I- GIỚI THIỆU:
Trong phần này tôi sẽ trình bày thao tác tích hợp DAC với File Server Resource Manager để phân loại dữ liệu và phân quyền dựa theo dữ liệu đã được phân loại
Để thực hiện bài LAB này bạn phải thực hiện xong phần 1
II. CÁC BƯỚC TRIỂN KHAI:
Mô hình bài lab bao gồm 3 máy:
– DC2012: Domain Controller chạy Windows Server 2012 (domain mcthub.local)
– SERVER1: File Server chạy Windows Server 2012
– CLIENT1: Client chạy Windows 8
SERVER1 và CLIENT1 là 2 máy đã join domain mcthub.local
* Chuẩn bị:
– Trên máy SERVER1, tạo folder C:\DuLieu. Chuột phải vào folder DuLieu, chọn Specific people.
– Bạn gán quyền Read/Write cho Everyone.
– Tạo 2 File TaiLieu1.txt và TaiLieu2.txt trong folder DuLieu.
– Bạn nhập vào nội dung giống như hình bên dưới cho cả 2 file.
* Quy trình thực hiện:
1/ Cài đặt File Server Resource Manager
2/ Phân loại dữ liệu trên File Server Resource Manager
a. Tạo Classification Rule
b. Phân quyền cho group truy cập vào dữ liệu
c. Tạo Central Access Policy
3/ Kiểm tra
III. TRIỂN KHAI CHI TIẾT:
Mục đích của bài LAB là phân loại dữ liệu theo công ty dựa vào nội dung dữ liệu. Dữ liệu nào nội dung có từ “MCTHUB” sẽ là dữ liệu của công ty MCTHUB và chỉ được truy cập bởi thành viên của công ty này.
1/ Cài đặt File Server Resource Manager
– Trên máy SERVER1, cài đặt File Server Resource Manager để hỗ trợ phân loại dữ liệu.
– Màn hình Select installation type, bạn chọn Role-based or feature-based installation.
– Màn hình Select destination server, bạn chọn Select a server from the server pool.
– Màn hình Select server roles, bạn đánh dấu chọn vào ô File Server Resource Manager.
– Các bước còn lại, bạn nhấn Next và cài đặt theo mặc định. Màn hình Confirmation installation selections, bạn nhấn Install để cài đặt.
– Sau khi cài đặt xong, bạn vào menu Tools, chọn File Server Resource Manager và khảo sát mục Classification Properties (các thuộc tính để phân loại).
– Trong cửa sổ File Server Resource Manager, ở khung bên trái, bạn bung mục Classification Management, chọn Classification Properties.
– Qua máy DC2012, mở Active Directory Administrative Center. Chọn Dynamic Access Control – Resource Properties. Bạn sẽ thấy DAC hỗ trợ các thuộc tính bổ sung cho dữ liệu. Ở đây do tôi muốn phân loại dữ liệu theo công ty nên tôi sẽ chọn thuộc tính Company để phân loại. Muốn sử dụng thuộc tính nào bạn cầnEnable thuộc tính đó lên, tuy nhiên muốn Enable bạn cần gán các giá trị đề nghị (Suggested Value) cho thuộc tính đó. Trong ví dụ này tôi sẽ gán 2 Suggested Value là “MCTHUB” và “ITAHUB” cho thuộc tính Company.
– Chuột phải vào Company, chọn Properties.
– Kéo xuống khung Suggested Values và nhấn nút Add.
– Bạn lần lượt thêm 2 giá trị MCTHUB và ITAHUB.
– Nhấn OK để xác nhận thay đổi.
– Bây giờ bạn có thể Enable thuộc tính Company.
– Qua máy SERVER1 cập nhật policy.
– Mở File Server Resource Manager cập nhật thuộc tính, chuột phải vào Classification Properties, chọn Refresh.
– Bạn sẽ thấy xuất hiện thuộc tính mới để phân loại là Company.
2/ Phân loại dữ liệu trên File Server Resource Manager
a. Tạo Classification Rule
– Trên SERVER1, chuột phải vào Classification Rules, chọn Create Classification Rule.
– Trong Tab General bạn đặt tên tùy ý cho Classification Rule.
– Trong tab Scope bạn Add thư mục cần phân loại vào là thư mục C:\DuLieu.
– Trong tab Classification, tiến hành phân loại dữ liệu bằng cách đặt thuộc tính Company là MCTHUB dựa vào nội dung dữ liệu. Nhấn nút Configure để qui định nội dung.
– Ở đây tôi qui định những dữ liệu nào có từ MCTHUB trong nội dung để được phân loại.
– Trong tab Evaluation Type, bạn đánh dấu chọn vào ô Re-evaluate existing property value, sau đó chọn ô Overwrite the existing value. Nhấn OK để tạoClassification Rule.
– Bạn có thể lập lịch cho Classification Rule này chạy vào thời điểm mà bạn muốn bằng cách cấu hình Schedule cho Classification Rule. Chuột phải vàoClassification Rules, chọn Configure Classification Schedule.
– Bạn có thể thiết lập cho Classification Rule tự động chạy vào 7:40 tối vào tất cả các ngày trong tuần.
– Tuy nhiên, bạn cũng có thể chạy Classification Rule ngay lập tức để tiến hành kiểm tra kết quả ngay mà không cần đợi đến thời điểm xác định.
– Trong cửa sổ Run Classification, bạn chọn ô Wait for classification to complete.
– Chờ đợi quá trình phân loại trong giây lát.
– File Server Resource Manager sẽ mở một Report thống kê quá trình phân loại. Khảo sát report này bạn sẽ thấy File Server Resource Manager đã phân loại được 1 file là TaiLieu1.txt do nội dung file này có chuỗi “MCTHUB”. Sau khi khảo sát xong bạn đóng report này lại để tiếp tục.
– Kiểm tra kết quả phân loại bằng cách vào trang Properties của từng File (TaiLieu1.txt và TaiLieu2.txt), sau đó qua tab Classification. Bạn sẽ thấy fileTaiLieu1.txt có thuộc tính Company là MCTHUB, file TaiLieu2.txt có thuộc tính Company là None.
b. Phân quyền cho group truy cập vào dữ liệu
– Tiếp theo tôi sẽ phân quyền cho group MCTHUB truy cập vào dữ liệu có thuộc tính Company là MCTHUB. Sang máy DC2012 tạo một Central Access Rule để chỉ định điều kiện
– Đặt tên Rule tùy ý. Ở khung Target Resource, bạn nhấn nút Edit.
– Nhấn Add a condition để chỉ định điều kiện về thuộc tính của dữ liệu
– Chọn MCTHUB trong danh sách ở cột cuối cùng.
– Quan sát điều kiện, điều kiện này qui định phân quyền cho các dữ liệu có thuộc tính Company là MCTHUB. Nhấn OK để xác nhận.
– Cuộn xuống khung Permission. Chọn Use following permissions as current user, sau đó nhấn Edit để phân quyền.
– Nhấn nút Add để thêm user/group cần phân quyền.
– Nhấn Select a principal để chọn user/group.
– Chọn group MCTHUB, sau đó bạn nhấn OK.
– Phân quyền Modify cho group MCTHUB. Nếu bạn cần qui định thêm điều kiện truy cập thì có thể nhấn Add a condition (tham khảo phần 1). tuy nhiên trong ví dụ này tôi không cần qui định thêm bất cứ điều kiện nào khác. Nhấn OK mọi hộp thoại để xác nhận.
c. Tạo Central Access Policy
– Tạo Central Access Policy để đưa Central Access Rule vừa tạo vào để áp đặt Group Policy.
– Ở khung Member Central Access Rules, bạn nhấn nút Add.
– Chọn Rule vừa tạo, nhấn nút mũi tên đưa sang khung bên phải.
– Sau đó bạn nhấn OK.
– Nhấn OK để xác nhận.
– Tiếp theo bạn cần đưa Central Access Policy vừa tạo vào Group Policy. Mở Group Policy Management, chuột phải GPO DAC Policy, chọn Edit.
– Bạn mở theo đường dẫn: Computer Configuration\Policies\Windows Settings\Security Settings\File System, chuột phải vào Central Access Policy, chọnManage Central Access Policy.
– Tiếp theo bạn đưa Central Access Policy vào Group Policy, sau đó bạn nhấn OK.
– Qua máy SERVER1, cập nhật Policy.
– Áp đặt Central Access Policy cho folder Dulieu (thực hiện tương tự phần 1). Chuột phải vào folder DULIEU, chọn Properties.
– Bạn qua tab Security, và nhấn nút Advanced.
– Bạn qua tab Central Policy, và nhấn vào nút Change.
– Bạn chọn Policy-MCTHUB, sau đó nhấn OK tất cả các hộp thoại.
3/ Kiểm tra
– Như vậy phần cấu hình đã hoàn tất, bạn có thể kiểm tra tại chỗ bằng chức năng Effective Access trên File TaiLieu1.txt. Vào hộp thoại Properties của fileTaiLieu1.txt, sang tab Security, nhấn nút Advanced. Tiếp theo bạn qua tab Effective Access. Nhấn Select a user – Chọn user nam và nhấn View effective access. Bạn sẽ thấy user này có quyền truy cập vì thuộc group MCTHUB.
– Tương tự kiểm tra quyền truy cập của user duy. Bạn sẽ thấy user này không có quyền truy cập vì không thuộc group MCTHUB.
– Qua máy CLIENT1, logon user nam. Truy cập vào folder Dulieu trên SERVER1.
– Kiểm tra truy cập thành công cả 2 file
– Trên máy CLIENT1, logon user duy, kiểm tra không thấy file TaiLieu1.txt.
