Lịch sử tìm kiếm
  1. Trang chủ
  2. Hướng dẫn
  3. Hướng dẫn NAS Synology
  4. Ý nghĩa các phân quyền nâng cao trên NAS Synology
admin 18/03/2026

Ý nghĩa các phân quyền nâng cao trên NAS Synology

Sau khi đã nắm được cách cấp quyền cơ bản cho folder trên NAS Synology, bước tiếp theo là hiểu cơ chế phân quyền nâng cao để tránh các lỗi truy cập khó xử lý trong thực tế.

Trên Synology DSM, permission không chỉ dừng ở mức Read Only hay Read/Write. Hệ thống còn hỗ trợ Windows ACL, kế thừa quyền, Allow / Deny, phạm vi áp dụng quyền và cả quyền truy cập ứng dụng.

Đây là những yếu tố rất quan trọng khi NAS được dùng cho doanh nghiệp, nhiều phòng ban hoặc các hệ thống có nhiều lớp dữ liệu con.

Mục tiêu bài viết

  • Hiểu cơ chế phân quyền nâng cao trên NAS Synology
  • Biết cách đọc và xử lý các tình huống permission bị xung đột
  • Hiểu vai trò của Windows ACL, inheritance và Deny / Allow
  • Phân biệt giữa quyền truy cập dữ liệu và quyền truy cập ứng dụng

Tổng quan về Windows ACL trên Synology

Trên các phiên bản DSM hiện đại, quyền truy cập của shared folder mặc định dựa trên Windows ACL. Điều này cho phép bạn tùy chỉnh permission chi tiết đến từng file, folder và subfolder.

Nhờ ACL, NAS Synology có thể hoạt động gần giống môi trường phân quyền trên Windows Server, đặc biệt phù hợp với doanh nghiệp cần kiểm soát dữ liệu chặt chẽ.

Không phải mọi shared folder đều hỗ trợ Windows ACL theo cùng một cách. Ngoài ra, một số hệ thống file cũ như ext3 không hỗ trợ đầy đủ ACL.

1. Allow và Deny khác nhau như thế nào?

Allow

Allow là cho phép user hoặc group thực hiện một hành động, ví dụ được đọc file hoặc ghi dữ liệu vào thư mục.

Deny

Deny là chặn quyền truy cập. Đây là quyền có mức ưu tiên rất cao khi xảy ra xung đột permission.

Thứ tự ưu tiên khi xung đột quyền

Khi một user vừa được cho phép từ một rule nhưng lại bị chặn từ rule khác, hệ thống sẽ ưu tiên theo thứ tự:

Deny > Allow

Với các mức quyền cơ bản ở shared folder, mức ưu tiên thường được hiểu là:

No Access > Read/Write > Read Only

2. Permission inheritance là gì?

Kế thừa quyền từ folder cha

Trên NAS Synology, quyền có thể được kế thừa từ folder cha xuống folder con. Điều này nghĩa là nếu bạn cấp quyền ở thư mục bên trên, các subfolder bên trong có thể tự động nhận quyền đó.

Vì sao inheritance quan trọng?

Đây là lý do rất nhiều trường hợp user có quyền dù bạn không cấp trực tiếp ở thư mục con. Ngược lại, cũng có trường hợp bạn sửa ở subfolder nhưng vẫn bị quyền từ folder cha tác động.

Explicit và inherited permission

Permission có thể là:

  • Explicit: quyền được gán trực tiếp tại đối tượng hiện tại
  • Inherited: quyền được kế thừa từ folder cha

Khi xử lý lỗi permission, đây là điểm cần kiểm tra đầu tiên.

3. Apply to dùng để làm gì?

Phạm vi áp dụng của rule

Khi tạo permission entry, mục Apply to cho biết rule đó sẽ áp dụng cho đâu:

  • This folder
  • Child folders
  • Child files
  • All descendants

Vì sao cần chọn đúng?

Nếu chọn sai phạm vi áp dụng, bạn có thể vô tình cấp quyền cho toàn bộ cây thư mục hoặc ngược lại chỉ cấp cho thư mục hiện tại mà không áp dụng xuống dữ liệu bên trong.

4. Ý nghĩa các quyền ACL chi tiết

Nhóm quyền Administration

  • Change permissions: cho phép thay đổi permission của file hoặc folder
  • Take ownership: cho phép chiếm quyền sở hữu file hoặc folder
  • Read permissions: cho phép xem permission hiện tại

Nhóm quyền Read

  • Traverse folders / Execute files: đi xuyên qua folder hoặc chạy file thực thi
  • List folders / Read data: xem nội dung folder hoặc đọc dữ liệu file
  • Read attributes: xem thuộc tính file
  • Read extended attributes: xem thuộc tính mở rộng

Nhóm quyền Write

  • Create files / Write data: tạo file mới hoặc ghi dữ liệu
  • Create folders / Append data: tạo thư mục mới hoặc thêm dữ liệu
  • Write attributes: sửa thuộc tính file
  • Write extended attributes: sửa thuộc tính mở rộng

Nhóm quyền Delete

  • Delete: xóa file
  • Delete subfolders and files: xóa thư mục con và file bên trong

5. Phân quyền truy cập ứng dụng (Application Privileges)

Folder permission và application privileges là hai lớp khác nhau

Trên Synology, ngoài quyền truy cập dữ liệu, bạn còn có thể kiểm soát quyền dùng từng ứng dụng và dịch vụ như File Station, Synology Drive, Plex, Download Station...

Cấu hình Application Privileges ở đâu?

Vào Control Panel → Privileges, chọn ứng dụng cần chỉnh và nhấn Edit.

Bạn có thể xem theo tab User hoặc Group, sau đó chọn:

  • Allow: cho phép dùng ứng dụng
  • Deny: chặn truy cập ứng dụng
  • By IP: cho phép hoặc chặn theo địa chỉ IP, nếu ứng dụng hỗ trợ

Vì sao phần này quan trọng?

Một user có thể đã được cấp quyền thư mục nhưng vẫn không truy cập được dữ liệu nếu bị chặn ở lớp ứng dụng, ví dụ bị Deny File Station.

Nói cách khác, muốn truy cập dữ liệu qua giao diện DSM thì thường phải có đủ:

  • quyền truy cập thư mục
  • quyền sử dụng ứng dụng tương ứng

Các thiết lập nâng cao về Privileges

Permission Viewer

Cho phép kiểm tra quyền của một user cụ thể theo từng địa chỉ IP.

Default Privileges

Có thể thiết lập quyền mặc định cho tất cả user khi dùng ứng dụng nhất định.

Không áp dụng cho admin và guest

Một số quyền của admin và guest không thể chỉnh trực tiếp tại mục Privileges.

Khi xảy ra xung đột ở lớp application privileges, hệ thống vẫn ưu tiên theo nguyên tắc:
Deny > Allow

Các tình huống thực tế thường gặp

Có quyền folder nhưng không vào được

Thường do bị chặn ở lớp ứng dụng, ví dụ không được phép dùng File Station.

Đã sửa subfolder nhưng vẫn không đúng

Nguyên nhân thường là permission đang bị kế thừa từ folder cha.

User thuộc nhiều group

Nếu các group có quyền khác nhau, hệ thống sẽ xét theo thứ tự ưu tiên và rule Deny thường thắng Allow.

Một số lưu ý quan trọng

Không lạm dụng Deny

Deny rất mạnh nhưng cũng dễ gây khó xử lý khi hệ thống có nhiều lớp permission.

Ưu tiên thiết kế permission từ đầu

Nên xây dựng cấu trúc folder, group và quyền ngay từ đầu để giảm xung đột về sau.

Kiểm tra bằng user thực tế

Không nên chỉ nhìn UI quản trị. Hãy kiểm tra lại bằng chính tài khoản người dùng để xác nhận quyền hoạt động đúng.

Kết luận

Các phân quyền nâng cao trên NAS Synology giúp bạn kiểm soát dữ liệu và ứng dụng chặt chẽ hơn, đặc biệt trong môi trường nhiều người dùng hoặc nhiều phòng ban.

Khi hiểu rõ Windows ACL, permission inheritance, Allow / DenyApplication Privileges, bạn sẽ dễ dàng xử lý các tình huống lỗi permission và xây dựng hệ thống NAS ổn định hơn.

  • Nếu bạn chưa quen thao tác phân quyền, nên xem trước bài: Hướng dẫn phân quyền cơ bản trên NAS Synology

Bài viết liên quan

Hướng dẫn tìm địa chỉ IP NAS Synology trong mạng LAN

Hướng dẫn tìm địa chỉ IP NAS Synology trong mạng LAN

10/03/2026 admin
Khi cần truy cập vào giao diện quản trị DSM của NAS Synology, việc đầu tiên bạn cần biết là địa chỉ IP của thiết bị trong mạng nội bộ. Trong thực tế, nhiều trường hợp NAS nhận IP động từ DHCP, hoặc sau một thời gian người dùng không còn nhớ thiết bị đang sử dụng IP nào.
Đọc thêm
Hướng dẫn đặt địa chỉ IP tĩnh trên NAS Synology

Hướng dẫn đặt địa chỉ IP tĩnh trên NAS Synology

11/03/2026 admin
Trong quá trình sử dụng NAS Synology, việc đặt địa chỉ IP tĩnh là bước cấu hình rất quan trọng để thiết bị luôn giữ nguyên địa chỉ mạng trong hệ thống nội bộ. Điều này giúp bạn truy cập DSM ổn định hơn, thuận tiện cho việc chia sẻ dữ liệu, map drive và cấu hình các dịch vụ liên quan.
Đọc thêm
Hướng dẫn cấu hình RAID 1 trên NAS Synology

Hướng dẫn cấu hình RAID 1 trên NAS Synology

12/03/2026 admin
Khi triển khai NAS Synology, một trong những bước quan trọng là thiết lập hệ thống lưu trữ để đảm bảo dữ liệu được bảo vệ an toàn. Trong đó, RAID 1 là cấu hình phổ biến cho người dùng cá nhân và văn phòng nhỏ vì giúp bảo vệ dữ liệu bằng cách sao chép dữ liệu sang hai ổ cứng giống nhau.
Đọc thêm
Hướng dẫn tạo Shared Folder trên NAS Synology

Hướng dẫn tạo Shared Folder trên NAS Synology

13/03/2026 admin
Trên NAS Synology, Shared Folder (thư mục chia sẻ) là nơi lưu trữ dữ liệu chính của hệ thống. Các file và thư mục được tạo trong Shared Folder có thể được truy cập bởi nhiều người dùng khác nhau trong mạng nội bộ hoặc thông qua internet.
Đọc thêm
1