Quyền NTFS và Quyền chia sẻ mọi thứ bạn dành cho Sysadmin cần biết trước khi làm về File server

0
62
Quyen Ntfs Va Quyen Chia Se Moi Thu Ban Danh Cho Sysadmin Can Biet Truoc Khi Lam Ve File Server 3934 5 1

Phần này cũng không quá xa lạ với các bạn đã học chương trình MCSA của MS nhé. Phương Nguyễn chỉ chia sẽ lại 1 số kiến thức về chia sẻ dữ liệu file Server cho các IT Admin nhé.

Một trong những khái niệm bảo mật quan trọng nhất là quản lý quyền hạn truy cập của người dùng: đảm bảo rằng các quyền phù hợp được đặt với người dùng – và điều đó thường có nghĩa là biết sự khác biệt giữa quyền chia sẻ và quyền NTFS.

Chức năng chia sẻ và NTFS hoàn toàn tách biệt với nhau, nhưng mục tiêu cuối cùng phục vụ cùng một mục đích: để ngăn chặn truy cập trái phép đối với hành động không được phép.

Tuy nhiên, khi NTFS và quyền chia sẻ (Share permission) tương tác hoặc khi một thư mục dùng chung nằm trong một thư mục dùng chung riêng biệt với các quyền chia sẻ khác nhau, người dùng có thể không truy cập được dữ liệu của họ hoặc họ có thể có mức truy cập cao hơn sau đó quản trị viên bảo mật dự định. Cho nên chúng ta cần hiểu rõ và phân biệt tránh rủi ro trong vấn đề truy cập và phân quyền dữ liệu file máy chủ cần kết hợp cả 2 quyền.

Tôi đã lược ra 1 số điểm khác nhau cũng như những khác biệt chính giữa quyền chia sẻ và quyền NTFS để bạn có thể biết phải làm gì.

Thứ 1: Đầu tiên chúng ta cần biết NTFS là ?

Như các bạn được biết NTFS viết tắt của chữ NT File System hoặc một số New Technology File System tạm dịch là 1 đinh đạng tập tin hệ thống của hệ điều hành Windows của Hãng phần mềm nỗi tiếng Microsoft nhé.

NTFS là hệ thống tệp mới nhất mà hệ điều hành Windows NT sử dụng để lưu trữ và truy xuất tệp. Trước NTFS, hệ thống tệp bảng cấp phát tệp (FAT) là hệ thống tệp chính trong các hệ điều hành cũ hơn Microsoft Microsoft và được thiết kế cho các đĩa nhỏ và cấu trúc thư mục đơn giản

Hệ thống tệp NTFS hỗ trợ kích thước tệp lớn hơn và ổ cứng và an toàn hơn so với FAT. Microsoft lần đầu tiên giới thiệu NTFS vào năm 1993 với việc phát hành Windows NT 3.1. Đây là hệ thống tệp được sử dụng trong các hệ điều hành Microsoft Windows Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2000 và Windows NT.

Hiện nay có loại mới nữa có thể kể đến là ReFS nhé. Tuy nhiên tôi không nói nhiều về ReFS.Bởi vì loại định đạng NTFS nó liên quan đến phân quyền file và quyền chia sẻ dữ liệu chúng ta đề cập đến bài viết này

Thứ 2: Quyền của Chia sẻ (Share Permissions)

Khi bạn chia sẻ một thư mục và muốn đặt quyền cho thư mục đó – đó là một chia sẻ. Về cơ bản, quyền chia sẻ xác định loại quyền truy cập mà người khác có đối với thư mục dùng chung trên mạng.

Để nhìn thấy quyền chia sẻ đã thư mục hay file chúng ta thao tác như sau:

  • CLick phải vào thư mục.
  • Chọn vào “Properties”
  • Click chọn tab “Sharing”
  • Chọn “Advanced Sharing…”
  • Chọn vào “Permissions”

Share Permission này Có ba loại quyền chia sẻ: Kiểm soát hoàn toàn (Full Controll), Thay đổi (Change) và Đọc (Read).

  1. Full controll (Kiểm soát hoàn toàn): Cho phép người dùng có thể đọc, thay đổi dữ liệu, Thay đổi, cũng như chỉnh sửa quyền và sở hữu các tập tin và thư mục
  2. Change (Thay đổi): Thay đổi có nghĩa là người dùng có thể đọc / thực thi / ghi / xóa các thư mục / tệp trong chia sẻ.
  3. Read (Đọc): Đọc cho phép người dùng xem, copy, thực thi nội dung thư mục.

Thứ 3: Quyền của NTFS (NTFS Permissions)

Quyền NTFS được sử dụng để quản lý quyền truy cập vào các tập tin (file) và thư mục (folder) được lưu trữ trong hệ thống tệp NTFS của Windows Server

Để xem loại quyền NTFS thao tác như sau:

  • Phải chuột vào tập tin hoặc thư mục
  • Chọn vào “Properties”
  • Chọn vào tab “Security”

Bộ quyền NTFS ngoài việc có đầy đủ 3 bộ quyền của Share Permission( Bên cạnh Kiểm soát hoàn toàn, Thay đổi và Đọc) có thể được đặt cho các nhóm hoặc cá nhân, NTFS cung cấp thêm một số tùy chọn quyền được gọi như sau:

Sáu bộ quyền cơ bản và 14 quyền đặc biệt

Bộ quyền cơ bản (6 Quyền)

  1. Full controll (Kiểm soát hoàn toàn): Cho phép người dùng đọc, viết, thay đổi và xóa các tập tin và thư mục con. Ngoài ra, người dùng có thể thay đổi cài đặt quyền cho tất cả các tập tin và thư mục con.
  2. Modify (Sửa đổi): Cho phép người dùng đọc và ghi các tệp và thư mục con; cũng cho phép xóa thư mục.
  3. Read & execute(Đọc và thực thi): Cho phép người dùng xem và chạy các tệp thực thi, bao gồm các tập lệnh.
  4. List folder contents (Liệt kê nội dung thư mục): Cho phép xem và liệt kê các tập tin và thư mục con cũng như thực thi các tập tin; chỉ được kế thừa bởi các thư mục.
  5. Read (Đọc): Cho phép người dùng xem thư mục và nội dung thư mục con.
  6. Write (Viết): Cho phép người dùng thêm tệp và thư mục con, cho phép bạn ghi vào tệp.
Quyền NTFS và Quyền chia sẻ mọi thứ bạn dành cho Sysadmin  cần biết trước khi làm về File server

Bộ quyền đặc biệt (14 Special permission)

  1. Full Control: Cho phép người dùng đọc, viết, thay đổi và xóa các tập tin và thư mục con. Ngoài ra, người dùng có thể thay đổi cài đặt quyền cho tất cả các tập tin và thư mục con.
  2. Traverse Folder /Execute File: Quyền nhảy cấp (tại thư mục này không có quyền nhưng lại có quyền tại thư mục bên trong)
  3. List Folder / Read Data: đi và thư mục + đọc tài nguyên trong thư mục đó
  4. Read Attributes(Đọc thuộc tính): thuộc tính Read, System, Hie, Achive…
  5. Read Extended Attributes (Đọc thuộc tính mở rộng): thuộc tính nén, mã hóa v.v…
  6. Create Files / Write Data: Tạo tài nguyên + Chỉnh sửa tài nguyên.
  7. Create Folders / Append Data : Tạo + sửa tên folder và ghi nối tiếp vào dữ liệu trên file.
  8. Write Attributes: Ghi thuộc tính (thêm bớt dữ liệu trên file)
  9. Write Extended Attributes: Ghi thuộc tính mở rộng (thêm bớt dữ liệu trên file nén, mã hóa…)
  10. Delete Subfolders and Files: Xóa folder con và file bên trong subfolder.
  11. Delete: Xóa tài nguyên.
  12. Read Permissions : Đọc được quyền.
  13. Change Permission: Cho phép thay đổi lại quyền.
  14. Take Ownership: Đi cướp quyền khi user(Adminisrator) đó không có quyền trên tài nguyên.

NGOÀI RA CÒN CÓ 7 THÀNH PHẦN TRONG APPLY ONTO LIÊN KẾT ĐẾN 14 BỘ QUYỀN SPECIAL

1. This folder only: chỉ có quyền tại Folder này (không có quyền trong subfolder)
2. This folder, Subfolder and Files: chỉ có quyền tại folder này nhưng file tại folder này không có quyền + (có quyền bên trong subfolder + trên những file bên trong subfolder)
3. This folder and subfolder : Chỉ có quyền tại folder và subfolder
4. This folder and files: Chỉ có quyền tại folder này và file tại folder này.
5. Subfolder and file only: Chỉ có quyền tại subfolder và file bên trong subfolder.
6. Subfolder only: Chỉ có quyền tại subfolder
7. Files only : Chỉ có quyền tại file chỉ định
Lưu ý : để đi đến bộ quyền Special Permissions thì ta phải đi qua hộp thoại Advanced. Tại đây chúng ta chọn đối tượng cần đi phân quyền Special permission.

Ngoài các bộ quyền các bạn cần lưu ý thêm : tính thừa kế trong thư mục tốt nhất là bỏ thừa kế, thứ tự áp dụng deny, cấm ngầm định

Đây đúng là bộ quyền làm cho các admin phân quyền thật đau đầu nè, bản thân tôi cũng không ít lần bị đảo điên với mấy vụ phân quyền này. Kinh nghiệm chia sẽ các bạn nên lập 1 bảng danh sách excel matrix quyền + thư mục mapping theo nhóm nên theo nhóm nhé+ với kết hợp các bộ quyền trên để có thể phân quyền 1 cách linh động nhé.


Chúc các bạn thành công trong việc quản trị chia sẻ phân quyền file server nhé