悦分享

WIMBoot 首次出现是作为更新功能之一被加入 Windows 8.1，Windows 10 也同样提供 WIMBoot 功能。WIMBoot 能把 Windows 分区中的绝大部分操作系统文件打包为 WIM 文件，当操作系统或应用程序需要使用操作系统文件时，会直接从 WIM 文件中读取。WIMBoot 和虚拟硬盘（VHD）启动功能类似，但是 WIMBoot 用于存储操作系统文件的 WIM 文件是压缩格式，可以极大地节省硬盘空间，尤其是对于小容量的固态硬盘效果更加明显。

U 盘相对于光盘来说，读写速度快，很适合用来安装操作系统。如果计算机没有光驱（例如超极本）或者不巧光驱损坏，那还能为计算机安装操作系统吗？答案当然是肯定的。下面介绍制作安装 U 盘的方法以及如何从 U 盘启动计算机并安装操作系统。

某些情况下，已经被卸载的应用程序所创建的服务会继续在操作系统后台运行，对于此类 Windows 服务，在以管理员身份运行的命令提示符下，执行 sc delete service（服务名称）命令即可将其删除，如下图所示。Windows 服务的启动、停止及暂停等操作，可以在任务管理器【服务】标签页、服务控制台等环境下进行，右键单击 Windows 服务，在弹出菜单中选择相应的选项即可。注意：删除 Windows 服务之前，请确定该项服务不存在依存服务或系统组件，如果存在依存关系，请谨慎操作。

NTFS 文件系统提供的文件压缩功能采用 LZNTl 算法，支持对硬盘分区、文件夹和文件的压缩。下图所示为文件夹压缩前后所占用空间的对比，效果明显。任何基于 Windows 10 的应用程序对 NTFS 分区上的压缩文件进行读写时，文件将在内存中自动完成解压缩，文件关闭或保存时，操作系统会自动对文件进行压缩。虽然如今计算机 CPU 性能过剩，使用文件压缩对计算机性能影响不是很大，但是也不建议对超过 10GB 的单个文件（例如虚拟机文件）以及操作系统文件进行压缩。

由于 Windows 10 默认禁用 Administrator（管理员），因此该账户也是通常情况下需要用户启用或禁用的目标账户。对于 Administrator 账户而言，Windows 10 专业版和企业版可以通过组策略编辑器中的【本地用户和组】管理单元进行操作，而 Windows 10 家庭版则需要使用 Net User 命令来管理操作系统内置 Administrator 账户。

Windows PowerShell是一种命令行外壳程序和脚本环境，它内置在每个受支持的Windows版本中（Windows 7/Windows 2008 R2和更高版本），使命令行用户和脚本编写者可以利用.NET Framework的强大功能。一旦攻击者可以在一台计算机上运行代码，他们就会下载PowerShell脚本文件（.ps1）到磁盘中执行，甚至无须写到磁盘中执行，它可以直接在内存中运行，也可以把PowerShell看作命令行提示符cmd.exe的扩充。

如果域内有多台域控制器，则所设置的安全设置值是先被存储到扮演 PDC操作主机角色的域控制器内的，而它默认由域内的第1台域控制器扮演，可以选择DC1的“服务器管理器”→“工具”→“Active Directory用户和计算机”命令，选中“域名long.com”节点，并单击鼠标右键，在弹出的快捷菜单中选择“操作主机”命令，打开“操作主机”对话框，选择“PDC”选项卡来得知PDC操作主机是哪一台域控制器（例如，图中的操作主机为DC1.long.com），如下图所示。下面说明如何建立第1个林中的第1个域（根域）。

活动目录（Active Directory,AD）是Windows Server网络操作系统中非常重要的目录服务。活动目录用于存储网络上各种对象的有关信息，包括用户账户、组、打印机、共享文件夹等，并把这些数据存储在目录服务数据库中，便于管理员和用户查询及使用。活动目录具有安全、可扩展、可伸缩的特点，与域名系统（Domain Name System,DNS）集成在一起，可基于策略进行管理。什么是活动目录呢？

在 Windows 7/8/10 中，微软把 VHD 所需要的驱动直接内置于操作系统，用户可以在 Windows 7/8/10 中直接访问 VHD 文件中的数据，此时操作系统会把 VHD 文件映射为一个硬盘分区。在 Windows 10 中可以通过右键菜单快速加载 VHD 文件并查看里面数据。此外，用户还可以使用 Windows 启动管理器（bootmgr），启动安装于VHD 文件中的操作系统。Windows 10 支持新版虚拟硬盘文件，即 VHDX 文件。

虚拟硬盘文件格式（VHD）可以被简单地理解为硬盘的一种 , 就像 1.8 寸、2.5 寸、3.5寸等不同规格的硬盘一样。VHD 是存在于物理硬盘上的一种文件虚拟硬盘，用户可以像对物理硬盘一样对 VHD 进行格式化分区并安装操作系统，不需要的时候将其删除即可，非常方便。同时虚拟硬盘还可以托管本地物理硬盘上的文件系统，例如 NTFS、FAT 等。

① 在 Hyper-V 管理器右侧的【操作】窗格中选择【虚拟交换机管理器】，在随后出现的【虚拟交换机管理器】界面中，选择要创建的虚拟交换机的类型，这里选择【外部】，然后单击【创建虚拟交换机】，如图所示。如下图所示，在新建虚拟机向导中的【连接虚拟硬盘】页面，可以选择【使用现有虚拟硬盘】来启动已安装了操作系统的 VHDX 文件，配置好其他设置之后单击【完成】，然后运行虚拟机即可使用。在 Hyper-V 管理器界面的【虚拟机】一栏中双击创建的虚拟机，就会打开虚拟机连接界面，可以将其视为计算机的显示器，如图所示。

经过几年的发展，Hyper-V 逐渐成熟，其功能也进一步完善，所以自 Windows 8 开始，Hyper-V 第一次被集成于普通消费者使用的 Windows 版本。Hyper-V 管理器为 Hyper-V 的主要管理工具。打开 Hyper-V 管理器之后，如果在 Hyper-V管理器左侧列表中出现当前计算机名称，就代表 Hyper-V 安装成功，如图所示。重新启动计算机之后，在“开始”菜单应用列表中的 Windows 管理工具文件夹中会显示 Hyper-V 管理器，如图所示。

通过 Windows 10 自带的 BitLocker 管理选项，可以更加方便地使用 BitLocker 加密功能。

① 在文件资源管理器中，在 U 盘上单击右键并在弹出菜单中选择【启用 BitLocker】，BitLocker 加密向导会检测该 U 盘是否适合加密，然后要求用户选择 U 盘解锁方式。加密完成之后，打开文件资源管理器，U 盘的图标上多了一把解开的灰锁，这就表明此设备已被解锁，如果 U 盘图标上是一把黄色的锁，如下图所示，则表明此设备当前未被解锁。加密本地硬盘数据分区和使用 BitLocker To Go 加密移动存储设备的操作步骤一样，所以本节只介绍移动存储设备的加密过程并以加密 U 盘为例。

在【运行】对话框中执行 gpedit.msc 命令，打开【本地组策略编辑器】，在左侧列表中依次打开【计算机配置】→【管理模板】→【Windows 组件】→【BitLocker 驱动器加密】→【操作系统驱动器】→【启动时需要附加身份验证】，如图所示。① 在文件资源管理器中选择 Windows 分区，单击右键并在弹出菜单中选择【启用BitLocker】，随后向导程序会检测当前计算机是否符合加密要求，如果检测通过，则向导程序首先会提示用户启用 BitLocker 需要执行的步骤信息，如图所示。

BitLocker 驱动器加密是 Windows 10 操作系统中的数据保护功能，主要用于解决一个用户越来越关心的问题：由计算机设备的物理丢失导致的数据失窃或恶意泄漏。这项功能为用户保护重要的数据提供一种思路，例如，可以在计算机的硬盘分区中开启 BitLocker 驱动器加密功能，重要的数据文件能够在本计算机中正常使用，如果文件被窃取，由于不知道密码和密钥，在其他计算机中不能打开，从而保证了数据的安全。

BitLocker 是一项数据加密保护功能，它可以加密整个 Windows 分区或数据分区。随着 Windows 操作系统的迭代更新，BitLocker 功能也更加完善与强大。使用 BitLocker 加密硬盘之后，可以防止被盗或丢失的计算机、可移动硬盘、U 盘上的数据被盗窃或泄漏。另外，从使用 BitLocker 加密的分区上恢复数据比从未加密分区恢复要困难得多。计算机必须安装 Windows 10、Windows Server 2016 或 Windows Server 2019 操作系统。

AppLocker 可以帮助用户制定策略，限制运行应用程序和文件，其中包括 EXE 可执行文件、批处理文件、MSI 文件、DLL 文件（默认不启用）等。Windows 10 自带的软件限制策略功能只对所有计算机用户起作用，不能对特定账户进行限制。而使用 AppLocker 可以为特定的用户或组单独设置限制策略，这也使 AppLocker 可以更灵活地应用于各种计算机环境。

该策略的默认值是“没有定义”。该策略可以用安全描述符定义语言（Security Descriptor Definition Language，SDDL）对计算机的DCOM应用程序启动和激活等操作进行限制。简单地说，可以通过该策略设置允许哪些用户或者用户组通过远程或本地的方式访问启动或者使用本机上的 DCOM 应用程序。通常情况下，该策略使用默认设置即可。双击该策略，打开“属性”对话框，并单击“编辑安全设置”按钮。在如图所示的“访问权限”对话框中，已经默认预置了4个用户和组。

自从 Windows XP SP2 操作系统中内置了 Windows 防火墙之后，其功能也更加完善，而且通过 Windows 10 网络位置的配置文件，Windows 防火墙可以灵活地保护不同网络环境下的通信安全。使用 Windows 防火墙，再配合 Windows 自带的其他安全功能，足够保护操作系统的安全。

Windows 防火墙”是操作系统自带的一项安全防范工具。在 Windows10 操作系统中，微软公司加强了 Windows 防火墙的操作人性化与安全性能。

Windows 10 中的 Microsoft 安全中心是一款完整的反病毒软件，并且整合到了 Windows 安全中心。如果用户对操作系统的安全性要求不是很高，完全可以使用 Windows 安全中心和 Windows 防火墙来保护计算机，而不必安装第三方防护软件。在“开始”菜单或控制面板中搜索“安全中心”即可打开 Windows 安全中心。之后可以看到任务栏通知区域中显示的白色盾牌图标，移动鼠标指针至图标上会显示计算机保护状态，双击该图标可打开 Windows 安全中心。

自定义”指用户选择需要检测的目录，首先在“扫描选项”中选中“自定义”单选按钮，然后单击“立即扫描”按钮，指定需要扫描的目录，如下图所示，单击“确定”按钮即可开启扫描进程。在使用计算机的过程中，如果操作系统出现安全和维护状况，桌面的右下方会弹出消息通知，提示用户进行处理，当系统出现非常严重的安全问题或维护问题时，通知消息会以红色的边框的提示，这些消息用户一定要注意，单击红色边框消息中的“更改设置”按钮，如图所示。管理操作系统“安全性与维护”的方法是在控制面板中，单击“安全性与维护”选项，如下图所示。

不过这项策略在前几年并非是强制的，默认设置的Windows中，如果安装不包含微软签名的驱动，Windows只会提示用户可能存在的风险，并由用户决定要采取怎样的操作。但如果自己不知道有哪些安全软件是兼容Windows 7的，例如，还没有安装反病毒软件，希望使用一个微软推荐的软件，则可以单击相应的类别（例如，反病毒软件对应的“恶意软件保护”类别），然后单击“查找程序”按钮，这样系统会自动调用浏览器访问微软网站上的相关页面，在那里可以看到微软推荐的所有软件，并可下载和试用。如果找不到匹配的信息，则会拒绝登录。

3G 网络是指使用支持高速数据传输的蜂窝移动通讯技术的第三代移动通信技术的线路和设备铺设而成的通信网络。3G 网络将无线通信与国际互联网等多媒体通信手段相结合，是新一代移动通信系统。在偏远地区或旅游途中无法获取有线或 Wi-Fi 信号时，则可以考虑使用 3G 网络，此上网方式具有信号强、速度快且稳定等优点，但费用较高，主要适合于商务人士，普通用户可以在紧急情况下临时使用。如果需要临时在较短的时间访问互联网，则可以利用手机作为Modem 来使用使电脑能访问网络。

有线局域网虽然技术成熟、普及率高而且网络结构简单，但其因为整个网络需要许多线缆来实现相互的连接，这对于网络环境来说会造成一定影响。而无线局域网则很好地避免了这一问题，它主要的特点就是移动性好，可以随时随地构建电脑网络。无线网络技术主要是指 Wi-Fi，它是一种可以将个人电脑（主要是笔记本电脑）、手持设备（如 PDA、手机）等终端以无线方式互相连接的技术。带 Wi-Fi 无线上网功能的笔记本在工作、生活、学习中的应用已经相当普遍，它的方便性也得到了公众的认可。

路由器是网络的关键设备，它的上方链路连接 Modem，下方链路连接交换机或电脑，同时带有无线功能的路由器还具有向周围一定范围内发射无线信号的功能。它相当于整个网络的“神经中枢”，一旦路由器配置不当或存在故障，整个网络就会出现异常，甚至瘫痪。因此在组建无线和有线网络时，一定要注意路由器的配置。

宽带上网的优点是上网速度快、网络稳定，缺点是有线连接，受制于网线的限制无法大范围移动，主要适用于将笔记本电脑置于办公室、宾馆等固定场所进行暂时工作的情况。其工作原理是通过 Modem、路由器等网络设备将笔记本电脑通过网线与互联网服务提供商（主要指电信、移动和联通）的服务器进行连接。

组建小型局域网络，一般需要借助交换机、路由器、ADSL Modem 或光纤猫、网卡和网线等设备，另外还需要仔细配置网络参数，才能保障整个网络稳定运行。

OneDrive 是由微软推出的云存储服务，最初名为 Windows Live Folders，并且仅在小范围内测试。在 Windows 8 中，OneDrive 首次以应用的方式被集成，而在 Windows 10中，OneDrive 将直接操作系统整合。OneDrive 在功能上类似于百度网盘之类的产品。用户只需使用 Microsoft 账户登录 OneDrive 即可开通此项云存储服务。

其中，【自动】是指 Windows服务随操作系统启动而自动启动运行，【自动（延迟启动）】是指等操作系统启动成功之后再自动启动，【手动】是指由用户运行应用程序触发其启动，【禁止】指禁止服务启动。如要使用本地服务账户或网络账户，选中【此账户】，然后单击【浏览】按钮并在出现的【选择用户】对话框中输入 local service（本地服务账户）或 network service（网络账户），确定后重启 Windows 服务即可使用设置的账户身份运行。Windows 服务有 3 种运行状态，分别是运行、停止和暂停。

STEP 5 在总公司DC1(林根)上创建通用组Project_long_Us，并双击该全局组，单击“成员”→“添加”→“高级”按钮，位置处选择“整个目录”，单击“立即查找”按钮，将总公司和分公司的工程部全局组配置为成员（由于在不同域中，加入时要注意“位置”信息，该例中设为“整个目录”），如下图所示。A、G、G、DL、P原则就是先将用户账户（A）加入全局组（G）内，再将此全局组加入另一个全局组（G）内，再将此全局组加入本地域组（DL）内，然后设置本地域组的权限（P），如图所示。

默认用户配置文件位于“C:\用户\ default”文件夹下，该文件夹是隐藏文件夹（单击“查看”菜单，可选择是否显示隐藏项目），用户student1的配置文件位于“C:\用户\student1”文件夹下。用户账户不只包括用户名和密码等信息，为了管理和使用方便，一个用户还包括其他属性，如用户隶属的用户组、用户配置文件、用户的拨入权限、终端用户设置等。STEP 2 在“计算机管理”窗口中，展开“本地用户和组”选项，在“用户”目录上单击鼠标右键，在弹出的快捷菜单中选择“新用户”命令，如下图所示。

Windows Server 通过建立账户（包括用户账户和组账户）并赋予账户合适的权限，保证使用网络和计算机资源的合法性，以确保数据访问、存储和交换服从安全需要。如果是单纯的工作组模式的网络，需要使用“计算机管理”工具来管理本地用户和组；如果是域模式的网络，则需要通过“Active Directory管理中心”和“Active Directory用户和计算机”工具管理整个域环境中的用户和组。

Windows Vista 之前的操作系统由于安全方面的问题广受外界批评，所以 Windows Vista 操作系统中引入了全新的安全技术 UAC，旨在提高操作系统安全性。使用 UAC 后，用户在执行可能会影响操作系统运行或影响其他用户设置的操作之前，需要提供权限或管理员密码。其次，通过应用程序的数字签名显示该应用程序的名称和发行者等信息，确保它正是用户所要运行的应用程序。通过启动前的验证，UAC 可以有效防止恶意程序和间谍程序篡改操作系统设置。例如，某些影。

用户账户控制（UAC）最初名为User Account Protect，是微软为提高系统安全而在Windows Vista中引入的新技术，它要求所有用户在标准账号模式下运行程序和任务，阻止未认证的程序安装，并阻止或提示标准用户进行不当的系统设置改变。在Windows 7中，微软对UAC功能进行了大量改进，在确保安全性的同时，让UAC的提升提示出现的数量更少，而且我们可以根据需要使用不同级别的提示，因此，在确保安全的同时，也进一步提升了易用性。

要想设置 PIN 密码，可以单击此按钮，在弹出的界面中先输入账户的普通密码。如果用户需要设置字符和数字的混合型密码，则应该在“计算机管理”窗口左侧的控制台树中，选择“计算机管理（本地）→系统工具→本地用户和组→用户”选项，在右侧主窗格中用鼠标右键单击需要设置密码的账户，在弹出的快捷菜单中选择“设置密码”命令，如下图所示。（3）要想设置账户的普通密码，可以在“登录选项”的“密码”区域中单击“添加”按钮，在弹出的“创建密码”界面中输入两个相同的密码以及密码提示，单击“下一步”按钮，如下图所示。

在“本地用户和组”管理单元左侧的控制台树中，选择“系统工具→本地用户和组→用户”选项，在右侧的主窗格中用鼠标右键单击需要更改用户名的账户，在弹出的快捷菜单中选择“重命名”命令，再将用户名更改为新名称即可，如下图所示。在“本地用户和组”管理单元左侧的控制台树中，选择“系统工具→本地用户和组→用户”选项，在右侧的主窗格中双击需要设置的用户账户，打开该账户“属性”对话框，如下图所示。展开“选项组”对话框，单击“立即查找”按钮，然后在“搜索结果”列表中，选择需要加入的用户组，再单击“确定”按钮，如下图所示。

Windows 10 是一个多用户操作系统，能够在操作系统中创建多个账户，每个账户能独立设置个性化的操作环境以及独立的系统密码。每个人可以使用独立的账户登录和操作计算机，从而有利于个人的隐私保护，Windows 10 中全新的账户管理功能，可以让整个操作系统更为安全高效。

这种情况下，因为之前一个“User”账户的配置文件还保留着，因此，新建的“User”账户无法使用老“User”账户的配置文件，此时，Windows 会将新“User”账户的配置文件夹的名称设置为类似“User.XXXXXX”的形式，其中，“XXXXXX”是机器名的一部分，是一串随机字符。除了这两个账户外，在Windows中还有其他一些账户，主要用于一些特殊的环境，例如，用于进行远程协助的账户等，这些账户默认都没有启用，而且一般用户很少需要，因此，这里不再详细介绍。用户使用自己的账户和密码登录系统。