WindowsNT组网技术.ppt

第4章 Windows NT组网技术,学习目标 本章主要讲解Windows NT Server的使用方法。通过本章学习，读者应该掌握以下内容： l Windows NT Server的特点 l Windows NT网络的逻辑结构 l 磁盘文件系统格式与Windows NT中的磁盘管理 l 域用户帐号管理 l Windows NT网络的安全保障环节 l 事件查看器 l 性能监视器 l 网络监视器 l 服务器管理 l 目录复制 l 不间断电源（UPS）服务的设置,本章目录 4.1 Windows NT Server 4.0中文版简介 4.2 Windows NT的基本概念 4.3 文件系统格式与存储管理 4.4 域用户帐号管理 4.5 网络安全和本地安全 4.6 事件查看器、性能监视器和网络监视器 4.7 服务器管理 4.8 目录复制 4.9 不间断电源(UPS),4.1 Windows NT Server 4.0中文版简介 Microsoft的Windows NT Server 4.0中文版（以下简称Windows NT Server 4.0）是一个局域网操作系统。它是一个具有很强联网功能的32位操作系统，支持与Windows 9X相同的API接口，能够兼容Windows 9X中的32位应用程序（如Office 95）。它同时具有与Windows 9X类似的用户界面，因此可以减少学习时间与费用。也可以将Windows NT Server 4.0用作个人计算机操作系统，直接在其上运行各种应用软件。 4.1.1 Windows NT Server 4.0的性能 采用32位的地址空间和抢先式多任务处理方式。支持虚拟内存技术 。支持多种文件系统 。采用客户服务器模式的服务方式。硬件运行环境多种多样。 4.1.2 Windows NT Server 4.0的可靠性 Windows NT Server 4.0的高可靠性来自它系统内部的安全管理机制和容错机制，它提供了友好的人机接口，可较容易地掌握系统的安全操作方法。 用户登录后，系统的安全机制将跟踪所有的动作，以保证用户操作的合法性。 在容错方面，可以实现磁盘镜像，设置了保护子系统。 提供了一个集成在系统内的UPS服务程序。 网络管理上，提供了一套图形化的实用程序。 安全等级达到了C2级。,4.1.3 Windows NT Server 4.0的开放性 开放性是指通过容纳不同厂商的产品，并使它们协作运行，从而保证客户以最小的投资获得对原有资源的最大可重用性，实现对用户投资的保护。 Windows NT服务器允许网络环境中包含多种客户操作系统平台和多种硬件平台。 Windows NT Server 支持多种协议形式。 在软件方面，Windows NT通过构造各种操作系统子系统使不同平台上的软件都能在Windows NT上运行。 4.1.4 Windows NT Server 4.0所支持的对称多处理器技术SMP Windows NT可以有效地利用对称多处理器技术(SMP)，充分发挥多处理器系统所带来的优越硬件性能。 4.1.5 Windows NT Server 4.0内置的网络结构 网络软件不是作为操作系统的一个附加层来运行的，而是作为Windows NT本身的一部分来运行的。 4.1.6 Windows NT Server 4.0的用户界面 Windows NT Server 4.0与Windows 95有着相同的用户界面。在Windows NT 4.0中，不但可以通过“网上邻居”窗口浏览网上所有的机器，而且可以通过创建“快捷方式”图标建立指向网络驱动器的指针，突破了对网络驱动器数目的限制。,4.1.7 Windows NT Server 4.0的其他特点 增加了一些新的管理工具，任务管理器提供了应用程序和进程的详尽信息并可强行中止那些没有响应的任务。还增加了包括拨号器和浏览器在内的Internet联网工具。 为了支持基于TCP/IP的应用，Windows NT Server 4.0提供了高效率、高安全性、易于操作的Internet/Intranet功能。,4.2 Windows NT的基本概念 本节将介绍Windows NT中的一些基本概念，如域（Domain）、域模式（Domain Models）、委托关系（Trust Relationships）、用户帐号与组、主域控制器（Primary Domain Controller，PDC）、备份域控制器（Backup Domain Controller，BDC）等。 4.2.1 NTDS与域 NTDS（NT Directory Service）是Windows NT用于存放用户、组、安全设置等信息的数据库，它提供了符合现代网络要求的目录服务功能，使网络的管理与使用更加简便。 在Windows NT Server 4.0的目录服务（Directory Service）环境中，域是进行安全与集中管理的最基本的单位。一个域中可以包含一个或多个Windows NT服务器，而一个Windows NT网络可由多个域组成。如图4-1所示。 按域方式组织的Windows NT网络，其所有用户、组帐号以及安全设置等数据都集中保存在一台被称为“主域控制器（PDC ) ”的计算机的目录数据库中，不论域中有多少台服务器，用户也只需要一个帐号与密码。 利用NTDS与域的功能，网络系统管理员与用户可以很容易地管理和使用计算机，例如，用户只需要记住一个用户名和密码，便可登录到域中并访问域中的资源，同时，网络系统管理员可在域中的任何地方管理整个网络。,图4-1 Windows NT网络,4.2.2 工作组（Workgroup） 可以将Windows NT网络组织成工作组的方式。该方式相当于 Windows 9X对等网络， 网络中的每一台计算机既可是客户机，又可以是服务器。在这种方式下，不能对资源进行集中 管理。所以在实际组网过程中，很少利用Windows NT Server 来组建工作组网络。 4.2.3 用户帐号（User Account）与组（Workgroup） 每一个要登录（Logon）到域的用户，都必须拥有一个用户帐号，帐号中包含用户的名称、 密码、用户权限（Rights）、访问权限（Permissions）等信息。 用户帐号分为全局帐号（Global Account）与本地帐号（Local Account）两种，一般使用 全局帐号，添加到域中的帐号默认为全局帐号。 Windows NT提供了两个内置的全局帐号，它们分别是： Administrator：用于对整个域进行管理，即系统管理员帐号。 Guest：供临时访问者访问域中资源的帐号。,新增用户帐号后，需要根据实际情况，设定帐号的权限与访问权限等。 为提高用户管理效率，Windows NT允许将域中的帐号按照其性质划分为组（Group），组 中的帐号能够自动继承组的权限与访问权限。 4.2.4 委托关系 Windows NT网络可以由多个域构成。A域中的用户如果需要访问B域中的资源，需要在两 个域之间建立委托关系。经过委托后，用户只要在一个域中拥有帐号，就可以访问网络中经过委 托的域内的资源。 称委托者为“信任域”，接受委托者为“受托域” 。当建立好委托关系后，信任域即可辨认受托 域中的用户帐号，允许这些帐号在信任域内使用。 委托关系可以是单向的或双向的。 1单向委托关系 2双向委托关系 3委托关系不具转移性,图4-2 单向委托关系示意图,图4-3 双向委托关系示意图,4.2.5 域的成员,图4-4 Windows NT域的成员,1主域控制器 主域控制器必须是一台运行Windows NT Server的计算机，一个域必须有且只能有一个主域控制器。 域中所有帐号、组及安全设置等数据都保存在主域控制器的目录数据库中，因此帐号的增加与修改都是在主域控制器的目录数据库中进行的。主域控制器也可用作文件、打印或应用软件服务器。 2备份域控制器 备份域控制器是一台安装并运行Windows NT Server的计算机，但在安装时被设为备份域控制器。备份域控制器不是必须的，但是在一个域内，最好至少有一台。 3独立服务器 除主域控制器和备份域控制器之外，另外还有一种NT服务器，它没有被赋予特殊的名称，只是简单地被称为独立服务器（Stand-alone Server），它可能是文件、打印或应用软件服务器中的一种或多种。 4Windows NT Workstation 可以将Windows NT Workstation计算机加入到域中，并且由此计算机登录到Windows NT域中。 5Windows 9X工作站 Windows 9X已经内置了网络功能，可以方便地利用Windows 9X登录到Windows NT域。,4.2.6 域的模式 1单域模式 如图4-5所示。整个网络只有一个域，所有与用户帐号有关的数据都建立在该域的PDC内。 2单主域模式 如图4-6所示。网络中有一个域担任主域的角色，所有与用户帐号有关的数据都建立在该域的PDC内。 3多主域模式 如图4-7所示。在此模式下，网络中含有多个主域，所有的用户帐号都建立在这几个主域内，且每一个用户在整个网络中只需要一个帐号，不需要在每个主域中都建一个帐号 。 4其他模式 除上面所介绍的域模式外，还可以根据具体需求按照其他形式对域进行组织。如图4-8所示。,图4-5 单域模式,图4-6 单主域模式,图4-7 多主域模式,图4-8 其他委托关系,4.2.7 Windows NT识别域的方式 在Windows NT内部，域是用安全识别码（Security identifier，SID）来识别的。每个域都有唯一的SID，这个SID是在安装主域控制器时建立的。,4.3 文件系统格式与存储管理,4.3.1 文件系统格式 Windows NT Server 4.0支持FAT和NTFS两种文件系统格式，而Windows 2000则支持FAT、FAT32和NTFS等三种格式。NTFS格式的性能最优，FAT最差，FAT32居于两者之间。 1FAT与FAT32的比较 FAT文件系统是DOS环境下使用的一种文件系统格式，FAT也称为FAT16。 FAT32是随着Windows 98的推出而出现文件系统格式，与FAT相比，FAT32可直接管理2GB以上的硬盘分区，可以大大提高硬盘空间利用率，并能够加快程序的运行速度。 2NTFS的优点 NTFS是微软为Windows NT操作系统专门开发的一种新的文件系统格式，目前使用的Windows NT Server 4.0和Windows 2000都支持该格式。与FAT16和FAT32相比，NTFS具有具有更高的磁盘利用率、更快的磁盘访问速度、更大的磁盘分区和更高的安全性。 4.3.2 与硬盘管理有关的几个名词术语 1RAID RAID是Redundant Arrays of Inexpensive Disks（廉价磁盘冗余阵列）的缩写，用于提高硬盘系统的容错能力与效率。RAID共分为六个等级，以提供不同的可靠性与效率。 2物理硬盘 物理硬盘指系统中所安装的硬盘，每一个硬盘都有一个序号，序号的设置与接口类型有关。,磁盘分区 磁盘必须被设置为一个或多个独立的存储空间，才能正常使用。每一个独立的存储空间称为一个分区（Partition）。分区有两种，分别是：主分区（Primary Partition）和扩展分区（Extended Partition ） 逻辑驱动器（Logical Drivers） 在利用分区保存数据之前，必须将其格式化，并指定一个逻辑驱动器代号。主分区不能划分为多个逻辑驱动器，而扩展分区则可根据需要划分为多个逻辑驱动器。 可用空间（Free Space） 可用空间指磁盘上未指定用途的空间。 4.3.3 创建与删除Partition 1创建主分区 依次选择“开始”|“程序”|“管理工具（公用）”|“磁盘管理器”，启动“磁盘管理器”后进行适当操作即可。 2指定启动分区 在一个物理硬盘中，可以包含多个操作系统，但是计算机启动时只能将其中的一个操作系统载入内存并运行之，用于启动计算机的操作系统所在的分区称为启动分区（或活动分区）。欲将某个分区指定为启动分区，只需在“磁盘管理器”的磁盘使用情况中，右击相应分区，呼出快捷菜单，选择“标为活动”命令即可。 3建立扩展分区与逻辑驱动器 4格式化、设置卷标与转换文件系统格式 新建的逻辑驱动器必须经过格式化，才能使用。欲对逻辑驱动器进行格式化，只需在“磁盘管理器”的磁盘使用情况示意图中，右击相应逻辑驱动器，呼出快捷菜单，选择“格式化”命令，打开“格式”对话框，然后根据屏幕提示进行操作即可。,5设置磁盘、光盘驱动器代号 在“磁盘管理器”中，可以重新设置磁盘、光盘驱动器的代号。 6删除分区或逻辑驱动器 在“磁盘管理器”中，可以删除分区或逻辑驱动器 。 4.3.4 卷集 可以将位于一个或数个硬盘中的多块可用空间合并为一个卷集，并指定一个驱动器代号。 1创建与删除卷集 若需创建卷集，应首先在“磁盘管理器”的磁盘使用情况示意图中，选择用于组成卷集的空间（具体方法是，单击构成卷集的第一块空间，然后利用“Ctrl+单击”选择其余空间），完成选择后，右击所选择空间，呼出快捷菜单，选择“创建卷集”命令即可。 2扩展卷集容量 对已经存在的卷集，可以将新的可用空间加入其中以扩展容量。 4.3.5 带区集 可以在数个硬盘中，各取一块大小相等的空间，组建一个带区集。并指定一个驱动器代号。 4.3.6 带奇偶校验的带区集 带奇偶校验的带区集与带区集类似，不过在保存数据时，前者会生成奇偶校验数据并加以保存，因此具有容错能力。 4.3.7 镜像集 镜像集包含来自两块硬盘的空间，这两块空间保存的数据是完全相同的。当其中的一块空间出现故障时，还可以使用另一块空间中的数据。因此，镜像集实际是为提高容错能力而设的。,1创建镜像集 欲建立镜像集，只需在“磁盘管理器”的磁盘使用情况示意图中，选择需要进行镜像容错的分区和另一块硬盘中可以作为镜像分区的空间，右击所选空间，呼出快捷菜单，选择“创建镜像”命令，根据屏幕提示进行操作即可。 2中断镜像集 如果需要收回镜像集中的空间用作其他用途，则应首先中断镜像集。镜像集被中断后，原来构成镜像集的两块硬盘将停止数据的同步复制，但其中的数据仍旧存在，可根据需要进行处理。 3拯救镜像集中的数据 当构成镜像集的某个硬盘出现故障时，计算机仍然可正常工作，只是此后只能访问那个功能正常的分区。,4.4 域用户帐号管理 在Windows NT Server 4.0中，域用户管理器是用于建立和管理域中用户帐号、组、安全规则的主要工具。本节主要介绍与用户帐号有关的基本概念和域用户管理器的使用方法。 4.4.1 内置帐号 Windows NT Server 4.0有两个内置帐号： l Administrator 即系统管理员，拥有最高权限，可用于对Windows NT Server上的资源和帐号数据库进行管理。该帐号不能删除，但可以更改其名称。 l Guest 该帐号是为临时使用者设置的，它拥有的权限十分有限。该帐号不能删除，但可以更改其名称。需要注意的是，在默认的情况下，该帐号不能使用。 4.4.2 组 当用户数量较多时，可以利用组对其进行管理。 在Windows NT中，常见组的类型有两种： l 全局组（Global Group） 经过适当设置，可以在任一域中使用的组。只有域控制器才有全局组。在全局组中，只能包含该组所在域内的用户，不能包含其他域内的用户，也不能包含其他的本地组或全局组。 l 本地组（Local Group） 经过适当设置，本地组可以包括所有域中的用户和所有全局组，但是不能包括其他本地组。对域控制器上的本地组而言，只能设置其对域控制器内资源的访问权限，对非域控制器上的本地组而言，只能设置其对本计算机上资源的访问权限。,图4-4-1 全局组与本地组的主要区别,4.4.3 用户帐号及其建立方法 在Windows NT中，用户帐号中包含了用户名称、密码、所属组以及网络资源的访问权限设置等数据，现择要说明如下： l 用户名(Username)：用户用以登录域的名字。 l 用户全称(Fullname)：用户的全称。 l 用户密码(Password)：用户用以登录域的密码。 l 隶属组(Group)：用户所属的组。 l 用户环境配置文件(Profile)：设置与记录用户登录域时的环境配置文件。 l 可在哪些时间登录(Logon Hours)：设置允许用户登录域的时间段。 l 从哪些工作站登录(Logon Workstations)：限制用户必须在哪些工作站上登录域。 l 帐号有效日期(Expiration Date)：设定帐号的有效时间段。 l 登录命令文件(Logon Script)：设置用户在登录域后自动运行的文件。 l 主目录(Home Directory)：设置用户登录域后的起始工作目录。 添加一个用户帐号后，Windows NT Server自动为其生成一个安全标识码(Security Identifier，SID)，这是一个唯一的号码，不会重复。事实上，Windows NT是利用SID来决定用户权限的。 欲添加新的用户帐号，可选择“开始”|“程序”|“管理工具（公用）”|“域用户管理器”，启动域用户管理器，选择“用户”菜单中的“新用户”命令，呼出“新用户”对话框，然后根据屏幕提示，键入系统所要求的信息。,1输入用户帐号的基本信息 2指定用户隶属组 3设置用户环境 4限定用户登录时间 5指定用户用于登录网络的工作站 6设置帐号有效期限与帐号类型 7设置拨入信息 4.4.3 用户帐号管理 可以利用域用户管理器，对用户帐号进行复制、修改和删除。 1复制用户帐号 利用帐号复制功能，可以在短时间内生成大量性质类似的帐号。 Windows NT进行帐号复制时，遵循下列规则： l 完全复制样本帐号的描述、组关系、可登录时间段、可由哪些工作站登录、帐号有效 期限与帐号类型、“用户不得更改密码”和“密码永久有效”选项。 l 新帐号的用户名称、全称、密码与确认密码等项目必须自行输入。 l 新帐号的用户权限规则（稍后详述）必须自行设置。 l 新帐号的“用户下次登录时须更改密码”选项一般是被选择的。但是如果样本帐号的“用户不得更改密码”是被选择的，则新帐号的“用户下次登录时须更改密码”选项被清除。 l 不论样本帐号的设置如何，新用户的“帐号暂时禁用”选项一定总是被清除的。 2修改用户帐号 可以一次只修改一个帐号属性，也可以一次同时修改多个帐号属性。修改帐号属性需要在“用户属性”对话框中进行。 如果需要进行一次修改一个帐号的操作，只需双击欲修改的帐号，即可打开“用户属性”对话框。,3用户的重命名与删除 若需修改用户名，可先选择用户，再选择“用户”菜单中的“重命名”命令，打开“重命名”对话框，然后输入新的用户名，单击“确定”按钮。 选择一个或数个用户后，选择“用户”菜单中的“删除”命令，可将所选用户删除。 4关于慢速连接 当通过RAS（远程访问服务）或是慢速的网络管理用户帐号时，则可以让“域用户管理器”工作在“慢速连接”状态，以减少需要通过信道传输的信息，提高响应速度。 在“域用户管理器”中，选中“选项”菜单中的“慢速连接”命令，即可使“域用户管理器”工作在“慢速连接”状态。 4.4.4 利用组管理用户 在Windows NT网络上，应尽量利用组对网络用户进行管理，以提高管理效率。因为只要设置了组的权限（Rights）、访问权限（Permissions），则组中的所有用户就具有该权限、访问权限；添加用户时，只要将其加入组中，则该用户将自动具有此组所拥有的权限、访问权限。 1添加全局组 欲添加全局组，可首先启动“域用户管理器”，然后选择“用户”菜单中的“新全局组”命令，打开“新全局组”对话框，依次进行即可。 2添加本地组 欲添加本地组，可首先启动“域用户管理器”，然后选择“用户”菜单中的“新本地组”命令，打开“新本地组”对话框 ，依次进行即可。 3组的重命名与删除 组的重命名与删除同用户的重命名与删除类似。,4Windows NT Server的内置组 为便于用户使用，Windows NT Server内建了多个内置组。 内置的本地组包含以下几种： l Administrators l Server Operators l Account Operators l Printer Operators l Backup Operators l Users l Guests l Replicator l Power Users 内置的全局组包含以下几种： l Domain Admins l Domain Users l Domain Guests,4.4.5 安全规则及其设置 在“域用户管理器”中，可以设置以下三种安全规则： l 帐号规则（Account Policy） 用来管理所有与用户帐号、密码有关的事项，例如密码的期限、登录错误几次后就将帐号锁定等。 l 用户权限规则（User Rights Policy） 用来为用户与组指派权限，例如哪些用户可以通过网络登录、哪些用户可以从本机直接登录（Logon Locally）等。 l 审核规则（Audit Po1icy） 可以一次只修改一个帐号属性，也可以一次同时修改多个帐号属性。修改帐号属性需要在“用户属性”对话框中进行。 如果需要进行一次修改一个帐号的操作，只需双击欲修改的帐号，即可打开“用户属性”对话框。 1帐号规则 可以利用“帐号规则”对话框设置或修改与密码有关的事项。启动“域用户管理器”，选择“规则”菜单中的“帐号”命令，即可打开“帐号规则”对话框 。 在“帐号规则”对话框中，可以设置的项目如下： l “最长密码期限” l “最短密码期限” l “最短密码长度” l “密码唯一性” l “帐号不锁定”、“帐号锁定” l “登录时数到期时强行切断远程用户与服务器的连接” l “用户必须登录方能更改密码”,2用户权限规则 用户被授予权限后，就可在系统中执行某些特定的操作，例如通过网络登录等。未被授予权限的用户是不能执行这些特定的操作的。 在Windows NT中，“权限(Rights)”与“访问权限(Permission)”的定义是不相同的。权限适用于整个系统，而访问权限适用于特定的对象，例如对文件、目录或打印机的访问权限等。权限的优先级高于访问权限的优先级。 欲设置用户权限，可启动“域用户管理器”，选择“规则”菜单中的“用户权限”命令，即可打开“用户权限规则”对话框 ，在此进行设置即可。 3审核规则 审核规则决定了Windows NT是否将与安全性有关的事件记录在安全日志中。 启动“域用户管理器”，选择“规则”菜单中的“审核”命令，即可打开“审核规则”对话框，在此进行设置即可。 “审核规则”对话框中罗列出的主要事件如下： l 登录及注销 l 文件及对象访问 l 用户权限的使用 l 用户及组管理 l 安全性规则更改 l 重新启动、关机及系统,4.5 网络安全和本地安全 当操作系统被用作商用平台时，必须考虑其安全性。 在Windows NT网络中，网络安全要求网络中的不同用户对网络的资源拥有不同的访问权，这种权限称为共享（share）权限；本地安全则要求同一台计算机的不同使用者应对计算机中的资源拥有不同的权限，不能访问无权访问的资源，这种权限称为本地权限或NTFS权限。 4.5.1 网络安全 1共享目录 将网络上某台计算机中的某个目录设为共享目录后，对此目录拥有共享权限的用户就可以在另一台计算机上通过网络访问该目录下的所有资源（例如，目录中文件、文件夹） 在设置共享目录时，应注意下列事项： l 每个共享目录都有一个共享名称，这个名称可以与共享目录同名，也可以不同。网络用户将通过共享名称访问共享目录。 l 将一个目录设为共享目录时，可以同时设置用户对此文件夹的访问权限。 l 共享权限只对那些通过网络进行访问的用户有效。 l 在默认的情况下，共享目录中的子目录的共享权限与其父目录相同。 l 共享权限具有累加性。 l FAT分区和NTFS分区都支持共享权限。 2共享目录的设置 可以通过目录属性的“共享”选项卡进行与共享有关的设置。打开该选项卡的方法是：在“资源管理器”或“我的电脑”窗口中，右击需要进行设置的目录，呼出快捷菜单，选择“共享”命令。 目录被共享后，其目录图标上会出现手形标记。不仅可以将目录设置为共享资源，还可以将逻辑驱动器设置为共享资源。,Windows NT中的共享权限分为四种（实际上是三种）： 拒绝访问 读取 更改 完全控制 3将共享目录映射为本地驱动器 在Windows NT或Windows 9X的计算机上，除了可以通过“网上邻居”访问共享目录外，还可以使用将共享目录映射为本地驱动器的方法。 此外对于已被隐藏的共享目录，可以利用将共享目录映射为本地驱动器的方法进行访问。欲实现共享目录的映射或终止业已存在映射关系，只需启动“资源管理器”，然后选择“工具”菜单中的“映射网络驱动器”或“断开网络驱动器”，再按照屏幕提示进行操作即可。 4.5.2 本地安全 1本地安全机制 共享权限只能控制来自网络的访问，若多个用户共用一台计算机时，如果需要对其访问本机资源的权限进行控制，必须利用本地安全机制。 本地安全机制不仅控制来自本地的访问，同时对来自网络的访问也是有效的。 本地安全机制只能在NTFS分区上实现。 本地权限也具有累加性。 将具有NTFS权限的目录或文件复制或移动到使用FAT格式的逻辑盘中，所有的NTFS权限将不复存在；在一个逻辑盘中移动具有NTFS权限的目录或文件，其NTFS权限不变；移动或复制具有NTFS权限的目录或文件，所生成的资源将继承其上级目录的NTFS权限。 当网络安全机制（共享权限）和本地安全机制（本地权限）共同作用于一个通过网络访问资源的用户时，该用户所拥有的权限是共享权限与本地权限的交集。,2本地权限的设置 可以通过目录属性的“安全性”选项卡进行与共享有关的设置。 当为目录设置本地权限时，对话框中将提供“替换子目录的权限”和“替换已存在文件的权限”两个选项。 对目录而言，Windows NT共提供了“拒绝访问”、“列表”、“读取”、“添加”、“添加和读取”、“更改”和“完全控制”等标准权限 。 3审核对目录和文件的访问操作 在域用户管理器中设置了适当的审核规则之后，就可以对存放在NTFS磁盘中的目录和文件夹进行审核设置了。 在目录或文件的“属性”|“安全性”选项卡中，包含了一个“审核”按钮，单击此按钮，打开对话框设置即可，该对话框提供了“替换子目录的审核”和“替换已存在文件的审核”两个选项。 4审核对目录和文件的访问操作 在NTFS文件系统中，每个目录或文件都有自己的“所有者”（Owner），在默认的情况下，目录或文件的所有者就是其建立者。 所有者控制着目录与文件的访问权，可以设置其他用户对其目录与文件的访问权限。利用所有者功能，用户可以将属于自己的资源“私有化”，拒绝未经授权的访问。 在目录或文件的“属性”|“安全性”选项卡中，包含了一个“所有权”按钮，单击此按钮，打开对话框。 用户如果被原所有者授予了取得资源所有权的权限，并且具有Administrators组员身份，就可通过该对话框获得该资源的所有权。 当内置本地组Administrators中的成员成为某资源的所有者后，Administrators组便自动成为该资源的所有者。 系统管理员永远拥有“取得所有权”的权限，对任何资源，都是如此。,4.6 事件查看器、性能监视器和网络监视器 事件查看器、性能监视器和网络监视器是Windows NT提供的用于监视系统与网络的运行状况的工具软件。 l 事件查看器（Event Viewer） 事件查看器用于查看Windows NT的系统日志（System log）、安全日志（Security log）与应用程序日志（Application log）。 l 性能监视器（Performance Monitor） l 网络监视器（Network Monitor） 4.6.1 事件查看器 当系统在运行中出现错误、应用程序报错或进行与安全性有关的操作时，Windows NT可将这些事件记录到事件日志文件中，以供查看。 Windows NT中的事件日志分为三类： l 系统日志 系统日志用于记录Windows NT本身产生的错误、警告或提示信息。 l 安全日志 安全日志用于记录在“域用户管理器”、“资源管理器”和“打印机”中设置的应审核事件。 l 应用程序日志 应用程序日志用于记录应用程序产生的错误、警告或提示信息。 1查看事件日志 查看事件日志的步骤是：选择“开始”|“程序”|“管理工具”|“事件查看器”，启动“事件查看器”，然后从“日志”菜单中选择需要查看的日志。,在“事件查看器”窗口的客户区域，每行描述了一个事件，它包括如下数据项：日期与时间、 来源、分类、事件、用户。 在每个事件之前都有一个图标，这些图标及其含义如下： 信息、提示：用于表示不常发生的、成功运行的服务器服务。 警告：表示目前不严重，但在未来可能会引发问题的事件。例如“硬盘容量将耗尽”事件就属于本类事件。 错误：表示重大的问题，例如可能造成数据丢失的事件。 成功审核：表示所审核的事件是成功的安全访问事件，如用户成功登录的动作，就被记录为此类事件。 失败审核：表示所审核的事件是失败的安全访问事件，如用户连接网络驱动器失败的事件就被记录为此类事件。 2设置事件日志选项 在“事件查看器”中选择“日志”菜单中的“日志设置”命令，可对与日志有关的选项进行设置。可设置日志文件容量、日志文件达到饱和状态后，新事件覆盖旧事件的方式等。 3指定事件的显示次序和查看、查找特定的事件 在“事件查看器”中，可以通过选择“查看”菜单中的“后进先出”或“先进先出”命令，将事件显示次序指定为依其产生时间按照降序或升序排列。 如果日志内的事件过多，不易找到特定的事件，则可选择“查看”菜单中的“筛选事件”命令，打开“过滤”对话框进行适当设置。 4保存日志 可以将事件日志备份为日志文件格式、文本文件格式和以逗号为分隔符的文本文件三种格式的文件，以便日后查看。,4.6.2 性能监视器 可以利用“性能监视器”监视系统的运行状况，例如CPU的忙碌程度、内存、硬盘容量的占用情况、网络是否经常阻塞等。“性能监视器”可以将描述上述性能的数据用图表表示或做成报表，也可以经过适当设置，使得某种情况发生时，能够自动发出警告信息等。 图4-6-1为一个运行中的“性能监视器”。 图4-6-6 运行中的“性能监视器” “性能监视器”有关设置如下： 1建立图表 2更改图表线样式 3在图表中删除“计数器” 4设置图表选项 5建立警报 6修改警报设置,7删除警报中的“计数器” 8设置警报选项 9建立日志文件 10利用日志文件查看系统的运行状况 11制作报表 12将所监视的数据转存为其他格式 13保存监视设置 4.6.3 网络监视器 “网络监视器”具有监视网络流量的功能，用于检测网络的工作状况。 “网络监视器”的安装步骤如下： （1）依次选择“开始”|“设置”|“控制面板”|“网络”|“服务”|“添加”，打开“选定网络服务”对话框。 （2）选择“网络服务”列表中的“网络监视工具和代理”，单击“确定”按钮。 “网络监视器”的使用步骤如下：依次选择“开始”|“程序”|“管理工具”|“网络监视器”，打开“网络监视器”窗口，选择“捕获”菜单中的“开始”命令。,4.7 服务器管理 本节将介绍如何利用“服务器管理器”、“控制面板”等工具对服务器进行管理。 4.7.1 服务器的属性 依次选择“开始”|“程序”|“管理工具”|“服务器管理器”，打开“服务器管理器”窗口，在“计算机”列表中双击目标服务器，即可打开用于查看或编辑服务器属性的对话框。在该对话框中，可以进行如下操作： 1查看与中断连接中的用户 2查看和中断连接中的共享资源 3查看和关闭使用中的资源 4系统警报 4.7.2 共享目录管理 可以利用“服务器管理器”中的共享目录管理功能对计算机中的共享资源进行集中管理。其操作步骤为：启动“服务器管理器”，选择需要进行管理的计算机，选择“计算机”菜单中的“共享目录”命令，打开“共享目录”对话框 。 4.7.3 发送消息给用户 可以将信息发送给与服务器连接的用户。步骤如下： （1）在“服务器管理器”窗口中选择一个服务器。 （2）选择“计算机”菜单中的“发送消息”命令。 （3）在“发送消息”对话框中输入要发送的信息。,4.7.4 服务的管理 可以通过“服务器管理器”对Windows NT所提供的服务进行管理（如启动、停止服务等）。 “控制面板”中的“服务”也提供了类似的功能，但其所能够管理的服务仅限于本机，而通过“服务器管理器”，则可对网络上其他计算机的服务进行管理。 进行服务管理的步骤为：在“服务器管理器”窗口中选择一台计算机，选择“计算机”菜单中的“服务”命令，打开服务管理对话框 ，进行适当设置即可。 4.7.5 控制面板中的服务器管理工具 1改变默认的启动系统 依次选择“开始”|“设置”|“控制面板”|“系统”，打开“系统特性”对话框，选择“启动/关闭”选项卡 进行设置。 2虚拟内存设置 虚拟内存是一种用硬盘空间弥补内存不足的机制。当计算机内存不足时，Windows NT会将内存中的某些程序片段，暂时搬移到硬盘中，以释放其所占内存供其他程序使用，等到需要时，再将程序从硬盘中载入内存。 设置虚拟内存的步骤是：在“系统性能”对话框中，选择“性能”选项卡（如图4-7-9所示），单击“虚拟内存”右方的“更改”按钮，打开“虚拟内存”对话框，然后根据需要进行设置即可。 3设置后台运行方式 当Windows NT运行两个以上的应用程序时，可以利用“应用程序性能”项目为其分配所能占有CPU的时间。,4.8 目录复制 Windows NT Server所提供的目录复制功能，可以自动完成将服务器中的目录或文件复制到另一台计算机上的操作。 4.8.1 目录复制的工作方式 目录复制是将目录与文件，从“导出服务器”复制到“引入计算机”中。其中“导出服务器”必须是执行Windows NT Server的计算机，而“引入计算机”所运行的操作系统则可以是Windows NT Server或Windows NT Workstation。 可以将一台Windows NT Server同时设为“导出服务器”和“引入计算机” 。 将计算机设为“导出服务器”时，必须指定： l 导出目录：“导出