Tiếp theo series “Tự học MCSA 2012“, mình (cuongquach.com) sẽ đề cập đến các vấn đề về File Server và share permission .
Contents
File Server (FS)
Nói 1 cách đơn giản, file server là một server dùng để lưu trữ dữ liệu và chia sẻ cho người dùng sử dụng.
Chuẩn bị:
- server2012may1: IP 192.168.1.100/24
- server2012may2: IP 192.168.1.101/24
- Turn off: windows firewall.
- Tạo KT1, KT2 group Ketoan. NS1, NS2 group NhanSu
- Tạo Folder Data trong ổ C máy server2012may1.
2. Một số yêu cầu cho File Server
Hardware:
– Ổ cứng (HDD, SSD) lớn, có khả năng chịu lỗi (sẽ đề cập ở các bài sau).
– Có ít nhất 1 card mạng online.
Software:
– Nếu FS sử dụng HĐH windows client thì bị giới hạn số kết nối đồng thời.
– Win XP: cho phép 10 kết nối đồng thời.
– Win 7, 8: 20 kết nối (có thể chỉnh registry để tăng kết nối).
Nếu File Server sử dụng HĐH dòng Windows Server thì số kết nối đồng thời cho phép cao hơn (bản Datacenter hỗ trợ tối đa 16777216 kết nối)
Dùng lệnh “net config server” để xem, mở terminal cmd:
Start -> Run -> cmd > net config server
Lưu ý: Khi truy cập vào Server (file server, print server hay remote vào server, v.v) thì các user cần có thêm các license để hợp pháp hóa việc truy cập, license đó gọi là CAL (Client Access License) . ( vào đây để tìm hiểu thêm về CAL).
Để File Server (print server v.v) và các Client có thể liên lạc được với nhau thì cả 2 phải đáp ứng các điều kiện sau:
- Về Service
Start -> Run -> services.msc
Phải đảm bảo 3 dịch vụ sau phải ở trạng thái (status) running và Startup type: Automatic.
– Server
– Workstation
– Computer Browser
Nếu File Server bị disable Server Services, thì client truy cập vào sẽ thấy thông báo:
Nếu Workstation service bị tắt (disable) thì sẽ xuất hiện thông báo dưới:
- Về Firewall: nếu có firewall thì phải mở port TCP, UDP port 445
- Về Policy: chỉnh các policy thích hợp (xem phần cuối của bài local group policy)
- Về NIC card mạng:
Start -> run -> ncpa.cpl -> Properties biểu tượng network connection trong windows
Bạn phải stick lựa chọn đảm bảo 2 option sau :
+ Client for Microsoft Network.
+ File and Printer sharing for Microsoft Network.
Đương nhiên, để người dùng có thể truy cập tài nguyên trong File Server ta phải share các tài nguyên đó. Ta thực hiện share tài nguyên đó như sau :
Bước 1:
Chọn folder cần share > Properties Folder -> tab sharing
Ta thấy có 2 cách share tài nguyên:
- Share (giao diện File Sharing)
- Advanced Sharing
Bước 2: chọn Share
Ở giao diện này thì chỉ có 2 quyền: Read và Read/ Write
Bước 3: Chọn Advanced Sharing > Check vào share this folder:
Share name: là tên hiển thị khi người dùng truy cập tài nguyên (ta có thể đặt tên khác để người dùng không thể biết dữ liệu nằm trong folder nào).
Bước 4: Chọn Permission
Đây là giao diện của Share Permission, gồm 3 quyền cơ bản:
– Read: đọc, copy dữ liệu. (giống như read/ execute trong NTFS)
– Change: bằng quyền Read + chỉnh sửa, xóa dữ liệu (giống Modify trong NTFS)
– Full: toàn quyền (giống full control trong NTFS).
Ta thấy có sự tương đồng giữa Share Permission và NTFS Permission. Khi 1 Folder vừa sử dụng Share permission và NTFS permission thì quyền áp lên user là giao của 2 bộ quyền trên.
Ví dụ:
- Share: cho full control, NTFS cho Read/ Execute thì giao của Full và Read => Read.
- Share: Read, NTFS: Full => kết quả Read.
- Share: Read, NTFS: Write => kết quả là không có quyền nào cả
Và lưu ý rằng: Share Permisson chỉ tác động đến người dùng Network Access (\\), không tác động với người dùng local access (ngồi trực tiếp trên máy).
Mẹo: Khi share folder, để đảm bảo giữ nguyên bộ quyền NTFS thì thực hiện share permission với group Users: allow full control.
4. Cách truy cập tài nguyên
Sau khi chúng ta đã share được folder Data hoàn tất thì chúng ta cần biết cách để truy cập được tài nguyên folder đã được share ở bước trên.
Cách 1: Dùng UNC (Universal naming convention): đường dẫn mạng (hay còn gọi là đường dẫn tuyệt đối)
Cú pháp:
\\[IP]
hoặc
[tên server]\Share name : \\192.168.1.100
Nhược điểm: gây khó khăn với người dùng.
Cách 2: Map Share folder thành ổ đĩa mạng trên máy tính (Map Network Drive), ánh xạ ổ đĩa mạng từ sahre folder trên File Server (thực hiện trên client). Client chỉ cần vào ổ đĩa này và thao tác với dữ liệu.
start -> run -> \\192.168.1.100
Propersties -> chọn Map Network Drive
Ta check vào Reconnect at sign-in: tự động connect lại khi user đăng nhập lần kế tiếp ->Finish
Ta thấy xuất hiện ổ Z
Nếu không thích sử dụng nữa thì chuột phải vào ổ Z -> disconnect.
Cách thứ 3:
Có thể dùng cách này để tạo Map Network Drive.
Cú pháp lệnh:
net use [drive] \\[IP File server]\[tên share folder] /user:[username] [pass]
Ví Dụ:
net use Z: \\192.168.1.100\data /user:cuongqc 123
Đăng nhập với username nào thì sẽ có quyền tương ứng với username đó. Nếu không nhập tên user/pass thì mặc định chứng thực với user đang sử dụng login trên hệ thống.
(1 ổ đĩa mạng chỉ map được 1 folder)
5. Tình huống lab
Tình huống 1: Ta không muốn người dùng thấy 1 folder nào đó mà ta đã share. (Hiden Share – Share ẩn). Trên File server tạo folder QuanTrong.
Click chuột phải folder QuanTrong -> Properties Folder -> Tab Sharing -> Advanced Sharing
Share name: sau tên folder ta thêm dấu “$” => dấu “$” để làm ẩn folder.
Nếu user muốn truy cập thì phải đánh đúng tên
Ví dụ:
\\192.168.1.100\QuanTrong$
System Share: mặc định hệ thống share ẩn các ổ đĩa, nhằm phục vụ cho các user thuộc group administrator từ xa truy cập (C$, D$, E$ v.v).
Tình huống 2: Khi share folder, user truy cập tài nguyên vào các folder mà user đó không có quyền sẽ bị báo “deny“. Giờ ta có nhu đầu đối với những folder mà user không có quyền truy cập thì ta ẩn, không cho hiển thị lên. Ta dùng tính năng Access-Base Enumeration (ABE) để xử lý tình huống
Trong giao diện Shares (File and Storage Service), ta chọn folder Data ( cứ chọn folder cha)
Phải chuột properties -> Setting -> check vào Enable access-base enumeration.
Kết quả: User chỉ thấy những folder mà mình có quyền Read (hoặc tương đương). Các bạn tự test tình huống này nhé.
Bonus: Giao thức truy cập tài nguyên (SMB) của Microsoft
Ở các phiên bản cũ thì Windows sử dụng NBT (Net Bios Name over TCP/IP) sử dụng các port 137, 138, 139. Đến thời win 2000, XP trở lên thì cung cấp thêm khả năng chạy SMB trực tiếp trên TCP/IP (port 445).
Nếu client không bị cấm xài NetBT, nó sẽ thử kết nối tới server bằng cả cổng 139 và 445 cùng lúc. Nếu có trả lời từ 445, nó sẽ gửi lệnh reset cổng 139, và chỉ tiếp tục sử dụng phiên SMB trên cổng 445. Nếu không có trả lời từ cổng 445, nó sẽ chỉ tiếp tục phiên SMB trên cổng 139 nếu có trả lời từ đó. Nếu cả hai cổng đều không trả lời – dĩ nhiên khỏi nói tiếp.
Nếu client bị cấm xài NetBT, nó sẽ chỉ thử kết nối tới server ở cổng 445. Nếu kết nối có đáp ứng, mọi chuyện sẽ tiếp tục trên cổng này. Nếu không có phản hồi, khỏi nói tiếp (nếu máy chủ file chạy Windows NT 4.0 sẽ bị trường hợp này).
Nếu server không bị cấm NetBT, nó sẽ nghe trên các cổng 137, 138 UDP và các cổng 139, 445 TCP. Nếu bị cấm NetBT, nó chỉ nghe trên cổng 445 TCP.
Các cổng dịch vụ liên quan:
- 137 UDP/TCP: cho dịch vụ NetBIOS Name Service (netbios-ns), là một phần trong họ giao thức NetBIOS (Network Basic Input/Output System) trên các trạm M$, sử dụng chủ yếu để ánh xạ giữa hostname và địa chỉ của các trạm trong mạng NetBIOS.
- 138 UDP: NETBIOS Datagram Service (netbios-dgm), là một phần trong họ giao thức NetBIOS trên các trạm M$, sử dụng chủ yếu truyền tải dữ liệu hai chiều giữa các trạm trong mạng NetBIOS. Giao thức này cũng được Messenger service sử dụng (lệnh net send …)
- 139 TCP: NetBIOS Session Services (netbios-ssn), là một phần trong họ giao thức NetBIOS trên các trạm Microsoft, sử dụng cho chia sẻ file, máy in.
- 445 TCP, UDP: SMB over TCP , chia sẻ file, máy in.
Bạn chỉ nên mở TCP, UDP 445 để đảm bảo vấn đề bảo mật.
Để quản lý Share folder và các user đang truy cập tài nguyên đó ta dùng các tool sau:
Tool 1: Trên File Server
start -> run -> compmgmt.msc (giao diện computer management)
- Shares : liệt kê các folder đã share.
- Sessions: liệt kê các user đang sử dụng tài nguyên mà ta share.
- Open Files: Xem user đang truy cập file nào
Công cụ này còn giúp ta share folder bất kì : Chuột phải Shares -> New Share.
Tool 2: Mở Server Manager (góc dưới cùng bên trái màn hình) -> File and Storage Service -> Shares
Mình xin kết thúc bài viết “Tự học MCSA 2012: File Server và Share permission” ở đây. Nếu có thắc mắc xin các bạn đặt câu hỏi ở phía dưới.
