Giáo trình Mạng máy tính - Trần Bá Nhiệm

Nếu user A kết nối thư mục dùng chung tailieu, user A sẽ có quyền truy cập thư mục này ở cấp độ Read giống như user B. vii. Nguyên Tắc Khi Áp Dụng Quyền Truy cập NTFS Trước khi bắt đầu chỉ định cấp độ truy cập NTFS đối với thư mục và tập tin, tốt nhất bạn nên xác định đâu là những cấp độ truy cập cần thiết và nên cấp chúng cho ai. Phần này sẽ trình bày những nguyên tắc bạn phải cố gắng tuân thủ khi quyết định sử dụng quyền NTFS để giúp bạn hoạch định một cách rõ rang những cấp độ truy cập mà bạn gán cho cá nhân hoặc cho group đối với chương trình, dữ liệu mạng và thư mục cá nhân. Khi đọc xong các bạn sẽ nắm vững các tác vụ cần thiết khi thi hành để tạo thư mục cá nhân trên volume NTFS. Nguyên Tắc Hoạch Định Thư Mục Chương Trình Dưới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ truy cập NTFS cho thư mục: - Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và đem cấp cho nhóm Administrators. MẠNG MÁY TÍNH Trang 66 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm - Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp cho những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm. - Nếu các chương trình mạng thường trú dùng chung, hãy cấp quyền truy cập ở cấp độ Read cho nhóm Users. Nguyên Tắc Hoạch Định Thư Mục Dữ Liệu Dưới đây là 2 nguyên tắc chung khi chỉ định quyền truy cập NTFS cho thư mục và dữ liệu: - Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone và đem cấp cho nhóm Administrator. - Chỉ Định cấp độ truy cập Add&Read cho nhóm Users và cấp độ FC cho nhóm Creator Owner. Việc làm này sẽ cung cấp cho người dùng đăng nhập cục bộ khả năng hủy bỏ và sửa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo ra trên máy tính nơi họ đăng nhập. Nguyên Tắc Hoạch Định Thư Mục Cá Nhân Cuối cùng là nguyên tắc áp dụng khi bạn chỉ định các cấp độ truy cập NTFS cho thư mục cá nhân: - Tập trung mọi thư mục cá nhân trên 1 Volume NTFS (Trên 1 server nào đó) riêng biệt với Volume chứa hệ điều hành và các chương trình, nhằm hợp lí hóa công tác quản trị và sao lưu dữ liệu. Thường thì cái gì cũng vậy, nếu chúng ta sắp xếp gọn gàng thì sẽ rất dễ cho công việc sau này. - Dùng biến %Usersname% để tự động gán tên tài khoản của người dùng cho thư mục và tự động chỉ định quyền truy cập NTFS ở cấp độ Full Control cho người tương ứng. Những việc cần làm khi cấp quyền truy cập NTFS 1. Cấp quyền truy cập NTFS trước khi chia sẻ 1 thư mục.Và tại sao lại cần như vậy? bằng cách này bạn ngăn ngừa được tình trạng người dùng nối kết và truy cập thư mục hay tập tin trước khi bạn đảm bảo an toàn cho chúng. 2. Hãy cấp quyền cho nhóm thay vì cho từng người dùng cá thể. nếu người dùng là thành viên của 1 nhóm vốn có quyền truy cập 1 số tập tin nhất định,bạn có thể chấm dứt khả năng truy cập của người dùng bằng cách loại người này ra khỏi nhóm,thay vì phải mất công thay đổi cấp độ truy cập trên thư mục và tập tin. Và còn thú vị hơn nhiều lần khi trên Win2k xuất hiện OU sẽ còn giúp ích cho các admin những vấn đề mà chúng ta không lường tới được. 3. Cấp quyền truy cập mọi tập tin điều hành ở quyền READ cho nhóm user và nhóm Administrator. 4. Bạn hãy hướng dẫn các nhân viên của bạn hay đúng hơn là các user dưới quyền bạn sử dụng chung 1 máy tính ấn định quyền truy cập các tập tin và thư mục do họ sở hữu. 5. Các tập tin chương trình bị hủy hoại thường là do tai nạn hoặc do virus. Để ngăn ngừa sự cố này hãy cấp quyền ở mức độ READ cho mọi tài khoản người dùng kể cả Administrator. bằng cách này bạn sẽ ngăn không cho người dùng hay Virus phá hoại hoặc sửa đổi tập tin chương trình (file System). Ngoài ra hãy cấp cho group Admin quyền truy cập đặc biệt ớ cấp độ change permission. sao cho thành viên của nhóm này có thể tự cấp cho mình quyền ít hạn chế hơn khi cần có sự thay đổi bắt buộc trong công việc. 6. Dùng biến%username% tạo thư mục cá nhân-giúp đơn giản hóa công tác quản trị bằng cách tự động cấp cho mỗi người dùng quyền FC khi họ tạo ra thư mục đó. 7. Cấp cho nhóm Creator Owner quyền truy cập thư mục Data ở cấp độ Full Control, như thế người dùng chỉ có quyền Full Control đối với những thư mục hay tập tin mà họ tạo ra trong thư mục Data. MẠNG MÁY TÍNH Trang 67 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm 8. Đối với tài khoản người dùng hãy đặt tên dài có tính mô tả. Hoạch định cách đặt tên trướckhi làm. nếu 1 thư mục được chia sẻ hãy đặt tên sao cho mọi máy khác đều có thể đọc được chúng. viii. Tạo Thư Mục Cá Nhân (Home Folder) Trên Volume NTFS: Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn, đó là bạn có thể tổ chức chúng thành hệ thống phân tầng và giới hạn khả năng truy cập ở những người dùng tương ứng mà không cần chia sẻ từng thư mục. Các bạn làm theo các bước sau để tạo thư mục cá nhân trên Volume NTFS: 1. Tạo thư mục có tên Users trên một Volume riêng biệt với Volume chứa hệ điều hànhCái này tôi nói ở trên giờ nhắc lại 1 chút.làm thế,thư mục cá nhân sẽ được bảo toàn nếu xảy ra sự cố đòi hỏi phải định dạng lại volume chưa hệ điều hành. 2. Chia sẻ thư mục Users nhằm cung cấp một điểm truy cập đơn lẻ cho người dùng mạng và điểm quản trị đơn lẻ cho nhà quản trị. 3. Nhớ bỏ chế độ mặc định FC từ Everyone và cấp quyền truy cập thư mục dùng chung (share Permis) ở cấp độ FC cho nhóm Users. 4. Dùng biến %Username% để tự động gán tên tài khoản của người dùng cho thư mục cá nhân của người này. Biến %Username% còn có thể tự động chỉ quyền truy cập NTFS ở cấp độ FC cho người dùng tương ứng (trên FAT, thư mục cá nhân chỉ có thể được hạn chế truy cập thông qua quyền truy cập thư mục dùng chung). +Trong UserManager for Domains, bạn tạo 1 tài khoản người dùng mới hoặc double Click và tài khoản sẵn có. +Trong hộp thoại Newuser hoặc User Properties, click vào Profile,sau đó gõ \\PC name\Users\%Username% vào hộp thoại Home Directory To. Là 1 administrator kinh nghiệm bạn nên: Yêu cầu User của mình lưu trữ dữ liệu mạng và dữ liệu cá nhân vào thư mục cá nhân của họ. Nếu thư mục cá nhân của họ được chuyển từ server này sang server khác thì chỉ cần chuyển đường dẫn là xong. ix. Cấp Quyền Truy Cập NTFS: Các Yêu Cầu Đặt Ra Khi Cấp Quyền Truy Cập NTFS Muốn cấp quyền truy cập NTFS, bạn phải là chủ sở hữu của tập tin hoặc thư mục hoặc bạn có quyền trong 1 những cấp độ sau đây: - Quyền truy cập chuẩn: Full Control - Quyền truy cập đạc biệt: Change Permissions - Quyền truy cập đặc biệt: Take Ownership (Với quyền truy cập này người dùng có thể dảnh quyền sở hữu một tập tin hoặc thư mục của người khác, và có thể thay đổi quyền truy cập áp dụng cho thư mục hay tập tin này). Ngày xưa tôi học là tôi khoái nhất món này Các Cấp Độ Mặc Định (Default) Của Quyền Truy Cập NTFS MẠNG MÁY TÍNH Trang 68 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm Khi một volume được định dạng với NTFS, quyền truy cập ở cấp độ Full Control tự động được cấp cho nhóm Everyone, cho phép toàn bộ người dùng được phép Log on locally toàn quyền truy cập Volume đó. Khi có thư mục hoặc tập tin mới được tạo trên volume NTFS, thư mục/tập tin này sẽ thừa hưởng tất cả các quyền truy cập ấn định cho thư mục chứa nó. Cấp Quyền Truy Cập Tập Tin Và Thư Mục NTFS Muốn cấp quyền cho thư mục nào bạn chỉ cần click phải chuột lên thư mục đó chọn Properties sau đó chọn Tab Security-Permissions. Nếu bạn cấp quyền cho forlder thì hộp thoại Directory permissions mở ra. Nếu là file thì hộp thoại File Permission sẽ mở ra. Và bạn sẽ cấp quyền với mục đích đã hoạch định trước do bạn hoặc công ty của bạn đề ra. Cấp Quyền Truy Cập Thư Mục Public cho nhóm Users. 1. Đăng nhập với tư cách admin và khỏi động Windowns 2000 Server mở Windows Exploer, click chuột phải vào thư mục public cần cấp quyền và chọn Properties. 2. Chọn Tab Security. Bạn nên chú ý rằng nhóm Everyone được cấp quyền truy cập NTFS ở cấp độ NTFS theo mặc định. 3. Nhấp add trong Directory Permissions. Mở hộp thoại Add Users and Groups. 4. Kiểm Tra để đảm bảo tên vùng của bạn đã hiển thị trong hộp thoại List Names From. 5. Dưới Name, click Users, nhấp tiếp Add. 6. Click Add&Read trong hộp thoại Type of Access sau đó OK. 7. Dưới Names, nhấp Everyone (nếu everone được chọn) thì nhấp remove. Và lúc này các bạn đã loại nhóm mặc định Everyone ra khỏi danh sách. CẤP QUYỀN TRUY CẬP THƯ MỤC PUBLIC CHO NHÓM CREATOR OWNER Phần này giới thiệu cùng các bạn về việc cấp quyền FC cho nhóm Creator Owner để họ có thể hiệu chỉnh các tập tin riêng của họ. 1.Trong hộp thoại Directory Permissions click Add. Hộp thoại Add Users and Groups xuất hiện. 2. Kiểm Tra nhằm bảo đảm tên vùng của bạn đã hểin thị trong List Names From. 3. Dưới Names, click Creator Owner rồi click Add. 4. Click FC trong hộp thoại Type of Access, nhấp OK Và lúc này nhóm Creator Owner đã xuất hiện trong hộp thoại Directory Permis với cấp độ FC CẤP QUYỀN TRUY CẬP THƯ MỤC PUBLIC CHO NHÓM ADMINISTRATOR 1. Trong hộp thoại Directory Permiss bạn click vào Add Hộp Thoại Add Users And Groups Mở ra. 2. Kiểm tra (check) nhằm bảo đảm tên vùng của bạn đã hiển thị trong hộp List names From. 3. Dưới Names click Administrator,sau đó click Add 4. Click FC từ hộp thoại Type of Access,rồi nhấp OK Trong hộp thoại Directory Permis ta thấy nhóm Administrator và nhóm Creator Owner được cấp quyền FC,còn nhóm user thì chỉ có Add&Read 5. Các bạn chọn check vào ô Replace permis on Subdirectories sao cho cấp độ truy cập áp dụng cho tất cả các thư mục trong hệ thống mạng phân tầng. 6. kiểm tra nhằm đảm bảo Replace permis on Existing Files đã được chọn click OK. 7. Click Yes quay về hộp thoại Public Properties rồi click OK áp dụng cho các thây đổi. CẤP QUYỀN TRUY CẬP ĐẶC BIỆT MẠNG MÁY TÍNH Trang 69 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm Trong hầu hết các trường hợp của Windows quyền truy cập chuẩn (standard permission) là tất cả những gì bạn cần để bảo vệ tập tin và thư mục.Tuy nhiên trong 1 vài trường hợp bạn sẽ cần chỉ định quyền truy cập đặc biệt (special access permiss) quyền này cho phép bạn có khả năng cấp quyền truy cập cá nhân (individual) cho từng tài khoản hoặc cho group. Bạn nên cấp quyền truy cập đặc biệt cho user nhằm mục đích sau: - Cho phép người dùng khác quản lí quyền truy cập những tập tin do bạn sở hữu, cấp cho người dùng quyền truy cập ở cấp độ Change Permis (P). - Bảo vệ các tập tin chương trình hỏi bị huy bỏ do sơ ý hoặc do Virus phá hoại, cấp cho mọi tài khoản người dùng,kể cả tài khoản của nhà quản trị Administrator ý mà. Cấp quyền truy cập ở cấp độ READ đối với các tập tin điều hành. - Cho phép nhà quản trị chỉnh sửa tập tin điều hành,cấp cho nhóm Administrator quyền truy cập Change Permissions. Quyền truy cập này cung cấp cho nhà quản trị khả năng thay đổi quyền truy cập với những tập tin chỉ đọc Read only nếu cần. Các bạn chú ý 1 điều rằng: Quyền truy cập đạc biệt này giống nhau cho cả tập tin và thư mục. GIÀNH QUYỀN SỞ HỮU TẬP TIN VÀ THƯ MỤC Mặc định người dùng nào tạo ra tập tin hoặc thư mục sẽ nghiễm nhiên là chủ sở hữu của tập tin và thư mục hoặc tập tin đó. Khi đã là chủ sở hữu bạn có thể ấn định quyền truy cập nhằm kiểm soát những gì người khác có thể thực hiện cho tập tin và thư mục này. Trong vài trường hợp có lúc những người quản trị hay còn gọi là administrator cần phải tước bỏ quyền sở hữu của bạn. Đó gọi là Take Ownership. Ví dụ: User A nắm quyền sở hữu file f1 trong một hệ thống mạng của Công ty, sau một thời gian User A thôi việc và không bàn giao lại cho người kế nhiêm. Lúc này người quản trị mạng (administrator) sẽ tước bỏ quyền sở hữu file f1 của user A và cấp lại cho người kế nhiệm. CÁCH GIÀNH QUYỀN SỞ HỮU: Mặc định những người dùng là thành viên của nhóm Administrator luôn có khả năng giành quyền sở hữu một tập tin hay thư mục. Nếu 1 người trong nhóm Admin dành quyền sở hữu thì đương nhiên cả group Admin cũng sẽ có quyền trong tài nguyên này. Cách làm dưới đây giúp các bạn thực hiện điều đó Đăng nhập với tư cách là 1 nhà quản trị Trong tag Security của hộp thoại (Rclick vào thư mục chọn Properties) hoặc tập tin.Nhấp OwnerShip để xác định chủ sở hữu hiện hành. Click Take Owner Ship trong hộp thoại Owner CUNG CẤP KHẢ NĂNG GIÀNH QUYỀN SỞ HỮU CHO NGƯỜI DÙNG Một người sở hữu tài nguyên không thể thay đổi quyền sở hữu một tài nguyên do anh ta làm chủ, mà chỉ có thể cho phép người dùng hoặc nhóm khác có khả năng dành quyền sở hữu tài nguyên. Tài nguyên sẽ vẫn được bảo vệ bằng cách ngăn không cho người dùng tạo hoặc hiệu chỉnh tập tin. Là chủ sở hữu của tập tin bạn có thể cấp cho người dùng hoặc nhóm khả năng giành quyền sở hữu tập tin hoặc thư mục bằng cách cấp một trong những quyền sau: -Quyền Truy Cập Chuẩn: Full Control -Quyền Truy Cập Đặc Biệt: Take Ownership (Với cấp độ này người dùng có thể tự cấp cho mình hay cho nhóm khác quyền take ownership). XÁC ĐỊNH CHỦ SỞ HỮU VÀ QUYỀN TRUY CẬP MỘT TẬP TIN MẠNG MÁY TÍNH Trang 70 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm 1. Đăng nhập với tư cách nhà quản trị 2. Khỏi động WindownsNT, 2000 Explorer sau đó tạo 1 tập tin văn bản có tên Owner.txt trong thư mục LabFiles 3. Right Click lên tập tin Owner.txt chọn Properties. Hộp Thoại Owner.rxt Properties xuất hiện 4. Click Tab Security click tiết Ownership. Chủ sở hữu hiện hành là nhóm Administrator 5. Nhấp Close, nhấp Permission.Nhóm Everyone có quyền truy cập FC CẤP QUYỀN TAKEOWNER CHO MỘT NGƯỜI DÙNG 1. Trong hộp thoại File Permis click Add. Hộp thoại Add users And Groups mở ra 2. Kiểm tra nhằm đảm bảo rằng tên vùng của bạn hiển thị trong hộp thoại List Names From. 3. Click Show Users. 4. Chọn Sales rồi click Add 5. Từ hộp Type of Access nhấp Read.Click OK. Trong Sales xuất hiện trong hộp thoại File Permission và có quyền ở cấp độ READ 6. Click sales click tiếp Special Access từ hộp Type of Access.Và Special Access mở ra 7. Đánh giấu vào Take Ownership click OK 3 lần để áp dụng các thay đổi Cách giành quyền sở hữu 1 tập tin cũng tương tự như vậy. x. SAO CHÉP HOẶC CHUYỂN DỜI FOLDER VÀ FILE Việc sao chép và di chuyển tập tin hay thư mục trong phạm vi và giữa các volume NTFS có thể ảnh hưởng đến cấp độ truy cập ban đầu đã áp dụng cho tập tin hay thư mục. SAO CHÉP TẬP TIN (FILE) HAY FOLDER(THƯ MỤC) Khi các bạn sao chép một tập tin hay thư mục trong cùng 1 volume NTFS hoặc copy sang 1 volume NTFS khác thì tập tin hay thư mục này sẽ thừa hưởng cấp độ truy cập đã áp dụng cho thư mục đích và các bạn nhớ rằng người copy thư mục hay folder này sẽ thành chủ sở hữu. DI CHUYỂN TẬP TIN VÀ THƯ MỤC Khi di chuyển tập tin hoặc thư mục trong cùng 1 volume NTFS thì thư mục này vẫn giữ nguyên cấp độ của chủ sở hữu ban đầu. Tuy nhiên nếu bạn di chuyển sang một volume NTFS khác thư mục và tập tin này sẽ thừa hưởng cấp độ truy cập áp dụng cho thư mục đích, còn chủ sở hữu mới chính là bạn nào di chuyển nó, giống hệt như tiến trình sao chép tập tin hoặc thư mục vậy. CÁC YÊU CẦU VỀ QUYỀN TRUY CẬP Một người dùng không thể sao chép hoặc di chuyển tập tin hay thư mục trong phạm vi giữa các volume NTFS khác nhau, trừ khi người này có quyền truy cập ở cấp độ thích hợp. Dưới đây sẽ trình bày một số cấp độ truy cập cần có khi bạn di chuyển hoặc copy folder hay file trên cùng 1 volume NTFS hoặc sang Volume NTFS khác. Khi bạn muốn sao chép thì cấp độ truy cập cần có của bạn là ADD với thư mục đích Khi bạn muốn di chuyển bạn cần có cấp độ truy cập ADD với thư mục và Delete đối với thư mục nguồn. Vì sao lại cần có Delete với thư mục nguồn Ta phải có quyền Delete vì khi thư mục hay tập tin được chuyển đi nó phải huy bỏ khỏi thư mục nguồn và đặt và thư mục đích. MẠNG MÁY TÍNH Trang 71 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm Các bạn nhớ điều này nhé! Những thư mục và tập tin được sao chép hoặc di chuyển sang các volume FAT sẽ mất đi cấp độ truy cập áp dụng cho chúng,vì Volume FAT không hỗ trợ quyền truy cập NTFS. c. CHIA SẺ TRUY CẬP QUA MẠNG Click chuột phải lên thư mục, chọn Properties, chọn Tab Sharing and Security MẠNG MÁY TÍNH Trang 72 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm Ý nghĩa các mục: Mục Mô tả Do not share this folder Chỉ định thư mục này chỉ được phép truy cập cục bộ Share this folder Chỉ định thư mục này được phép truy cập cục bộ và qua mạng Share name Tên thư mục người dùng nhìn thấy trên mạng Comment Mô tả thêm thông tin về thư mục này User Limit Số người truy xuất tối đa vào 1 thời điểm Permissions Cho phép bạn thiết lập danh sách quyền truy cập đối với tưng người Caching Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ Offline. Trong hộp thoại Share Permissions: -Full Control:Có toàn quyền trên thư mục chia sẻ. -Change:Có quyền thay đổi và xoá dữ liệu -Read:chỉ được phép đọc và thi hành d. QUẢN TRỊ HẠN NGẠCH ĐĨA: -Hạn ngạch đĩa được dùng để chỉ định không gian đĩa tối đa mà 1 người dùng có thể sử dụng. -Cấu hình hạn ngạch đĩa: + Chọn đĩa cần thiết lập, click chuột phải/Properties/Quota. Theo mặc định chức năng này chưa được kích hoạt. Ý nghĩa từng mục: +Enable quota management: thực hiện hay không thực hiện quản lí hạn ngạch đĩa. +Deny disk space to users exceeding quota limit: người dùng sẽ không thể tiếp tục sử dụng đĩa khi vượt quá giới hạn. MẠNG MÁY TÍNH Trang 73 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm +Select the default quota limit for new users on thi volume: Định nghĩa các giới hạn sử dụng. Các lựa chọn bao gồm “không định nghĩa giới hạn”(Do not limit disk space); “giới hạn cho phép” (Limit disk space to) và “giới hạn cảnh báo” (Set warning level to). +Select the quota logging options for this volume: có ghi nhận lại các sự kiện liên quan đến sử dụng hạn ngạch đĩa. Để thiết lập nhấn Quota Entries trong Tab quota, sau đó thiết lập cho từng mục. e. CHÍNH SÁCH BẢO MẬT: i. Chính sách tài khoản người dùng: Chính sách tài khoản người dùng (Account Policies) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật mã, khoá tài khoản và chứng thực Kerberos trong vùng. Nếu trên Windows 2000 thành viên thì bạn sẽ thấy 2 mục Password Policy và Account Lockout Policy, trên máy Windows 2000 Server làm DC (Domain Controller) thì bạn sẽ thấy 3 mục: Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows 2000 Server cho phép bạn quản lí chính sách bảo mật tại 2 cấp đó là: cục bộ và vùng. Muốn cấu hình các chính sách bảo mật tài khoản người dùng ta vào: Administrative Tools/Domain Security Policy hay Local Security Policy. Cấu hình chính sách mật mã:(Password Policy) MẠNG MÁY TÍNH Trang 74 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm Chính sách Mô tả Mặc định Giá trị nhỏ nhất Giá trị lớn nhất Enforce Password History Số lần đặt mật mã không được trùng nhau 0 0 24 Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người dùng có hiệu lực Giữ mật mã trong 42 ngày Giữ mật mã trong 1 ngày Giữ mật mã trong 999 ngày Minimum Password Age Quy định số ngày ít nhất mà người dùng có thể thay đổi mật mã 0 ngày (người dùng có thể thay đổi ngay lập tức) 0 999 ngày Minimum Password Length Chiều dài ngắn nhất của mật mã 0 0 14 kí tự Passwords Must Meet Complexity Requirements Cho phép bạn cài bộ lọc mật mã Không cho phép Không cho phép Cho phép Store Password Using Reversible Encryption for All Users In the Domain Mật mã người dùng được lưu dưới dạng mã hoá Không cho phép Không cho phép Cho phép Cấu hình chính sách khoá tài khoản(Account Lockout Policy) Chính sách Mô tả Giá trị mặc định Giá trị min Giá trị max Gợi ý Account Lockout Threshold Quy định số lần đăng nhập trước khi tài khoản bị khoá 0 0 Thử 999 lần 5 lần Account Lockout Duration Quy định thời gian khoá tài khoản Là 0,nhưng nếu Account Lockout Threshold được thiết lập thì giá trị này là 30 phút Như giá trị mặc định 99999 phút 5 phút Reset Account Lockout Counter After Quy định thời gian đếm lại số lần đăng nhập không thành công Là 0,nhưng nếuAccount Lockout Threshold được thiết lập thì giá trị này là 5 phút Như giá trị mặc định 99999 Phút 5 phút ii. Cấu hình chính sách cục bộ Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào tính năng trên bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật: MẠNG MÁY TÍNH Trang 75 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm *Cấu hình chính sách kiểm toán: Cấu hình chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tương cũng như đối với các người dùng. Chính sách Mô tả Audit Account Logon Events Ghi nhận khi người dùng logon, logoff hay tạo 1 kết nối mạng Audit Account Management Ghi nhận khi tài khoản người dùng hay nhóm được tạo xoá hay các thao tác quản lí người dùng Audit Directory Service Access Ghi nhận việc truy cập các dịch vụ thư mục Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành 1 logon script hay truy cập đến 1 roaming profile Audit Object Access Ghi nhận việc truy cập các tập tin,thư mục, máy in Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán *Gán quyền người dùng: Quyền người dùng (User Right) là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống. Quyền Mô tả Access This Computer form the Network Cho phép người dùng truy cập máy tính trên mạng.Mặc định mọi người đều có quyền này Act as Part of the Operating System Cho phép các dịch vụ chứng thực ở mức thấp chứng thực với bất kì người dùng nào. Add Workstations to the Domain Cho phép người dùng thêm 1 tài khoản máy tính vào vùng Back Up Files and Directories Cho phép người dùng sao lưu dự phòng các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền hay không Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem (list) nội dung thư mục này. Change the System Time Cho phép người dùng thay đổi giờ hệ thống máy Create a Token Object Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến trình này dùng NTCreate Token API Create Permanent Shared Objects Cho phép 1 tiến trình tạo 1 đối tượng thư mục thông qua Windows 2000 Object Manager. Debug Programs Cho phép người dùng gắn 1 chương trình debug vào bất kì tiến trình nào Deny Access to This Computer from the Network Cho phép bạn khoá người dùng hay nhóm không được truy cập đến các máy tính trên mạng Deny Logon as a Batch File Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như 1 batch file Deny Logon as a Service Cho phép bạn ngăn cản những nguời dùng và nhóm truy cập đến máy tính cục bộ. Enable Computer and User Accounts to Be Trusted by Deletgation Cho phép người dùng hay nhóm được uỷ quyền cho người dùng hay 1 đối tượng máy tính Force Shutdown from a Remote System Cho phép người dùng Shutdown hệ thống từ xa thông qua mạng Generate Security Audits Cho phép người dùng,nhóm hay 1 tiến trình tạo 1 MẠNG MÁY TÍNH Trang 76 CENTER FOR IT DEVELOPMENT (CITD) Giảng viên: Trần Bá Nhiệm entry vào Security log Increase Quotas Cho phép người dùng điều khiển các quota của các tiến trình Increase Scheduling Priority Quy định 1 tiến trình có thể tăng hay giảm độ ưu tiên đã được gán cho tiến trình khác Load and Unload Device Drivers Cho phép người dùng có thể cài đặt hay gỡ bỏ các driver của các thiết bị Lock Pages in Memory Khoá trang trong vùng nhớ Log On as a Batch Job Cho phép 1 tiến trình logon vào hệ thống và thi hành 1 tập tin chứa các lệnh hệ thống Log on as a Service Cho phép 1 dịch vụ logon và thi hành 1 dịch vụ riêng Logon Locally Cho phép người dùng Logon tại máy server Manage Auditingand Security Log Cho phép người dùng quản lí security log Modify Firmware Environment Variables Cho phép người dùng hay 1 tiến trình hiệu chỉnh các biến môi trường hệ thống. Profiles Single Process Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performancẻ Logs and Alerts Profile System Performance Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performancẻ Logs and Alerts. Remove Computer from Docking Station Cho phép người dùng gỡ bỏ 1 Laptop thông qua giao diện người dùng của Windows 2000 Replace a Process Level T