• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Lecture1 accesscontrol newl
 

Lecture1 accesscontrol newl

on

  • 303 views

 

Statistics

Views

Total Views
303
Views on SlideShare
303
Embed Views
0

Actions

Likes
0
Downloads
9
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Lecture1 accesscontrol newl Lecture1 accesscontrol newl Presentation Transcript

    • QUẢN LÝ QUYỀN TRUY CẬP TÀI NGUYÊN Ngô Văn Công
    • Nội dung Các hệ thống file khác nhau Quản lý thư mục chia sẻ Điều khiển truy cập vào các đối tượng Tác động của kết hợp quyền chia sẻ thư mục và quyền ntfs Ủy quyền quản trị các đối tượng
    • Các hệ thống file trong win 2003 3 hệ thống file chính  FAT(File Allocation Table)  FAT32  NTFS Lựa chọn hệ thống file phụ thuộc vào  hệ thống sẽ được dùng như thế nào  Có dùng nhiều HDH không  Y/c bảo mật NTFS khuyến cáo nên chọn
    • FAT Dùng bởi MS-DOS Được hỗ trợ bởi tất cả phiên bản window trước đó Các hạn chế  tối đa 2GB  Không có đặc tính bảo mật file  Cách dùng không gian đĩa kém
    • FAT32 Một dẫn xuất của FAT Phân vùng có thể lên tới 2TB Không cung cấp đặc tính bảo mật nâng cao
    • NTFS Giới thiệu trong WinNT Hô trợ phân vùng từ 2TB đến 16TB Thuận lợi  linh hoạt và hiệu xuất tốt trên phân vùng lớn  Hỗ trơ cho hệ thống AD  Cấu hình các quyền bảo mật trên từng file và thư mục  Tích hợp hỗ trợ nén và bảo mật  Cho phép cấu hình quota  Báo cáo lỗi cho các hoạt động đĩa
    • Tạo và quản lý các thư mục chia sẻ Thư mục chia sẻ  Một nguồn dữ liệu sẵn sàng qua mạng cho các client đã chứng thực  Đặc tả các quyền cho hoạt động tạo, đọc, sửa Các group có thể tạo thư mục chia sẻ  Administrators  Server Operator  Power Users
    • Tạo và quản lý các thư mục chia sẻ 2 cách hay dùng  Thông qua Window Explorer  Giao diện Computer Management Explorer
    • Dùng Window Explorer Có thể tạo, chia sẻ các thư mục Chia sẻ thông qua Properties-> Sharing tab
    • (tt) Tên chia sẻ thư mục không cần phải là tên thư mục Biểu tượng bàn tay cho biết thư mục chia sẻ Các thư mục chia sẻ ẩn trong My Network Place và Network Neighborhood  Đặt dấu ($) sau tên (Salary$)
    • Dùng Computer Management Cho phép chia sẻ và kiểm soát các thư mục trên máy tính cục bộ và từ xa Cho phép ngừng chia sẻ Folder Wizard  Dùng để tạo các thư mục trong shared folder  Cấu hình sẵn  Tất cả user có quyền chỉ đọc(read-only)  Administrator có toàn quyền, mọi user khác có quyền đọc  Administrator có toàn quyền, mọi user khác có quyền đọc và ghi  Chia sẻ tùy biến và các quyền thư mục
    • Kiểm soát các truy cập vào Shared Folders Kiểm soát bao gồm  Ai dùng các file chia sẻ  File chia sẻ nào dùng tại thời điểm nào Các chức năng khác  Hủy kết nối các user vào một chia sẻ  Gửi các thông điệp cảnh báo trên mạng
    • Quản lý các quyền thư mục chia sẻ Mỗi thư mục chia sẻ có một discretionary access control list(DACL) - danh sách điều khiển truy cập tùy biến  Chứa danh sách user hoặc tham chiếu group vừa được cho quyền hay từ chối quyền  Mỗi tham chiếu là một access control entry(ACE) Các quyền chỉ áp dụng cho user mạng, không dùng cho user đăng nhập trực tiếp từ máy cục bộ
    • Quản lý các quyền thư mục chia sẻ
    • Quản lý các quyền thư mục chia sẻ Để từ chối truy cập đ/với user hay group  Phải quy định rõ ràng quyền từ chối truy cập với mỗi cá nhân Default Permission: read cho group everyone Folder permission are inherited by all contained object
    • Quản lý quyền truy cập và NTFS  Quản lý quyền truy cập  Các quyền trong NTFS
    • Điều khiển quyền truy cập Sử dụng cơ chế object-based security cài đặt quyền truy cập vào các đối tượng Mỗi đối tượng trong AD có một bảng mô tả định nghĩa ai được truy cập vào đối tượng và được làm gì.
    • Quyền truy cập Security Principal: là các đối tượng như user, group, computer được gán một SID(security identifier) Điều khiển quyền truy cập vào đối tượng: cấp hoặc từ chối quyền truy cập của các security principal Window server 2003 lưu một danh sách quyền truy cập người dùng(ACL:access control list) -> lưu giữ ai có thể truy cập đối tượng và có thể làm gì trên đối tượng.
    • Permission Quyền truy cập định nghĩa kiểu truy cập được cấp cho người dùng, nhóm, máy tính hay là đối tượng bất kỳ Các quyền này liên kết với các đối tượng như tệp, thư mục, máy in… Gán quyền này cho người dùng, nhóm trong AD hay trên máy cục bộ
    • (tt)Standard Permissions Special Permissions
    • Thành viên nhóm và quyền truy cập Một security principal có thể là thành viên nhiều nhóm Mỗi nhóm cung cấp quyền truy cập khác nhau và mức độ khác nhau Một security principal được thiết lập quyền truy cập trên tài nguyên và anh ta thuộc một nhóm được thiết lập quyền khác -> quyền truy cập của security principal sẽ là sự kết hợp 2 quyền trên
    • Sự kế thừa quyền truy cập
    • NTFS File and Folder PermissionsFile permissions Folder permissions Full ControlFull Control ModifyModify Read & ExecuteRead & Execute WriteWrite ReadRead List Folder Contents
    • Khi sao chép và di chuyển Copy NTFS Partition E: NTFS Partition Copy C: Or Move NTFS Partition Move D: Khi sao chép tập tin hay thư mục thì sẽ kế thừa quyền của thư mục đích Khi di chuyển file hay thư mục trong cùng một phân vùng, vẫn dữ nguyên quyền Khi di chuyển sang phân vùng khác, nó kế thừa quyền của thư mục đích.
    • Kế thừa quyền NTFSInherit permissions FolderA Read / Write FolderB Access to FolderBPrevent inheritance FolderA Read / Write FolderB No access to FolderB FolderC
    • Một số lời khuyên Cấp quyền cho nhóm cục bộ trong miền hơn là cho từng users Nhóm tài nguyên lại để làm đơn giản công tác quản lý Cấp quyền đọc và chạy cho thư mục chứa ứng dụng Cấp quyền đọc, ghi cho thư mục dữ liệu
    • Quản lý quyền truy cập NTFS
    • Quyền truy cập đặc biệt
    • Effective Permission Quyền tổng quát mà một security principal có trên một đối tượng, bao gồm quyền thành viên nhóm, quyền kế thừa.
    • Kết hợp chia sẻ thư mục và các quyền NTFS Các quyền NTFS có thể được kết hợp với các quyền chia sẻ  Khi truy cập dùng chia sẻ thông qua mạng, nếu cả 2 được áp dụng, sử dụng quyền hạn chế nhất  Khi truy cập một file cục bộ, chỉ áp dụng quyền NTFS
    • Chuyển từ FAT-> NTFS Để bào mật cao nhất, các phân vùng và ổ đĩa phải cấu hình dùng NTFS Ứng dụng dòng lệnh CONVERT chuyển từ FAT/FAT32 -> NTFS Tất cả các file và thư mục được giữ nguyên CONVERT không thể chuyển NTFS- >FAT/FAT32
    • Ủy quyền là gì Gán quyền điều khiển OU cho người dùng hay nhóm khác Ủy quyền có tác dụng  Phân tán công việc quản trị  Giúp các người dùng, OU1 Admin1 nhóm nhiều quyền điều khiển trên tài OU2 OU3 nguyên cục bộ  Giảm số lượng tài Admin2 Domain Admin3 khoản có quyền quản trị trong toàn miền
    • Wizard Ủy quyền Dùng wizard ủy quyền điều khiển để chỉ định  Người dùng, nhóm mà bạn muốn ủy quyền  OU hay các đối tượng mà bạn muốn người dùng hay nhóm được cấp quyền điều khiển  Công việc mà người dùng hay nhóm có thể thực hiện Tự động gán cho người dùng quyền phù hợp để truy cập hay là thay đổi đối tượng
    • Users group 1 Write for Folder1 NTFS Partition Sales group Read for Folder1 Folder1Users Group Users group 2 Read for Folder1 File1 Sales group User1 Write for Folder2 Folder2 3 Users group Modify for Folder1 File2 should only File2 be accessible toSales Group Sales group and only with Read permission
    • Effects of Combined Shared Folder and NTFS Permissions Public FC Users NTFS Volume Read File1 Change File2
    • Practice: Determining Effective NTFS and Shared Folder Permissions  In this practice, you will:  Determine effective NTFS permissions  Determine shared folder permissions1 NTFS Volume 2 NTFS Volume Users Group Sales Group FC Users R Data User1 FC User1 F Sales Group C Sales User2 FC User2 HR User3 FC User3 Pubs