder này.




c. Folder “02 gd02”

- Phân quyền tương tự trên folder “02 gd2” chỉ cho giám đốc 02 truy cập.






3.2.2 Folder “02 Ke Toan”.

- Phòng kế toán sẽ cho group kế toán truy cập


Ngoài ra ban giám đốc cũng có thể truy cập vào phòng kế toán với quyền xem các folder, file của phòng kế toán.




a. Folder “00 Phong ke Toan”

- Nhân viên trong phòng kế toán có thể xem, xóa, sửa… trong folder chung của phòng kế toán.



- và phòng giám đốc cũng được xem các file, folder trong này. Tuy nhiên, user của group “Ban Giám Đốc” không được chỉnh sửa, xóa… các file, folder trong này.




b. Folder “01 KT01”.

- Nhân viên “KT01” có full quyền trong thư mục của họ.



- Phòng giám đốc chỉ có thể xem các file, folder trong folder “01 KT01”.




c. Folder “02 KT02”.

- chúng ta cấu hình nhân viên Kế Toán 2 tương tự như nhân viên Kế Toán 01 mà chúng ta đã phân quyền ở trên.



 
4. Test
4.1 Test user “giám đốc 1”
- Thử login với user “gd1” để kiểm tra việc phân quyền trên các folder.



- Giám đốc 1 có thể tạo, thêm, xóa… trong folder của họ và folder chung của phòng giám đốc (“00 phong giam doc”).



- Tuy nhiên Giám Đốc 1 sẽ không truy cập được folder của giám đốc 2.



- Mặc dù Giám đốc 1 có thể truy cập vào các thư mục của các phong ban khác. Nhưng họ chỉ được xem và không có quyền tạo, xóa, chỉnh sửa.




4.2. Test user “kế toán 1”
- login vào PC với user domain “svuit.vn\kt1” để kiếm tra việc phân quyền cho nhân viên kế toán 1.




- Nhân viên kế toán 1 có đầy đủ các quyền trong folder của “kế toán 1”.




- Tuy nhiên, kế toán 1 không thể truy cập đến folder của kế toán 2.




- Và nhân viên kế toán không thể truy cập vào folder của “ban giám đốc”.




4.3 Test bằng browser với user kế toán 1

- sử dụng trình duyệt web và truy cập FTP tới server. Nó sẽ yêu cầu chúng ta nhập username và password của Active Directory để chứng thực. Nhập user “svuit.vn\kt1” để đăng nhập.



- Đăng nhập thành công sẽ hiện thị ra các folder mà chúng ta đã cấu hình chia sẽ trên FTP server ở trên.




- Thử truy cập vào folder “01 Giam Doc” thì user “kế toán 1” không thể truy cập vào folder “01 Giam Doc” được.





- User “kế toán 1” chỉ có thể truy cập đến folder của nó.


 
TUYỆT VỜI QUÁ ROOT. MỌI NGƯỜI RẤT TRÂN TRỌNG NHỮNG BÀI VIẾT CỦA BẠN RẤT QUÝ GIÁ, THỰC TẾ VÀ DỄ HIỂU. NGAY CẢ NHỮNG DIỄN ĐÀN LỚN NHƯ VNPRO, NHẤT NGHỆ CŨNG CHƯA CHẮC ĐÃ CÓ NHỮNG BÀI VIẾT CHẤT LƯỢNG VỀ (CCNP SERCURITY, JUNIPER, ẢO HÓA VMWARE vSPHERE, MCSA 2012..). MONG ROOT CÓ THỜI GIAN VIẾT THÊM GIÚP ANH EM NHỮNG BÀI VIẾT THỰC TẾ VỀ 70-411, 70-412 ĐỂ MỌI NGƯỜI CÓ THỂ TỰ ÔN LUYỆN MCSA 2012 1 CÁCH NHANH NHẤT VÌ HIỆN TẠI MÌNH THẤY RẤT ÍT DIÊN ĐÀN CÓ BÀI VIẾT VỀ 70-41170-412
THANKS!

môn thi 70-410 Installing and Configuring Windows Server 2012



những nội dung chính trong chương trình học và thi


o Triển khai và quản trị Windows Server 2012

o Giới thiệu về Active Directory Domain Services

o Quản trị các đối tượng Active Directory Domain Services

o Quản trị tự động hóa Active Directory Domain Services

o Triển khai IPv4

o Triển khai dịch vụ cấu hình địa chỉ động (DHCP)

o Triển khai dịch vụ phân giải tên miền (DNS)

o Triển khai IPv6

o Triển khai lưu trữ cục bộ (Local Storage)

o Triển khai các dịch vụ File và Print

o Triển khai chính sách nhóm (Group Policy)

o Bảo mật hệ thống Windows Server bằng việc sử dụng các đối tượng Group Policy

o Triển khai ảo hóa server với Hyper-V

70-411: Administering Windows Server 2012
Nội Dung học và thi chứng chỉ:


o Trine khai các dịch vụ mạng nâng cao

o Triển khai các dịch vụ file nâng cao

o Triển khai điều khiển truy cập động

o Triển khai các deployment AD DS phân tán

o Triển khai các site AD DS và nhân bản

o Triển khai các dịch vụ chứng thư AD

o Triển khai các dịch vụ quản trị quyền AD (AD RMS)

o Triển khai các dịch vụ liên kết AD (AD FS)

o Triển khai cân bằng tải mạng (NLB)

o Triển khai Failover Clustering

o Triển khai Failover Clustering với Hyper-V

o Triển khai khôi phục sau thảm họa (Disaster Recovery)

70-412: Configuring Advanced Windows Server 2012 Services
Nội Dung học và thi:


o Cấu hình và khắc phục sự cố với máy chủ DNS

o Vận hành Active Directory Domain Services

o Quản trị các tài khoản người dùng và dịch vụ

o Triển khai một hạ tầng Group Policy

o Quản trị người dùng Desktops với Group Policy

o Cấu hình và khắc phục sự cố truy cập từ xa

o Cài đặt, cấu hình và khắc phục sự cố với vai trò máy chủ chính sách mạng

o cập mạng

o Tối ưu Triển khai bảo vệ truy hóa dịch vụ file

o Cấu hình mã hóa và giám sát nâng cao

o Triển khai và vận hành các ảnh máy chủ (Server Image)

o Triển khai quản trị cập nhật

o Giám sát Windows Server 2012
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu