用好Windows Server 2008系統觸發器

創建新的觸發任務

Windows Server 2008系統事件日志功能記錄了服務器系統中發生的各種重要事情，比方說網絡訪問、系統登錄、程序運行、資源調用等，記錄的事件內容主要包括事件描述、事件來源、事件類型等。仔細分析這些事件內容，網絡管理員既能了解服務器系統的運行狀態，又能對暗藏在系統中的威脅進行及時處理，保證服務器系統的運行安全性。不過，網絡管理員必須每次主動查看事件日志，才能了解到服務器系統中發生了什么事情；如果服務器系統中發生了重要事情時，能否讓Windows Server 2008系統自動彈出提示提醒網絡管理員呢？答案是肯定的！我們可以利用Windows Server 2008系統的觸發器功能，來讓服務器自動地提醒網絡管理員發生了哪些重要事件，而不需要每次采用手工方式查看系統日志文件。

創建新的觸發任務

Windows Server 2008系統的觸發任務是基于特定事件創建的，我們首先需要讓系統能對某個故障現象進行記錄并生成一個事件，然后通過該系統新增加的附加任務功能，將指定的觸發任務附加到目標事件中，日后一旦相同的事件發生時，指定的觸發任務就能自動運行，來通知網絡管理員當前服務器系統中發生了哪些重要的事情。

在默認狀態下，Windows Server 2008系統不會對某個故障現象進行自動記錄，我們必須對具體的故障現象進行審核，那樣一來Windows Server 2008系統的事件查看器才能對具體的故障現象進行跟蹤記錄。例如，要想讓Windows Server 2008系統的事件查看器自動記憶用戶賬號被惡意刪除事件時，我們就應該依次單擊“開始/“設置/“控制面板命令，在彈出的系統控制面板窗口中雙擊“管理工具圖標，再在管理工具列表中雙擊“本地安全策略選項，打開本地安全策略列表窗口；

在該列表窗口的左側顯示區域，依次展開“安全策略/“審核策略分支選項，在“審核策略分支下面雙擊“審核賬戶管理選項，打開如圖1所示的選項設置對話框，選中“本地安全設置標簽，在對應的標簽頁面中選中“成功或“失敗選項，再單擊“確定按鈕，如此一來Windows Server 2008系統就會自動跟蹤并記錄添加或刪除用戶帳號事件了。

一旦對指定操作啟用了審核功能后，Windows Server 2008系統就會在對應的日志文件中自動記錄下相關的操作事件，例如以后只有有用戶帳號被偷偷刪除操作發生時，Windows Server 2008系統的日志文件中就會自動出現相應的記錄文件。在查看這個具體的記錄內容時，我們可以先打開Windows Server 2008系統的“開始菜單，從中依次點選“設置、“控制面板、“系統和維護、“管理工具選項，在彈出的管理工具列表窗口中單擊“事件查看器圖標，打開事件查看器控制臺窗口，在該窗口的左側顯示區域展開“Windows日志節點選項，我們從該選項下面會看到“系統、“安全、“應用程序、“轉發事件、“安裝程序等不同類別的事件內容，用鼠標雙擊

某一類別下面的具體事件記錄，就能打開對應事件記錄的詳細信息界面，在這里我們便可以了解到指定事件的來源、事件ID以及其他說明信息了。

不過，每次采用手工方法查看事件記錄內容往往比較煩瑣，而且網絡管理員也很難在第一時間知道服務器系統中究竟發生了哪些重要的事件。為此，我們可以對某一特定的事件附加觸發任務，當以后有相同的事件記錄再次生成時，Windows Server 2008系統的觸發器就能自動工作，來執行指定的任務計劃，通過這個任務計劃我們可以把當前發生的事件內容自動通知給網絡管理員，網絡管理員得到通知信息后，就能及時采取措施來解決服務器系統中存在的安全隱患了。

在創建新的觸發任務時，我們先要從事件查看器窗口中找到具體的某一事件記錄，例如用戶帳號被刪除的事件記錄，然后用鼠標右鍵單擊該記錄選項，從彈出的快捷菜單中單擊“將任務附加到此事件命令，打開觸發任務創建向導對話框，依照向導提示設置好新任務的名稱信息，之后選中一個合適的觸發方式，Windows Server 2008系統的觸發器為用戶提供了三種觸發方式，它們分別為顯示消息、發送電子郵件、啟動應用程序，選擇好某種觸發方式后，再設置好具體的觸發內容，最后單擊“完成按鈕結束新觸發任務的創建工作。

管理已有觸發任務

創建成功的各個觸發任務會自動出現在Windows Server 2008系統的任務計劃列表中，進入任務計劃列表窗口，我們就可以對已有觸發任務進行隨心所欲地管理、設置了。在管理已有觸發任務時，我們可以按照如下步驟進行操作：

首先以系統管理員權限登錄進入Windows Server 2008系統，依次單擊該系統桌面中的“開始/“程序/“附件/“系統工具/“任務計劃程序命令，打開對應系統的任務計劃列表窗口；

其次在該列表窗口的左側顯示區域，用鼠標逐一展開“任務計劃程序庫/“Microsoft/“事件查看器任務分支選項，在對應“事件查看器任務分支選項的中間顯示區域，我們會看到Windows Server 2008系統中所有已經創建成功的觸發任務。

在這里我們可以對每一個觸發任務的各種參數進行修改，例如要修改某個任務計劃的觸發方式時，我們只要用鼠標右鍵單擊具體的觸發任務，從彈出的如圖2所示右鍵菜單中執行“屬性命令，打開目標觸發任務的屬性設置窗口。

在該設置窗口的“常規標簽頁面中，我們可以指定目標觸發任務的運行選項，例如是否在登錄系統時運行目標觸發任務，還是不管用戶是否登錄都要運行等，對于一些特殊的觸發任務，我們有時需要在這里選中“使用最高權限運行選項，確保目標觸發任務中既定的操作能夠順利地在Windows Server 2008系統中被成功執行。

在“觸發器標簽頁面中，我們可以通過單擊“新建按鈕，來重新創建一個新的觸發器任務，通過單擊“編輯按鈕來對當前選定的觸發器進行一些高級設置，例如可以指定目標觸發任務的延遲任務時間、重復任務間隔、過期日期等參數，通過單擊“刪除按鈕來將一些不需要的觸發任務從Windows Server 2008系統中刪除掉。

在“操作標簽頁面中，我們可以查看到目標觸發任務正在使用的觸發方式是什么，如果需要調整使用新的觸發方式時，可以先選中當前正在使用的觸發方式，并單擊“刪除按鈕將目標觸發方式刪除掉，之后單擊“新建按鈕來創建一個新的觸發方式。此外，我們還能單擊這里的“編輯按鈕，來修改當前正在使用的觸發方式的一些觸發參數，例如修改觸發標題、觸發內容，選用不同的觸發程序等。

在“條件標簽頁面中，我們可以指定用于與觸發器一起判斷是否應運行該任務的條件，要是在這里設置的條件不是真，那么目標觸發任務將不會被自動執行。例如，我們可以設置在本地計算機處于空閑狀態多長時間后就能自動運行當前觸發任務，也可以設置只有本地計算機在使用交流電源時才啟動運行當前觸發任務，甚至還能設置在指定網絡連接有效時才能啟動運行目標觸發任務（如圖3所示）。

在“設置標簽頁面中，我們可以指定影響目標觸發任務的一些其他設置參數。例如，我們可以設置在目標任務觸發失敗后，過多長時間重新啟動運行目標觸發任務；也可以指定目標觸發任務運行時間超過多長時間時，自動停止運行任務

觸發器的實戰應用

巧妙利用觸發器功能，我們可以對Windows Server 2008服務器系統的運行狀態進行即時監控，一旦服務器系統發生意外事件時，觸發器能夠自動把發生的事件通知給服務器管理員，以便管理員在第一時間采取措施保護服務器運行狀態不受影響。

例如，我們可以對Windows Server 2008系統賬號的創建行為進行跟蹤，一旦有非法賬號創建時，網絡管理員能夠及時收到報警信息。要實現這樣的監控目的，我們可以先打開Windows Server 2008系統的本地安全策略列表窗口，依次點選其中的“安全策略/“審核策略/“審核賬戶管理選項，并用鼠標雙擊該選項，之后選中“成功或“失敗選項，再單擊“確定按鈕，這樣的話Windows Server 2008系統就能自動跟蹤并記錄添加或刪除用戶帳號事件了。

接著用鼠標右鍵單擊“計算機圖標，從彈出的快捷菜單中執行“管理命令，打開對應系統的計算機管理窗口，在該管理窗口的左側顯示區域依次選中“配置/“本地用戶和組/“用戶選項，并用鼠標右鍵單擊該選項，再執行右鍵菜單中的“新用戶命令，在其后彈出的用戶賬號創建對話框中，隨意創建一個新的用戶賬號，這時Windows Server 2008系統的事件查看器窗口中就會自動生成一個創建新用戶賬號的事件了。

下面，依次單擊Windows Server 2008系統“開始菜單中的“設置/“控制面板/“系統和維護/“管理工具選項，再雙擊“事件查看器圖標，打開事件查看器控制臺窗口，在該窗口的左側顯示區域展開“Windows日志節點選項，然后從該選項下面的“系統分支下面找到剛剛創建好的創建新用戶賬號事件，再用鼠標右鍵單擊該事件選項，從彈出的快捷菜單中點選“將任務附加到此事件命令，打開觸發任務創建向導對話框，依照向導提示設置好新任務的名稱為“監控非法創建賬號，選中觸發方式為“顯示消息，將觸發內容設置為“服務器系統中有賬號可能被非法創建，最后單擊“完成按鈕，如此一來“監控非法創建賬號的觸發任務就算創建成功了。

日后，一旦服務器系統中有人偷偷創建用戶賬號時，服務器系統屏幕上將會自動出現如圖4所示的報警提示信息，看到這樣的提示信息，網絡管理員就知道有非法用戶在服務器系統中偷偷創建用戶賬號了，此時網絡管理員應該及時將新創建的陌生賬號刪除掉，以防止陌生賬號給服務器的穩定運行帶來安全威脅。