Tải bản đầy đủ (.pdf) (51 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Quản lý tập tin, in ấn, truy cập từ xa - Server 2012 R2

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (9.61 MB, 51 trang )

Cài đặt và cấu hình Windows Server 2012 R2

Quản lý tập tin, in ấn,
truy cập từ xa - Server
2012 R2

Lê Gia Công


Cài đặt và cấu hình Windows Server 2012 R2

Nội dung
Chương 2. Quản lý tập tin, in ấn và truy cập từ xa ............................................................................ 4
2.1 Quản lý và chia sẻ tập tin ............................................................................................................ 4
Chia sẻ thư mục .............................................................................................................................. 4
Thực hiện cấp quyền sử dụng ...................................................................................................... 9
Hệ thống quản lý quyền của Windows ....................................................................................... 9
Quyền Basic, quyền Advanced ................................................................................................... 10
Quyền cho phép (Allow) và quyền từ chối (Deny) ................................................................... 11
Kế thừa quyền ............................................................................................................................... 12
Cơ chế tác động của các quyền ................................................................................................. 12
Thực hành cấp quyền chia sẻ ..................................................................................................... 13
Quyền NTFS .................................................................................................................................. 15
Cấp quyền NTFS basic ................................................................................................................. 16
Cấp quyền NTFS Advanced ......................................................................................................... 17
Kết hợp giữa quyền chia sẻ và quyền NTFS ............................................................................. 17
Cấu hình Volume Shadow Copies .............................................................................................. 18
Cấu hình Quota............................................................................................................................. 20
Cấu hình Work Folders ................................................................................................................ 21
Tóm tắt nội dung .......................................................................................................................... 24
Câu hỏi ôn tập .............................................................................................................................. 24


2.2 Cấu hình dịch vụ in ấn ............................................................................................................... 25
Triển khai print server (server phục vụ in ấn) ........................................................................... 25
Chia sẻ một printer....................................................................................................................... 31
Quản lý driver của printer ........................................................................................................... 32
Sử dụng Easy Print ....................................................................................................................... 32
Cấu hình bảo mật printer ............................................................................................................ 33
Quản lý tài liệu in .......................................................................................................................... 34
Quản lý printer .............................................................................................................................. 35
Sử dụng role Print and Document Services .............................................................................. 36
2


Cài đặt và cấu hình Windows Server 2012 R2
Cài đặt printer cho người dùng bằng Group Policy ................................................................ 39
Tóm tắt nội dung .......................................................................................................................... 40
Câu hỏi ôn tập .............................................................................................................................. 40
2.3 Quản lý server từ xa ................................................................................................................... 42
Quản lý server từ xa bằng Server Manager .............................................................................. 42
Kết nối tới server .......................................................................................................................... 42
Quản lý các server chưa gia nhập domain ................................................................................ 43
Quản lý các server đang chạy Windows Server 2012 R2 ........................................................ 44
Quản lý các server phiên bản cũ ................................................................................................ 46
Tạo các nhóm cho server ............................................................................................................ 48
Sử dụng Remote Server Administration Tools ......................................................................... 49
Làm việc với các server từ xa ...................................................................................................... 49
Tóm tắt nội dung .......................................................................................................................... 49
Câu hỏi ôn tập .............................................................................................................................. 50

3



Cài đặt và cấu hình Windows Server 2012 R2

Chương 2. Quản lý tập tin, in ấn và truy cập từ xa
Chương này đề cập tới một số dịch vụ cơ bản, được sử dụng nhiều trên các máy server. Các dịch vụ đó
là:
-

Quản lý và chia sẻ tập tin

-

Quản lý in ấn

-

Truy cập từ xa

2.1 Quản lý và chia sẻ tập tin
Một trong những công việc quan trọng hàng ngày của một người quản trị là quản lý việc lưu trữ tập tin
của người dùng và quản lý việc truy cập đến các tập tin đó. Hệ thống Windows không cho phép chia sẻ
từng tập tin. Vì vậy, để chia sẻ tập tin, bạn sẽ tạo thư mục, bỏ tập tin vào trong đó và tiến hành chia sẻ
thư mục.

Chia sẻ thư mục
Chia sẻ thư mục là làm cho người dùng trên mạng có thể sử dụng được thư mục đó. Sau khi thực hiện
xong công việc cấu hình đĩa cứng tại máy lưu trữ dữ liệu (file server), bạn phải thực hiện cấu hình chia
sẻ để cho mọi người trên mạng có thể sử dụng được đĩa cứng đó.
Trước khi cấu hình chia sẻ, bạn phải chuẩn bị trước các thứ sau:
-


Các thư mục nào sẽ được chia sẻ

-

Tên để đặt cho các thư mục chia sẻ là gì

-

Các quyền sẽ được cấp cho người dùng

-

Các thiết lập cho chế độ làm việc ngoại tuyến (offline file) liên quan đến dữ liệu chia sẻ

Trong Windows Server 2012 R2, để thực hiện chia sẻ, mở chương trình quản lý tập tin bất kì (ví dụ:
File Explorer), bấm chuột phải vào thư mục cần chia sẻ (lưu ý: tài khoản đang sử dụng phải có quyền
chia sẻ), chọn mục Share with, chọn Specific People, cửa sổ File Sharing xuất hiện.

4


Cài đặt và cấu hình Windows Server 2012 R2

Nếu bạn không phải là người tạo ra thư mục (creator owner), để thực hiện chia sẻ, bấm chuột phải vào
thư mục cần chia sẻ, chọn Properties, chọn táp Sharing, bấm Share…
Ở cửa sổ File Sharing, bạn chỉ có thể thực hiện được hai thiết lập là: lựa chọn người được phép sử
dụng thư mục chia sẻ này, và quyền tương ứng cho mỗi người.
Để cho phép người dùng có quyền truy cập thư mục chia sẻ, nhập tên người dùng hoặc tên nhóm, bấm
nút Add, hệ thống sẽ tự động kiểm tra xem tên đó có tồn tại trong hệ thống mạng hay không? Nếu tên

đó không tồn tại, hệ thống sẽ báo lỗi. Cũng có thể nhập người dùng bằng cách bấm vào dấu mũi tên
(cạnh chữ Add), chọn Find people…, cửa sổ Select Users or Groups xuất hiện.

5


Cài đặt và cấu hình Windows Server 2012 R2

Bấm Advanced…, hệ thống sẽ yêu cầu chứng thực bằng tài khoản được phép quản trị hệ thống (ví dụ:
administrator), cửa sổ Select Users or Groups sẽ xuất hiện thêm một số nút mới, bấm nút Find Now,
chọn người dùng hoặc nhóm, bấm OK, OK.
Để thiết lập quyền cho người dùng, tại cửa sổ File Sharing, chọn người dùng bất kì, tại cột Permision
Level, bấm dấu mũi tên (hình tam giác), chọn quyền đọc (Read), đọc và ghi (Read/Write), hoặc không
cho truy cập (Remove).
Để thực hiện các thiết lập khác liên quan đến chia sẻ, bấm chuột phải vào thư mục cần chia sẻ, chọn
Properties, chọn táp Sharing, chọn Advanced Sharing để mở cửa sổ Advanced Sharing.

Chức năng File and Storage Services trong Server Manager cho phép bạn cấu hình chia sẻ trên mọi đĩa
cứng và mọi server trong mạng.
6


Cài đặt và cấu hình Windows Server 2012 R2
Windows Server 2012 R2 hỗ trợ hai hình thức chia sẻ thư mục:
-

Server Message Blocks (SMB): đây là giao thức chia sẻ tập tin phổ biến, được sử dụng
trong mọi phiên bản của Windows.

-


Network File System (NFS): đây là giao thức chia sẻ tập tin phổ biến, được dùng trong các
dòng hệ điều hành UNIX, Linux.

Khi cài đặt Windows Server 2012 R2, hệ thống đã cài đặt sẵn các dịch vụ để hỗ trợ hai kiểu chia sẻ
này. Hai dịch vụ nằm trong role File and Storage Services gồm: Storage Services và File Server.
Các bước để thực hiện chia sẻ thư mục bằng Server Manager:
1. Trong Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con,
chọn Shares, khung SHARES xuất hiện.
2.

Trong khung SHARES, chọn TASKS, chọn New Share, cửa sổ New Share Wizard xuất hiện.

3. Lựa chọn một trong các tùy chọn tại cửa sổ Select The Profile For This Share:
-

SMB Share – Quick: cung cấp các chức năng chia sẻ cơ bản dựa trên SMB với đầy đủ các
quyền NTFS và quyền chia sẻ.

-

SMB Share – Advanced: cung cấp các chức năng chia sẻ dựa trên SMB với đầy đủ các
quyền NTFS và quyền chia sẻ. Cho phép sử dụng các dịch vụ cung cấp bởi File Server
Resource Manager.

-

SMB Share – Applications: cung cấp các chức năng chia sẻ dựa trên SMB với các thiết lập
tương thích với Hyper-V và các ứng dụng khác.


-

NFS Share – Quick: cung cấp các chức năng chia sẻ cơ bản dựa trên NFS cùng với cơ chế
chứng thực và phân quyền.
7


Cài đặt và cấu hình Windows Server 2012 R2
-

NFS Share – Advanced: cung cấp các chức năng chia sẻ dựa trên NFS cùng với cơ chế
chứng thực và phân quyền. Cho phép sử dụng các dịch vụ cung cấp bởi File Server
Resource Manager.

4. Bấm Next để mở cửa sổ Select The Server And Path For This Share.
5. Chọn Server, volume để chia sẻ thư mục do hệ thống thiết lập sẵn hoặc chỉ đường dẫn tới thư
mục cần chia sẻ. Bấm Next để mở sổ Specify Share Name.
6. Nhập tên hiển thị khi thư mục được chia sẻ. Bấm Next để mở cửa sổ Configure Share Settings.

7. Lựa chọn thêm các tùy chọn sau (có thể chọn tất cả):
-

Enable Access-Based Enumeration: chỉ liệt kê các thư mục mà người dùng được phép
truy cập.

-

Allow Caching Of Share: cho phép người dùng làm việc theo kiểu ngoại tuyến (offline
file) – chép luôn một bản sao xuống máy của người dùng.


-

Enable BranchCache On The File Share: cho phép server BranchCache lưu bản sao của
các tập tin đã được người dùng truy cập.

-

Encrypt Data Access: server sẽ mã hóa tập tin khi người dùng truy cập từ xa.

8. Bấm Next để chuyển sang cửa sổ Specify Permissions To Control Access.
9. Chỉnh lại các quyền chia sẻ và quyền NTFS (NTFS permission) theo nhu cầu sử dụng, bấm
Next để chuyển sang cửa sổ Comfirm Seclections.
10. Bấm Create, hệ thống thực hiện chia sẻ và mở cửa sổ View Results.
11. Bấm Close để kết thúc.

8


Cài đặt và cấu hình Windows Server 2012 R2
Sau khi được tạo, các chia sẻ sẽ xuất hiện trong khung SHARES, mục Shares, của Server Manager. Để
quản lý các chia sẻ này, bạn chỉ việc bấm chuột phải vào chia sẻ, chọn Properties. Nếu không muốn
chia sẻ, chọn Stop Sharing.

Thực hiện cấp quyền sử dụng
Cũng như các hệ điều hành Windows Server khác, bạn có thể sử dụng Windows Server 2012 R2 để
quản lý việc sử dụng các thư mục, tập tin trên máy lưu trữ dữ liệu (file server). Người dùng trên mạng
sẽ bị kiểm soát trong quá trình truy cập và sử dụng, nhằm bảo vệ sự an toàn của dữ liệu. Để kiểm soát
việc truy cập và sử dụng, Windows Server 2012 R2 có cơ chế cấp quyền sử dụng (permission) (từ đây
gọi tắt là cấp quyền) cho người dùng trên tất cả các tài nguyên.
Cấp quyền là việc cung cấp cho người dùng, nhóm người dùng hoặc máy tính các quyền thao tác cụ

thể trên một tài nguyên mạng. Tài nguyên mạng có thể là tập tin, thư mục, máy in…v.v. Ví dụ, có thể
cho phép người dùng A được phép xem nội dung của một tập tin, nhưng không cho phép họ sửa hoặc
xóa tập tin đó.
Với một thư mục, khi được chia sẻ, Windows sẽ có hai hệ thống để kiểm soát việc sử dụng của người
dùng trên mạng, đó là hệ thống kiểm soát việc sử dụng tài nguyên chia sẻ, gọi tắt là quyền chia sẻ
(share permission) và hệ thống kiểm soát việc sử dụng tài nguyên trên hệ thống NTFS, gọi tắt là quyền
NTFS (NTFS permission).
-

Quyền chia sẻ: kiểm soát việc truy cập và sử dụng của người dùng trên mạng, để truy cập
và sử dụng một tập tin trên mạng (tất nhiên là đã được chia sẻ), người dùng phải có quyền
chia sẻ, và quyền chia sẻ này phải phù hợp với quyền NTFS (nếu tập tin đang nằm trên ổ
đĩa định dạng theo NTFS). Ví dụ, người dùng A có quyền chia sẻ là Read, thì anh ta cũng
phải có quyền NTFS là Read, thì khi đó anh ta mới thực sự được quyền Read trên một tài
nguyên nào đó.

-

Quyền NTFS: kiểm soát việc truy cập và sử dụng các tài nguyên trên các volume của đĩa
cứng. Quyền này chỉ có trên các volume định dạng NTFS. Để truy cập tới một tập tin bất kì,
dù là tại máy cụ bộ hay trên mạng, người dùng đều phải có quyền NTFS thì mới được phép
truy cập và sử dụng tập tin. Cụ thể, với một tập tin trên đĩa cứng, bạn là người dùng cục bộ,
có thể bạn không cần quyền chia sẻ, nhưng bắt buộc bạn phải có quyền NTFS thì mới được
phép truy cập và sử dụng tập tin.

Các hệ thống kiểm soát quyền này thường hoạt động độc lập, đôi khi nó cũng có kết hợp với nhau để
tăng thêm sự an toàn cho dữ liệu. Như vậy, nếu một người dùng trên mạng muốn truy cập và sử dụng
một tập tin trên volume NTFS, thì người dùng đó phải có cả quyền chia sẻ và quyền NTFS. Nghĩa là,
người quản trị phải cấp quyền cho người dùng đó ở cả hai nơi: chia sẻ và NTFS.


Hệ thống quản lý quyền của Windows
Để quản lý quyền, Windows sử dụng ACL (Access Control List: danh sách kiểm soát sử dụng). ACL
là một công cụ để kiểm soát việc truy cập và sử dụng một tài nguyên. Mỗi tài nguyên sẽ có một ACL
đi kèm.
ACL chứa các quyền truy cập và sử dụng của người dùng, nhóm người dùng (gọi chung là người
dùng). Một ACL gồm nhiều ACE (Access Control Entry: danh mục kiểm soát sử dụng).

9


Cài đặt và cấu hình Windows Server 2012 R2
Một ACE gồm tên người dùng và các quyền của người dùng đó. Khi thực hiện cấp quyền, hệ thống
Windows sẽ tạo ra một ACE mới. Khi thực hiện thay đổi quyền, nội dung của các ACE liên quan trong
ACL sẽ được cập nhật.
Cũng như trong các hệ điều hành Windows Server trước đây, trong Windows Server 2012 R2, bạn có
thể quản lý quyền chia sẻ và quyền NTFS, bằng cách bấm chuột phải vào thư mục cần quản lý quyền,
chọn Properties, chọn táp Sharing để quản lý quyền chia sẻ, chọn táp Security để quản lý quyền NTFS.
Lưu ý: Windows không cho phép chia sẻ tập tin, muốn chia sẻ tập tin, cần tạo một thư mục và đặt tập
tin vào trong đó.

Ví dụ, ở hình trên, mục Group or user names: là danh sách các người dùng, nhóm người dùng được
phép truy cập và sử dụng tài nguyên có tên là DungChung. Ứng với mỗi lựa chọn ở mục này là danh
sách các quyền tương ứng tại mục Permissions for (tên của người dùng, nhóm).
Bạn cũng có thể quản lý việc truy cập và sử dụng tài nguyên bằng công cụ Server Manager, tuy nhiên,
giao diện có hơi khác một chút.

Quyền Basic, quyền Advanced
Cơ chế sử dụng quyền để bảo vệ tập tin không giống với bảo vệ một căn phòng bằng một ổ khóa. Với
một ổ khóa, nếu bạn không có chìa khóa, bạn sẽ không làm được gì; nếu bạn có chìa khóa, bạn có toàn
quyền sử dụng mọi thứ trong phòng. Tuy nhiên, để quản lý được linh hoạt hơn, hệ thống quyền trong

NTFS được chia thành nhiều mức độ khác nhau, và khi thực hiện cấp quyền, bạn có thể cấp cho người
dùng các mức độ khác nhau.
Hệ thống NTFS gồm hai loại quyền: basic và advanced.
-

Quyền advanced: là các quyền sử dụng được chia theo nhiều mức độ khác nhau.

10


Cài đặt và cấu hình Windows Server 2012 R2
-

Quyền basic: dựa trên nhu cầu sử dụng thực tế của người dùng, hệ thống sẽ kết hợp một số
quyền advanced để tạo thành quyền basic.

Khi bạn mở cửa sổ để thực hiện cấp quyền NTFS (táp Security), các quyền NTFS mà bạn nhìn thấy là
các quyền basic. Các quyền basic được sử dụng nhiều trong việc quản lý truy cập và sử dụng một tập
tin.
Trong các phiên bản trước Windows Server 2012, quyền basic có tên gọi là standard permission, quyền
advanced có tên gọi là special permission.
Ví dụ, hệ thống NTFS có 14 quyền advanced để gán cho tập tin hoặc thư mục (gọi tắt là tập tin), trong
khi đó, số quyền basic là sáu. Sáu quyền basic này là các kết hợp khác nhau từ 14 quyền advanced.
Bạn có thể vừa gán quyền advanced, vừa gán quyền basic cho một tập tin. Như vậy, trong một ACE sẽ
vừa chứa thông tin về các quyền basic, vừa chứa thông tin về các quyền advanced. Trong thực tế, bạn
thường xuyên sử dụng các quyền basic, và rất hiếm khi sử dụng các quyền advanced.
Để thực hiện cấp quyền advanced cho một tập tin, bạn chuột phải vào một tập tin, chọn Properties,
chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện. Từ đây, bạn
có thể truy cập và thay đổi trực tiếp các ACE thuộc về một tập tin. Bạn cũng có thể mở cửa sổ này từ
Server Manager.


Quyền cho phép (Allow) và quyền từ chối (Deny)
Khi bạn thực hiện cấp quyền sử dụng một tập tin, một ACE trong ACL của tập tin đó sẽ được tạo ra.
Có hai loại ACE cơ bản là Allow (cho phép) và Deny (từ chối). Dựa trên hai loại ACE này sẽ có hai
cách tiếp cận để thực hiện cấp quyền:
-

Thêm quyền (Additive): khởi đầu, người dùng sẽ không có bất cứ quyền gì trên tập tin, sau
đó sẽ thêm cho người dùng các quyền theo nhu cầu sử dụng (quyền Allow).

11


Cài đặt và cấu hình Windows Server 2012 R2
-

Bớt quyền (Subtractive): khởi đầu, cấp cho người dùng toàn quyền sử dụng tập tin (cho tất
cả quyền Allow), sau đó, sẽ hạn chế bớt các quyền mà người dùng không được phép, bằng
cách sử dụng quyền từ chối (Deny).

Đa số mọi người thích sử dụng phương pháp thêm quyền, phương pháp này an toàn hơn, người dùng
cần sử dụng tới đâu, gán quyền tới đó. Thực tế, rất ít người sử dụng kết hợp cả hai phương pháp này
cùng một lúc, vì nó rất phức tạp, khó kiểm soát.

Kế thừa quyền
Kế thừa quyền là nguyên lý quan trọng trong việc quản lý quyền của người dùng. Kế thừa quyền là
hiện tượng quyền sẽ được truyền từ đối tượng cha xuống cho tất cả các đối tượng con. Ví dụ: khi bạn
cấp quyền cho người dùng A được phép đọc ổ đĩa D:\, thì người dùng A cũng sẽ có quyền đọc tất cả
các thư mục và tập tin có trên ổ đĩa D:\.
Kế thừa quyền giúp cho việc phân quyền được thuận tiện hơn. Nếu như không có nguyên lý này, bạn

sẽ phải cấp quyền sử dụng cho tất cả các tập tin và thư mục. Ngược lại, sử dụng nguyên lý kế thừa, bạn
chỉ cần cấp quyền một lần cho thư mục cha.
Trong thực tế, khi xây dựng cấu trúc thư mục để lưu trữ dữ liệu, hoặc khi xây dựng hệ thống OU trong
AD DS người quản trị đã phải xem xét đến yếu tố kế thừa trong phân quyền và ủy quyền trong quản
trị.
Trong một vài trường hợp nếu bạn không muốn áp dụng nguyên lý kế thừa trong phân quyền, nghĩa là
bạn không muốn các quyền của thư mục cha sẽ truyền xuống các tập tin hay thư mục con, bạn có hai
cách để thực hiện:
-

Tắt chế độ kế thừa: trong cửa sổ cấu hình quyền advanced, có tùy chọn cho phép bạn ngăn
không cho các quyền trong một ACE nào đó được truyền xuống các tập tin hoặc thư mục
con.

-

Sử dụng quyền kiểu Deny: dựa vào độ ưu tiên, quyền Deny luôn có quyền ưu tiên cao hơn
quyền Allow, nghĩa là nếu một người dùng vừa có quyền đọc (Allow Read), vừa bị cấm đọc
(Deny Read), thì người đó sẽ bị cấm đọc. Dựa vào tính chất này, nếu bạn không muốn
người dùng kế thừa một quyền nào đó từ thư mục cha, bạn chỉ cần gán quyền Deny tương
ứng.

Cơ chế tác động của các quyền
Một người dùng có thể nhận được quyền từ nhiều nguồn khác nhau. Một người dùng có thể nhận được
quyền do gán trực tiếp, do kế thừa, do nhận được từ nhóm người dùng mà nó là thành viên. Điều này
có thể dẫn đến tình trạng các quyền bị chồng lấn, đối nghịch nhau.
Vì vậy, người quản trị cần phải nắm rất rõ về cơ chế kết hợp của các quyền. Quyền của người dùng sẽ
là kết hợp của các quyền trong ACE Allow và ACE Deny.
Sau đây là một số quy tắc được áp dụng khi cấp quyền:
-


Quyền Allow được cộng dồn (tích lũy): nếu người dùng nhận được các quyền Allow từ
nhiều nguồn khác nhau, thì các quyền đó sẽ được kết hợp lại.

12


Cài đặt và cấu hình Windows Server 2012 R2
-

Quyền Deny có độ ưu tiên cao hơn quyền Allow: khi người dùng nhận được quyền Allow
do kế thừa, hoặc nhận được do là thành viên của nhóm người dùng, bạn vẫn có thể vô hiệu
các quyền đó bằng cách gán quyền Deny tương ứng.

-

Quyền gán công khai có độ ưu tiên cao hơn: khi người dùng nhận được quyền do kế thừa
hoặc do là thành viên của nhóm người dùng, bạn có thể vô hiệu hóa các quyền đó bằng cách
gán quyền công khai.

Tất nhiên, người quản trị rất khó để xác định xem người dùng A được phép làm gì trên một tài nguyên.
Để xác định, chuột phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ
Advanced Security Settings for…sẽ xuất hiện, chọn táp Effective Access, chọn người dùng, nhóm
người dùng, hoặc thiết bị, bấm nút View effective access để xem các quyền mà người dùng được phép
thực hiện.

Thực hành cấp quyền chia sẻ
Trong Windows Server 2012 R2, các thư mục chia sẻ sẽ được quản lý bởi hệ thống quyền chia sẻ. Hệ
thống quyền chia sẻ hoạt động độc lập với các hệ thống quyền khác của Windows.
Với các người dùng trên mạng, ngoài việc phải có quyền NTFS, họ phải có quyền chia sẻ thích hợp thì

mới được phép truy cập và sử dụng một thư mục chia sẻ.
Để thay đổi quyền cho một thư mục chia sẻ bằng File Explorer, chuột phải vào thư mục, chọn
Properties, chọn táp Sharing, chọn Advanced Shairng, chọn Permisions để mở cửa sổ Permissions
for…, từ cửa sổ này, bạn có thể thực hiện thay đổi quyền chia sẻ cho người dùng.

13


Cài đặt và cấu hình Windows Server 2012 R2

Để thay đổi quyền chia sẻ bằng Server Manager, thực hiện các bước sau:
1. Mở Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con,
chọn Shares để mở khung SHARES.
2. Trong khung SHARES, bấm chuột phải vào chia sẻ muốn thay đổi quyền, chọn Properties để
mở cửa sổ Properties.
3. Chọn Permissions để mở cửa sổ Permisions.
4. Chọn Customize Permissions… để mở cửa sổ Advanced Security Settings for…
5. Chọn táp Share.

14


Cài đặt và cấu hình Windows Server 2012 R2

6. Bấm nút Edit để sửa quyền, muốn cấp quyền mới bấm nút Add để mở cửa sổ Permission Entry
for...
7. Bấm Select A Principal để hiển thị cửa sổ Select User, Computer, Services Account, Or Group.
8. Nhập tên hoặc tìm người dùng, nhóm mà bạn muốn cấp quyền chia sẻ. Bấm OK. Người dùng
hoặc nhóm sẽ xuất hiện trong cửa sổ Permission Entry for...
9. Lựa chọn loại quyền (Allow, Deny) mà bạn muốn cấp cho người dùng.

10. Đánh dấu chọn vào các quyền mà bạn muốn cấp cho người dùng, bấm OK.
11. Một ACE mới sẽ được tạo ra trong cửa sổ Advanced Security Settings for...
12. Bấm OK để đóng cửa sổ Advanced Security Settings.
13. Bấm OK để đóng cửa sổ Properties.

Quyền NTFS
Hầu hết các hệ điều hành Windows hiện nay đang sử dụng hệ thống quản lý tập tin NTFS thay cho
FAT32. Hệ thống NTFS cung cấp cơ chế kiểm soát việc sử dụng của người dùng, trong khi hệ thống
FAT32 không có.
Mỗi tập tin hoặc thư mục trong ổ đĩa logic (hoặc volume) đều có một ACL đi kèm, để kiểm soát việc
sử dụng của người dùng. Mỗi ACL gồm nhiều ACE. Mỗi ACE gồm có tên người dùng hoặc nhóm
người dùng, cùng với các quyền sử dụng tương ứng. Mỗi người dùng hoặc nhóm người dùng có một
định danh bảo mật riêng, gọi là SID (security identifier).
Khi người dùng đăng nhập thành công vào hệ điều hành Windows, hệ thống sẽ cấp cho người dùng
một thẻ bảo mật (security access token), thẻ này gồm có SID của người dùng và SID của tất cả các
nhóm mà người dùng này là thành viên. Khi người dùng mở một tập tin hoặc một thư mục để sử dụng,

15


Cài đặt và cấu hình Windows Server 2012 R2
hệ thống NTFS sẽ so sánh các SID có trong thẻ bảo mật với các SID được lưu trong các ACE, từ đó
xác định được các quyền sử dụng tương ứng. Quá trình này gọi là sự cấp phép sử dụng (authorization).

Cấp quyền NTFS basic
Để kiểm soát việc truy cập và sử dụng trên máy lưu trữ dữ liệu (file server), đa số người quản trị chỉ
cần sử dụng quyền basic là đủ, rất hiếm khi phải sử dụng tới quyền advanced.
Để cấp quyền basic cho một thư mục chia sẻ (hoặc thư mục không chia sẻ), mở tiện ích File Explorer
(Windows Explorer trong các phiên bản trước đây) bấm chuột phải vào thư mục cần cấp quyền, chọn
Properties, chọn táp Security để cấp quyền basic.

Có cách khác để cấp quyền basic cho thư mục chia sẻ là sử dụng Server Manager, sau đây là các bước
thực hiện:
1. Mở Server Manager, chọn File and Storage Services ở khung bên trái, để mở trình đơn con,
chọn Shares để mở khung SHARES.
2. Trong khung SHARES, bấm chuột phải vào thư mục chia sẻ muốn cấp hoặc thay đổi quyền,
chọn Properties để mở cửa sổ Properties.
3. Chọn Permissions để mở cửa sổ Permisions.
4. Chọn Customize Permissions… để mở cửa sổ Advanced Security Settings for…
5. Chọn táp Permissions để hiển thị nội dung của ACL.

6. Để điều chỉnh quyền, chọn người dùng, bấm Edit. Để cấp quyền mới, bấm nút Add để mở cửa
sổ Permission Entry for…
7.

Bấm Select A Principal để hiển thị cửa sổ Select User, Computer, Services Account, Or
Group.

16


Cài đặt và cấu hình Windows Server 2012 R2
8. Nhập tên hoặc tìm người dùng, nhóm mà bạn muốn cấp quyền basic. Bấm OK. Người dùng
hoặc nhóm sẽ xuất hiện trong cửa sổ Permission Entry for...
9. Lựa chọn loại quyền (Allow, Deny) mà bạn muốn cấp cho người dùng trong mục Type.
10. Lựa chọn thư mục con hoặc các tập tin sẽ được kế thừa quyền basic này trong mục Applies To.
11. Đánh dấu chọn vào các quyền basic mà bạn muốn cấp cho người dùng, bấm OK.
12. Một ACE mới sẽ được tạo ra trong cửa sổ Advanced Security Settings for...
13. Bấm OK để đóng cửa sổ Advanced Security Settings.
14. Bấm OK để đóng cửa sổ Properties.


Cấp quyền NTFS Advanced
Các bước để cấp quyền advanced gần giống với các bước để cấp quyền basic.
Để thực hiện cấp quyền advanced cho một tập tin, bạn chuột phải vào một tập tin, chọn Properties,
chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện, bấm Add
hoặc Edit để mở cửa sổ Permission Entry for…, bấm vào mục Show advanced permissions, tại đây
bạn có thể thay đổi trực tiếp các quyền advanced.

Bạn cũng có thể mở cửa sổ này từ Server Manager.

Kết hợp giữa quyền chia sẻ và quyền NTFS
Như đã trình bày ở phần trước, một người dùng trên mạng muốn sử dụng một thư mục chia sẻ thì họ
luôn bị kiểm soát bởi hai loại quyền: quyền chia sẻ và quyền NTFS. Người dùng phải có quyền hợp lệ
ở cải hai loại trên thì mới được phép sử dụng.
Hệ thống quyền chia sẻ và quyền NTFS làm việc độc lập với nhau. Do vậy, khi thực hiện cấp quyền sử
dụng, người quản trị phải thực hiện cấp ở cả hai nơi.
17


Cài đặt và cấu hình Windows Server 2012 R2
Trong quá trình cấp quyền chia sẻ và quyền NTFS, có thể xảy ra tình trạng xung đột. Ví dụ, người
dùng có thể có quyền NTFS là Modify trên một thư mục, tuy nhiên, người dùng đó lại chỉ có quyền
chia sẻ là Read (không có quyền Change), khi đó người dùng chỉ được phép Read trên thư mục.
Quyền chia sẻ là hệ thống quyền đơn giản nhất của Windows, nhằm bảo vệ các tài nguyên chia sẻ. Tuy
nhiên, quyền chia sẻ chỉ có ba mức độ (Read, Change, Full Control). Do vậy, khó có thể thỏa mãn
được nhu cầu quản trị tập tin và thư mục trong thực tế. Trong khi đó, quyền NTFS cung cấp rất nhiều
mức độ khác nhau cho người quản trị lựa chọn.
Trong thực tế, quyền chia sẻ thường được sử dụng để quản lý các tài nguyên chia sẻ trên hệ thống
FAT32, vì hệ thống FAT không có cơ chế kiểm soát quyền của riêng nó.
Đối với một hệ thống được tổ chức phân quyền cẩn thận dựa trên quyền NTFS, thì quyền chia sẻ
không có nhiều ý nghĩa nữa. Do vậy, bạn có thể gán quyền chia sẻ cho Everyone quyền Full control.

Việc kiểm soát truy cập, đảm bảo an toàn dữ liệu dựa hoàn toàn trên quyền NTFS. Vì nếu phải ngồi
phân tích việc kết hợp làm sao cho hợp lý giữa quyền chia sẻ và quyền NTFS chỉ làm rắc rối thêm quá
trình quản trị.

Cấu hình Volume Shadow Copies
Volume Shadow Copies là một chức năng của Windows Server 2012 R2, chức năng này cho phép bạn
lưu các trạng thái trước đây của các tập tin trên máy server. Như vậy, nếu người dùng có vô tình xóa
mất tập tin, hoặc ghi đè tập tin, thì họ vẫn có thể lấy lại được tập tin ở thời điểm trước đó. Việc lưu các
bản dự phòng của các tập tin này không thể thực hiện được cho từng thư mục, từng tập tin, mà phải
thực hiện trên toàn volume.
Các bước để tạo một Volume Shadow Copies:
1. Bấm đúp vào This PC, hoặc phím cửa sổ + E để mở cửa sổ File Explorer.
2. Tại cây thư mục ở khung phía trái, bấm chuột phải vào một volume cần tạo Volume Shadow
Copies, chọn Configure Shadow Copies…để mở cửa sổ Shadow Copies.

18


Cài đặt và cấu hình Windows Server 2012 R2

3. Trong khung Select A Volume, chọn volume mà bạn muốn bật chức năng Shadow Copies. Khi
một volume được bật chức năng Shadow, hệ thống sẽ thực hiện các thiết lập mặc định sau:
-

Shadow copies sẽ được lưu ngay trên volume được bật chức năng này.

-

Hệ thống sẽ để sẵn ít nhất 300 MB không gian đĩa cứng cho shadow copies.


-

Thời gian lưu các tập tin được thực hiện vào 7:00 A.M và 12:00 P.M mỗi ngày trong
tuần (từ Thứ Hai đến Thứ Sáu).

4. Để thay đổi các thiết lập mặc định trên, bấm nút Settings để mở cửa sổ Settings.
5. Chọn ổ đĩa để lưu shadow copies trong mục Storage Area.
6. Chọn No limit nếu bạn không muốn giới hạn không gian lưu trữ shadow copies, hoặc nhập kích
thước tối đa cho shadow copies trong ô Use limit. Khi không gian cho shadow copies đã đầy,
hệ thống sẽ thực hiện xóa các bản shadow copies cũ nhất. Tuy nhiên, cần lưu ý là Windows
Server 2012 R2 chỉ hỗ trợ tối đa 64 bản shadow copies cho mỗi volume.
7. Để điều chỉnh thời gian thực hiện lưu các tập tin, bấm mục Schedule. Tại đây, bạn có thể tạo
mới, xóa, hoặc điều chỉnh các thời biểu cho phù hợp.
8. Bấm OK hai lần để đóng cửa sổ Schelude và Settings.
9. Bấm Enable. Hệ thống sẽ bật chức năng shadow copies cho ổ đĩa đã được lựa chọn và tạo bản
sao lưu đầu tiên.
Với một volume đã được bật chức năng shadow copies, người sử dụng có thể lấy lại các phiên bản
trước đây của một tập tin bằng cách, trong File Explorer, bấm chuột phải vào tập tin, chọn Restore
previous versions, chọn táp Previous Versions.

19


Cài đặt và cấu hình Windows Server 2012 R2

Cấu hình Quota
Quản lý không gian đĩa cứng là một nhiệm vụ thường xuyên của người quản trị. Một trong những giải
pháp được sử dụng để kiểm soát việc sử dụng đĩa cứng của người dùng là cấp định mức đĩa.
Quota là việc cấp cho mỗi người dùng một định mức không gian đĩa cứng nhất định, người dùng
không được phép sử dụng nhiều hơn định mức đã được cấp.

Windows Server 2012 R2 cung cấp hai loại quota: loại quota chi tiết hơn được thực hiện tại File Server
Resource Manager, loại quota đơn giản hơn được thực hiện bằng quota của NTFS.
Hệ thống quota của NTFS cho phép người quản trị giới hạn không gian đĩa cứng cho mỗi người dùng.
Tùy theo các thiết lập, khi sử dụng vượt quá định mức, người dùng có thể bị cảnh báo, hoặc không
được phép tiếp tục sử dụng thêm không gian đĩa.
Không gian đĩa được tính cho một người dùng bao gồm: kích thước của tất cả các tài nguyên (tập tin,
thư mục) mà người dùng đó tạo ra, hoặc người dùng đó sở hữu (own).
Hệ thống quota trên NTFS chỉ cho phép bạn thiết lập quota ở mức volume, và cũng rất hạn chế trong
việc xử lý khi người dùng sử dụng vượt quá định mức.
Hệ thống quota trong File Server Resource Manager cho phép thiết lập rất linh hoạt, và khi có người
dùng sử dụng vượt quá định mức, nó có cơ chế gửi email thông báo, thực thi một vài tác vụ, gửi báo
cáo, ghi sự kiện.
Các bước để tạo quota trên hệ thống NTFS:
(lưu ý, thiết lập này sẽ có tác dụng cho các người dùng mới, tính từ thời điểm quota được thiết lập)
1. Bấm đúp vào This PC, hoặc phím cửa sổ + E để mở cửa sổ File Explorer.
2. Tại cây thư mục ở khung phía trái, bấm chuột phải vào volume cần tạo quota, chọn Properties
để mở cửa sổ Properties.
3. Chọn táp Quota để mở giao diện cho phép tạo quota.

20


Cài đặt và cấu hình Windows Server 2012 R2

4. Đánh dấu chọn vào mục Enable Quota Management để bật các điều khiển phía dưới.
5. Nếu bạn muốn ngăn không cho người dùng đươc phép tiếp tục sử dụng, khi họ đã dùng hết
định mức, đánh dấu chọn vào mục Deny Disk Space To Users Exceeding Quota Limit.
6. Để thiết lập định mức đĩa cứng cho người dùng, chọn mục Limit Disk Space To, và nhập không
gian đĩa tối đa một người được phép sử dụng. Để cảnh báo khi người dùng sử dụng tới một
ngưỡng nào đó, nhập giá trị vào mục Set warning level to.

7. Nếu bạn muốn máy tính tự động ghi lại sự kiện (ghi log) khi người dùng sử dụng vượt quá định
mức hoặc vượt quá ngưỡng cảnh báo, đánh dấu chọn vào hai mục Log event phía dưới cửa sổ.
8. Bấm OK để tạo quota và đóng cửa sổ Properties.
9. Đóng chương trình File Explorer.

Cấu hình Work Folders
Work Folders là một chức năng của Windows Server 2012 R2. Với chức năng này, người quản trị có
thể tạo ra các thư mục đồng bộ dữ liệu (synchronized access) cho người dùng. Thư mục đồng bộ được
tạo trên máy file server, sau đó người dùng có thể tạo các thư mục đồng bộ với nó trên nhiều máy trạm,
nhiều thiết bị khác nhau.
Cách làm việc của Work Folders tương tự như SkyDrive của Microsoft, chỉ khác là trong SkyDrive,
các tập tin được lưu trên Internet, còn trong Work Folders, các tập tin được lưu tại máy server cục bộ.
Vì các tập tin được lưu trên máy cục bộ, nên người quản trị có thể kiểm soát được các tập tin, lưu dự
phòng, phân loại, hoặc mã hóa chúng khi cần.
Để thiết lập môi trường làm việc có Work Folders, thực hiện các bước sau:
Phía server:

21


Cài đặt và cấu hình Windows Server 2012 R2
-

Cài dịch vụ Work Folders trong role File and Storage Services. Hệ thống sẽ yêu cầu cài đặt
thêm feature IIS Hostable Web Core. Feature này có chức năng giao tiếp với Work Folders
client, thông qua HTTP.

-

Mở Server Manager, chọn mục File and Storage Services từ khung bên trái, một trình đơn

con sẽ mở ra, chọn mục Work Folders để mở khung WORK FOLDERS, chọn TASKS,
chọn New Sync Share để mở cửa sổ New Sync Share Wizard. Bấm Next.

-

Lựa chọn thư mục đã được chia sẻ trong mục Select by file share hoặc thư mục mới trong
mục Enter a local path mà bạn muốn cài đặt chế độ Work Folders. Bấm Next để mở cửa sổ
Specify the structure for user folders. Lựa chọn kiểu đặt tên cho thư mục. Bạn có thể lựa
chọn chỉ cài đặt Work Folders trên một thư mục con, bằng cách đánh dấu chọn vào Sync
only the following subfolder. Bấm Next để nhập tên sẽ hiển thị cho thư mục chia sẻ.

-

Bấm Next để mở cửa sổ Grant sync access to groups, bấm Add để nhập nhóm người dùng
được phép kết nối tới thư mục chia sẻ. Bấm Next để mở cửa sổ Specify device policies, có
thể lựa chọn để mã hóa dữ liệu khi truyền hoặc yêu cầu khóa màn hình người dùng và yêu
cầu nhập mật khẩu trước khi truy cập vào thư mục.

-

Bấm Next để mở cửa sổ Comfirm selections. Bấm Create.

-

Sau khi được tạo, thư mục được thiết lập chế độ WorkFolder sẽ xuất hiện trong khung
WORKFOLDERS.

22



Cài đặt và cấu hình Windows Server 2012 R2

Bên máy client.
-

Có hỗ trợ từ Windows 8.1.

-

Cấu hình trong Control Panel. Người dùng cần có địa chỉ email trong quá trình cấu hình,
cần xác định vị trí của Work Folders trên máy cục bộ.

-

Hệ thống cũng sẽ tự tạo ra một thư mục có tên là Work Folders, thư mục này sẽ xuất hiện
trong File Explorer và trong các cửa sổ liên quan đến quản lý tập tin.

-

Khi người dùng lưu các tập tin vào Work Folder trên máy cục bộ, chúng sẽ tự động được
đồng bộ hóa với thư mục Work Folders của người dùng trên máy server.

-

Người dùng có thể tạo ra các Work Folders trên các máy tính hoặc thiết bị khác nhau với số
lượng tùy ý theo nhu cầu sử dụng.

Với môi trường đã được thiết lập Work Folders, sau khi người dùng lưu các tập tin của họ tại máy làm
việc ở cơ quan, khi họ đi về nhà các tập tin cũng đã được đồng bộ hóa trên các máy tính ở nhà. Tương
tự như vậy, Work Folders có thể đồng bộ các tập tin của người dùng từ máy server tới thiết bị di động,

sau đó, người dùng có thể vừa đi về nhà vừa làm việc trên thiết bị di động (không có kết nối Internet),
khi về nhà, gắn thiết bị di động vào mạng Internet, các tập tin sẽ được đồ bộ ngược trở lại máy server.
Như vậy, ngày hôm sau tới cơ quan, anh ta sẽ có phiên bản mới nhất của tập tin.
Work Folders không phải là một công cụ được thiết kế để phục vụ cho việc cộng tác trong công việc.
Nó chỉ là phương tiện giúp đồng bộ hóa các thư mục giữa nhiều thiết bị, trong khi người quản trị vẫn
duy trì việc kiểm soát các thư mục đó. Có thể thiết lập mã hóa cho các tập tin trong quá trình đồng bộ,
có thể yêu cầu xóa sạch dữ liệu đối với các thiết bị bị mất.

23


Cài đặt và cấu hình Windows Server 2012 R2

Tóm tắt nội dung
-

Tạo thư mục chia sẻ giúp người dùng trong mạng có thể truy cập tới các thư mục dữ liệu
đang được lưu trữ trên máy server.

-

Quyền NTFS giúp kiểm soát người dùng trong quá trình truy cập và sử dụng tập tin hoặc
thư mục. Quyền chia sẻ giúp kiểm soát mở mức độ đơn giản việc truy cập và sử dụng của
người dùng trên mạng. Người dùng trên mạng muốn truy cập và sử dụng một thư mục hoặc
tập tin thì họ phải có cả hai quyền: NTFS và chia sẻ.

-

ABE (Access-based enumeration): thiết lập bộ lọc trên các thư mục chia sẻ, mục đích của
bộ lọc là chỉ cho phép hiển thị trên máy người dùng các thư mục chia sẻ nào mà người dùng

được phép truy cập.

-

Offline files là chức năng của Windows, nó cho phép máy client duy trì một bản sao của
các tập tin hay thư mục chia sẻ từ máy server.

-

Volume Shadow Copies là một chức năng của Windows Server 2012 R2, nó cho phép duy
trì trên máy server các phiên bản trước đây của các tập tin, trong trường hợp người dùng vô
tình xóa mất hoặc chép đè một tập tin, thì họ vẫn có thể lấy lại được các phiên bản trước đó.

-

Quota của hệ thống NTFS cho phép người quản trị thiết lập định mức đĩa cứng cho người
dùng trên từng volume.

-

Work Folders là một chức năng của Windows Server 2012 R2, nó thực hiện đồng bộ hóa
các tập tin ở nhiều thiết bị của người dùng với tập một tập tin trên máy server.

Câu hỏi ôn tập
1. Số shadow copies tối đa mà hệ thống Windows Server 2012 R2 cho phép duy trì trên
mỗi volume là:
A. 8
B. 16
C. 64
D. 128

2. Thuật ngữ nào sau đây diễn đạt quá trình hệ thống xem xét người dùng được phép làm
gì trên một thư mục chia sẻ, bằng cách đọc các quyền mà họ đã được cấp.
A. Authentication
B. Authorization
C. Enumeration
D. Assignment
3. Tác vụ nào sau đây có thể thực hiện bằng quota trong File Server Resource Manager
nhưng không thể thực hiện được bằng quota của NTFS?
A. Gửi một email tới người quản trị, khi người dùng sử dụng vượt quá định mức
của họ.
B. Thiết lập định mức đĩa khác nhau cho mỗi người dùng.
24


Cài đặt và cấu hình Windows Server 2012 R2
C. Không cho phép người dùng sử dụng không gian đĩa nằm ngoài định mức đã
được cấp.
D. Gửi cảnh cáo đến người dùng khi họ sử dụng gần hết định mức.
4. Trong hệ thống quyền NTFS của Windows Server 2012 R2, kết hợp các quyền kiểu
advanced sẽ tạo thành các quyền kiểu gì? (chọn nhiều khả năng).
A. Special
B. Basic
C. Share
D. Standard
5. Phát biểu nào sau đây mô tả đúng nhất về đối tượng được cấp quyền (security principal)
liên quan đến quá trình cấp quyền NTFS?
A. Đối tượng được cấp quyền là người duy nhất được sử dụng tập tin mà không cần
quyền sử dụng.
B. Đối tượng được cấp quyền là người chịu trách nhiệm tạo ra các loại quyền.
C. Đối tượng được cấp quyền là người đang thực hiện cấp quyền sử dụng tài

nguyên.
D. Đối tượng được cấp quyền là người sẽ được nhận các quyền sử dụng tài nguyên.

2.2 Cấu hình dịch vụ in ấn
Triển khai print server (server phục vụ in ấn)
Đối với một hệ thống mạng nhỏ, việc cài đặt, chia sẻ, theo dõi, và quản lý một thiết bị in ấn khá đơn
giản. Tuy nhiên, với một hệ thống mạng có hàng chục, hàng trăm thiết bị in ấn thì công việc sẽ trở nên
phức tạp hơn nhiều.
Một số thành phần liên quan đến in ấn trong môi trường Windows:
-

Print device (thiết bị in): là thiết bị phần cứng, được sử dụng để in các tài liệu lên giấy hoặc
một chất liệu bất kì (ví dụ máy in). Windows Server 2012 R2 hỗ trợ hai loại thiết bị in, một
là loại gắn trực tiếp vào máy tính, thông qua cổng kết nối; hai là loại gắn vào hệ thống
mạng (có thể gắn trực tiếp, hoặc thông qua một máy tính).

-

Printer: trong Windows, printer được hiểu là thành phần giao tiếp, nó giúp máy tính có thể
nói chuyện được với các thiết bị in. Như vậy, khi làm việc trên môi trường Windows, bạn
phải hiểu là mình đang làm việc với các printer tượng trưng (máy in tượng trưng), còn việc
Windows làm việc với các thiết bị in là việc làm ngầm của Windows. Windows có thể giao
tiếp với các thiết bị in thông qua nhiều loại cổng: USB, FireWire, LPT, COM, IrDA,
Bluetooth, LPR, IPP, standard TCP/IP.

-

Print server: là một máy tính, hoặc một thiết bị bất kì, có nhiệm vụ nhận lệnh in từ người
dùng, sau đó chuyển yêu cầu in tới cho thiết bị in.


-

Printer driver: là phần mềm điều khiển của thiết bị in. Mỗi thiết bị in có phần mềm điều
khiển của riêng nó.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×