🚀 NAS – P4 Phân Quyền Synology File Server Chi Tiết – Bảo Mật Dữ Liệu Theo Phòng Ban

🔎 Giới thiệu

Trong phần P4 của series NAS, chúng ta sẽ phân tích chi tiết cách cấu hình Synology File Server permissions và xây dựng mô hình bảo mật dữ liệu theo từng phòng ban trong doanh nghiệp. Đây là bước cực kỳ quan trọng sau khi NAS đã được join vào Active Directory, vì sai sót trong phân quyền có thể dẫn đến rò rỉ dữ liệu nội bộ.

Việc thiết kế permission đúng ngay từ đầu sẽ giúp hệ thống NAS:

• Quản lý tập trung theo Domain

• Phân quyền rõ ràng theo phòng ban

• Dễ mở rộng khi công ty phát triển

• Giảm thiểu rủi ro truy cập trái phép

Bài viết phù hợp với:

• IT Administrator quản lý file server

• System Engineer triển khai NAS production

• Doanh nghiệp SMB tổ chức dữ liệu nội bộ

• Homelab mô phỏng hạ tầng enterprise

🏗 Hiểu Về Cấu Trúc Permission Trên Synology

Trước khi phân quyền, cần hiểu cơ chế kiểm soát truy cập của DSM.

Synology DSM quản lý permission dựa trên:

✔ User account
✔ Group (Local hoặc Domain)
✔ Shared Folder permission
✔ Advanced ACL (Windows-style permission)

Nếu NAS đã join Active Directory, nên sử dụng Domain Users và Domain Groups để đảm bảo tính mở rộng và quản lý tập trung.

🏢 Mô Hình Thư Mục Doanh Nghiệp Khuyến Nghị

Cấu trúc thư mục phòng ban tiêu chuẩn:

Mỗi phòng ban cần:

• Một AD Security Group riêng

• Chỉ cấp quyền cho thành viên hợp lệ

• Không cấp quyền chéo nếu không cần thiết

🔐 Step-by-Step: Bảo Mật Dữ Liệu Theo Phòng Ban

🔹 Step 1: Tạo Group Phòng Ban (Khuyến nghị trên Active Directory)

Trên Domain Controller, tạo các Security Group:

• HR_Group

• Accounting_Group

• Sales_Group

• IT_Group

Thêm user vào đúng group tương ứng.

Best practice: Không phân quyền trực tiếp cho user riêng lẻ.

🔹 Step 2: Tạo Shared Folder Trên Synology

Truy cập:

Control Panel → Shared Folder → Create

Tạo các thư mục:

• HR

• Accounting

• Sales

• IT

Có thể bật Recycle Bin nếu cần quản lý xóa file.

🔹 Step 3: Gán Quyền Shared Folder Cơ Bản

Sau khi tạo thư mục:

Truy cập:

Control Panel → Shared Folder → Edit → Permissions

Phân quyền như sau:

• HR_Group → Read/Write trên HR

• Accounting_Group → Read/Write trên Accounting

• Sales_Group → Read/Write trên Sales

• IT_Group → Full Control (nếu cần)

Các group khác:

❌ No access

Điều này đảm bảo không có truy cập chéo giữa các phòng ban.

🔹 Step 4: Cấu Hình Advanced Permissions (ACL)

Để kiểm soát chi tiết hơn:

Truy cập:

Shared Folder → Edit → Advanced Permissions

Bật Windows ACL support.

Advanced ACL cho phép:

✔ Kiểm soát kế thừa quyền (Inheritance)
✔ Phân quyền theo subfolder
✔ Phân quyền theo từng file
✔ Cấu hình audit chi tiết

Đây là cấu hình nên áp dụng trong môi trường doanh nghiệp.

🛡 Best Practice Về Bảo Mật

✔ Áp Dụng Mô Hình Phân Quyền Theo Group

Luôn phân quyền theo group thay vì user. Khi nhân viên nghỉ việc hoặc chuyển phòng ban, chỉ cần chỉnh group membership.

✔ Nguyên Tắc Least Privilege

User chỉ nên có quyền truy cập đúng dữ liệu họ cần.

Ví dụ:

• HR không truy cập Accounting

• Sales không truy cập HR

✔ Tách Biệt Quản Trị và Người Dùng

Không dùng tài khoản admin để truy cập file hàng ngày.

Nên có:

• Admin group (chỉ IT)

• Group user theo phòng ban

✔ Bật Audit Log

Truy cập:

Control Panel → Log Center

Bật logging truy cập file để theo dõi:

• Truy cập trái phép

• Xóa file

• Thay đổi permission

Điều này hỗ trợ compliance và kiểm soát nội bộ.

🌐 Kiểm Tra Từ Máy Windows Domain

Từ máy Windows đã join domain:

Mở:

Đăng nhập bằng tài khoản domain.

Kiểm tra:

✔ HR chỉ truy cập được HR
✔ Accounting không truy cập Sales
✔ IT quản lý được toàn bộ

Bước test này rất quan trọng trước khi đưa vào production.

⚠ Những Lỗi Phân Quyền Thường Gặp

Tránh các lỗi sau:

❌ Phân quyền trực tiếp cho user
❌ Để group “Users” có quyền Read mặc định
❌ Không kiểm soát inheritance
❌ Trộn lẫn local user và domain user thiếu nhất quán

Một mô hình permission sạch sẽ giúp hệ thống ổn định lâu dài.

🏁 Kết Luận

Việc cấu hình đúng Synology File Server permissions đóng vai trò then chốt trong bảo mật dữ liệu doanh nghiệp.

Khi áp dụng:

• Phân quyền theo AD Group

• Cấu trúc thư mục rõ ràng

• Advanced ACL

• Nguyên tắc Least Privilege

Bạn sẽ xây dựng được môi trường NAS:

✔ Bảo mật theo phòng ban
✔ Hạn chế rò rỉ dữ liệu nội bộ
✔ Quản lý user linh hoạt
✔ Sẵn sàng cho môi trường doanh nghiệp

Trong các phần tiếp theo của series NAS, bạn có thể tiếp tục tối ưu bằng cách triển khai quota, snapshot protection hoặc backup chiến lược.