补充知识1组策略性能事件查看器

《补充知识1组策略性能事件查看器》由会员分享，可在线阅读，更多相关《补充知识1组策略性能事件查看器（50页珍藏版）》请在金锄头文库上搜索。

1、1. 文件（夹）的安全设置 当不同的用户在使用同一台计算机时，应考虑到哪 些文件针对于哪些用户是可见的、可读取或可读写 的，况且当Win2010 Server作为文件服务器时，也 会出现许多用户在网络环境下同时访问该机器的情 况， 因此有必要对文件（夹）设立一套规则来保 证其数据的安全。补充知识 1、文件夹共享与数据加解密【实例3-5】 设置用户wlj只能对“d:评估资料”文 件夹读取，对“d:manpower”文件夹不能访问（以 某计算机中的内容为例）。打开资源管理器，右击“d:评估资料”文件夹， 在弹出的快捷菜单中选择“属性”菜单项。在随后出现的文件夹属性窗口中，选择“安全”标 签项，如图

2、3-38所示。图3-38 文件夹属性窗口单击“添加”按钮，在“选择用户或组”对话框中双 击已存在的用户“wlj”，则该用户便出现在显示栏 中，单击“添加”按钮。在如图3-39所示的对话框中，按要求设置该用户 对文件夹的访问权限，最后单击“确定”按钮即可。 对于另一个文件夹“d:manpower”作类似的处理 ，由于规定用户wlj不能访问该文件夹，因此应该 选中拒绝列中的所有项。图3-39 设置用户对文件夹的访问权限2. 文件（夹）的存取审核除了对文件（夹）进行权限控制外，还可以针对用 户对文件（夹）所做的存取等动作进行监控记录， 这种过程称为审核。审核的结果将记录在事件查看 器的安全日志中。

3、【实例3-6】审核“d:评估资料”文件夹，记录下所 有对该文件夹的删除、修改操作。打开资源管理器，右击“d:评估资料”文件夹， 在弹出的快捷菜单中选择“属性”菜单项，并选择“ 安全”标签项。单击“高级”按钮，在进入的访问控制设置窗口中 选取“审核”标签项，并单击“添加”按钮，在如图3- 40所示的界面中按实际需要设置对该文件夹的审核 项目。单击“确定”按钮直到关闭窗口。图3-40 文件夹审核项目设置3. 文件（夹）的共享 Win2010中的很多地方都可新建共享的文件（夹） ，比如在“我的电脑”、“资源管理器”或“计算机管 理”中。在“我的电脑”或“资源管理器”中设置共享 本质上是通过文件夹的属

4、性窗口来进行的，方法非 常简单。下面以在“计算机管理”窗口中进行设置为 例介绍设置共享的具体方法。单击“开始”“程序”“管理工具”“计算机管 理”菜单项，在随后的窗口中展开“系统工具”“共 享文件夹”“共享”项。右窗口中将显示目前系统 中文件夹的共享情况，如图3-42所示。右击左窗口中的“共享”项，在弹出的快捷菜单中 选择“新文件共享”，出现如图3-43所示的对话框， 单击“浏览”按钮选取欲设置共享的文件夹名，并设 置共享名后，单击“下一步”按钮。在如图3-44所示的窗口中，根据用户需求设置共 享文件夹的存取权限，单击“完成”按钮后，所指定 的文件夹便会出现在图3-42的右窗口显示区中。 图3

5、-42 当前文件夹的共享状态图3-43 创建共享文件夹图3-44 设置共享文件夹权限4. 数据文件的加密与解密 Win2010中为了数据的安全，加入了文件加密系统 ，当用户不希望文件被看到或复制时就可以对文件 加密。只有NTFS文件系统才支持该功能。 【实例3-7】 将某计算机中的d:my_work文件夹加 密，且加密对目前已存在的及以后加入该文件夹的 所有文件均有效。在资源管理器中右击d:my_work文件夹，在弹 出的快捷菜单中选取“属性”菜单项，在属性窗口中 单击常规标签项下的“高级”按钮。在“高级属性”窗口中选取“加密内容以便保护数 据”复选框，如图3-45所示，按“确定”返回上一窗

6、口。再单击“确定”或“应用”按钮，若文件夹中已有数 据，则会出现如图3-46所示的对话框供用户选择， 据题意选取后，单击“确定”按钮。文件夹加密后，其属性便从“正常”变为“加密”。图3-45 加密文件夹图3-46 设置加密文件夹的应用范围5. 创建映射网络驱动器实现文件夹共享 对于设置成共享的文件夹，用户可通过“网上邻居” 来浏览，但当工作组、服务器和资源列表较多时， 往往要花一定的时间才能找到自己所需资源。对于 需要经常使用的网络资源，这种方式显得不太方便 。因此，可采用将某个网络文件夹映射成一个驱动 器的方式，以后用户对该文件夹的访问就像是直接 访问计算机上的一个驱动器一样方便。 【实例3

7、-8】将网络中另一台机器（桌面PC，装有 Windows XP）中的“大学城图”文件夹映射成驱动 器Z，以便另一台计算机（笔记本电脑，装有 Win2010 Server）能方便访问。在桌面机上将“大学城图”文件夹置为共享，以实 现在其他机器上能通过网上邻居访问。在笔记本电脑上，单击“网上邻居”找到该文件夹 ，单击鼠标右键，在弹出的快捷菜单中选择“映射 网络驱动器”菜单项，弹出如图3-47所示对话框， 选择所需的驱动器号Z后，单击“完成”按钮即可。 图3-47 映射网络驱动器Win2010 Server提供了系统监视与诊断工具，利用 这些工具可以帮助调整服务器的硬件，并运行相应 的服务，以便进一

8、步提高系统性能。系统监视与诊 断工具主要包括系统监视器、性能日志和警报、事 件查看器。补充知识 2、系统监视与诊断工具1. 系统监视器系统监视器由性能监视器、性能日志和警报两大部 分构成，提供了一个简单形象的方式来查看服务器 的重大事件。性能监视器可以测试本地计算机或网 络上其他计算机的性能，即可以查看计算机的处理 器、内存、磁盘访问等方面的性能及活动情况；性 能日志和警报可以记录所选计算机及其对象的当前 活动，并可将这些情况保存以便进行分析比较。(1) 性能监视器 影响一台服务器性能的瓶颈主要体现在内存、CPU 、磁盘和网络四个方面。用户通过性能监视器的数 据图表来了解这几个方面的性能情况，

9、以发现性能 瓶颈并决定如何调整。一般情况下，用户需针对不 同的测试对象（如内存、CPU、硬盘等）选择相应 的测量指标（称之为计数器），不同的计数器所反 映的侧重点不同。例如，欲了解服务器的繁忙程度，以报告服务器发 送和接收网络数据的速度，则应选择服务器对象 “Server”，对应计数器为“Bytes Total/sec”；欲了 解是否进程的处理速度受到硬盘速度的影响，则应 选择物理硬盘对象“Physical Disk”，相应的计数器 为“Current Disk Queue Length”（当该值超过2 时，说明已受到影响）；通过处理器对象 “Processor”的“Processor Tim

10、e”计数器和 “InterruptsSecond”计数器，则可较全面地观察 CPU的特征。【实例3-11】 利用系统监视器了解本机的硬盘访问 速度是否对当前进程产生影响以及本机发送和接收 网络数据的速度情况。单击“开始”“程序”“管理工具”“性能”菜单 项，弹出如图3-60所示的性能监视器窗口。在右窗口的空白处单击鼠标右键，在弹出的快捷 菜单中选择“添加计数器”菜单项，打开如图3-61所 示的“添加计数器”对话框。选取“使用本地计算机计数器”按钮，并从下拉框 中选择“Physical Disk”对象，从列表框中选择 “Current Disk Queue Length”计数器后，单击“ 添加”

11、按钮。图3-60 性能监视器窗口图3-61 添加计数器用类似的方法将服务器对象“Server”和“Bytes Total/sec”计数器添加进来，单击“关闭”按钮关闭 当前窗口，则返回如图3-62所示的界面，在该界面 中以波形方式显示了所指定对象的计数测量情况。 图3-62中红色的波形（波峰较高的波形）表示本机 硬盘的情况，另一颜色表示本机作为服务器的网络 访问情况（由于监视时无其他机器访问本机，故该 测量波形数据为）。图3-62 指定对象的系统监视情况(2) 性能日志和警报性能日志和警报是系统监视器中的另一种监视工具 。利用该工具可以收集来自本地或远程计算机上的 性能数据，记录的计数器数据可

12、以通过性能监视器 或输出到Excel或数据库中，以便进一步进行分析 与产生报告。性能日志分为计数器日志与跟踪日志，当计数器的 值达到、超过或低于一个定义的值时，警报通过事 件日志向用户发出警告。2. 事件查看器事件查看器可以监视三种事件： 应用程序事件、安 全事件以及系统事件。Win2010通过三种日志形式 记录对应的事件。 (1) 应用程序日志： 包含由应用程序产生的被程序 记录的事件，程序开发人员可以决定哪些事件需要 监视。(2) 系统日志： 包含由操作系统产生的被Win2010 系统组件记录的事件，Win2010预先确定系统组件 所能记录的事件类型。例如，在启动过程中，系统 日志可以记录

13、驱动程序和其他系统组件装载时的故 障信息。 (3) 安全日志： 包含了由操作系统产生的有效或无 效的登录上网企图以及有关资源使用的事件。例如 ，登录情况记录，创建、打开、删除文件记录等。 值得注意的是，Win2010启动时，事件日志服务自 动启动，所有用户都可以查看应用程序日志和系统 日志，但只有系统管理员才有权查看安全日志。查 看事件日志的方法如下： 单击“开始”“程序”“管理工具”“事件查看 器”菜单项，弹出如图3-63所示的事件查看器窗口 。单击窗口左栏中欲查看的日志，则右窗口中便显 示该日志中相应的信息。也可通过该窗口中的“查 看”“查找”菜单项打开查找对话框，查找想要查 看的事件，或

14、通过“查看”“筛选”菜单项打开日志 的属性窗口，来查看一组相同性质的事件。图3-63 事件查看器窗口每台运行 Windows 2010 的计算机都有且只有一个本 地组策略对象。本地组策略对象其实就是一组存储在本地 的设置，即组策略设置的集合。这些组策略用于设置一些特定的用户族群，当这些用 户在使用本机时必须受到一些条件的限制。例如，不允许 用户自行安装软件、无法使用控制台组件、不可关闭计算 机等。针对本地计算机的Win2010的组策略，主要包括本地计 算机配置及用户配置两大部分。在组策略中，用户不仅可 设置本地计算机的账户策略、用户权限指派、审核策略以 及安全性选项的设置等安全管理，也可进行管

15、理模板的设 置，从而提高系统的安全级别。补充知识： 3、本地计算机的组策略管理启动组策略： gpedit.msc从该窗口界面中可知，无论是计算机配置还是 用户配置，均包括软件设置、Windows设置以及管 理模板三项选项。在下面的章节中主要介绍Windows设置中的安 全设置及管理模板的应用。 在安全设置中，最常用的策略有账户策略和本 地策略。其中，与密码和账户锁定相关的策略在账 户策略中设置； 对用户权限进行的设置及某些安全选项设置则在 本地策略中进行；与Windows系统有关的组件、外 设的设置等由管理模板来实现。图3-31 本地组策略1. 本地账户策略 (1) 密码策略 展开左边树形目录

16、中“计算机配置”“Windows设 置”“安全设置”“账户策略”，双击其中的“密码 策略”，即可在右窗口中显示与密码的长度及期限 相关的设置，如图3-32所示。 欲修改其中的某一策略设置，则只需鼠标右击该策 略，在弹出的快捷菜单中选择“安全性”菜单项，即 可在随后的窗口中进行相应的修改。图3-32 密码策略(2) 账户锁定策略 该策略用于决定系统锁定账户的时间，以及锁定哪 个账户。 “账户锁定策略”包含“复位账户锁定计数 器”、“账户锁定时间”以及“账户锁定阈值”。 复位账户锁定计数器： 当密码输入不正确，设 置允许在多少分钟内尝试另一个密码。 账户锁定时间： 当指定输入次数的密码都不正 确时，此项可用于设置账户被锁定的时间。在该锁 定时间内，即