HIEU’S BLOG

IV. NTFS

CÁC BƯỚC TRIỂN KHAI

1. Phân quyền thư mục bằng Standard Permission

2. Phân quyền thư mục bằng Special Permission

3. Take OwnerShip

4. Xét quyền khi di chuyển dữ liệu

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 1 máy sử dụng bản ghost Windows Server 2016

– Tạo cây thư mục như trong hình:

– Tạo 2 group: KeToan, NhanSu

– Tạo 2 user: KT1, KT2. Add 2 user này vào Group KeToan

– Tạo 2 user: NS1, NS2. Add 2 user này vào Group NhanSu

B- THỰC HIỆN

1. Phân quyền thư mục bằng Standard Permission

Phân quyền cho các group như sau:

– Trên thư mục Data: Group Ketoan và Nhansu có quyền Read

– Trên thư mục Chung: Group Ketoan và Nhansu có quyền Full

– Trên thư mục Ketoan:

+ Group Ketoan có quyền Full

+ Group Nhansu không có quyền

– Trên thư mục Nhansu:

+ Group Nhansu có quyền Full

+ Group Ketoan không có quyền

a. Phân quyền trên thư mục DATA

– Chuột phải lên thư mục DATA -> Chọn Properties -> Qua tab Security -> Nhấn nút Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Quay lại cửa sổ DATA Properties -> nhấn nút Edit.

– Cửa sổ Permissions for DATA -> nhấn nút Add

– Trong khung Enter the object names to select -> Gõ ketoan;nhansu -> Chọn Check Names

– Quan sát thấy KETOAN và NHANSU đã được gạch chân -> xác định group KETOAN và NHANSU có tồn tại -> OK

– Quan sát 2 group KETOAN và NHANSU -> có 3 quyền Allow: Read & excute, List folder contents, Read.

– Chọn Group Users -> Remove -> OK -> OK

– Kiểm tra :

+ Lần lượt log on vào máy bằng quyền KT1, NS1 -> Mở thư mục C:\DATA -> truy cập thành công

+ Tạo Folder bất kì -> xuất hiện báo lỗi không có quyền.

b. Phân quyền cho thư mục Chung

– Log on Administrator -> Chuột phải lên thư mục Chung, chọn Properties -> Tab Security -> Chọn Edit -> Lần lượt chọn từng group KeToan và NhanSu -> Cho quyền Allow Full Control -> OK -> OK.

– Kiểm tra:

+ Lần lượt log on vào bằng KT1 , NS1 -> truy cập vào thư mục Chung -> truy cập thành công

+ Tạo, xóa folder bất kì trong thư mục Chung -> thành công

c. Phân quyền cho thư mục KETOAN

– Chuột phải lên thư mục KETOAN -> Chọn Properties -> Qua tab Security -> Chọn Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Cửa sổ KETOAN Properties -> Chọn Edit

– Chọn group NHANSU -> Remove

– Chọn Group KETOAN -> Chọn Allow Full Control -> OK -> OK

Kiểm tra:

– Lần lượt log on vào bằng KT1 , NS1 -> truy cập vào thư mục KETOAN -> chỉ có KT1 truy cập thành công, còn NS1 không truy cập được.

– User KT1 tạo , xóa file, folder bất kì trong thư mục KETOAN -> thành công

d. Phân quyền cho thư mục NHANSU

– Chuột phải lên thư mục NHANSU -> Chọn Properties -> Qua tab Security -> Chọn Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Cửa sổ NHANSU Properties -> Chọn Edit

– Chọn group KETOAN -> Remove

– Chọn Group NHANSU -> Chọn Allow Full Control -> OK -> OK

– Kiểm tra:

+ Lần lượt log on vào bằng KT1, NS1 -> truy cập vào thư mục NHANSU -> chỉ có NS1 truy cập thành công, còn KT1 không truy cập được

+ User NS1 tạo , xóa file, folder bất kì trong thư mục NHANSU -> thành công

2. Phân quyền thư mục bằng Special Permission

Phân quyền theo yêu cầu: File do User nào tạo ra User đó mới xóa được

– Chuột phải lên thư mục KETOAN -> Chọn Properties -> Qua tab Security -> nhấn vào nút Advanced

– Trong tab Permissions -> chọn Group KETOAN -> chọn Edit

– Trong cửa sổ Permission Entry for KETOAN, nhấn vào liên kết Show advanced permissions.

– Ở mục Allow, tắt dấu chọn ở ô Delete subfolders and files và Delete -> Chọn OK 4 lần

– Kiểm tra :

+ Lần lượt log on bằng KT1 và KT2 -> truy cập vào thư mục KeToan

+ KT1 tạo file KT1.txt , KT2 tạo file KT2.txt

– Log on bằng KT1 -> xóa file KT2.txt -> báo lỗi không có quyền xóa . Xóa file KT1.txt -> thành công

– Log on bằng KT2 -> xóa file KT1.txt -> báo lỗi không có quyền xóa . Xóa file KT2.txt -> thành công

3. Take Owner Ship

– Log on KT1, truy cập vào folder KETOAN -> tạo folder KT1file

– Phân quyền NTFS trên thư mục KT1file. Chuột phải thư mục KT1File -> Chọn Properties -> Qua tab security -> Chọn Advanced -> Disable Inheritance

– Tab Security -> chọn Edit -> Remove tất cả các object, ngoại trừ KT1 (Full Control) -> nhấn OK 2 lần.

– Log on Administrator, truy cập vào folder KETOAN. Truy cập vào folder KT1file bị báo lỗi không thể truy cập -> Chuột phải lên folder KT1file, chọn Properties -> Qua tab Security, chọn Advanced

– Ở mục Owner, chọn Change.

– Nhập vào Administrator -> Check Names -> OK

– Đánh dấu chọn vào ô Replace owner on subcontainers and object -> Yes-> OK -> OK đóng các cửa sổ.

– Kiểm tra: Chuột phải vào folder KT1file, quan sát thấy Administrator đã có quyền Full Control

4. Xét quyền khi di chuyển data trên cùng Partition

a. Copy

– Trong ổ C tạo 1 folder tên là A

– Chuột phải lên C:\DATA chọn Copy -> Mở thư mục A -> chuột phải chọn Paste

– Kiểm tra quyền của thư mục C:\A\DATA -> các quyền NTFS bị thay đổi

b. Move

– Trong ổ C tạo 1 folder tên là B

– Chuột phải lên C:\DATA chọn Cut -> Mở thư mục B -> chuột phải chọn Paste

– Kiểm tra quyền của thư mục C:\A\DATA -> các quyền NTFS không bị thay đổi

* Nhận Xét :

– Khi di chuyển dữ liệu trong cùng partition -> quyền của data không bị thay đổi.

– Khi copy dữ liệu vào nơi khác cùng partition thì quyền của data vừa copy bị thay đổi phụ thuộc vào nơi đến.

III. LOCAL SECURITY POLICY

CÁC BƯỚC TRIỂN KHAI:

1. Password Policy

2. Account Lockout Policy

3. User Rights Assignment

4. Network Access

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

* PC01: Windows Server 2016

* PC02: Windows Server 2016

– 2 máy tắt Firewall -> Kiểm tra đường truyền bằng lệnh PING

B- THỰC HIỆN

1. Password Policy (Thực hiện trên PC01)

– Log on Administrator -> Tạo user bằng password : 123 -> báo lỗi không thể tạo được do không thỏa yêu cầu về độ phức tạp của password

– Mở Server Manager, vào menu Tools -> Local Security Policy

– Mở Account Polices -> Password Policy. Quan sát cột bên phải

+ Enforce password history : Số password hệ thống lưu trữ (khuyên dùng: 24 )

+ Maximum password age : Thời gian sử dụng tối đa của 1 password (khuyên dùng: 42 )

+ Minimum password age : Thời gian sử dụng tối thiểu của 1 password (khuyên dùng: 1 )

+ Minimum password length : Độ dài tối thiểu của 1 password (khuyên dùng: 7 )

+ Password must meet complexity requirements: Yêu cầu password phức tạp (khuyên dùng: Enabled)

-> Chỉnh password policy :

– Password must meet complexity requirements -> Chọn Disabled

– Các password policy còn lại chỉnh giá trị về 0 -> OK

– Mở CMD -> gõ lệnh Gpupdate /Force

Kiểm tra :

– Tạo account U1 với password : 123 -> Tạo thành công

2. Account Lockout Policy

– Mở Local Security Policy. Truy cập theo đường dẫn Account Policies -> Account Lockout Policy

– Quan sát các policy bên phải

+ Account lockout duration: Thời gian account bị khóa

+ Account lockout threshold : Số lần nhập sai password trước khi account bị khóa

+ Reset account lockout counter after : thời gian chuyển bộ đếm về giá trị 0

– Điều chỉnh thông số các policy :

+ Account lokout threshold : 3

+ Account lockout duration : 30

+ Reset account lockout counter after : 30

– Kiểm tra: Đăng nhập sai password 3 lần -> không thể đăng nhập tiếp. Chờ sau 30 phút -> có thể đăng nhập lại.

3. User Rights Assignment

Yêu cầu:

+ Log on bằng quyền U1 -> shut down máy tính -> không được

+ Thay đổi ngày giờ hệ thống -> không được

– Log on Administrator -> Mở local security policy -> Local Policies -> User Rights Assignment -> cột bên phải : Quan sát 2 policy

– Change the system time : Cho phép user/group có quyền thay đổi ngày giờ hệ thống

– Shutdown the system : Cho phép user/group có quyền tắt máy

\

– Điều chỉnh thông số policy

+ Change the system time: Đưa group Users vào

+ Shutdown the system: Đưa group Users vào

– Kiểm tra : Log on U1 -> Shut down thử -> thành công. Thay đổi ngày giờ hệ thống -> thành công

4. Network Access

* Trường hợp 1: Classic

– Mở Local Security Policy -> Local Policy -> Security Options -> Double click Network access : Sharing and security model for local account. (Mặc định Windows Server chạy Classic).

a. Classic: 2 máy cùng password (Thực hiện trên cả 2 máy)

– Đổi password administrator là 123

– Thực hiện truy cập bằng URL từ Máy PC01 qua Máy PC02 và ngược lại

– Tại PC02 : Nhấn tổ hợp phím ÿ + R, gõ \\PC01 -> truy cập thành công mà không hỏi username và password

– Nhận xét : Khi truy cập vào PC02 nếu account dùng để log on trên Máy PC01 trùng user name và password với 1 account trên máy PC 02 , thì khi network access sẽ không bị hỏi username và password

b. Classic: 2 máy khác password (Thực hiện trên cả 2 máy)

– Đổi password administrator Máy PC01 thành 123 , password administrator Máy PC02 thành 456 -> Log on vào PC01 bằng account administrator

– Thực hiện truy cập bằng URL từ Máy PC01 qua Máy PC02 và ngược lại

– Tại PC01 : Nhấn tổ hợp phím ÿ + R, gõ \\PC02 -> Hiện thông báo đòi User name and password -> Khai báo username và password Máy PC02 -> OK -> Truy cập thành công qua PC02

* Trường hợp 2: Guest only (Thực hiện trên cả 2 máy)

– Máy PC02: Enabled user Guest.

– Mở Local Security Policy -> Local Policy -> Security Options -> Double click Network access: Sharing and security model for local account -> Guest only – local users authenticate as Guest.

– PC01 truy cập vào PC02: Không hỏi username, password. Mặc định chứng thực bằng account Guest.

– PC02 Disable account Guest. PC01 truy cập vào PC02 sẽ bị hỏi User name và password , tuy nhiên dù nhập account Administrator cũng không thể truy cập được vì chỉ có thể truy cập bằng bằng account Guest (Đã bị disable).

II. LOCAL POLICY

CÁC BƯỚC TRIỂN KHAI:

1. Cấu hình Local Policy

a. Điều chỉnh policy Computer Configuration

b. Điều chỉnh policy User Configuration

2. Cấu hình Local User Policy

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 1 máy Windows Server 2016

– Tạo user Teo, Password: P@s

B- THỰC HIỆN

1. Cấu hình Local Policy

a. Điều chỉnh policy Computer Configuration

– Log on vào máy bằng account Administrator. Nhấn phím ÿ, chọn biểu tượng Turn Off -> Shut down. Xuất hiện bảng Shutdown Event Tracker. Nhấn phím ÿ để quay lại màn hình Desktop

– Nhấn tổ hợp phím ÿ + R, gõ lệnh Gpedit.msc

– Lần lượt mở theo đường dẫn: Local Computer Policy -> Computer Configuration -> Administrative Templates -> System. Ở khung bên phải nhấn double click vào Display Shutdown Event Tracker. – Chọn Disabled -> OK

– Thử kiểm tra nhấn phím ÿ, chọn biểu tượng Turn Off -> Shut down -> Không thấy xuất hiện bảng Shutdown Event Tracker nữa.

b. Điều chỉnh policy User Configuration

– Mở Control Panel -> Truy cập thành công.

– Lần lượt mở theo đường dẫn: Local Computer Policy -> User Configuration -> Administrative Templates -> Control Panel. Ở khung bên phải, nhấn double click vào Prohibit access to Control Panel and PC Settings. – Chọn Enabled -> OK

– Kiểm tra: Truy cập vào Control Panel, xuất hiện thông báo lỗi chặn truy cập.
– Quay lại cửa sổ Local Group Policy Editor. Mở theo đường dẫn Local Computer Policy -> User Configuration -> Administrative Templates -> Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from Desktop -> Enabled.
– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra: Log off và log on lại máy sẽ thấy mất biểu tượng Recycle Bin trên desktop.

– Quay lại cửa sổ Local Group Policy Editor. Mở theo đường dẫn Local Computer Policy -> User Configuration -> Administrative Templates -> System. Ở khung bên phải, nhấn double click vào Prevent access to the command prompt -> Enabled
– Truy cập thử vào CMD sẽ thấy bị báo lỗi.

– Sau khi thực hiện xong, trả các policy vừa thiết lập về mặc định như lúc đầu.

2. Cấu hình Local User Policy

– Nhấn tổ hợp phím ÿ + R, gõ lệnh MMC

– Cửa sổ Console 1, vào menu File -> Add/Remove Snap-in… hoặc nhấn tổ hợp phím Ctrl + M

– Ở khung Available snap-ins bên trái, chọn Group Policy Object Editor -> Add

– Nhấn Finish

– Tiếp tục vào menu File, chọn Add/Remove Snap-in… -> Group Policy Object Editor -> Add

– Nhấn nút Browse

– Qua tab Users -> chọn Non-Administrators -> OK
– Tương tự, vào menu File, chọn Add/Remove Snap-in… -> Group Policy Object Editor -> Add -> Browse -> Qua tab Users, chọn User Teo. Quan sát thấy có 3 policy vừa add ứng với từng đối tượng: Computer Policy, Non-Administrators Policy và Teo Policy

* TH1: Chỉnh Local Computer Policy xóa Recycle Bin trên Desktop

– Mở theo đường dẫn: Local Computer Policy -> User Configuration -> Administrative Templates -> Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from Desktop -> Enabled.

– Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recycle Bin bị mất trên Desktop

* TH2: Chỉnh Non-Administrators Policy không xóa Recycle Bin trên Desktop

– Log on Administrator. Mở theo đường dẫn: Local Computer\Non-Administrators Policy -> User Configuration -> Administrative Templates -> Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from Desktop -> Disabled.

– Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recycle Bin KHÔNG bị mất trên Desktop

* TH3: Chỉnh Teo Policy xóa Recycle Bin trên Desktop

– Log on Administrator. Mở theo đường dẫn: Local Computer\teo Policy -> User Configuration -> Administrative Templates -> Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from Desktop -> Disabled

– Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recycle Bin bị mất trên Desktop

I. LOCAL USERS – LOCAL GROUPS

CÁC BƯỚC TRIỂN KHAI:

* Phần 1: Thực hiện trên Windows Server 2016

1. Tắt User Account Control (UAC)

2. Tạo Local User Account

3. Cấu hình Log on tự động bằng account định sẵn

4. Tạo local group account

5. Network access

* Phần 2: Thực hiện trên Windows 8

1. Tạo Local User và Group

2. Tham khảo các Option khi nhấn Ctrl + Alt + Del

3. Enabled Account Administrator

4. Tham khảo các Option của User Account

5. Cho máy tính tự động log on với account định sẵn

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy

– PC01: Windows Server 2016

– PC02: Windows Server 2016

– 2 máy tắt firewall. Kiểm tra bằng lệnh Ping giữa 2 máy

B- THỰC HIỆN

* Phần 1: Thực hiện trên Windows Server 2016

1. Tắt User Account Control (UAC)

– Nhấn tổ hợp phím ÿ + X -> chọn Control Panel hoặc nhấn phím P

– Ở mục View By -> chọn Small icons -> chọn User Accounts
– Nhấn vào mục Change User Account Control settings
– Cuộn thanh cuộn xuống cuối cùng Never Notify và nhấn OK. Sau đó khởi động lại máy để thay đổi có hiệu lực.

2. Tạo Local User Account

– Mở chương trình Local Users and Groups bằng cách nhấn tổ hợp phím ÿ + R -> gõ lệnh lusrmgr.msc

– Chuột phải vào mục Users -> chọn New User.	– Điền vào các thông tin sau: + Username : U1 + Password và Confirm password : P@ssword + Bỏ check User must change password at next logon Sau đó nhấn vào nút Create
– Tương tự tạo thêm user U2 với các thông số sau + Username : U2 + Password/Confirm password : P@ssword + Bỏ check User must change password at next logon
– Log on user U1. Truy cập vào thư mục C:\Users\U1, quan sát thấy profile của U1.
– Tiếp theo thử truy cập thư mục C:\Users\Administrator, sẽ thấy báo lỗi không có quyền truy cập vào profile của user khác -> Cancel.

3. Cấu hình Log on tự động bằng account định sẵn

– Log on bằng account Administrator, nhấn Ctrl + Alt + Del ->chọn Change Password. Đổi mật khẩu thành P@ssword456

– Nhấn tổ hợp phím ÿ + R, gõ lệnh Control UserPasswords2

– Ở mục Users for this computer -> chọn Administrator. Sau đó bỏ check ở ô Users must enter a user name and password to use this computer -> OK.

– Nhập vào mật khẩu của account Administrator: P@ssword456 -> OK.

– Kiểm tra : Khởi động lại máy. Máy tính tự động đăng nhập bằng account Administrator, không hỏi password

4. Tạo local group account

– Nhấn tổ hợp phím ÿ + R, gõ lệnh lusrmgr.msc

– Chuột phải vào Groups, chọn New Group
– Ở mục Group Name -> KETOAN -> Add	– Nhập vào u1 -> Check Names -> OK

– Quan sát thấy user u1 đã được thêm vào group KETOAN.

– Tương tự, tạo thêm Group NHANSU và thêm user u2 vào group này.

5. Network access

– Chuẩn bị :

+ Trên PC01 đổi password Administrator thành P@ssword123

+ Trên PC02 đổi password Administrator thành P@ssword456

+ PC01 log on bằng account Administrator

– Trên máy PC01, nhấn tổ hợp phím ÿ + R, gõ \\PC02

– Hộp thoại Windows Security, yêu cầu nhập username và password -> Khai báo account : Administrator /Password : P@ssword456. Sau đó nhấn OK.

– Kiểm tra truy cập thành công qua máy PC02.

– Tiếp theo tại máy PC01 và máy PC02, bạn tạo account U3 với password là P@ssword.

– PC01 log on bằng account U1. Sau đó bạn nhấn tổ hợp phím ÿ + R, gõ \\PC02. Truy cập vào PC02 thành công (không hiện bảng đòi username và password)

* Nhận xét:

– Khi PC01 truy cập vào PC02: nếu trên máy PC02 có user trùng username và password với user đang log on ở PC01 thì sẽ không bị hỏi username và password.

* Phần 2: Thực hiện trên Windows 8.1

Chuẩn bị: Ghost máy PC01 bản Windows 8.1

1. Tạo Local User và Group

– Mở File Explorer, chuột phải vào This PC -> chọn Manage

– Ở khung bên trái, bung mục Local Users and Groups -> chọn Users.
– Chuột phải vào Users -> New User
– Trong cửa sổ New User, khai báo các thông tin : + User name: u1 + Password: 123 + Confirm Password: 123 + Bỏ dấu check trước dòng “User must Change password at next logon”. chọn Create

– Log Off. Quan sát thấy đã có thêm user account mới trong phần log on.

– Tiếp theo chuột phải lên mục Groups -> chọn New Group

– Trong cửa sổ New Group, ở mục Group Name, bạn đặt tên group là: Boss -> Add – Nhập vào u1 -> Checks Name -> OK – Quan sát thấy user u1 đã được thêm vào group Boss -> Create.

2. Tham khảo các Option khi nhấn Ctrl + Alt + Del

– Nhấn tổ hợp phím Ctrl + Alt + Delete.

– Quan sát thấy các tùy chọn:

+ Lock: Khóa máy tính

+ Switch User: Chuyển qua môi trường làm việc của user khác mà không tắt session hiện tại

+ Sign out: Chuyển qua môi trường làm việc của user khác và tắt session hiện tại

+ Task Manager: Dùng để xem các thông số performance của máy tính

3. Enabled Account Administrator

– Mở File Explorer, chuột phải vào This PC -> chọn Manage

– Ở khung bên trái, bung mục Local Users and Groups -> chọn Users.

– Chuột phải lên account “Administrator”-> chọn Properties.	– Bỏ check “Account is disabled” -> OK.
– Log off và quan sát account Administrator đã xuất hiện trong phần log on.

4. Tham khảo các Option của User Account

+ User must change password at next logon : User phải đổi password trong lần log on đầu tiên

+ User cannot change password: User không có quyền đổi password

+ Password nerver expires: Password của user không bao giờ bị hết hạn

+ Account is disabled: Vô hiệu hóa Account

+ Account is locked out: Account tạm thời bị khóa

5. Cho máy tính tự động log on với account định sẵn

– Gõ tổ hợp phím: ÿ + R, nhập lệnh control userpasswords2	– Bỏ check “ Users must enter a username and paswword to use this computer” – Ở mục “Users for this computer”-> chọn Administrator
– Kiểm tra : Khởi động lại máy. Máy tính tự động đăng nhập bằng account Administrator, không hỏi password.