Quản trị mạng - lecture 5
Chia sẻ bởi Nguyễn Bùi Minh Tâm |
Ngày 19/03/2024 |
14
Chia sẻ tài liệu: Quản trị mạng - lecture 5 thuộc Công nghệ thông tin
Nội dung tài liệu:
Chương 5: Group – computer account – file – forlde
Nội dung
Group
Computer account
File & folder
Group (nhóm người dùng)
3 đối tượng quản lý chính của AD: User, group và computer.
SID(user) + SID (Group) = token access
group
Các thành viên kế thừa quyền của group
Một user có thể là thành viên của nhiều nhóm
Nhóm có thể là thành viên của nhóm khác
Group
Các loại nhóm
Security
Distribution
Security
Sử dụng để gán quyền
Có thể được sử dụng giống như 1 danh sách phân tán mail
Distribution
Không thể sử dụng để gán quyền
Được sử dụng giống như 1 danh sách phân tán mail
Phạm vi của nhóm (scope)
Global group
User Accounts
Global Group
Global Group
Resources
Universal Group
Add
Nest
Permissions
Add
Domain local group
Domain Local Group
Resources
User Accounts
Global Group
Universal Group
Permissions
Permissions
Add
Add
Universal
Sử dụng Globla + Domain local group
Tổ chức người dùng theo nhu cầu quản trị -> tạo các global group (SinhVien, GiaoVien…)
Xác định các tài nguyên dùng chung -> tạo các domain local group (SuDungMayIn, SuDungInternet…)
Add global group vào domain local group.
Gán quyền cho domain local group.
Các chiến lược phát triển nhóm
Chiến lược1
Không linh hoạt
Chiến lược 2
Quản trị phức tạp
Chiến lược 3
Nhiều ưu điểm
Nhóm cục bộ (local, machine group)
Được tạo trên máy cục bộ
Kiểm soát truy cập tài nguyên trên máy cục bộ
Sử dụng nhóm local group
Local Group
Permissions
Global Group
User Accounts
Các nhóm xây dựng sẵn
Built-in Global Groups
Built-in Domain Local Groups
Built-in Local Groups
Built-in System Groups
Domain
Built-in Global Groups
Active Directory
Chứa thành viên khởi tạo
Không kế thừa quyền
Built-in Domain Local Groups
Domain
Active Directory
Built-in
Domain
Local
Groups
Account Operators
Print Operators
Backup Operators
Server Operators
Administrators
Guests
Users
Chứa thành viên khởi tạo
Định nghĩa trước quyền người dùng
Built-in Local Groups
Built-in
Local
Groups
Users
Administrators
Guests
Backup Operators
Power Users
Windows 2003 Server
(Member or Stand-Alone Server)
Windows 2003 Professional
Thực hành
Tạo group
Add thành viên
Sử dụng gán quyền
Nội dung
Group
Computer account
File & folder
Computer Account
Gồm 3 thành phần: name + password + SID
Chỉ có thành viên của nhóm Administrator & Account Operator hoặc các user được uỷ quyền mới có quyền tạo computer account.
1 user thuộc nhóm Authenticated User được phép join 10 máy tính vào domain.
Tạo OU cho computer account
Join máy tính vào domain
Là động tác tạo sự liên kết giữa tài khoản máy tính (đã được tạo trên server) với 1 máy trạm.
Sau khi thực hiện join vào domain máy tính có thể hoạt động ở 2 hình thức (local hoặc domain)
Nếu trên máy server chưa có tài khoản thì động tác join sẽ tự động tạo tài khoản mới.
Thực hành
Tạo tài khoản máy tính
Join máy tính vào domain
Move tài khoản máy tính
Nội dung
Group
Computer account
File & folder
Chia sẻ thư mục
My computer
MMC
Command line
Ánh xạ ổ đĩa (public, private)
Các quyền trên tài nguyên chia sẻ
Quyền được tích hợp
Quyền deny ưu tiên hơn quyền allow
Hạn chế của sharing
Quyền áp đặt cho mọi đối tượng con
Không áp dụng được cho HTTP, FTP, telnet…
Sẽ bị mất nếu thay đổi hoặc di chuyển
-> sharing cho everyone với full control, phân quyền dựa trên NTFS.
Sharing thường sử dụng cho các ổ đĩa FAT, FAT32
Cấu hình quyền trên hệ thống file
ACL chứa các ACE, ACE chứa SID của user, của group.
Khi truy cập tài nguyên -> so khớp SID với nhau
advanced
Thực hành
Gán quyền (user, group of user, computer, group of computer)
Quyền đối với thư mục
Quyền đối với file
Kế thừa quyền (inheritance)
Quyền áp đặt cho thư mục sẽ được áp đặt cho file và thư mục con thuộc thư mục đó (mặc định).
Khi một thư mục hoặc file mới được tạo nó sẽ được kế thừa quyền của thư mục cha (mặc định).
Ngăn chặn quyền kế thừa
Override quyền
Ngắt kế thừa
Thiết lập lại kế thừa quyền
Từ thư mục cha
Từ thư mục con
Hiệu lực của quyền
Các quyền Allow trên 1 đối tượng được tích luỹ
Quyền trên file ưu tiên hơn quyền trên thư mục
deny được thực thi trước, có độ ưu tiên cao hơn allow
Quyền gán trực tiếp ưu tiên cao hơn quyền được kế thừa
Làm sao xác định được quyền của 1 user hoặc 1 nhóm?
Sở hữu tài nguyên (ownership)
Creator owner: người tạo ra tài nguyên, mọi quyền của thư mục cha sẽ chuyển trực tiếp cho user Creator owner (Ví dụ: thư mục A, user1, user2…)
Ownership(quyền sở hữu): chỉ có administrators hoặc các user được gán quyền take ownership mới có quyền take ownership.
Copy File và Folder
Read, Write Permission
Di chuyển File và Folder
Write, Modify Permissions
Thảo luận
NTFS Partition
(D:)
FileA
NTFS Partition
(C:)
FileA
FileA
Ánh xạ ổ đĩa
Public
Private
Quota: hạn ngạch đĩa
Chương 5: Group – computer account – file – forlde
Nội dung
Group
Computer account
File & folder
Group (nhóm người dùng)
3 đối tượng quản lý chính của AD: User, group và computer.
SID(user) + SID (Group) = token access
group
Các thành viên kế thừa quyền của group
Một user có thể là thành viên của nhiều nhóm
Nhóm có thể là thành viên của nhóm khác
Group
Các loại nhóm
Security
Distribution
Security
Sử dụng để gán quyền
Có thể được sử dụng giống như 1 danh sách phân tán mail
Distribution
Không thể sử dụng để gán quyền
Được sử dụng giống như 1 danh sách phân tán mail
Phạm vi của nhóm (scope)
Global group
User Accounts
Global Group
Global Group
Resources
Universal Group
Add
Nest
Permissions
Add
Domain local group
Domain Local Group
Resources
User Accounts
Global Group
Universal Group
Permissions
Permissions
Add
Add
Universal
Sử dụng Globla + Domain local group
Tổ chức người dùng theo nhu cầu quản trị -> tạo các global group (SinhVien, GiaoVien…)
Xác định các tài nguyên dùng chung -> tạo các domain local group (SuDungMayIn, SuDungInternet…)
Add global group vào domain local group.
Gán quyền cho domain local group.
Các chiến lược phát triển nhóm
Chiến lược1
Không linh hoạt
Chiến lược 2
Quản trị phức tạp
Chiến lược 3
Nhiều ưu điểm
Nhóm cục bộ (local, machine group)
Được tạo trên máy cục bộ
Kiểm soát truy cập tài nguyên trên máy cục bộ
Sử dụng nhóm local group
Local Group
Permissions
Global Group
User Accounts
Các nhóm xây dựng sẵn
Built-in Global Groups
Built-in Domain Local Groups
Built-in Local Groups
Built-in System Groups
Domain
Built-in Global Groups
Active Directory
Chứa thành viên khởi tạo
Không kế thừa quyền
Built-in Domain Local Groups
Domain
Active Directory
Built-in
Domain
Local
Groups
Account Operators
Print Operators
Backup Operators
Server Operators
Administrators
Guests
Users
Chứa thành viên khởi tạo
Định nghĩa trước quyền người dùng
Built-in Local Groups
Built-in
Local
Groups
Users
Administrators
Guests
Backup Operators
Power Users
Windows 2003 Server
(Member or Stand-Alone Server)
Windows 2003 Professional
Thực hành
Tạo group
Add thành viên
Sử dụng gán quyền
Nội dung
Group
Computer account
File & folder
Computer Account
Gồm 3 thành phần: name + password + SID
Chỉ có thành viên của nhóm Administrator & Account Operator hoặc các user được uỷ quyền mới có quyền tạo computer account.
1 user thuộc nhóm Authenticated User được phép join 10 máy tính vào domain.
Tạo OU cho computer account
Join máy tính vào domain
Là động tác tạo sự liên kết giữa tài khoản máy tính (đã được tạo trên server) với 1 máy trạm.
Sau khi thực hiện join vào domain máy tính có thể hoạt động ở 2 hình thức (local hoặc domain)
Nếu trên máy server chưa có tài khoản thì động tác join sẽ tự động tạo tài khoản mới.
Thực hành
Tạo tài khoản máy tính
Join máy tính vào domain
Move tài khoản máy tính
Nội dung
Group
Computer account
File & folder
Chia sẻ thư mục
My computer
MMC
Command line
Ánh xạ ổ đĩa (public, private)
Các quyền trên tài nguyên chia sẻ
Quyền được tích hợp
Quyền deny ưu tiên hơn quyền allow
Hạn chế của sharing
Quyền áp đặt cho mọi đối tượng con
Không áp dụng được cho HTTP, FTP, telnet…
Sẽ bị mất nếu thay đổi hoặc di chuyển
-> sharing cho everyone với full control, phân quyền dựa trên NTFS.
Sharing thường sử dụng cho các ổ đĩa FAT, FAT32
Cấu hình quyền trên hệ thống file
ACL chứa các ACE, ACE chứa SID của user, của group.
Khi truy cập tài nguyên -> so khớp SID với nhau
advanced
Thực hành
Gán quyền (user, group of user, computer, group of computer)
Quyền đối với thư mục
Quyền đối với file
Kế thừa quyền (inheritance)
Quyền áp đặt cho thư mục sẽ được áp đặt cho file và thư mục con thuộc thư mục đó (mặc định).
Khi một thư mục hoặc file mới được tạo nó sẽ được kế thừa quyền của thư mục cha (mặc định).
Ngăn chặn quyền kế thừa
Override quyền
Ngắt kế thừa
Thiết lập lại kế thừa quyền
Từ thư mục cha
Từ thư mục con
Hiệu lực của quyền
Các quyền Allow trên 1 đối tượng được tích luỹ
Quyền trên file ưu tiên hơn quyền trên thư mục
deny được thực thi trước, có độ ưu tiên cao hơn allow
Quyền gán trực tiếp ưu tiên cao hơn quyền được kế thừa
Làm sao xác định được quyền của 1 user hoặc 1 nhóm?
Sở hữu tài nguyên (ownership)
Creator owner: người tạo ra tài nguyên, mọi quyền của thư mục cha sẽ chuyển trực tiếp cho user Creator owner (Ví dụ: thư mục A, user1, user2…)
Ownership(quyền sở hữu): chỉ có administrators hoặc các user được gán quyền take ownership mới có quyền take ownership.
Copy File và Folder
Read, Write Permission
Di chuyển File và Folder
Write, Modify Permissions
Thảo luận
NTFS Partition
(D:)
FileA
NTFS Partition
(C:)
FileA
FileA
Ánh xạ ổ đĩa
Public
Private
Quota: hạn ngạch đĩa
Chương 5: Group – computer account – file – forlde
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Nguyễn Bùi Minh Tâm
Dung lượng: |
Lượt tài: 0
Loại file:
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)