server2008题库

更新时间：2024-03-16 03:40:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

1.您的网络由一个单一的活动目录域。所有域控制器都运行Windows Server 2008的审核帐户管理政策的制定和审核目录服务访问设置为整个域启用。你需要确保对Active Directory对象的变化可以被记录。该记录的变更必须包括任何属性，你应该怎么做旧的和新的价值？

a.启用在默认域控制器策略审核帐户管理政策。

B.运行auditpol.exe，然后配置域控制器的OU的安全设置。

C.运行auditpol.exe，然后启用审核目录服务访问的默认域策略设置。

D.从默认域控制器策略，启用审核目录服务访问设置和启用目录服务的改变。

贵公司有一个Active Directory域。一个用户试图登录到一个被拒绝了12周的计算机。管理员会收到一条错误信息，验证失败。你需要确保用户能够登录到计算机。你应该怎么做？

a.运行的Netdom信托/复位命令。 b.运行和机器的设置选项netsh命令。

C.运行的Active Directory用户和计算机控制台禁用，然后启用计算机帐户。四重置计算机帐户。 Disjoin从域的计算机，然后重新加入到域的计算机。

问题3

贵公司有一个Active Directory林中包含Windows Server 2008域控制器和DNS服务器。所有客户端计算机运行Windows XP。您需要使用您的客户端计算机使用的ADMX编辑是在中央存储区中存储的文件的ADMX基于域的GPO。你应该怎么做？

答：您的帐户添加到Domain Admins组。二升级到Windows Vista客户端计算机。

C.安装。NET Framework 3.0的客户端计算机上

D.创建一个主域控制器（PDC）为在policydefinitions中路径域模拟器文件夹。 ADMX文件复制到PolicyDefinitions文件夹。

答案：B

问题4

贵公司有一个Active Directory林中包含八个链接的组策略对象（GPO）中。这些应用程序发布一个GPO的用户对象。一个用户报告说，应用程序没有可供安装。您需要确定是否已应用的GPO你应该怎么做？

答：运行组策略结果为用户工具。 B.运行组策略结果的计算机工具。

c.运行GPRESULT /范围计算机命令在命令提示符。

d.运行GPRESULT / S的<系统名称> / Z命令在命令提示符。

答案：A

科：（无）

问题5

你的公司雇用10名新员工。你希望新员工，就可以通过VPN连接到总公司。您创建新的用户帐户并授予新雇员的允许读取和执行权限，以允许在主办公室的共享资源。新员工无法访问总公司的共享资源。你需要确保用户能够建立一个VPN连接到总公司，你应该怎么办？

答：授予新雇员的允许完全控制权限。二授予新雇员的允许访问拨入权限。 C.增加新员工到远程桌面用户安全组。

D.先加入的新员工到Windows授权访问安全组。

答案：B 科：（无）

问题6

贵公司有一个Active Directory域。用户尝试登录到域从客户端计算机和收到以下消息：“。此用户帐户已过期，请重新启动您的系统管理员帐户”你需要确保用户能够登录到域。你应该怎么做？

答：修改的用户帐户的属性设置为永不过期的帐户。 b.修改该用户帐户的属性设置的登录时间延长。 c.修改的用户帐户的属性来设置密码永不过期。四修改默认域策略，以减少帐户锁定时间。

答案：A

问题7

您的公司中，Contoso有限公司，都有一个主要办事处和分公司。该办事处通过广域网连接的链接。 Contoso有一个Active Directory林中包含一个域命名ad.contoso.com。该ad.contoso.com域包含一个域控制器名为DC1的是在主要办公地点。 DC1是配置作为ad.contoso.com DNS区域的DNS服务器。这个区域被配置为一个标准的主要区域。

您安装一个新的域控制器名为DC2的分支机构。您在安装DC2的DNS服务器。你需要确保DNS服务可以更新记录和解决事件，一个广域网链接失败DNS查询。你应该怎么做？

A.创建一个新的存根区域名为DC2的ad.contoso.com。 B.配置上DC2的DNS服务器将请求转发到DC1上。

C.创建一个新的标准辅助区域命名DC2的ad.contoso.com。

四DC1上ad.contoso.com转换区域的一个Active Directory集成的区域。

答案：D

问题8

你的公司生产的组织单位名称。组织单位的生产有一个孩子的组织单位命名的R＆D优创建一个名为软件部署的GPO并链接到生产组织单位。您建立的研发组织单位影子组。您需要部署在生产组织单位的申请给用户。您还需要确保应用程序部署到没有研发组织单位的用户。什么是两种可能的方式来实现这个目标呢？（每一个正确的答案是一个完整的解决方案中选择两项。）

A.配置的软件部署的GPO强制设置。 B.配置集体继承的R＆D组织单位设定。 C.配置阻止继承上设置的生产组织单位。

D.配置安全的软件部署的GPO过滤拒绝申请研发安全组组策略。

答：屋宇署科：（无）

问题9

你的公司有一个单一的活动目录域命名intranet.adatum.com。域控制器运行Windows Server 2008和DNS服务器角色。所有计算机，包括非域的成员，他们的动态注册DNS记录。您需要配置intranet.adatum.com区只允许域成员的动态注册DNS记录。你应该怎么做？

答：设置动态更新安全专用。 b.启用区域传送到名称服务器。 C.除去Authenticated Users组。

四拒绝Everyone组创建所有子对象的权限。

答案：A 科：（无）

说明/参考：

问题10

所有的顾问都属于一个名为TempWorkers全局组。你使一个新的组织名为

这三个文件服务器共享文件夹中包含位于SecureServers单位三个文件服务器。

机密数据。您需要记录的顾问公司来访问机密数据的任何失败的尝试。哪两个动作，你应该执行？（每一个正确的答案提出解决方案的选择两部分。）

A.创建一个新的GPO并链接到SecureServers组织单位配置审核特权使用失败审核策略设置。

B.创建一个新的GPO并链接到SecureServers组织单位配置审核对象访问失败审核策略设置。

C.创建一个新的GPO并链接到SecureServers组织单位配置拒绝访问这从网络用户的TempWorkers全局组设置权限的计算机。

将三个服务器配置选项卡的审计失败的完全D.在每三个文件服务器共享文件夹，

控制审核项对话框中的设置。

大肠杆菌在每个服务器上的三个文件共享文件夹，添加TempWorkers全局组审核选项卡配置的失败完全控制审核项对话框中的设置。

答：是科：（无）

说明/参考：

问题11

贵公司的主要办事处和分公司。公司拥有一个单域的Active Directory目录林。办公室的主要有两个域控制器名为DC1和DC2运行Windows Server 2008年。该分公司已在Windows Server 2008只读域控制器（RODC）命名DC3上。所有域控制器的DNS服务器角色举行，并作为活动目录集成的区域配置。

您需要启用DC3上动态DNS更新。你应该怎么做？ DNS区域只允许安全更新。

a.运行的Ntdsutil.exe> DS行为命令的DC3上。

b.运行Dnscmd.exe / ZoneResetType上DC3上的命令。 c.三重新安装DC3上可写域控制器的Active Directory域服务。

D.创建DC1上的自定义应用程序目录分区。配置分区来存储Active Directory集成的区域。

答案：C 科：（无）

说明/参考：

问题12

您的网络由一个单一的活动目录域。该域名包含10个域控制器。域控制器运行Windows Server 2008，并作为DNS服务器配置。您打算创建一个新的Active Directory集成的区域。你需要确保新的区域是只复制到你的域控制器四。首先你应该怎么做？

A.创建一个在应用程序目录分区的新ForestDnsZones代表团。 B.创建一个应用程序目录分区的DomainDnsZones新的代表团。 C.瞬从命令，并指定运行dnscmd / enlistdirectorypartition参数。

四提示符从命令，运行dnscmd并指定/ createdirectorypartition参数。

答案：D 科：（无）

说明/参考：

Dnscmd createdirectorypartition

创建DNS应用程序目录分区。当DNS是安装一个服务应用程序目录分区是创建于森林和域的水平。此操作将创建额外的DNS应用程序目录分区。

问题13

你的网络由一个名为contoso.com的Active Directory林。所有服务器运行

所有域控制器配置为DNS服务器。在contoso.com DNSWindows Server 2008。

区域存储在Active Directory应用程序ForestDnsZones分区。你有一个成员服务器，它包含一个标准的主DNS dev.contoso.com区。您需要确保所有域控制器可以解析dev.contoso.com名称。你应该怎么做？

A.创建一个在contoso.com区域的NS记录。 B.创建一个在contoso.com区代表团。 C.创建一个全局编录服务器标准辅助区域。

四修改了在contoso.com区域的SOA记录的属性。

答案：B 科：（无）

说明/参考：

问题14

你的公司有两个Active Directory命名contoso.com和fabrikam.com森林。这两个森林域控制器只能运行Windows Server 2008上运行。域contoso.com的功能级别是Windows Server 2008。该域名的fabrikam.com功能级别是

Windows Server 2003纯模式。您配置contoso.com和fabrikam.com之间的外部信任。您需要启用Kerberos的AES加密选项。你应该怎么做？

A.创建一个新的森林信任，使林范围认证。

二提升林功能级别的contoso.com到Windows Server 2008。三提升林功能级别的fabrikam.com到Windows Server 2008。

D.抬起fabrikam.com域功能级别到Windows Server 2008。

答案：D

15. 你的公司有两个Active Directory命名contoso.com和fabrikam.com森林。该公司网络的DNS服务器有三个名为DNS1，DNS2，和DNS3。的DNS服务器被配置为下表所示。

所有计算机属于fabrikam.com域作为首选的DNS服务器上配置DNS3。所有其他计算机上使用DNS1作为首选DNS服务器。从fabrikam.com域用户无法连接到服务器属于contoso.com域。您需要确保在fabrikam.com域用户能够解决所有contoso.com查询。你应该怎么做？

A.创建一个服务器上的DNS3的_msdcs.contoso.com区域的副本。 B.创建的DNS1服务器和DNS2服务器上的fabrikam.com区域的副本。 C.配置上DNS3条件转发转发contoso.com查询DNS1。

D.配置上DNS1和DNS2条件转发转发fabrikam.com查询DNS3。

答案：C

问题16

贵公司的主要办事处和10个分支机构。每个分公司都有一个Active Directory站点，其中包含一个域控制器。在主办公室只有域控制器配置为全局编录服务器。您需要停用通用组成员缓存（UGMC）对分支机构的域控制器选项。你应该在哪个层次停用UGMC？

答：站点。二服务器三域

四Connection对象

答案：A 科：（无）

说明/参考：

问题17

贵公司有一个Active Directory域。您登录到域控制器。 Active Directory架构管理单元未在Microsoft管理控制台（MMC）提供。您需要访问Active Directory架构管理单元。你应该怎么做？

答：注册Schmmgmt.dll。

二注销并登录使用的帐户，它是架构管理员组的成员了。

C.使用Ntdsutil.exe命令连接到架构主机操作主机和开放的写作模式。

D.先加入的Active Directory轻型目录服务（AD LDS）中的作用，通过使用服务器管理器的域控制器。

答案：A 科：（无）

说明/参考：

问题18

你有两个服务器名为Server1和Server2。这两种服务器都运行Windows Server 2008年。 Server1是配置为企业根证书颁发机构（CA）颁发。 Server2上安装联机响应角色服务。您需要配置Server2上发出证书吊销列表为企业根CA（CRL）中。哪两个任务，你应该执行？（每一个正确的答案提出解决方案的一部分。选两项）。

答：导入企业根CA证书。

B.进口的OCSP响应签名证书。

三Server1的计算机帐户添加到CertPublishers组。 D.设置启动类型的证书传播服务为自动。

答：AB型科：（无）

说明/参考：

问题19

贵公司有Active Directory林中，在Windows Server 2008的功能级别运行。您实现Active

。您安装Microsoft SQL Server Directory权限管理服务（AD RMS）

2005。当您尝试打开的AD RMS管理Web站点时，您会收到以下错误信息：“SQL Server不存在或访问被拒绝。”您需要打开的AD RMS管理网站。哪两个动作，你应该执行？（每一个正确的答案提出解决方案的一部分。选两项）。

答：重新启动IIS。 B.安装消息队列。

c.启动MSSQLSVC服务。

四手动删除在AD DS服务连接点，并重新启动的AD RMS。

答：交流科：（无）

说明/参考：

问题20

贵公司有一个Active Directory域。该公司已经购买了100个新电脑。你要部署为域成员的计算机。您需要建立一个组织单位的计算机帐户。你应该怎么做？

a.运行Csvde与f computers.csv命令。 B.运行f computers.ldf的LDIFDE命令。 c.运行dsadd计算机命令。 d.运行dsmod计算机命令。

答案：C 科：（无）

说明/参考：

问题21

贵公司有一个Active Directory域，有一个名为Sales的组织单位。销售组织单位包含两个名为全球安全销售经理和销售人员群体。您需要桌面应用的限制，以销售管理人员。你必须限制不适用于这些台式机的销售管理人员。您创建一个名为DesktopLockdown，并将其链接到销售组织单位的GPO。下一步你应该怎么做？

A.配置应用组策略拒绝对DesktopLockdown GPO的销售经理权限。 b.配置应用组策略拒绝对DesktopLockdown GPO的销售人员的权限。

C.配置拒绝应用组策略GPO中的DesktopLockdown身份验证的用户权限。 D.配置允许应用组有关DesktopLockdown GPO的身份验证的用户策略权限。

答案：A 科：（无）

说明/参考：

问题22

您的公司有一个活跃的目录林。公司先后在三个地方分支机构。每个位置都有一个组织单位。您需要确保该分支机构管理员能够创建和应用的GPO只各自的组织单位。哪两个动作，你

应该执行？（每一个正确的答案提出解决方案的一部分。选两项）。

A.添加分支机构的管理员用户帐户添加到组策略创建者所有者组。

b.修改每个组织单位的由制表设法分支办公室管理员添加到各自的组织单位。 c.运行控制委派向导和代表的权利，链接到分支办公室管理员域的GPO。

d.运行控制委派向导和代表的权利，其分行链接到分支办公室管理员组织单位的GPO。

答：广告科：（无）

说明/参考：

问题23

贵公司购买了新的应用程序部署到200台电脑。该应用程序要求您修改每个目标计算机上的注册表，然后再安装应用程序。修改注册表中的一个文件，具有。行政的延伸。您需要准备的应用中的目标计算机。你应该怎么做？

答：进口的。adm到一个新的组策略对象（GPO）的文件。编辑GPO，并将其链接到组织单位包含目标计算机。

B.创建一个Microsoft Windows PowerShell的脚本复制。adm文件到每个目标计算机的启动文件夹。

C.创建一个Microsoft Windows PowerShell的脚本复制。adm文件到每台计算机。每个目标上运行的计算机REDIRUsr容器的DN命令。

D.创建一个Microsoft Windows PowerShell的脚本复制。adm文件到每台计算机。每个目标上运行的计算机REDIRCmp容器的DN命令。

答案：A 科：（无）

说明/参考：

问题24

你的公司在一个名为薪资组织单位所在的文件服务器。文件服务器包含一个文件夹命名为工资薪金文件。您创建一个GPO。您需要跟踪哪些雇员访问文件服务器上的工资文件。你应该怎么做？

a.启用审核对象访问选项。链接到组织单位的GPO工资。在文件服务器上，配置文件夹中的工资Everyone组审核。

b.启用审核对象访问选项。链接到域的GPO。在域控制器，配置身份验证的用户文件夹中粮集团审计。

c.启用审核过程跟踪选项。链接到域控制器组织单元的GPO。在文件服务器上，配置身份验证的用户文件夹中粮集团审计。

四启用审核过程跟踪选项。链接到组织单位的GPO工资。在文件服务器上，配置文件夹中的工资Everyone组审核。

答案：A 科：（无

问题25

您的网络组成。一个单一的活动目录域？所有域控制器都运行Windows Server 2008年。您需要确定轻型目录访问协议（LDAP）客户端使用的域控制器上可用的CPU资源的最大数额。你应该怎么做？

A.审查资源监视器的性能数据。 B.审查硬件事件在事件查看器日志。

C.运行局域网诊断数据收集器集。审查局域网诊断报告。

d.运行Active Directory的诊断数据收集器集。检阅Active Directory诊断报告。

答案：D 科：（无）

说明/参考：

问题26

您的公司有一个活跃的目录林。你计划安装企业证书颁发机构的专用独立服务器（CA）颁发。当您尝试添加的Active Directory证书服务（AD CS）的作用，你会发现企业CA选项不可用。您需要安装AD政务司司长为企业CA角色。首先你应该怎么做？

A.添加DNS服务器的作用。二，服务器加入到域。

c.添加Web服务器（IIS）的作用和AD政务司司长的角色。

D.先加入的Active Directory轻型目录服务（AD LDS）中的作用..

答案：B 科：（无）

说明/参考：

问题27

你有两个服务器名为Server1和Server2。这两种服务器都运行Windows Server 2008年。

Server1是配置为企业根证书颁发机构（CA）颁发。 Server2上安装联机响应角色服务。您需要配置服务器1，支持联机响应。你应该怎么做？

答：导入企业根CA证书。

b.配置证书分发点（CDP）扩展。 C.配置机构信息访问（AIA）扩展。

四Server2上的计算机帐户添加到CertPublishers组。

答案：C 科：（无）

说明/参考：

问题28

你的公司有一个域控制器运行Windows Server 2008年。域控制器具有备份功能安装。您需要执行非权威性还原杜曼使用现有的备份文件控制器。你应该怎么做？

答：启动到目录服务还原模式，并使用wbadmin恢复临界体积。二引导到目录服务还原模式，并使用备份管理单元来恢复临界体积三启动到安全模式，并使用wbadmin恢复临界体积

四进入安全模式启动，并使用备份管理单元来恢复临界体积

答案：A 科：（无）

说明/参考：

问题29

贵公司有一个Active Directory域。所有服务器运行Windows Server 2008。您部署证书颁发机构（CA）服务器。您创建一个新的全球安全组名为CertIssuers。你需要确保CertIssuers组的成员可以发出，审批和吊销证书。你应该怎么做？

答：证书管理器的角色分配给CertIssuers组。 B.将在证书发布服务器组CertIssuers组

c.运行certsrv，新增CertIssuers证书服务器的命令promt

d.运行附加成员membertype成员集CertIssuers通过使用Microsoft Windows PowerShell命令

答案：A 科：（无）

说明/参考：

问题30

你被分配到安装和运行的Active Directory轻型目录服务Certkiller.com安装了一个服务器。

（AD LDS）实例。做必要的配置后，您启动一个成功的AD LDS实例。现在，您需要创建在AD LDS的应用程序目录分区的新的组织单位。你应该怎么做才能在AD LDS的创建应用程序目录分区的新的OU？

答：要创建OU，使用dsmod命令欧

二雇用ADSI编辑管理单元来创建的AD LDS应用程序目录分区的OU。 C.创建dsadd欧通过执行命令的OU

D.创建通过使用Active Directory用户和计算机上的AD LDS的应用程序目录分区OU的管理单元。

答案：B 科：（无）

说明/参考：说明：

要创建在AD LDS的应用程序目录分区新的OU，您应该使用ADSI编辑管理单元。 ADSI编辑管理单元，在一个Microsoft管理控制台（MMC）中运行。默认的控制台包含ADSI编辑Adsiedit.msc中。

如果这个管理单元中没有您的MMC添加，您可以通过添加它通过添加/删除管理单元在MMC菜单选项，也可以从Windows资源管理器打开Adsiedit.msc中。

问题31

有100个服务器和2000的计算机在Certkiller.com总部出席。

DHCP服务是安装在两个节点的故障转移微软命名CKMFO，以确保服务的高可用性集群。这些节点被命名为CKMFON1和CKMFON2。

对一个物理CKMFO集群400 GB的容量共享磁盘。 200GB的容量配置单上的共享磁盘。

。 Certkiller.com决定主办CKMFON1一个Windows Internet命名服务（WINS）

DHCP和WINS服务将设在其他节点上。

使用高可用性向导，你开始创建集群节点上CKMFON1提供WINS服务组。该向导显示错误“没有磁盘可用”期间配置。

你应该执行哪个动作上配置存储卷CKMFON1成功添加WINS服务组CKMFON1？

答：备份上CKMFON1单个卷上的所有数据和配置具有GUID分区表磁盘并创建两个卷。还原一个卷上的备份数据，并使用WINS服务组中的其他

B.添加新的物理共享磁盘群集的CKMFON1和配置一个新的卷。使用此卷修复向导中的错

误。

C.添加新的物理共享磁盘CKMFON1和EMBFON2。这些磁盘上配置和直接CKMOFONI卷使用WINS服务组CKMFON2量

四添加和配置现有的共享磁盘上的空间具有400GB的新卷。使用此卷修复向导中的错误五以上皆非

答案：B

32.

Certkiller.com服务器运行Windows Server 2008年。它有一个单一的活动目录域。所谓CK4服务器具有文件服务角色安装。您安装一些额外的存储磁盘。磁盘都配置为显示在展览。

为了支持数据校验剥离，你必须创建一个新的驱动器卷。你应该怎么做才能达到这个目标？

答：建立一个新的跨区卷，并结合Disk0上的Disk1 B.创建另一个磁盘上，加入一个新的RAID - 5卷。 C.创建结合磁盘1和磁盘2的新的虚拟卷

四建立一个新的结合Disk0上的带区卷和磁盘2

答案：B

问题33

Certkiller问你实现域中的Windows CardSpace的。你想用你家的Windows CardSpace的。你的家庭和办公室的计算机上运行的Windows Vista旗舰版。

你应该怎么做创建的Windows CardSpace的卡备份副本，在家中使用？

a.登录您的USB驱动器与您的管理员帐户和拷贝\\的Windows \\ ServiceProfiles文件夹二备份\\的Windows \\全球化通过使用备份文件夹中的地位和保存在您的USB驱动器的文件夹

三备份通过使用您的USB驱动器的备份系统状态数据状态工具

D.采用Windows CardSpace的应用程序来备份您的USB驱动器的数据。五重新格式化C：盘楼以上皆非

答案：D 科：（无）

说明/参考：

问题34

Certkiller.com对主网运行Windows Server 2008服务器。它也有两个域控制器。活动目录服务运行在名为CKDC1一个域控制器。你必须执行CKDC1无需重新启动服务器的Windows Server 2008的关键更新。

你应该怎么做执行无需重新启动服务器CKDC1脱机关键更新？

A.启动对CKDC1的Active Directory域服务 b.断开从网络启动Windows更新功能

C.停车的Active Directory域服务和安装更新。安装更新后启动Active Directory域服务。 D.停止活动目录域服务和安装更新。从网络上断开，然后再次连接五以上皆非

答案：C 科：（无）

说明/参考：说明：

要执行不需要重新启动服务器CKDC1离线关键更新，你应该停止在Active Directory域服务和安装更新。安装更新后启动Active Directory域服务。通过停止活动目录域服务，你不需要重新启动服务器。

这些更新是相关的，所以当你停止CKDC1 Active Directory域服务并启动后，再次更新安装到Windows Server 2008，服务器将执行一个正常的方式。

35个问题

分公司的Certkiller远程分支机构之一，是运行Windows Server 2008的准备后仅域控制器（RODC）installed.For安全理由，您不希望像一些关键的凭据（密码，加密密钥）被存储在RODC上。

你应该怎么做，使这些凭据不会复制到林中的任何RODC上的？（选择2）

A.配置RODC的过滤属性设置在服务器上

B.配置RODC的过滤设置在服务器上保存架构操作主机角色。

三为代表的本地管理权限的RODC任何未经授权的域用户的域用户的任何用户权限 D.配置的Windows Server 2008林功能级别的服务器来配置筛选的属性集。五以上皆非

答：屋宇署科：（无）

说明/参考：说明：

为了确保关键凭据不会复制到林中的任何RODC上的，你需要首先配置一个过滤属性集。认为在RODC的过滤属性集定义的属性，不得复制到林中的任何RODC的。你需要再配置的RODC筛选的服务器上保存架构操作主机角色，因为RODC的过滤属性集保存在服务器上的架构操作主机角色的配置设置。

您需要使用Windows Server 2008的森林功能级别的服务器来配置RODC的过滤属性集，因为可以从WindowsServer2003域控制器复制到RODC筛选的属性定义的恶意用户和复制请求可能会成功设置的属性配置。

但是，如果林功能级别是Windows Server 2008服务器，然后一个RODC是损害不能以这种方式剥削因为域控制器上运行WindowsServer2003不会允许在森林中。

参考：公元点心：只读域控制器/ RODC的过滤属性集http://technet2.microsoft.com/windowsserver2008/en/library/ce82863f444f-9bb3- ecaf649bd3dd1033.msp

问题36

Certkiller.com有一个Active Directory权限管理服务（AD RMS）的服务器上安装服务器。用户在使用Windows Vista的计算机上安装它们与Active Directory在Windows Server 2003功能级别安装的域。在Certkiller.com作为管理员，你发现，用户无法从AD RMS的效益，以保护他们的文件。您需要配置AD RMS来使用户能够使用它，并保护他们的文件。您应该做些什么来实现这个功能？

A.配置在Active Directory域服务（AD DS）为每个用户的电子邮件帐户。 B.添加和配置用户计算机上的本地管理员组ADRMSADMIN帐户 C.添加和配置AD RMS服务器的本地管理员组的ADRMSSRVC帐户四重新安装在用户计算机上的Active Directory域 E.所有以上

答案：A 科：（无）

说明/参考：说明：

要配置AD RMS来使用户能够使用它，并保护他们的文件，你应该为每个用户配置在Active Directory域服务（AD DS）的电子邮件帐户。

为了规范享有权利保护的所有广告在AD RMS的用户内容森林局副局长，AD RMS的必须使用AD DS中。

AD RMS的牌照，可不予发布和使用权保护的内容，如果不提供的AD DS与AD RMS的工作。

你不应该添加和配置用户计算机上的本地管理员组ADRMSADMIN帐户，因为需要的AD DS为AD RMS的正常运作。参考：

http://technet2.microsoft.com/windowsserver2008/en/library/c8f83d5b-e10d-4c31-8af9- d2afb076dbf81033.mspx

第37个问题

Certkiller.com有一台域活动目录森林。

Certkiller需要一个分布式应用程序，采用了自定义应用程序。该应用程序目录分区的软件名为PARDAT。你需要实现这个数据复制应用程序。

哪你应该使用两个工具来实现这个任务吗？（选择两个答案。答案是一个完整的解决方案的一部分）

答：Dnscmd。二Ntdsutil中。三Ipconfig 四Dnsutil E.所有以上

答：AB型科：（无）

说明/参考：说明：

要实现数据复制应用程序，你应该使用Dnscmd和Ntdsutil的工具。该DnsCmd命令显示和修改的DNS伺服器，区域和资源记录的属性。通过dnscmd，你可以手动修改这些属性，创建和删除区域和资源记录和物理内存之间的DNS服务器和DNS数据库和数据文件复制事件的力量。您可以实现PARDATA申请，并通过dnscmd它。

Ntdsutil工具是一个命令行实用工具，为Active Directory提供管理设施。您可以创建应用程序目录分区使用此工具。该工具有一个菜单，允许您执行多个管理的系列任务。 Ntdstul安装在systemroot \\ System32文件夹。它可以通过命令提示符。

问题38

Certkiller已经与六个领域的Active Directory目录林。公司拥有5个地点。该公司需要一个新的分布式应用程序，使用一个自定义应用程序目录分区命名为数据复制ResData。该应用程序是安装在一台成员服务器上的五个地点。

您需要配置的五个成员服务器收到ResData应用数据复制目录分区。你应该怎么做？

a.运行的五个成员服务器Dcpromo实用工具。 b.运行的五个成员服务器regsvr32命令 c.运行的五个成员服务器网站管理命令 d.运行的五个成员服务器RacAgent效用

答案：A 科：（无）

说明/参考：说明：

要配置的五个成员服务器收到ResData应用数据复制目录分区，你需要运行在服务器上的五个成员Dcpromo实用工具。

ApplicationPartitionsToReplicate：“”与分区名称与Dcpromo的参数可以用来指定应用程序目录分区的Dcpromo将复制。参考：Dcpromo的http://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee7822a- 06fc2365a1d21033.msp

问题39

在Certkiller.com作为管理员，您已安装的Active Directory林中只有一个域。您已安装在域成员服务器的Active Directory联合身份验证服务（AD FS）。

你应该怎么做的AD FS配置，以确保AD FS的令牌包含从活动目录域的信息？

A.添加一个新帐户存储和配置。 B.添加新的资源配置它的合作伙伴和 C.添加新的资源存储和配置

D.先加入一个新的AD FS的管理员帐户和配置 E.五以上皆非

答案：A 科：（无）

说明/参考：说明：

为了确保AD FS的令牌包含从Active Directory域的信息，你应该添加一个新帐户并配置相应的存储。要添加一个新帐户店，你可以使用AD FS的控制台。通过扩大我的组织，你右键点击帐户储存，并创建一个新帐户存储。在添加帐户存储向导将指导整个过程。

40个问题

Certkiller.com其服务器上运行的所有窗口服务器2008年。它有一个单一的活动目录域，它使用企业证书颁发机构。在Certkiller。com安全政策使我们有必要审查撤销证书信息。您需要确保已撤销证书的信息可在任何时候可用。您应该做些什么来实现呢？

答：添加和配置一个新的GPO（组策略对象），使用户能够接受同行证书和GPO链接到域。 B.配置和使用GPO来发布一个受信任的证书颁发机构的域名列表 C.配置和发布一个OCSP（在线证书状态协议），通过日本宇宙航空研究所（互联网安全和加速服务器）阵列响应程序。

D.使用网络负载平衡和发布OCSP响应。 E.五以上皆非

答案：D 科：（无）

说明/参考：说明：

为确保已撤销证书的信息可在，你应该使用网络负载平衡和发布OCSP响应。 OCSP的是一个在线应答器，可以接收请求的证书吊销检查，而无需下载整个CRL的客户端。这一进程的加快证书吊销检查并减少网络带宽此过程中使用。这可能是有用的，尤其是当这样的检查是通过慢速WAN链接下跌

问题41

您的公司中，Contoso有限公司，已在北美和欧洲设有办事处。 Contoso有一个Active Directory林中有三个域。您需要降低要求从labs.eu.contoso.com验证域用户，当他们在eng.na.contoso.com域访问资源的时候。你应该怎么做？

答：减少对所有连接对象复制间隔。

B.减小为DEFAULTIPSITELINK站点链接复制时间间隔。

C.设置一个单向的快捷信任来自eng.na.contoso.com到labs.eu.contoso.com。 D.设置一个单向的快捷信任来自labs.eu.contoso.com到eng.na.contoso.com。

答案：C 科：（无）

说明/参考：

一个单向的，来料，快捷信任允许在域（您登录到的时候，您运行的新信托向导域）的用户更快地访问另一个域中的资源（这是嵌套在另一个域树）在您的森林。例如，如果你是sales.wingtiptoys.com和在该领域的用户需要访问的marketing.tailspintoys.com域中的资源（这是树的根域的子tailspintoys.com域）管理员，您可以使用此程序建立一方的关系，以便在您的域中的用户可以更快速地存取marketing.tailspintoys.com域资源。

您可以通过使用新的信任向导在Active Directory域和信任关系或使用netdom命令行工具该快捷方式的信任。

42个问题

贵公司有一个Active Directory域。您登录到域控制器。 Active Directory架构管理单元未

在Microsoft管理控制台（MMC）提供。您需要访问Actrve Directory架构管理单元。你应该怎么做？

答：注册Schmmgml.dll。

二注销并登录使用的帐户，它是架构管理员组的成员了。

C.使用Ntdsutil.exe命令连接到架构主机操作主机和开放的写作模式。

D.先加入的Active Directory轻型目录服务（AD LDS）中的作用，通过使用服务器管理器的域控制器。

答案：A 科：（无）

说明/参考： Regsvr32

寄存器。在注册表命令组件DLL文件。

43. 您的公司有一个名为contoso.com的Active Directory域。该公司网络的DNS服务器有两个名为DNS1和DNS2。

的DNS服务器被配置为下表所示。

域用户，谁被配置为使用DNS服务器作为首选DNS2，都无法连接到互联网网站。

您需要启用Internet的所有客户端计算机的名称解析。

你应该怎么做？

A.创建一个对DNS1的。（根）区域的副本。 B.最新的根提示服务器列表上DNS2。

C.最新配置上DNS2上DNS1条件转发的Cache.dns文件。 d.删除了。（根）由DNS2区。条件转发配置上DNS2。

答案：D

说明/参考：删除。（根）区

当您安装在Windows 2008服务器的DNS没有连接到互联网，该域的区域创建

和一个根区域，也称为点区域，也是创建。这个根区域可能防止DNS和DNS的客户端访问互联网。如果有一个根区域，没有比那些与DNS中列出的其他其他区域，并且您不能配置转发器或根提示服务器。基于这些原因，您可能必须删除根区域。

配置DNS服务器转发

你可以使用这个程序来配置域名系统（DNS）服务器转发器。

当您添加一个新的域控制器是DNS服务器，如果您的网络使用递归名称解析转发，配置DNS服务器的转发方法是在网络上建立了基于转发器。当转发器配置，DNS服务器，接收了一个名字，这就是它不具有权威性转发到而不是使用根提示DNS转发器的DNS查询请求。如果您的网络使用代理，使用DNS管理单元中添加新的域控制器的适当代理。如果您希望在新的域控制器上的转发DNS后缀是根据不同的查询中指定的服务器查询DNS服务器服务，配置适当的条件转发。

问题44

你的公司有一个单一的活动目录域.所有域控制器运行Windows Server 2003服务器上安装的Windows Server 2008。您需要添加在贵domain.域控制器，你应该先做新的服务器？

答：在新服务器上，运行dcpromo /ADV。

B.在新的服务器，运行dcpromo / createdcaccount。在域控制器上运行adprep/ rodcprep。

D.在域控制器上，运行adprep / ForestPrep的。

答案：D 科：（无）

说明/参考：

运行adprep / ForestPrep的

扩展Active Directory ?架构和更新的权限必须准备在林中的一个域控制器运行Windows Server ? 2008作业系统领域。

Adprep.exe的是一个命令行工具，可从Windows Server 2008中的\\ Sources安装光盘\\ adprep资料夹，它可在Windows Server 2008 R2中的\\ Support \\ adprep资料夹安装盘。你必须从提升的命令提示符运行adprep。要打开一个提升的命令提示符，单击开始，右键单击命令提示符，然后单击作为管理员运行。

问题45

贵公司有一个Active Directory域。所有服务器运行Windows Server 2008年。您的公司使用了一个企业根证书颁发机构（CA）。您需要确保吊销证书信息的高可用性。你应该怎么做？

答：实施一个在线证书状态协议（OCSP）响应通过使用网络负载平衡。

B.实现联机证书状态协议（OCSP）响应通过使用互联网安全和加速服务器阵列。

三发布信任的证书颁发机构的列表到域通过使用组策略对象（GPO）。

，允许用户信任等证书。链接到域的GPO。 D.创建一个新的组策略对象（GPO）

答案：A 科：（无）

说明/参考：

OCSP的支持是什么呢？

在网上的人使用的分发随着CRL的使用OCSP响应，是两个用来传达信息的证书的有效性的常用方法之一。不同的CRL，分布定期包含有关所有已撤销或暂时吊销证书的信息，在线响应接收和响应来自大约只有一个单一的证书状态信息的客户端的请求。每个请求检索数据量保持不变，不管有多少吊销证书的可能。

在许多情况下，可以处理网上急救员证书的状态比要求更有效地使用的CRL。例如：客户端连接到远程网络，要么不需要，也没有高速下载大型CRL的要求连接。

一个网络需要处理大峰撤销检查活动，例如，当大量用户登录或发送签名的电子邮件同步。一个组织需要一个有效的手段来分发从非Microsoft CA颁发的证书吊销数据。

组织希望，只提供必要撤销检查，以验证个人证书状态请求，而不是做出关于撤销或暂时吊销证书的所有可用的信息数据。

谁将会对此功能感兴趣的？

此功能适用于组织有一个或多个Windows为基础的核证机关的PKI。

添加一个或多个在线急救员能显着增强的灵活性和一个组织的PKI可扩展性，因此，此功能都应当关心PKI的建筑师，规划师，和行政人员。

为了安装一个联机响应，你必须是所在联机响应将被安装计算机的管理员。

问题46

你有一个Windows Server 2008企业根CA。安全策略禁止443端口和80端口被打开，在域控制器上颁发CA。你需要让用户请求从Web界面证书。您安装ADCS的角色。下一步你应该怎么做？

答：在成员服务器上配置联机响应角色服务。 b.配置联机响应角色服务在域控制器。

C.配置证书颁发机构Web注册角色服务在成员服务器上。 D.配置证书颁发机构Web注册角色服务在域控制器。

答案：C 科：（无）

说明/参考：

Active Directory证书服务（AD CS）的Web注册支持可安装在任何运行Windows Server 2008 R2的标准版，Windows Server 2008 R2的企业版，Windows Server 2008 R2的数据中心，Windows Server 2008的标准版，Windows Server 2008企业版或Windows Server 2008的计算机数据中心。证书注册数据可以来自一个认证机构在运行Windows Server

（加利福尼亚州）的Windows Server 2008或Windows Server 2003，2008 R2的计算机上，

或从非微软的CA。

下面的过程也可以使用的AD政务司司长的角色服务（如加利福尼亚州）都没有被这台计算机上安装。

Domain Admins的成员资格或同等，须以完成此过程的最低要求。有关详细信息，请参阅实现基于角色的管理。

要安装Web注册支持

单击开始，指向管理工具，然后单击服务器管理器。

单击管理角色。在活动目录证书服务，单击添加角色服务。如果政务司司长的角色不同的广告服务已在此计算机上安装，选择Active Directory中的作用摘要窗格证书服务复选框，然后单击添加角色服务。

在选择角色服务页，选择证书颁发机构Web注册复选框。点击添加所需的角色服务，然后单击下一步。

在指定CA页上，如果一个CA不在此计算机上安装，点击浏览选择你想要的CA Web注册与关联，单击确定，然后下一步。

单击下一步，查看信息列出，并再次单击下一步。在确认安装选项页，单击安装。

当安装完成后，查看状态页以验证安装是否成功。其他考量

注册页的Web安装配置作为登记机关的计算机。这台计算机也被称为“CA的Web代理”或“Web注册站”。

问题47

您的公司使用Windows 2008企业证书颁发机构（CA）来颁发证书。您需要执行关键存档。你应该怎么做？

答：在服务器上存档私钥。

B.申请的Hisecdc安全模板到域控制器。

C.配置为计算机中存储加密的文件自动注册证书。

D.安装企业从属CA证书，发给用户的加密文件的用户。

答案：A 科：（无）

说明/参考：

Active Directory证书服务（AD CS）需要密钥恢复代理证书，交换（XCHG）证书和密钥，以支持密钥存档。在密钥恢复代理证书，XCHG证书，并且需要创建它们的加密服务提供商（CSP）的运作是至关重要的公钥基础设施。

问题48

贵公司有一个Active Directory域。您打算安装在成员服务器上运行Windows Server 2008的Active Directory证书服务（AD CS）的作用。你需要确保帐户操作员组的成员能够发放智能卡凭据。他们应该不能撤销证书。哪三个动作，你应该执行？（每一个正确的答案提出解决方案的选择三个部分。）

答：安装ADCS的角色和配置企业根CA作为它。 B.安装在ADCS的角色，并配置它作为独立的CA。 c.对于智能卡登录证书的帐户操作员组限制招生代理。 D.用于智能卡登录证书到证书限制帐户操作员组的经理。 E.创建一个智能卡登录证书。 F.创建一个注册代理证书。

答：ACE的科：（无）

49. 您的公司有一个名为contoso.com的Active Directory域。该公司网络的DNS服务器有两个名为DNS1和DNS2。

的DNS服务器被配置为下表所示。问题49

你的公司有一个服务器运行Windows Server 2008年。认证服务被配置为一个独立证书颁发机构（CA）在服务器上。需要审计更改CA配置设置和CA安全设置。哪两个任务，你应该执行？（每一个正确的答案提出解决方案的一部分。选两项）。

A.配置在审核认证服务管理单元。

B.成功和失败的尝试启用审核改变在％的SYSTEM32％\\ CertSrv目录文件的权限。

C.成功和失败的尝试启用审核写入文件在％的SYSTEM32％\\ CertLog目录。 D.启用审核对象访问本地安全策略设置服务器的认证服务。

答：AD 科：（无）

说明/参考：稽核认证服务

此安全策略设置确定操作系统是否生成事件当Active Directory证书服务（AD CS）的操作执行，如：

公元政务司司长启动，关闭，被备份或恢复。证书撤销列表（CRL）的有关任务的执行。证书的要求，发行，或撤销。

AD的政务司司长证书管理器设置被更改。

配置和认证机构（CA）属性被改变。公元政务司司长模板修改。证书是进口的。

CA证书发布到Active Directory域服务。

政务司司长的角色服务的AD安全权限被修改。密钥存档，导入或检索。

OCSP响应服务已启动或停止。

这些业务活动监视重要的是要确保广告政务司司长的角色服务运作正常。活动量：低到中等公元政务司司长在托管服务器角色服务默认值：未配置

审核对象访问设置

此安全设置确定是否审核了一个用户访问一个对象的事件 - 例如，一个文件，文件夹，注册表项，打印机，等等 - 有它自己的系统访问控制列表（SACL）的规定。

如果你定义这个策略设置，您可以指定是否审核成功，审核失败或根本不审核此事件类型。成功审核会生成一个审核项，当用户成功访问的对象，有一个适当的SACL指定。失败审核会生成一个审核项，当用户试图访问失败的对象已经指定了SACL。

要设置此策略设置此值，在无审核属性对话框中，选中定义这些策略设置复选框，并清除成功和失败复选框。请注意，您可以设置一个文件系统对象使用该对象的属性对话框的安全选项卡上的SACL。

默认：无审核。配置此安全设置

您可以配置此安全通过打开适当的政策和扩大这种控制台树设置：计算机配置\\ Windows设置\\安全设置\\本地策略\\审核策略\\

问题50

贵公司有Active Directory林包含多个域控制器。域控制器运行Windows Server 2008年。

您需要执行的权威性还原已删除的orgainzational单位及其子对象。

哪四个行动应在执行顺序？（回答，移动从的答复领域的行动清单中相关的四个动作，并安排他们在正确的顺序。）

Answer:

科：（无）

说明/参考：

问题51

您的网络由一个单一的Active Directory域中的所有域控制器都运行Windows Server 2008年。您需要捕获的所有域控制器上的所有复制错误到中央localion你应该怎么做？

A.配置事件日志订阅。

b.启动系统的性能数据收集器集。

c.启动Active Directory诊断数据收集器集。

D.安装网络监视器，并创建一个新的一个新的捕获。

答案：A

科：（无）

说明/参考：

问题52

您需要删除名为DC1的域控制器的Active Directory域服务角色。你应该怎么做？

a.运行的Netdom删除DC1的命令

二运行nltest / remove_server：DC1的命令

c.运行Dcpromo实用工具。删除Active Directory域服务角色。

四重置域控制器使用Active Directory用户和计算机实用工具的计算机帐户。

答案：C 科：（无）

说明/参考：

问题53

贵公司有一个Active Directory域运行Windows Server 2008的销售OU包含对计算机的OU中，一个组的OU，并为用户您执行夜间备份的OU。管理员删除的组的OU您需要还原，而不影响销售欧，你应该怎么做用户和计算机组的OU？

答：执行权威性恢复销售的OU。 b.执行权威性还原组的OU。 C.进行非权威性还原组的OU。 D.执行非权威性还原销售的OU。

答案：B 科：（无）

说明/参考：

问题54

你需要找出所有域控制器上的失败的登录尝试。你应该怎么做？

a.运行事件查看器。

b.查看的Netlogon.log文件。 c.运行安全和配置向导。

四上查看域控制器的计算机对象的安全标签。

答案：A 科：（无）

说明/参考：

问题55

你的公司有一个域控制器运行Windows Server 2008年。该服务器是备份服务器。该服务器有一个500 GB硬盘，其中有对操作系统，应用程序和数据三个分区。您执行每日备份的服务器。硬盘出现故障。您更换一个新的相同容量的硬盘硬盘。您重新启动计算机上安装媒体。您选择修复计算机的选项。你需要恢复的操作系统和所有文件。你应该怎么做？

A.选择启动修复选项。 B.选择系统还原选项。

C.运行在命令回滚工具提示。

d.运行在命令Wbadmin实用提示。

答案：D 科：（无）

说明/参考：

问题56

您的网络由一个单一的活动目录域。森林的功能级别是Windows Server 2008年。您需要创建在您的域用户的多个密码策略。你应该怎么做？

答：从架构管理单元，创建多个类架构对象。

b.编辑从ADSI的管理单元，创建多个密码设置对象。 C.从安全配置向导，创建多个安全策略。

D.从组策略管理单元中，创建多个组策略对象。

答案：B 科：（无）

说明/参考：

问题57

您的公司有一个活跃的目录林。每个分支办事处有一个组织单位和子组织单位命名销售。销售组织单位包含所有用户和销售部门的计算机。你只需要安装在销售组织单位的电脑的Office 2007应用程序。您创建一个名为SalesApp的GPO的GPO。下一步你应该怎么做？

A.配置的GPO应用程序分配到计算机帐户。链接到域的GPO SalesAPP。 B.配置的GPO应用程序分配给用户帐户。环线SalesAPP的GPO在每个位置的销售组织单位。

C.配置的GPO来发布到用户帐户申请。环线SalesAPP的GPO在每个位置的销售组织单位。

D.配置的GPO应用程序分配到计算机帐户。环线SalesAPP的GPO在每个位置的销售组织单位。

答案：D 科：（无）

说明/参考：

问题58

作为管理员，您的Certkiller在偏远地点安装了一个只读域控制器（RODC）服务器。

地处偏远山区，没有提供足够的服务器的物理安全性。

你应该怎么做，让管理帐户的身份验证信息复制到只读域控制器？

A.拆下从RODC上的组中的任何管理帐户 B.添加到域管理帐户允许RODC密码复制组

C.设置拒绝对接收为RODC上的计算机帐户管理帐户的安全选项卡为组策略对象（GPO）的权限

D.配置一个新的组策略对象（GPO）的设置与启用帐户锁定。链接到远程位置的GPO。激活阅读允许和应用组策略允许在GPO的安全性选项卡的管理员权限。

五以上皆非

答案：B 科：（无）

说明/参考：说明：

为了让管理帐户的身份验证信息复制到只读域控制器，你需要添加到域管理帐户允许RODC密码复制组。

默认情况下，只有在允许RODC密码复制组的成员可以验证信息复制到只读域

控制器。实际的复制会发生只有当该组的成员是由RODC的身份验证。请注意，管理员组明确拒绝这种复制。

参考：安全最有价值球员本月文章 - 2007年12月/物理安全

http://www.microsoft.com/technet/community/columns/secmvp/sv1207.mspx

问题59

Certkiller。com提升一两个节点的网络负载平衡群集这是所谓的网络。 CK1。com。此群集的目的是为了提供负载平衡和内联网网站仅高可用性。

与监控群集，你发现，用户可以查看他们的网络邻居中的网络负载平衡群集，他们可以用它来连接网络的名称使用各种服务。 CK1。com。

你还会发现，世界上只有一个端口规则为网络负载平衡群集配置。

您必须配置网络。 CK1。com NLB群集只接受HTTP流量。哪你应该执行两个操作，实现这个目标？（选择两个答案。每个答案是完整的解决方案的一部分）

答：通过使用网络负载平衡群集控制台上的TCP端口80的新规则 B.运行在群集节点上的WLBS的禁用命令

三为NLB群集分配一个唯一的端口使用NLB群集控制台规则 d.删除通过网络负载平衡群集的默认控制台端口规则

答：广告科：（无）

说明/参考：说明：

要配置网络。 CK1。com NLB群集只接受HTTP流量，你应该首先创建使用NLB群集控制台重新TCP端口80的规则。然后你应该删除通过NLB群集的默认端口规则控制台。通过创建一个TCP端口80个新规则，您配置端口只接受HTTP流量。然后删除默认的端口规则确保这些规则不会被自动执行。

问题60

Certkiller。com有一个主要办事处和分公司。 Certkiller。com的网络由一个单一的活动目录林。一些在运行Windows Server 2008和Windows Server 2003中运行其他网络的服务器。你是在Certkiller管理员。您已安装的计算机上运行Windows Server 2008 com。

Active Directory域服务（AD DS）。该分公司位于身体不安全的地方。它不是

也没有在那里。您需要设置一个只读域控制器（RODC）IT人员的现场管理人员，

在服务器核心安装在分支办公室的电脑。

你应该怎么做才能安装RODC上的分支办公室的电脑？

答：执行一个安装AD DS的出席 B.执行AD DS的一个无人值守安装 c.执行RODC上通过的AD DS

四执行的AD DS通过部署AD DS的图像使用五以上都不对

答案：B 科：（无）

说明/参考：说明：

要安装程序在计算机中的分支机构RODC上，你应该执行AD DS的无人值守安装。 RODC是一个由Windows Server 2008的域控制器提供了新的类型。它是一个平台，承载了活动目录数据库的只读副本。

通过RODC上，你可以方便地部署在域控制器的物理安全的地点，如可能会危害分公司或外围网络。你可以在服务器上安装的Windows Server 2008核心安装RODC上。你需要一个域管理员组的成员，或是有权力来执行，以便安装RODC安装。要在服务器上安装RODC的核心系统，您需要执行AD DS的无人值守安装。在无人参与安装的主要目的是安装不响应用户界面的提示。你不应该执行安装AD DS的出席，因为你将不能够安装在Server Core安装RODC上。 AD DS的只有可以执行无人参与的安装安装RODC上。

问题61

您已安装Windows服务器上的一个组织中的2008活动目录联合服务（AD FS）的作用。现在，您需要测试网络中的客户端连接，以确保他们能够成功地达到新的联合服务器和联邦服务器运行正常。

你应该怎么做？（选择所有适用项）

a.转到服务选项卡，并检查是否活动目录联合服务正在运行 B.在事件查看器，应用，事件ID为674事件列看身份证。

C.打开一个浏览器窗口，然后键入新的服务联会联合服务器的URL。四以上皆非

答：公元前科：（无）

说明/参考：说明：

为了测试网络中的客户端连接，以确保他们能够成功地达到新的联合服务器和联邦服务器可以运行，你可以看看事件ID 674。此事件验证联合服务器是能够成功地同联邦通信服务。

您还可以打开一个浏览器窗口，然后键入新的服务联会联合服务器的URL。联邦服务器服务网页应该出现在关系的链接标识的Web方法，该联合会服务使用的清单。联合会服务的URL应该包括域名系统（DNS）主机的联合服务器的名称。

参考：事件ID 674 - 信托策略和配置

http://technet2.microsoft.com/windowsserver2008/en/library/71705c30-e97f-4e36-92ab- d33175bf588d1033.msp参考：验证一个联邦服务器可以运行http:// technet2.microsoft.com/windowsserver2008/en/library/ecf28b0c-014

问题62

Certkiller。com购买，将用于连接到无线网络笔记本电脑。您创建一个笔记本电脑的组织单位，并创建一个组策略对象（GPO）的利用和配置无线网络的批准的名称用户配置文件。您的GPO链接到笔记本电脑的组织单位。新的笔记本电脑用户向你抱怨他们无法连接到无线网络。

你应该怎么做强制组策略设置应用到无线笔记本电脑？

答：执行gpupdate /目标：计算机命令在命令提示符下笔记本电脑 B.执行添加网络指挥和离开的SSID（服务集标识符）空白 c.执行gpupdate /启动命令在命令提示符下笔记本电脑

D.连接笔记本电脑每到有线网络和笔记本电脑注销，然后重新登录。五以上皆非

答案：D 科：（无）

说明/参考：说明：

为执行上的笔记本电脑无线组策略设置，你应该每台电脑连接到有线网络和登录笔记本电脑。登录再执行组策略无线设置。当你把电脑连接到有线网络和注销，然后重新登录，无线设置组策略执行，用户可以连接到无线网络。

问题63

该Certkiller具有Windows 2008域控制器服务器。这个服务器是在例行备份从一个专用的备份服务器上运行Windows 2003操作系统的网络。

您需要准备的日常备份程序的灾难恢复域控制器分开。您将无法启动备份实用程序在试图为数据备份控制器的系统状态数据。

您需要备份系统从Windows Server 2008域控制器服务器的状态数据。你应该怎么做？

答：您的用户帐户添加到本地Backup Operators组

B.安装的Windows Server的备份功能使用服务器管理器功能。 C.安装可移动存储管理功能，使用服务器管理器功能

四停用备份作业，被配置在Windows 2003服务器备份Windows 2008 Server域控制器。五以上皆非

答案：B

科：（无）

说明/参考：说明：

备份系统从Windows Server 2008域控制器的服务器的状态数据，您需要在Windows Server备份toinstall功能使用服务器管理器功能。

Windows Server备份不是默认安装的。您必须使用安装在服务器管理器添加功能选项。参考：什么是新AD DS的备份和恢复？

http://technet2.microsoft.com/windowsserver2008/en/library/67f18955-c504-4d63-9f84- 9b8c25d428e81033.msp 问题64

贵公司的主要办公室和三个分公司。每个办公室都配置为一个单独的Active Directory站点，有它自己的域控制器。您禁用的帐户具有administratrve权利。你需要立即禁用的帐户信息复制到所有站点。什么是两种可能的方式来实现这个目标呢？（每一个正确的答案是一个完整的解决方案。选两项）。

A.使用Dsmod.exe配置为全局编录服务器的所有域控制器。 B.使用Repadmin.exe来迫使站点之间的连接对象复制

三控制台从Active Directory站点和服务，选择现有的连接对象和强制复制。四控制台从Actrve Directory站点和服务，配置为全局编录服务器的所有域控制器。

答：公元前科：（无）

说明/参考： Repadmin / syncall

同步复制与它的合作伙伴所有指定的域控制器。

默认情况下，如果没有目录分区是在参数提供，该命令执行的配置目录分区的操作。

Active Directory站点和服务

你可以使用这个程序来强制执行Active Directory复制两个域控制器之间发生在一次性的基础上，当您想要的修改，从服务器收到的其他网站早于该网站的链接的更改日程允许一个服务器上复制。作为替代方案，您可以同步所有复制伙伴的复制。

要强制通过连接复制

打开Active Directory站点和服务：在开始菜单上，指向管理工具，然后单击Active Directory站点和服务。

在控制台树中，展开站点，然后展开网站要力来自于更新的服务器复制。展开服务器容器，以显示其对目前该网站的服务器配置清单。

展开服务器对象，然后单击NTDS设置对象的显示在详细信息窗格中的连接对象。找一个服务器，有一个从服务器上所做的更新连接对象。

点击下面的服务器对象的NTDS设置。在详细信息窗格中，右键单击该连接对象，其从服务器是域控制器，具有更新，要复制，然后单击立即复制。当复制目前的讯息框出现时，查看信息，然后单击确定。问题65

贵公司有一个Active Directory域。公司拥有两个域控制器名为DC1和DC2。 DC1的架构主机角色担任DC1的失败，你登录使用管理员帐户Actrve目录。你是不是能够转移架构主机操作的角色。您需要确保DC2的持有架构主机角色。你应该怎么做？

答：注册Schmmgmt.dll。启动Active Directory架构管理单元。 B.配置DC2的一个桥头服务器 C.在DC2的，抓住架构主机角色

四注销并再次登录使用的帐户，它是架构管理员组的成员到Active Directory。启动Actrve Directory架构管理单元。

答案：C 科：（无）

说明/参考：抓住架构主机

您可以使用Ntdsutil.exe命令行工具来转移和抓住任何操作主机角色（也称为灵活的单主机操作或FSMO）。您必须使用Ntdsutil.exe抓住架构操作主机，域命名操作主机，并相对ID（RID）操作主机角色。当您使用Ntdsutil.exe来抓住一个操作主机角色，该工具首先尝试从目前的角色所有者的转移。如果当前角色所有者无法使用，该工具抓住的作用。

当您使用Ntdsutil.exe获取操作主机角色，这个过程几乎是相同的所有角色。如需使用Ntdsutil.exe的信息，请键入？ prompt命令：在Ntdsutil。问题66

您有一个现有的Active Directory站点命名的站点1。您创建一个新的Actrve Directory站点，并将其命名Site2.You需要配置站点1和Site2之间的Active Directory复制。您安装新的域控制器。您创建站点1和Site2之间的站点链接。下一步你应该怎么做？

答：使用Active Directory站点和服务控制台来配置一个新的站点链接桥的对象。 B.使用Active Directory站点和服务控制台来减少站点1和Site2之间的站点链接成本。 C.使用Active Directory站点和服务控制台来分配新的IP子网的站点2。将新的域控制器对象站点2。

D.使用Active Directory站点和服务控制台来配置作为首选的新的域控制器桥头服务器站点1。

答案：C 科：（无）

说明/参考：问题67

您的公司有一个活跃的目录林。不要在林中的所有域控制器配置为全局编录服务器。您的域结构包含一个根域和一个子域。您修改一个文件服务器，在子域中日是文件夹的权限。你发现，一些访问控制项开始与S - 1 - 5 - 21，也没有帐户的名称是上市。你需要列出该帐户的名称。你应该怎么做？

a.将在子域中的RID主机角色的域控制器，保存全局编录。 b.修改架构，使本friendlynames属性复制到全局编录。三将在子域的RID主机角色的域控制器不举行全局编录。四将在子域基础结构主机角色的域控制器不举行全局编录。

答案：D 科：（无）

说明/参考：问题68

Certkiller。com有域控制器运行Windows Server 2008年。该Certkiller。com网络提升40台Windows Vista客户端的机器。作为一个在Certkiller。com管理员，你要部署Active Directory证书服务（AD CS）的授权发行数字证书的网络用户。你应该怎么做来管理域从一个主力位置在所有的机器证书设置？

A.配置企业CA证书设置 B.配置企业信任证书设置 C.配置CA证书设置进展 D.配置组策略设置证书 E.所有以上

答案：D 科：（无）

说明/参考：说明：

要管理从一个主要位置中的所有机器在一个域名证书设置，你应该配置证书设置组策略。在证书设置组策略的主要特点是允许管理员管理从单一位置整个网络证书设置。当您配置证书使用组策略设置，它改变了整个域的设置。公元CS是证书服务，是一个在Windows Server 2008服务器角色类型。您可以使用服务器管理器来配置AD政务司司长。

问题69

关键服务上运行CKD20，域控制器。您已完成改制域的组织单位层次结构，并删除了不必要的对象。

你会怎么做来执行CKD20一对Active Directory数据库的脱机碎片整理，同时确保关键服务仍然上网吗？

A.打开Microsoft管理控制台（MMC）和停止域控制器服务。在此之后，运行碎片整理工具 b.启动在域控制器的目录服务还原模式和运行Ntdsutil工具 c.启动域控制器，然后使用碎片整理工具来启动重组

D.打开MMC和停止域控制器服务。在此之后，运行Ntdsutil工具。 E.所有以上

答案：D 科：（无）

说明/参考：说明：

要执行，同时确保关键服务保持联机CKD20一对Active Directory数据库的脱机碎片整理，你应该打开MMC和停止域控制器服务。然后，你应该运行Ntdsutil工具。 Ntdsutil中是一个命令行工具为Active Directory提供管理设施。

当你停止域控制器服务，关键的服务保持联机。然后，你应该运行Ntdsutil工具，将查出的数据文件的位置，工作目录和日志文件。你可以使用info命令，它是一种Ntdsutil命令行工具来找出数据文件，日志文件和工作目录位置的一部分。 info命令的分析和报告在计算机上安装的所有磁盘的可用空间，并读取注册表项联系的Active Directory位置文件和报告它们的值。问题70

Certkiller。com有一个主要的办公室在另一座城市和分支机构。你被分配到部署和实施只读域控制器（RODC）的分支机构。您部署一个RODC上运行Windows Server 2008年。你应该怎么做，以确保在分支机构的用户可以登录到域使用RODC的？

A.使用的RODC上的密码复制策略 B.添加RODC的主要写字楼

三部署和配置一个新的分支办公室的桥头服务器四部署和配置在主办公室的RODC上的密码复制策略

答案：A 科：（无）

说明/参考：说明：

为了确保在分支办公室的用户可以登录到域使用RODC时，你应该使用密码复制策略。 RODC上不缓存任何用户或计算机的密码。您可以通过添加一个通过每个RODC的独特的密码复制策

略（PRP）的政策这一点。政策将创造一个RODC的每个分支机构，加入该集团分公司的用户。管理员的话，可以允许的密码分支机构组复制。问题71

Certkiller。com有一个服务器在Windows Server 2008上运行。该服务器也有一个Active Directory轻型目录服务（AD LDS）中运行的实例。

为了测试AD LDS的，你需要复制位于网络上一台测试计算机的AD LDS实例。你应该怎么做才能达到这个目标？

答：执行的AD LDS在测试计算机上安装程序向导来创建并安装AD LDS的翻版。 B.执行repadmin /旅馆<服务器名称测试计算机上的命令

C.安装和配置复制一个新的广告在测试计算机LDS实例和测试计算机上粘贴整个分区四执行测试计算机上的命令，并创建一个Dsmgmt命名上下文

答案：A 科：（无）

说明/参考：说明：

要复制位于网络上一台测试计算机的AD LDS实例，你应该在测试计算机上执行的AD LDS安装向导创建并安装AD LDS的翻版。这是唯一的方法复制网络上的其他计算机上的AD LDS实例。安装向导可以选择到另一台计算机上复制的AD LDS实例。

72个问题

你需要验证是否成功的Active Directory域控制器间复制。你应该怎么做？

a.运行DSget命令。 B.运行的dsquery命令。 C.运行Repadmin命令。

d.运行Windows系统资源管理器。

答案：C 科：（无）

说明/参考：问题73

贵公司有一个Active Directory域。主要写字楼有DNS服务器名为DNS1是与Active Directory集成的DNS配置。分支办公室有一个DNS服务器，它包含一个名为DNS2的区域文件从DNS1次要副本。这两个办事处都与一个不可靠的广域网链接。您添加新的服务器到总公司。五年后添

加服务器，从分支办事处的报告，他们是无法连接到新服务器的用户分钟。你需要确保用户能够连接到新服务器。你应该怎么做？

答：清除在DNS2缓存。二刷新了DNS1区。三刷新上DNS2区。

四，从出口和进口的DNS1区不同区域的DNS2。

答案：C 科：（无）

说明/参考：问题74

你的公司有两个名为Forest1 Active Directory林和Forest2。森林和域功能级别的Forest1功能级别设置为Windows Server 2008。在森林中Forest2功能级别设置为Windows 2000，并在Forest2域功能级别设置为Windows Server 2003。您需要设置一间Frorest1和Forest2传递林信任。首先你应该怎么做？

答：提升林功能级别的Forest2到Windows Server 2003过渡模式。二提升林功能级别的Forest2到Windows Server 2003。在Forest2三升级域控制器到Windows Server 2008。四在Forest2升级域控制器到Windows Server 2003。

答案：B 科：（无）

说明/参考：问题75

Certkiller是有一个Active Directory权限管理服务（AD RMS）的服务器。

用户机器运行的是Windows Vista和一个Active Directory域配置微软Windows Server 2003功能级别。用户抱怨他们无法保护自己的文件。

您需要配置AD RMS的让用户能够保护他们的文件。你应该怎么做？

A.使用组策略来安装AD RMS客户端计算机

b.添加ADRMSADMIN帐户到本地管理员组的计算机上 c.添加ADRMSSRVC帐户上的AD RMS服务器上的本地管理员

四，建立在Active Directory域服务（AD DS）的电子邮件为每个用户帐户五升级活动目录域的功能级别的Windows 2008服务器

答案：D 科：（无）

说明/参考：说明：

要配置AD RMS的让用户能够保护他们的文件，你可以为每个用户建立在Active Directory域服务（AD DS）的电子邮件帐户。

将ADRMS可以启用的微软的Word，Outlook或Microsoft PowerPoint中的Office2007，可用于访问外部组织或发送信息的应用程序。对于额外的安全性，可集成将ADRMS，如智能卡等技术。

参考：Active Directory权限管理服务概述

http://technet2.microsoft.com/windowsserver2008/en/library/74272acc-0f2d-4dc2-876f- 15b156a0b4e01033.msp 问题76

Certkiller。com已在Active Directory域组织单位。有10个组织单位称为安全服务器。作为一个在Certkiller。您生成一个组策略对象（GPO），并将其链接到安全的组织单位。com管理员，你应该怎么做监控网络连接，组织单位在安全的服务器？

a.启动审核对象访问选项 b.启动审计系统事件选项 c.启动审核登录事件选项 d.启动审核过程跟踪选项 E.所有以上

答案：C 科：（无）

说明/参考：说明：

要监视的网络连接，组织单位在安全的服务器，你应该开始审核登录事件选项。审核登录事件是一个安全设置，决定是否审核每一个从计算机记录或关闭用户实例。

基本上，该帐户登录事件在域控制器上生成监测活动的域帐户和本地计算机上的本地帐户活动。如果同时启用两个帐户登录和登录审计策略类，域帐户登录会生成一个登录或注销事件是发生在服务器或工作站，他们将生成一个登录或注销域控制器上的事件。所以如果你开始审核登录事件选项，您将能够在安全监察组织单位的网络连接到服务器。

问题77

你实在是一个Certkiller管理员。（只com。 Certkiller已在RODC上的远程位置读域控制器）服务器。地处偏远山区，没有适当的人身安全。您需要激活该服务器的非RODC的管理帐户密码。下面的行动应该被视为填充非RODC的管理帐

户密码的服务器？

A.删除从RODC的组中的所有管理帐户

B.配置的权限，拒绝对接收的群策略对象（GPO）的安全标签管理帐户 C.配置管理帐户被添加到域组复制RODC的密码被拒绝

D.先加入一个新的GPO并启用帐户锁定设置。其链接到RODC的服务器和远程对GPO安全选项卡，选中允许读取和应用组策略权限的管理员。五以上皆非

答案：C 科：（无）

说明/参考：说明：

要填充与非管理帐户密码RODC的服务器，你应该配置管理帐户将在RODC密码域组复制将被拒绝。

密码复制策略就像是一个访问控制列表。如果RODC验证它允许缓存密码。当RODC上收到用户或计算机的登录请求，转发到密码复制的政策要求，以确定是否该帐户的密码应该被缓存。当密码复制策略允许RODC上缓存一个密码，相同的帐户可以进行更有效的方式后续登录。

对于非管理密码，你必须添加在RODC的管理帐户密码复制否认组，以便该密码可以不被缓存。密码复制策略列出了允许被缓存的帐户以及所否认帐户被缓存。

问题78

Certkiller。com有一个网络，它是一个单一的活动目录域组成。

作为一个在Certkiller。com管理员，您的服务器上安装运行Windows Server 2008 Active Directory轻型目录服务（AD LDS）中。启用安全套接字层（SSL）的连接到AD LDS伺服器，您从一个值得信赖的认证机构（CA）对AD LDS服务器和客户端计算机证书。

你应该使用何种工具来测试与AD LDS的证书？

答：自民党。exe文件二活动目录域服务三Ntdsutil.exe的四激光器的。exe 五wsamain.exe 楼以上皆非

答案：A 科：（无）

说明/参考：说明：

为了测试与AD LDS的证书，您应该使用Ldp工具。建立SSL连接到AD LDS，证书应在服务器上。要设置为AD LDS的SSL时，一个证书服务器从受信任的CA认证标志应安装在运行AD LDS的电脑。

要测试具有AD LDS服务器证书，您应该运行Ldp.exe有其自己的GUI。您应该运行在计算机上运行的AD LDS Ldp.exe和采用SSL来连接的AD LDS的本地实例。

问题79

Certkiller。com提升的主要办公室和20个分公司。作为一个单独的站点配置，每个分支办事处有一个只读域控制器（RODC）服务器安装。在远程办公室用户抱怨说他们无法登录到他们的帐户。

你应该怎么做，以确保用户帐户的凭据缓存仅在当地的分支机构RODC的服务器上存储的？

A.打开RODC计算机帐户的安全标签，并设置权限为允许在接收只为用户无法登录到他们的帐户

B.添加一个密码复制策略的主要领域和RODC的安全组中添加用户帐户

添加安全组C.配置为每个分公司唯一的安全组和用户帐户添加到各自的安全组。

密码复制允许在RODC上的主要服务器组

D.配置和每个RODC上添加一个单独的计算机帐户密码复制策略

答案：D 科：（无）

说明/参考：说明：

为了确保用户帐户的凭据缓存仅在本地RODC的服务器上存储，您必须配置一个单独的密码，并添加在每个RODC计算机帐户复制策略。通过增加一个单独的程序覆检委员会，每个分公司的用户帐户将能够验证他们的帐户。

问题80

企业网络的Certkiller由一个单一的Windows Server 2008 Active Directory域。该域名已任命Certkiller 1和Certkiller 2两台服务器。

为确保事件的中央监控你决定要收集所有的一台服务器上，Certkiller事件 1。为了收集Certkiller事件

2。并将其转换到Certkiller 1，您需要配置事件订阅。

您选择通过使用HTTP协议的事件传递优化设置正常的选择。然而，你发现，没有任何的订阅工作。以下的行动，你会执行的两个服务器上配置的事件收集和事件转发？（选择三。答案是一个完整的解决方案的一部分）。

答：通过运行窗口中执行WinRM的quickconfig命令Certkiller 2。

B.通过运行窗口上执行Certkiller 2 wecutil质量控制命令。 c.添加Certkiller 1帐户到Administrators组Certkiller 2。

四，通过运行窗口中执行WinRM的quickconfig命令Certkiller 1。大肠杆菌添加Certkiller帐户2到Administrators组Certkiller 1。通过运行窗口号上执行Certkiller 1 wecutil质量控制命令。

答：美国广播公司科：（无）

说明/参考：说明：

没有工作的订阅因为正常的订阅工作只有在工作组环境。配置事件采集和事件上的两台服务器转发，你需要先添加Certkiller 2 Certkiller 1帐户到Administrators组。

因为你正在使用的机器都是一个活动目录（AD）的一部分在源计算机上，键入WinRM的，quickconfig命令。

然后，键入y，然后用回车键进行更改。这条命令设置了源系统接受来自其他计算机的WS - Management请求。

现在，移动到收集系统。重复WinRM的命令。这将允许您控制带宽使用或事件转发过程中的延迟。

接下来，使用同样的提升的命令提示符下，运行wecutil质量控制命令。然后，键入y，然后用回车键进行更改。这将配置Windows事件收集服务延迟自动启动，并启动该服务。参考：收集Vista的活动

http://www.prismmicrosys.com/newsletters_june2007.php

问题81

Certkiller。com有一个主厅和30家分公司。要管理网络，每个分支机构都有一个单独的Active Directory站点具有一个专用的只读域控制器（RODC）。一分公司在一个遥远的位置上报告了抢劫。强盗偷走了RODC的服务器。哪个工具之前，你要恢复的用户是在服务器上缓存被盗RODC上户口？

答：执行Dsmod.exe

B.使用Active Directory用户和计算机 C.使用Active Directory站点和计算机四执行Ntdstuil.exe与迹参数

答案：B 科：（无）

说明/参考：说明：

你应该使用Active Directory用户和计算机帐户收回被盗RODC的服务器上缓存

的用户。在Active Directory用户和计算机有用户帐户和OU。你可以得到用户被盗RODC上缓存在服务器从那里很容易帐户。

问题82

Certkiller。com有一个软件评估实验室。有一个命名为CKT特制评价实验室服务器。 CKT特制运行Windows Server 2008和微软虚拟服务器2005 R2。 CKT特制有200段上运行的一个独立的虚拟软件虚拟服务器来评价。要连接到互联网，它使用的物理网络接口卡。

Certkiller。com要求每个在公司的服务器来访问互联网。

Certkiller。com安全策略规定的IP地址空间实验室使用的软件评估不能被其他网络使用。同样，各国的IP地址空间被其他网络使用，不应由评价实验室网络中使用。作为管理员，你会发现你，在软件评估实验室测试的应用程序需要访问正常网络供应商更新连接到Internet上的服务器。您需要配置上的CKT服务器来访问Internet的所有虚拟服务器。您还需要遵守公司的安全政策。

哪两个动作，你应该为实现这一任务的执行？（选择两个答案。答案是一个完整的解决方案的一部分）

答：虚拟DHCP服务器触发的外部虚拟网络和运行ipconfig /续订每个虚拟服务器上的命令

B.在CKT特制的物理网络接口，启动Internet连接共享（ICS）

C.使用Certkiller。com内部网的IP上的CKT所有虚拟服务器地址。

使用新的网络接口，并D.先加入并安装Microsoft环回适配器的CKT网络接口。

创建一个新的虚拟网络。五以上皆非

答：广告科：（无）

说明/参考：说明：

要配置的CKT服务器访问因特网，并符合公司的安全政策的所有虚拟服务器，你应该为外部触发虚拟网络虚拟DHCP服务器和运行ipconfig /续订每个虚拟服务器上的命令。然后添加并安装Microsoft环回适配器上的CKT网络接口。创建一个虚拟的网络使用新界面。

当您配置虚拟DHCP的外部虚拟网络，组IP地址被分配给服务器上的CKT服务器的虚拟服务器。通过运行ipconfig / renew命令，新的IP地址将被延长。 Microsoft环回适配器的网络接口将确保IP地址空间使用的其他网络上的CKT没有被服务器的虚拟服务器使用。您创建一个新的网络界面，使您能够访问互联网的新的虚拟网络。

问题83

你实在是一个Certkiller管理员。com。 Certkiller有5个成员服务器网络，文件

服务器角色。它有一个Active Directory域。您已安装了应用软件的服务器上。一旦应用程序的安装，一台服务器的会员关闭本身。要跟踪和纠正的问题，您创建一个组策略对象（GPO）。您需要更改域安全设置，以追查关闭和确定其原因。

你应该怎么做来执行这项任务？

答：链接到域的GPO和启用系统事件选项二环线到域的GPO并启用审核对象访问选项三环线到域控制器并启用审核对象访问选项总局四环线到域控制器GPO并启用审核过程跟踪选项五执行上述所有操作

答案：A 科：（无）

说明/参考：说明：

要更改域的安全设置，以追查关闭和确定其原因，你应该在组策略对象链接到域和启用系统事件选项。该系统将跟踪事件的问题，并告诉你什么原因造成的停机。您不应该启用审核对象访问的选择，因为它是用来审计喜欢注册表项，文件和文件夹对象的访问。

您不应该启用审核过程跟踪选项，因为这个选项是用于审核过程跟踪服务器上

问题84

Certkiller。com有一个网络，一个单一的活动目录域组成。技术人员不小心删除了一个域控制器上的一个组织单位（OU）。作为一个Certkiller。com管理员，你是在恢复的OU过程。您需要执行非权威性还原之前的权威性还原的OU。你应该使用哪个备份来执行域控制器上，而不会干扰其他数据存储的非权威性还原的Active Directory域服务（AD DS）？

A.关键卷的备份二备份所有卷

三卷的主机操作系统备份 D.对AD DS的备份文件夹 E.以上所有

答案：A 科：（无）

说明/参考：说明：

您应该使用备份来执行临界体积域控制器上，而不会干扰其他数据存储的非权威性还原的AD DS。在备份的时候，一个权威的恢复过程返回一个指定的对象或

对象容器的状态。权威性还原标记为权威地带，造成复制过程恢复到域中的所有域控制器。您必须先完成非权威性还原，然后再执行权威性恢复AD DS的。您还需要确保复制不会发生在非权威性还原。你必须做一个关键量备份，然后再执行非权威性还原。之后，为了防止非授权发生的复制和执行权威性还原操作的部分，您必须重新启动域控制器的目录服务还原模式及执行权威性还原在域控制器，你正在恢复。通常你应该开始执行权威性还原后的AD DS的域控制器。你也应该同步所有复制伙伴的复制。

问题85 拖放

Certkiller。com上有一个域的Active Directory目录林。该域名运行的Windows Server 2008。

一个新的管理员无意中删除在Active Directory数据库对象承载6000整个组织单位。你有备份系统状态数据使用第三方备份软件。

要恢复备份，您启动域控制器的目录服务还原模式（DSRM）。

您需要执行权威性还原的组织单位和还原域控制器到其原始状态。哪三个动作，你应该执行？

答案应该是在一个序列。拖放到适当的行动顺序。

Answer:

Section: (none)

Explanation/Reference:

问题86

Certkiller。com有一个网络，一个单一的活动目录包括domain.Windows Server 2008是在网络中的所有域控制器上安装。

指示您捕捉所有域控制器上的所有复制错误到一个中心位置。您应该做些什么来实现这一任务呢？

答：启动Active Directory诊断数据收集器集 B.设置事件日志订阅和配置三启动系统性能数据收集器集 D.创建一个新的网络监视器捕获

答案：B 科：（无）

说明/参考：

问题87

Certkiller有一个与Windows 2000，Windows 2003的单域网络，和Windows 2008服务器。客户端计算机运行Windows XP和Windows Vista。所有域控制器都运行Windows Server 2008年。

附件B

服务器的操作系统中的作用

CertKiller_DC1 Windows Server 2008域控制器

CertKiller _DC2 Windows Server 2008域控制器

CertKiller _SRV5 Windows Server 2008文件和打印服务器

你需要部署Active Directory权限管理系统（AD RMS的），以确保所有文件，电子表格，并提供用户身份验证。你需要什么配置，以完成对AD RMS的部署？

答：所有客户端计算机升级到Windows Vista。安装AD RMS的Certkiller _DC1域控制器上

B.确保所有Windows XP的计算机具有最新的Service Pack和所有系统上安装RMS客户端。安装AD RMS的Certkiller _DC1域控制器上

三所有客户端计算机升级到Windows Vista。在安装AD RMS的Certkiller _SRV5

d.确保所有Windows XP的计算机具有最新的Service Pack和所有系统上安装RMS客户端。安装AD RMS的域控制器上Certkiller _SRV5 五以上皆非

答案：D 科：（无）

说明/参考：说明：

部署Active Directory权限管理系统（AD RMS的）来保护所有文档，电子表格，并提供用户身份验证，您需要确保的AllWindows XP的计算机具有最新的Service Pack和所有系统上安装RMS客户端。在安装AD RMS的Certkiller _SRV5。

你只能部署在域成员服务器的AD RMS和域控制器上没有，因此您无法安装在Certkiller _DC1，这是一个域控制器，但在Certkiller _SRV5，这是一个文件和打印服务器的AD RMS。参考：预安装的Active Directory权限管理服务http://technet2.microsoft.com/windowsserver2008/en/library/878e955040f3-862c-

7ea309ddb0ed1033.msp参考信息：Active Directory权限管理服务概述http://technet2.microsoft .com/windowsserver2008/en/library/74272acc-0f2d-4dc2-876f- 15b156a0b4e01033.msp

问题88

您正在制订Active Directory轻型目录服务（AD LDS）中的备份策略，以确保数据和日志文件定期备份。这也将确保应用程序和在一个系统发生故障时用户数据的持续可用性。因为你有资源有限的媒体，你决定要备份的唯一实例，而不是采取具体ADLDS整个卷的备份。你应该怎么做来完成这项任务？

答：使用Windows Server备份实用程序，并启用复选框，只需要对AD LDS的数据库和日志文件的备份

B.使用工具来创建安装Dsdbutil.exe对应的媒体只对ADLDS实例

三将在一个单独的数量和使用Windows Server备份工具AD LDS的数据库和日志文件四以上皆非

答案：B 科：（无）

说明/参考：说明：

若要只备份特定ADLDS实例而不是考虑到整个卷的备份，你需要使用工具来创建安装Dsdbutil.exe媒体对应只ADLDS实例。

该Dsdbutil.exe工具允许您创建安装介质对应只ADLDS实例，你要备份的备份实例包含ADLDS整个卷代替。参考：第1步：备份AD LDS实例数据http://technet2.microsoft.com/windowsserver2008/en/library/8e82c111-32da-430e-a954-

c0dbe9f4607f1033.msp

问题89

你有一台计算机上安装Windows Server 2008和文件服务器配置为一个名为FileSrv1，它。该FileSrv1计算机包含四个硬盘，这是基本的磁盘配置。用于容错和性能上要配置FileSrv1独立磁盘冗余阵列（RAID）0 +1。

您将使用哪个工具转换基本磁盘上FileSrv1为动态磁盘？

答：Diskpart的。exe文件二运行CHKDSK。exe文件三Fsutil的。exe 四的Fdisk的。exe 五以上皆非

答案：A 科：（无）

说明/参考：说明：

要转换基本磁盘上FileSrv1为动态磁盘，您需要使用Diskpart.exe实用工具。

参考：管理和故障排除桌面存储/基本磁盘http://www.informit.com/articles/article.aspx?p=332154

问题90

贵公司的主要办事处和分支办事处，是作为一个单一的活动目录林配置。在Active Directory目录林功能级别是Windows Server 2003。有四个Windows Server 2003的域控制器的主办公室。您需要确保您能够部署在分支机构的只读域控制器（RODC）。哪两个动作，你应该执行？（每一个正确的答案提出解决方案的选择两部分。）

a.运行adpreplrodcprep命令。

二提高森林功能级别到Windows Server 2008。

三提高域功能级别提升到Windows Server 2008年。四部署Windows Server 2008在总公司域控制器。

答：广告科：（无）

说明/参考：

问题91

一个名为DC1的服务器已在Active Directory域服务（AD DS）中的作用和Active Directory轻型目录服务（AD LDS）角色安装。

一个AD LDS实例名为LDS1存储的数据在C：驱动器。

您需要搬迁LDS1实例到D：驱动器。

哪三个行动应在执行顺序？（回答，移动从行动清单适当行动的三个方面的答复，并安排在正确的顺序。）

Answer:

科：（无）