top of page
Search

TÌM HIỂU PHÂN QUYỀN NTFS TRONG WINDOWS

Writer's picture: Tuan NguyenTuan Nguyen
Aug 29, 20185 min read

Updated: Aug 30, 2018



1. Tìm hiểu NTFS Permission là gì ?

Hệ thống bạn có File Server, trên này bạn tạo nhiều thư mục khác nhau cho từng phòng ban. Các users của phòng ban sẽ thực hiện các thao tác dữ liệu trên thư mục mà bạn đã tạo, vậy làm thế nào chúng ta phân quyền cho phép (Allow) hay không cho phép (Deny) người dùng của phòng ban nào được quyền gì trên từng thư mục, bộ phân quyền NTFS sẽ giúp chúng ta làm được điều đó.

Lưu ý: Phân vùng chứa data mà chúng ta cần phân quyền phải định dạng NTFS.


Tạo một thư mục > Nhấp chuột phải vào thư mục > Properties > Qua tab Security

Như ta thấy security được chia làm 2 phần:

  • Đối tượng cần phân quyền (group, user).

  • Các quyền được phân.


2. Các đặc điểm của NFTS Permission.

- Tính chất NTFS Permission:

  • Tính kế thừa: Thư mục cha như thế nào thì thư mục con như thế đó.

  • Có tác động lên cả thư mục và files.

  • Có tác động khi kết nối local và kết nối qua mạng.

- Các dạng Permissions: Có 2 nhóm quyền.

  • Standard permission.

  • Special permission.

2.1. Standard permission.

Có 6 quyền:

  • Read: đọc nội dung files.

  • Read & execute: đọc nội dung files và chạy files nếu các file đó là files thực thi (.exe, .bat,...)

  • List folder contents: liệt kê, xem các files, subfolder bên trong folder cha.

  • Write: tạo mới files, chỉnh sửa nội dung files, folder nhưng không xóa, không rename được.

  • Modify: Read + Read & execute + List folder contents + Write + quyền Delete.

  • Full controll: Modify + Change permission (có quyền thiết lập lại toàn bộ quyền) + Take Ownership (cướp quyền).


VD:

- Tạo thư mục DULIEU, trong thư mục DULIEU tiến hành tạo các thư mục sau: CHUNG, KETOAN, NHANSU.


- User kt.1 và kt.2 thuộc group KeToan, user nhansu.1 và nhansu.2 thuộc group NhanSu.

- Yêu cầu:

  • DULIEU: group KeToan và NhanSu chỉ có quyền vào thư mục, xem các subfolder, các file trong thư mục DULIEU.

  • CHUNG: group KeToan và NhanSu có toàn quyền.

  • KETOAN: group KeToan có toàn quyền, cấm group NhanSu.

  • NHANSU: group NhanSu có toàn quyền, cấm group KeToan.

Chúng ta bắt đầu phân quyền từ thư mục cha xuống (DULIEU).

Nhấp chuột phải vào DULIEU > Properties > sang tab Security > Edit..


Tiến hành remove group Users: Chọn Group Users > Remove


Thông báo không thể remove group này được vì đang thừa kế từ thư mục cha nên ta phải gỡ bỏ quyền thừa kế > OK > Cancel


Vào Advanced


Chọn Disable inheritance


Ở đây ta thấy có 2 lựa chọn:

  • Convert inherited permissions... : giữ lại các đối tượng ở thư mục cha và con (nếu thư mục cha có group KeToan thì thư mục con cũng có group KeToan).

  • Remove all inherited... : Xóa tất cả các quyền thừa kế, các đối tượng kể các các group của hệ thống (System, Creator Owner, Administrators)


Apply > OK


Chọn Edit...


Chọn group Users > Remove


Tiến hành thêm group KeToan vào.

Chọn Add


Nhập vào tên group ketoan và nhansu vào > Check Names > OK


Chọn group KeToan > tick vào Allow 3 quyền: Read & execute + List folder contents + Read


Tương tự với group NhanSu


Thử login vào bằng user thuộc group KeToan và group NhanSu ta thấy user thuộc hai group này chỉ được vào xem bên trong thư mục DULIEU xem nội dung chứ không tạo, sửa hay xóa gì.


Tiếp theo ta phân cho group KeToan và NhanSu có toàn quyền trên thư mục CHUNG.

Nhấp chuột phải vào DULIEU > Properties > sang tab Security > Edit..


Chọn group NhanSu > Tick chọn Allow Full control > Apply


Chọn group KeToan > Tick chọn Allow Full control > Apply


Login vào user thuộc group KeToan và group NhanSu ta thấy user thuộc hai group này có toàn quyền bên trong thư mục CHUNG (dữ liệu của user thuộc group KeToan tạo ra thì user thuộc group NhanSu có quyền sửa, xóa).



Phân quyền cho thư mục KETOAN.

Nhấp chuột phải vào KETOAN > Properties > sang tab Security > Edit..


Chọn group NhanSu > Remove: vì group NhanSu không được quyền truy cập vào, thực hiện dữ liệu trong thư mục KETOAN nên chúng ta remove group NhanSu ra.


Thông báo không thể remove group NHANSU vì đang hưởng quyền thừa kế từ thư mục trước > OK > Cancel


Chọn Advanced


Chọn Disable inheritance > Convert inherited...



Bây giờ ta remove lại group NHANSU

Sau khi remove xong ta phân quyền cho group KETOAN có toàn quyền trên thư mục KETOAN


Login vào user thuộc group KETOAN và group NHANSU kiểm tra.

Phân quyền cho thư mục NHANSU cũng tương tự, ta remove group KETOAN ra, cho group NHANSU có quyền Full control.


2.2. Special Permissions.

14 quyền special permissions:

  • Full control: Có toàn quyền giống như quyền Full control trong Stardard permission.

  • Traverse folder / execute file: Vào bên trong folder (chỉ vào được khi dùng lệnh cd /ThuMuc) / thực thi file.

  • List folder / read data: đi vào folder/ đọc dữ liệu trong thư mục.

  • Read attributes: đọc các thuộc tính của folder và file.

  • Read extended attributes: đọc các thuộc tính mở rộng.

  • Create files / write data: tạo files, ghi, chỉnh sửa dữ liệu.

  • Create folders / append data: tạo folder / ghi dữ liệu vào cuối file không xóa, sửa dữ liệu có sẵn trong file.

  • Write attributes: thay đổi thuộc tính của file.

  • Write extended attributes: thay đổi các thuộc tính mở rộng của file.

  • Delete subfolders and files: xóa thư mục con và các file.

  • Delete: xóa tất cả kể cả thư mục cha.

  • Read permissions: đọc quyền.

  • Change permissions: thay đổi quyền.

  • Take ownership: cướp quyền.


Có 7 đối tượng áp dụng quyền:

  • This folder only: chỉ áp lên folder này, không áp lên subfolders và files.

  • This folder, subfolders and files: áp cho folder này và các subfolder, files.

  • This folder and subfolders: áp cho folder này và các subfolder, không áp cho files.

  • This folder and files: áp cho folder này và các files, subfolders không áp dụng.

  • Subfolders and files only: chỉ subfolder và files bên trong mới áp dụng.

  • Subfolders only: Chỉ áp cho subfolders.

  • Files only: chỉ áp cho files.


Ví dụ: Trong ví dụ bên trên, thư mục CHUNG cả group KETOAN và group NHANSU đều có quyền Full control, dữ liệu của người này tạo thì người kia có quyền xóa. Vậy chúng ta muốn trong thư mục CHUNG dữ liệu của người nào tạo ra thì người đó có toàn quyền người khác chỉ vào xem, chỉnh sửa dữ liệu, không xóa được.


Chuột phải vào folder CHUNG > Properties > tab Security

Chú ý phải có group CREATOR OWNER mặc định group này Full control ta sẽ giữ nguyên.

Chọn Advanced.


Nhấp đúp vào group NHANSU.


Chọn Show advanced permissions.


Chọn các quyền như hình.

Làm tương tự đối với group KETOAN.

Tiến hành kiểm tra.

33 views0 comments

Comments

 

© 2018 by Tuấn Nguyễn

 Liên hệ tôi
  • Facebook - Black Circle
  • Google+ - Black Circle
bottom of page