Windows NT Ressourcenverwaltung

Inhaltsverzeichnis


1 Speicherverwaltung
2 virtuelle Speicherverwaltung
    Arbeitsweise
3 Systemüberwachung
    Systemmonitor Netzwerkmonitor
    Datei - und Verzeichnisberechtigungen
    Freigabeberechtigungen NTFS - Berechtigungen Besitzerkonzept
5 Berechtigungen bei Druckern
    Netzwerkdrucker Druckserver Druckwarteschlange Zugriffsrechte
    Zugriff anderer auf die Ressourcen meines
Systems ohne Konto in meiner Domäne
1. Speicherverwaltung

Moderne Betriebssysteme unterstützen die Organisation des Arbeitsspeichers. Die Hardware unterstützt das Betriebssystem durch eine MMU (Memory Management Unit).
Gewünscht wird:
    ein zusammenhängender Speicher, mit beliebiger Größe zur freien Verfügung für das Programm Schutz vor Übergriffen von anderen Programmen keine Belastung des eigenen Speicher durch das Betriebssystem

2. Virtuelle Speicherverwaltung

Die oben genannten Wünsche werden durch den virtuelle Speicher simuliert, dieser muss natürlich auf einen real existierenden Speicher abgebildet werden. Das ist die Aufgabe der Speicherverwaltung und unter Windows NT wird dieser Bereich VMM (Virtual Memory Management) genannt. Diese
    benötigt keine Überwachung durch den Systemadministrator verteilt Arbeitsspeicher auf Prozesse erlaubt Prozessen für andere Prozesse Speicher anzulegen, zu organisieren und gemeinsam zu benutzen

Der virtuelle Speicher ist ein Speicherplatz auf der Festplatte, den Windows NT so verwendet, als sei er Arbeitsspeicher. Dies erfolgt mit Auslagerungsdateien. Der Vorteil des virtuelle Speichers besteht darin, dass mehr Anwendungsprogramme gleichzeitig ausgeführt werden können, als der physikalische Speicher des Computers normalerweise zulassen würde. Die Nachteile liegen darin, dass die Auslagerungsdatei für den virtuellen Speicher die Plattenkapazität reduziert und dass sich bei der Auslagerung von Daten die Ausführungsgeschwindigkeit verringert.

Früher schrieben die Entwickler eine eigene Speicherverwaltung, für Programme die größer waren als der vorhandene Hauptspeicher. Diese waren aber nicht einheitlich, und deswegen ging man dazu über, die Speicherverwaltung als Aufgabe des Betriebssystems anzusehen. Das Programm holt sich den benötigten Speicher nicht mehr selbst, denn dieser wird vom Betriebssystem zugewiesen.

Arbeitsweise

Der gesamte Arbeitsspeicher wird in Seiten (pages) unterteilt. Bei Windows NT sind diese
4 KByte groß. Die Seiten können im Arbeitsspeicher in Seitenrahmen (page - frames) geladen werden. Dort stehen sie dann den Anwendungsprogrammen und dem Betriebssystem zur Verfügung. Die Anzahl der Seiten hängt vom virtuellen Adreßraum ab, der bei Windows NT
4 GByte groß ist. Der Adreßraum eines jeden Prozesses ist vor den anderen Prozessen geschützt. Ein Zugriff auf den Adreßraum eines anderen Prozesses muss von diesem ausdrücklich gestattet werden.

3. Systemüberwachung

Gründe für ein Monitoring eines Windows NT - Computers kann es viele geben, doch der häufigste Grund ist es, wenn man das System optimieren möchte und deshalb die Systemleistung überwachen muss. Dafür gibt es den

Systemmonitor

Ein wichtiges Aufgabengebiet der Systemadministration betrifft die Analyse des laufenden Systems, das Aufspüren von Engpässen und Schwachstellen. Das Programm Systemmonitor dient zum Anzeigen der Systembelastung, indem Meßwerte einzelner Systemkomponenten dargestellt oder protokolliert werden.

Der Systemmonitor verfügt über vier Funktionen zur Auswertung der erfaßten Meßwerte:
1 Diagramm: Meßwerte anzeigen
2 Warnungen: Engpässe melden
3 Protokoll: Meßwerte in eine Datei speichern, um sie zu einem späteren Zeitpunkt
anzeigen zu lassen
4 Report: Meßwerte speichern für die Auswertung mit einer Anwendung

Netzwerkmonitor


Mit den Programmen des Netzwerkmonitors steht ein Instrument zur Überwachung des Netzwerks zur Verfügung. Die über das Netzwerk versendeten Datenübertragungspakete (Rahmen) können gesammelt und ausgewertet werden.
So erhält man beispielsweise einen Überblick über die Geschwindigkeit der Datenübertragung im Netzwerk und über die beteiligten Stationen.
Durch den Einsatz von Filtern hat man die Möglichkeit, einen bestimmten Teilbereich der Netzwerkaktivität gezielt zu suchen.
Der Netzwerkmonitor hilft beim Auffinden von Engpässen und überlasteten Segmenten des Netzwerks. Er kann außerdem dazu beitragen, eine fehlerhafte Netzwerkkomponente, wie z.B. eine defekte Netzwerkkarte aufzuspüren.

Komponenten des Netzwerk - Monitorings


Komponente
Beschreibung
Netzwerkmonitor - Agent
Der Agent sammelt Daten über Anzahl und Größe der Datenpakete, die von der Arbeitsstation über das Netzwerk verschickt werden.
Er kann auf Windows NT - Servern und Workstations aufgeführt werden.
Netzwerkmonitor
Der Netzwerkmonitor nimmt die Informationen von allen Agenten im Netzwerk entgegen. Mit dem Netzwerkmonitor kann man Daten anzeigen und auswerten.
Der Netzwerkmonitor kann nur auf Windows NT - Servern ausgeführt werden.


4. Datei - und Verzeichnisberechtigungen

Um Benutzern den Zugriff auf Dateien, die auf einem Server abgelegt sind, zu ermöglichen, muss man Zugriffsberechtigungen auf die entsprechenden Verzeichnisse gebe. Zugriffsberechtigungen können an Gruppen, aber auch an einzelne Benutzer vergeben werden.
Ist ein Benutzer Mitglied in verschiedenen Gruppen, so erweitern sich seine Zugriffsmöglichkeiten auf ein Verzeichnis bzw. auf eine Datei. Die Berechtigungen, über die er durch seine Gruppenmitgliedschaften verfügt, summieren sich.

Einen Sonderfall stellt die Berechtigung Kein Zugriff dar. Ist diese Berechtigung erteilt, darf der entsprechende Benutzer auf das Verzeichnis oder auf die Datei nicht mehr zugreifen. Alle eventuellen Berechtigungen durch Gruppenmitgliedschaften werden dadurch außer Kraft gesetzt.

Freigabeberechtigungen

Nach diesem Modus können Daten auf dem Dateisystem FAT und NTFS geschützt werden. Zum Schutz der Daten stehen die Zugriffsarten Vollzugriff, Ändern, Lesen, Kein Zugriff zur Verfügung.
Freigaben haben einen Nachteil: Der Zugriffsschutz wirkt nur, wenn der Zugriff über das Netzwerk erfolgt.

Man hat die Möglichkeit, Verzeichnisse, Unterverzeichnisse oder ganze Partitionen freizugeben. Bei der Freigabe eines Verzeichnisses muss man dem Verzeichnis einen eindeutigen Namen (Freigabenamen) zuweisen. Dieser Freigabename darf maximal zwölf Zeichen enthalten.
Berechtigungen auf der Basis von Freigaben werden nur wirksam, wenn der betreffende Benutzer über das Netzwerk auf das freigegebene Verzeichnis zugreift. Sobald er sich jedoch direkt an dem betreffenden Rechner oder Server anmeldet, erhält er vollen Zugriff auf alle Daten des betreffenden Datenträgers.

Verborgene Freigaben:
Ist einem Freigabenamen als letztes Zeichen ein Dollarzeichen ($) angefügt, handelt es sich um eine verborgene Freigabe. Sie sind für die Benutzer im Explorer nicht sichtbar.

NTFS - Berechtigungen

NTFS - Berechtigungen können erteilt werden, wenn das Dateisystem NTFS vorliegt. Auf Datenträgern unter FAT sind sie nicht anwendbar.
NTFS - Berechtigungen haben gegenüber Freigaben viele entscheidende Vorteile. So wirkt der Zugriffsschutz sowohl bei Zugriffen über das Netzwerk als auch bei einer lokalen Anmeldung.
Weiter Vorteile:
    Berechtigungen können sowohl auf Verzeichnisse (Verzeichnisberechtigungen) als auch auf Dateien (Dateiberechtigungen) vergeben werden. Es bestehen mehr Zugriffsarten zur Verfügung. Es können auch Kombinationen aus bis zu vier Einzelberechtigungen verwendet werden. Berechtigungen können vererbt werden. Durch das Prinzip der Vererbung werden Berechtigungen, die für Verzeichnisse vergeben sind, automatisch auf Unterverzeichnisse und Dateien im Verzeichnisbaum übertragen.

Berechtigungen
Rechte für Verzeichnisse
Rechte für Dateien
Bedeutung
Anzeigen
RX

Dateien und Unterverzeichnisse dürfen aufgelistet werden. Verzeichniswechsel ist erlaubt.
Lesen
RX
RX
Wie Anzeigen. Programme dürfen ausgeführt werden.
Hinzufügen
WX

Im Verzeichnis dürfen neue Dateien erzeugt werden. Bestehende Dateien dürfen nicht geändert oder gelesen werden.
Hinzufügen und Lesen
RWX
RX
Wie Hinzufügen. Dateien dürfen gelesen werden.
Ändern
RWXD
RWXD
Dateien und Unterverzeichnisse dürfen gelesen, geändert, gelöscht und hinzugefügt werden.
Vollzugriff
(Alle)
(Alle)
Wie Ändern. Berechtigungen dürfen verändert werden.

Besitzerkonzept


Der Besitzer oder Ersteller einer Ressource spielt im Sicherheitskonzept von Windows NT eine besondere Rolle. Er besitzt immer volle Rechte an seinen Dateien. Er kann anderen Benutzern oder Gruppen entsprechende Zugriffsrechte auf die Ressourcen erteilen.
Der Besitzer kann seine Daten so vor unerwünschtem Zugriff schützen und gewünschten Zugriff erteilen. Sogar Administratoren haben gegebenenfalls keinen Zugriff.

5. Berechtigungen bei Druckern

Netzwerkdrucker


Um möglichst wenig Drucker für möglichst viele Benutzer zur Verfügung stellen zu können, werden Netzwerkdrucker benötigt.




Der lokale Drucker ist direkt mit dem Druckserver verbunden. Meist ist er über ein Druckerkabel an die parallele Schnittstelle angeschlossen.
Ein entfernter Drucker ist mit einer eigenen Netzwerkkarte ausgerüstet. Er wird über das Netzwerk vom Druckerserver angesteuert.

Der Druckserver


Jeder NT - Server oder jede NT - Workstation kann als Druck - Sever genutzt werden. Auf dem Druckserver wird der entsprechende Druckertreiber installiert. Der Druckserver kann sowohl lokale Drucker als auch entfernte Drucker ansteuern. Dazu verwaltet der Druckserver eine oder mehrere Druckwarteschlangen für jeden physischen Drucker.

Physischer Drucker
Das Gerät z.B. ein Laserdrucker
Druckwarteschlange

(logischer Drucker)
Die Druckwarteschlange ist ein installierter und konfigurierter Druckertreiber und das dazugehörige Verwaltungsprogramm. In der Druckerwarteschlange werden die verschiedenen Druckaufträge entsprechend den verfügbaren Ressourcen zwischengespeichert und nach ihrer Priorität ausgedruckt.

Die Druckwarteschlange


Standardmäßig werden Druckaufträge unter Windows nicht direkt an den Drucker gesendet, sonder an das Betriebssystem weitergegeben. Die Informationen über die Art des Ausdrucks werden in eine temporäre Datei (Druckdatei, Spooldatei) auf der Festplatte des Druckservers gespeichert. Sobald die Druckdatei erstellt ist, wird der Auftrag in die Warteschlange des Druckers gestellt. Wird das Dokument schließlich gedruckt, liest der Druckserver die Druckdatei von der Festplatte und sendet sie an den Drucker. Durch dieses Prinzip lassen sich mehrere Druckaufträge hintereinander für denselben Drucker erstellen.

Zugriffsrechte


Für die Ressourcen kann der Besitzer bzw. Ein Administrator Zugriffsrechte vergeben.
Bei Windows NT gibt es folgende Zugriffsarten:

Zugriffsart
Auswirkung
Kein Zugriff
Keinerlei Berechtigungen für den Drucker
Drucken
Nur das Drucken ist erlaubt
Dokumente verwalten
Druckaufträge dürfen gelöscht, gestoppt und angehalten werden
Vollzugriff
Verwaltung des Druckers in vollem Umfang

    Zugriff anderer auf die Ressourcen meines Systems ohne Konto in meiner Domäne

Besteht ein Vertrauensverhältnis zu ihrem oder einer anderen Domäne, auch wenn der Benutzer dort kein Konto hat, kann ich ihm trotzdem den Zugriff auf ihre Dateien und ihren Drucker geben. Die meisten Anwender, die den Computer benutzen, werden sich mit dem Domänen - Benutzerkonto anmelden. Diejenigen, die über kein Domänenkonto verfügen, können sich ein individuelles Benutzerkonto auf ihrem Computer einrichten, um den Zugang zu dem System zu bekommen.
Man muss dazu ein Benutzerkonto auf dem Computer erstellen, um dem Anwender den Fernzugriff auf die Ressourcen zu ermöglichen. Der Benutzer kann sich dann die Verbindungen zu den Verzeichnissen und zum Drucker herstellen, und ist dabei auf kein Benutzerkonto der Domäne angewiesen. Die freigegebenen Ressourcen müssen auch mit den richtigen Berechtigungen versehen werden, damit der Benutzer auch Arbeiten, die er durchzuführen hat, erledigen kann.


Quellenangaben:

Eric Dornwaß, Patrick Schleicher: Windows NT 4.0
Martin Kuppinger: Windows NT im Netzwerk Version 4.0
Tobias Weltner: Windows NT 4.0 - Das Computer Taschenbuch

1568 Worte in "deutsch"  als "hilfreich"  bewertet