Tweet
Quản lý quyền truy cập trên Volume trong Windows Server (NTFS và ReFS)
Khi chúng ta triển khai file server trên Windows Server, một trong những nhiệm vụ quan trọng nhất của người System Administrator là kiểm soát quyền truy cập dữ liệu. Dù bạn đang dùng NTFS hay ReFS, Windows đều cung cấp cơ chế phân quyền rất mạnh để kiểm soát ai được phép làm gì với file và thư mục.
Điểm quan trọng mà các bạn cần nắm là nhiều sự cố “không truy cập được folder”, “copy file bị từ chối”, hay “admin không hiểu vì sao user bị block” thường xuất phát từ việc hiểu chưa đúng permission model. Bài viết này sẽ giải thích cặn kẽ vấn đề phân quyền truy cập trên máy chủ Windows Server.
1. Permission có thể gán cho ai?
Windows cho phép chúng ta phân quyền cho:
Không nên:
2. Permission mang tính cộng dồn (Cumulative Permissions)
Nếu user thuộc nhiều group, quyền sẽ được cộng dồn.
Ví dụ:
User Minh thuộc:
Minh có Modify Vì quyền Modify bao gồm Read. Đây chính là lý do khi troubleshooting permission, bạn phải kiểm tra toàn bộ group membership, không chỉ quyền gán trực tiếp cho user.
3. Permission có thể gán ở đâu?
Windows cho phép phân quyền ở nhiều cấp:
File level
Ví dụ:
Folder level
Ví dụ:
Volume level (root folder)
Ví dụ:
Đây là nơi admin thường cấu hình permission gốc cho data volume.
4. Allow vs Deny — hiểu đúng để tránh “tự khóa cửa”
Windows có hai kiểu quyền:
Allow
Cho phép hành động.
Ví dụ:
Deny
Chặn hành động.
Quan trọng:
Deny luôn ưu tiên hơn Allow
Ví dụ:
User thuộc:
User bị chặn Write.
Vì Deny thắng.
Đây là lý do trong môi trường mạng doanh nghiệp enterprise, admin thường hạn chế dùng Deny nếu không thực sự cần thiết, vì dễ gây quá trình troubleshooting thành ác mộng.
5. Basic Permissions
Các quyền cơ bản thường gặp:
Full Control
Toàn quyền:
Modify
Có thể:
Read & Execute
Có thể:
List Folder Contents
Cho phép xem nội dung folder.
Read
Chỉ đọc.
Write
Chỉ ghi/tạo file.
6. Advanced Permissions
Nếu cần kiểm soát sâu hơn (granular control), bạn hãy dùng Advanced Security Settings.
Ví dụ:
7. NTFS vs ReFS về permission
Về mặt kiểm soát truy cập - access control:
8. Kinh nghiệm thực chiến
Nếu người dùng báo:
"Em có quyền mà vẫn không vào được folder"
Hãy theo Checklist sau:
Folder Properties → Security → Advanced → Effective Access
Windows sẽ tính toán quyền thực tế của user.
Best Practice sau cùng
Trong môi trường doanh nghiệp, hãy Dùng mô hình:
AGDLP
User → Global Group → Domain Local Group → Folder Permission
Đây là mô hình chuẩn trong Active Directory.
Nếu nhớ đúng 1 câu:
Allow cộng dồn, nhưng Deny luôn thắng.
Khi chúng ta triển khai file server trên Windows Server, một trong những nhiệm vụ quan trọng nhất của người System Administrator là kiểm soát quyền truy cập dữ liệu. Dù bạn đang dùng NTFS hay ReFS, Windows đều cung cấp cơ chế phân quyền rất mạnh để kiểm soát ai được phép làm gì với file và thư mục.
Điểm quan trọng mà các bạn cần nắm là nhiều sự cố “không truy cập được folder”, “copy file bị từ chối”, hay “admin không hiểu vì sao user bị block” thường xuất phát từ việc hiểu chưa đúng permission model. Bài viết này sẽ giải thích cặn kẽ vấn đề phân quyền truy cập trên máy chủ Windows Server.
1. Permission có thể gán cho ai?
Windows cho phép chúng ta phân quyền cho:
- User account
- Group
- Computer account
- User alice
- Group Accounting
- Computer PC-SALES-01
Không nên:
- Alice = Read
- Bob = Modify
- Charlie = Read
- Group Accounting = Modify
- Alice, Bob, Charlie là thành viên group này
2. Permission mang tính cộng dồn (Cumulative Permissions)
Nếu user thuộc nhiều group, quyền sẽ được cộng dồn.
Ví dụ:
User Minh thuộc:
- Group A → Read
- Group B → Modify
Minh có Modify Vì quyền Modify bao gồm Read. Đây chính là lý do khi troubleshooting permission, bạn phải kiểm tra toàn bộ group membership, không chỉ quyền gán trực tiếp cho user.
3. Permission có thể gán ở đâu?
Windows cho phép phân quyền ở nhiều cấp:
File level
Ví dụ:
- salary.xlsx
Folder level
Ví dụ:
- D:\Finance
Volume level (root folder)
Ví dụ:
- D:\
Đây là nơi admin thường cấu hình permission gốc cho data volume.
4. Allow vs Deny — hiểu đúng để tránh “tự khóa cửa”
Windows có hai kiểu quyền:
Allow
Cho phép hành động.
Ví dụ:
- Read
- Write
- Modify
Deny
Chặn hành động.
Quan trọng:
Deny luôn ưu tiên hơn Allow
Ví dụ:
User thuộc:
- Group A → Allow Modify
- Group B → Deny Write
User bị chặn Write.
Vì Deny thắng.
Đây là lý do trong môi trường mạng doanh nghiệp enterprise, admin thường hạn chế dùng Deny nếu không thực sự cần thiết, vì dễ gây quá trình troubleshooting thành ác mộng.
5. Basic Permissions
Các quyền cơ bản thường gặp:
Full Control
Toàn quyền:
- đọc
- ghi
- sửa
- xóa
- đổi permission
- takeover ownership
Modify
Có thể:
- đọc
- ghi
- sửa
- xóa
Read & Execute
Có thể:
- đọc file
- chạy executable
List Folder Contents
Cho phép xem nội dung folder.
Read
Chỉ đọc.
Write
Chỉ ghi/tạo file.
6. Advanced Permissions
Nếu cần kiểm soát sâu hơn (granular control), bạn hãy dùng Advanced Security Settings.
Ví dụ:
- Delete Subfolders
- Change Permissions
- Take Ownership
- Traverse Folder
- Append Data
- Create Files
- Create Folders
7. NTFS vs ReFS về permission
Về mặt kiểm soát truy cập - access control:
- NTFS hỗ trợ ACL đầy đủ
- ReFS cũng dùng ACL tương tự
- integrity
- resiliency
- corruption protection
- scalability
8. Kinh nghiệm thực chiến
Nếu người dùng báo:
"Em có quyền mà vẫn không vào được folder"
Hãy theo Checklist sau:
- User thuộc group nào?
- Có inherited permission không?
- Có explicit Deny không?
- Share permission có conflict với NTFS permission không?
- Effective Access là gì?
Folder Properties → Security → Advanced → Effective Access
Windows sẽ tính toán quyền thực tế của user.
Best Practice sau cùng
Trong môi trường doanh nghiệp, hãy Dùng mô hình:
AGDLP
- Accounts
- Global Groups
- Domain Local Groups
- Permissions
User → Global Group → Domain Local Group → Folder Permission
Đây là mô hình chuẩn trong Active Directory.
Nếu nhớ đúng 1 câu:
Allow cộng dồn, nhưng Deny luôn thắng.
Attached Files