1:Windows Server 2003系统的4个主要版本中,不能作为域控制器来部署的是Web Edition。
2:域与工作组相比,主要优势在哪里?
工作组和域是两种不同的网络管理模式。工作组(Work Group)就是将不同的计算机按功能分别列入不同的组中,以方便管理。加入工作组的方法只需本机管理员在Windows桌面上的“网上邻居”单击鼠标右键,在弹出菜单中选择【属性】命令,然后在“标识”选项卡的“计算机名”文本框中添入你想让自己计算机在工作组网上邻居中显示的计算机名称,在“工作组” 文本框中添入想加入的工作组名称即可,无须任何权限审核。如果输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然在组中也只有用户自己的计算机。不过要注意,计算机名和工作组名称的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。
域(Domain)是一种更加严格的网络管理模式,要把一台计算机加入到某域中,不仅需要进行比较复杂的配置,而且还仅允许域中有权限的账户进行操作。
域相对工作组来说主要有以下几个方面的优势。
1.集中用户账户管理 在工作组中,用户账户是不进行强度极限中管理的,用户账户仍然由工作组中的计算机各自负责管理,彼此互不信任。所以,在访问工作组中不同的计算机时,需要输入对方不同计算机上的合法账户信息(通过配置也可以是匿名访问)。而域用户账户是集中管理的,所有域用户账户都是在域控制器上集中管理的,而且各客户机都信任域控制器上管理的域账户,但各客户机都不具有域账户的管理权限。而且域账户是单击登录方式,这样做的好处是,用户一旦登录到域,则具有访问域中所有计算机共享资源的账户权限,无须输入任何账户信息。当然最后能否访问还是要看具体被访问计算机上共享资源的访问权限设置。
2.集中资源管理
尽管在工作组网络中也可以配置集中的资源服务器,如文件服务器、打印服务器等,但是服务器的访问权限和访问管理比较麻烦,需要针对不同计算机上的账户进行设置;而如果是域网络中的这些服务器,则只需要对域账户进行设置。
3.统一安全策略部署
在域网络中,可以通过域组策略对整个域网络中成员计算机的安全策略进行统一部署。如用户账户权利、密码策略和安全选项等。只要在域组策略中统一部署即可在全网络中生效。对于外部网络的远程访问,还可以进行统一的安全认证,确保整个网络计算机的安全。
3:利用IIS不能创建DNS服务器
4:下列关于全局编录服务器的说法正确的是( )。
D. 它是一台域控制器,保存有域内对象的最常用属性
解析:
全局编录是存储林中所有Active Directory对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本,以及林中所有其他域中所有对象的部分副本。
全局编录中包含的所有域对象的部分副本是用户搜索操作中最常使用的部分。作为其架构定义的一部分,这些属性被标记为包含到全局编录中。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考影响网络性能。
5:什么是只读域控制器?它有什么好处?
解析:
这是最新的Windows Server 2008才出现的新技术。但由此可以了解应试者对新技术和知识的学习能力。
答案:
只读域控制器(RODC)是Windows Server 2008操作系统中提供的一种新类型的域控制器,主要用于在分支环境中进行部署。通过RODC,集团公司可以降低在无法保证物理安全的远程位置(如分支机构)中部署域控制器的风险。因为除了账户密码外,RODC可以驻留可写域控制器驻留的所有Microsoft Active Directory域服务(AD DS)对象和属性。不过,客户端无法将更改直接写入RODC。由于更改不能直接写入RODC,因此不会发生本地更改,作为复制伙伴的可写域控制器不必从RODC导入更改。管理员角色分离指定可将任何域用户委派为RODC的本地管理员,而无须授予该用户对域本身或其他域控制器的任何用户权限。
6:Windows Server 2003的活动目录中包括的身份验证方式是交互式登录、网络身份验证。
解析:
交互式登录就是由用户通过系统的登录界面,输入用户账户和密码的方式进行的登录,这种登录方式只限于域控制,因为只有在域控制器上才拥有域账户,才会需要用到活动目录。其他主机上的本地交互登录是不用活动目录的,因为在这些主机上不具有域账户。
网络身份验证向用户尝试访问的任何网络服务确认用户的身份。要提供这种类型的身份验证,安全系统将包括下面这些身份验证机制:Kerberos V5、公钥证书、安全套接字层/传输层安全性(SSL/TLS)、摘要和NTLM与Windows NT 4.0系统兼容。
7:下面关于“运行方式”的说法正确的是(使用“运行方式”有助于提高计算机的安全性、使用“运行方式”后,普通用户也可以执行管理员的管理任务
尽管runas通常由Administrator账户使用,但并非仅限于Administrator账户。任何拥有多个账户的用户均可以利用备用凭据,使用runas运行程序、MMC控制台或“控制面板”选项。
可以使用“运行方式”来完成管理任务,而无须使用管理凭据登录计算机,使得当前计算机更加安全。而且“运行方式”可以在本地,工作组和域网络中使用。
8:在Windows Server 2003系统中,如何制作密钥盘?
解析:
在Windows XP/Server 2003中(Windows 2000系统也一样),尽管在登录系统前需要输入用户账户和密码,但这种安全保障还是比较低的,特别是在登录Windows XP系统时,在默认账户的情况下无须输入账户和密码,便可直接进入系统桌面。为了提高系统的安全性,一方面,可以对现有的账户文件(SAM)进行二次加密;另一方面,还可以在用户启动计算机前设置一道安全屏障,把整个计算机进行加密,要启动系统必须插入相应的密钥盘。这个加密工具就是syskey。但要注意,并不是在BIOS中设置的。
答案:
Syskey工具的具体使用方法如下。
(1)在Windows 2000/XP/Server 2003系统的“运行”窗口中输入syskey命令,
(2)设置了双重启动密码后在一定程度上增强了安全性,但是要真正做到绝对安全,最好还要随身带上一把系统开机“钥匙”。利用Syskey还能创建“开机钥匙”,在开机时,只有插入这把“钥匙”才能进入系统。
9:可以把Windows XP直接升级为Windows Server 2003系统吗? 如果不能请简单说明理由。
答:不能直接从Windows XP系统升级到Windows Server 2003系统。因为Windows XP与Windows Server 2003分属于不同的操作系统,核心有很大区别:前者属于桌面操作系统,而后者属于网络服务器操作系统。
10:Windows Server 2003能默认安装IIS吗?如果不能请简单说明理由。
答案:Windows Server 2003默认不安装IIS组件,这是出于安全考虑的,因为开启IIS后,如果不进行详细的安全配置,很容易成为黑客入侵的跳板。
11:通过设置策略是否可以实现在关闭Windows Server 2003系统时,不需要选择关机的理由?如果不能请说明理由,如果能请简要给出配置方法。
答:可通过组策略设置来取消选择关机的理由。
12:创建域和删除域的命令是dcpromo。
13:在Windows Server 2003域网络中,父域和子域的默认信任关系是双向可传递。
信任是在域之间建立的关系,它可使一个域中的用户由处在另一个域中的域控制器来进行验证。Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。在Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向且不可传递的。在Windows 2000和Windows Server 2003林中的所有信任都是可传递的双向信任。因此,只要创建了信任,信任关系中的两个域就都是受信任的。默认的父、子域之间具有双向可传递的信任关系,林中各域树的树根也将是默认双向可传递的信任关系。
14:只有. Schema Admins 组的成员,才有权对林的架构做出修改,并影响到林中所有的域。
析:它们是域控制器管理员组Administrators、本地域管理员组Domain Admins、林管理员组Enterprise Admins和林架构管理员组Schema Admins。它们之间并没有我们通常所误认为的权限包含关系,而是各具特定的权限。也就是说,它们的权限分工是不一样的。
Administrators具有域中所有域控制器的完全控制权限,是本地内置作用域类型的安全组。在默认情况下,Domain Admins和Enterprise Admins组是Administrators组的成员。
Domain Admins具有对本地域管理的完全控制权限,是全局作用域类型的安全组。在默认情况下,该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的Administrators组的成员。在默认情况下,Administrator账户也是该组的成员。
Enterprise Admins组的成员具有对林中所有域的完全控制作用,是通用作用域类型的安全组。默认情况下,该组是林中所有域控制器上Administrators组的成员。在默认情况下,Administrator账户也是该组的成员。
Schema Admins组的成员可修改Active Directory架构,也是通用作用域类型的安全组。在默认情况下,Administrator账户也是该组的成员。
15:下面关于域和林关系的说法正确的是一个林中可以有多个域、. 一个域中的多个子域可以有连续的名称空间
解析:
在Active Directory中,域树是由一个或多个Windows 2000或Windows Server 2003域通过传递、双向信任,共享公用架构、配置和全局分类连接起来的。域树中域的分层结构形成了连续的名称空间,可以将多个域树连接起来形成林。域树中的第一个域称为根域。在相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。如,child.root.com为root.com的子域及grandchild.child.root.com的父域,而root.com域为child.root.com的父域,同时它也是该域树的根域。
林包括多个域树。林中的域树不形成邻接的名称空间。例如,虽然microsoft.com和microsoftasia.com两个域树都是support的子域,而子域的DNS名称却分别为support.microsoft.com和support.microsoftasia.com,它们之间没有共享的名称空间。
16:某大学用Windows Server 2003系统创建了一个林。甲机是xinhua.com域的DC,乙机是network.xinhuan.com域的DC。而丙机完整的计算机名为Cindy.network.xinhua.com,则下列说法正确的是( A B C D )。
A. 若A用户属于xinhua.com域,则可以在network.xinhua.com域内的任一计算机上登录xinhua.com域。
B. 若A用户属于xinhua.com域,则可以在xinhua.com域内的任一计算机上登录xinhua.com域。
C. 由于xinhua.com域是整个目录林的根域,所以丙机Cindy.network.xinhua.com的详细资料都保存在甲机上。
D. 由于丙机Cindy.network.xinhua.com属于network.xinhuan.com域,所以丙机的详细资料都保存在乙机上。
B. 若A用户属于xinhua.com域,则可以在xinhua.com域内的任一计算机上登录xinhua.com域。
C. 由于xinhua.com域是整个目录林的根域,所以丙机Cindy.network.xinhua.com的详细资料都保存在甲机上。
D. 由于丙机Cindy.network.xinhua.com属于network.xinhuan.com域,所以丙机的详细资料都保存在乙机上。
17:甲域内的A用户要想访问乙域内的共享资源,则( AD )。
A. 乙域必须针对甲域有信任关系。
B. 甲域必须针对乙域有信任关系。
C. A用户必须从甲域的DC上获取访问该共享资源的访问授权。
D. A用户必须从乙域的DC上获取访问该共享资源的访问授权。
B. 甲域必须针对乙域有信任关系。
C. A用户必须从甲域的DC上获取访问该共享资源的访问授权。
D. A用户必须从乙域的DC上获取访问该共享资源的访问授权。
18:一台计算机已经加入了某个域,但此时该计算机的本地管理员在该计算机上进行了本地登录,则对于该域的域管理员来说,(C )。
A. 可以同时管理该计算机与该计算机的本地管理员用户
B. 无法管理该计算机,也无法管理该计算机的本地管理员用户
C. 可以管理该计算机,但不可以管理该计算机的本地管理员用户
D. 可以管理该计算机的本地管理员用户,但不可以管理该计算机
B. 无法管理该计算机,也无法管理该计算机的本地管理员用户
C. 可以管理该计算机,但不可以管理该计算机的本地管理员用户
D. 可以管理该计算机的本地管理员用户,但不可以管理该计算机
本地管理员只能在本地计算机和用户账户拥有完全控制权限,而域管理员只对域网络中的计算机账户实行管理权限,而没有对域网络中计算机的本地用户账户具有管理权限。
19:为Windows Server 2003域控制器改名可用的命令是(netdom computername )。
20:下面命令中可以用于把Windows 2000 Server成员服务器升级为域控制器的是( DCPROMO.EXE )
21:架构主机和( A )是专属于林中的主机角色的。
A. 域命名主机 B. PDC仿真主机
C. 相对ID主机 D. 基础结构主机
C. 相对ID主机 D. 基础结构主机
解析:
这道题考的是应试者对操作主机角色知识点的掌握。所以要求应试者对各种操作主机的角色有一个较全面的掌握。
在Windows Server 2003系统中,操作主机角色有5种:架构主机角色、域命名主机角色、RID主机角色、PDC仿真主机角色和结构主机角色。其中前两个是林中的,后三者是域中的。在每个林中,林范围的操作主机角色必须只能出现一次。而在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。
答案:A。
相关链接:
每个林必须具有“架构主机”和“域命名主机”两种角色。架构主机域控制器控制对架构的全部更新和修改。要更新林的架构,必须拥有架构主机的访问权。域命名主机控制林中域的添加或删除。在林中这些角色必须是唯一的,这意味着在整个林中,只能有一个架构主机和一个域命名主机。
林中的每个域都必须有“相对ID(RID)主机”、“主域控制器(PDC)仿真主机”和“结构主机”3种主机角色。同样,在每个域中这些角色都必须是唯一的。RID主机将相对ID分配给域中每个不同的域控制器。在任何时候,林中的每个域中只能有一个域控制器作为RID主机。
如果域包含在没有Windows 2000或Windows XP Professional客户端软件情况下运行的计算机,或者包含Windows NT备份域控制器(BDC),则由PDC仿真主机担当Windows NT的主域控制器。它处理来自客户端的密码更改并将其复制到BDC中。在任何时候,林中的每个域中只能有一个域控制器作为PDC仿真主机。
基础结构主机负责更新从它所在的域中的对象到其他域中对象的引用。基础结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作定期接受所有域中对象的更新,从而使全局编录的数据始终保持最新。如果结构主机发现数据过时,则它从全局编录中申请更新的数据。基础结构主机再将这些更新的数据复制到域中的其他域控制器。在任何时候,每个域中只能有一个域控制器作为基础结构主机。
22:在配置漫游用户配置文件和主文件夹时,账户名可使用(. %username% )变量替代。
23:对于Windows 2000 Server和Windows Server 2003域,默认普通域用户可以加入计算机到域中吗?并简要说明。
解析:
在Windows 2000 Server和Windows Server 2003域中,默认普通用户只能加入10个计算机账户到域中。而管理员组(Administrators)成员不受此限制。用户计算机加入域中不一定非要域管理员组成员才有资格,任意普通用户,只要在域中有合法账户都可以加入计算机账户到域中的,只不过在数量上是有限制的。
答案:可以,但最多只能是把10台计算机加入到域中。而管理员组成员允许加入到域的计算机数量不受限制。
24:在“活动目录用户和计算机”中,有关用户对象的说法正确的是( 可以同时位于多个用户组,但只能位于一个容器中)。
25:对于域内用户和计算机这两个对象的具体管理,你认为下述哪种做法不妥当?( D )
A. 如果某用户已从公司辞职则应暂时将其域账户停用而不是立即删除
B. 应当提醒用户经常性地按要求定期更换自己的账户密码
C. 为了防止域内用户非法登录本地计算机,最好将域内计算机的本地账户停用
D. 域内用户可以被施以组策略来实现管理,但不要对域内计算机对象采用组策略管理
B. 应当提醒用户经常性地按要求定期更换自己的账户密码
C. 为了防止域内用户非法登录本地计算机,最好将域内计算机的本地账户停用
D. 域内用户可以被施以组策略来实现管理,但不要对域内计算机对象采用组策略管理
26:一位域内用户试图通过一台域内计算机登录其所属域时,在他输入用户名和密码后,系统提示“找不到域或域不存在”,发生这种故障现象的原因可能是(CD )。
C. 为该域负责域名解析的DNS服务器损坏或DC死机
D. 用户计算机与域网络的网络连接已断开
D. 用户计算机与域网络的网络连接已断开
27:在Windows 2000/Server 2003域中,下列关于本地组与全局域网之间的关系说法正确的是( 本地组可以包含全局组,但全局组不可以包含本地组)。
28:下面关于组织单位的说法正确的是( ABC )。
A. 域控制器是最大的组织单位
B. 在组织单位可以创建用户和组账户
D. 组织单位中的组策略是最优先应用的
B. 在组织单位可以创建用户和组账户
D. 组织单位中的组策略是最优先应用的
29:有关“创建域内用户”和“将计算机加入域”这两个问题,说法正确的是(A B C D )。
30:正确的DNS查询解析的顺序是(是否本机、HOSTS文件、缓存、DNS服务器
