File Server phải được triển khai cẩn thận để cung cấp quyền truy cập phù hợp vào nội dung.
Share permissions cho phép bạn kiểm soát quyền truy cập tài nguyên qua mạng (chúng sẽ không áp dụng cho những người dùng đang truy cập cục bộ). Share permission có thể được sử dụng với các hệ thống file NTFS, FAT và FAT32 và cho phép bạn xác định số lượng user có thể truy cập vào folder cùng lúc.
CÁC BƯỚC TRIỂN KHAI SHARE PERMISSION:
1. Share Folder
2. Map Network Drive
3. Hidden Share
4. Quản lý Share
5. System Share
6. Share folder với nhiều tên
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy Windows Server 2019/2022 Data Center
– Tạo user u1, u2. Password: 123
– Tạo folder C:\DATA. Trong folder DATA, tạo 2 file t1.txt và t2.txt
B- THỰC HIỆN SHARE PERMISSION
1. Share Folder (Thực hiện trên PC01)
1. Share Folder (Thực hiện trên PC01)
B1 – Mở File Explorer, chuột phải folder DATA, chọn Properties. Qua tab Sharing, chọn Advanced Sharing
B2 – Check ô Share this folder 🡪 nhấn nút Permissions.
B3 – Chọn Group Everyone, nhấn Remove.
B4 – Nhấn nút Add, nhập vào Administrator 🡪 Check Name. Cho Administrator quyền Full Control.
B5 – Thực hiện tương tự, add thêm Group Users cho Allow quyền Read và User U2 cho Deny quyền Read 🡪 Apply 🡪 OK 🡪 Close
B6 – Kiểm tra: Sign In U2, nhấn tổ hợp phím + R, gõ: \\PC02. User U2 thấy folder Data nhưng không truy cập được.
B7 – Sign In U1, nhấn tổ hợp phím + R, gõ: \\PC02. User U1 thấy folder Data, chỉ đọc được file t1.txt và t2.txt. Tuy nhiên không thể chỉnh sửa (hộp thoại Save As), không xóa được file cũng như không tạo mới được folder/file trong Data.
B8 – Sign In Administrator, nhấn tổ hợp phím + R, gõ: \\PC02. Administrator có quyền đọc, sửa, xóa, và tạo mới folder/file trong Data.
2. Map Network Drive
2. Map Network Drive
a. Bằng giao diện đồ họa:
B1 – Nhấn tổ hợp phím + R, gõ: \\PC02. Chuột phải folder Data 🡪 chọn Map network drive…
B2 – Để mặc định các Option 🡪 nhấn Finish.
B3 – Mở File Explorer, chọn This PC 🡪 Quan sát thấy ổ đĩa mạng Data (Z:) vừa tạo.
b. Bằng lệnh:
B1 – Mở CMD, gõ lệnh: net use Y: \\PC02\DATA.
B2 – Quay lại File Explorer, thấy xuất hiện thêm ổ đĩa mạng Y:
3. Hidden Share
3. Hidden Share
B1 – Tạo folder C:\Data2, trong folder Data2 tạo file t3.txt.
B2 – Chuột phải folder DATA2 🡪 chọn Properties. Qua tab Sharing 🡪 chọn Advanced Sharing.
B3 – Check ô Share this folder, khung Share name, đặt tên: BiMat$ 🡪 OK 2 lần.
B4 – Nhấn tổ hợp phím + R, gõ: \\PC02 🡪 Chỉ thấy folder share DATA
B5 – Nhấn tổ hợp phím + R, gõ: \\PC02\BiMat$ 🡪 thấy được file t3.txt
4. Quản lý Share
4. Quản lý Share
B1 – Mở Server Manager 🡪 chọn File and Storage Services
B2 – Ở khung bên trái chọn Shares 🡪 Quan sát bên tay phải: các dữ liệu hiện đang được chia sẻ trên máy tính.
5. System Share
5. System Share
B1 – Nhấn tổ hợp phím + R, gõ lệnh compmgmt.msc.
B2 – Mở theo đường dẫn: System Tools 🡪 Shared Folders 🡪 Shares. Quan sát các System Share mặc định khi cài Windows.
6. Share folder với nhiều tên
6. Share folder với nhiều tên
B1 – Mở File Explorer, chuột phải folder DATA, chọn Properties. Qua tab Sharing, chọn Advanced Sharing.
B2 – Check ô Share this folder. Ở mục Share Name 🡪 nhấn Add.
B3 – Đặt tên KETOAN 🡪 nhấn nút Permissions để phân quyền.
B4 – Cho Group Everyone quyền Full Control 🡪 OK 3 lần
B5 – Kiểm tra: Sign In U2, truy cập PC02. Quan sát thấy 2 share folder DATA và KETOAN.
B6 – Truy cập folder DATA bị báo lỗi không truy cập được (do user u2 bị deny quyền READ trên folder DATA)
B7 – Truy cập vào folder KETOAN 🡪 Truy cập thành công (do group Everyone được cấp quyền Full Control)
Phần 2. NTFS
New Technology File System (NTFS) được sử dụng để quản lý dữ liệu được lưu trữ trên NTFS file system và là hệ thống file tiêu chuẩn cho Windows NT và các hệ điều hành mới hơn.
Không giống như Share permission, quyền NTFS ảnh hưởng đến cả người dùng mạng và người dùng cục bộ.
CÁC BƯỚC TRIỂN KHAI:
1. Phân quyền thư mục bằng Standard Permission
2. Phân quyền thư mục bằng Special Permission
3. Take OwnerShip
4. Quyền của user khi copy/move dữ liệu
5. Kết hợp Share permission và NTFS permission
6. Access-based enumeration
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy sử dụng Windows Server 2019/2022 Data Center
– Tạo cây thư mục như trong hình:
– Tạo 4 user: u1, u2, u3, u4 (pass=123)
– Tạo 2 group: ketoan, nhansu
– Đưa u1, u2 vào group ketoan; đưa u3, u4 vào group nhansu
B- THỰC HIỆN NTFS
1. Phân quyền thư mục bằng Standard Permission
1. Phân quyền thư mục bằng Standard Permission
a. Phân quyền trên thư mục DATA
B1 – Mở File Explorer, chuột phải folder DATA, chọn Properties 🡪 Qua tab Security 🡪 Advanced
B2 – Trong tab Permissions 🡪 Chọn Disable Inheritance
B3 – Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object 🡪 OK
B4 – Quay lại cửa sổ DATA Properties 🡪 nhấn nút Edit.
B5 – Cửa sổ Permissions for DATA 🡪 nhấn nút Add
B6 – Trong khung Enter the object names to select, nhập ketoan;nhansu 🡪 Check Names. Quan sát thấy KETOAN và NHANSU đã được gạch chân 🡪 xác định group KETOAN và NHANSU có tồn tại 🡪 OK
B7 – Quan sát 2 group KETOAN và NHANSU 🡪 có 3 quyền Allow: Read & excute, List folder contents, Read.
B8 – Chọn Group Users 🡪 Remove 🡪 OK 🡪 OK
b. Phân quyền cho thư mục Chung
– Chuột phải lên foldere, chọn Properties 🡪 Tab Security 🡪 Chọn Edit 🡪 Lần lượt chọn từng group KeToan và NhanSu 🡪 Cho quyền Allow Full Control 🡪 OK 🡪 OK.
c. Phân quyền cho thư mục KETOAN & thư mục NHANSU
B1 – Chuột phải folder KETOAN, chọn Properties 🡪 Qua tab Security 🡪 Chọn Advanced
B2 – Trong tab Permissions 🡪 Chọn Disable Inheritance
B3 – Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object 🡪 OK
B4 – Cửa sổ KETOAN Properties 🡪 Chọn Edit
B5 – Chọn group NHANSU 🡪 Remove
B6 – Chọn Group KETOAN 🡪 Chọn Allow Full Control 🡪 OK 🡪 OK
B7 – Thực hiện tương tự phân quyền cho thư mục NHANSU, cho group nhansu quyền Full Control và remove group ketoan.
* Kiểm tra:
B1 – Sign in u1 (group Ketoan). Truy cập folder Data: u1 chỉ có quyền xem nội dung file t1.txt nhưng không có quyền sửa (hộp thoại Save As). u1 cũng không có quyền xóa file t1.txt cũng như tạo folder và file mới trong Data.
B2 – Truy cập folder Ketoan: u1 có quyền đọc, sửa, xóa, tạo mới folder và file (cho u1 tạo mới file u1.txt)
B3 – Truy cập folder Nhansu: u1 không có quyền truy cập (Access denied)
B4 – Tương tự sign in u3 (group Nhansu) và truy cập vào các thư mục để xem quyền của user
B5 – Sign in u2 (group Ketoan): xóa file u1.txt 🡪 Thành công 🡪 user này tạo user khác xóa được.
2. Phân quyền thư mục bằng Special Permission
2. Phân quyền thư mục bằng Special Permission
B1 – Chuột phải folder KETOAN, chọn Properties 🡪 Qua tab Security 🡪 nhấn vào nút Advanced
B2 – Trong tab Permissions 🡪 chọn Group KETOAN 🡪 chọn Edit
B3 – Trong cửa sổ Permission Entry for KETOAN, nhấn vào liên kết Show advanced permissions.
B4 – Ở mục Allow, tắt dấu chọn ở ô Delete subfolders and files và Delete 🡪 Chọn OK 4 lần
* Kiểm tra :
B1 – Sign in u1: tạo file u1.txt trong folder Ketoan -> xóa file u1.txt -> Undo
B2 – Sign in u2: tạo file u2.txt trong folder Ketoan -> xóa file u2.txt -> Undo.
B3 – Xóa file u1.txt 🡪 Báo lỗi. File do user nào tạo ra thì user đó mới xóa được.
B4 – Lần lượt chuột phải vào từng file u1.txt và u2.txt để xem bảng phân quyền 🡪 Tác giả của file thì có quyền Full control.
3. Take OwnerShip
3. Take OwnerShip
B1 – Sign In U2. Mở File Explorer, chuột phải folder CHUNG, chọn Properties. Qua tab Security 🡪 chọn Advanced
B2 – Trong tab Permissions 🡪 Chọn Disable Inheritance
B3 – Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object 🡪 OK
B4 – Cửa sổ CHUNG Properties 🡪 Chọn Edit
B5 – Nhấn Add, cho u2 quyền Full Control. Remove mọi thành viên khác kể cả group Administrators
* Kiểm tra:
B1 – Sign In U1, truy cập folder CHUNG bị báo lỗi
B2 – Sign in Administrator, bị báo lỗi. Nhấn Continue vẫn truy cập được folder Chung.
B3 – Kiểm tra lại bảng phân quyền trên folder CHUNG 🡪 Group Administrators tự động được phân quyền lại là Full Control.
* Nhận xét:Thông thường ta chỉ cho user quyền cao nhất là Modify để tránh user tái phân quyền hệ thống rồi Admin lại đi chỉnh sửa lại.
4. Quyền của user khi copy/move dữ liệu
4. Quyền của user khi copy/move dữ liệu
a. Khi COPY dữ liệu (file và folder) vào nơi khác CÙNG PARTITION thì quyền của dữ liệu vừa copy bị thay đổi phụ thuộc vào nơi đến.
b. Khi MOVE dữ liệu (file và folder) vào nơi khác CÙNG PARTITION thì quyền của dữ liệu vẫn giữ nguyên không thay đổi
c. Khi MOVE dữ liệu (file và folder) vào nơi khác KHÁC PARTITION thì quyền của dữ liệu bị thay đổi phụ thuộc vào nơi đến.
5. Kết hợp Share permission và NTFS permission
5. Kết hợp Share permission và NTFS permission
– Khi user truy cập dữ liệu tại local: chỉ có NTFS permission có tác dụng
– Khi user truy cập dữ liệu qua mạng: Share permission và NTFS permission có tác dụng cùng lúc 🡪 lấy phần giao của 2 bộ quyền (phần chung)
– Mô hình thực tế: khi share ta cho Everyone có quyền Full control, rồi dùng NTFS permission hạn chế lại 🡪 quyền user không phụ thuộc user ngồi tại đâu truy cập
B1 – Share folder DATA – Group Everyone quyền Full Control.
B2 – Kiểm tra: Thực hiện trên máy PC02. Sign in u1 rồi truy cập sang máy PC01 🡪 quyền truy cập của user vẫn được bảo toàn như khi truy cập tại local
+ Thư mục Chung không truy cập được (do user u2 phân quyền ở phần 3)
+ Xóa file u2.txt trong thư mục KETOAN, không xóa được.
+ Tương tự Sign in U3 và kiểm tra quyền trên các folder.
6. Access-based enumeration
6. Access-based enumeration
B1 – Sign In Administrator. Mở Server Manager 🡪 File and Storage Services 🡪 Shares 🡪 Chuột phải lên C:\DATA 🡪 Properties.
B2 – Chọn Settings 🡪 check ô Enable access-based enumeration 🡪 OK 🡪 OK.
B3 – Sign In U1, chỉ thấy folder KETOAN 🡪 User có quyền trên thư mục nào thì mới thấy được thư mục đó, các thư mục bị cấm truy cập sẽ không xuất hiện.
Phần 3. FILE SERVER RESOURCE MANAGER (FSRM)
File Server Resource Manager (FSRM) là bộ công cụ trong Windows Server cho phép bạn xác định, kiểm soát và quản lý số lượng cũng như loại dữ liệu được lưu trữ trên file server của bạn.
FSRM cho phép bạn định cấu hình hạn ngạch cứng hoặc mềm trên các thư mục và ổ đĩa. Hạn ngạch cứng ngăn người dùng lưu file sau khi đạt đến giới hạn hạn ngạch; trong khi đó, hạn ngạch mềm không thực thi giới hạn hạn ngạch nhưng tạo thông báo khi dữ liệu trên ổ đĩa đạt đến giới hạn ngưỡng
Sử dụng FSRM để quản lý và phân loại dữ liệu được lưu trữ trên File Server. FSRM bao gồm các tính năng sau:
Quota management
File screening management
Storage reports
File Classification Infrastructure
File management tasks
Access-denied assistance
CÁC BƯỚC TRIỂN KHAI FILE SERVER RESOURCE MANAGER:
1. Share & NTFS permission
2. Thiết lập hạn chế dung lượng và file extension
a. Cài đặt File Server Resource Manager (FSRM)
b. Thiết lập hạn chế về dung lượng: 3 GB
c. Thiết lập hạn chế chép file thực thi (*.exe, *.com)
3. Kiểm tra
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy Windows Server 2019/2022 Data Center
– Tạo user u1, u2. Password: 123
– Tạo folder C:\DATA.
B- THỰC HIỆN FILE SERVER RESOURCE MANAGER
1. Share & NTFS permission
1. Share & NTFS permission
B1 – Mở File Explorer, chuột phải folder DATA, chọn Properties. Qua tab Sharing 🡪 Advanced Sharing.
B2 – Chọn Permissions 🡪 Cho Group Everyone quyền Full Control 🡪 OK 2 lần.
B3 – Qua tab Security 🡪 chọn Edit
B4 – Cho Group Users quyền Modify 🡪 OK 3 lần.
B5 – Kiểm tra: Trên máy PC02, truy cập \\PC01. Chuột phải folder DATA, chọn Map network drive 🡪 Finish. Quan sát thấy ổ đĩa mạng Z:, kiểm tra dung lượng ổ đĩa Z:
B6 – Truy cập PCNN, chép 2 file *.doc và *.exe 🡪 Thành Công. Thực hiện tương tự cho u2
2. Thiết lập hạn chế dung lượng và file extension
2. Thiết lập hạn chế dung lượng và file extension
a. Cài đặt File Server Resource Manager (FSRM)
B1 – Mở Server Manager 🡪 menu Manage 🡪 chọn Add Roles and Features.
B2 – Các bước đầu tiên nhấn Next theo mặc định. Màn hình Server Roles 🡪 đánh dấu chọn vào ô File Server Resource Manager 🡪 Add Features 🡪 Next 🡪 Next
B3 – Màn hình Confirmation 🡪 Install 🡪 Close.
b. Thiết lập hạn chế về dung lượng: 3 GB
B1 – Trong cửa sổ Server Manager, vào menu Tools 🡪 chọn File Server Resource Manager.
B3 – Mục Quota path, Browse đến đường dẫn C:\DATA. Bên dưới chọn Define custom quota properties 🡪 chọn Custom Properties…
B4 – Trong hộp thoại Quota Properties
+ Mục Label: đặt tên Limit 3 GB
+ Mục Limit: 3 GB
Nhấn OK 🡪 Create
B5 – Hộp thoại yêu cầu Save Template, đặt tên “ 3 GB” ở khung Template Name 🡪 OK
B6 – Quan sát Quota vừa tạo.
c. Thiết lập hạn chế chép file thực thi (*.exe, *.com)
B1 – Bung mục File Screening Management, chuột phải vào File Groups 🡪 Create File Group…
B2 – Trong hộp thoại Create File Group
+ File Group Name: File Thuc Thi
+ Files to include: nhập *.exe, *.com
Nhấn OK
B3 – Chuột phải vào File Screens 🡪 Create File Screen…
B4 – Mục File screen path, Browse đến đường dẫn C:\DATA. Bên dưới chọn Define custom file screen properties, chọn Custom Properties…
B5 – Ở mục File Groups, đánh dấu chọn vào ô “File Thuc Thi” 🡪 OK 🡪 Create
B6 – Hộp thoại yêu cầu Save Template, chọn “Save the custom file screen without creating a template” 🡪 OK.
B7 – Quan sát File Screens vừa tạo.
3. Kiểm tra
3. Kiểm tra
B1 – Trên máy PC02, Sign In U1, vào This PC kiểm tra thấy dung lượng ổ đĩa mạng Z: là 3 GB.
B2 – Truy cập PCNN chép file *.doc 🡪 OK. Tuy nhiên khi chép file *.exe 🡪 Báo lỗi.
B3 – Sign In U2 và thực hiện kiểm tra tương tự.
Phần 4. DISTRIBUTED FILE SYSTEM
DFS (Distributed File System) Namespaces là một role services trong Windows Server cho phép bạn nhóm các thư mục nằm trên các file server khác nhau thành một hoặc nhiều Namespaces có cùng cấu trúc. Điều này giúp người dùng có thể truy cập các thư mục được chia sẻ, trong đó một đường dẫn duy nhất dẫn đến các file nằm trên nhiều file server.
Bạn có thể sử dụng DFS để cung cấp tính sẵn sàng cao, dễ truy cập cho các văn phòng chi nhánh. DFS thực hiện sao chép qua mạng WAN giữa nhiều file server ở nhiều vị trí và có khả năng duy trì tính nhất quán giữa các file server.
CÁC BƯỚC TRIỂN KHAI DFS
1. Cài Distributed File System role service trên các file server
2. Tạo NameSpace & chỉ định các NameSpace Server
3. Tạo Replication Group
4. Chỉ định Replicate và publish trong NameSpace
5. Thử nghiệm Failover
A- CHUẨN BỊ
Mô hình bài lab bao gồm 04 máy:
– DC01: Windows Server 2019/2022 Data Center DC (domain DOM01.LOCAL)
– PC02 và PC03: Windows Server 2019/2022 Data Center đã join domain, tạo thư mục DATA và share full thư mục DATA trên ổ C:
– PC04: Windows 10 Professional
– Sign In Domain Admin trên 3 máy PC01, PC02 và PC03
B- THỰC HIỆN TRIỂN KHAI DISTRIBUTED FILE SYSTEM
1. Cài Distributed File System role service trên PC02 và PC03
1. Cài Distributed File System role service trên PC02 và PC03
B1 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features
B2 – Cửa sổ Before You Begin, chọn Next 3 lần
B3 – Trong cửa sổ Select server roles, đánh dấu chọn DNS Server, chọn Add Features, chọn Next 2 lần
B4 – Cửa sổ Confirm installation selections, chọn Install, sau đó chọn Close
2. Tạo NameSpace & chỉ định các NameSpace Server
2. Tạo NameSpace & chỉ định các NameSpace Server
a. Tạo NameSpace HoSo trên PC02
B1 – Mở Server Manager, vào menu Tools, chọn DFS Management
B2 – Chuột phải Namespaces, chọn New Namespace
B3 – Màn hình Namespace Server, chọn Browse, trỏ đến PC02, sau đó chọn Next
B4 – Màn hình Namespace Name and Settings, mục Name: HoSo, sau đó chọn Edit Settings
B5 – Mục Shared folder permissions, chọn Use custom permissions, sau đó chọn Customize
B6 – Cho Group Everyone quyền Full Control, chọn OK 2 lần, sau đó chọn Next
B7 – Màn hình Namespace Type, chọn Domain-based namespace, sau đó chọn Next
B8 – Màn hình Review Settings and Create Namespace, chọn Create
B9 – Màn hình Confirmation, chọn Close
b. Kiểm tra kết quả trên PC02
B1 – Quan sát trong DFS, thấy Namespace vừa tạo
B2 – Mở File Explorer, quan sát thấy có thư mục DFSRoots và thư mục HoSo đã được tạo
c. Tạo thêm NameSpace Server PC03
B1 – Quay lại cửa sổ DFS Management, chuột phải \\DOM01.LOCAL\HoSo, chọn Add Namespace Server
B2 – Cửa sổ Add Namespace server, chọn Browse, trỏ đến PC03, sau đó chọn Edit Settings
B3 – Mục Shared folder permissions, chọn Use custom permissions, sau đó chọn Customize
B4 – Cho Group Everyone quyền Full Control, chọn OK 2 lần
B5 – Quan sát: Kiểm tra trên cả 2 server. Mở DFS quan sát thấy đã có 2 Namespace Server
3. Tạo Replication Group (Thực hiện trên máy PC02)
3. Tạo Replication Group (Thực hiện trên máy PC02)
B1 – Quay lại cửa sổ DFS Management, chuột phải Replication, chọn New Replication Group
B2 – Màn hình Replication Group Type, chọn Multipurpose replication group, chọn Next
B3 – Màn hình Name and Domain, mục Name of replication group, đặt tên: Replicate HoSo, chọn Next
B5 – Màn hình Replication Group Members, chọn Add, chọn PC03, PC04, sau đó chọn OK và chọn Next
B6 – Màn hình Topology Selection, chọn Full mesh, chọn Next 2 lần
B7 – Màn hình Primary Member, chọn PC02, chọn Next
B8 – Màn hình Folders to Replicate, chọn Add, Browse đến thư mục DFSRoots\HoSo, chọn OK 2 lần
B9 – Thực hiện add tiếp thư mục C:\DATA, chọn OK 2 lần, chọn Add
B10 – Màn hình Local Path of HoSo on Other Member, chọn Edit
B11 – Mục Membership Status, chọn Enabled, Browse đến thư mục DFS Roots\Hoso, chọn OK, sau đó chọn Next
B12 – Màn hình Local Path of DATA on Other Membes, chọn Edit. Mục Membership Status, chọn Enabled, Browse đến thư mục C:\DATA, chọn OK, sau đó chọn Next
B13 – Màn hình Review Settings, chọn Create, sau đó chọn Close, chọn OK
4. Chỉ Định Replicate và publish trong NameSpace
4. Chỉ Định Replicate và publish trong NameSpace
B1 – Ở khung bên trái chọn Replicate HoSo. Ở khung bên phải, chọn tab Replicated Folder. Chuột phải folder Data, chọn Share and Publish in Namespace
B2 – Màn hình Publishing Method, giữ nguyên như mặc định, chọn Next 3 lần
B3 – Màn hình Namespace Path, chọn Browse, trỏ đến thư mục \\DOM01.LOCAL\HoSo, chọn Next
B4 – Màn hình Review Settings, chọn Share, sau đó chọn Close
B5 – Thực hiện trên cả 2 member server (PC02 và PC03). Nhấn tổ hợp phím + R, gõ Services.msc. Chuột phải service DFS Replication, chọn Restart