受保护的子系统,管理用户和组帐户信息。在 Windows 2000 和 Windows Server 2003 系列中,工作站安全帐户信息由该服务在本地计算机注册表中存储,域控制器安全帐户信息在 Active Directory 中存储。在 Windows NT 4.0 中,本地安全帐户和域安全帐户信息都存储在注册表中。该服务的启动通知其他服务它准备好接收请求。该服务存在于所有版本的Windows Server 2003 上,无法停止它。如果禁用此服务,计算机中的其他服务可能无法正常启动。此服务不应被禁用。
◇ SENS----System Event Notification〖svchost.exe〗监视系统事件并通知 COM+ 事件系统“订阅者(subscriber)”。 如果 System Event Notification 服务停止,COM+ Event System 服务的订阅者将不会接收到事件通知,并且会发生以下问题:①Win32 API IsNetworkAlive() 和 IsDestinationReachable() 将无法运行。这些 API 大多在便携式计算机的移动应用程序中使用。②ISens* 接口将无法使用。SENS 登录/注销通知将失败。③SyncMgr (mobsync.exe) 将无法正常运行。SyncMgr 依赖于连接信息,以及来自 SENS 的网络连接/断开、登录/注销通知。④COM+ EventSystem 试图向 SENS 通知某些事件时将失败。⑤Volume Shadow Copy 服务将不能正常加载,这将导致 Windows 备份 API 失败。
如果此服务被禁用,任何依赖于它的服务将无法启用。
◇ Themes ----Themes〖svchost.exe〗为用户提供使用主题管理的经验。Themes 服务为新的 Windows XP GUI 提供呈现支持。桌面主题是一组预定义的图标、字体、颜色、声音和其他元素,它使计算机桌面的外观更一致且有一定的个性。您可切换主题或创建自己的主题,方法是更改现有主题,然后用新名称保存;或者还原传统的 Windows 经典外观,并作为您的主题。在 Windows XP 计算机上,Themes 服务设置为自动启动。在 Windows Server 2003 计算机上,该服务被禁用。如果 Themes 服务停止或被禁用,新的 Windows XP 视觉样式(窗口、按钮、滚动条和其他控件)将恢复到 Windows 经典视觉样式。
◇ AudioSrv----Windows Audio〖svchost.exe〗管理基于 Windows 的程序的音频设备。此服务可管理音频设备(如声卡)的即插即用兼容事件和 Windows 音频应用程序界面的整体音效 (GFX)。GFX 的例子有均衡 (EQ)、低音增强和扬声器调整。GFX 的服务加载、卸载,和保存/还原状态对于不同会话将有所不同。
使用“多媒体”控制面板,用户可执行下列操作:①启用或禁用 GFX。②如果多个 GFX 可用于特定的音频硬件,请从若干 CFX 筛选器中选择。GFX 驱动程序的 INF 文件指定了 GFX 的目标硬件。
该服务在 Windows Server 2003 和 Windows XP 计算机上安装,并且在运行Windows Server 2003 Standard Edition 的计算机上被配置为自动启动。在其他 Windows Server 2003 版本上该服务被禁用。
该服务启动后无法停止。如果禁用此服务,音频功能可能受到影响,包括无法听到声音或处理 GFX。
◇ SharedAccess----Windows Firewall/Internet Connection Sharing (ICS)〖svchost.exe〗为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵服务。启用此服务后、计算机即成为网络上的“Internet 网关”。它允许其他客户端计算机共享到 Internet 的一个连接、共享文件和使用相同打印机。此服务具有一个位置识别组策略。此服务以前在 Windows 2000 和 Windows XP Service Pack 1 中称为“Internet Connection Sharing”。Windows Server 2003 原始版本中不包含此服务。
如果此服务停止,网络服务如 Internet 共享、名称解析、地址解析和/或防止入侵等将不可用。网络中的客户端可能无法访问 Internet,它们的 IP 地址将过期,这将导致一些客户端使用自动专用 IP 寻址 (APIPA) 来进行对等网络连接。
◇ winmgmt----Windows Management Instrumentation〖svchost.exe〗提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止,多数基于 Windows 的软件将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
◇ lanmanworkstation----Workstation〖svchost.exe〗创建和维护到远程服务的客户端网络连接。此服务创建和维护客户端网络连接和通信。Workstation 服务是 Microsoft 网络重定向程序的用户模式包装程序。它可为重定向程序加载和执行配置功能,并为连接远程服务器的网络连接提供支持。此外,它还支持 WNet API 并提供重定向程序统计信息。如果 Workstation 服务停止,客户端将无法建立与远程服务器的连接,无法通过命名管道访问文件。客户端和程序将无法访问其他远程计算机上的文件和打印机,但 TCP/HTTP 连接不会受到影响。Internet 浏览和 Web 客户端访问仍正常运行。
【 可设置为手动的服务 】(可以根据自己服务器的情况禁用部分服务)
◇ Wuauserv----“自动更新” 〖svchost.exe〗服务可以让堡垒主机下载并安装重要的Windows2003 升级。该服务为堡垒主机自动提供最新的升级、驱动程序和增强组件。您将不再需要手工搜索这些重要的升级和信息;操作系统会将它们直接发送给堡垒主机。当您在线并使用Internet连接从Windows 升级服务中搜索可用的更新时,操作系统会做出识别。根据您所做出的设置,该服务将会在下载和安装前向您发出通知,或者为您自动安装升级文件。停止或禁用“自动更新”服务将会阻止重要更新自动下载到计算机上。有些时候,您可能不得不直接连到Windows Update Web站点
http://www.windowsupdate.microsoft.com/上,以搜索、下载和安装任何可用的重要修补程序。注意,不管是通过Windows Update手动或自动升级,需要Backgroud Intelligent Transfer Service和Sustem Event Notification这两个服务的支持。 ◇ Alerter----Alerter〖services.exe〗通知选定的用户和计算机管理警报。可以使用此服务向连接在您的网络上的指定用户发送警报消息。警报消息可提醒用户与安全、访问和用户会话等相关的故障。警报消息从服务器发送到客户端计算机。如果服务停止,
使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。
◇ AppMgmt---- Application Management〖svchost.exe〗为 Active Directory 智能映像组策略程序处理安装、删除和枚举请求。这是Windows2003引入的一种基于msi文件格式(应用程序安装信息程序包文件)的软件管理方案,即应用程序管理组件服务。它不仅管理软件的安装、删除,而且可以使用此项服务修改、修复现有应用程序,监视文件复原并通过复原排队基本故障等。如果此服务被停用,用户将无法安装、删除或枚举任何智能映像程序。在加入域的计算机控制面板的“添加或删除程序”中单击“添加”时,程序将调用此服务来检索部署的应用程序列表。使用“添加或删除程序”安装或删除应用程序时,也会调用该服务。如果组件(如 shell 或 COM)请求安装应用程序以处理文件扩展名、组件对象模型 (COM) 类或计算机中不存在的 ProgID,系统同样要调用该服务。服务在首次被调用时启动,启动后永不终止。如果此服务停止或被禁用,用户将无法安装、删除或枚举通过 Microsoft IntelliMirror® 管理技术在 Active Directory 中部署的应用程序。如果禁用此服务,系统将无法检索已部署的应用程序信息,此信息也无法显示在控制面板“添加或删除程序”的“添加新程序”部分。“从网络添加程序”对话框将显示下面的消息:网络上没有可用的程序。如果不重新启动计算机,则在此服务启动后无法停止它。如果不需要此服务且不希望启动它,则必须禁用它。 ◇ NWCWorkstation----Client Service for NetWare〖svchost.exe〗提供对 NetWare 网络上文件和打印资源的访问。
◇ EventSystem----COM+ Event System〖svchost.exe〗支持系统事件通知服务 (SENS),此服务为订阅的组件对象模型 (COM) 组件提供自动分布事件功能。COM+ 事件扩展了 COM+ 编程模型,它支持在发布服务器或订阅服务器与事件系统之间使用后期绑定事件或调用方法。事件系统将在信息可用时通知事件接收器,而不会反复轮询服务器。COM+ Event System 服务可处理发布服务器和订阅服务器的大部分事件语义。发布服务器提供发布事件类型,订阅服务器则请求特定发布服务器的事件类型。订阅在发布服务器和订阅服务器外维护,且在需要时才检索,这简化了两者的编程模型。订阅服务器无需包含构建订阅的逻辑(构建订阅服务器与创建 COM 组件一样简单)。订阅的生命周期独立于发布服务器或订阅服务器的生命周期。订阅可在订阅服务器或发布服务器被激活之前构建。默认情况下安装此服务,但是直到应用程序请求该服务才会启动。如果 COM+ Event System 停止,System Event Notification 服务将关闭,且将不能提供登录和注销通知。Volume Shadow Copy 服务,Windows 备份和依赖于 Windows 备份 API 的备份应用程序均需要此服务。
◇ COMSysApp----COM+ System Application〖dllhost.exe〗管理基于组件对象模型 (COM+) 的组件的配置和跟踪。如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。Volume Shadow Copy 服务,Windows 备份和依赖于 Windows 备份 API 的备份应用程序均需要此服务。默认情况下安装并启用此服务。
◇ Dfs----Distributed File System〖dfssvc.exe〗服务管理分布在局域网或广域网 (WAN) 中的逻辑卷,它是 Active Directory SYSVOL 共享所必需的。分布式文件系统 (DFS) 是一种分布式服务,它可将分散的文件共享合并成一个逻辑名称空间。此名称空间是网络存储资源的一种逻辑表示方法,这些网络存储资源对网络中的用户都可用。如果 Distributed File System 服务停止,将无法通过逻辑名称空间访问文件共享或网络数据。要在该服务停止时访问这些数据,需要知道名称空间中的所有服务器和所有共享的名称,然后单独访问各个目标。
◇ TrkWks----Distributed Link Tracking Client〖svchost.exe〗启用客户端程序跟踪链接文件的移动状况,并发出通知。包括在同一 NTFS 卷内移动,移动到同一台计算机上的另一 NTFS、或另一台计算机上的 NTFS。此服务可确保快捷方式、对象链接和嵌入 (OLE) 链接在目标文件被重命名或移动后仍然有效。如果在 NTFS 卷上创建文件的快捷方式,分布式链接跟踪将在目标文件(即链接源)中标记唯一的对象标识符 (ID)。引用目标文件(即链接客户端)的文件也在内部存储对象 ID 的信息。分布式链接跟踪可使用此对象 ID 在下列情况中定位链接源文件:①当链接源文件被重命名时。②当链接源文件被移动到同一卷的其他文件夹或同一计算机的其他卷时。③当链接源文件被移至网络中的其他计算机时。注意:除非计算机所在的域有 Distributed Link Tracking Server 服务可用,否则这种形式的链接跟踪将随时间的推移变得不可靠。④当包含链接源文件的共享网络文件夹被重命名时。 在有 Distributed Link Tracking Server 服务可用的 Windows 2000 或 Windows Server 2003 域中,链接源文件可在下列附加情形中找到:①当包含链接源文件的计算机被重命名时。②当包含链接源文件的卷被移至同一域中的其他计算机时。 涉及 Distributed Link Tracking Server 服务的情形要求客户端计算机(运行 Distributed Link Tracking Client 服务的计算机)为运行 Windows XP SP1 或 SP2 的客户端配置 DLT_AllowDomainMode 系统策略。对于上述所有情形,链接源文件必须位于运行 Windows 2000、Windows XP 或 Windows Server 2003 系列产品的 NTFS 卷上。NTFS 卷不可位于可移动媒体上。注意:Distributed Link Tracking Client 服务可监视 NTFS 卷中的活动,并在名为 Tracking.log 的文件中存储维护信息,该文件位于每个卷根目录处名为“System Volume Information”的隐藏文件夹中。此文件夹有一定的权限保护,只有计算机能访问它。此文件夹也可由其他 Windows 服务使用,例如 Indexing Service。如果 Distributed Link Tracking Client 服务停止,系统将不会维护或跟踪计算机中内容的任何链接。。如果此服务被禁用,任何依赖于它的服务将无法启用。
◇ MSDTC----Distributed Transaction Coordinator〖msdtc.exe〗协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果要通过 COM+ 配置事务性组件,则此服务是必需的。此外,消息队列 (MSMQ) 中的事务性队列和跨多台计算机的 SQL Server 操作也必需该服务。 Distributed Transaction Coordinator 服务在默认情况下安装并已启用。如果此服务停止,使用此服务的事务将不会执行。如果此服务停止,使用事务
服务、群集化安装的 Microsoft Exchange、SQL Server 或其他应用程序可能会受到影响。 如果停止此服务,则不会发生这些事务。如果禁用此服务,事件日志会报告相关错误,但不会影响系统运行,而一些NET程序会用到它,且显式依赖此服务的其他服务将无法启动。
◇ NtFrs----File Replication〖ntfrs.exe〗允许在多个服务器上自动同时复制和管理文件。如果此服务被终止,文件复制将不会进行并且服务器也不会同步。如果此服务被禁用,任何依赖它的服务将无法启动。
◇ HTTPFilter----HTTP SSL〖lsass.exe〗此服务通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。如果此服务被禁用,任何依赖它的服务将无法启动。 ◇ PolicyAgent----IPSEC Services〖lsass.exe〗提供 TCP/IP 网络上客户端和服务器之间端对端的安全。并可管理 IPsec 策略、启动 Internet 密钥交换 (IKE) 并协调 IPsec 策略设置和 IP 安全驱动程序。IP安全策略代理服务,它允许IP安全策略对两台计算机之间传输的数据包进行加密,从而防止在网上看到它的人对它进行理发各破译。IPSEC是一种用来保护内部网、专用网络以及外部网(Internet、Extranet)免遭攻击的重要防御访求。使用IPSEC前必须要首先定义两台计算机之间相互信任和通信安全的方式。如果此服务被停用,网络上客户端和服务器之间的 TCP/IP 安全将不稳定。如果此服务被禁用,任何依赖它的服务将无法启动。
◇ dmserver----Logical Disk Manager〖svchost.exe〗监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。
◇ dmadmin----Logical Disk Manager Administrative Service〖dmadmin.exe〗配置硬盘驱动器和卷。此服务只为配置处理运行,然后终止。
◇ swprv----Microsoft Software Shadow Copy Provider〖svchost.exe〗管理卷影复制服务制作的基于软件的卷影副本。和“Volume Shadow Copy”服务联合使用,主要用来进行备份的。另外,有些磁盘克隆、镜像等软件需要用这个服务才能运行。如果该服务被停止,将无法管理基于软件的卷影副本。如果该服务被禁用,任何依赖它的服务将无法启动。
◇ Netlogon----Net Logon〖sass.exe〗为用户和服务身份验证维护此计算机和域控制器之间的安全通道。简单说就是在局域网上验证登录信息的服务。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。
◇ Netman----Network Connections〖svchost.exe〗管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。如果服务被禁用,您将无法查看局域网和远程连接而且任何依赖它的服务将无法启动。
◇ xmlprov----Network Provisioning Service〖svchost.exe〗在域内为自动网络提供管理 XML 配置文件。