Windows NT Ressourcenverwaltung
1 Speicherverwaltung
2 virtuelle Speicherverwaltung
-
Arbeitsweise
-
Systemmonitor Netzwerkmonitor
-
Datei - und Verzeichnisberechtigungen
-
Freigabeberechtigungen NTFS - Berechtigungen Besitzerkonzept
-
Netzwerkdrucker Druckserver Druckwarteschlange Zugriffsrechte
-
Zugriff anderer auf die Ressourcen meines
1. Speicherverwaltung
Moderne Betriebssysteme unterstützen die Organisation des Arbeitsspeichers. Die Hardware unterstützt das Betriebssystem durch eine MMU (Memory Management Unit).
Gewünscht wird:
-
ein zusammenhängender Speicher, mit beliebiger Größe zur freien Verfügung für das Programm Schutz vor Übergriffen von anderen Programmen keine Belastung des eigenen Speicher durch das Betriebssystem
2. Virtuelle Speicherverwaltung
Die oben genannten Wünsche werden durch den virtuelle Speicher simuliert, dieser muss natürlich auf einen real existierenden Speicher abgebildet werden. Das ist die Aufgabe der Speicherverwaltung und unter Windows NT wird dieser Bereich VMM (Virtual Memory Management) genannt. Diese
-
benötigt keine Überwachung durch den Systemadministrator verteilt Arbeitsspeicher auf Prozesse erlaubt Prozessen für andere Prozesse Speicher anzulegen, zu organisieren und gemeinsam zu benutzen
Der virtuelle Speicher ist ein Speicherplatz auf der Festplatte, den Windows NT so verwendet, als sei er Arbeitsspeicher. Dies erfolgt mit Auslagerungsdateien. Der Vorteil des virtuelle Speichers besteht darin, dass mehr Anwendungsprogramme gleichzeitig ausgeführt werden können, als der physikalische Speicher des Computers normalerweise zulassen würde. Die Nachteile liegen darin, dass die Auslagerungsdatei für den virtuellen Speicher die Plattenkapazität reduziert und dass sich bei der Auslagerung von Daten die Ausführungsgeschwindigkeit verringert.
Früher schrieben die Entwickler eine eigene Speicherverwaltung, für Programme die größer waren als der vorhandene Hauptspeicher. Diese waren aber nicht einheitlich, und deswegen ging man dazu über, die Speicherverwaltung als Aufgabe des Betriebssystems anzusehen. Das Programm holt sich den benötigten Speicher nicht mehr selbst, denn dieser wird vom Betriebssystem zugewiesen.
Arbeitsweise
Der gesamte Arbeitsspeicher wird in Seiten (pages) unterteilt. Bei Windows NT sind diese4 KByte groß. Die Seiten können im Arbeitsspeicher in Seitenrahmen (page - frames) geladen werden. Dort stehen sie dann den Anwendungsprogrammen und dem Betriebssystem zur Verfügung. Die Anzahl der Seiten hängt vom virtuellen Adreßraum ab, der bei Windows NT
4 GByte groß ist. Der Adreßraum eines jeden Prozesses ist vor den anderen Prozessen geschützt. Ein Zugriff auf den Adreßraum eines anderen Prozesses muss von diesem ausdrücklich gestattet werden.
3. Systemüberwachung
Gründe für ein Monitoring eines Windows NT - Computers kann es viele geben, doch der häufigste Grund ist es, wenn man das System optimieren möchte und deshalb die Systemleistung überwachen muss. Dafür gibt es den
Systemmonitor
Ein wichtiges Aufgabengebiet der Systemadministration betrifft die Analyse des laufenden Systems, das Aufspüren von Engpässen und Schwachstellen. Das Programm Systemmonitor dient zum Anzeigen der Systembelastung, indem Meßwerte einzelner Systemkomponenten dargestellt oder protokolliert werden.Der Systemmonitor verfügt über vier Funktionen zur Auswertung der erfaßten Meßwerte:
1 Diagramm: Meßwerte anzeigen
2 Warnungen: Engpässe melden
3 Protokoll: Meßwerte in eine Datei speichern, um sie zu einem späteren Zeitpunkt
anzeigen zu lassen
4 Report: Meßwerte speichern für die Auswertung mit einer Anwendung
Netzwerkmonitor
Mit den Programmen des Netzwerkmonitors steht ein Instrument zur Überwachung des Netzwerks zur Verfügung. Die über das Netzwerk versendeten Datenübertragungspakete (Rahmen) können gesammelt und ausgewertet werden.
So erhält man beispielsweise einen Überblick über die Geschwindigkeit der Datenübertragung im Netzwerk und über die beteiligten Stationen.
Durch den Einsatz von Filtern hat man die Möglichkeit, einen bestimmten Teilbereich der Netzwerkaktivität gezielt zu suchen.
Der Netzwerkmonitor hilft beim Auffinden von Engpässen und überlasteten Segmenten des Netzwerks. Er kann außerdem dazu beitragen, eine fehlerhafte Netzwerkkomponente, wie z.B. eine defekte Netzwerkkarte aufzuspüren.
Komponenten des Netzwerk - Monitorings
Komponente |
Beschreibung |
Netzwerkmonitor - Agent |
Der Agent sammelt Daten über Anzahl und Größe der Datenpakete, die von der Arbeitsstation über das Netzwerk verschickt werden. Er kann auf Windows NT - Servern und Workstations aufgeführt werden. |
Netzwerkmonitor |
Der Netzwerkmonitor nimmt die Informationen von allen Agenten im Netzwerk entgegen. Mit dem Netzwerkmonitor kann man Daten anzeigen und auswerten. Der Netzwerkmonitor kann nur auf Windows NT - Servern ausgeführt werden. |
4. Datei - und Verzeichnisberechtigungen
Um Benutzern den Zugriff auf Dateien, die auf einem Server abgelegt sind, zu ermöglichen, muss man Zugriffsberechtigungen auf die entsprechenden Verzeichnisse gebe. Zugriffsberechtigungen können an Gruppen, aber auch an einzelne Benutzer vergeben werden.
Ist ein Benutzer Mitglied in verschiedenen Gruppen, so erweitern sich seine Zugriffsmöglichkeiten auf ein Verzeichnis bzw. auf eine Datei. Die Berechtigungen, über die er durch seine Gruppenmitgliedschaften verfügt, summieren sich.
Einen Sonderfall stellt die Berechtigung Kein Zugriff dar. Ist diese Berechtigung erteilt, darf der entsprechende Benutzer auf das Verzeichnis oder auf die Datei nicht mehr zugreifen. Alle eventuellen Berechtigungen durch Gruppenmitgliedschaften werden dadurch außer Kraft gesetzt.
Freigabeberechtigungen
Nach diesem Modus können Daten auf dem Dateisystem FAT und NTFS geschützt werden. Zum Schutz der Daten stehen die Zugriffsarten Vollzugriff, Ändern, Lesen, Kein Zugriff zur Verfügung.
Freigaben haben einen Nachteil: Der Zugriffsschutz wirkt nur, wenn der Zugriff über das Netzwerk erfolgt.
Man hat die Möglichkeit, Verzeichnisse, Unterverzeichnisse oder ganze Partitionen freizugeben. Bei der Freigabe eines Verzeichnisses muss man dem Verzeichnis einen eindeutigen Namen (Freigabenamen) zuweisen. Dieser Freigabename darf maximal zwölf Zeichen enthalten.
Berechtigungen auf der Basis von Freigaben werden nur wirksam, wenn der betreffende Benutzer über das Netzwerk auf das freigegebene Verzeichnis zugreift. Sobald er sich jedoch direkt an dem betreffenden Rechner oder Server anmeldet, erhält er vollen Zugriff auf alle Daten des betreffenden Datenträgers.
Verborgene Freigaben:
Ist einem Freigabenamen als letztes Zeichen ein Dollarzeichen ($) angefügt, handelt es sich um eine verborgene Freigabe. Sie sind für die Benutzer im Explorer nicht sichtbar.
NTFS - Berechtigungen
NTFS - Berechtigungen können erteilt werden, wenn das Dateisystem NTFS vorliegt. Auf Datenträgern unter FAT sind sie nicht anwendbar.
NTFS - Berechtigungen haben gegenüber Freigaben viele entscheidende Vorteile. So wirkt der Zugriffsschutz sowohl bei Zugriffen über das Netzwerk als auch bei einer lokalen Anmeldung.
Weiter Vorteile:
-
Berechtigungen können sowohl auf Verzeichnisse (Verzeichnisberechtigungen) als auch auf Dateien (Dateiberechtigungen) vergeben werden. Es bestehen mehr Zugriffsarten zur Verfügung. Es können auch Kombinationen aus bis zu vier Einzelberechtigungen verwendet werden. Berechtigungen können vererbt werden. Durch das Prinzip der Vererbung werden Berechtigungen, die für Verzeichnisse vergeben sind, automatisch auf Unterverzeichnisse und Dateien im Verzeichnisbaum übertragen.
Berechtigungen |
Rechte für Verzeichnisse |
Rechte für Dateien |
Bedeutung |
Anzeigen |
RX |
Dateien und Unterverzeichnisse dürfen aufgelistet werden. Verzeichniswechsel ist erlaubt. |
|
Lesen |
RX |
RX |
Wie Anzeigen. Programme dürfen ausgeführt werden. |
Hinzufügen |
WX |
Im Verzeichnis dürfen neue Dateien erzeugt werden. Bestehende Dateien dürfen nicht geändert oder gelesen werden. |
|
Hinzufügen und Lesen |
RWX |
RX |
Wie Hinzufügen. Dateien dürfen gelesen werden. |
Ändern |
RWXD |
RWXD |
Dateien und Unterverzeichnisse dürfen gelesen, geändert, gelöscht und hinzugefügt werden. |
Vollzugriff |
(Alle) |
(Alle) |
Wie Ändern. Berechtigungen dürfen verändert werden. |
Besitzerkonzept
Der Besitzer oder Ersteller einer Ressource spielt im Sicherheitskonzept von Windows NT eine besondere Rolle. Er besitzt immer volle Rechte an seinen Dateien. Er kann anderen Benutzern oder Gruppen entsprechende Zugriffsrechte auf die Ressourcen erteilen.
Der Besitzer kann seine Daten so vor unerwünschtem Zugriff schützen und gewünschten Zugriff erteilen. Sogar Administratoren haben gegebenenfalls keinen Zugriff.
5. Berechtigungen bei Druckern
Netzwerkdrucker
Um möglichst wenig Drucker für möglichst viele Benutzer zur Verfügung stellen zu können, werden Netzwerkdrucker benötigt.
Der lokale Drucker ist direkt mit dem Druckserver verbunden. Meist ist er über ein Druckerkabel an die parallele Schnittstelle angeschlossen.
Ein entfernter Drucker ist mit einer eigenen Netzwerkkarte ausgerüstet. Er wird über das Netzwerk vom Druckerserver angesteuert.
Der Druckserver
Jeder NT - Server oder jede NT - Workstation kann als Druck - Sever genutzt werden. Auf dem Druckserver wird der entsprechende Druckertreiber installiert. Der Druckserver kann sowohl lokale Drucker als auch entfernte Drucker ansteuern. Dazu verwaltet der Druckserver eine oder mehrere Druckwarteschlangen für jeden physischen Drucker.
Physischer Drucker |
Das Gerät z.B. ein Laserdrucker |
Druckwarteschlange (logischer Drucker) |
Die Druckwarteschlange ist ein installierter und konfigurierter Druckertreiber und das dazugehörige Verwaltungsprogramm. In der Druckerwarteschlange werden die verschiedenen Druckaufträge entsprechend den verfügbaren Ressourcen zwischengespeichert und nach ihrer Priorität ausgedruckt. |
Die Druckwarteschlange
Standardmäßig werden Druckaufträge unter Windows nicht direkt an den Drucker gesendet, sonder an das Betriebssystem weitergegeben. Die Informationen über die Art des Ausdrucks werden in eine temporäre Datei (Druckdatei, Spooldatei) auf der Festplatte des Druckservers gespeichert. Sobald die Druckdatei erstellt ist, wird der Auftrag in die Warteschlange des Druckers gestellt. Wird das Dokument schließlich gedruckt, liest der Druckserver die Druckdatei von der Festplatte und sendet sie an den Drucker. Durch dieses Prinzip lassen sich mehrere Druckaufträge hintereinander für denselben Drucker erstellen.
Zugriffsrechte
Für die Ressourcen kann der Besitzer bzw. Ein Administrator Zugriffsrechte vergeben.
Bei Windows NT gibt es folgende Zugriffsarten:
Zugriffsart |
Auswirkung |
Kein Zugriff |
Keinerlei Berechtigungen für den Drucker |
Drucken |
Nur das Drucken ist erlaubt |
Dokumente verwalten |
Druckaufträge dürfen gelöscht, gestoppt und angehalten werden |
Vollzugriff |
Verwaltung des Druckers in vollem Umfang |
-
Zugriff anderer auf die Ressourcen meines Systems ohne Konto in meiner Domäne
Besteht ein Vertrauensverhältnis zu ihrem oder einer anderen Domäne, auch wenn der Benutzer dort kein Konto hat, kann ich ihm trotzdem den Zugriff auf ihre Dateien und ihren Drucker geben. Die meisten Anwender, die den Computer benutzen, werden sich mit dem Domänen - Benutzerkonto anmelden. Diejenigen, die über kein Domänenkonto verfügen, können sich ein individuelles Benutzerkonto auf ihrem Computer einrichten, um den Zugang zu dem System zu bekommen.
Man muss dazu ein Benutzerkonto auf dem Computer erstellen, um dem Anwender den Fernzugriff auf die Ressourcen zu ermöglichen. Der Benutzer kann sich dann die Verbindungen zu den Verzeichnissen und zum Drucker herstellen, und ist dabei auf kein Benutzerkonto der Domäne angewiesen. Die freigegebenen Ressourcen müssen auch mit den richtigen Berechtigungen versehen werden, damit der Benutzer auch Arbeiten, die er durchzuführen hat, erledigen kann.
Quellenangaben:
Eric Dornwaß, Patrick Schleicher: Windows NT 4.0
Martin Kuppinger: Windows NT im Netzwerk Version 4.0
Tobias Weltner: Windows NT 4.0 - Das Computer Taschenbuch
1568 Worte in "deutsch" als "hilfreich" bewertet