Giáo trình Quản trị mạng: Phần 1 - Nguyễn Văn Phác

Chia sẻ: Codon_03 Codon_03 | Ngày: | Loại File: PDF | Số trang:30

Thêm vào BST

Báo xấu

82
lượt xem 5
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giáo trình Quản trị mạng: Phần 1 - Nguyễn Văn Phác tập trung giới thiệu chung về Windows 2000; làm quen với Active Directory; vấn đề tìm kiếm thông tin trên mạng; sự phân chia quyền hành trên một miền;...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Giáo trình Quản trị mạng: Phần 1 - Nguyễn Văn Phác

Ban Cơ yếu chính phủ Học viện kỹ thuật mật m ã Nguyễn Văn Phác- Nguyễn Đức tâm Giáo trình Quản trị mạng Hà Nội, 4-2006
Chương I Mở đầu 1.1. Giới thiệu chung về Windows 2000 Windows 2000 là phiên b ản tiếp theo của NT 4 (NT4 đ ược đưa từ năm 1996). Nhưng so v ới NT 4 , Windows 2000 có sự khác biệt rất lớn cả về nội dung và giao diện. Về nội dung, Windows 2000 đ ược phát triển theo hướng phục vụ các mạng lớn, điều đó thể hiện tr ên những thay đổi quan trọng nhất sau: + Có thêm tính năng Active Directory. + Hạ tầng kiến trúc nối mạng TCP/IP đ ược cải tiến cho phép ng ười dùng kết nối các mạng LAN, WAN v ào Internet ở mọi nơi trên thế giới. + Những cơ sở hạ tầng bảo mật dễ co gi ãn hơn. + Việc chia sẻ dùng chung các t ập tin trở nên mạnh mẽ hơn với hệ thống tập tin phân tán (Distributed File System) v à dịch vụ sao chép tập tin (File Replication Service). Active Directory là tính năng quý giá và quan tr ọng nhất của Windows 2000, đồng thời cũng l à bộ phận toả rộng khắp n ơi duy nhất của hệ điều h ành này. Nhiều tính năng mới, hấp dẫn của Windows 2000 nh ư: Các chính sách nhóm (group policy), các cây (tree) và r ừng (forest) của các miền, các đơn vị tổ chức (organizational unit), các địa b àn (site), sự triển khai tập trung các ứng dụng, và những tính năng của hệ thống tập tin phân tán tr ên mạng Windows 2000 cũng như nhiều tính năng khác, sẽ không hoạt động đ ược nếu như chưa có máy ch ủ nào đóng vai trò như một Active Directory Server. Về giao diện, với ng ười dùng đã quen NT 4, khó có th ể tìm lại những giao diện quen thuộc tr ước đây, bởi có th êm rất nhiều giao diện mới. Đồng thời những tính năng cũ cũng đ ược thay đổi cả về giao diện v à nơi kích hoạt chúng. 1.2. Làm quen với Active Directory Active Directory đư ợc phát triển trên cơ sở cấu trúc miền cũ của NT 4 v à có bổ sung thêm nhiều điểm cải tiến mới, đây l à phần quan trọng nhất v à cũng là phần phức tạp nhất của Windows 2000, hầu nh ư mọi tính năng của Windows 2000 đ ều đòi hỏi phải có Active Directory. Bởi vậy việc t ìm hiểu kỹ
về Active Directory phải trải rộng ở hầu hết các tính năng của Windows 2000, và phần này chỉ nhằm giới thiệu s ơ lược về Active Directory. 1.2.1. Vai trò của Active Directory Vai trò của Active Directory thể hiện tr ên những vấn đề chính sau: 1.2.1.1. Vấn đề bảo mật Bằng cách duy tr ì một “danh bạ” về các ng ười sử dụng và những đối tượng khác của mạng. Active Directory theo d õi xem ai được phép sử dụng mạng, bằng cơ chế xác minh xem người sử dụng có hợp lệ không v à cấp phép quyền sử dụng tài nguyên cho ngư ời sử dụng. 1.2.1.2. Vấn đề tìm kiếm thông tin trên mạng Ngày nay, mô hình Client – Server (Khách – Phục vụ) đã trở thành mẫu mực để giải quyết nhu cầu t ìm kiếm thông tin. Nh ưng cấu trúc này sẽ không có tác dụng nếu không giúp Client t ìm ra Server. Ch ức năng tra cứu thông tin của Active Directory giúp các Client t ìm kiếm nhanh đến t ên của một Mail Server, Web Server, Print Server, hay m ột File Server cụ thể. 1.2.1.3. Sự phân chia quyền hành trên một miền Dưới NT 4, để có sự phân quyền v à bảo mật cho các bộ phận khác nhau trên một mạng thì chúng ta phải tổ chức mạng sao cho mỗi một bộ phận th ành một miền, mà mỗi miền phải tốn ít nhất một máy chủ l à máy điều khiển miền chính (Primary Domain Controller - PDC). Sau đó nếu các bộ phận muốn trao đổi thông tin liên lạc với nhau ở mức nào đó, thì phải thiết lập các mối quan hệ uỷ quyền (Trust relationship), m à việc thiết lập các quan hệ uỷ quyền trong NT 4 có phần rắc rối và không đáng tin cậy lắm. Với Active Directory của Windows 2000, chỉ cần d ùng chung một miền cũng có thể phân quyền v à bảo mật cho các bộ phận khác nhau, bằng cách chia miền đó thành các đơn v ị tổ chức (Organizational Unit – OU ) cho mỗi bộ phận khác nhau. Sau đó có thể u ỷ quyền kiểm soát các OU đó cho một nhóm điều hành viên nào đó. 1.2.2. Cấu trúc của Active Directory Khi thiết kế cấu trúc của mạng NT4 ta chỉ có một v ài công cụ như: các miền (domain), t ài khoản máy (machine account), nhóm (group) mối quan hệ uỷ quyền (trust relationship). Còn khi thi ết kế mạng Windows 2000, ngo ài tất cả các công cụ tr ên, còn có các công c ụ khác nữa là: đơn vị tổ chức (unit organization), cây (tree), r ừng (forest), và địa bàn (site).
Mục này sẽ khảo sát qua các công cụ chính để tạo n ên cấu trúc của Active Directory. 1.2.2.1. Miền Miền là một tập hợp các máy tính trong mạng cho phép quản trị cũng như bảo mật một cách tập trung. Một miền có chứa máy chủ v à các máy trạm làm việc của miền. Các máy chủ của miền được chia thành hai loại sau: a) Máy điều khiển miền (DC - Domain Controller) Mỗi một miền phải có ít nhất một máy chủ điều khiển miền gọi l à DC (Domain Controller - DC), để duy trì cơ sở dữ liệu (CSDL) khoản mục của miền (trong đó có những khoản mục chính l à: tài khoản người sử dụng, tài khoản nhóm và tài khoản máy). Bất kỳ máy chủ khác n ào có lưu giữ một bản sao CSDL khoản mục của miền cũng đều đ ược gọi là DC, những máy chủ n ày có nhiệm vụ phân tải sự truy nhập v ào CSDL khoản mục của miền. b) Máy chủ (Server) Là những máy chủ khác của miền, dùng để cung cấp các dịch vụ nh ư: dịch vụ tệp, dịch vụ in, … Các máy chủ n ày không được cập nhật thông tin về CSDL khoản mục của miền, do vậy không thể cân bằng tải v à điều khiển miền trong trường hợp xảy ra sự cố. 1.2.2.2. Đơn vị tổ chức (OU) Nhiều khi, miền còn là một khu vực quá lớn, n ên khó có thể trao quyền điều khiển cho ai đó. Giải pháp cho tr ường hợp đó là Windows 2000 chia nh ỏ miền ra thành các đơn vị tổ chức (Organizational Unit - OU). Điều này cho phép ta tạo ra các biên mới trong miền để d ễ quản lý và tăng tính bảo mật. Mỗi OU thường chứa các t ài khoản người dùng, tài khoản nhóm, hoặc tài khoản máy của miền, các t ài khoản này là duy nhất trên mạng và chỉ được xuất hiện nhiều nhất l à trong một OU. Công dụng chính của OU là để tập hợp các t ài khoản người dùng và tài khoản máy vào một nơi (trong một OU), sau đó có thể trao quyền kiểm soát OU này cho một tập hợp người dùng nào đó. Điều này cho phép ta qui đ ịnh một nhóm điều h ành viên có khả năng, chẳng hạn nh ư, định lại mật khẩu của một bộ phận nào đó, mà không c ần biến họ thành những quản trị vi ên có
những quyền lực lớn h ơn mức mong muốn. Nhờ vậy mà ta xác định được rõ hơn về sơ đồ tổ chức, và thiết lập các biên về yêu cầu an toàn trong miền. Trong một OU lại có thể tạo ra các OU con của nó. Ví dụ: Hình 1.1 dưới đây minh hoạ các OU đ ược tạo ra trong miền HVKTMM.COM: HVKTMM.COM PHONG_BAN DAO_TAO TC_CBCT TH_HC TAI_VU KHOA CHUYEN_NGANH CO_BAN CO_SO TIN_HOC Hình 1.1. Cấu trúc các OU trong miền HVKTMM.COM 1.2.2.3. Địa bàn (Site) Với Active Directory, ngo ài việc nắm những thông tin về máy v à người dùng trong một mạng, nó còn theo dõi cả khía cạnh địa lý của mạng. Mỗi khu vực mà được nối kết bằng một mạng LAN th ì được gọi là một Site. Windows 2000 dùng nh ững thông tin chi tiết vế cá ch bố trí vật lý của mạng mà ta cung cấp cho nó để tính ra n ơi nào có những đường liên kết WAN là phần chậm chạp hơn mà lại đắt tiền hơn của mạng. Sau đó nó l àm hai việc rất có ích sau: Thứ nhất, nó nén những dữ liệu cần sao chép tr ước khi gửi đi, và thứ hai, nó dùng những thông tin chi phí tiếp vận (route costing information) mà ta cung c ấp cho để tính ra cách gửi chuyển tiếp tốt nhất những dữ liệu cần sao chép đó với chi phí rẻ nhất. Mỗi một Site thông th ường cần một máy DC để thuận tiện cho các cuộc đăng nhập tại địa bàn đó. Một miền cũng có thể có nhiều Site v à một Site lại có thể chứa nhiều miền. 1.2.3.4. Cây của các miền (Tree of domains)
Các doanh nghiệp có mạng đa miền đều mong muốn xây dựng hệ thống cấp bậc theo cấu trúc cây cho các miền. Microsoft đã thiết kế Windows 2000 sao cho nó dùng DNS làm h ệ thống giải đáp tên, và DNS được thiết kế đã có bản chất cấu trúc cây, cho n ên Windows 2000 khai thác s ự trùng hợp này và khuyến khích thành lập các mạng đa miền d ưới dạng có cấp bậc. Ví dụ: Một mạng gồm năm miền có cấu trúc nh ư sau: Hình 1.2. Cấu trúc cây của các miền Miền đầu tiên được tạo ra trong một mạng đa miền đ ược gọi là gốc (root) của cây. Trong ví dụ tr ên, gốc của cây là Bancoyeu.Com. ở đây cũng có tên gọi mẹ, con như cấu trúc phân cấp cây thư mục của DOS. Các miền ở mức trên được gọi là miền mẹ của các miền ở mức ngay d ưới nó, Các miền ở mức ngay dưới được gọi là miền con của miền ngay b ên trên nó. Khi các miền được tổ chức theo cấu trúc cây, Windows 2000 sẽ tự động tạo ra các quan hệ uỷ q uyền giữa miền mẹ v à các miền con. Ví dụ khi tạo ra miền con HVKTMM.Bancoyeu.Com, th ì tự động sẽ có một mối quan hệ uỷ quyền hai chiều giữa Bancoyeu.Com v à HVKTMM.Bancoyeu.Com. M ối quan hệ uỷ quyền hai chiều n ày có nghĩa là: các quản trị viên của miền Bancoyeu.Com có thể quyết định mở rộng những quyền truy cập tập tin v à máy in trong mi ền của họ cho những ng ười dùng của miền HVKTMM.Bancoyeu.Com và ngư ợc lại. Ngoài ra, với Windows 2000, các mối quan hệ uỷ quyền c òn có tính bắc cầu. Điều đó dẫn tới tất cả các miền trong một cây đều có quan hệ uỷ quyền hai chiều với nhau. Như vậy, cây của các miền đem lại lợi điểm l à tự động tạo ra các quan hệ uỷ quyền. Nh ưng tất cả các tên miền phải được đặt theo hệ thống cấp bậc
chính xác tương t ự như ví dụ trên thì mới hình thành được một cây của Windows 2000. 1.2.3.5. Rừng của các miền (Forest of domains) Rừng là tập hợp của hai hay nhiều cây. Các cây th ường được nối qua tuyến truyền thông. H ình 1.3 là một ví dụ về một rừng có hai cây. Hình 1.3. Rừng của các cây Windows 2000 đòi hỏi phải có một miền l àm gốc của rừng, và miền đầu tiên được tạo ra sẽ là miền gốc của rừng. Các quan hệ uỷ quyền giữa các miền thuộc hai cây khác nhau trong một rừng không được tự động tạo ra, mà phải xác lập bằng tay. Chú ý: Với Windows 2000 ta không thể nối hai miền có sẵn v ào trong một cây, và cũng không thể ghép một cây có sẵn v ào trong một rừng, mà cách duy nhất để đưa thêm một miền vào trong một cây, hoặc một cây v ào trong một rừng, là xây dựng nó từ đầu trên một cây hoặc rừng có sẵn. 1.3. Đăng nhập vào mạng Muốn làm việc và khai thác tài nguyên trên m ạng, thì trước hết ta phải thực hiện thủ tục đăng nhập v ào mạng. Sau đây là một số khái niệm li ên quan đến thủ tục này. 1.3.1. Một số khái niệm User name: Là tên đăng nhập vào mạng của một k hoản mục người sử dụng. Những khoản mục ng ười sử dụng do những ng ười quản trị có thẩm quyền tạo ra, và mỗi khoản mục n ày sẽ được trao cho một số quyền hạn nhất định khi làm việc trên mạng. Tại mỗi thời điểm tr ên một máy chỉ cho phép nhiều nhất một người sử dụng có thể đăng nhập v ào mạng. Mỗi lần muốn
đăng nhập vào mạng với user name khác, ta chọn lần l ượt Start/Shut Down Log off . Administrator: Là user name đ ặc biệt, được tự động tạo ra trong quá trình cài đặt, đóng vai trò là người quản trị mạng, là người có quyền cao nhất trong việc tổ chức và quản lý mạng. Password: Là mật khẩu được gán riêng cho từng khoản mục ng ười sử dụng. Chỉ khi nào người sử dụng gõ đúng mật khẩu tương ứng với user name của mình thì mới vào được mạng. 1.3.2. Khởi động máy và đăng nhâp vào mạng Trình tự khởi động máy và đăng nhập vào mạng trên máy chủ và máy trạm là tương tự nhau và gồm những bước sau: - Khởi động máy - Nếu máy chủ hoặc máy trạm có c ài nhiều hệ điều hành thì chọn dòng thông báo: MicroSoft Windows 2000 Server (trên máy chủ) hoặc MicroSoft Windows 2000 Professional (trên máy trạm) để khởi động Windows 2000. - Chờ cho đến khi màn hình hiện ra dòng chữ: Press Ctrl - Alt - Delete to begin thì bấm tổ hợp ba phím Ctrl - Alt - Delete để hiện ra cửa sổ đăng nhập v ào mạng gồm những thông tin sau: User name : (để vào tên người sử dụng, ví dụ: Administrator) Password : (để vào mật khẩu của người sử dụng) Log on to : (để chọn tên miền mà người sử dụng đăng nhập v ào) Sau khi vào xong nh ững thông tin trên ta nh ấn nút OK. Nếu những thông tin trên đư ợc vào đúng đắn, thì việc khởi động máy và đăng nhập vào mạng đã hoàn tất, ngược lại máy sẽ hiện ra d òng thông báo lỗi. 1.4. Tạo và quản lý các OU 1.4.1. Tạo các OU Để tạo các OU, ta sử dụng công cụ Active Directory Users and Computers bằng cách chọn lần l ượt các mục sau: Start/Programs/Administrator Tools/Active Directory Users and Computers. Khi đó sẽ hiện ra cửa sổ sau:
Hình 1.4. Cửa sổ Active Directory Users and Computers Phần bên trái của cửa sổ trên chính là cấu trúc cây của một Active Directory đơn mi ền. Do đó tên miền Khoatin.Local cũng chính l à gốc của cây và cũng là gốc của rừng. Bên phải là phần chi tiết để hiện nội dung của một mục được chọn ở phần b ên trái. Các mục ngay bên dưới miền Khoatin.Local đư ợc coi như những khoang chứa (container), tương t ự như khái niệm Folder của Windows. Các mục n ày được tự động tạo ra trong quá tr ình cài đặt, dùng để chứa các tài khoản người dùng, tài khoản nhóm, tài khoản máy ... Tuy có sự phân chia th ành các mục như vậy nhưng ta có thể tạo ra hoặc di chuyển các t ài khoản vào bất kỳ mục nào, kể cả ở mức miền Khoatin.Local, v ì nó cũng được coi như một container. Khi nâng cấp một miền từ NT 4 l ên Windows 2000, mọi tài khoản người dùng và tài khoản máy của NT 4 sẽ được tự động chuyển v ào hai mục tương ứng là Users và Computers. Các OU sẽ có biểu tượng quyển sách mở ở giữa để phân biệt, hay có thể phân biệt qua cột Type ở phần chi tiết b ên phải. Như trong hình 1.4 ở trên thì có một OU là Domain Controllers , cộng thêm bản thân miền Khoatin.Local cũng được coi như một OU. Để tạo một OU mới, ta chọn một OU sẽ chứa OU sắp tạo (ví dụ chọn Khoatin.Local), sau đó m ở menu Action, rồi lần lượt chọn New/Organizational Unit . Khi đó sẽ hiện ra cửa sổ:
Hình 1.5. Cửa sổ khai báo OU mới Trong cửa sổ trên, giả sử ta muốn tạo một OU có t ên là PTHUC HANH nằm ngay dưới miền KHOATIN.LOCAL để chứa tất cả các học vi ên tham gia thực hành tại phòng máy của khoa Tin học. Khi kết thúc tạo ta nhấn OK. Hình ảnh của Active Directory khi đó sẽ như sau: Hình 1.6. Cửa sổ Active Directory Users and Computers sau khi tạo thêm OU PTHUC HANH Chú ý: Tên của các OU có thể đặt d ài tới 64 ký tự và có thể chứa các ký tự bất kỳ. ở cùng một mức thì tên của các OU phải khác nhau, nh ưng ở các mức khác nhau thì chúng có th ể có tên giống nhau. 1.4.2. đổi tên OU đã có Chọn OU cần đổi t ên, chọn Remane từ menu Action, rồi tiến hành đổi tên mới.
1.4.3. Xoá OU đã có Chọn OU cần xoá, chọn Delete từ menu Action hoặc bấm phím Delete, sau đó chọn: Yes - để xoá, No – không xoá. Chú ý: Khi xoá một OU thì tất cả các tài khoản nằm trong nó kể các các OU con của nó cũng đều bị xoá khỏi cấu trúc của Active Directory. Câu hỏi và bài tập 1. Trình bày vai trò của Active Directory 2. Trình bày cấu trúc của Active Director y 3. Thực hành tạo cấu trúc các OU nh ư hình 1.1 (không cần tạo miền HVKTMM.COM mà ch ỉ tạo các OU ở bên dưới miền này), sau đó đổi tên một số OU. Cuối c ùng xoá cấu trúc OU vừa tạo.
Chương 4 Quản lý tài nguyên file và thư m ục 4.1. Các hệ thống file của Windows 2000 Windows 2000 hỗ trợ ba hệ thống file l à FAT (File Alocation Table), NTFS (New Technology File System) và EFS (Encrypting File System). FAT: Là một hệ thống lưu trữ file cơ bản nhất. Ưu điểm của hệ thống này là hỗ trợ rất rộng các ứng dụng, nh ưng tính bảo mật thấp. NTFS: Là hệ thống phân hoạch file ti ên tiến, Hệ thống phân hoạch n ày có lợi thế là bảo mật được ở mức file v à phân chia làm nhi ều mức cho phép truy cập vào thư mục và file. EFS: Là hệ thống bảo đảm sự bảo mật tối đa cho ng ười sở hữu file bằng cách mã hoá các file. 4.2. Chế độ bảo mật của NTFS 4.2.1. Một số khái niệm Quyền truy cập (Permission): Chỉ mức độ người sử dụng có thể truy cập vào một file hoặc một th ư mục. Trên hệ thống NTFS có rất nhiều quyền truy cập đáp ứng được như cầu bảo mật dữ liệu đa dạng. Có hai loại quyền truy cập vào tài nguyên file và thư m ục là: quyền truy cập chia sẻ (share permission) và quyền truy cập file và thư mục (file and directorry permission). Sau đây để cho ngắn gọn v à dễ phân biệt, ta sẽ gọi quyền truy cập chia sẻ là quyền truy cập từ xa, gọi quyền truy cập file và thư mục là quyền truy cập cục bộ. Quyền sở hữu (Ownership): Một người sử dụng có quyền sở hữu đối với một file hoặc th ư mục nào đó sẽ có thể cấp cho mình toàn quyền sử dụng file hoặc thư mục này, đồng thời còn có thể cấp quyền truy cập file hoặc th ư mục này cho các đối tượng khác. Khi một ng ười sử dụng tạo ra một file hoặc thư mục mới thì quyền sở hữu file hoặc th ư mục này sẽ thuộc về họ. Mỗi một file hoặc thư mục chỉ có duy nhất một đối t ượng có quyền sở hữu. 4.2.2. Quyền truy cập từ xa Trong hệ thống mạng Windows 2000, một th ư mục (kể cả ổ đĩa) bất kỳ của máy tính n ào muốn trở thành tài nguyên chung (cho nh ững người ở máy tính khác cùng sử dụng) đều phải tiến h ành thao tác chia s ẻ. Khi ta tiến h ành chia sẻ một thư mục của một máy tính nào đó, tức là đã đưa thư mục đó ra
cho mọi người trên các máy tính khác cùng truy c ập. Tuy nhiên mức độ cho người khác truy cập đến đâu l à do người chia sẽ quy định thông qua các quyền truy cập từ xa. Nh ư vậy quyền truy cập từ xa cho phép ng ười sử dụng từ những máy tính khác trong mạng, đ ược truy nhập v ào hệ thống thư mục của một máy tính có th ư mục chia sẻ. Quyền truy cập từ xa l à hàng rào cản đầu tiên (từ xa) mà người sử dụng cần vượt qua khi truy nhập v ào hệ thống file và thư mục trên mạng. Có thể ví chúng như cái núm g ạt chống ghi trên một đĩa mềm. Cho d ù ta có thể xoá, sửa đối với tất cả các file và thư mục trên đĩa mềm, nhưng chỉ cần cái núm gạt ấy ở đúng vị trí là ta không thể thay đổi được thứ gì. Windows 2000 chỉ cho phép chia sẻ các th ư mục, mà không chia sẻ được các file. Do vậy quyền truy cập từ xa chỉ áp dụng với th ư mục. Các quyền truy cập từ xa gồm: Full Control: Cho phép thực hiện tất cả mọi công việc tr ên tất cả các file và thư mục con trong thư mục chia sẻ. Change: Cho phép đọc và thi hành, cũng như thay đổi và xoá, các file và thư mục trong thư mục chia sẻ. Read: Cho phép đọc và thi hành các file, xem n ội dung thư mục chia sẻ, không có khả năng sửa đổi hoặc xoá bất kỳ thứ g ì trong thư mục chia sẻ. 4.2.3. Quyền truy cập cục bộ Như trên ta thấy các quyền truy cập từ xa chỉ đ ược phân thành ba mức và cũng chỉ áp dụng đ ược cho thư mục. Bởi vậy không đáp ứng đ ược nhu cầu bảo mật dữ liệu đa dạng trên mạng, vì có rất nhiều loại đối t ượng sử dụng khác nhau trên mạng, đòi hỏi các quyền tr ên cần được chia nhỏ tiếp v à phải được áp dụng chi tiết đến mức file. Sự có mặt của quyền truy cập cục bộ chính là nhằm đáp ứng yêu cầu trên. Quyền truy cập cục bộ được xem như những quyền truy cập trực tiếp (rào cản trực tiếp) mà người dùng phải qua khi truy nhập v ào hệ thống file và thư mục trên ổ đĩa cục bộ của máy tính, nh ư hình ảnh minh hoạ sau: Đăng nhập từ máy tính n ày Users Rào cản quyền từ xa Users Rào cản quyền cục bộ
Đăng nhập từ máy tính khác Máy có thư mục chia sẻ Chính vì vậy, tại máy tính có th ư mục chia sẻ, nếu ng ười dùng truy cập vào thư mục chia sẻ này như một tài nguyên cục bộ của máy, th ì quyền truy cập từ xa sẽ không đ ược áp dụng, tức là lúc đó chỉ có các quyền truy cập cục bộ là có hiệu lực. Đối với các thư mục và file, có hai mức quyền truy cập khác nhau, có thể tạm gọi là quyền truy cập mức cao và quyền truy cập mức thấp , trong đó quyền truy cập mức cao l à tổ hợp của những quyền truy cập mức thấp. Bảng 3.1 trình bày cách k ết hợp của các quyền truy cập mức cao từ các quyền truy cập mức thấp. Bảng 3.1. Các quyền truy cập mức cao v à quyền truy cập mức thấp M ức cao Write Read List Folder Read & Modify Full Mức thấp Contents Execute Control Traverse folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Create Files/Write Data Create Folders/Append Da ta Write Attributes Write Extended Attributes Delete Subfolders and Files Delete Read Permissions Change Permissions Take Ownership Những qui luật hình thành các quyền truy cập mức cao trong bảng tr ên được áp dụng cho cả file và thư mục, chỉ trừ List Folder Contents , vì quyền truy cập này chỉ áp dụng cho thư mục. Những quyền truy cập mức thấp có dạng chọn một trong hai nh ư: Traverse folder/Execute File, List Filder/Read Data, Create Files/Write Data và Create Folders/Append Data, thì quy ền đầu được áp dụng cho th ư mục, quyền sau được áp dụng cho file.
Các quyền truy cập ở mức thấp l à cơ sở để tạo nên các quyền truy cập ở mức cao mà chúng ta thường thấy như: Read, Modify và Full Control … ý nghĩa của các quyền truy cập mức thấp nh ư sau: Traverse folder/Execute File: Traverse folder (ngh ĩa là đi qua thư mục) chỉ áp dụng với các th ư mục. Có những lúc ta thực hiện các file ch ương trình nào đó có gọi đến các file khác trong các th ư mục khác. Ví dụ, ta thực hiện một file chương trình Program1.exe, trong th ư mục APP1 (như hình 3.1). Giả sử file chương trình đó lại cố gắng gọi đến một file khác trong một th ư mục nằm sâu hơn một cấp bên dưới APP1 (giả sử đó là file Data.dat trong thư m ục App111), trong khi ta l ại không được phép truy cập các th ư mục cấp một bên dưới App1 (là App11). Khi đó ta s ẽ nhận được một thông báo lỗi “Access denied” (từ chối truy cập), v ì Windows 2000 không cho phép đi qua một thư mục không được phép truy cập. Nh ưng chỉ cần có quyền Traverse folder đối với các thư mục ở mức trên (là App11), thì ta s ẽ đi qua được các thư mục trung gian để đến đích (là App111). App1 Program.exe App11 App111 Data.dat Hình 3.1. Minh hoạ cho quyền truy cập Traverse folder Còn với Execute File, th ì chỉ áp dụng với các file, v à nếu file có đuôi là .EXE, .COM, hoặc một kiểu file khả thi khác, th ì quyền này cho ta thi hành được file đó. List Folder/Read Data : List Folder cho phép xem n ội dung của thư mục, còn Read Data cho phép xem n ội dung của file. Read Attributes: Cho phép nhìn th ấy các thuộc tính c ơ bản của file gồm: Read – Only, Hidden, System và Archive. Read Extended Attributes: Một số chương trình có gộp các thuộc tính khác vào kiểu file của chúng. Ví dụ Microsoft Word có gắn th êm vào file .DOC các thuộc tính như: Author, Subject, Title, ... Các thu ộc tính này được gọi là thuộc tính mở rộng (extended attributes), v à chúng thay đ ổi từ chương trình này sang ch ương trình khác. Quyền truy cập mức thấp này cho phép ta xem được các thuộc tính mở rộng đó. Create Files/Write Data : Create Files cho phép đ ặt các file mới vào thư mục đang xét (nghĩa l à có thể tạo ra hoặc sao chép, di chuyển từ n ơi khác đến). Write Data th ì cho phép ghi đè lên (sửa) những dữ liệu hiện có b ên trong file, nhưng không cho b ổ sung thêm dữ liệu vào file.
Create Folders/Append Data : Create Folders cho phép t ạo ra các thư mục con trong thư mục đang xét. còn Append Data cho phép b ổ sung thêm dữ liệu vào cuối file đang xét, nh ư không cho sửa những dữ liệu đ ã có của file đó. Write Attributes : Cho phép thay đ ổi các thuộc tính c ơ bản của một file. Write Extended Attributes: Cho phép thay đ ổi các thuộc tính mở rộng của một file. Delete Subfolders and Files: Cho phép xoá các thư m ục con và các file của thư mục đang xét, nhưng không xoá đư ợc chính thư mục này. Delete: Cho phép xoá một file hoặc thư mục, nếu là thư mục thì chỉ xoá được khi nó đã rỗng. Read Permissions : Cho phép xem t ất cả các quyền truy cập v ào file hoặc thư mục đã được trao cho các đ ối tượng, nhưng không thể thay đổi được các quyền đã trao này. Change Permissions : Cho phép thay đ ổi các quyền truy cập v ào file hoặc thư mục cho các đối tượng. Take Ownership: Cho phép chiếm lấy quyền sở hữu file hoặc th ư mục. 4.3. Cách chia sẻ thư mục và trao quyền truy cập từ xa, định nghĩa ổ đĩa mạng 4.3.1. Cách chia s ẻ thư mục và trao quyền truy cập từ xa Muốn tạo ra một th ư mục dùng chung (chia s ẻ thư mục), thì ta phải có những quyền thích hợp. Điều n ày đòi hỏi ta phải là một quản trị viên (là thành viên nhóm administrators) ho ặc một điều hành viên server (server operators). Có nhiều cách để tạo ra các th ư mục dùng chung, nhưng n ếu ngồi tại máy có thư mục cần tạo, thì giao diện Explorer hoặc My Computer l à những phương tiên đơn gi ản và trực tiếp để tạo ra v à quản lý các đặc tính của một thư mục dùng chung. Từ Explorer hoặc My Computer, ta nhấn phải chuột tại th ư mục cần chia sẻ (ví dụ thư mục TP7, chọn Sharing từ menu ngữ cảnh, để hiện ra cửa sổ như hình 3.2. Sau đó để chia sẻ ta chọn Share this folder. Mục chọn Share name để gõ vào tên chia s ẻ. Tên chia sẻ giống như một bí danh của thư mục được chia sẻ. Ban đầu tên này được đặt mặc định chính là tên của thư mục được chia sẻ, nhưng ta có thể đổi lại thành một tên bất kỳ.
Những người sử dụng trên mạng sẽ dùng tên chia sẻ để tham chiếu đến th ư mục dùng chung, mà không c ần biết tên thực sự của nó. Mục User limit dùng để giới hạn số ng ười dùng có thể đồng thời truy cập vào thư mục dùng chung này: Nếu chọn Maximum allowed thì số người dùng đồng thời là không hạn chế. Còn nếu muốn chỉ một số nhất định ng ười dùng (ví dụ 100 người) được phép đồng thời truy cập, th ì ta chọn Allow và gõ vào số người tại đó. Để thiết lập chế độ bảo mật cho th ư mục chia sẻ ta chọn nút Permissions, cửa sổ như hình 3.3 sẽ hiện ra cho thấy đ ã có nhóm Everyone trong khung Name được trao mặc định tất cả các quyền truy cập từ xa đối với thư mục này. Nếu muốn trao quyền truy cập từ xa th ư mục này cho những người sử dụng hoặc các nhóm khác th ì ta nhấn nút Add, và tiến hành chọn các đối tượng mong muốn từ danh sách đ ược hiện ra. Hình 3.2. Cửa sổ thay đổi các đặc tính của th ư mục dùng chung
Hình 3.3. Cửa sổ trao quyền truy cập từ xa của th ư mục cho các đối tượng Nếu không muốn trao quyền truy cập từ xa cho một đối t ượng (người sử dụng hoặc nhóm) n ào thì ta chọn đối tượng đó từ khung Name rồi nhấn Remove. Nếu muốn sửa lại quyền truy cập của một đối t ượng nào đó, ta chọn đối tượng đó, rồi duyệt / bỏ duyệt v ào ô Allow tại quyền cần trao / không trao. Nếu muốn cấm t ường minh một đối tượng không được nhận quyền nào đó, thì ta duyệt vào ô Deny của quyền đó. Để ngăn cấm không t ường minh một quyền nào đó, thì ta không duyệt ở cả hai ô Allow v à Deny. Kết thúc mục này nhấn OK để trở về cửa sổ h ình 3.2. Tại cửa sổ hình 3.2 ta thấy có một tính năng mới khác với NT4, đó l à nút Caching (nghĩa là đệm trữ chia sẻ). Nút chọn n ày sử dụng tính năng Offline Files (file ngoại tuyến) làm cho việc truy cập file từ xa đ ược nhanh hơn. Offline Files hoạt động bằng cách tự động đệm trữ (cache) các f ile thường được truy cập từ xa, l ưu những bản sao đệm trữ (cached copy) đó trong một thư mục (gọi là cache) trên một ổ đĩa cứng của mỗi máy trạm có sự truy cập từ xa đến thư mục dùng chung đang xét. Sau đó Offline Files dùng các bản sao đệm trữ đó để tăng tốc độ truy cập, vì việc truy cập đến những file thường được truy cập ấy không phải l à từ xa nữa, mà được giải quyết ngay trên bản sao đệm trữ trong cache tại chính máy trạm. Tuy nhi ên trước hết Offline Files ph ải kiểm tra cho chắc chắn rằng file đó đ ã bị thay đổi tại thư mục dùng chung hay chưa, b ằng cách xem xét ng ày giờ và kích thước file trên cả thư mục dùng chung và trong cache c ủa máy trạm; nếu thấy giống nhau th ì Offline Files sẽ trao cho ta file trong cache; nếu không phải nh ư vậy (hai bản đó có sự khác nhau), thì Offline Files s ẽ đọc bản ở mạng (th ư mục dùng chung) về, đưa vào cache đ ể máy trạm có đ ược bản cập nhật mới nhất. Offline Files là một cơ chế đệm trữ write-through, nghĩa là khi ta lưu những thay đổi của một file, th ì những thay đổi đó luôn luôn được ghi ngay
lên mạng (chứ không ghi tạm v ào cache rồi một lúc nào đó sau đó mới thực sự ghi lên mạng như loại cache write-back), và những thay đổi đó cũng đ ược đệm trữ vào ổ đĩa cứng tại chỗ luôn. Khi chọn Caching, cửa sổ như hình 3.4 hiện ra, và ta thấy ô duyệt Allow caching of files in this shared fold er được chọn mặc định, nghĩa l à có sử dụng tính năng đệm trữ các file trong th ư mục chia sẻ. Tại mục Setting cho phép ta chọn một trong ba kiểu đệm trữ sau: Manual Caching for Documents : Gọi là đệm trữ thủ công (được chọn mặc định). Kiểu đệm trữ n ày có nghĩa là không đệm trữ tất cả các file trong thư mục chia sẻ, mà chỉ đệm trữ những file cần thiết do ng ười dùng chỉ ra. Mục đích là để tiếp kiệm không gian đĩa cứng tr ên máy trạm, và giảm các thao tác đồng bộ dữ liệu trên mạng giữa bản gốc (trong th ư mục chia sẻ) và bản sao đệm trữ (trong đĩa cứng của các máy trạm khác). Hai kiểu thiết định sau l à Automatic Caching for Documents và Automatic Caching for Programs , gọi là đệm trữ tự động. Khi đó mọi file trong thư mục chia sẻ khi đ ược mở đều sẽ được tự động đệm trữ. Sự khác nhau duy nhất giữa hai kiểu đệm trữ tự động n ày là ở chỗ các file ch ương trình trong đệm trữ Automatic Caching for Programs khi đ ược gọi thực hiện sẽ không cần kiểm tra xem nó có đ ược cập nhật gần đây nhất hay không. Mục đích thiết định này là để việc gọi thực hiện ch ương trình được nhanh hơn vì không cần thực hiện thủ tục kiểm tra tính đồng bộ tr ên mạng (thường mất một số thời gian), trong khi các file ch ương trình lại ít khi có sửa đổ i. Hình 3.4. Cửa sổ đặt thiết định đệm trữ cho th ư mục chia sẻ
Kết thúc mục này nhấn OK để trở về cửa sổ h ình 3.2, tại đó nhấn tiếp OK để kết thúc quá trình chia sẻ. Chú ý: Ta có thể tiến hành chia sẻ nhiều lần một th ư mục, mỗi lần với một tên chia sẻ khác nhau. Tại những lần chia sẻ sau, tr ên cửa sổ hình 3.2 sẽ có thêm mục New Share để chọn tên chia sẻ và những thiết định bảo mật mới. Cửa sổ hình 3.2 cũng để sửa lại các thiết định bảo mật cho một t ên chia sẻ đã tạo, hoặc bỏ một t ên chia sẻ đã tạo của một thư mục dùng chung. Khi đó tên chia sẻ được chọn từ mục Share name, các thao tác chỉnh sửa thiết định bảo mật được tiến hành như khi đang chia s ẻ, còn nếu muốn bỏ tên chia sẻ đang chọn thì ta chọn mục Remove Share. Nếu muốn bỏ tất cả các t ên chia chia sẻ đã có (không chia s ẻ nữa) thì chọn mục Do not share this folder . 4.3.2. Định nghĩa ổ đĩa mạng Khi một máy chia sẻ một th ư mục, thì các máy khác s ẽ nhìn thấy và truy cập qua tên chia sẻ. Tuy nhiên tại các máy khác n ày ta có thể gắn cho mỗi t ên tên chia sẻ một ký tự ổ đĩa (nh ư là một bí danh của t ên chia sẻ), và ổ đĩa này được gọi là ổ đĩa mạng (để phân biệt với ổ đĩa cục bộ đ ược gắn với máy tính). ổ đĩa mạng sẽ đ ược hiện trong mục My computer. Tất cả các chữ cái từ A – Z mà chưa dùng đ ến đều có thể dùng để đặt tên ổ đĩa mạng. Muốn định nghĩa một ổ đĩa mạng ta phải truy nhập v ào tài nguyên mạng để tìm một tên chia sẻ, bằng cách từ giao diện Explorer, lần l ượt chọn My Network Places/Entire Network/Microsoft Windows Network/Nhóm máy(ví dụ Khoatin)/Máy cần truy nhập (ví dụ May1). Nh ư hình 3.5 ta đã truy nhập vào máy tính có tên May1, và nhìn thấy các tài nguyên mà máy này đ ã chia sẻ để dùng chung trên mạng, trong đó có th ư mục Documents. Nếu muốn gắn một ổ đĩa mạng cho th ư mục này, ta nhấn nút chuột phải tại nó, rồi chọn mục Map Network Drive từ menu ngữ cảnh để hiện ra cửa sổ nh ư hình 3.6.