Đề tài Tìm hiểu Linux và Windows Server 2003

LỜI CẢM ƠN Để thực hiện và hoàn thành tốt đồ án chuyên ngành này , em đã nhận được sự giúp đỡ và hướng dẫn tận tình của các thầy cô và bạn bè thuộc Bộ môn Công nghệ thông tin Trường Đại học Kinh tế quốc dân . Em xin cảm ơn các thầy cô của Bộ môn Công nghệ thông tin đã cung cấp cho em những kiến thức vô cùng quý báu và cần thiết trong suốt thời gian học tập tại trường để em có thể thực hiện và hoàn thành tốt đồ án chuyên ngành này . Đặc biệt , em xin chân thành cảm ơn thầy Nguyễn Trung Tuấn đã tận tình hướng dẫn và giúp đỡ em trong suốt thời gian thực hiện đồ án chuyên ngành . Tuy nhiên do giới hạn về mặt thời gian và kiến thức nên đồ án chắc chắn sẽ không tránh khỏi những sai sót ngoài ý muốn . Em rất mong nhận được sự thông cảm và đóng góp ý kiến của các thầy cô và các bạn . Trân trọng kính chào . MỤC LỤC Trang Bảng hình vẽ ……………………………………………………………….. 3 Tóm tắt đề án ………………………………………………………………. 4 Lời mở đầu ………………………………………………………………… 5 Chương 1 : Các phiên bản và yêu cầu phần cứng …………………………. 7 1.1) Linux ………………………………………………………….. 7 1.2) Windows Server 2003 ………………………………………… 9 Chương 2 : Cài đặt Linux và Windows Server 2003 ……………………… 13 Chương 3 : Tài khoản root và Administrator ……………………………… 18 Chương 4 : Sử dụng Default Gateway cho việc kết nối hai máy tính có địa chỉ mạng khác nhau bằng Switch\Hub……………………. 21 4.1) Đặt vấn đề …………………………………………………….. 21 4.2) Nguyên tắc hoạt động ………………………………………… 22 4.3) Giải pháp ……………………………………………………… 25 Chương 5 : Các thư mục và hệ thống tập tin ……………………………… 28 Chương 6 : Các quyền truy cập …………………………………………… 32 Chương 7 : Kết luận ……………………………………………………….. 42 Tài liệu tham khảo ………………………………………………………… 43 BẢNG HÌNH VẼ Hình 2.1 : Cài đặt Linux ………………………………………………………… 13 Hình 2.2 : Cài đặt Server 2003 ………………………………………………….. 14 Hình 2.3 : Nhập Password cho root …………………………………………….. 15 Hình 2.4 : Nhập Password cho tài khoản Administrator ………………………... 15 Hình 2.5 : Khởi động mạng sử dụng PXE ………………………………………. 17 Hình 2.6 : Cài đặt từ máy chủ …………………………………………………… 17 Hình 3.1 : Thiết lập tuỳ chọn cho Password …………………………………….. 19 Hình 3.2 : Hộp thoại Log On To Windows ……………………………………... 20 Hình 4.1 : Hai máy tính có địa chỉ mạng khác nhau kết nối với nhau qua Switch ..21 Hình 4.2 : Hai máy tính có địa chỉ mạng khác nhau kết nối với nhau qua Router ..22 Hình 4.3 : Frame từ máy A gửi sang máy B …………………………………….. 23 Hình 4.4 : Cấu hình địa chỉ IP máy A …………………………………………… 26 Hình 4.5 : Cấu hình địa chỉ IP máy B …………………………………………… 26 Hình 5.1 : Cây sử dụng Active Directory ………………………………………. 31 Hình 5.2 : Rừng sử dụng Active Directory ……………………………………... 31 Hình 6.1 : Thẻ Security trong hộp thoại Properties …………………………….. 34 Hình 6.2 : Tính năng kế thừa …………………………………………………… 35 Hình 6.3 : Các cấp phép chia sẻ ………………………………………………… 36 Hình 6.4 : Lựa chọn đối tượng bảo mật ………………………………………… 37 Hình 6.5 : Thẻ Security của thư mục NTFS ……………………………………. 38 TÓM TẮT ĐỀ ÁN Chương 1 : Giới thiệu các phiên bản và yêu cầu phần cứng đối với từng phiên bản của hai hệ điều hành Linux và Windows Server 2003 . So sánh đặc điểm , yêu cầu phần cứng của các phiên bản với nhau . Chương 2 : Giới thiệu sơ lược các bước chính trong quá trình cài đặt Linux và Windows Server 2003 . So sánh điểm giống và khác nhau trong quá trình cài đặt . Nêu nhiều cách cài đặt khác nhau . Chương 3 : Giới thiệu tài khoản root và Administrator . So sánh điểm giống và khác nhau giữa hai tài khoản . Nêu đặc điểm của hai tài khoản . Chương 4 : Giới thiệu về cách sử dụng Default Getaway cho việc kết nối hai máy tính có địa chỉ mạng khác nhau bằng Switch/Hub . Phân tích việc liên lạc của hai máy tính có địa chỉ mạng khác nhau thông qua các trang thiết bị mạng lớp thứ nhất và lớp thứ hai trong mô hình mạng OSI . Phân tích cơ chế hoạt động của máy tính ở lớp thứ hai và thứ ba trong mô hình OSI . Nêu giải pháp Chương 5 : Giới thiệu các thư mục và hệ thống tập tin . So sánh sự giống và khác nhau giữa hai hệ thống tập tin của hai hệ điều hành . Chương 6 : Giới thiệu các quyền truy cập trong hai hệ điều hành . Phân tích cấp phép chia sẻ và cấp phép NTFS trong Windows Server 2003 . LỜI MỞ ĐẦU Trong thời đại ngày nay , hoà cùng vào xu thế phát triển công nghệ thông tin của thế giới , bộ mặt công nghệ thông tin Việt Nam đã có những bước phát triển đáng mừng . Người người dùng máy tính , nhà nhà dùng máy tính , các tổ chức , công ty cũng đang từng bước tin học hoá hệ thống làm việc của mình kéo theo đó là hành loạt hệ thống máy tính ra đời . Lợi ích mà hệ thống mạng máy tính đem lại là điều không cần bàn cãi . Có hệ thống mạng tức là cần có phần mềm để quản trị hệ thống . Có nhiều phần mềm với các phiên bản khác nhau phục vụ cho công việc này do đó em chọn đề tài “Tìm hiểu Linux và Windows Server 2003” làm đề án chuyên ngành . Do hạn chế về mặt thời gian và kiến thức đề án chỉ giới thiệu đôi điều về Linux và Windows Server 2003 để mọi người có cái nhìn cơ bản từ đó định hướng cho công việc học tập và nghiên cứu của mình . Windows Server 2003 là một phiên bản cập nhật cho nền tảng và các công nghệ đã giới thiệu trong Windows 2000 . Nếu bất kỳ ai nghiên cứu Windows Server 2003 trên cơ sở đã có kinh nghiệm về Windows 2000 thì việc chuyển đổi là tương đối dễ dàng . Quá trình nghiên cứu sẽ khó khăn hơn một chút nếu chỉ có kinh nghiệm với Windows NT4 . Mặc dù giao diện cơ bản của Windows Server 2003 khá giống với Windows 2000 nhưng hệ điều hành này có rất nhiều cải tiến và tính năng mới nhằm bổ sung khả năng bảo mật , độ tin cậy và tăng cường nhiều công cụ quản trị . Khi một Administrator cân nhắc đến việc nâng cấp hay chuyển đổi sang hệ diều hành Windows 2003 sẽ phải chỉ ra các tính năng và sự cải tiến đáng kể trong Active Directory , các công cụ mới hỗ trợ cho các đối tượng chính sách nhóm (GPO – Group Policy Object) , sự tăng cường khả năng bảo mật cho hêh thống , sự cải tiến của Terminal Services hay hàng loạt các tính năng tiên tiến của hệ điều hành mới này . Có thể khẳng định họ hệ điều hành Windows Server được ứng dụng rộng rãi trong trong việc quản trị hệ thống của các tổ chức , doanh nghiệp ..v.v. tuy nhiên nó có một đối thủ rất xứng tầm , đó chính là Linux . Microsoft nhìn thấy ở Linux khả năng cạnh tranh lớn và coi Linux là kẻ thù số một của mình . Nhiều tổ chức chính phủ cũng như phi chính phủ nhìn thấy ở Linux nhiều hứa hẹn và hỗ trợ cho nó . Những nước còn nghèo nhìn thấy ở Linux phương án giải quyết cho vấn đề kinh tế . Đối với Linus Torvalds , đó là niềm đam mê “Just for fun” . Các nhà lập trình nhân (kernel) tìm thấy ở Linux sự quyến rũ và công việc phát triển của họ . Do mã nguồn Linux phân phối tự do và miễn phí nên ngay từ đầu đã có rất nhiều nhà lập trình tham gia vào việc phát triển hệ thống . Nhờ đó đến thời điểm hiện nay Linux là hệ điều hành hiện đại , bền vững và phát triển nhanh nhất , hỗ trợ các công nghệ mới gần như ngay lập tức . Linux có đầy đủ các khả năng đặc trưng cho các hệ điều hành dòng Unix . Chương 1 – Các phiên bản và yêu cầu phần cứng 1.1)Linux Có những tài liệu nói rằng có những phiên bản Linux đặc biệt làm việc thậm chí trên bộ vi xử lý 8086 với 512Kbyte bộ nhớ hay có thể chạy từ một hoặc hai đĩa mềm mà không cần đĩa cứng . Yêu cầu đối với phần cứng hệ thống muốn cài Linux còn được xác định bởi lựa chọn phần mềm của người dùng ( tức là phụ thuộc vào các phiên bản của các phần mềm và ít nhiều vào bản phân phối ) . Mong muốn của người sử dụng Yêu cầu , MB Bộ nhớ Đĩa cứng Yêu cầu nhỏ nhất : chỉ làm việc trong giao diện văn bản với dòng lệnh của shell , có đủ một số ứng dụng người dùng như : vim , emacs .v.v. 8 200 Dùng được giao diện đồ hoạ X Window cùng với một số trình quản lý cửa sổ nhỏ như icewm , fluxbox … 32 400 Dùng môi trường làm việc đồ hoạ KDE 128 1000 Chạy các ứng dụng cần nhiều bộ nhớ (như GIMP , các ứng dụng nằm trong Koffice ) 256 1500 Như vậy Linux có một ưu điểm lớn đó là khả năng làm việc thậm chí trên những máy rất cũ mà trước đây chỉ có thể dùng MS DOS ( tất nhiên là ta chỉ thu được chế độ dòng lệnh nhưng nó không ngăn cản các máy tính cũ làm việc có lợi như làm router) Một số phiên bản của Linux : +)Redhat và Fedora Core : Bản Linux thịnh hành nhất trên thế giới phát hành bởi công ty Redhat với mục đích thương mại nhắm vào các công ty , xí nghiệp . +)WhiteBox Linux : Bản Clone của Redhat Enteprise Linux 3.0 . Built trên Source code của RHEL bởi một nhóm các kỹ sư ở LA , Hoa Kỳ . Hiện nay Server Nhatban.net đang dùng bản này . +)SuSE Linux : Made in Germany , là bản Linux thịnh hành ở châu âu và bắc mỹ . Năm 2003 công ty SuSE bị ông lớn Novell mua . Novell đang dốc hết sức đầu tư vào SuSE để nhắm vào Enterprise Uers hòng giành lại thị phần từ tay Redhat . +)Mandrake Linux : Made in France . Là bản thịnh hành ở Châu Âu , Mỹ và Việt Nam. Đây là bản được ưu ái nhất trong vấn đề việt hoá +)Turbo Linux : Nổi tiếng ở Nhật , Trung Quốc . Cong ty Turbo đang đầu tư mạnh nhằm thống trị thị trường Linux Trung Quốc . +)Debian Linux : Một ông lớn trong làng Linux được ưa dùng bởi dân chuyên nghiệp vì tính ổn định cao . +)Vine Linux : Cực kỳ được ưa chuộng tại Nhật . Được phát triển trên nền Redhat 6.2 . Đặc điểm của bản này là rất nhẹ và hỗ trợ tiếng Nhật 100% .  +)Vietkey Linux : Made in VietNam . Sản phẩm đoạt giải trong cuộc thi TTVN 2003 , phát triển bởi nhóm Vietkey trên nền Redhat 7.2 +)VnLinuxCD : Bản live CD của Larry Nguyễn . Nguyên tắc của vnlinuxCD giống Knoppix nhưng được xây dựng trên nền Mandrake 9.2 . Nó hỗ trợ khá tốt các vấn đề tiếng việt .Bên cạnh đó còn rất nhiều các phiên bản khác . Ví dụ về yêu cầu phần cứng để cài đặt Fedora Core 2 : Máy phải khởi động được từ ổ CD/DVD . Ổ cứng phải còn dư ít nhất 6 GB . Ít nhất 128 MB RAM . Đường truyền Internet tốc độ cao (ADSL hoặc cáp quang) . 1.2) Windows Server 2003 Windows Server 2003 là sản phẩm mới nhất trong các hệ điều hành Windows Server . Nó bao gồm bốn phiên bản : Web Edition , Standard Edition , Enterprise Edition , Datacenter Edition . Khác với Linux , các phiên bản khác nhau của Windows Server 2003 được thiết kế để hỗ trợ các nền tảng thiết bị phần cứng và vai trò máy chủ khác nhau . Bên cạnh 4 phiên bản cơ bản , nó còn thêm các phiên bản hỗ trợ phần cứng 64 bit và các hệ thống nhúng . Yêu cầu phần cứng : Web Edition Standard Edition Enterprise Edition Datacenter Edition Tốc độ CPU tối thiểu 133 MHz 133 MHz 133 MHz 400 MHz Tốc độ CPU nên dùng 550 MHz 550 MHz 733 MHz 733 MHz RAM tối thiểu 128 MB 128 MB 128 MB 512 MB RAM nên dùng 256 MB 256 MB 256 MB 1 GB RAM tối đa 2 GB 4 GB 32 GB 64 GB Số bộ vi xử lý SMP (Symmetric Multi Processing) 2 4 8 32 Khoảng trống đĩa tối thiểu 1.5 GB 1.5 GB 1.5 GB 1.5 GB Các phiên bản 64 bit : Cả hai phiên bản Enterprise và Datacenter đều có các phiên bản riêng hỗ trợ các máy tính trang bị bộ vi xử lí Intel Itanium . Itanium là bộ vi xử lí hỗ trợ việc đánh địa chỉ 64 bit . Các yêu cầu hệ thống cho các phiên bản Itanium rất khác so với các phiên bản chạy trên nền phần cứng x86 . Đồng thời một số chức năng có trong phiên bản dành cho hệ thống x86 sẽ không có trong Italium như các ứng dụng chế độ thực , các ứng dụng POSIX ( Portable Operating System Interface for UNIX ) hoặc các dịch vụ in ấn cho các máy trạm Apple Macintosh . Yêu cầu phần cứng dành cho phiên bản Itanium : Enterprise Edition Datacenter Edition Tốc độ tối thiểu của CPU 733 MHz 733 MHz RAM tối đa 64 GB 512 GB Khoảng trống đĩa tối thiểu 2 GB 2 GB +)Phiên bản Web : Để tăng tính cạnh tranh của Windows Server 2003 so với các máy chủ Web khác , Microsoft đã cho ra một phiên bản đặc biệt của Windows Server 2003 , được thiết kế chuyên dụng cho các náy chủ Web . Phiên bản này là một phần của hệ điều hành chuẩn cho phép người quản trị có thể triển khai các Website , các ứng dụng Web , các dịch vụ Web mà không tốn nhiều chi phí và công sức quản trị . Nó bao gồm đầy đủ các thành phần chuẩn mà một máy chủ Web cần : IIS – Microsoft Internet Information Services , NLB – Network Load Balancing , Microsoft ASP.Net . Phiên bản này không được bán thông qua các kênh phân phối lẻ , sản phẩm này chỉ được cung cấp cho các khách hàng của Microsoft chấp nhận ký kết các văn bản thoả thuận bản quyền riêng cho doanh nghiệp ( Enterprise and Select licensing agreement ) . +) Phiên bản tiêu chuẩn ( Standard Edition ) : Sử dụng cho nền tảng máy chủ đa chức năng trong đó có thể cung cấp các dịch vụ thư mục (Directory) , file , in ấn , ứng dụng , multimedia , các dịch vụ Internet cho các doanh nghiệp cỡ vùa và nhỏ . Nó có một số tính năng nổi bật như : - Dierectory services (Dịch vụ thư mục) - Dịch vụ Internet - Dịch vụ cơ sở hạ tầng - Định tuyến TCP/IP - Dịch vụ File và in ấn - Máy chủ Terminal (đầu cuối) - Các dịch bảo mật +)Phiên bản Doanh nghiệp (Enterprise Edition) : được thiết kế hoạt động trên các máy chủ cấu hình mạnh của các tổ chức doang nghiệp cỡ vừa và lớn . Phiên bản này khác phiên bản Standard chủ yếu ở mức độ hỗ trợ phần cứng . Nó còn có một số tính năng quan trọng mà bản Standard không có : - Microsoft Metadirectory Services – MMS (Dịch vụ siêu thư mục Microsoft) - Server Clustering ( Chuỗi máy chủ ) - Bộ nhớ RAM cắm nóng (Hot Add Memory) - Quản trị tài nguyên hệ thống của Windows (Windows System Resource Manager – WSRM ) +)Phiên bản trung tâm dữ liệu (Datacenter) : Được thiết kế cho các máy chủ ứng dụng cao cấp , lưu lượng truy nhập lớn , yêu cầu sử dụng rất nhiều tài nguyên hệ thống . Nó gần giống bản Enterprise nhưng hỗ trợ tốt hơn cho việc mở rộng phần cứng . Việc mua các phiên bản Datacenter không được thực hiện thông qua các kênh phân phối lẻ . Bạn có thể mua các hệ điều hành này thông qua một OEM như là sản phẩm kèm theo trong một bộ phần cứng máy chủ cao cấp . Nhận xét : +) Về yêu cầu phần cứng : Linux có vẻ ‘ dễ tính ’ hơn Windows Server 2003 , nhất là đối với những người đang trong quá trình học tập và nghiên cứu . Nói chung có thể nghiên cứu Linux trên các máy cấu hình tương đối thấp . Ngược lại , để có thể tìm hiểu Windows Server 2003 máy tính cần tối thiểu RAM 256 ( tuy nhiên trên thực tế nếu RAM 256 thì chỉ cài được một con server trên máy ảo và thực hiện được những tác vụ quản trị cơ bản nhất .Để có thể tìm hiểu sâu thì máy tính tối thiểu phải có 1 thanh RAM 256 + 1 thanh RAM 512 ) . Khác với Linux , yêu cầu phần cứng của họ HDH Server 2003 phân hoá một cách tương đối rõ rệt đối với các phiên bản khác nhau như : RAM tối đa mà các phiên bản Web Edition , Standard Edition , Enterprise Edition , Datacenter Edition hỗ trợ lần lượt là : 2GB , 4GB , 32GB , 64GB . Chính điều này giúp cho người dùng có thể xác định chính xác yêu cầu phần cứng cần có để có thể phục vụ tốt cho các tác vụ quản trị của doanh nghiệp , tổ chức của mình . +) Về các phiên bản : Có nhiều tiêu chí phân biệt các phiên bản của Linux nhưng nổi bật lên là : vùng – lãnh thổ , ngôn ngữ và nền tảng công nghệ mà nó được xây dựng lên . Tuỳ theo từng phiên bản , nó có thể bắt nguồn từ Nhật , Pháp , Đức , có thể bằng tiếng Việt , tiếng Anh ..v.v. . Ngược lại các phiên bản của Windows Server 2003 phân biệt nhau chủ yếu ở chức năng cũng như cấu hình phần cứng . Đây chính là nét chuyên nghiệp của họ HDH Windows Server 2003 mà Linux không có . Chương 2 – Cài đặt Linux và Server 2003 Trong phần này sẽ không đi sâu vào việc cài đặt mà chỉ so sánh những đặc điẻm giống và khác nhau : +) Cả hai đều khởi tạo quá trình cài đặt bắt đầu khi máy tính khởi động từ đĩa CD chứa bộ cài Windows Server 2003\Linux +) Bất kỳ ai có kinh nghiệm cài đặt HDH Windows XP thì sẽ cài đặt phần đầu của Windows Server 2003 không mấy khó khăn tuy nhiên phải chú ý : khi tạo các phân vùng mới trong Windows 2003 phải lựa chọn một không gian đĩa chưa phân vùng có dung lượng tối thiểu 4GB và nhấn C đồng thời nhập vào kích thước phân vùng định tạo là 3072 ( Chú ý này chỉ dùng cho những ai có ý định tìm hiểu Windows Server 2003 trên máy ảo . Mục đích của nó là sau này có thể tìm hiểu về RAID-5) Hinh 2.1 : Cài đặt Linux Hình 2.2 : Cài đặt Server 2003 Đối với Linux thì rắc rối hơn một tí . Trong phần Disk Setup : Mục này phải làm thật thận trọng nếu không toàn bộ ổ cứng sẽ bị Format hết (rất nhiều người đã bị như vậy và phải khổ sở đi tìm lại dữ liệu mà mình đã mất ) . Phần đĩa tương đương với ổ C để nguyên , phần đĩa tương ứng với ổ D thì nhấn chuột vào đó rồi nhấn “Edit” , trong hộp Mount point nhập “/data” .Làm như vậy sau này dùng ổ D chung với Windows được . Cuối cùng là tới phần đĩa tương ứng với ổ E , nhấn chuột lên đó , nhấn nút “New” , chọn Mount Point là “/boot” , File System Type là “swap” , Size (MB) : 512 , OK , nhấn nút New một lần cuối , Mount Point “/” , File System File : “ext3” , Addition size options : Fill to maximum allowable size . +)Nếu như trong Linux bạn có Set Root Password : Nhập Password cho root (root là user đặc biệt có quyền tối cao đối với hệ thống ) thì trong Windows Server 2003 bạn có bước nhập password cho tài khoản Administrator (cũng la tài khoản có quyền cao nhất đối với hệ thống ) Hình 2.3 : Nhập Password cho root Hình 2.4 : Nhập password cho tài khoản Administrator +)Trong Windows Server 2003 có những bước cấu hình vô cùng quan trọng mà Linux không có :Workgroup or Computer Domain : theo mặc định hãy chọn : No , this computer is not on the network without a domain . Make this computer a member of the following workgroup . Sau này ta sẽ thăng cấp thành máy chủ quản trị miền . +) Trong Linux hỗ trợ khá nhiều kiểu khởi động : -) Sử dụng thiết bị lưu trữ trung gian : Có thể sử dụng USB hoặc card Compact Flash như một thiết bị khởi động , ghi các file cần thiết vào thiết bị đó . Thiết bị đó phải đủ lớn để chứa các file ảnh . Lưu ý : Thủ tục này phá huỷ dữ liệu trên thiết bị trung gian . Sao lưu tất cả các thông tin quan trọng trước khi bắt đầu . Một vài USB sử dụng các phân vùng hoặc phần mềm cung cấp các chức năng để mã hoá . Thủ tục đó làm cho nó thêm phức tạp hoặc không thể truy cập đến những vùng đặc biệt trên thiết bị khởi động . File images\diskboot.img trên đĩa cài dặt thứ nhất được thiết kế để khởi động từ USB . File nay có trong FTP và Web site cung cấp bởi Fedora Core -) Khởi động từ mạng sử dụng PXE : Khởi động với PXE bạn cần cấu hình Server và giao diện mạng trên máy sao cho nó có hỗ trợ PXE . Cấu hình máy tính khởi động từ giao tiếp mạng . Tuỳ chọn này nằm trong BIOS thường được gán nhãn network boot hoặc boot Services . Để có thể cấu hình khởi động PXE đúng thì máy tính có thể khởi động với hệ thống cài đặt Fedora Core mà không cần đến bất kỳ thiết bị trung gian nào -) Cài đặt từ máy chủ : Bạn có thể cài đặt Fedora Core từ một máy chủ sử dụng giao thức FTP , HTTP , NFS . Theo mặc định chương trình cài đặt tự động sử dụng DHCP được cung cấp bởi mạng . Nếu mạng không có Server DHCP , loại bỏ tuỳ chọn trên nhãn Use Dynamic IP configuration và nhập vào các tham số bằng tay Hình 2.5 : Khởi động mạng sử dụng PXE Hình 2.6 : Cài đặt từ máy chủ Chương 3 : Tài khoản root và Administrator Fedora Core sử dụng một tên account đặc biệt là root để quản trị hệ thống . Tài khoản root trên hệ thống Linux bị hạn chế trên SELinux . Nó không phải là mục cho bất kỳ tài khoản bình thường nào . Sử dụng tài khoản root bạn có thể yêu cầu bất cứ cái gì mà không bị hạn chế về mặt truy cập cũng như thiết lập cấu hình cho hệ thống . Tương tự như vậy tài khoản Administrator theo mặc định là thành viên của nhóm Administrators . Nó có các quyền đầy đủ và không hạn chế khi truy cập đến máy tính và miền để thực thi tất cả các tác vụ quản trị . +) Trong Linux : - )Chương trình cài đặt yêu cầu password root có chiều dài ít nhất 6 ký tự . - ) Sử dụng kết hợp chữ hoa , chữ thường , số dấu câu và các ký tự khác - ) Không dùng password giống nhau có tính hệ thống +) Trong Windows Server 2003 : - ) Enforce Password History : xác định số lượng mật khẩu khác nhau trước khi người dùng được phép sử dụng lại mật khẩu cũ , giá trị mặc định là 24 . - ) Maximum Password Age : (Tuổi dài nhất của mật khẩu) Xác định thời gian tối đa mà một mật khẩu có thể được dùng trước khi HDH buộc người dùng đổi lại , giá trị mặc định là 42 ngày . - ) Minimum Password Age : ( Tuổi ngắn của mật khẩu ) Xác định thời gian bao lâu một mật khẩu phải sử dụng trước khi HDH cho phép người dùng đổi lại , giá trị mặc định là một ngày . - ) Minimum Password Length : (Độ dài mật khẩu tối thiểu ) Độ dài tối thiểu của mật khẩu mà HDH cho phép , giá trị mặcđịnh là 7 . - ) Password must meet Complexity Requirements : ( Mật khẩu phải thoả mãn điều kiện phức tạp ) Xác định điều kiện với mật khẩu như độ dài ít nhất là 6 ký tự , không trùng với toàn bộ tên hoặc một phần tên tài khoản , bao gồm ít nhất ba trong bốn kiểu kí tự : chữ hoa , chữ thường , số , ký tự đặc biệt . Mặc định HDH enable (cho phép chính sách này ) Như vậy đối với HDH Windows Server 2003 ta hoàn toàn có thể đặt Password trắng cho bất kỳ tài khoản nào băng cách chỉnh sửa các thiết lập trong Group Policy Object Editor Hình 3.1 : Thiết lập tuỳ chọn Password Tuy nhiên vì lý do bảo mật , tuyệt đối không được để Password trắng cho tài khoản Administrator . Chú ý : Trong Windows Server 2003 phân biệt hai loại tài khoản : tài khoản người dùng cục bộ và tài khoản người dùng miền do đó cũng có hai loại tài khoản Administrator : - ) Administrator (cục bộ) : tài khoản này yêu cầu cho lần đăng nhập hệ thống đầu tiên , sử dụng mật khấu được cấp trong quá trình cài đặt hệ thống . Người dùng Administrator là thành viên nhóm Administrator có toàn quyền truy nhập đến mọi nơi trong hệ thống bao gồm cả việc có thể tạo tài khoản người dùng cục bộ , phân quyền cho các tài khoản người dùng cục bộ , cài đặt phần cứng và phần mềm . Tài khoản Administrator cục bộ luôn được cần đến ,thậm chí trên mạng Active Directory , do có các công việc đòi hỏi Administrator cục bộ truy nhập tới máy tính này . - ) Administrator (miền) : Tài khoản Administrator miền là thành viên của nhóm Administrators miền và thực hiện cùng chức năng chính như tài khoản người dùng cục bộ . Đó là tài khoản đầu tiên đăng nhập vào miền và có toàn quyền truy nhập tới tất cả các chức năng và tính năng của miền . Điều quan trọng là cần phân biệt tài khoản miền Administrator và tài khoản cục bộ Administrator là hai tài khoản khác biệt nhau . Hai tài khoản này có mật khẩu khác nhau , các cấp phép khác nhau và các khả năng khác nhau . Với máy tính Windows Server 2003 thì máy chủ thành viên của miền ( nhưng không phẩi là máy chủ điều khiển miền ) có thể dăng nhập sử dụng cả hai tài khoản này tuỳ theo thiết lập tại lựa chọn Log On To tại hộp thoại Log On To Windows Hình 3.2 : Hộp thoại Log On To Windows Chương 4 : Sử dụng Default Gateway cho việc kết nối hai máy tính có địa chỉ mạng khác nhau bằng Switch\Hub 4.1)Đặt vấn đề : Chúng ta vẫn thường nói : Hai máy tính có địa chỉ mạng khác nhau (Network ID) không thể liên lạc được với nhau thông qua các trang thiết bị mạng lớp thứ nhất và lớp thứ hai trong mô hình mạng OSI ( Open System Interconnection ) như Switch hoặc Hub . Hình 4.1 : Hai máy tính có địa chỉ mạng khác nhau kết nối qua Switch Để hai máy tính này có thể kết nối được với nhau chúng ta cần phải sử dụng các trang thiết bị lớp thứ ba ( trang thiết bị có chức năng định tuyến – routing ) như Ruter hay PC . Trong trường hợp này mỗi máy tính sẽ có địa chỉ default gateway là địa chỉ interface tương ứng của router mà máy tính này kết nối tới , điều đó có nghĩa là địa chỉ của default getaway phải có cùng địa chỉ mạng (network ID) với địa chỉ IP của máy tính . Tuy nhiên chúng ta vẫn còn cái nhìn khác về default getaway và nguyên tắc giúp cho hai máy tính có hai địa chỉ mạng khác nhau “liên lạc” được với nhau khi chúng chỉ kết nối với nhau thông qua switch hay hub Hình 4.2 : Hai máy tính có địa chỉ mạng khác nhau kết nối qua Router 4.2)Nguyên tắc hoạt động Trước tiên chúng ta cần xem lại cơ chế hoạt động của máy tính ở lớp thứ hai và lớp thứ ba trong mô hình OSI để lý giải tại sao hai máy tính ở hình 8 không tạo được kết nối . Trong mạng Lan – Ethernet , mỗi máy tính sẽ có một địa chỉ phần cứng duy nhất là địa chỉ MAC (Media Access Control Address) của thẻ giao tiếp mạng NIC ( Network Interface Card ) . Để dữ liệu có thể truyền từ một máy tính trong mạng Lan thứ nhất sang máy tính của mạng Lan thứ hai thì dữ liệu sẽ được đóng gói kèm theo các địa chỉ sau : Destination MAC : Địa chỉ MAC máy nhận Source MAC : Địa chỉ MAC máy gửi Destination IP : Địa chỉ IP máy nhận Source IP : Địa chỉ IP máy gửi Khi máy tính A gửi dữ liệu cho B thì Frame được đóng gói với Destination MAC = MAC_B Source MAC = MAC_A Trong quá trình đóng gói dữ liệu thì máy tính gửi cần phải biết địa chỉ MAC của máy tính nhận . Nếu máy tính gửi không có địa chỉ MAC của máy tính nhận thì máy tính gửi sẽ thực hiện ARP ( Address Resolution Protocol ) để tìm địa chỉ MAC của máy đích khi biết địa chỉ IP đích . Hình 4.3 : Frame từ máy A gửi sang máy B NIC của máy tính sẽ nhận được tất cả các tín hiệu trên đường truyền . Nhiệm vụ của lớp thứ nhất ( Physical layer ) là chuyển đổi các tín hiệu này thành Frame dữ liệu gửi lên lớp thứ hai ( Data link layer ) . Tại lớp này địa chỉ Destination MAC sẽ được kiểm tra . Nếu Destination MAC trùng với địa chỉ MAC của máy tính ( địa chỉ MAC của NIC ) thì dữ liệu được chuyển lên lớp thứ ba ( Network layer ) để xử lý , ngược lại frame này sẽ bị huỷ bỏ . Lớp thú ba sẽ kiểm tra địa chỉ Destination IP tương tự như lớp thứ hai kiểm tra địa chỉ Destination MAC . Nếu địa chỉ Destination IP này trùng với địa chỉ IP của máy tính thì dữ liệu sẽ được chuyển tiếp lên lớp trên để xử lý , ngược lại dữ liệu dữ liệu này cũng sẽ bị huỷ bỏ . Nói tóm lại để hai máy tính có thể kết nối được với nhau thì dữ liệu khi đóng gói ( encapsulation ) gửi đi phải có Destination MAC và Destination IP trùng với địa chỉ MAC và địa chỉ IP của máy đích . Chúng ta tạm gọi điều kiện cần và đủ này là điều kiện 1 (ĐK1) . Trong thực tế khi dữ liệu truyền từ mạng này sang mạng khác thì Source IP và Destination IP không bao giờ thay đổi nhưng Source MAC và Destination MAC sẽ thay đổi liên tục trên từng Lánegment . Có người cho rằng máy tính A hoàn toàn có thể gửi dữ liệu tới máy tính B thoả mãn điều kiện ĐK1 . Bởi vì dữ liệu sẽ đóng gói kèm theo source IP : IP_A , Destination IP : IP_B , source MAC : MAC_A và Destination MAC máy A sẽ tìm thông qua ARP khi biết Destination IP là IP_B (Destination MAC sẽ là MAC_B) . Trong thực tế theo hình 8 thì dữ liệu hoàn toàn không được gửi đi . Để lý giải điều này ta sét hai trường hợp : *) Trường hợp 1 : Máy tính không có khai báo Default Getaway *)Trường hợp 2 : Máy tính có Default Getaway thường là một địa chỉ Ip nào đó có cùng địa chỉ mạng với địa chỉ IP của máy tính , nhưng thiết bị này ( theo hình 1 ) không tồn tại . Trọng tâm của vấn đề là ARP . Trước khi đóng gói frame máy tính gửi sẽ xác định xem địa chỉ IP của máy đích có cùng địa chỉ mạng với máy mình không . *)Nếu cùng thì ARP sẽ phân giải MAC đích theo địa chỉ IP đích . Đây là trường hợp hai máy tính có cùng địa chỉ mạng và chúng kết nối được với nhau . *)Nếu không cùng thì frame sẽ được đóng gói để gửi tới default getaway (ARP sẽ phân giải MAC của default getaway theo địa chỉ IP của default getaway) . Nếu chúng ta không khai báo default getaway hoặc default getaway không tồn tại thì dữ liệu sẽ không được gửi đi , bởi vì ARP không thể phân giải được địa chỉ MAC của máy đích và vì thế máy tính gửi sẽ không thể đóng gói được frame dữ liệu . 4.3)Giải pháp Như vậy để cho A có thể tạo kết nối được tới B thì chúng ta chỉ cần đảm bảo cho ARP phân giải đúng destination MAC (MAC_B) theo địa chỉ destination B (IP_B) là đủ (ĐK1) . Để được như vậy ta khai báo : Hình 4.4 : Cấu hình địa chỉ IP máy A Hình 4.5 : Cấu hình địa chỉ IP máy B Chú ý : Trong hệ điều hành Windows Server 2003 khi khai báo địa chỉ default getaway và địa chỉ IP của máy tính có địa chỉ mạng khác nhau chúng ta không gặp khó khăn gì nhưng trong Linux chúng ta không thể khai báo bình thường được . Chúng ta có thể sử dụng mẹo vặt như sau : Giả sủ máy tính A cấu hình địa chỉ IP là : 192.168.1.1 Giả sử máy tính B cấu hình địa chỉ IP là : 192.168.2.2 Trên máy A : Route add – net 192.168.2.0 netmask 255.255.255.0 eth 0 Route add default gw 192.168.2.2 Route del – net 192.168.2.0 netmask 255.255.255.0 Lúc này chúng ta đã có : IP_A : 192.168.1.1 GW_A : 192.168.2.2 Nhận xét : Như vậy chúng ta đã có một cái nhìn khác về default getaway . Default getaway không nhất thiết phải có cùng địa chỉ mạng với địa chỉ IP của máy tính . Default getaway thực sự là “cửa ngõ” . Đó là lối thoát mặc định khi máy tính của chúng ta không xác định được đường đi cho các gói dữ liệu . Nhờ đó quan niệm về địa chỉ của hai máy tính kết nối trong một Lan Segment cũng thay đổi , tức là chúng không nhất thiết phải có cùng địa chỉ mạng . Điều quan trọng là làm sao cho dữ liệu chuyền được đúng tới đích với các thông số cần thiết để máy tính đích chấp nhận và xủ lý . Chương 5 – Các thư mục và hệ thống tập tin Hệ thống mạng nội bộ đầu tiên xuất hiện trong những năm đầu 1990 được tổ chức thành một nhóm các máy tính và được gọi là workgroup ( Nhóm làm việc ) . một workgroup máy tính cho phép người dùng có thể phối hợp tốt hơn trong cùng một dự án khi cần chia sẻ các tài nguyên như văn bản và máy in . Vì giá trị của việc sử dụng các hệ thống mạng dữ liệu ngày càng được khẳng định trong thế giới kinh doanh , các hệ thống mạng cũng ngày càng trở nên lớn dần . Ngày nay một hệ thống mạng của các doanh nghiệp thường có hàng ngàn nút mạng . Khi các hệ thống mạng ngày càng lớn dần , số lượng tài nguyên chia sẻ cũng nhiều hơn và do đó ngày càng khó khăn trong việc định vị và tìm kiếm các tài nguyên . Khi công ty của bạn chỉ có 10 nhân viên thì việc nhớ số điện thoại bàn của mỗi người cũng không khó khăn lắm , tuy nhiên khi công ty của bạn có 500 nhân viên thì việc đó là không tưởng nếu không muốn nói là điên rồ . Để tìm ra một số của người mà bạn muốn liên lạc , phần lớn các công ty đều sử dụng một danh bạ bao gồm tên và số liên lạc của mỗi người trong tổ chức , người ta gọi đó là directory ( thư mục ) . Trong Linux hệ thống tập tin được tổ chức theo một hệ thống phân bậc tương tự cấu trúc của một cây , bao gồm thân thẳng đúng và các cành chĩa ra . Bậc cao nhất của hệ thống tập tin là thư mục gốc được ký hiệu bằng vạch chéo “ / ” ( root directory ) . Đối với các hệ điều hành Unix và Linux tất cả các thiết bị kết nối vào máy tính đều được nhận ra như các tập tin , kể cả các linh kiện như ổ đĩa cứng , các phân vùng đĩa cứng và các ổ USB chẳng hạn . Điều này có nghĩa là tất cả các tập tin và thư mục đều nằm dưới thư mục gốc , ngay cả các tập tin biểu tượng cho các ổ đĩa cứng . Ví dụ : /datmasuto/buatrua/raumuong.odt chỉ toàn bộ đường dẫn đến tập tin raumuong.odt trong thư mục buatrua nằm trong thư mục datmasuto nằm ngay dưới thư mục gốc . Nằm dưới thư mục gốc có một loạt thư mục quan trọng của hệ thống tập tin được công nhận ở tất cả các bản phân phối Linux khác nhau . Dưới đay là danh sách các thư mục thông thường được nhìn thấy dưới thư mục gốc (/) : -) /bin : chứa các ứng dụng quan trọng -) /boot : các tập tin cấu hình cho quá trình khởi động hệ thống -) /dev : chứa các tập tin là chứng nhận cho các thiết bị của hệ thống -) /etc : chứa các tập tin cấu hình hệ thống , các tập tin lệnh để khởi động các dịch vụ hệ thống -) /home : thư mục này chứa các thư mục cá nhân của những người có quyền truy nhập vào hệ thống -) /lib : thư mục này lưu các thư viện của chia sẻ hệ thống -) lost + found : thư mục này được dùng để lưu các tập tin không có thư mục mẹ mà được tìm thấy dưới thư mục gốc sau khi thực hiện lệnh kiểm tra hệ thống tập tin . -) /media : thư mục này được dùng để tạo ra các tập tin gắn tạm thời vào hệ thống tập tin , được hhệ điều hành tạo ra khi một thiết bị lưu động được cắm vào như đĩa CD , máy ảnh kỹ thuật số , ổ USB … -) /mnt : Thư mục này được dùng để gắn các tập tin tạm thời -) /proc : đây là một thư mục đặc biệt linh động để lưu các thông tin về tình trạng của hệ thống , đặc biệt về các tiến trình đang hoạt động . -) /root : đây là thư mục nhà của “người siêu dùng” (root) . -) /sbin : thư mục này lưu lại các tập tin thực thi của hệ thống . -) /sys : thư mục này lưu các tập tin của hệ thống . -) /tmp : thư mục này lưu các tập tin được tạo ra tạm thời . -) /usr : thư mục này lưu và chứa các tập tin của các ứng dụng chính đã được cài đặt cho mọi người dùng . -) /var : thư mục này lưu các tập tin ghi các số liệu biến đổi như các tập tin dữ liệu và các tập tin bản ghi . Khác với Linux các thư mục trong hệ thống mạng Windows được quản lý bởi các dịch vụ mang tính chuyên nghiệp hơn rất nhiều . Hệ thống mạng Windows hỗ trợ hai mô hình dịch vụ thư mục : workgroup và domain trong đó mô hình miền được ứng dụng trong các tổ chức triển khai Windows Server 2003 . Mô hình dịch vụ thư mục workgroup là một cơ sở dữ liệu phẳng bao gồm tên các máy tính và được thiết kế cho các mạng nhỏ . Đây là hình thức dịch vụ thư mục sơ khai được giới thiệu trong các HĐH Windows NT 3.1 trong những năm 1990 . Mô hình miền là một kiến trúc thư mục có phân cấp của các tài nguyên – Ative Directory – và được sử dụng bởi tất cả các hệ thống là thành viên của miền . Các hệ thống này có thể sử dụng các tài khoản người dùng , nhóm và máy tính trong thư mục để bảo mật các tài nguyên của chúng . Cơ sở dữ liệu của Ative Directory và các dịch vụ của nó được cài đặt trên một hay nhiều máy chủ quản trị miền . Một máy chủ quản trị miền là một máy chủ đã được thăng cấp bằng cách chạy trình cài đặt Active Directory ( Active Directory Installation Wizard ) . Khi máy chủ được thăng cấp thành máy chủ quản trị miền , nó chưa một bản hay một bản sao của CSDL Active Directory . Bởi vì Active Directory là một tài nguyên cơ sở và rất quan trọng của hệ thống nó phải luôn sẵn sàng với mọi người dùng trong mọi thời điểm . Do đó miền Active Directory thông thường có ít nhất hai máy chủ quản trị miền để nếu một máy chủ bị sự cố máy còn lại vẫn có thể tiếp tục phục vụ người dùng . Các máy chủ quản trị miền luôn luôn đồng bộ dữ liệu với nhau nên mỗi máy chủ này đều chứa thông tin hiện tại của miền hệ thống . Khi một người quản trị mạng thay đổi một bản ghi trên CSDL Active Directory trên bất kỳ máy chủ quản trị miền nào thì sự thay đổi này được đồng bộ với tất cả máy chủ quản trị miền trong miền đó . Nó được gọi là đồng bộ đa chủ . Một miền là một đơn vị quản trị cơ bản của dịch vụ thư mục trong Windows Server 2003 hơn nữa một hệ thống mạng lớn có thể có nhiều hơn một miền trong Active Directory của nó . Mô hình nhiều miền sẽ tạo ra một cấu trúc logic là cây nếu như húng có chung một không gian tên miền DNS . Miền contoso.com là miền cha trong đó hai miền còn lại được gọi là miền con và do đó contoso.com cũng được gọi là miền gốc . Hình 5.1 : Cây sử dụng Active Directory Nếu các miền trong Active Directory không chia sẻ một miền gốc chung hhệ thống sẽ có nhiều cây . Một Active Directory chứa nhiêu cây sẽ được gọi là một rừng Hình 5.2 : Rừng sử dụng Active Director Rừng là một kiến trúc lớn nhất trong Active Directory . Khi thăng cấp một máy chủ quản trị miền đầu tiên trong một hệ thống mạng Windows Server 2003 thì đã đòng thời tạo ra một rừng , một cây trong rừng đó và một miền trong cây đó . Chương 6 : Các quyền truy cập Một trong những lý do chính của sự tồn tại các mạng dữ liệu đó là khả năng chia sẻ các file cho nhiều người sử dụng trên các máy tính khác nhau . Trên một mạng nhỏ chia sẻ file thường là một tiến trình thông thường được thực hiện bởi người sử dụng dầu cuối do đó tính chất bảo mật ít được chú ý tới . Tuy nhiên trên một mạng lớn , đặc biệt là trong các tổ chức thường xuyên vận hành với dữ liệu nhạy cảm , người quản trị mạng cần phải đảm bảo rằng các file cần thiết đã được chia sẻ , đảm bảo chúng phải được bảo vệ để tránh khỏi những phá huỷ do những yếu tố khách quan hay chủ quan và chỉ những người dùng nào được xác thực mới có thể làm việc được với chúng . Trong Linux tất cả các tập tin của một hệ thống được gắn các quyền truy cập khác nhau theo từng ngươi dùng của hệ thống , liên quan đến các phép đọc , viết và thực hiện . Người siêu dùng (root) có quyền truy cập đến bất kỳ tâp tin nào của hệ thống . Mỗi tập tin là sở hữu của một người nhất định và được gắn những hạn chế truy cập tuỳ theo người dùng và được gắn một nhóm người dùng . Mỗi tập tin được bảo đảm an toàn bởi ba bộ quyền truy cập được gắn theo ba nhóm người dùng như sau theo thứ tự từ cao đến thấp : *) user ( người dùng ) những quyền truy cập của nhóm này áp dụng cho người sở hữu tập tin *) group ( nhóm người dùng ) những quyền truy cập của nhóm này áp dụng cho nhóm đã được gắn với tập tin *) other ( những người dùng khác ) những quyền truy cập của nhóm này áp dụng cho tất cả các người còn lại Mỗi bộ quyền truy cập sẽ xác định cụ thể các quyền truy cập thực tế đối với các tập tin và các thư mục như sau : *) read ( đọc ) quyền xem nội dung tập tin hoặc mở tập tin quyền xem nội dung của tập tin thư mục *) write ( ghi , viết ) quyền ghi và sửa lại nội dung tập tin hoặc xoá tập tin quyền sửa lại nội dung tập tin thư mục *) execute ( thực hiện ) quyền này được gắn với các tập tin lệnh , nhóm người dùng đã được nhận được quyền này có thể thực hiện các tập tin lệnh quyền được vào các thư mục Để xem và sửa đổi các quyền truy cập đã được gắn với các tập tin thư mục và các tập tin , nhấn vào places à home folder à chuột phải vào biểu tượng tập tin hoặc một thư mục à Properties . Các quyền truy cập trong Permissions . Nếu bạn có quyền sở hữu tập tin bạn sẽ có quyền thay đổi các quyền truy cập của tập tin . Tương tự Linux , trong Windows Server 2003 cũng có các cấp phép truy cập đến file và folder , tuy nhiên các cấp phép này đa dạng , có chiều sâu và có thể kết hợp với nhau một cách rất linh động . Danh sách kiểm soát truy nhập ACL : Hầu hết các thành phần của Windows bao gồm các file , các tài nguyên chia sẻ … đều có một ACL ( Access Control List ) . ACL thực chất là một danh sách các cấp phép nhằm xác định xem đối tượng nào có cấp phép truy cập và mức độ truy cập là như thế nào . ACL của một thành phần xác định bao gồm các ACE ( Access Control Entry - mục vào kiểm soát truy cập ) . Một ACE xác định tên của chủ thể bảo mật ( có thể là người dùng , nhóm hoặc máy tính được gán cấp phép ) và các cấp phép xác định được gán cho chủ thể đó . Hình 6.1 : Thẻ Security trong hộp thoại Properties Với mỗi thành phần được kiểm soát à chuột phải à Properties à Security . Trong hộp thoại này , phần trên hiển thị danh sách các ACE ( các chủ thể bảo mật ) còn bên dưới là các cấp phép tương ứng cho mỗi ACE phía trên . Tính kế thừa : Một trong những tính năng quan trọng của các hệ thống cấp phép trên Windows Server 2003 đó là các đối tượng con sẽ thừa hưởng các cấp phép từ đối tượng cha . Theo tính chất phân cấp của hệ thống file , thư mục cha “cao hơn” thư mục con . Khi đó các cấp phép như một dòng nước chảy từ chỗ cao đến chỗ thấp tức là các thư mục con sẽ được thừa hưởng cấp phép từ thư mục cha . Nói nôm na , khi ta gán cho một chủ thể bảo mật quyền được truy cập đến một thư mục nào đó thì chủ thể bảo mật cũng có quyền truy cập đến các thư mục con và các file bên trong thư mục này . Ví dụ : Khi bạn gán cấp phép cho một người dùng tại thư mục gốc của ổ đĩa NTFS có nghĩa rằng người dùng sẽ nhận được các cấp phép giống hệt trên các file và thư mục con . Ưu điểm của tính kế thừa : - Giảm bớt gánh nặng quản trị vì không cần thiết phải cung cấp các cấp phép riêng biệt cho từng file va folder - Có thể ứng dụng chúng khi thiết kế cấu trúc dịch vụ thư mục , chia xẻ trạng thái và các cây Active Directory . Ta có thể lựa chọn dùng hay không dùng tính năng kế thừa : - Tắt tính năng kế thừa : bỏ lựa chọn Hình 6.2 : Tính năng kế thừa - Cấm các cấp phép : tất cả các hệ thống cấp phép đều cho phép bạn ngăn cấm một cấp phép cụ thể . Cấp phép ngăn cấm này có độ ưu tiên cao hơn và sẽ ghi đè lên cấp phép kế thừa . Trong Windows Server 2003 có hai lớp cấp phép truy cập chính là : - Các cấp phép chia sẻ - Các cấp phép NTFS Sự kết hợp của hai cấp phép này tạo nên quyền truy cập thực tế cho người sử dụng . Hai lớp cấp phép này khác nhau cả về số lượng quyền truy cập , tầm tác dụng và độ phức tạp trong việc kết hợp các cấp phép … Các cấp phép chia sẻ : Hình 6.3 : Các cấp phép chia sẻ Hãy tưởng tượng Folder cha như một cánh cửa của một ngôi nhà và các file dữ liệu bên trong Folder là các đồ dùng bên trong ngôi nhà , nếu bạn muốn sử dụng các đồ vật bên trong ngôi nhà bạn phải mở được cửa và các cấp phép chia sẻ chính là chìa khoá để mở cánh cửa này . Hệ thống các cấp phép chia sẻ là một hệ thống đơn giản không các sự phân biệt giữa các cấp phép chuẩn và các cấp phép đặc biệt mà chỉ gồm 3 cấp phép đơn giản như sau : * ) Read ( đọc ) : - Người dùng cá thể hiển thị tên thư mục , tên fiel , nội dung file … - Có thể thực thi các file chương trình và truy cập tới các thư mục khác trong thư mục chia sẻ . * ) Change ( thay đổi ) : - Có thể tạo các thư mục , thêm file vào thư mục , thay đổi nội dung file , thêm dữ liệu vào file , thay đổi thuộc tính của file , xoá thư mục và file . - Có đầy đủ các quyền của Read * ) Full Control ( toàn quyền điều khiển ) : - Thay đổi các cấp phép truy cập file , chiếm cấp phép sở hữu file - Có đày đủ quyền của cấp phép Change Để thiết lập các cấp phép truy cập : B1 : Nhấn vào Add , lựa chọn đối tượng bảo mật Hình 6.4 : Lựa chọn đối tượng bảo mật B2 : Xác định các cấp phép cho đối tượng bảo mật . Khi đã có chìa khoá để mở cửa rồi thì cần có quyền để dùng các đồ vật trong nhà ( các file dữ liệu chẳng hạn… ) , cá cấp phép NTFS chuẩn sẽ giúp bạn . Tính năng quan trọng nhất mà NTFS mang lại đó là cho phép bạn cung cấp các cấp phép một cách chi tiết đến tất cả các file và thư mục bên trong ổ đĩa . Làm việc với các cấp phép NTFS phức tạp hơn nhiều so với cấp phép chia sẻ nhưng với các tính năng bảo vệ mà nó đem lại thì NTFS thực sự là một công cụ tuyệt vời cho người quản trị mạng . Hình 6.5 : Thẻ Security của một thư mục NTFS So với các cấp phép chia sẻ các cấp phép NTFS có rất nhiều ưu điểm bao gồm : * ) Phạm vi ( Scope ) : như so sánh đã đè cập ở trên . * ) Tính linh hoạt ( Flexibility ) : NTFS cung cấp một danh sách dài các cấp phép đặc biệt có thể kết hợp lại với nhau để tạo nên các cấp phép chuẩn . Các cấp phép NTFS cho phép điều khiển toàn bộ thông qua tính kế thừa cấp phép . * ) Tính sao chép ( Replication ) : Các cấp phép NTFS được sao chép bởi FRS . * ) Tính giữ nguyên trạng thái ( Resilience ) : Khi sao lưu hay khôi phục dữ liệu trên một ổ đĩa các cấp phép NTFS cũng được đính kèm . * ) Không thay đổi ( Less fragine ) : Cấp phép NTFS sẽ không bị mất nếu bạn di chuyển hay đổi tên file\folder có các cấp phép đang áp dụng tuy nhiên phải mãn file\folder vẫn nằm trên cùng ổ NTFS . * ) Khả năng kiểm định ( Audit ) : Cho phép giám sát và ghi lại quá trình truy cập tới các file\folder NTFS của các đối tượng bảo mật . Giới thiệu cấp phép NTFS chuẩn Cấp phép NTFS chuẩn Tác động khi gán cho một thư mục Tác động khi gán cho một file Read - Xem các file và các thư mục con trong thư mục đó . - Xem chủ sở hữu , các cấp phép và các đặc tính của thư mục . - Đọc nội dung file . - Xem chủ sở hữu , các cấp phép và các dặc tính của file . Read and Execute - Cho phép đi qua các thư mục bị ngăn chặn để tới các file và thư mục khác . - Cho phép thực hiện tất cả các chức năng do cấp phép read và List folder contents cung cấp . - Cho phép thực hiện tất cả các chức năng do cấp phép read cung cấp . - Chạy các ứng dụng . Write - Tạo các file và các thư mục con mới bên trong một thư mục . - Thay đổi các đặc tính của thư  mục . - Xem chủ sở hữu và các cấp phép trên thư mục . - Cho phép ghi đè lên file . - Thay đổi các đặc tính của file . - Xem chủ sở hữu và các cấp phép trên file . Modify - Xoá thư mục . - Cho phép thực hiện tất cả các chức năng do cấp phép Write và cấp phép Read and Execute cung cấp . - Thay đổi file . - Xoá file . - Cho phép thực hiện tất cả các chức năng do cấp phép Write và cấp phép Read and Execute cung cấp . List Folder Contents - Xem các tên của các file và các thư mục con chứa trong thư mục cha . - Không áp dụng . Full Control - Thay đổi các cấp phép trên thư mục . - Chiếm cấp phép sở hữu thư mục . - Xoá các thư mục con và các file nằm trong thư mục cha . - Cho phép thực hiện tất cả các chức năng do tất cả các cấp phép NTFS khác cung cấp . - Thay đổi các cấp phép trên file . - Chiếm cấp phép sở hữu file . - Cho phép thực hiện tâts cả các chức năng do tất cả các cấp phép NTFS khác cung cấp . Có rất nhiều loại cấp phép khác nhau ở phạm vi và tác dụng , hơn nữa các đối tượng được gán cấp phép thường là các người dùng , nhóm hoặc máy tính vì vậy rất dễ xảy ra trường hợp một đối tượng sẽ nhận được các cấp phép khác nhau từ các nguồn khác nhau . Chính vi lí do này cần phải có những luật cho phép kết hợp các cấp phép lại với nhau để tránh xung đột . Tất cả các cấp phép mà một đối tượng nhận được một cách riêng rẽ thông qua tính kế thừa và thành viên nhóm đều chịu tác động của các luật này : * ) Các cầp phép cho phép ( Allow ) là tích luỹ : tất cả các cấp phép cho phép được gán cho một đối tượng được kết hợp để tạo nên các cấp phép ảnh hưởng của đối tượng đó . Ví dụ : Cho người dùng : Capphep Hai nhóm : Capphep1 và Capphep2 Thư mục chia sẻ : Chiase với các Cấp phép chia sẻ là fullcontrol đối với nhóm Everyone . Trong thư mục này có file Thunghiem . - Nếu các cấp phép NTFS của Capphep1 và Capphep2 lần lượt là Fullcontrol và Read khi đó cấp phép của Capphep là : Fullcontrol + Read = Fullcontrol - Nếu cấp phép NTFS của Capphep1 và Capphep2 lần lượt là Write và Read thì cấp phép NTFS của Capphep là : Write + Read = Write . * ) Các cấp phép ngăn cấm ( Deny ) loại bỏ các cấp phép cho phép ( Allow ) Các cấp phép deny mà một đối tượng nhận được sẽ loại bỏ tất cả các cấp phép allow từ bất kể nguồn nào . * ) Các cấp phép gán riêng rẽ có mức độ ưu tiên cao hơn các cấp phép kế thừa Chương 7 : Kết luận và đánh giá Hai hệ điều hành Linux và Windows Server 2003 đều phù hợp cho các tác vụ quản trị hệ thống . Mỗi hệ điều hành đều có những ưu điểm và đặc điểm riêng về các phiên bản , yêu cầu phần cứng , cách sử dụng … Có thể thấy rằng ưu điểm lớn nhất của Linux đó là nó free tuy nhiên Windows Server 2003 được phát triển bởi đội ngũ kỹ sư cao cấp của Microsoft do đó nó mang tính định hướng và chuyên nghiệp hơn rất nhiều . Đối với doanh nghiệp việc lựa chọn phần mềm nào phụ thuộc vào : - Quy mô của doanh nghiệp . - Tình hình tài chính . - Đặc trưng về các hoạt động của doanh nghiệp . - Định hướng phát triển trong tương lai . Trong đó đặc trưng về các hoạt động của doanh nghiệp là yếu tố quan trọng nhất . Đối với học sinh sinh viên việc lựa cọn phần mềm chủ yếu phụ thuộc vào định hướng cũng như yêu cầu học tập và nghiên cứu . Nghiên cứu sâu và rộng hơn nữa sẽ cho thấy nhiều tác vụ quản trị khác nhau về cách thức thao tác nhưng có cùng bản chất giữa hai hệ điều hành . Tài liệu tham khảo 1) Phạm Thanh Bình , Giáo trình môn học Hệ Điều Hành Linux , Trường Điện tử điện lạnh Hà Nội 2) Tài liệu tham khảo điện tử MSDN 2004 3) Webside : www.microsoft.com 4) Danholme and Orin Thomas , Windows Server 2003 Environment