Microsoft.Português.70-640.v2012-03-26.336q

Simulado-70-640-Português

Number: 70-640Passing Score: 700Time Limit: 240 minFile Version: 1.0

70-640 Exam

TS: Windows Server 2008 Active Directory Configurin g

Tradução: Wiler Carlos Pereira

Fonte: By RedaXium

Sections1. AD Sites & Services2. Configuring Additional AD Server Roles3. Configuring AD Backup-Restore4. Configuring AD Infrastructure5. Configuring AD DNS6. Configuring AD Certificate Services7. Configuring AD Rights Mgmt Services8. Configuring AD Federated Services9. Configuring AD LDS10.Configuring AD FSMO Roles11.Configuring Domains and Trusts12.Configuring Group Policy13.Creating & Maintaining AD Objects14.Maintaining the AD Environment15.Powershell & Command line cmds16.Cooper Exam D

Exam A

QUESTION 1

Sua rede contém um domínio do Active Directory. Os servidores relevantes no domínio são configuradoscomo mostrado na tabela seguinte:

Server name Operating System Server role

Server1 Windows 2008 Domain controller

Server2 Windows 2008 R2 Enterprise root certification authority (CA)

Server3 Windows 2008 R2 Network Device Enrollment Service (NDES)

Você precisa se certificar que todos os pedidos de certificação de dispositivos usar o algoritmo de hashMD5.

O que você deve fazer?

A. No Server2, execute a ferramenta Certutil.

B. No Server1, atualizar o CEP modelo de certificado de criptografia.

C. No Server1, atualizar o agente de inscrição Exchange (Pedido Offline) modelo.

D. Em Server3, defina o valor do HKLM\Software\Microsoft\Cryptography\MSCEP\HashAlgorithm\HashAlgorithm registry key.

Answer: DSection: Configuring AD DNS

Explanation/Reference:Configuring the Network Device Enrollment Service

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\ MSCEP

HashAlgorithm\HashAlgorithm

String SHA1 Specifies the hash algorithm theservice will use when constructing therequest to the CA.

http://technet.microsoft.com/en-us/library/cc787544%28WS.10%29.aspx

----------------------------------------------------------------------------------------------------------------------------------------------------------------Edit the registry to enable the hash algorithm

HKEY_Current_User\Software\Microsoft

HKEY_Current_User\Software\Microsoft contains registry settings for user certificates that have beendistributed by means other than Group Policy. These settings are stored in the following subkeys:

HKEY_Current_User\Software\Microsoft\Cryptography HKEY_Current_User\Software\Microsoft\SystemCertificates

The following registry entries are located under HKEY_Current_User\Software\Microsoft\Cryptography.AutoenrollmentRegistry path

HKEY_Current_User\Software\Microsoft\Cryptography\Version

Windows Server 2003, Windows 2000, and Windows XP

This setting is used to manage event logging and cached directory service data when user certificateautoenrollment has been enabled.AEExpressRegistry path

HKEY_Current_User\Software\Microsoft\Cryptography\Autoenrollment

QUESTION 2Sua rede contém um domínio do Active Directory.

Você tem um servidor chamado Server1 que executa o Windows Server 2008 R2. Server1 é uma empresade raiz autoridade de certificação (CA).

Você tem um computador cliente chamado Computer1 que executa o Windows 7. Você ativar a inscriçãoautomática de certificado para todos os computadores clientes que executam o Windows 7. Você precisaverificar se o Windows 7 computadores clientes podem inscrever automaticamente certificados.

Qual comando você deve executar no Computador1?

A. certreq.exe -retrieve

B. certreq.exe -submit

C. certutil.exe -getkey

D. certutil.exe -pulse

Answer: DSection: Configuring AD Certificate Services

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc732443%28WS.10%29.aspx

----------------------------------------------------------------------------------------------------------------------------------------------------------------Applies To: Windows Server 2008/R2

Certutil.exe is a command-line program that is inst alled as part of Certificate Services . You can use Certutil.exe to dump and display certification authority (CA) configuration information, configureCertificate Services, back up and restore CA components, and verify certificates, key pairs, and certificatechains.

-pulse Pulse auto enrollment events

-getkey Retrieve an archived private key recovery blob

-resubmit Resubmit a pending certificate request

the other options are not defined.

QUESTION 3Sua rede contém duas florestas do Active Directory chamado contoso.com e adatum.com. O nível funcionalde ambas as florestas é o Windows Server 2008 R2. Cada floresta contém um domínio. Serviços deCertificados do Active Directory (AD CS) é configurado na floresta contoso.com para permitir que usuáriosde ambas as florestas para registrar automaticamente certificados de usuário.

Você precisa se certificar que todos os usuários na floresta adatum.com ter um certificado de usuário dacertificação contoso.com autoridade (CA).

O que você deve configurar no domínio adatum.com?

A. Desde o Default Domain Controllers Policy, modificar as definições de segurança da empresa.

B. Desde o Default Domain Controllers Policy, modificar as configurações de editores confiáveis

C. A partir da Diretiva de Domínio Padrão, modificar a política de registro de certificado.

D. A partir da Diretiva de Domínio Padrão, modificar as definições de raiz fidedigna de autoridade decertificação.

Answer: CSection: Configuring AD Certificate Services

Explanation/Reference:http://technet.microsoft.com/en-us/library/dd851772.aspxConfiguring certificate enrollment policy settings byusing Group Policy

Properties Opens the Certificate Enrollment Policy Server Properties dialog box, which displays thepolicy details and list of enrollment policy servers for the selected enrollment policy.

Enable for automatic enrollment and renewal Specifies that the enrollment policy is used for autoenrollment when autoenrollment is enabled.On computers running Windows 7 that are not members of a domain, autoenrollment is enabled by default.On computers that are members of a domain, autoenrollment must be enabled in Group Policy.----------------------------------------------------------------------------------------------------------------------------------------------------------------Domain Admins is the minimum group membership required to complete this procedure.To configure certificate enrollment policy settings in Group Policy

Click Start, type gpmc.msc in the Search programs and files box, and press ENTER.

In the console tree, expand the forest and domain that contain the policy that you want to edit, and click

Group Policy Objects.

Right-click the policy that you want to edit, and then click Edit.

In the console tree under Computer Configuration\Policies\Windows Settings\Security Settings, clickPublic Key Policies.

Double-click Certificate Services Client – Certificate Enrollment Policy . For more information about thesettings in this dialog box, see the "Certificate Services Client – Certificate Enrollment Policy Properties dialog box" table later in this topic.

Click Add to open the Certificate Enrollment Policy Server dialog box. For more information about thesettings in this dialog box, see the "Certificate Enrollment Policy Server dialog box" table later in this topic.

Do one of the following: To add the enrollment policy provided by Active Directory Domain Services (AD DS), select the Usedefault Active Directory domain controller URI check box.

In the Enter enrollment policy server URI box, type a certificate enrollment policy server URI.

In the Authentication type list, select the authentication type required by the enrollment policy server.

Click Validate, and review the messages in the Certificate enrollment policy server properties area. TheAdd button is available only when the enrollment policy server URI and authentication type are valid.

Click Add.

QUESTION 4Você tem um servidor chamado Server1 que tem os seguintes Serviços de Certificados do Active Directory(AD CS) serviços de função instalados:

-Enterprise raiz autoridade de certificação (CA)Certificado de Serviço Web de InscriçãoCertificado de Matrícula Web Service Política

Você cria um novo modelo de certificado.Os usuários externos relatam que o novo modelo não está disponível quando solicitar um novo certificado.Você verifica que todos os outros modelos estão disponíveis para os usuários externos.Você precisa garantir que os usuários externos podem solicitar certificados usando o novo modelo.

O que você deve fazer em Server1?

A. Run iisreset.exe /restart.

B. Run gpupdate.exe /force.

C. Run certutil.exe -dspublish.

D. Restart the Active Directory Certificate Services service.

Answer: ASection: Configuring AD Certificate Services

Explanation/Reference:Q - Normally you can use gpupdate /force and or certutil -pulse on the users computer to refresh there localcertificate store for issued certificates or templates.But it states what should you do on Server1

http://technet.microsoft.com/en-us/library/gg398409.aspx

http://www.tech-faq.com/the-certificate-enrollment-process.html

http://support.microsoft.com/kb/317584----------------------------------------------------------------------------------------------------------------------------------------------------------------

Restart IIS service to republish sites

Overview of iisreset.exeIisreset.exe uses the following syntax:iisreset[ computername]NOTE: Items in [] are optional.

While iisreset will run this without arguments, you may wish to perform other functions. You can use thefollowing parameters with Iisreset.exe:

computername: Use this parameter to specify the computer that you want to manage. If you omit thisparameter, the local computer is specified. /restart: Use this parameter to stop and restart all of the running Internet services. /start: Use this parameter to start all of the Internet services that are stopped. /stop: Use this parameter to stop all of the running Internet services. /reboot: Use this parameter to restart the computer. /rebootonerror: Use this parameter to restart the computer if an error occurs after the Internet servicesattempt to start, stop, or restart. /noforce: Use this parameter so that the Internet services do not shut down forcefully if you cannot stopthe services gracefully. /timeout:value Use this parameter (where value is a timeout value in seconds) to specify the time thecomputer waits for the Internet services to stop. After the computer stops, it restarts if you use the /rebootonerror parameter. The following list describes the default values: The default value is 20 seconds if you use this parameter with /restart. The default value is 60 seconds if you use this parameter with /stop. The default value is 0 seconds if you use this parameter with /reboot. /status: Use this parameter to display the status of all of the Internet services. /enable: Use this parameter to enable the Internet services to restart. /disable: Use this parameter to disable the Internet services restart process.

QUESTION 5A rede contém uma raiz corporativa autoridade de certificação (CA). Você precisa garantir que umcertificado emitido pela CA é válido.


A. Run syskey.exe and use the Update option.

B. Run sigverif.exe and use the Advanced option.

C. Run certutil.exe and specify the -verify parameter.

D. Run certreq.exe and specify the -retrieve parameter.


Explanation/Reference:http://technet.microsoft.com/en-us/library/cc962081.aspx

-----------------------------------------------------------------------------------------------------------------certutil.exe -verify - verify certifcate, CRL, or c hain

QUESTION 6Você tem uma empresa autoridade de certificação subordinada (CA). Os CA questões logon certificados decartão inteligente.

Os usuários são obrigados a fazer logon no domínio usando um cartão inteligente. Política da sua empresade segurança corporativa afirma que quando um empregado se demite, sua capacidade de fazer logon narede deve ser imediatamente revogada.

Um empregado se demite. Você precisa impedir que o empregado imediatamente de fazer logon nodomínio.


A. Revogar o certificado do empregado cartão inteligente.

B. Desative a conta do funcionário do Active Directory.

C. Publicar um novo delta lista de certificados revogados (CRL).

D. Redefinir a senha da conta do funcionário do Active Directory.

Answer: BSection: Configuring AD Certificate Services

Explanation/Reference:For most of these options, there appears to be a lag time or possible ways around the solution. Simplydisabling the user's account seems to be the fastest and most fool-proof solution.

http://technet.microsoft.com/en-us/library/cc781527%28WS.10%29.aspx--------------------------------------------------------------------------------------------------------------Disable an AD acct

ADUC > right click - Disable/Enable

Cmd Line

dsmod userUserDN-disabled {yes|no}

QUESTION 7Você pode adicionar um Respondente Online para uma matriz de Resposta Online. Você precisa secertificar que o novo Respondente Online resolve os conflitos de sincronização para todos os membros doArray.


A. De Network Load Balancing Manager, defina o ID prioridade do novo Respondente Online para 1.

B. De Network Load Balancing Manager, defina o ID prioridade do novo Respondente Online a 32.

C. A partir do Console de Gerenciamento on-line de Resposta, selecione o novo Respondente Online eselecione Definir como Controlador da Matriz.

D. A partir do Console de Gerenciamento on-line de Resposta, selecione o novo Respondente Online eselecione sincronizar os membros com Controlador da Matriz.


Explanation/Reference:Although each Online Responder in an Array can be configured and managed independently, in case ofconflicts the configuration information for the Array controller will override configuration options set on otherArray members.

http://technet.microsoft.com/en-us/library/cc731175.aspx---------------------------------------------------------------------------------------------------------------------------------------------------Online Responder

QUESTION 8Sua rede contém um servidor que executa o Windows Server 2008 R2. O servidor está configurado comouma empresa de raiz autoridade de certificação (CA).

Você tem um site que usa certificados X.509 para autenticação. O site está configurado para usar ummapeamento de muitos-para-um.

Você revogar um certificado emitido para um parceiro externo. Você precisa impedir que o parceiro externode acessar o site.


A. Executar certutil.exe-crl.

B. Executar certutil.exe -delkey.

C. A partir do Active Directory e computadores, modificar a composição do grupo IIS_IUSRS.

D. De Active Directory Users and Computers, modificar o objeto de contato para o parceiro externo.



-----------------------------------------------------------------------------------------------------------------certutil -CRL - Publish new certificate revocation lists (CRLs) [or only delta CRLs]

-revoke - Revoke a certificate

QUESTION 9Sua empresa, a Contoso, Ltd., tem uma sede e uma filial. Os escritórios estão conectados por um linkWAN. Contoso tem uma floresta do Active Directory que contém um único domínio chamado ad.contoso.com.

O domínio ad.contoso.com contém um controlador de domínio chamado DC1 que está localizado noescritório principal. DC1 é configurado como um servidor DNS para o DNS ad.contoso.com zona. Estazona é configurado como uma zona padrão primário.

Você instala um novo controlador de domínio chamado DC2 na filial. Você instalar o DNS no DC2. Vocêprecisa garantir que o serviço DNS pode atualizar os registros e resolver consultas DNS no caso de um linkWAN falhar.


A. Criar uma zona de stub novo nomeado ad.contoso.com em DC2.

B. Configurar o servidor DNS no DC2 para encaminhar solicitações para DC1.

C. Criar uma nova zona secundária chamado ad.contoso.com em DC2.

D. Converter a zona ad.contoso.com em DC1 para uma zona integrada ao Active Directory.


Explanation/Reference:

support.microsoft.com/kb/816101--------------------------------------------------------------------------------------------------------------------------Convert Primary DNS Server to Active Directory Inte grated Primary

On the current DNS server, start DNS Manager. Right-click a DNS zone, click Properties, click the General tab, and then note the Type value. This will bePrimary zone, Secondary zone or Stub zone. Click Change. In the Change Zone Type box, click to select the Store the zone in Active Directory (available only if DNSserver is a domain controller) check box. When you are prompted to answer whether want this zone tobecome Active Directory integrated, click Yes, and then click OK. In the Domain properties, the type now shows "Active Directory-Integrated"

QUESTION 10Sua empresa tem dois controladores de domínio que são configurados como servidores DNS internos.Todas as zonas dos servidores DNS são integradas ao Active Directory zonas. As zonas de permitir quetodas as atualizações dinâmicas. Você descobre que a zona contoso.com tem várias entradas para osnomes de host de computadores que não existem.

Você precisa configurar a zona contoso.com para remover automaticamente os registros vencidos.


A. Habilite somente atualizações seguras na zona contoso.com.

B. Habilitar limpeza e configurar o intervalo de atualização na zona contoso.com.

C. Do início de guia Autoridade, diminuir o intervalo de atualização padrão na zona contoso.com.

D. Do início dos Autoridade guia, aumente o intervalo de expiração padrão na zona contoso.com.

Answer: BSection: Configuring AD DNS

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc759204%28WS.10%29.aspx--------------------------------------------------------------------------------------------------------------------------------Enable scavenging and configure the refresh interva l - DNS

If left unmanaged, the presence of stale RRs in zone data might cause some problems. The following areexamples:

If a large number of stale RRs remain in server zones, they can eventually take up server disk space andcause unnecessarily long zone transfers.

DNS servers loading zones with stale RRs might use outdated information to answer client queries,potentially causing the clients to experience name resolution problems on the network.

The accumulation of stale RRs at the DNS server can degrade its performance and responsiveness.

In some cases, the presence of a stale RR in a zone could prevent a DNS domain name from being usedby another computer or host device.

To solve these problems, the DNS Server service has the following features:

Time stamping, based on the current date and time set at the server computer, for any RRs addeddynamically to primary-type zones. In addition, time stamps are recorded in standard primary zones whereaging/scavenging is enabled.

For RRs that you add manually, a time stamp value of zero is used, indicating that they are not affectedby the aging process and can remain without limitation in zone data unless you otherwise change their timestamp or delete them.

Aging of RRs in local data, based on a specified refresh time period, for any eligible zones.

Only primary type zones that are loaded by the DNS Server service are eligible to participate in thisprocess.

Scavenging for any RRs that persist beyond the specified refresh period.

When a DNS server performs a scavenging operation, it can determine that RRs have aged to the pointof becoming stale and remove them from zone data. Servers can be configured to perform recurringscavenging operations automatically, or you can initiate an immediate scavenging operation at the server.

QUESTION 11.Sua empresa tem uma sede e uma filial. A empresa tem um único domínio da floresta do Active Directory.

A sede tem dois controladores de domínio chamado DC1 e DC2 que executam o Windows Server 2008R2. A filial possui um Windows Server 2008 R2 controlador de domínio somente leitura (RODC) chamadoDC3. Todos os controladores de domínio mantenha a função de servidor DNS Server e está configuradocomo Active Directory integrado zonas. As zonas DNS só permite actualizações seguras.

Você precisa habilitar atualizações dinâmicas de DNS em DC3.


A. Execute os comandos Ntdsutil.exe Comportamento DS no DC3.

B. Execute o comando Dnscmd.exe / ZoneResetType no DC3.

C. Reinstale Active Directory Domain Services no DC3 como um controlador de domínio gravável.

D. Criar uma partição de diretório de aplicativo personalizado em DC1. Configurar a partição paraarmazenar Active Directory zonas integradas.

Answer: CSection: Configuring Additional AD Server Roles


A RODC vs.a writable DC

QUESTION 12Sua empresa tem um escritório principal e cinco filiais que são conectadas por links WAN. A empresa temum domínio do Active Directory chamado contoso.com. Cada filial possui um servidor membro configuradocomo um servidor DNS. Todos filial servidores DNS hospedar uma zona secundária para contoso.com.

Você precisa configurar a zona contoso.com para resolver consultas de clientes por pelo menos quatro diasno caso de um link WAN falhar.


A. Configure a opção expira depois para a zona contoso.com a 4 dias.

B. Configure a opção de intervalo de repetição para a zona contoso.com a 4 dias.

C. Configure a opção de intervalo de atualização para a zona contoso.com a 4 dias.

D. Configure o mínimo (padrão) opção TTL para a zona contoso.com a 4 dias.

Answer: ASection: AD Sites & Services


http://technet.microsoft.com/en-us/library/bb727018.aspx------------------------------------------------------------------------------------------------------------------------------------------DNS Config

Expires After The period of time for which zone information is valid on the secondary server. If thesecondary server can't download data from a primary server within this period, the secondary server lets thedata in its cache expire and stops responding to DNS queries. Setting Expires After to seven days allowsthe data on a secondary server to be valid for seven days.

QUESTION 13Sua empresa tem um domínio do Active Directory chamado contoso.com. A rede da empresa possui doisservidores de DNS DNS1 e DNS2 nomeados.

Os servidores de DNS são configurados como mostrado na tabela seguinte:

DNS1 DNS2

_msdcs.contoso.comcontoso.com

.(root)_msdcs.contoso.comcontoso.com

Os usuários do domínio, que são configurados para usar DNS2 como o servidor DNS preferencial, sãoincapazes de se conectar aos sites da Internet.

Você precisa habilitar resolução de nomes para todos os computadores clientes.


A. Crie uma cópia do arquivo. (Root) em zona DNS1.

B. Atualizar a lista de servidores de dicas de raiz em DNS2.

C. Atualize o arquivo Cache.dns em DNS2. Configurar o encaminhamento condicional no DNS1.

D. Exclua o arquivo. Zona (root) de DNS2. Configurar o encaminhamento condicional no DNS2.


Explanation/Reference:http://support.microsoft.com/kb/298148----------------------------------------------------------------------------------------------------------------------------------------------DNS Root zone

When you install DNS on a Windows 2000 server that does not have a connection to the Internet, the zonefor the domain is created and a root zone, also known as a dot zone, is also created. This root zone mayprevent access to the Internet for DNS and for clients of the DNS. If there is a root zone, there are no otherzones other than those that are listed with DNS, and you cannot configure forwarders or root hint servers.For these reasons, you may have to remove the root zone.

QUESTION 14Sua empresa tem um domínio do Active Directory chamado contoso.com. FS1 é um servidor membro emcontoso.com.

Você pode adicionar uma placa de interface de rede segundo, NIC2, a FS1 e conectar NIC2 para uma sub-rede que contém computadores em um domínio DNS chamado fabrikam.com.Fabrikam.com tem um servidor DHCP e um servidor de DNS.

Usuários em fabrikam.com são incapazes de resolver FS1 usando o DNS. Você precisa se certificar queFS1 tem um registro no DNS fabrikam.com zona. Quais são as duas maneiras de alcançar essa meta?

(Cada resposta correta apresenta uma solução completa. Escolha dois.)

A. Configure o servidor DHCP no fabrikam.com com a opção de escopo 044 servidores WINS / NBNS.

B. Configure o servidor DHCP no fabrikam.com, definindo o escopo opção 015 DNS Domain Name para ofabrikam.com nome de domínio.

C. Configurar NIC2 configurando o Acrescentar estes sufixos DNS (em ordem): opção.

D. Configurar NIC2 configurando Usar o sufixo DNS desta ligação no DNS opção de inscrição.

E. Configure o servidor DHCP em contoso.com, definindo o escopo opção 015 DNS Domain Name para ofabrikam.com nome de domínio.

Answer: BDSection: AD Sites & Services

Explanation/Reference:OPT1)

http://technet.microsoft.com/en-us/library/cc779282%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------To resolve an unqualified name by appending the primary DNS suffix and the DNS suffix of each connection(if configured), click Append primary and connection specific DNS suffixes. If you also want to search theparent suffixes of the primary DNS suffix up to the second level domain, select the Append parent suffixesof the primary DNS suffix check box.

OPT2)

http://technet.microsoft.com/en-us/library/ee941136%28WS.10%29.aspx---------------------------------------------------------------------------------------------------------------------------------------------- Configure a DNS domain option as a server or scope option using the DHCP MMC.

Dynamic Host Configuration Protocol (DHCP) uses options to pass additional Internet Protocol (IP) settingsto DHCP clients on a network. Examples of DHCP options include:

The default gateway IP address

The Domain Name System (DNS) server IP address

The DNS domain name

QUESTION 15A rede é constituída de uma floresta do Active Directory que contém dois domínios. Todos os servidoresrodam Windows Server 2008 R2. Todos os controladores de domínio são configurados como servidoresDNS.

Você tem uma zona primária padrão para dev.contoso.com que é armazenado em um servidor membro.

Você precisa assegurar que todos os controladores de domínio pode resolver nomes da zona dev.contoso.com.


A. No servidor membro, criar uma zona de stub.

B. No servidor membro, criar um registro NS para cada controlador de domínio.

C. Em um controlador de domínio, criar um encaminhador condicional. Configure o encaminhadorcondicional para replicar para todos os servidores DNS na floresta.

D. Em um controlador de domínio, criar um encaminhador condicional. Configure o encaminhadorcondicional para replicar para todos os servidores DNS do domínio.

Answer: CSection: Configuring AD DNS

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc754941.aspx----------------------------------------------------------------------------------------------------------------------------------------------Conditional Forwarder

When you specify a conditional forwarder, select a DNS domain name before you enter an IP address.

QUESTION 16Você tem um controlador de domínio que executa o Windows Server 2008 R2 e está configurado como umservidor DNS.

Você precisa registrar todas as consultas de entrada DNS para o servidor.

O que você deve configurar no console do Gerenciador de DNS?

A. Ativar o log de depuração.

B. Permitir o teste automático para consultas simples.

C. Permitir o teste automático para consultas recursivas.

D. Configurar o log de eventos para registrar os erros e avisos.

Answer: ASection: Configuring AD DNS

Explanation/Reference:Using server debug logging optionsThe following DNS debug logging options are available:

Direction of packets

Send Packets sent by the DNS server are logged in the DNS server log file.

Receive Packets received by the DNS server are logged in the log file.

Content of packets

Standard queries Specifies that packets containing standard queries (per RFC 1034) are logged in theDNS server log file.

Updates Specifies that packets containing dynamic updates (per RFC 2136) are logged in the DNS serverlog file.

Notifies Specifies that packets containing notifications (per RFC 1996) are logged in the DNS server logfile.

Type of packet

Request Specifies that request packets are logged in the DNS server log file (a request packet ischaracterized by a QR bit set to 0 in the DNS message header).

Response Specifies that response packets are logged in the DNS server log file (a response packet ischaracterized by a QR bit set to 1 in the DNS message header).

http://technet.microsoft.com/en-us/library/cc776361%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------DNS Logging

Dns.log contains debug logging activity. By default, it is located in the windir\System32\Dns folder.

To enable and use file-based logging, see Select and enable debug logging options on the DNS server.

QUESTION 17A rede é constituída de uma floresta do Active Directory chamado contoso.com. Todos os servidores rodamWindows Server 2008 R2. Todos os controladores de domínio são configurados como servidores DNS. Ocontoso.com zona DNS é armazenada na partição de aplicativo ForestDnsZones Active Directory.

Você tem um servidor membro que contém um padrão primário da zona DNS para dev.contoso.com.

Você precisa assegurar que todos os controladores de domínio pode resolver nomes para dev.contoso.com.


A. Criar um registro NS na zona contoso.com.

B. Criar uma delegação na zona contoso.com.

C. Crie uma zona secundária padrão em um servidor de catálogo global.

D. Modificar as propriedades do registro SOA na zona contoso.com.

Answer: BSection: Configuring AD Backup-Restore

Explanation/Reference:When delegating zones within your namespace, be aware that for each new zone you create, you will needdelegation records in other zones that point to the authoritative DNS servers for the new zone. This isnecessary both to transfer authority and to provide correct referral to other DNS servers and clients of thenew servers being made authoritative for the new zone.

http://technet.microsoft.com/en-us/library/cc785881%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Create a DNS Delegation

Using the Windows interface

Open the DNS console.

In the console tree, right-click the applicable subdomain, and then click New Delegation.

Follow the instructions provided in the New Delegation Wizard to finish creating the new delegateddomain.

Using a command line

dnscmdServerName/RecordAddZoneNameNodeName [/Aging] [/OpenAcl] [Ttl] NS {HostName|FQDN}

QUESTION 18A rede contém uma floresta do Active Directory. Todos os controladores de domínio executem o WindowsServer 2008 R2 e são configurados como servidores de DNS. Você tem uma zona integrada ao ActiveDirectory para contoso.com.

Você tem um UNIX baseada em servidor DNS.

Você precisará configurar o Windows Server 2008 R2 ambiente para permitir transferências de zona dazona contoso.com para o servidor de DNS baseado em UNIX.

O que você deve fazer no console do Gerenciador de DNS?

A. Desativar a recursividade.

B. Criar uma zona de stub.

C. Crie uma zona secundária.

D. Habilitar secundários BIND.


Explanation/Reference:http://technet.microsoft.com/en-us/library/cc786538%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Enable BIND - DNS

To enable or disable fast DNS zone transfers using the Windows interface

Open the DNS snap-in.

In the console tree, click the applicable DNS server.

Where? DNS/applicable DNS server

On the Action menu, click Properties.

Click the Advanced tab.

In Server options, select the BIND secondaries check box, and then click OK.

QUESTION 19A rede é constituída de uma floresta do Active Directory que contém um domínio chamado contoso.com.

Todos os controladores de domínio executem o Windows Server 2008 R2 e são configurados comoservidores de DNS. Você tem duas Active Directory zonas integradas: contoso.com e nwtraders.com.

Você precisa garantir que um usuário é capaz de modificar os registros na zona contoso.com. Você deveimpedir que o usuário modificar o registro SOA na zona nwtraders.com.


A. A partir do console do Gerenciador de DNS, modificar as permissões da zona contoso.com.

B. A partir do console do Gerenciador de DNS, modificar as permissões da zona nwtraders.com.

C. Dos usuários do Active Directory e consola computadores, execute o Assistente para delegação decontrole.

D. Dos usuários do Active Directory e consola computadores, modificar as permissões da unidadeorganizacional Controladores de Domínio (OU).


Explanation/Reference:http://technet.microsoft.com/en-us/library/cc780538%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------DNS Security

QUESTION 20

Contoso, Ltd. tem um domínio do Active Directory chamado ad.contoso.com. Fabrikam, Inc. tem umdomínio do Active Directory chamado intranet.fabrikam.com.

Fabrikam política de segurança proíbe a transferência de dados internos da zona DNS fora da redeFabrikam.

Você precisa garantir que os usuários da Contoso são capazes de resolver os nomes do domínio intranet.fabrikam.com.What should you do?

A. Criar uma nova zona de stub para o domínio intranet.fabrikam.com.

B. Configurar o encaminhamentoforwarding para o domínio intranet.fabrikam.com.

C. Criar uma zona secundária padrão para o domínio intranet.fabrikam.com.

D. Criar uma zona activa Directoryintegrated para o domínio intranet.fabrikam.com.


Explanation/Reference:http://msmvps.com/blogs/ad/archive/2008/09/05/how-to-configure-conditional-forwarders-in-windows-server-2008.aspx----------------------------------------------------------------------------------------------------------------------------------------------Configure Conditional Forwarding

Exam B

QUESTION 1Sua empresa tem um domínio do Active Directory chamado ad.contoso.com. O domínio tem doiscontroladores de domínio chamado DC1 e DC2. Ambos os controladores de domínio têm a função deservidor DNS Server instalado.

Você instala um novo servidor DNS chamado DNS1.contoso.com na rede de perímetro. Você podeconfigurar o DC1 para encaminhar todas as solicitações de nomes não resolvidos para DNS1.contoso.com.

Você descobre que a opção de encaminhamento de DNS não está disponível no DC2. Você precisaconfigurar o redirecionamento de DNS no servidor DC2 para apontar para o servidor DNS1.contoso.com.Quais duas ações você deve executar?

(Cada resposta correta representa parte da solução. Escolha dois.)

A. Limpe o cache de DNS no DC2.

B. Excluir a zona raiz DC2.

C. Configurar o encaminhamento condicional no DC2.

D. Configure o escuta em endereços no DC2.

Answer: BCSection: Configuring AD DNS

Explanation/Reference:http://support.microsoft.com/kb/298148----------------------------------------------------------------------------------------------------------------------------------------------DNS Root zone

When you install DNS on a Windows 2000 server that does not have a connection to the Internet, the zonefor the domain is created and a root zone, also known as a dot zone, is also created. This root zone mayprevent access to the Internet for DNS and for clients of the DNS. If there is a root zone, there are no otherzones other than those that are listed with DNS, and you cannot configure forwarders or root hint servers.For these reasons, you may have to remove the root zone.

QUESTION 2A rede é constituída de uma floresta do Active Directory que contém um domínio. Todos os controladoresde domínio executem o Windows Server 2008 R2 e são configurados como servidores de DNS. Você temuma zona integrada ao Active Directory.

Você tem dois sites do Active Directory. Cada site contém cinco controladores de domínio.

Você adiciona um novo registro NS para a zona.

Você precisa assegurar que todos os controladores de domínio recebe imediatamente o registro NS novo.


A. A partir do console do Gerenciador de DNS, recarregue a zona.

B. A partir dos snap-in Serviços, reinicie o serviço do servidor DNS.

C. No prompt de comando, execute repadmin / syncall.

D. A partir do console do Gerenciador de DNS, aumentar o número de versão do registro SOA.



----------------------------------------------------------------------------------------------------------------------------------------------Sync Replication

repadmin /syncall

Synchronizes a specified domain controller with all of its replication partners.

QUESTION 3Você tem um controlador de domínio chamado DC1 que executa o Windows Server 2008 R2. DC1 éconfigurado como um servidor DNS para contoso.com.

Você instalar a função de servidor DNS Server em um servidor membro nomeado Server1 e depois criaruma zona secundária padrão para contoso.com. Você pode configurar DC1 como o servidor principal paraa zona.

Você precisa se certificar que Server1 recebe atualizações zona de DC1.


A. No Server1, adicione um encaminhador condicional.

B. Em DC1, modificar as permissões de contoso.com zona.

C. Em DC1, modificar as configurações de transferência de zona para zona contoso.com.

D. Adicione a conta de computador Server1 ao grupo DnsUpdateProxy.


Explanation/Reference:http://technet.microsoft.com/en-us/library/cc739056%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Modify zone transfer settings

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2003 with SP2

To modify DNS zone transfer settings

Using the Windows interface

Open DNS.

Right-click a DNS zone, and then click Properties.

On the Zone Transfers tab, do one of the following:

To disable zone transfers, clear the Allow zone transfers check box.

To allow zone transfers, select the Allow zone transfers check box.

If you allowed zone transfers, do one of the following:

To allow zone transfers to any server, click To any server.

To allow zone transfers only to the DNS servers listed on the Name Servers tab, click Only to serverslisted on the Name Servers tab.

To allow zone transfers only to specific DNS servers, click Only to the following servers, and then addthe IP address of one or more DNS servers.


dnscmdServerName/ZoneResetSecondariesZoneName {/NoXfr | /NonSecure | /SecureNs | /SecureList[SecondaryIPAddress...]}

QUESTION 4Sua rede consiste de um domínio único diretório Active. Todos os controladores de domínio executem oWindows Server 2008 R2 e são configurados como servidores de DNS.

Um controlador de domínio chamado DC1 tem uma zona primária padrão para contoso.com. Umcontrolador de domínio chamado DC2 tem uma zona secundária padrão para contoso.com.

É necessário assegurar que a replicação do fuso contoso.com é codificada. Você não deve perder todos osdados da zona.


A. Em ambos os servidores, modificar a interface que o servidor DNS escuta.

B. Converter a zona primária em uma zona integrada ao Active Directory. Excluir a zona secundária.

C. Converter a zona primária em uma zona de stub integrado ao Active Directory. Excluir a zonasecundária.

D. Configurar as configurações de zona de transferência de zona primária padrão. Modificar servidores aslistas mestre na zona secundária.


Explanation/Reference:support.microsoft.com/kb/816101--------------------------------------------------------------------------------------------------------------------------Convert Primary DNS Server to Active Directory Inte grated Primary


QUESTION 5Sua rede consiste de um domínio único diretório Active. O domínio contém 10 controladores de domínio.Os controladores de domínio executem o Windows Server 2008 R2 e são configurados como servidores deDNS.

Você planeja criar uma nova zona integrada ao Active Directory.

Você precisa garantir que a nova zona só é replicado para quatro dos controladores de domínio.

O que você deve fazer primeiro?

A. Criar uma nova delegação na partição de diretório de aplicativos ForestDnsZones.

B. Criar uma nova delegação na partição de diretório de aplicativos DomainDnsZones.

C. No prompt de comando, execute dnscmd e especificar o parâmetro / enlistdirectorypartition.

D. No prompt de comando, execute dnscmd e especificar o parâmetro / createdirectorypartition.


Explanation/Reference:http://technet.microsoft.com/en-us/library/cc756116%28WS.10%29.aspx#BKMK_5----------------------------------------------------------------------------------------------------------------------------------------------Dnscmd createdirectorypartition

Creates a DNS application directory partition. When DNS is installed, an application directory partition forthe service is created at the forest and domain levels. This operation creates additional DNS applicationdirectory partitions.Syntax

Art Image dnscmd [ServerName] /createdirectorypartition PartitionFQDNParameters

ServerName Specifies the DNS server the administrator plans to manage, represented by IP address, FQDN, or Hostname. If omitted, the local server is used.

PartitionFQDN The fully qualified domain name of the DNS application directory partition that will be created.

Dnscmd deletedirectorypartition

Removes an existing DNS application directory partition.Syntax

Art Image dnscmd [ServerName] /deletedirectorypartition PartitionFQDNParameters

ServerName Specifies the DNS server the administrator plans to manage, represented by IP address, FQDN, or Hostname. If omitted, the local server is used.

PartitionFQDN The fully qualified domain name of the DNS application directory partition that will be removed.

Dnscmd directorypartitioninfo

Lists information about a specified DNS application directory partition.Syntax

Art Image dnscmd [ServerName] /directorypartitioninfo PartitionFQDN [/detail]

QUESTION 6Sua rede consiste de um domínio único diretório Active. Você tem um controlador de domínio e um servidormembro que executar o Windows Server 2008 R2. Ambos os servidores são configurados como servidoresDNS. Os computadores clientes executam o Windows XP Service Pack 3 ou Windows 7. Você tem umazona primária padrão no controlador de domínio. O servidor membro hospeda uma cópia secundária dazona.

Você precisa garantir que apenas usuários autenticados têm permissão para atualizar host (A) registros nazona DNS.


A. No servidor membro, adicionar um encaminhador condicional.

B. No servidor membro, instalar Active Directory Domain Services.

C. Adicione todas as contas de computador para o grupo DnsUpdateProxy.

D. Converter a zona primária padrão para uma zona integrada ao Active Directory.


Explanation/Reference:support.microsoft.com/kb/816101--------------------------------------------------------------------------------------------------------------------------Convert Primary DNS Server to Active Directory Inte grated Primary


QUESTION 7Sua empresa tem um domínio do Active Directory. A sede tem um servidor DNS chamado DNS1 que estáconfigurado com Active Directory DNS integrado. A filial possui um servidor DNS chamado DNS2 quecontém uma cópia secundária da zona de DNS1. Os dois escritórios estão conectados com uma ligaçãoWAN não confiáveis .

Você pode adicionar um novo servidor para o cargo principal. Cinco minutos após a adição do servidor, umusuário a partir dos relatórios de filiais que ele é incapaz de se conectar ao novo servidor. Você precisagarantir que o usuário é capaz de se conectar ao novo servidor.


A. Limpe o cache de DNS2.

B. Atualizar a zona em DNS1.

C. Atualize a zona de DNS2.

D. Exportar a zona de DNS1 e importar a zona de DNS2.


Explanation/Reference:http://technet.microsoft.com/en-us/library/cc784052%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------DNS Dynamic update

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2003 with SP2

Dynamic update

Dynamic update enables DNS client computers to register and dynamically update their resource recordswith a DNS server whenever changes occur. This reduces the need for manual administration of zonerecords, especially for clients that frequently move or change locations and use DHCP to obtain an IPaddress.

The DNS Client and Server services support the use of dynamic updates, as described in Request forComments (RFC) 2136, "Dynamic Updates in the Domain Name System." The DNS Server service allowsdynamic update to be enabled or disabled on a per-zone basis at each server configured to load either astandard primary or directory-integrated zone. By default, the DNS Client service will dynamically updatehost (A) resource records (RRs) in DNS when configured for TCP/IP. For more information about RFCs,see DNS RFCs.How client and server computers update their DNS names

By default, computers that are statically configured for TCP/IP attempt to dynamically register host (A) andpointer (PTR) resource records (RRs) for IP addresses configured and used by their installed networkconnections. By default, all computers register records based on their fully qualified domain name (FQDN).

The primary full computer name, a FQDN, is based on the primary DNS suffix of a computer appended toits Computer name.

Both of these settings are displayed or configured from the Computer Name tab in System properties. Formore information, see View system properties.

QUESTION 8Você precisa implantar um controlador de domínio somente leitura (RODC) que executa o Windows Server2008 R2.

Qual é o nível de floresta mínima funcional que você deve usar?

A. Windows Server 2008 R2

B. Windows Server 2008

C. Windows Server 2003

D. Windows 2000

Answer: CSection: Configuring Additional AD Server Roles

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc731243%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Prerequisites for Deploying an RODC

Applies To: Windows Server 2008, Windows Server 2008 R2

Complete the following prerequisites before you deploy a read-only domain controller (RODC):

Ensure that the forest functional level is Windows Server 2003 or h igher , so that linked-valuereplication (LVR) is available. This provides a higher level of replication consistency. The domain functionallevel must be Windows Server 2003 or higher, so that Kerberos constrained delegation is available. If theforest functional level is Windows Server 2003, the domain functional level of all domains in the forest isWindows Server 2003 or higher.

QUESTION 9Sua empresa tem um domínio único diretório ativo chamado intranet.contoso.com. Todos os controladoresde domínio executem o Windows Server 2008 R2. O nível funcional do domínio for nativo do Windows2000 eo nível funcional da floresta é o Windows 2000.

Você precisa garantir o sufixo UPN para contoso.com está disponível para contas de usuário.


A. Elevar o nível funcional da floresta intranet.contoso.com para o Windows Server 2003 ou superior.

B. Elevar o nível de domínio intranet.contoso.com funcional para o Windows Server 2003 ou superior.

C. Adicione o sufixo UPN novo para a floresta.

D. Altere a opção Sufixo DNS primário em controladores de domínio padrão GPO (GPO) para contoso.com.

Answer: CSection: Configuring Domains and Trusts

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc772007.aspx----------------------------------------------------------------------------------------------------------------------------------------------Add User Principal Name Suffixes

To add UPN suffixes

Open Active Directory Domains and Trusts. To open Active Directory Domains and Trusts, click Start,click Administrative Tools, and then click Active Directory Domains and Trusts.

In the console tree, right-click Active Directory Domains and Trusts, and then click Properties.

On the UPN Suffixes tab, type an alternative UPN suffix for the forest, and then click Add.

Repeat step 3 to add additional alternative UPN suffixes.

Additional considerations

To perform this procedure, you must be a member of the Domain Admins group or Enterprise Adminsgroup in Active Directory Domain Services (AD DS), or you must have been delegated the appropriateauthority. As a security best practice, consider using Run as to perform this procedure. For moreinformation, search for "using run as" in Help and Support.

UPN suffixes should conform to DNS conventions for valid characters and syntax.

You can also perform the task in this procedure by using the Active Directory module for WindowsPowerShell. To open the Active Directory module, click Start, click Administrative Tools, and then clickActive Directory Module for Windows PowerShell. For more information, see Add User Principal NameSuffixes (http://go.microsoft.com/fwlink/?LinkId=137827). For more information about Windows PowerShell,see Windows PowerShell (http://go.microsoft.com/fwlink/?LinkID=102372).

QUESTION 10Sua empresa: A. Datum Corporation, tem um domínio único diretório ativo chamado intranet.adatum.com.O domínio tem dois controladores de domínio que executam o Windows Server 2008 R2 sistemaoperacional.Os controladores de domínio também executar servidores DNS.

O intranet.adatum.com zona DNS é configurado como uma zona ativa Directoryintegrated com aconfiguração dinâmica de atualizações configurado para proteger apenas. A nova política de segurançacorporativa exige que o intranet.adatum.com zona DNS deve ser atualizado apenas pelos controladores dedomínio ou servidores membros.

Você precisa configurar a zona intranet.adatum.com para atender a exigência da nova política desegurança.

Quais duas ações você deve executar?


A. Remova a conta de usuários autenticados na guia Segurança das propriedades intranet.adatum.comzona DNS.

B. Atribua a conta SELF Negar sobre permissão de gravação na guia Segurança das propriedadesintranet.adatum.com zona DNS.

C. Atribuir o computador do servidor representa a opção Permitir que em Escrever Tudo permissãoPropriedades na guia Segurança das propriedades intranet.adatum.com zona DNS.

D. Atribuir o computador do servidor representa a opção Permitir que em Create All Child Objectspermissão na guia Segurança das propriedades intranet.adatum.com zona DNS.

Answer: ADSection: Configuring AD DNS

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc780538%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------DNS Security

C is incorrect becuase there is no "Allow on Write All" permission (see screenshot below).

C is incorrect becuase there is no "Allow on Write All" permission.

QUESTION 11Sua empresa tem uma floresta do Active Directory que contém apenas o Windows Server 2008controladores de domínio.

Você precisa preparar o domínio do Active Directory para instalar o Windows Server 2008 R2 controladoresde domínio.

Quais são as duas tarefas que você deve executar?


A. Execute o comando adprep /forestprep.

B. Execute o comando adprep /domainprep.

C. Elevar o nível funcional da floresta para o Windows Server 2008.

D. Elevar o nível funcional do domínio para Windows Server 2008.

Answer: ABSection: Powershell & Command line cmds

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc731728%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Adprep

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2008

Extends the Active Directory® schema and updates permissions as necessary to prepare a forest anddomain for a domain controller that runs the Windows Server® 2008 operating system.

Adprep.exe is a command-line tool that is available on the Windows Server 2008 installation disc in the\sources\adprep folder, and it is available on the Windows Server 2008 R2 installation disk in the \support\adprep folder. You must run adprep from an elevated command prompt. To open an elevated commandprompt, click Start, right-click Command Prompt, and then click Run as administrator.

In Windows Server 2008 R2, Adprep is available in a 32-bit version and a 64-bit version. The 64-bit versionruns by default. If you need to run Adprep on a 32-bit computer, run the 32-bit version (Adprep32.exe).

For more information about running Adprep.exe and how to resolve errors that can occur when you run it,see Running Adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597).

For examples of how this command can be used, see Examples.

For more information about running adprep /forestprep, see Prepare a Windows 2000 or Windows Server2003 Forest Schema for a Domain Controller That Runs Windows Server 2008 or Windows Server 2008 R2(http://go.microsoft.com/fwlink/?LinkID=93242).

For more information about running adprep /domainprep /gpprep, see Prepare a Windows 2000 orWindows Server 2003 Domain for a Domain Controller That Runs Windows Server 2008 or WindowsServer 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=93243).

For more information about running adprep /rodcprep, see Prepare a Forest for a Read-Only DomainController (http://go.microsoft.com/fwlink/?LinkID=93244).

QUESTION 12.

Sua empresa tem um domínio único diretório Active. Todos os controladores de domínio executem oWindows Server 2003.

Você instalar o Windows Server 2008 R2 em um servidor.

Você precisa adicionar o novo servidor como controlador de domínio em seu domínio.


A. No novo servidor, execute dcpromo / adv.

B. No novo servidor, execute dcpromo / CreateDCAccount.

C. Em um controlador de domínio executar adprep /rodcprep.

D. Em um controlador de domínio, execute adprep / forestprep.

Answer: DSection: Creating & Maintaining AD Objects

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc731728%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Adprep

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2008

Extends the Active Directory® schema and updates permissions as necessary to prepare a forest anddomain for a domain controller that runs the Windows Server® 2008 operating system.

Adprep.exe is a command-line tool that is available on the Windows Server 2008 installation disc in the\sources\adprep folder, and it is available on the Windows Server 2008 R2 installation disk in the \support\adprep folder. You must run adprep from an elevated command prompt. To open an elevated commandprompt, click Start, right-click Command Prompt, and then click Run as administrator.

In Windows Server 2008 R2, Adprep is available in a 32-bit version and a 64-bit version. The 64-bit versionruns by default. If you need to run Adprep on a 32-bit computer, run the 32-bit version (Adprep32.exe).

For more information about running Adprep.exe and how to resolve errors that can occur when you run it,see Running Adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597).

For examples of how this command can be used, see Examples.

For more information about running adprep /forestprep, see Prepare a Windows 2000 or Windows Server2003 Forest Schema for a Domain Controller That Runs Windows Server 2008 or Windows Server 2008 R2(http://go.microsoft.com/fwlink/?LinkID=93242).

For more information about running adprep /domainprep /gpprep, see Prepare a Windows 2000 orWindows Server 2003 Domain for a Domain Controller That Runs Windows Server 2008 or WindowsServer 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=93243).

For more information about running adprep /rodcprep, see Prepare a Forest for a Read-Only DomainController (http://go.microsoft.com/fwlink/?LinkID=93244).

QUESTION 13.

A sua empresa tem duas florestas Active Directory, como mostrado na tabela seguinte:

Forest name Forest functional level Domain(s)

contoso.com Windows Server 2008 contoso.com

fabrikam.com Windows Server 2008 fabrikam.com eng.fabrikam.com

As florestas são conectados através de uma confiança de floresta bidirecional. Cada direção confiança éconfigurado com a autenticação de toda a floresta. A nova política de segurança da empresa proíbe que osusuários do domínio eng.fabrikam.com para acessar recursos no domínio contoso.com.

Você precisará configurar a confiança de floresta para cumprir a exigência da nova política de segurança.


A. Excluir a confiança de floresta de saída no domínio contoso.com.

B. Excluir a confiança de floresta de entrada no domínio contoso.com.

C. Altere as propriedades da confiança de floresta de entrada existente no domínio contoso.com de toda afloresta de autenticação para autenticação seletiva.

D. Altere as propriedades da confiança de floresta existente saída no domínio contoso.com para excluir *.Eng.fabrikam.com do Sufixo Nome de roteamento Properties Trust.

Answer: DSection: Maintaining the AD Environment

Explanation/Reference:Name Suffixes Routing controls routing of authentication traffic. When an account attempts to authenticateand that account does not exist in the local domain, the Name Suffix Route is used to direct authentication requests to the trusted forest root domain.When you exclude a name suffix, all children of that DNS name will also be excluded, so this means alsoall users from fabrikam.com

Exclude name suffixes from routing to a local foresthttp://technet.microsoft.com/en-us/library/cc758388(WS.10).aspx

-Q- answer C

http://technet.microsoft.com/en-us/library/cc778851%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Create a two-way, forest trust for both sides of th e trust

To create a two-way, forest trust for both sides of the trust

Open Active Directory Domains and Trusts.

In the console tree, right-click the domain node for the domain that you want to establish a trust with, andthen click Properties.

On the Trusts tab, click New Trust, and then click Next.

On the Trust Name page, type the Domain Name System (DNS) name (or network basic input/outputsystem (NetBIOS) name) of the domain, and then click Next.

On the Trust Type page, click Forest trust, and then click Next.

On the Direction of Trust page, click Two-way, and then click Next.

For more information about the selections that are available on the Direction of Trust page, see thesection "Direction of Trust" in Appendix: New Trust Wizard Pages.

On the Sides of Trust page, click Both this domain and the specified domain, and then click Next.

For more information about the selections that are available on the Sides of Trust page, see the section"Sides of Trust" in Appendix: New Trust Wizard Pages.

On the User Name and Password page, type the user name and password for the appropriateadministrator in the specified domain.

On the Outgoing Trust Authentication Level--Local Forest page, do one of the following, and then clickNext: Click Forest-wide authentication.

Click Selective authentication.

On the Outgoing Trust Authentication Level--Specified Forest page, do one of the following, and thenclick Next: Click Forest-wide authentication.

Click Selective authentication.

On the Trust Selections Complete page, review the results, and then click Next.

On the Trust Creation Complete page, review the results, and then click Next.

On the Confirm Outgoing Trust page, do one of the following: If you do not want to confirm this trust, click No, do not confirm the outgoing trust. Note that if you donot confirm the trust at this stage, the secure channel will not be established until the first time the trust isused by users.

If you want to confirm this trust, click Yes, confirm the outgoing trust, and then supply the appropriateadministrative credentials from the specified domain.

On the Confirm Incoming Trust page, do one of the following: If you do not want to confirm this trust, click No, do not confirm the incoming trust.

If you want to confirm this trust, click Yes, confirm the incoming trust, and then supply the appropriateadministrative credentials from the specified domain.

On the Completing the New Trust Wizard page, click Finish.

QUESTION 14Você tem um site existente do Active Directory chamado Site1. Você cria um site novo Active Directory enomeá-la Site2.

Você precisa configurar a replicação do Active Directory entre Site1 e Site2. Você instala um novocontrolador de domínio. Você cria o link de site entre Site1 e Site2.

O que você deve fazer a seguir?

A. Use os sites do Active Directory e consola Serviços para configurar um novo site objeto ponte link.

B. Use os sites do Active Directory e consola Serviços para diminuir o custo da ligação local entre Site1 eSite2.

C. Use os sites do Active Directory e consola Serviços para atribuir uma nova sub-rede IP para Site2.Mova o objeto novo controlador de domínio para Site2.

D. Use os sites do Active Directory e consola Serviços para configurar o novo controlador de domíniocomo um servidor ponte preferencial para Site1.

Answer: CSection: AD Sites & Services

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc730718.aspx----------------------------------------------------------------------------------------------------------------------------------------------AD Sites & Services - Configure an Additional Site

The tasks for configuring a new site include the following:

Creating the site

Mapping the correct IP addresses to the site by creating a subnet

Linking the site to another site or sites by creating a site link and adding the new site to it

QUESTION 15Sua rede consiste de um domínio único diretório Active. Todos os controladores de domínio executem oWindows Server 2003.

Você atualiza todos os controladores de domínio para o Windows Server 2008 R2.

Você precisa se certificar de que o compartilhamento Sysvol repetições, utilizando a Replicação DFS (DFS-R).


A. No prompt de comando, execute netdom /reset.

B. No prompt de comando, execute dfsutil /addroot: sysvol.

C. Elevar o nível funcional do domínio para o Windows Server 2008 R2.

D. No prompt de comando, execute dcpromo / unattend: unattendfile.xml.

Answer: CSection: Maintaining the AD Environment

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc731728%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Windows Server 2008 uses the newer DFS Replication service when in domains that use the WindowsServer 2008 domain functional level , and FRS for domains that run older domain functional levels.

QUESTION 16Sua empresa tem uma filial que está configurado como um site Active Directory separado e tem umcontrolador de domínio do Active Directory.

O site do Active Directory requer um servidor de catálogo global local para apoiar uma nova candidatura.

Você precisará configurar o controlador de domínio como um servidor de catálogo global.

Qual ferramenta devo usar?

A. A utilidade Dcpromo.exe

B. O console do Server Manager

C. O console Gerenciamento do Computador

D. Os sites do Active Directory e console Serviços

E. Os domínios do Active Directory e console Trusts

Answer: DSection: AD Sites & Services

Explanation/Reference:To add or remove the global catalog Open Active Directory Sites and Services . To open Active Directory Sites and Services, click Start , clickAdministrative Tools , and then click Active Directory Sites and Services .

http://technet.microsoft.com/en-us/library/cc733162.aspx----------------------------------------------------------------------------------------------------------------------------------------------Adding the Global Catalog to a Site


A global catalog server makes it possible to search the entire Active Directory Domain Services (AD DS)forest without referrals to a domain controller in the domain that stores the target of the search. When you

add the global catalog to a domain controller, a partial, read-only replica of every domain in the forest (otherthan the domain that the new global catalog server stores) is replicated to the domain controller. Globalcatalog servers are required for searching and for processing domain logons in forests where universalgroups are available.Global catalog servers and domains

Global catalog servers respond to forest-wide Lightweight Directory Access Protocol (LDAP) queries overport 3268. The global catalog eliminates the need for a query to be sent to multiple domain controllers untilthe query locates the domain that contains the requested object.

When a forest contains only one domain, all domain controllers have the full complement of objects that canbe searched, and a global catalog server is not required to eliminate referrals to other domains. However,because the global catalog port is different from the default LDAP port (389), global catalog queries mustlocate a global catalog server. In a single-domain forest, by configuring all domain controllers as globalcatalog servers you ensure that global catalog queries are load-balanced evenly among all domaincontrollers in the domain. Because no additional replication or processing of other domain data is required,the single-domain global catalog server requires no special hardware advantages over other domaincontrollers.

If a forest contains more than one domain, however, a global catalog server must store and replicatedomain data for all domains in the forest. In this case, determine the placement of global catalog servers inyour forest according to site needs, as described in the following section.Global catalog servers and sites

To optimize network performance in a multiple-site environment, consider adding global catalog servers insites according to the needs in the sites for fast search responses and domain logons. In a single-site,multiple-domain environment, a single global catalog server is usually sufficient to cover common ActiveDirectory queries and logons. Use the information in the following table to determine whether your multiple-domain, multiple-site environment can benefit from additional global catalog servers.

QUESTION 17Sua empresa tem um escritório central e 10 filiais. Cada filial tem um site do Active Directory que contémum controlador de domínio.Controladores de domínio somente no escritório principal são configurados como servidores de catálogoglobal.

Você precisa desativar o Grupo Universal opção cache de membros nos controladores de domínio nasfiliais.

Em que nível você deve desativar a opção Universal Grupo cache de membros?

A. Site

B. Server

C. Domain

D. Objeto de conexão


Explanation/Reference:http://technet.microsoft.com/en-us/magazine/ff797984.aspx----------------------------------------------------------------------------------------------------------------------------------------------Enable/disable Universal Group Membership Caching o ption

You can enable or disable universal group membership caching by following these steps:1. In Active Directory Sites And Services , expand and then select the site you want to work with.2. In the details pane, right-click NTDS Site Settings, and then click Properties.3. To enable universal group membership caching, select the Enable Universal Group Membership Cachingcheck box on the Site Settings tab. Then, in the Refresh Cache From list, choose a site from which to cacheuniversal group memberships. The selected site must have a working global catalog server.

4. To disable universal group membership caching, clear the Enable Universal Group Membership Cachingcheck box on the Site Settings tab.5. Click OK.

QUESTION 18Sua empresa tem uma floresta do Active Directory. Nem todos os controladores de domínio na floresta sãoconfigurados como servidores de catálogo global. Sua estrutura de domínio contém um domínio raiz e umdomínio filho.

Você pode modificar as permissões de pasta em um servidor de arquivos que está no domínio filho. Vocêdescobre que algumas entradas de controle de acesso começa com S-1-5-21 ... e que nenhum nome daconta é listado.

Você precisa listar os nomes de conta.


A. Mova o papel de mestre de RID no domínio filho para um controlador de domínio que detém o catálogoglobal.

B. Modificar o esquema para ativar a replicação dos friendlynames atribuir ao catálogo global.

C. Mova o papel de mestre de RID no domínio filho de um controlador de domínio que não possui ocatálogo global.

D. Mova a função de mestre de infra-estruturas no domínio filho para um controlador de domínio que nãodetém o catálogo global.

Answer: DSection: Configuring AD FSMO Roles

Explanation/Reference:http://support.microsoft.com/kb/22334----------------------------------------------------------------------------------------------------------------------------------------------Infrastructure master role and the Global Catalog

As a general rule, the infrastructure master should be located on a nongl obal catalog server that has adirect connection object to some global catalog in the forest, preferably in the same Active Directory site.Because the global catalog server holds a partial replica of every object in the forest, the infrastructuremaster, if placed on a global catalog server, will never update anything, because it does not contain anyreferences to objects that it does not hold. Two exceptions to the "do not place the infrastructure master ona global catalog server" rule are:

o Single domain forest:

In a forest that contains a single Active Directory domain, there are no phantoms, and so the infrastructuremaster has no work to do. The infrastructure master may be placed on any domain controller in the domain,regardless of whether that domain controller hosts the global catalog or not.

o Multidomain forest where every domain controller in a domain holds the global catalog:

If every domain controller in a domain that is part of a multidomain forest also hosts the global catalog, thereare no phantoms or work for the infrastructure master to do. The infrastructure master may be put on anydomain controller in that domain.

QUESTION 19Sua empresa tem um domínio do Active Directory.

Você fazer logon no controlador de domínio. O Esquema do Active Directory snap-in não está disponível noMicrosoft Management Console (MMC).

Você precisa acessar o Active Directory Schema snap-in.


A. Registre Schmmgmt.dll.

B. Faça logoff e logon novamente usando uma conta que seja membro do grupo Administradores deesquema.

C. Use o comando Ntdsutil.exe para se conectar ao mestre de esquema de mestre de operações e abrir oesquema para escrever.

D. Adicione a função do Active Directory Lightweight Directory Services (AD / LDS) para o controlador dedomínio usando o Gerenciador do Servidor.

Answer: ASection: Configuring AD FSMO Roles

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc732110.aspx----------------------------------------------------------------------------------------------------------------------------------------------Install the Active Directory Schema Snap-In

Open an elevated command prompt. Click Start, type command prompt, and then right-click CommandPrompt when it appears in the Start menu. Next, click Run as administrator. When the command promptopens, type the command below, and then press ENTER:

regsvr32 schmmgmt.dll

Now you can open from Admin tools like the ADUC

QUESTION 20Sua empresa tem dois controladores de domínio chamado DC1 e DC2. DC1 hospeda todos os domínios eas funções de mestre de operações florestais.DC1 falhar.

Você precisa reconstruir DC1 reinstalando o sistema operacional. Você também precisa reverter todas asfunções mestre de operações para seu estado original. Você executar uma limpeza de metadados eremover todas as referências de DC1.

Quais as três ações que você deve executar a seguir?

(Para responder, mover as ações apropriadas da lista de ações para a área de resposta e organizá-los naordem correta.)

Answer:

Section: Configuring AD FSMO Roles


Exam C

QUESTION 1Está desclassificação um dos controladores de domínio em um domínio filho. Você precisa de transferirtodas as operações funções de mestre de domínio no domínio filho para um controlador de domínio recém-instalado no domínio filho mesmo.

Quais as três operações funções de mestre de domínio que você deve transferir?

(Cada resposta correta representa parte da solução. Escolha três.)

A. RID master

B. PDC emulator

C. Schema master

D. Infrastructure master

E. Domain naming master

Answer: ABDSection: Configuring AD FSMO Roles

Explanation/Reference:Each domain in a forest has its own RID master, PDC emulator, and infrastructure master.

http://technet.microsoft.com/en-us/library/cc779716%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Operations Master Roles

The five operations master roles are assigned automatically when the first domain controller in a givendomain is created. Two forest-level roles are assigned to the first domain controller created in a forest andthree domain-level roles are assigned to the first domain controller created in a domain.Forestwide Operations Master Roles

The schema master and domain naming master are forestwide roles, meaning that there is only oneschema master and one domain naming master in the entire forest.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Domainwide Operations Master Roles

The other operations master roles are domainwide roles, meaning that each domain in a forest has its ownRID master, PDC emulator, and infrastructure master.RID Master

The relative identifier (RID) operations master allocates blocks of RIDs to each domain controller in thedomain. Whenever a domain controller creates a new security principal, such as a user, group, or computerobject, it assigns the object a unique security identifier (SID). This SID consists of a domain SID, which isthe same for all security principals created in the domain, and a RID, which uniquely identifies each securityprincipal created in the domain.PDC Emulator

The PDC emulator operations master acts as a Windows NT PDC in domains that contain client computersoperating without AD DS client software or Windows NT backup domain controllers (BDC). In addition, thePDC emulator processes password changes from clients and replicates the updates to the Windows NTBDCs. Even after all Windows NT domain controllers are upgraded to AD DS, the PDC emulator receivespreferential replication of password changes performed by other domain controllers in the domain.

If a logon authentication fails at another domain controller due to a bad password, that domain controllerforwards the authentication request to the PDC emulator before rejecting the logon attempt.Infrastructure Master

The infrastructure operations master is responsible for updating object references in its domain that pointto the object in another domain. The infrastructure master updates object references locally and usesreplication to bring all other replicas of the domain up to date. The object reference contains the object’sglobally unique identifier (GUID), distinguished name and possibly a SID. The distinguished name and SIDon the object reference are periodically updated to reflect changes made to the actual object. Thesechanges include moves within and between domains as well as the deletion of the object. If theinfrastructure master is unavailable, updates to object references are delayed until it comes back online.

QUESTION 2Sua empresa tem um domínio do Active Directory. A empresa tem dois controladores de domínio chamadoDC1 e DC2. DC1 tem a função de mestre de esquema.DC1 falhar. Você fazer logon no Active Directory usando a conta de administrador. Você não é capaz detransferir a função mestre de esquema.

Você precisa se certificar que DC2 tem a função de mestre de esquema.


A. Registre o Schmmgmt.dll. Inicie o Esquema do Active Directory snap-in.

B. Configurar DC2 como um servidor ponte.

C. No DC2, o papel de mestre de esquema.

D. Faça logoff e logon novamente para o Active Directory usando uma conta que seja membro do grupoAdministradores de esquema. Inicie o Esquema do Active Directory snap-in.

Answer: CSection: Configuring AD FSMO Roles

Explanation/Reference:Only a schema admin can perform this task but you are logged on with the administrator account and he isa member of the shema admins group!

http://support.microsoft.com/kb/255504----------------------------------------------------------------------------------------------------------------------------------------------Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

We recommend that you seize FSMO roles in the following scenarios:

The current role holder is experiencing an operational error that prevents an FSMO-dependent operationfrom completing successfully and that role cannot be transferred. A domain controller that owns an FSMO role is force-demoted by using the dcpromo /forceremovalcommand. The operating system on the computer that originally owned a specific role no longer exists or has beenreinstalled.

QUESTION 3Está controladores de desmantelamento de domínio que detém todos os de toda a floresta funções mestrede operações. Você precisa de transferir todos os de toda a floresta funções mestre de operações paraoutro controlador de domínio.

Quais os dois papéis que você deve transferir?


A. RID master

B. PDC emulator

C. Schema master

D. Infrastructure master

E. Domain naming master

Answer: CESection: Configuring AD FSMO Roles

Explanation/Reference:The schema master and domain naming master are forestwide roles, meaning that there is only oneschema master and one domain naming master in the entire forest.

http://support.microsoft.com/kb/255504----------------------------------------------------------------------------------------------------------------------------------------------Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

We recommend that you transfer FSMO roles in the following scenarios:

The current role holder is operational and can be accessed on the network by the new FSMO owner. You are gracefully demoting a domain controller that currently owns FSMO roles that you want to assignto a specific domain controller in your Active Directory forest. The domain controller that currently owns FSMO roles is being taken offline for scheduled maintenanceand you need specific FSMO roles to be assigned to a “live” domain controller. This may be required toperform operations that connect to the FSMO owner. This would be especially true for the PDC Emulatorrole but less true for the RID master role, the Domain naming master role and the Schema master roles.

We recommend that you seize FSMO roles in the following scenarios:

The current role holder is experiencing an operational error that prevents an FSMO-dependent operationfrom completing successfully and that role cannot be transferred. A domain controller that owns an FSMO role is force-demoted by using the dcpromo /forceremovalcommand. The operating system on the computer that originally owned a specific role no longer exists or has beenreinstalled.

QUESTION 4Sua empresa tem um servidor que executa uma instância do Active Directory Lightweight DirectoryServices (AD LDS).

Você precisa criar novas unidades organizacionais na partição de diretório AD LDS aplicação.


A. Use o Active Directory Users and Computers snap-in para criar as unidades organizacionais na partiçãode diretório AD LDS aplicação.

B. Use o ADSI Edit snap-in para criar as unidades organizacionais na partição de diretório AD LDSaplicação.

C. Use o comando <OrganizationalUnitDN> dsadd ou para criar as unidades organizacionais.

D. Use o comando <OrganizationalUnitDN> dsmod OU para criar as unidades organizacionais.

Answer: BSection: Configuring AD LDS

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc794959%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Manage an AD LDS Instance Using ADSI Edit

Explanation:You can use both the Adsiedit.msc tool to create a new OU in the AD LDS application directory partition.

AD LDS isusually used to store information about users, organizations, and the groups that they belong to. LightweightDirectory Access Protocol (LDAP)-based directories, such as Active Directory Domain Services (AD DS)and AD LDS, most commonly use OUs to keep usersand groups organized. To create a new OU in AD LDS, you can use Adsiedit.msc tool. Active DirectoryServices Interfaces Editor (ADSI Edit) is a low-level editor for AD DS and AD LDS. ADSI Edit can be used toview, modify, create, anddelete any object in AD DS and AD LDS.

QUESTION 5Sua empresa tem um servidor que executa o Windows Server 2008 R2. O servidor executa uma instânciado Active Directory Lightweight Directory Services (AD LDS).

É preciso replicar a instância do AD LDS em um computador de teste que está localizado na rede.


A. Execute o comando repadmin / <servername> kcc no computador de teste.

B. Criar um contexto de nomeação, executando o comando Dsmgmt no computador de teste.

C. Crie uma nova partição de diretório, executando o comando Dsmgmt no computador de teste.

D. Criar e instalar uma réplica executando o Assistente de Configuração AD LDS no computador de teste.

Answer: DSection: Configuring AD LDS

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc771458(v=WS.10).aspx

Install a replica AD LDS instance from mediaWhen you install an AD LDS replica from media, you use a restored backup of an AD LDS instance as thedata source, rather than another AD LDS instance. When you restore an AD LDS instance for use in areplica installation from media, you must restore the files to an alternate location, rather than to the originallocation from which they were backed up. After you restore AD LDS files from a backup to an alternatelocation, the Adamntds.dit file and Edb*.log files will be nested in the specified alternate location. For example, if you specify C:\restore_dir as the restore location for the AD LDS files, Adamntds.dit and theEdb*.log files will be located at C:\restore_dir\Program Files\Microsoft ADAM\instancename\data, whereinstancename represents the AD LDS instance that was restored.

To install an AD LDS replica from mediaRestore a backup copy of the AD LDS instance from which you want to install to an alternate location. (Donot restore the backup to the original location of the AD LDS instance.)Click Start , right-click Command Prompt , and then click Run as administrator .Type the following command, and then press ENTER: %windir%\adam\adaminstall /advFollow the steps in the Active Directory Lightweight Directory Services Setup Wizard.

http://technet.microsoft.com/en-us/library/cc771458%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Managing Replica AD LDS Instances

To create a replica AD LDS instance by using the Active Directory Lightweight Directory Services SetupWizard

Click Start, point to Administrative Tools, and then click Active Directory Lightweight Directory ServicesSetup Wizard.

On the Welcome to the Active Directory Lightweight Directory Services Setup Wizard page, click Next.

On the Setup Options page, click A replica of an existing instance, and then click Next.

On the Instance Name page, accept the default name instance2 (or instance1, if you are installing ADLDS on a second computer), and then click Next. noteNote AD LDS instance names have to be unique only on a given computer.

On the Ports page, accept the default values of 50000 and 50001 (if you are installing onto the firstcomputer) or 389 and 636 (if you are installing onto a second computer), and then click Next.

On the Joining a Configuration Set page, in Server, type the host name or DNS name of the computerwhere the first AD LDS instance is installed. Then, type the LDAP port number in use by the first AD LDSinstance (which is 389 by default), and then click Next. noteNote You must use a valid host name or DNS name, rather than an IP address or localhost when you specify aserver on the Joining a Configuration Set page of the Active Directory Lightweight Directory Services SetupWizard.

On the Administrative Credentials for the Configuration Set page, click the account that is used as the ADLDS administrator for your first AD LDS instance.

On the Copy Application Partition page, select the application directory partitions that you want toreplicate to the new AD LDS instance. (The schema and configuration partitions will be replicatedautomatically.)

Accept the default values on the remaining Active Directory Lightweight Directory Services Set Wizardpages by clicking Next on each page, and then click Finish on the Completing the Active DirectoryApplication Mode Setup Wizard page.

After the installation is complete, use the ADSI Edit snap-in to confirm that the selected directory partitionhas been replicated to your second AD LDS instance.

QUESTION 6Sua empresa tem um Active Directory Rights Management Services (AD RMS). Os usuários têmcomputadores com Windows Vista. Um domínio do Active Directory está configurado no Windows Server2003 nível funcional.

Você precisa configurar o AD RMS para que os usuários são capazes de proteger os seus documentos.


A. Instale o cliente AD RMS 2.0 em cada computador cliente.

B. Adicionar a conta de serviço RMS ao grupo de administradores local no servidor AD RMS.

C. Estabelecer uma conta de e-mail no Active Directory Domain Services (AD DS) para cada usuário RMS.

D. Atualize o domínio do Active Directory para o nível funcional do Windows Server 2008.

Answer: CSection: Configuring AD Rights Mgmt Services

Explanation/Reference:http://technet.microsoft.com/en-us/library/dd772659%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------AD RMS Prerequisites

All users and groups who use AD RMS to acquire licenses and publish content must have an e-mailaddress configured in Active Directory .

Active Directory Forest Functional Level - Any

Active Directory Domain Functional Level - Any

AD RMS must be installed in an Active Directory domain in which the domain controllers are running oneof the following: Windows Server 2000 with Service Pack 5 (SP5) * Windows Server 2003 with Service Pack 2 (SP2) Windows Server 2003 R2 with Service Pack 2 (SP2) Windows Server® 2008 Standard Windows Server® 2008 Enterprise Windows Server® 2008 Datacenter Windows Small Business Server® 2008 Premium Windows Small Business Server® 2008 Standard Windows Essential Business Server® 2008 Premium Windows Essential Business Server® 2008 Standard Windows Server® 2008 R2 Enterprise Windows Server® 2008 R2 Datacenter Windows Server® 2008 R2 Standard Windows Server® 2008 R2 Foundation

QUESTION 7Sua empresa tem uma floresta do Active Directory que é executado no nível funcional do Windows Server2008.

Você implementar Active Directory Rights Management Services (AD RMS). Você instalar o Microsoft SQLServer 2005.

Quando você tenta abrir o AD RMS site de administração, você receberá a seguinte mensagem de erro:"SQL Server não existe ou acesso negado." Você precisa abrir o AD RMS site de administração.



A. Reinicie o IIS.

B. Instale enfileiramento de mensagens.

C. Inicie o serviço MSSQLSvc.

D. Excluir manualmente o ponto de conexão de serviço nos Serviços de Domínio Active Directory (AD DS)e reiniciar o AD RMS.

Answer: ACSection: Configuring AD Rights Mgmt Services

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc747605%28WS.10%29.aspx#BKMK_1----------------------------------------------------------------------------------------------------------------------------------------------RMS Administration Issues

"SQL Server does not exist or access denied" message received when attempting to open the RMSAdministration Web site

If you have installed RMS by using a new installation of SQL Server 2005 as your database server the SQLServer Service might not be started. In SQL Server 2005, the MSSQLSERVER service is not configuredto automatically star t when the server is started. If you have restarted your SQL Server since installingRMS and have not configured this service to automatically restart RMS will not be able to function and onlythe RMS Global Administration page will be accessible.

After you have started the MSSQLSERVER service, you must restart IIS on each RMS server in thecluster to restore RMS functionality.

QUESTION 8Sua empresa tem um escritório central e 40 filiais. Cada filial é configurado como um site Active Directoryseparado que tem um controlador de domínio dedicado somente leitura (RODC). Um servidor RODC forroubado de uma das filiais.

Você precisa identificar as contas de usuários que estavam armazenadas no servidor roubado RODC.

Qual utilidade que você deve usar?

A. Dsmod.exe

B. Ntdsutil.exe

C. Active Directory Sites and Services

D. Active Directory Users and Computers

Answer: DSection: Configuring Additional AD Server Roles

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc835486%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Deleting the RODC computer account using Active Directory Users and Computers

An efficient tool for removing the RODC computer ac count and resetting all the passwords for theaccounts that were authenticated to it is the Activ e Directory Users and Computers snap-in.To delete the RODC computer account using Active Directory Users and Computers

Open Active Directory Users and Computers. To open Active Directory Users and Computers, click Start,click Control Panel, double-click Administrative Tools, and then double-click Active Directory Users andComputers.

Ensure that you are connected to a writeable domain controller running Windows Server 2008 in thecorrect domain. To connect to the appropriate domain or domain controller, in the details pane, right-clickthe Active Directory Users and Computers object, and then click Change Domain or Change DomainController, respectively.

In the console tree, expand the domain object, and then select the Domain Controllers organizational unit(OU).

In the details pane, right-click the RODC computer account, and then click Delete.

When the Active Directory Domain Services dialog box appears, click Yes to confirm the deletion.

In the Deleting Domain Controller dialog box (shown below) select the appropriate options to indicatewhether you want to reset all user account passwords or all computer account passwords and to specify thelocation (file system path) where you want to export a list of accounts whose current passwords werecached on the RODC. You can clear or select any of the check boxes at this point. By default, the Reset allpasswords for user accounts that were cached on this Read-only Domain Controller and the Export the listof accounts that were cached on this Read-only Domain Controller to this file: check boxes are selected, asshown in the following illustration. If you want to also reset the passwords for the computer accounts thatwere cached on the RODC, you must select the Reset all passwords for computer accounts that werecached on this Read-only Domain Controller check box. Although computer account passwords are resetevery 30 days by default, you can choose to reset those account passwords immediately, which may reducethe chance that the computer accounts that were cached on the RODC can be used by an attacker in anattempt to compromise the domain before the accounts are reset automatically. When you are ready toproceed, click Delete. noteNote If you reset the computer account passwords, you will have to rejoin the computer to the domain. If youautomatically reset the computer account passwords, users will not be able to log on to the domain until theycan contact an account administrator to have their passwords reset to a mutually-agreed-on password.

Delete RODC computer account

The Delete Domain Controller then asks you to confirm your deletion request. Verify that the request isaccurate, and then click OK to continue with the deletion, as shown in the following illustration.

QUESTION 9Sua empresa tem uma floresta do Active Directory que contém um único domínio. O servidor membro dedomínio tem um Active Directory Federation Services (AD FS) o papel de servidor instalado.

Você precisa configurar o AD FS para garantir que as fichas do AD FS conter informações a partir dodomínio do Active Directory.


A. Adicionar e configurar uma loja nova conta.

B. Adicionar e configurar um parceiro nova conta.

C. Adicionar e configurar um novo parceiro de recurso.

D. Adicionar e configurar um aplicativo de reconhecimento de declaração.

Answer: ASection: Configuring AD Federated Services

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc732095.aspx

Active Directory Federation Services (AD FS) uses account stores to log on users and extract securityclaims for those users. You can configure multiple account stores for a single Federation Service. You canalso define their priority. The Federation Service uses Lightweight Directory Access Protocol (LDAP) tocommunicate with account stores. AD FS supports the following two account stores:

Active Directory Domain Services (AD DS)Active Directory Lightweight Directory Services (AD LDS)

http://technet.microsoft.com/en-us/library/cc772309%28WS.10%29.aspxhttp://technet.microsoft.com/en-us/library/cc734905%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Read above articles URL's for more info on ADFS Installation/Troubleshooting

QUESTION 10Um usuário em uma filial de sua empresa tenta entrar em um computador ao domínio, mas a tentativafalhar.

Você precisa habilitar o usuário a participar de um único computador ao domínio. Você deve garantir que ousuário é negado quaisquer direitos adicionais além daquelas exigidas para completar a tarefa.


A. Prestage conta do computador no domínio do Active Directory.

B. Adicione o usuário ao grupo Administradores de domínio para um dia.

C. Adicione o usuário ao grupo Operadores de Servidor no domínio do Active Directory.

D. Conceder ao usuário o direito de fazer logon localmente usando um objeto de Diretiva de Grupo (GPO).

Answer: ASection: Creating & Maintaining AD Objects

Explanation/Reference:Prestaged clients are computer account objects that are created within Active Directory Domain Services(AD DS) before the operating system is installed.

There is an additional benefit if the domain is using WDS to deploy images over the network. The prestagedaccounts correspond to physical devices that will boot from the network by using Windows DeploymentServices.

Prestage client computers - http://technet.microsoft.com/en-us/library/cc759196%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Set permissions for users who use prestaged client computers - http://technet.microsoft.com/en-us/library/cc779006%28WS.10%29.aspx

QUESTION 11.

Política de segurança da empresa requer senhas complexas.

Você tem um arquivo delimitado por vírgula chamado import.csv que contém informações da conta dousuário. Você precisa criar contas de usuário no domínio usando o arquivo import.csv.

Você também precisa garantir que as novas contas de usuário são definidas para usar senhas padrão eestão desativados.


A. Modifique o atributo userAccountControl para deficientes. Execute o csvde-i-k-f comando import.csv.Execute o utilitário DSMOD para definir senhas padrão para as contas de usuário.

B. Modifique o atributo userAccountControl para contas desativadas. Execute o comando csvde-f import.csv. Execute o utilitário DSMOD para definir senhas padrão para as contas de usuário.

C. Modifique o atributo userAccountControl para deficientes. Execute o comando wscript import.csv.Execute o utilitário Dsadd para definir senhas padrão para as contas de usuário importados.

D. Modifique o atributo userAccountControl para deficientes. Execute o ldifde-i-f comando import.csv.Execute o utilitário Dsadd para definir senhas para as contas de usuário importados.

Answer: ASection: Powershell & Command line cmds

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc732101(v=WS.10).aspx

Csvde is a command-line tool that is built into Windows Server 2008 in the %windir%/system32 folder. It isavailable if you have the AD DS or Active Directory Lightweight Directory Services (AD LDS) server roleinstalled. To use csvde , you must run the csvde command from an elevated command prompt. To openan elevated command prompt, click Start , right-click Command Prompt , and then click Run asadministrator . For examples of how to use this command, see Examples.SyntaxCopy Csvde [-i] [-f <FileName>] [-s <ServerName>] [-c <S tring1> <String2>] [-v] [-j<Path>] [-t <PortNumber>] [-d <BaseDN>] [-r <LDAPFi lter>] [-p <Scope] [-l<LDAPAttributeList>] [-o <LDAPAttributeList>] [-g] [-m] [-n] [-k] [-a<UserDistinguishedName> {<Password> | *}] [-b <User Name> <Domain> {<Password> |*}]

ParametersParameter Description -i Specifies import mode. If not specified, the default mode is export.

-f <FileName> Identifies the import or export file name.-s <ServerName> Specifies the domain controller to perform the import or export operation.

-c <String1> <String2>

Replaces all occurrences of String1 with String2. You use this parameter when youimport data from one domain to another and you want to replace the distinguishedname of the export domain (String1) with the distinguished name of the importdomain (String2).

-v Sets verbose mode.-j <Path> Sets the log file location. The default is the current path.

-t <PortNumber> Specifies an LDAP port. The default LDAP port is 389. The global catalog port is3268.

-u Specifies Unicode format.-d <BaseDN> Sets the distinguished name of the search base for data export.-r <LDAPFilter> Creates an LDAP search filter for data export. -p <Scope> Sets the search scope. Search scope options are Base, OneLevel, or SubTree.

-l <LDAPAttributeList> Sets the list of attributes to return in the results of an export query. LDAP canreturn attributes in any order, and csvde does not attempt to impose any orderon the columns. If you omit this parameter, AD DS returns all attributes.

-o <LDAPAttributeList>

Specifies the list of attributes to omit from the results of an export query. You usethis parameter if you need to export objects from AD DS, and then import theminto another LDAP-compliant directory. If the other directory does not supportcertain attributes, you can use this parameter to omit those attributes from theresult set.

-g Omits paged searches.

-m Omits attributes that apply only to Active Directory objects, such as theObjectGUID, objectSID, pwdLastSet, and samAccountType attributes.

-n Omits the export of binary values.

-k

Ignores errors during an import operation and continues processing. The followingis a complete list of ignored errors: Object already exists

Constraint violation

Attribute or value already exists

-a[<UserDistinguishedName> {<Password> | *}]

Performs a simple LDAP bind with the user name and password. Sets thecommand to run using the supplied UserDistinguishedName and Password. Bydefault, the command runs using the credentials of the user who is currentlylogged on to the network.

-b [<UserName><Domain>{<Password> | *}]

Performs a secure LDAP bind with the NEGOTIATE authentication method. Setsthe command to run using the supplied Username, Domain, and Password. Bydefault, the command will run using the credentials of the user who is currentlylogged on to the network.

/? Displays Help at the command prompt.RemarksYou cannot import user passwords by using csvde because passwords must be sent over an encryptedchannel. Csvde does not support Secure Sockets Layer (SSL) or encrypted LDAP communication. Theprevious references to passwords relate to the credentials of the user who is running csvde . They are notrelated to setting passwords for users.

ExampleThe following sample file contents are for a domain named Cpandl.com that has organizational units (OUs)named SW Dev, Acct, and AP. The AP OU is subordinate to the Acct OU. The first line of the file definesthe Active Directory object properties for user accounts to be created by the entries in the rest of the file.The remaining lines are used to create the user accounts. The first user account is created in the defaultUsers container, and the rest of the user accounts are created in the SW Dev, Acct, and AP OUs,respectively:Copy objectClass,dn,sAMAccountName,userPrincipalName,use rAccountControluser,"CN=KMyer,CN=Users,DC=cpandl,DC=com",KenM,KenM @cpandl.com,514user,"CN=WYu,OU=SW Dev,DC=cpandl,DC=com",WeiY,WeiY@ cpandl.com,514user,"CN=JMorris,OU=Acct,DC=cpandl,DC=com",JonM,Jon [email protected],514user,"CN=YXu,OU=AP,OU=Acct,DC=cpandl,DC=com",YeX,Ye [email protected],514

Note

Setting userAccountControl to 514 disables the user account. This is recommended becausecsvde cannot set passwords.

csvde - adv configs - http://www.computerperformance.co.uk/Logon/Logon_CSVDE_import.htmdsmod - http://technet.microsoft.com/en-us/library/cc732954%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Reason: C is wrong because Windows scripts are files with the following file name extensions: .wsf, .vbs, .js.

DSMOD user to change pwds

To reset multiple user passwords to a common password and force users to change their passwords whenthey next log on to the network, type:Copy dsmod user "CN=Don Funk,CN=Users,DC=Contoso,DC=Com" "CN=Denise Smith,CN=Users,DC=Contoso,DC=Com" -pwd A1b2C3d4 -mustchpwd yes

QUESTION 12Sua empresa contrata 10 novos funcionários. Você quer que os novos funcionários para se conectar aoescritório central através de uma conexão VPN. Você pode criar novas contas de usuário e conceder osnovos funcionários a Permitir leitura e permitem executar permissões para recursos compartilhados noescritório principal.

Os novos funcionários são incapazes de acessar os recursos compartilhados no escritório principal. Vocêprecisa garantir que os usuários são capazes de estabelecer uma conexão VPN para o escritório principal.


A. Conceder aos novos funcionários a permissão Permitir controle total.

B. Conceder aos novos funcionários a opção Permitir acesso dial-in permissão.

C. Adicione os novos funcionários para o grupo de segurança remoto desktop do usuário.

D. Adicione os novos funcionários para o grupo de segurança do Windows Authorization Access.

Answer: BSection: Maintaining the AD Environment

Explanation/Reference:http://technet.microsoft.com/en-us/library/dd469674.aspx

Permissions for Remote Access Users

Applies To: Windows Server 2008 R2

After the Routing and Remote Access service (RRAS) is installed, you must specify the users who areallowed to connect to the RRAS server. RRAS authorization is determined by the dial-in properties on theuser account, the network policies, or both.You do not need to create user accounts just for remote access users. RRAS servers can use existing useraccounts in the user accounts databases. In both Local Users and Groups and Active Directory Users andComputers, user accounts have a Dial-in tab on which you can configure remote access permissions. Fora large number of users, we recommend that you configure network policies on a server running NetworkPolicy Server (NPS).

http://technet.microsoft.com/en-us/library/cc786285%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Best practices for assigning permissions on Active Directory objects

QUESTION 13Você precisa mudar o usuário existente e objetos de computador em sua empresa para diferentesunidades organizacionais.

Quais são as duas maneiras de alcançar essa meta?


A. Execute o utilitário Dsmove.

B. Execute o Active Directory Migration Tool (ADMT).

C. Execute o Active Directory Users and Computers utilitário.

D. Executar o comando move item no utilitário Microsoft Windows PowerShell.

Answer: ACSection: Creating & Maintaining AD Objects

Explanation/Reference:dsmove - http://technet.microsoft.com/en-us/library/cc731094%28WS.10%29.aspx

ADUC - AD DS GUI under admin tools/RSAT on clients - http://technet.microsoft.com/en-us/library/cc786675%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Reason: D is incorrect because move-item can move files and folders only - http://technet.microsoft.com/en-us/library/dd315310.aspx

B is incorrect because ADMT is used to restructure AD between forests and domains within the sameforest.

QUESTION 14Você deseja que os usuários fazer logon no Active Directory usando um novo nome principal de usuário(UPN). Você precisa modificar o sufixo UPN para todas as contas de usuário.


A. Dsmod

B. Netdom

C. Redirusr

D. Active Directory Domains and Trusts


Explanation/Reference:dsmod - http://technet.microsoft.com/en-us/library/cc732954%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Reason : You configure upn on Active directory domains and trusts. But you still have to modify the userswith dsmod or "active directory users and computers".

http://technet.microsoft.com/en-us/library/bb742437.aspx#EEAA

The User Principal Name (UPN) provides an easy-to-use naming style for users to log on to ActiveDirectory. The style of the UPN is based on Internet standard RFC 822, which is sometimes referred to as amailaddress. The default UPN suffix is the forest DNS name, which is the DNS name of the first domain inthe first tree of the forest. In this and the other step-by-step guides on this site, the default UPN suffix is yourFQDN for the first domain in the forest.

You can add alternate User Principal Name suffixes, which increase logon security. And you can simplifyuser logon names by providing a single UPN suffix for all users. The UPN suffix is only used within theWindows 2000 domain and is not required to be a valid DNS domain name.

Select Active Directory Domains and Trusts in the upper left pane, right-click it, and then click Properties.

Enter any preferred alternate UPN suffixes in the Alternate UPN Suffixes box and click Add.

Click OK to close the window.

QUESTION 15Você está instalando um aplicativo em um computador que executa o Windows Server 2008 R2. Durante ainstalação, o aplicativo será necessário adicionar novos atributos e classes no banco de dados do ActiveDirectory.

Você precisa se certificar que você pode instalar o aplicativo.


A. Alterar o nível funcional da floresta para o Windows Server 2008 R2.

B. Faça logon usando uma conta que tenha direitos de operador de servidor.

C. Faça logon usando uma conta que tenha direitos de administrador de esquema e os direitosapropriados para instalar o aplicativo.

D. Faça logon usando uma conta que tenha os direitos de administrador da empresa e os direitosapropriados para instalar o aplicativo.


Explanation/Reference:http://technet.microsoft.com/en-us/library/cc756898%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Schema Admin permissions

Schema Admins (only appears in the forest root domain) Members of this group can modify the Active Directory schema. By default, the Administrator account is amember of this group. Because this group has significant power in the forest, add users with caution. No default user rights.

QUESTION 16

Sua empresa tem uma unidade organizacional chamada de Produção. A unidade de produçãoorganizacional tem uma unidade organizacional filho chamado R & D. Você cria um GPO Implantação deSoftware chamado e vinculá-lo à unidade de produção organizacional.

Você cria um grupo de sombra para a unidade de I & D organizacional. Você precisa implantar umaplicativo para os usuários na unidade de produção organizacional. Você também precisa garantir que oaplicativo não é implantado para os usuários na unidade de I & D organizacional.

Quais são as duas maneiras de alcançar essa meta?


A. Configure a configuração Aplicar sobre a implantação de software GPO.

B. Configure a definição Bloquear Herança na unidade de I & D organizacional.

C. Configure a definição Bloquear Herança na unidade de produção organizacional.

D. Configurar a filtragem de segurança na implantação do software GPO para negar Aplicar política degrupo para o grupo de segurança de P & D.

Answer: BDSection: Configuring Group Policy

Explanation/Reference:Block inheritance GPO - http://technet.microsoft.com/en-us/library/cc757050%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Security filter GPO - http://technet.microsoft.com/en-us/library/cc779291%28WS.10%29.aspx

QUESTION 17.

Sua empresa tem um domínio do Active Directory que tem uma unidade organizacional chamada Vendas.A unidade organizacional de vendas contém dois grupos de segurança globais nomeados gerentes devendas e executivos de vendas.

Você precisa aplicar restrições de desktop para o grupo de executivos de vendas.

Você não deve aplicar estas restrições de desktop para o grupo de gerentes de vendas. Você cria um GPODesktopLockdown chamado e vinculá-lo à unidade de vendas da organização.


A. Configure o Negar permissão Aplicar Diretiva de Grupo para os gerentes de vendas noDesktopLockdown GPO.

B. Configure o Negar permissão Aplicar Diretiva de Grupo para os executivos de vendas noDesktopLockdown GPO.

C. Configure o Negar permissão Aplicar Diretiva de Grupo para usuários autenticados noDesktopLockdown GPO.

D. Configure o Permitir permissão Aplicar Diretiva de Grupo para usuários autenticados noDesktopLockdown GPO.

Answer: ASection: Configuring Group Policy

Explanation/Reference:Security filteringSecurity filtering is a way of refining which users and computers will receive and apply the settings in aGroup Policy object (GPO). Using security filtering, you can specify that only certain security principals withina container where the GPO is linked apply the GPO. Security group filtering determines whether the GPO asa whole applies to groups, users, or computers; it cannot be used selectively on different settings within aGPO.In order for the GPO to apply to a given user or computer, that user or computer must have both Read andApply Group Policy (AGP) permissions on the GPO, either explicitly, or effectively though groupmembership.

http://technet.microsoft.com/en-us/library/cc786636(v=WS.10).aspx

To filter the scope of Group Policy according to se curity group membershipOpen the Group Policy object whose scope you want to filter.

In the console tree, right-click the icon or name of the Group Policy object, and then click Properties .

Click the Security tab, and then click the security group through which you want to filter this Group Policyobject. If you want to change the list of security groups through which to filter this Group Policy object, usethe Add and Remove buttons to add or remove security groups.

In the Permissions box for the selected security group, select or clear the appropriate check boxes to setpermissions as shown in the following table, and then click OK.

Your intention Permissions Result

Members of this security grouphave this Group Policy objectapplied to them.

Set ApplyGroup Policy toAllow .Set Read toAllow .

This Group Policy object applies to members of thissecurity group, unless they are members of at leastone other security group that has Apply GroupPolicy set to Deny , or Read set to Deny , or both.

Members of this security groupare exempt from this GroupPolicy object.

Set ApplyGroup Policy toDeny .Set Read toDeny .

This Group Policy object never applies to members ofthis security group, regardless of the permissions thesemembers have in other security groups.

Membership in this security groupis irrelevant to whether the GroupPolicy object should be applied.

Set ApplyGroup Policy toneither Allownor Deny .Set Read toneither Allownor Deny .

This Group Policy object applies to members of thissecurity group if and only if they have both ApplyGroup Policy and Read set to Allow asmembers of at least one other security group. Theyalso must not have Apply Group Policy or Readset to Deny as members of any other security group.

http://technet.microsoft.com/en-us/library/cc757050%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Managing inheritance of Group Policy

QUESTION 18Sua empresa tem uma floresta do Active Directory. A empresa tem filiais em três locais.Cada local tem uma unidade organizacional.

Você precisa garantir que os administradores da filial são capazes de criar e aplicar GPOs apenas às suasrespectivas unidades organizacionais.

Quais duas ações você deve executar?(Each correct answer presents part of the solution. Choose two.)

A. Adicione as contas de usuários dos administradores de filiais para o Group Policy Creator OwnersGroup.

B. Modificar a Gerenciado por guia em cada unidade organizacional para adicionar os administradores dafilial aos seus respectivos unidades organizacionais.

C. Execute o Assistente para delegação de controle e delegar o direito de vincular GPOs para o domíniopara os administradores de escritórios filiais.

D. Execute o Assistente para delegação de controle e delegar o direito de vincular GPOs para as suasunidades de ramo de organização para os administradores de escritórios filiais.

Answer: BDSection: Configuring Group Policy

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc782678%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------Creating and Working with GPOs

QUESTION 19A sua empresa adquiriu recentemente uma empresa nova filial em Quebec. Os administradores do ActiveDirectory da empresa filial deve usar a versão em língua francesa, dos modelos administrativos.

Você cria uma pasta no emulador PDC para o domínio subsidiária no caminho% systemroot% \ SYSVOL \domain \ Policies \ \ PolicyDefinitions FR.

Você precisa se certificar que a versão francesa dos modelos está disponível.


A. Baixe o Conf.adm, System.adm, Wuau.adm e arquivos Inetres.adm do site da Microsoft. Copie osarquivos ADM para a pasta de FR.

B. Copie os arquivos ADML dos franceses mídia de instalação local para o Windows Server 2008 R2 paraa pasta FR no emulador PDC subsidiária.

C. Copie o arquivo Install.wim do francês de mídia locais de instalação para Windows Server 2008 R2 paraa pasta FR no emulador PDC subsidiária.

D. Copie os arquivos ADMX dos franceses mídia de instalação local para o Windows Server 2008 R2 paraa pasta FR no emulador PDC subsidiária.

Answer: BSection: Configuring Group Policy

Explanation/Reference:http://technet.microsoft.com/en-us/library/cc772507%28WS.10%29.aspx----------------------------------------------------------------------------------------------------------------------------------------------.admx and .adml File Structure

n order to support the multilingual display of policy settings, the ADMX file structure must be broken into twotypes of files:

A language-neutral file, .admx, describing the structure of the categories and Administrative templatepolicy settings displayed in the Group Policy Object Editor. A set of language-dependent files, .adml, providing the localized portions displayed in the Group PolicyObject Editor. Each .adml file represents a single language you wish to support.

SEE above URL for more info

QUESTION 20Um servidor chamado DC1 tem os Serviços de Domínio Active Directory (AD DS) papel e do ActiveDirectory Lightweight Directory Services (AD LDS) papel instaladas. Uma instância do AD LDS chamadoLDS1 suas lojas de dados sobre a unidade C:. Você precisa mudar a instância LDS1 para a unidade D:.Quais as três ações que você deve executar em seqüência? (Para responder, mova as três açõesapropriadas a partir da lista de ações para a área de resposta e organizá-los na ordem correta.)

Answer:

Section: Configuring AD LDS


Exam D

QUESTION 1Sua empresa tem uma floresta do Active Directory. A empresa tem servidores que executam o WindowsServer 2008 R2 e computadores clientes que executam o Windows 7.O domínio utiliza um conjunto de modelos de GPO administrativas que tenham sido aprovados parasuportar os requisitos de conformidade regulatória.

Sua empresa parceira tem uma floresta do Active Directory que contém um único domínio. A empresa temservidores que executam o Windows Server 2008 R2 e computadores clientes que executam o Windows 7.

Você precisa configurar o domínio da sua empresa parceira para usar o conjunto aprovado de modelosadministrativos.


A. Use o Group Policy Management Console utilitário (GPMC) para fazer o backup do GPO para umarquivo. Em cada site, importar o GPO para a diretiva de domínio padrão.

B. Copie os arquivos ADMX de emulador de sua empresa PDC para a pasta PolicyDefinitions no emuladora empresa parceira do PDC.

C. Copie os arquivos ADML de emulador de sua empresa PDC para a pasta PolicyDefinitions no emuladora empresa parceira do PDC.

D. Baixe o Conf.adm, system.adm, wuau.adm e arquivos Inetres.adm a partir do site Microsoft Update.Copie os arquivos ADM para a pasta PolicyDefinitions no emulador a empresa parceira do PDC.


Explanation/Reference:In Group Policy for versions of Windows earlier than Windows Vista, if you modify Administrative templatepolicy settings on local computers, the Sysvol share on a domain controller within the domain isautomatically updated with the new ADM files. In Group Policy for Windows Server 2008 and WindowsVista, if you modify Administrative template policy settings on local computers, Sysvol will not beautomatically updated with the new ADMX or ADML files (ADML files are XML-based ADM files that containlanguage-specific settings). This change in behavior is implemented to reduce network load and diskstorage requirements, and to prevent conflicts from occurring between ADMX files and ADML files whenedits to Administrative template policy settings are made across different locales. To ensure that any localupdates are reflected in Sysvol as well, you must manually copy the updated ADMX or ADML files from thePolicyDefinitions folder on the local computer to the Sysvol\PolicyDefinitions folder on the appropriatedomain controller.

----------------------------------------------------------------------------------------------------------------------------------------------Reason : The requirement is administrative templates. “A” is wrong, GPO is not a template file. ADMX is.

QUESTION 2Sua empresa tem uma floresta do Active Directory que contém o Windows Server 2008 R2 controladoresde domínio e servidores DNS. Todos os computadores clientes executam o Windows XP SP3.

Você precisa usar seus computadores clientes para editar GPOs baseados em domínio usando osarquivos ADMX que são armazenados na loja ADMX central.


A. Dê sua conta ao grupo Administradores de Domínio.

B. Atualize seus computadores cliente para o Windows 7.

C. Instalar. NET Framework 3.0 em seus computadores clientes.

D. Crie uma pasta no emulador de PDC para o domínio no caminho PolicyDefinitions. Copie os arquivospara a pasta ADMX PolicyDefinitions.


Explanation/Reference:Prerequisites for Administering Domain-Based GPOs w ith ADMX FilesTo complete the tasks in this section, you should have at least:A Windows Server 2008, Windows Server 2003, or Windows 2000 domain that uses a DNS name server.A Windows Vista–based computer to use as an administrative workstation.

Since the client machine must be running at least Vista, "B" is the best answer.----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 3Sua empresa compra um novo aplicativo para implantar em 200 computadores. O aplicativo requer quevocê modificar o registro em cada computador de destino antes de instalar o aplicativo.

As modificações no Registro estão em um arquivo que tem uma extensão. Adm.

Você precisa preparar os computadores de destino para a aplicação.


A. Importe o arquivo. Adm em um novo objeto de Diretiva de Grupo (GPO). Edite o GPO e vinculá-lo auma unidade organizacional que contém os computadores de destino.

B. Criar um Microsoft Windows PowerShell script para copiar o arquivo. Adm para a pasta de inicializaçãode cada computador de destino.

C. Criar um Microsoft Windows PowerShell script para copiar o arquivo. Adm para a pasta de inicializaçãode cada computador de destino.

D. Criar um Microsoft Windows PowerShell script para copiar o arquivo. Adm para cada computador.Execute o comando CONTAINER DN-REDIRCmp em cada computador de destino.



----------------------------------------------------------------------------------------------------------------------------------------------Reason: An ADM template is a file that is designed to be used within Group Policy to define a Registrysetting and its’ value

QUESTION 4Sua empresa tem um domínio do Active Directory. Todos os consultores pertencem a um grupo globalchamado TempWorkers. O grupo TempWorkers não está aninhado em outros grupos.

Você mover os objetos de computador de três servidores de arquivos para uma nova unidadeorganizacional chamada SecureServers. Estes servidores de arquivos contêm somente dadosconfidenciais em pastas compartilhadas.Você precisa impedir que os membros do grupo TempWorkers de acessar os dados confidenciais nosservidores de arquivos. Você deve atingir este objetivo sem afetar o acesso a recursos de domínio.


A. Criar um novo GPO e vinculá-lo à unidade SecureServers organizacional. Atribuir Negar acesso a estecomputador do usuário de rede direito ao grupo TempWorkers global.

B. Criar um novo GPO e vinculá-lo ao domínio. Atribuir Negar acesso a este computador do usuário derede direito ao grupo TempWorkers global.

C. Criar um novo GPO e vinculá-lo ao domínio. Atribuir o Negar logon local direito de usuário para o grupoTempWorkers global.

D. Criar um novo GPO e vinculá-lo à unidade SecureServers organizacional. Atribuir o Negar logon localdireito de usuário para o grupo TempWorkers global.


Explanation/Reference:It appears the strategy is to move the servers with confidential data into their own OU, then deny access tothose servers only to the global group.

Should not do this at the domain level, since other resources may be needed in the domain.Denying the log on locally user right does not affect network access.----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 5Todos os consultores pertencem a um grupo global chamado TempWorkers.

Você coloca três servidores de arquivos em uma nova unidade organizacional chamada SecureServers. Ostrês servidores de arquivos contêm dados confidenciais localizados em pastas compartilhadas.

Você precisa registrar todas as tentativas fracassadas feitas pelos consultores para acessar os dadosconfidenciais.



A. Criar e vincular um novo GPO à unidade organizacional SecureServers. Configurar a Auditoria privilégiode uso Não configuração de diretiva de auditoria.

B. Criar e vincular um novo GPO à unidade organizacional SecureServers. Configurar a Auditoria deacesso a objetos falha configuração de diretiva de auditoria.

C. Criar e vincular um novo GPO à unidade organizacional SecureServers. Configure o Negar acesso aeste computador a partir dos direitos de rede de configurações do usuário para o grupo TempWorkersglobal.

D. Em cada pasta compartilhada sobre os três servidores de arquivos, adicione os três servidores para aguia Auditoria. Configurar a configuração de controle Falha total na caixa de diálogo Entrada deauditoria.

E. Em cada pasta compartilhada sobre os três servidores de arquivos, adicione o grupo global paraTempWorkers na guia Auditoria. Configurar a configuração de controle Falha total na caixa de diálogoEntrada de auditoria.

Answer: BESection: Configuring Group Policy

Explanation/Reference:Audit privilege use

Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit PolicyDescription Determines whether to audit each instance of a user exercising a user right.By default, this value is set to No auditing in the Default Domain Controller Group Policy object (GPO)and in the local policies of workstations and servers.If you define this policy setting, you can specify whether to audit successes, audit failures, or not to audit the

event type at all. Success audits generate an audit entry when a user right is successfully exercised.Failure audits generate an audit entry when the exercise of a user right fails. You can select Noauditing by defining the policy setting and unchecking Success and Failure .----------------------------------------------------------------------------------------------------------------------------------------------Auditing Files and FoldersIf you configure a group policy to enable the Audit Object Access option, you can set the level of auditing forindividual folders and files. This allows you to control precisely how folder and file usage is tracked. Auditingof this type is only available on NTFS volumes.You can configure file and folder auditing by completing the following steps:In Windows Explorer, right-click the file or folder to be audited, and then from the pop-up menu selectProperties.Choose the Security tab, and then click Advanced.In the Access Control Settings dialog box, select the Auditing tab, shown in Figure 13-15.If you want to inherit auditing settings from a parent object, ensure that Allow Inheritable Auditing EntriesFrom Parent To Propagate To This Object is selected.If you want child objects of the current object to inherit the settings, select Reset Auditing Entries On AllChild Objects And Enable Propagation Of Inheritable Auditing Entries.

Use the Auditing Entries list box to select the users, groups, or computers whose actions you want to audit.To remove an account, select the account in the Auditing Entries list box, and then click Remove.To add specific accounts, click Add, and then use the Select Users, Contacts, Computers, Or Groups dialogbox to select an account name to add. When you click OK, you'll see the Auditing Entry For New Folderdialog box, shown in Figure 13-16.Note: If you want to audit actions for all users, use the special group Everyone. Otherwise, select thespecific user groups or users, or both, that you want to audit.As necessary, use the Apply Onto drop-down list box to specify where objects are audited.Select the Successful or Failed check boxes, or both, for each of the events you want to audit. Successfullogs successful events, such as successful file reads. Failed logs failed events, such as failed file deletions.The events you can audit are the same as the special permissions listed in Table 13-5—except you can'taudit synchronizing of offline files and folders.Choose OK when you're finished. Repeat this process to audit other users, groups, or computers.

QUESTION 6Sua empresa tem um domínio Active Directory e uma unidade organizacional. A unidade organizacional énomeado Web. Você configurar e testar novas configurações de segurança para o Internet InformationService (IIS) em um servidor chamado IISServerA.

Você precisa implementar as novas configurações de segurança apenas nos servidores IIS que sãomembros da unidade de Web da organização.


A. Executar secedit / configure / db iis.inf no prompt de comando em IISServerA, e em seguida, executarsecedit / configure / db webou.inf a partir do prompt de comando.

B. Exportar as configurações em IISServerA para criar um modelo de segurança. Importar o modelo desegurança em um GPO e vincular o GPO à unidade organizacional Web.

C. Exportar as configurações em IISServerA para criar um modelo de segurança. Executar secedit /configure / db webou.inf a partir do prompt de comando.

D. Importar o modelo de arquivo Hisecws.inf em um GPO e vincular o GPO à unidade organizacional Web.



----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 7Sua empresa tem uma floresta do Active Directory que contém computadores clientes que executam oWindows Vista e Windows XP.

Você precisa garantir que os usuários são capazes de instalar atualizações de aplicativos aprovados emseus computadores.



A. Configurar as atualizações automáticas no Painel de controle nos computadores cliente.

B. Criar um GPO e vinculá-lo à unidade organizacional Controladores de Domínio. Configurar o GPO paraprocurar automaticamente as atualizações no site do Microsoft Update.

C. Criar um GPO e vinculá-lo ao domínio. Configurar o GPO para direcionar os computadores cliente parao Windows Server Update Services (WSUS) para atualizações aprovadas.

D. Instale o Windows Server Update Services (WSUS). Configurar o servidor para procurar por novasatualizações na Internet. Aprovar todas as atualizações necessárias.

Answer: CDSection: Configuring Group Policy


----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 8Sua empresa tem uma floresta do Active Directory. Cada filial tem uma unidade organizacional e umaunidade organizacional filho chamado Vendas.

A unidade organizacional de vendas contém todos os usuários e computadores do departamento devendas.

Você precisa instalar um aplicativo do Microsoft Office 2007 apenas nos computadores da unidadeorganizacional de vendas.

Você cria um GPO chamado SalesApp GPO.


A. Configurar o GPO para atribuir a aplicação à conta do computador. Vincular o SalesApp GPO aodomínio.

B. Configurar o GPO para atribuir a aplicação à conta de usuário. Vincular o SalesApp GPO para aunidade organizacional de vendas em cada local.

C. Configurar o GPO para publicar o aplicativo para a conta de usuário. Vincular o SalesApp GPOs para aunidade organizacional de vendas em cada local.

D. Configurar o GPO para atribuir a aplicação à conta do computador. Vincular o SalesApp GPO para aunidade organizacional de vendas em cada local.

Answer: DSection: Configuring Group Policy

Explanation/Reference:Assign the application to the computer account to prevent Sales users from accessing the application whenlogging in on a computer outside of ou=Sales. This GPO needs to be applied at the OU level not the

domain level.----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 9Sua empresa tem uma floresta do Active Directory. A floresta inclui unidades organizacionaiscorrespondentes aos quatro seguintes locais:

- Londres- Chicago- Nova York- Madrid

Cada local tem uma unidade organizacional filho chamado Vendas. A unidade organizacional de vendascontém todos os usuários e computadores do departamento de vendas.

Os escritórios em Londres, Chicago e Nova York estão ligados por conexões T1. O escritório em Madrid éconectado por uma conexão de 256 Kbps ISDN.

Você precisa instalar um aplicativo em todos os computadores do departamento de vendas.


A. Desabilite a configuração de detecção de vínculo lento no Group Policy Object (GPO).

B. Configure a ligação lenta configuração de limite de detecção de 1.544 Kbps (T1) no Group Policy Object(GPO).

C. Criar um objeto de Diretiva de Grupo (GPO) chamado OfficeInstall que atribui o aplicativo para osusuários. Vincular o GPO para cada unidade de vendas da organização.

D. Criar um objeto de Diretiva de Grupo (GPO) chamado OfficeInstall que atribui o aplicativo para oscomputadores. Vincular o GPO para cada unidade de vendas da organização.

Answer: ADSection: Configuring Group Policy

Explanation/Reference:Need to create a GPO to assign the software to computers.----------------------------------------------------------------------------------------------------------------------------------------------Since the Madrid office is connected via a slow link, the slow link detection setting would stop distribution tothat site.

QUESTION 10Sua empresa tem uma floresta do Active Directory. A empresa tem três posições. Cada local tem umaunidade organizacional e uma unidade organizacional filho chamado Vendas.

A unidade organizacional de vendas contém todos os usuários e computadores do departamento devendas. A empresa planeja implantar um aplicativo do Microsoft Office 2007 em todos os computadoresdentro das três unidades de vendas da organização.

Você precisa se certificar de que o Office 2007 aplicativo é instalado somente nos computadores dasunidades organizacionais de vendas.


A. Criar um objeto de Diretiva de Grupo (GPO) chamado usuvendas GPO. Configurar o GPO para atribuira aplicação à conta do computador. Vincular o GPO SalesAPP ao domínio.

B. Criar um objeto de Diretiva de Grupo (GPO) chamado usuvendas GPO. Configurar o GPO para atribuira aplicação à conta de usuário. Vincular o GPO SalesAPP para a unidade organizacional de vendas emcada local.

C. Criar um objeto de Diretiva de Grupo (GPO) chamado usuvendas GPO. Configurar o GPO para publicaro aplicativo para a conta de usuário. Vincular o GPO SalesAPP para a unidade organizacional devendas em cada local.

D. Criar um objeto de Diretiva de Grupo (GPO) chamado usuvendas GPO. Configurar o GPO para atribuira aplicação à conta do computador. Vincular o GPO SalesAPP para a unidade organizacional devendas em cada local.


Explanation/Reference:Need to apply this GPO to the computers in the Sales OU, not the users and not the domain level.----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 11O domínio padrão GPO em sua empresa é configurado usando as configurações de diretiva de conta:

- Comprimento mínimo da senha: 8 caracteres- Idade máxima da senha: 30 dias- Aplicar histórico de senhas: 12 senhas memorizadas- Limite de bloqueio de conta: 3 tentativas de logon inválidas duração do bloqueio de conta: 30 minutos.

Você instalar o Microsoft SQL Server em um computador chamado Server1 que executa o Windows Server2008 R2. A aplicação do SQL Server usa uma conta de serviço chamado SQLSrv.A conta SQLSrv tem direitos de usuário de domínio.O computador do SQL Server falhar depois de executar com sucesso por várias semanas. A conta deusuário SQLSrv não está bloqueada.

Você precisa resolver a falha do servidor e prevenir a reincidência da falha.



A. Redefinir a senha da conta de usuário SQLSrv.

B. Configurar a política de segurança local no Server1 para conceder o Logon como um direito de serviçona conta de usuário SQLSrv.

C. Configure as propriedades da conta SQLSrv a senha nunca expira.

D. Configure as propriedades da conta SQLSrv de usuário não pode alterar a senha.

E. Configurar a política de segurança local no Server1 para conceder a conta de usuário SQLSrv aPermitir que o usuário logon local direito.

Answer: ACSection: Configuring Group Policy

Explanation/Reference:Because of default password policies, the password reached its maximum age. The password does needto be reset, and the account should be set so the password never expires - to prevent this from happeningagain.----------------------------------------------------------------------------------------------------------------------------------------------Reason : B iand E not correct because the account was able to logged on and performed the tasks beforethe password was expired.

D is not correct as it will not fix this problem or prevent it from happening again.

QUESTION 12Você precisa garantir que os usuários que entram três sucessivas senhas inválidas dentro de 5 minutossão bloqueados por 5 minutos.

Quais as três ações que você deve executar?


A. Defina a configuração Duração mínima da senha para um dia.

B. Defina a configuração Duração máxima da senha para um dia.

C. Defina a configuração Account lockout duration setting to 5 minutes.

D. Defina a configuração Reset account lockout counter after setting to 5 minutes.

E. Defina a configuração Account lockout threshold setting to 3 invalid logon attempts.

F. Defina a configuração Enforce password history setting to 3 passwords remembered.

Answer: CDESection: Maintaining the AD Environment

Explanation/Reference:Password age settings would not address the scenario requirements, nor would Enforce password history.----------------------------------------------------------------------------------------------------------------------------------------------Lockout settings ahd lockout thresholds directly apply.

QUESTION 13Sua empresa tem um domínio do Active Directory.

Um usuário tenta fazer logon no domínio de um computador cliente e recebe a seguinte mensagem: "Estaconta de usuário expirou Pergunte ao seu administrador para reativar a conta.".

Você precisa garantir que o usuário é capaz de fazer logon no domínio.


A. Modificar as propriedades da conta do usuário para definir a conta nunca deverá expirar.

B. Modificar as propriedades da conta de usuário para estender a definição de Logon Horas.

C. Modificar as propriedades da conta do usuário para definir a senha para nunca expirar.

D. Modificar a diretiva de domínio padrão para diminuir a duração do bloqueio de conta.

Answer: ASection: Maintaining the AD Environment


----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 14Sua rede consiste de um domínio único diretório Active. As contas de usuário para o departamento deengenharia estão localizadas em uma UO chamada Engenharia.

Você precisa criar uma política de senha para o departamento de engenharia que é diferente da suapolítica de senha de domínio.


A. Criar um novo GPO. Vincular o GPO à UO Engenharia.

B. Criar um novo GPO. Vincular o GPO ao domínio. Bloquear a herança política em todas as unidadesorganizacionais, exceto para a OU Engenharia.

C. Criar um grupo de segurança global e adicionar todas as contas de usuário para o departamento deengenharia para o grupo. Criar um novoPassword Policy Object (PSO) e aplicá-lo ao grupo.

D. Criar um domínio grupo de segurança local e adicione todas as contas de usuário para o departamentode engenharia para o grupo. Dos usuários do Active Directory e console do computador, selecione ogrupo e executar o Assistente para delegação de controle.

Answer: C

Section: Maintaining the AD Environment

Explanation/Reference:In Windows Server 2008, you can use fine-grained password policies to specify multiple password policiesand apply different password restrictions and account lockout policies to different sets of users within asingle domain. For example, to increase the security of privileged accounts, you can apply stricter settings tothe privileged accounts and then apply less strict settings to the accounts of other users. Or in some cases,you may want to apply a special password policy for accounts whose passwords are synchronized with otherdata sources.To store fine-grained password policies, Windows Server 2008 includes two new object classes in theActive Directory Domain Services (AD DS) schema:

Password Settings Container Password Settings

The Password Settings Container (PSC) object class is created by default under the System container inthe domain. It stores the Password Settings objects (PSOs) for that domain. You cannot rename, move, ordelete this container.

PSOs cannot be applied to organizational units (OUs) directly. If your users are organized into OUs,consider creating global security groups that contain the users from these OUs and then applying the newlydefined fine-grained password and account lockout policies to them. If you move a user from one OU toanother, you must update user memberships in the corresponding global security groups.

-Q-Windows 2008Fine-Grained Passwords [Password policies per OU, Group or user]

Adsi edit, cn=system, cn=password settings container, RightMouse, new object, msds-passwordsettings,enter name Passwordsettings, enter values…

ADUC enable advanced mode, create group, goto system, Passwordsettings ,msDS-PSOAppliesTo, edit,enter the group.----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 15Sua empresa tem servidores de arquivos localizados em uma unidade organizacional chamada folha depagamento. Os servidores de arquivo conter arquivos de folha de pagamento localizadas em uma pastachamada folha de pagamento.

Você cria um GPO. Você precisa controlar o que os empregados acessar os arquivos da folha depagamento nos servidores de arquivos.


A. Ative a opção de Auditoria de acesso a objetos. Vincular o GPO à unidade organizacional da folha depagamento. Nos servidores de arquivo, configurar a auditoria para o grupo Todos na pasta da folha depagamento.

B. Ative a opção de Auditoria de acesso a objetos. Vincular o GPO ao domínio. Nos controladores dedomínio, configurar a auditoria para o grupo Usuários autenticados na pasta da folha de pagamento.

C. Ative a opção de acompanhamento de processos de auditoria. Vincular o GPO à unidadeorganizacional Controladores de Domínio. Nos servidores de arquivo, configurar a auditoria para ogrupo Usuários autenticados na pasta da folha de pagamento.

D. Ative a opção de acompanhamento de processos de auditoria. Vincular o GPO à unidadeorganizacional da folha de pagamento. Nos servidores de arquivo, configurar a auditoria para o grupoTodos na pasta da folha de pagamento.

Answer: A

Section: Configuring Group Policy

Explanation/Reference:Must be configured in GPO and on the Auditing tab for the shared folder. The main question is which usergroups/users would be affected, and what the trigger is to write the access event to the log.----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 16Sua rede consiste de um domínio único diretório Active. Todos os controladores de domínio executem oWindows Server 2008 R2.

A Auditoria conta definição de política de gestão e auditoria diretório configuração de acesso de serviçossão habilitados para todo o domínio.

Você precisa garantir que as alterações feitas aos objetos do Active Directory podem ser registrados. Asalterações registradas devem incluir os valores antigos e novos de todos os atributos.


A. Ativar a diretiva Auditoria de gerenciamento de conta na política predefinida de controlador de domínio.

B. Executar auditpol.exe e defina as configurações de segurança do UO Controladores de Domínio.

C. Executar auditpol.exe e depois ativar a Auditoria diretório configuração de acesso de serviço na diretivade domínio padrão.

D. Desde o Default Domain Controllers Policy, habilite a auditoria diretório configuração de acesso deserviço e permitir mudanças no serviço de diretório.


Explanation/Reference:The original answer was B - wondering if C was enabled in the scenario before this answer.


Step 1: Enable audit policy.This step includes procedures to enable change auditing with either the Windows interface or a commandline: By using Group Policy Management, you can turn on the global audit policy, Audit directory serviceaccess , which enables all the subcategories for AD DS auditing. If you need to install Group PolicyManagement, click Add Features in Server Manager. Select Group Policy Management and then clickInstall .

By using the Auditpol command-line tool, you can enable individual subcategories.

To enable the global audit policy using the Windows interfaceClick Start , point to Administrative Tools , and then Group Policy Management .In the console tree, double-click the name of the forest, double-click Domains , double-click the name ofyour domain, double-click Domain Controllers , right-click Default Domain Controllers Policy , and thenclick Edit .Under Computer Configuration , double-click Policies , double-click Windows Settings , double-clickSecurity Settings , double-click Local Policies , and then click Audit Policy .In the details pane, right-click Audit directory service access , and then click Properties .Select the Define these policy settings check box.Under Audit these attempts , select the Success , check box, and then click OK.

To enable the change auditing policy using a comman d lineClick Start , right-click Command Prompt , and then click Run as administrator .Type the following command, and then press ENTER:

auditpol /set /subcategory:"directory service chang es" /success:enable

Step 2: Set up auditing in object SACLs.The following procedure presents an example of just one of many different types of SACLs that you can setbased on the operations that you want to audit.

To set up auditing in object SACLsClick Start , point to Administrative Tools , and then click Active Directory Users and Computers .Right-click the organizational unit (OU) (or any object) for which you want to enable auditing, and then click Properties .Click the Security tab, click Advanced , and then click the Auditing tab.Click Add , and under Enter the object name to select , type Authenticated Users (or any other securityprincipal), and then click OK.In Apply onto , click Descendant User objects (or any other objects).Under Access , select the Successful check box for Write all properties .Click OK until you exit the property sheet for the OU or other object.----------------------------------------------------------------------------------------------------------------------------------------------Reason : after applying the policy, you need to configure the properties>security>audit of the OU.


A auditoria é configurado para registrar as alterações feitas no Gerenciado por atributo em objetos de grupoem uma unidade organizacional chamada OU1.

Você precisa fazer login alterações feitas no atributo Descrição em todos os objetos do grupo em OU1 só.


A. Executar auditpol.exe.

B. Modificar a entrada de auditoria para OU1.

C. Modificar a entrada de auditoria para o domínio.

D. Criar um novo objeto de Diretiva de Grupo (GPO). Habilitar a Auditoria conta definição de política degestão.Vincular o GPO para OU1.



----------------------------------------------------------------------------------------------------------------------------------------------Reason : after applying the policy, you need to configure the properties>security>audit of the OU. Thequestion here indicates that "Auditing is configured" , this mean the policy setting is already configured.Therefore you do not need to modify the GPO anymore.

QUESTION 18Você tem um controlador de domínio que executa o Windows Server 2008 R2. O recurso Windows ServerBackup está instalado no controlador de domínio.

Você precisa executar uma restauração não-autorizada do controlador de domínio, usando um arquivo debackup existente.


A. Reinicie o controlador de domínio no diretório do modo de restauração de serviços. Use o comandoWBADMIN para executar uma restauração volume crítico.

B. Reinicie o controlador de domínio no diretório do modo de restauração de serviços. Use o Backup doWindows Server snap-in para executar um volume crítico de restauração.

C. Reinicie o controlador de domínio no modo de segurança. Use o Backup do Windows Server snap-inpara executar um volume crítico de restauração.

D. Reinicie o controlador de domínio no modo de segurança. Use o comando WBADMIN para executaruma restauração volume crítico.


Explanation/Reference:Performing a Nonauthoritative Restore of AD DS

Applies To: Windows Server 2008To perform a nonauthoritative restore of Active Directory Domain Services (AD DS), you need at least asystem state backup. For more information about the specific components that are included in a systemstate backup, see What's New in AD DS Backup and Recovery?. To restore a system state backup, use the wbadmin start systemstaterecovery command. Theprocedure in this topic uses the wbadmin start systemstaterecovery command.You can also use a critical-volume backup to perform a nonauthoritative restore, or a full server backup ifyou do not have a system state or critical-volume backup. A full server backup is generally larger than acritical-volume backup or system state backup. Restoring a full server backup not only rolls back data in ADDS to the time of backup, but it also rolls back all data in other volumes. Rolling back this additional data isnot necessary to achieve nonauthoritative restore of AD DS. To restore a critical-volume backup or fullserver backup, use the wbadmin start recovery command.Requirements for performing nonauthoritative restor e of AD DSTo perform a nonauthoritative restore, you must start the domain controller in Directory Services RestoreMode (DSRM). When the domain controller starts in DSRM, you must supply the administrator password forDSRM.

----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 19Sua empresa tem um domínio Active Directory que é executado no Windows Server 2008 R2. A UO deVendas contém uma unidade organizacional para computadores, uma UO para grupos, e uma unidadeorganizacional para os usuários.

Você pode executar backups noturnos. Um administrador exclui os Grupos de UO. Você precisa restauraros Grupos UO sem afetar os usuários e computadores na OU Vendas.


A. Executar uma restauração autoritativa da UO de Vendas.

B. Executar uma restauração autoritativa da UO Grupos.

C. Execute uma restauração não-autorizada da OU Grupos.

D. Execute uma restauração não-autorizada da OU Vendas.

Answer: BSection: Configuring AD Federated Services

Explanation/Reference:The authoritative restore is needed to make certain replication does not cause the Groups OU to be deleteagain in replication.

You want to restore only the Groups OU, not the Sales OU, which contains the other sub-OUs -- no need tochange those OUs.s----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 20Sua empresa tem um servidor controlador de domínio que executa o Windows Server 2008 R2 sistemaoperacional. O servidor é um servidor de backup. O servidor tem um disco de 500 GB rígido único que temtrês partições para o sistema operacional, aplicativos e dados. Você pode executar backups diários doservidor.

O disco rígido falhar. Você substitui o disco rígido com um novo disco rígido da mesma capacidade. Vocêreiniciar o computador em mídia de instalação. Você seleciona a opção Reparar o seu computador.

Você precisa restaurar o sistema operacional e todos os arquivos.


A. Selecione a opção System Image Recovery.

B. Execute o utilitário Imagex no prompt de comando.

C. Execute o utilitário Wbadmin no prompt de comando.

D. Execute o utilitário Rollback no prompt de comando.

Answer: CSection: Configuring AD Federated Services

Explanation/Reference:Wbadmin is the correct utility for this job.----------------------------------------------------------------------------------------------------------------------------------------------

Exam E

QUESTION 1Você rede consiste em um domínio único diretório Active. Todos os controladores de domínio executem oWindows Server 2008 R2.

Você precisa reiniciar o Directory Services Restore Mode senha (DSRM) em um controlador de domínio.

Que ferramenta você deve usar?

A. dsmod

B. ntdsutil

C. Local Users and Groups snap-in

D. Active Directory Users and Computers snap-in

Answer: BSection: Powershell & Command line cmds

Explanation/Reference:#ntdsutil#set dsrm password----------------------------------------------------------------------------------------------------------------------------------------------

To Reset the DSRM Administrator PasswordClick, Start , click Run , type ntdsutil , and then click OK.At the Ntdsutil command prompt, type set dsrm password.At the DSRM command prompt, type one of the following lines: To reset the password on the server on which you are working, type reset password on server null. The nullvariable assumes that the DSRM password is being reset on the local computer. Type the new passwordwhen you are prompted. Note that no characters appear while you type the password.

-or- To reset the password for another server, type reset password on server servername, where servername isthe DNS name for the server on which you are resetting the DSRM password. Type the new password whenyou are prompted. Note that no characters appear while you type the password.At the DSRM command prompt, type q.At the Ntdsutil command prompt, type q to exit.

QUESTION 2Um controlador de domínio chamado DC12 executa serviços críticos. Reestruturação da hierarquia deunidade organizacional para o domínio foi concluída e objetos desnecessários foram eliminados.

Você precisa executar uma desfragmentação offline do banco de dados do Active Directory no DC12. Vocêtambém precisa garantir que os serviços essenciais permanecem online.


A. Inicie o controlador de domínio no diretório do modo de restauração de serviços. Execute o utilitárioDefrag.

B. Inicie o controlador de domínio no diretório do modo de restauração de serviços. Execute o utilitárioNtdsutil.

C. Pare o serviço de controlador de domínio no Serviços (local) Microsoft Management Console (MMC).Execute o utilitário Defrag.

D. Pare o serviço de controlador de domínio no Serviços (local) Microsoft Management Console (MMC).Execute o utilitário Ntdsutil.

Answer: DSection: Powershell & Command line cmds

Explanation/Reference:To perform offline defragmentation of the directory databaseCompact the database file to a local directory or remote shared folder, as follows:Local directory: Go to step 2.

Remote directory: If you are compacting the database file to a shared folder on a remote computer,before you stop AD DS, prepare a shared directory on a remote server in the domain. For example, createthe share \\ServerName\NTDS. Allow access to only the Builtin Administrators group. On the domaincontroller, map a network drive to this shared folder.

Important You should make a copy of the existing Ntds.dit file if at all possible, even if you have to store that copy ona network drive. If the compaction of the database does not work properly, you can then easily restore thedatabase by copying back the copy of the Ntds.dit file that you made. Do not delete this copy of the Ntds.dit file until you have verified that the domain controller starts properly. Open a Command Prompt as an administrator: On the Start menu, right-click Command Prompt , andthen click Run as administrator . If the User Account Control dialog box appears, providecredentials, if required, and then click Continue .At the command prompt, type the following command, and then press ENTER:net stop ntds Type Y to agree to stop additional services, and then press ENTER.At the command prompt, type ntdsutil , and then press ENTER.At the ntdsutil prompt, type activate instance ntds , and then press ENTER.At the ntdsutil prompt, type files , and then press ENTER.If you are compacting the database to a local drive, at the file maintenance: prompt, type compactto <drive>:\ <LocalDirectoryPath> (where <drive>:\ <LocalDirectoryPath> is the path toa location on the local computer), and then press ENTER.If you mapped a drive to a shared folder on a remote computer, type the drive letter only, for example, compact to K:\ .

Note When you compact the database to a local drive, you must provide a path. If the path contains anyspaces, enclose the entire path in quotation marks (for example, compact to "c:\new folder" ). Ifthe directory does not exist, Ntdsutil.exe creates the directory and then creates the file named Ntds.dit inthat location. If defragmentation completes successfully, type quit , and then press ENTER to quit the filemaintenance: prompt. Type quit again, and then press ENTER to quit Ntdsutil.exe. Go to step 9.If defragmentation completes with errors, go to step 12.

Caution Do not overwrite the original Ntds.dit file or delete any log files. If defragmentation succeeds with no errors, follow the Ntdsutil.exe onscreen instructions to:To delete all the log files in the log directory, type the following command, and then press ENTER:

del <drive>:\<pathToLogFiles>\*.log

Ntdsutil provides the correct path to the log files in the onscreen instructions.

Note You do not have to delete the Edb.chk file. You should make a copy of the existing Ntds.dit file if at all possible, even if you have to store that copy on asecured network drive. If the compaction of the database does not work properly, you can then easilyrestore the database by copying it back to the original location. Do not delete the copy of the Ntds.dit file

until you have at least verified that the domain controller starts properly. If space allows, you can rename theoriginal Ntds.dit file to preserve it. Avoid overwriting the original Ntds.dit file.

Manually copy the compacted database file to the original location, as follows:

copy “<temporaryDrive>:\ntds.dit” “<originalDrive>:\<pathToOriginalDatabaseFile> \ntds.dit”

Ntdsutil provides the correct paths to the temporary and original locations of the Ntds.dit file.

At the command prompt, type ntdsutil , and then press ENTER.At the ntdsutil: prompt, type files , and then press ENTER.At the file maintenance: prompt, type integrity , and then press ENTER.If the integrity check fails, the likely cause is that an error occurred during the copy operation in step 9.c.Repeat steps 9.c through step 12. If the integrity check fails again:Contact Microsoft Customer Service and Support.

Or

Copy the original version of the Ntds.dit file that you preserved in step 9.b. to the original database location,and repeat the offline defragmentation procedure.

If the integrity check succeeds, proceed as follows:If the initial compact to command failed, go back to step 7 and perform steps 7 through 12.

If the initial compact to command succeeded, type quit and press ENTER to quit the filemaintenance: prompt, and then type quit and press ENTER again to quit Ntdsutil.exe.

Restart AD DS. At the command prompt, type the following command, and then press ENTER:net start ntds If errors appear when you restart AD DS:Stop AD DS. At the command prompt, type the following command, and then press ENTER:

net stop ntds

Type Y to agree to stop additional services, and then press ENTER.

Check the errors in Event Viewer.

If the following events are logged in the Directory Service log in Event Viewer when you restart AD DS,respond to the events as follows:

Event ID 1046. “The Active Directory database engine caused an exception with the following parameters.”In this case, AD DS cannot recover from this error and you must restore from backup media.

Event ID 1168. “Internal error: An Active Directory error has occurred.” In this case, information is missingfrom the registry and you must restore from backup media.

Check database integrity, and then proceed as follows:

If the integrity check fails, try repeating step 9.c through step 12 above, and then repeat the integrity check.If the integrity check fails again:

Contact Microsoft Customer Service and Support.

Or

Copy the original version of the Ntds.dit file that you preserved in step 9.b. to the original database locationand repeat the offline defragmentation procedure.

If the integrity check succeeds, follow the steps in the procedure If the Database Integrity Check Fails,Perform Semantic Database Analysis with Fixup.

If semantic database analysis with fixup succeeds, quit Ntdsutil.exe, and then restart AD DS. At thecommand prompt, type the following command, and then press ENTER:

net start ntds

Compacting or defragging the AD database (ntds.dit)

Stop “active directory domain services

#ntdsutil: files#file maintenance: compact to c:\temp----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 3Você precisa identificar todas as tentativas fracassadas de logon nos controladores de domínio.


A. Executar Visualizador de Eventos.

B. Ver o arquivo Netlogon.log.

C. Execute o Assistente de Configuração de Segurança.

D. Ver na guia Segurança no objeto de computador do controlador de domínio.



----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 4Você cria 200 novas contas de usuário. Os usuários estão localizados em seis locais diferentes. Novosusuários relatam que eles recebem a seguinte mensagem de erro quando tenta fazer logon em: "O nomede usuário ou senha está incorreta."

Você confirma que as contas de usuários existem e estão habilitados. Você também confirmar que o nomede usuário e senha fornecidos estão corretos.

Você precisa identificar a causa da falha. Você também precisa garantir que os novos usuários sãocapazes de fazer logon.

Qual utilidade que você deve correr?

A. Rsdiag

B. Rstools

C. Repadmin

D. Active Directory Domains and Trusts

Answer: CSection: Powershell & Command line cmds


Repadmin

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2008, Windows Server 2008 R2Repadmin.exe helps administrators diagnose Active Directory replication problems between domaincontrollers running Microsoft Windows operating systems.Repadmin.exe is built into Windows Server 2008 and Windows Server 2008 R2. It is available if you havethe AD DS or the AD LDS server role installed. It is also available if you install the Active Directory DomainServices Tools that are part of the Remote Server Administration Tools (RSAT). For more information, seeHow to Administer Microsoft Windows Client and Server Computers Locally and Remotely (http://go.microsoft.com/fwlink/?LinkID=177813). To use Repadmin.exe, you must run the ntdsutil command from an elevated command prompt. To openan elevated command prompt, click Start , right-click Command Prompt , and then click Run asadministrator .You can use Repadmin.exe to view the replication topology, as seen from the perspective of each domaincontroller. In addition, you can use Repadmin.exe to manually create the replication topology, to forcereplication events between domain controllers, and to view both the replication metadata and up-to-dateness vectors (UTDVECs). You can also use Repadmin.exe to monitor the relative health of an ActiveDirectory Domain Services (AD DS) forest.----------------------------------------------------------------------------------------------------------------------------------------------http://technet.microsoft.com/en-us/library/cc770963(v=WS.10).aspx

QUESTION 5Você precisa validar se o Active Directory replicado com sucesso entre dois controladores de domínio.


A. Execute o comando dsget.

B. Execute o comando Dsquery.

C. Execute o comando repadmin.

D. Execute o Windows System Resource Manager.


Explanation/Reference:Repadmin

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2008, Windows Server 2008 R2Repadmin.exe helps administrators diagnose Active Directory replication problems between domaincontrollers running Microsoft Windows operating systems.Repadmin.exe is built into Windows Server 2008 and Windows Server 2008 R2. It is available if you havethe AD DS or the AD LDS server role installed. It is also available if you install the Active Directory DomainServices Tools that are part of the Remote Server Administration Tools (RSAT). For more information, seeHow to Administer Microsoft Windows Client and Server Computers Locally and Remotely (http://go.microsoft.com/fwlink/?LinkID=177813). To use Repadmin.exe, you must run the ntdsutil command from an elevated command prompt. To openan elevated command prompt, click Start , right-click Command Prompt , and then click Run asadministrator .You can use Repadmin.exe to view the replication topology, as seen from the perspective of each domaincontroller. In addition, you can use Repadmin.exe to manually create the replication topology, to forcereplication events between domain controllers, and to view both the replication metadata and up-to-dateness vectors (UTDVECs). You can also use Repadmin.exe to monitor the relative health of an ActiveDirectory Domain Services (AD DS) forest.----------------------------------------------------------------------------------------------------------------------------------------------http://technet.microsoft.com/en-us/library/cc770963(v=WS.10).aspx


Você precisa identificar os Lightweight Directory Access Protocol (LDAP) clientes que estão usando a maiorquantidade de recursos de CPU em um controlador de domínio.


A. Reveja os dados de desempenho em Monitor de Recursos.

B. Revise o hardware log de eventos no Visualizador de eventos.

C. Executar o Diagnostics LAN Conjunto de Coletores de Dados. Reveja a LAN relatório Diagnóstico.

D. Execute o Active Directory Diagnostics Conjunto de Coletores de Dados. Revise o relatório ActiveDirectory Diagnostics.


Explanation/Reference:server managerdiagnosticsreliability and performancesystemActive Directory Diagnostics----------------------------------------------------------------------------------------------------------------------------------------------To run the Active Directory Data Collector follow these steps:Open Server Manager on a Full version of Windows Server 2008 or later, or go to Start > Run >Perfmon.msc and then press enter.Expand Diagnostics > Reliability and Performance > Data Collector Sets > SystemRight-click on Active Directory Diagnostics and then click Start in the menu which appears.The default setting will gather data for the report for 300 seconds (5 minutes), after which it will take anadditional period to compile the report. The amount of time needed to compile the report is proportional tohow much data has been gathered during the period.Once the report has compiled, look under Diagnostics > Reliability and Performance >Reports > System > Active Directory Diagnostics to view the report or reports which havebeen completed.

The report contains eight broad categories under Diagnostic Results which will contain information andconclusions in the report. These will not always tell the exact cause of the problem but can be used todetermine where to investigate in order to find the exact cause.

Items to look at when facing high CPU utilization by Lsass.exe are the Diagnostic Results portion of thereport, which will show general performance concerns. In addition, examining the Active Directory categorywill detail what actions-such as what LDAP queries are effecting performance-the domain controller is busydoing at that time.

Domain controllers are often most effected by remote queries from computers in the environment asking"expensive" queries, or subjecting them to a higher volume of queries. The Network portion of the report canbe useful in determining the remote clients which are communicating most with the domain controller whilethe diagnostic was gathering data.


Você precisa capturar todos os erros de replicação de todos os controladores de domínio para um local

central.


A. Configure assinaturas log de eventos.

B. Iniciar o Sistema de Desempenho conjunto de coletores de dados.

C. Inicie o Active Directory Diagnostics conjunto de coletores de dados.

D. Instale o Monitor de rede e criar uma nova captura.


Explanation/Reference:server managerdiagnosticseventlogssubscriptions

with subscriptions you can configure eventlogs to be forwarded to a central computer.

QUESTION 8Você tem um domínio do Active Directory que é executado no Windows Server 2008 R2. Você precisaimplementar um servidor de autoridade de certificação (CA) que atenda aos seguintes requisitos:

- Permite a autoridade de certificação para emitir automaticamente certificados- Integração com Active Directory Domain Services


A. Instalar e configurar o Active Directory Certificate função de servidor Serviços como uma CA raizautônoma.

B. Instalar e configurar o Active Directory Certificate função de servidor de Serviços como um EnterpriseRoot CA.

C. Comprar um certificado de uma autoridade de certificação de terceiros. Instalar e configurar o ActiveDirectory Certificate função de servidor Serviços como uma CA subordinada autônoma.

D. Comprar um certificado de uma autoridade de certificação de terceiros. Importe o certificado para oarmazenamento do computador do mestre de esquema.


Explanation/Reference:If you are using templates you need Windows 2008 Enterprise.----------------------------------------------------------------------------------------------------------------------------------------------Automatically issuing certificates requires ADCS

QUESTION 9Sua empresa tem uma floresta do Active Directory. Você planeja instalar uma certificação de Empresaautoridade (CA) em um servidor independente dedicado.

Quando você tenta adicionar os Serviços de Certificado do Active Directory (AD CS) função de servidor,você achar que a empresa CA opção não está disponível.

Você precisa instalar o CS AD (Certificate Services) o papel do servidor como uma CA Enterprise.


A. Adicione a função de servidor DNS Server.

B. Acresentar ao servidor para o domínio.

C. Adicione o Servidor Web função de servidor (IIS) ea função de servidor AD CS.

D. Adicionar o Active Directory Lightweight Directory Services (AD LDS) função de servidor.


Explanation/Reference:Root CA and SUB-CA’s are normally NOT a member of the domain (pre-R2?)because those servers are Offline and locked-up in a vault.The Issuing CA’s are a member of the domain, because they are online.----------------------------------------------------------------------------------------------------------------------------------------------In this case, however, this Server 2008 R2 server must be a member server in the domain to get theEnterprise CA option, but should not be a DC.

QUESTION 10Você tem um servidor Windows 2008 R2 que tem o Active Directory Certificate função de servidor Serviçosinstalado.

Você precisa minimizar a quantidade de tempo que leva para computadores clientes para baixar uma listade certificados revogados (CRL).


A. Instalar e configurar um Respondente Online.

B. Instalar e configurar um controlador de domínio adicional.

C. Importe o certificado da CA raiz no armazenamento de certificados raiz fidedigna em todas as estaçõesde trabalho cliente.

D. Importe a emissão do certificado CA para o armazenamento de certificados raiz fidedigna em todas asestações cliente.


Explanation/Reference:An Online Responder is a trusted server that receives and responds to individual client requests forinformation about the status of a certificate. The use of Online Responders is one of two common methods for conveying information about the validityof certificates. Unlike certificate revocation lists (CRLs), which are distributed periodically and containinformation about all certificates that have been revoked or suspended, an Online Responder receives andresponds only to individual requests from clients for information about the status of a certificate. The amountof data retrieved per request remains constant no matter how many revoked certificates there might be. In many circumstances, Online Responders can process certificate status requests more efficiently than byusing CRLs.----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 11Você tem um servidor Windows 2008 R2 Enterprise Root CA. A política de segurança impede que a porta443 e porta 80 que está sendo aberto em controladores de domínio e na CA de emissão.Você precisa permitir que os utilizadores solicitar certificados de uma interface web. Você instalar osServiços de Certificados do Active Directory (AD CS) função de servidor.


A. Configurar o serviço de função Respondente Online em um servidor membro.

B. Configurar o serviço de função Respondente Online em um controlador de domínio.

C. Configurar o Certificado de Matrícula Web serviço de função de serviço em um servidor membro.

D. Configurar o Certificado de Matrícula Web serviço de função de serviço em um controlador de domínio.


Explanation/Reference:The Certificate Enrollment Policy Web Service is an Active Directory Certificate Services (AD CS) roleservice that enables users and computers to obtain certificate enrollment policy information. Together withthe Certificate Enrollment Web Service, this enables policy-based certificate enrollment when the clientcomputer is not a member of a domain or when a domain member is not connected to the domain.The Certificate Enrollment Policy Web Service uses the HTTPS protocol to communicate certificate policyinformation to network client computers. The Web service uses the LDAP protocol to retrieve certificatepolicy from Active Directory Domain Services (AD DS) and caches the policy information to service clientrequests. In previous versions of AD CS, certificate policy information can be accessed only by domainclient computers that are using the LDAP protocol. This limits policy-based certificate issuance to the trustboundaries established by AD DS forests.----------------------------------------------------------------------------------------------------------------------------------------------Since the CEWS role uses HTTPS, the scenario says it cannot be installed on a DC, this limits the answerto C.

QUESTION 12Sua empresa tem um servidor que executa o Windows Server 2008 R2. Serviços de Certificados do ActiveDirectory (AD CS) é configurado como uma autoridade de certificação autônoma (CA) no servidor. Vocêprecisa auditar alterações às definições de configuração da CA e as configurações de segurança da CA.



A. Configurar a auditoria na Autoridade de Certificação snap-in.

B. Habilite a auditoria de tentativas bem-sucedidas e fracassadas de mudar permissões em arquivos no%% SYSTEM32 \ CertSrv.

C. Habilite a auditoria de tentativas bem-sucedidas e fracassadas de gravar arquivos no%% SYSTEM32 \CertLog.

D. Ativar a configuração Auditoria de acesso a objetos na política de segurança local para os Serviços deCertificados do Active Directory (AD CS) do servidor.

Answer: ADSection: Configuring AD Certificate Services

Explanation/Reference:To configure CA event auditing Open the Certification Authority snap-in. In the console tree, click the name of the CA.On the Action menu, click Properties .On the Auditing tab, click the events that you want to audit, and then click OK.On the Action menu, point to All Tasks , and then click Stop Service . On the Action menu, point to All Tasks , and then click Start Service .----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 13

Sua empresa tem um domínio do Active Directory.

Você instala uma autoridade de certificação raiz corporativa (CA) em um servidor membro nomeadoServer1. Você precisa garantir que apenas o Gerente de Segurança está autorizado a revogar certificadosque são fornecidos pelo Server1.


A. Retire a solicitação de permissão Certificados do grupo Usuários do Domínio.

B. Retire a solicitação de permissão Certificados do grupo Usuários autenticados.

C. Atribuir o Permitir - Gerenciar CA permissão para apenas a conta de usuário Security Manager.

D. Atribuir o Permitir - Emitir e Gerenciar Certificados permissão para apenas a conta de usuáriosegurança administrador


Explanation/Reference:A certificate manager can approve certificate enrollment and revocation requests, issue certificates, andmanage certificates. This role can be configured by assigning a user or group the Issue and ManageCertificatespermission.When you assign this permission to a user or group, you can further refine their ability to managecertificates by group and by certificate template. For example, you might want to implement a restriction thatthey can only approve requests or revoke smart card logon certificates for users in a certain office ororganizational unit that is the basis for a security group.This restriction is based on a subset of the certificate templates enabled for the certification authority (CA)and the user groups that have Enroll permissions for that certificate template from that CA.You must be a CA administrator or a member of Enterprise Admins , or equivalent, to complete thisprocedure. For more information, see Implement Role-Based Administration.To configure certificate manager restrictions for a CAOpen the Certification Authority snap-in, and right-click the name of the CA. Click Properties , and then click the Security tab.Verify that the user or group that you have selected has Issue and Manage Certificates permission.If they do not yet have this permission, select the Allow check box, and then click Apply .Click the Certificate Managers tab.Click Restrict certificate managers , and verify that the name of the group or user is displayed.Under Certificate Templates , click Add , select the template for the certificates that you want this useror group to manage, and then click OK. Repeat this step until you have selected all certificate templatesthat you want to allow this certificate manager to manage.Under Permissions , click Add , type the name of the client for whom you want the certificate manager tomanage the defined certificate types, and then click OK.If you want to block the certificate manager from managing certificates for a specific user, computer, orgroup, under Permissions , select this user, computer, or group, and click Deny .When you are finished configuring certificate manager restrictions, click OK or Apply .----------------------------------------------------------------------------------------------------------------------------------------------Reason:A certificate manager can approve certificate enrollment and revocation requests, he can also issuecertificates and manage certificates

QUESTION 14Você tem um servidor Windows 2008 R2 Enterprise Root autoridade de certificação (CA). Você precisaconceder aos membros do grupo Operadores de conta a capacidade de apenas gerenciar certificadosbásicos EFS.

Você concede ao grupo Operadores de Conta da Emissão e gerenciar certificados de permissão no CA.Quais as três tarefas que você deve executar a seguir?


A. Ative a opção Restringir Inscrição agentes da autoridade de certificação.

B. Ative a opção Restringir Certificado Managers na CA.

C. Adicione o modelo de certificado EFS básico para o grupo Operadores de conta.

D. Conceda à conta de grupo de operadores a permissão Gerenciar CA na CA.

E. Remova todos os modelos de certificados desnecessários que são atribuídos ao grupo Operadores deConta.

Answer: BCESection: Configuring AD Certificate Services

Explanation/Reference:A certificate manager can approve certificate enrollment and revocation requests, issue certificates, andmanage certificates. This role can be configured by assigning a user or group the Issue and Manage Certificatespermission.

http://technet.microsoft.com/en-us/library/cc753372.aspx----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 15.Você tem dois servidores nomeados Server1 e Server2. Ambos os servidores rodam Windows Server2008 R2. Server1 é configurado como uma raiz corporativa autoridade de certificação (CA).

Você instala o serviço de função de Resposta Online no Server2. Você precisará configurar Server1 paraapoiar o Respondente Online.


A. Importe o certificado da CA raiz corporativa.

B. Configurar a Lista de Certificados Revogados extensão ponto de distribuição.

C. Configurar a Autoridade de Acesso à Informação extensão (AIA).

D. Adicione a conta de computador Server2 ao grupo CertPublishers.


Explanation/Reference:To function properly, an Online Responder must have a valid Online Certificate Status Protocol (OCSP)Response Signing certificate. This OCSP Response Signing certificate is also needed if you are using anon-Microsoft OCSP responder.Configuring a certification authority (CA) to support OCSP responder services includes the following steps:

1. Configure certificate templates and issuance properties for OCSP Response Signing certificates.

2. Configure enrollment permissions for any computers that will be hosting Online Responders.

3. If this is a Windows Server 2003–based CA, enable the OCSP extension in issued certificates.

4. Add the location of the Online Responder or OCSP responder to the authority information accessextension on the CA.

5. Enable the OCSP Response Signing certificate template for the CA.

----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 16Sua empresa tem um domínio do Active Directory. Todos os servidores rodam Windows Server 2008 R2.Sua empresa funciona uma empresa de raiz autoridade de certificação (CA).

Você precisa garantir que apenas os administradores podem assinar o código.



A. Publicar o modelo de assinatura de código.

B. Edite a diretiva do computador local do Enterprise Root CA para permitir aos usuários confiar emcertificados de pares e permitem que os administradores apenas para aplicar a política.

C. Edite a diretiva do computador local do Enterprise Root CA para permitir que apenas osadministradores para gerenciar Editores Confiáveis.

D. Modificar as configurações de segurança no modelo para permitir que apenas os administradores parasolicitar certificados de assinatura de código.

Answer: ADSection: Configuring AD Certificate Services

Explanation/Reference:Default templates in Windows Server 2008

Name Description Key

usage

Subjecttype

Applications usedforenhancedkey usage

Applicationpolicies orenhancedkey usage

Administrator

Allows trust list signing and user authentication

Signature andencryption

User

Microsoft trustlist signingEncryptingFile System(EFS)Secure e-mailClientauthentication

4.1

AuthenticatedSession

Allows subjects to authenticate to a Web server Signature

User Clientauthentication

3.1

BasicEFS

Used by EFS to encrypt data Encryption

User EFS 3.1

CAExchange

Used to protect private keys as they are sent to theCA for private key archival

Encryption

Computer

Private keyarchival 106.0

CEPEncryption

Allows the holder to act as a registration authority forSimple Certificate Enrollment Protocol (SCEP)requests; used by the Network Device EnrollmentService for its key exchange certificate

Encryption

Computer

Certificaterequest agent

4.1

CodeSigning

Used to digitally sign software Signature

User Code signing 3.1

----------------------------------------------------------------------------------------------------------------------------------------------Reason : Code Signing is a template.

QUESTION 17

Sua empresa tem um domínio do Active Directory. Todos os servidores rodam Windows Server 2008 R2. Asua empresa utiliza uma raiz corporativa autoridade de certificação (CA) e de uma empresa intermediáriaCA.

A Enterprise Intermediate CA certificado expirar.

Você precisa implantar uma nova Enterprise Intermediate certificado para todos os computadores nodomínio.


A. Importar o novo certificado para o armazenamento de Certificação Intermediária no servidor EnterpriseRoot CA.

B. Importar o novo certificado para o armazenamento de Certificação Intermediária no IntermediateEnterprise CA servidor.

C. Importar o novo certificado para o armazenamento de Certificação Intermediária em controladores dedomínio padrão objeto política de grupo.

D. Importar o novo certificado para o armazenamento de Certificação Intermediária no padrão objeto dediretiva de domínio do grupo.


Explanation/Reference:-Q-You bring the Root CA online and make a cert request from the Intermediate CA, send it to the Root CA forsigningand then import the signed certificate into the Intermediate CA.

So i think "B" instead of "D"----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 18

Sua empresa tem um domínio do Active Directory.

Você pretende instalar os Serviços de Certificados do Active Directory (AD CS) função de servidor em umservidor membro que executa o Windows Server 2008 R2.

Você precisa assegurar que os membros do grupo Operadores de Conta são capazes de emitir credenciaisde cartões inteligentes. Eles não devem ser capazes de revogar certificados.

Quais as três ações que você deve executar?


A. Instale a função de servidor AD CS e configurá-lo como um Enterprise Root CA.

B. Instale a função de servidor AD CS e configurá-lo como um CA autônomo.

C. Restringir os agentes de inscrição para o certificado de logon de cartão inteligente para o grupoOperadores de Conta.

D. Restringir gestores de certificados para o certificado de logon de cartão inteligente para o grupoOperadores de Conta.

E. Criar um certificado de logon de cartão inteligente.

F. Criar um certificado de agente de inscrição.

Answer: ACESection: Configuring AD Certificate Services


----------------------------------------------------------------------------------------------------------------------------------------------To configure enrollment agents, right click on the issuing CA and select properties( see screenshot below).

QUESTION 19Sua rede consiste de um domínio único diretório Active. O nível funcional da floresta é Windows Server2008 R2.

Você precisa criar várias diretivas de senha para os usuários em seu domínio.


A. A partir do esquema do Active Directory snap-in, criar objetos de esquema múltiplas classes.

B. Desde o ADSI Edit snap-in, criar objetos de ajustes múltiplos senha.

C. No Assistente de Configuração de Segurança, criar múltiplas políticas de segurança.

D. Desde o Group Policy Management snap-in, criar objetos de Diretiva de Grupo.


Explanation/Reference:Fine-Grained Passwords [Password policies per OU, Group or user]Adsi edit, cn=system, cn=password settings container, RM, new object, msds-passwordsettings, enter

name Passwordsettings, enter values…ADUC adv, create group, goto system, Passwordsettings ,msDS-PSOAppliesTo, edit, enter the group.----------------------------------------------------------------------------------------------------------------------------------------------

QUESTION 20Você precisa executar uma desfragmentação offline de um banco de dados do Active Directory. Que quatroações que você deve executar em seqüência? (Para responder, mover as quatro ações apropriadas a partirda lista de ações para a área de resposta e organizá-los na ordem correta.)

Answer:

Section: Configuring AD Federated Services


Exam F

QUESTION 1Sua empresa tem um domínio do Active Directory. Todos os servidores rodam Windows Server 2008 R2.

A sua empresa utiliza uma raiz corporativa autoridade de certificação (CA). Você precisa garantir que asinformações certificado revogado é altamente disponível.


A. Implementar um Online Certificate Status Protocol (OCSP) responder usando o Network LoadBalancing.

B. Implementar um Online Certificate Status Protocol (OCSP) responder usando um Internet Security andAcceleration Server matriz.

C. Publicar o certificado reconhecido pela lista de autoridades para o domínio usando um objeto deDiretiva de Grupo (GPO).

D. Criar um objeto de Diretiva de Grupo (GPO) que permite aos usuários confiar em certificados de pares.Vincular o GPO ao domínio.


Explanation/Reference:There are two major pieces in implementing the High Availability Configuration. The first step is to add theOCSP Responders to what is called an Array. When OCSP Responders are configured in an Array, theconfiguration of the OCSP responders can be easily maintained, so that all Responders in the Array havethe same configuration. The configuration of the Array Controller is used as the baseline configuration that isthen applied to other members of the Array.

The second piece is to load balance the OCSP Responders . Load balancing of the OCSP responders iswhat actually provides fault tolerance. I am going to demonstrate using the built in Windows Network LoadBalancing feature of Windows Server 2008. You can of course use a third party hardware load balancer ifyou wish. In this example, we are going to deploy two OCSP Servers in a highly available configuration.

http://blogs.technet.com/b/askds/archive/2009/08/20/implementing-an-ocsp-responder-part-v-high-availability.aspx

QUESTION 2Sua empresa tem um domínio do Active Directory. Você tem uma de duas camadas de infra-estrutura dePKI que contém uma AC raiz offline e uma autoridade de certificação on-line de emissão. A autoridade decertificação da empresa está executando o Windows Server 2008 R2.

Você precisa garantir que os usuários são capazes de inscrever novos certificados.


A. Renovar a Lista de Certificados Revogados (CRL) na CA raiz. Copie o CRL para a pasta CertEnroll naCA de emissão.

B. Renovar a Lista de Certificados Revogados (CRL) na CA de emissão. Copie o CRL para a pastaSystemCertificates no perfil dos usuários.

C. Importe o certificado da CA raiz no armazenamento de certificados raiz fidedigna em todas as estaçõesde trabalho cliente.

D. Importe a emissão de certificado de CA para o Intermediário loja de autoridades de certificação emtodas as estações de trabalho cliente.



QUESTION 3Você tem dois servidores nomeados Server1 e Server2. Ambos os servidores rodam Windows Server 2008R2. Server1 é configurado como uma raiz corporativa autoridade de certificação (CA). Você instala oserviço de função de Resposta Online no Server2.

Você precisará configurar Server2 para emitir listas de certificados revogados (LCR) para a raiz daempresa CA.



A. Importe o certificado da CA raiz corporativa.

B. Importe o certificado de assinatura OCSP Response.

C. Adicione a conta de computador Server1 ao grupo CertPublishers.

D. Definir o tipo de inicialização do serviço Propagação Certificado para Automático.

Answer: ABSection: Configuring AD Certificate Services

Explanation/Reference:The signature on OCSP responses must follow the following rules to be considered valid by a WindowsVista or Windows Server 2008 client:

For Windows Vista, either the OCSP signing certificate must be issued by the same CA as the certificatebeing verified or the OCSP response must be signed by the issuing CA.

For Windows Vista with Service Pack 1 and Windows Server 2008, the OCSP signing certificate may chainup to any trusted root CA as long as the certificate chain includes the OCSP Signing EKU extension.

CryptoAPI will not support independent OCSP signer during revocation checking on this OCSP signingcertificate chain to avoid circular dependency. CryptoAPI will support CRL and delegated OCSP signer only.

QUESTION 4Sua rede contém um domínio do Active Directory. O domínio contém dois controladores de domíniochamado DC1 e DC2.

DC1 apresenta um padrão zona DNS primário para o domínio. Atualizações dinâmicas são habilitadas nazona. DC2 hospeda um padrão zona DNS secundária para o domínio.

Você precisa configurar o DNS para permitir somente atualizações dinâmicas seguras.


A. Em DC1 e DC2, configurar uma âncora de confiança.

B. Em DC1 e DC2, configurar uma regra de segurança de conexão.

C. Em DC1 e DC2, configurar UMA Regra de Segurança de Conexão

D. Em DC1, configurar a zona a ser armazenadas no Active Directory.


Explanation/Reference:To allow only secure dynamic updates using the Wind ows interface Open DNS Manager.

In the console tree, right-click the applicable zone, and then click Properties .On the General tab, verify that the zone type is Active Directory-integrated .In Dynamic Updates , click secure only .

http://technet.microsoft.com/en-us/library/cc753751.aspx

QUESTION 5Sua rede contém um controlador de domínio que tem duas conexões de rede nomeados Interna eprivados. Interno tem um endereço IP 192.168.0.20. Privado tem um endereço IP de 10.10.10.5.

Você precisa impedir que o controlador de domínio do registro Host (A) registros para o endereço IP10.10.10.5.


A. Modifique o arquivo netlogon.dns no controlador de domínio.

B. Modificar as configurações de nome de servidor da zona DNS para o domínio.

C. Modificar as propriedades da conexão de rede privada no controlador de domínio.

D. Desativar máscara de rede ordenação no servidor DNS que hospeda a zona DNS para o domínio.


Explanation/Reference:To avoid this problem perform the following 3 steps (It is important that you follow all the steps to avoid theissue).

1. Under Network Connections Properties: On the Unwanted NIC TCP/IP Properties -> Advanced -> DNS - > Uncheck "Register this connectionsAddress in DNS"

2. Open the DNS server console: highlight the server on the left pane Action-> Properties and on the"Interfaces" tab select "listen on only the following IP addresses". Remove unwanted IP address from the list

3. On the Zone properties, select Name server tab. Along with FQDN of the DC, you will see the IP addressassociated with the DC. Remove unwanted IP address if it is listed.After performing this delete the existing unwanted Host A record of the DC.

http://support.microsoft.com/kb/2023004#appliesto

QUESTION 6A rede contém uma floresta do Active Directory chamado contoso.com. Você planeja adicionar um novodomínio chamado nwtraders.com para a floresta.Todos os servidores DNS são controladores de domínio.

Você precisa garantir que os computadores em nwtraders.com pode atualizar seu Host (A) registros sobrequalquer um dos servidores DNS na floresta.


A. Adicione as contas de computador de todos os controladores de domínio para o grupo DnsAdmins.

B. Adicione as contas de computador de todos os controladores de domínio para o grupoDnsUpdateProxy.

C. Crie uma zona primária padrão em um controlador de domínio no domínio raiz da floresta.

D. Crie uma zona integrada ao Active Directory em um controlador de domínio no domínio raiz da floresta.

Answer: D

Section: Configuring AD DNS

Explanation/Reference:When you use standard zone storage, the default for the DNS Server service is to not allow dynamicupdates on its zones. For zones that are either directory-integrated or that use standard file-based storage,you can change the zone to allow all dynamic updates, which permits all updates to be accepted.


Reason : Standard primary zone is local to the DC. The requirement here is to allow clients to register theirhost from any DC/DNS servers.

QUESTION 7Sua rede contém um domínio do Active Directory chamado contoso.com. O domínio contém umcontrolador de domínio chamado DC1. DC1 hospeda uma zona primária padrão para contoso.com.

Você descobre que os computadores não-membros do domínio registrar registros na zona contoso.com.Você precisa impedir que os computadores não-membros do domínio de registrar recordes na zonacontoso.com. Todos os computadores membros do domínio deve ser permitido registrar registros na zonacontoso.com.


A. Configurar uma âncora de confiança.

B. Execute o Configuration Wizard (SCW).

C. Alterar o fuso contoso.com para uma zona integrada ao Active Directory.

D. Modificar as configurações de segurança do% SystemRoot% \ System32 \ Dns.


Explanation/Reference:When you use standard zone storage, the default for the DNS Server service is to not allow dynamicupdates on its zones. For zones that are either directory-integrated or that use standard file-based storage,you can change the zone to allow all dynamic updates, which permits all updates to be accepted.


Trust anchors are required on all non-authoritative DNS servers that will perform DNSSEC validation of datafrom a signed zone.

http://technet.microsoft.com/en-us/library/ee649280%28WS.10%29.aspx

QUESTION 8Sua rede contém um domínio do Active Directory chamado contoso.com. Você cria uma zonaGlobalNames. Você pode adicionar um registro de recurso de alias (CNAME) chamado Server1 para azona. O host de destino do registro é server2.contoso.com. Quando você executa ping Server1, vocêdescobre que o nome não resolve.

Você resolver com êxito server2.contoso.com. Você precisa se certificar que você pode resolver nomesusando a zona GlobalNames.


A. A partir do prompt de comando, use a ferramenta netsh.

B. A partir do prompt de comando, use a ferramenta dnscmd.

C. A partir do Gestor de DNS, modificar as propriedades da zona GlobalNames.

D. No Gerenciador de DNS, modificar as configurações avançadas do servidor DNS.


Explanation/Reference:Deploying a GlobalNames zoneThe specific steps for deploying a GlobalNames zone can vary somewhat, depending on the AD DStopology of your network.Step 1: Create the GlobalNames zoneThe first step in deploying a GlobalNames zone is to create the zone on a DNS server that is a domaincontroller running Windows Server 2008. The GlobalNames zone is not a special zone type; rather, it issimply an AD DS-integrated forward lookup zone that is called GlobalNames. For information about creatinga primary forward lookup zone, see Add a Forward Lookup Zone.Step 2: Enable GlobalNames zone supportThe GlobalNames zone is not available to provide na me resolution until GlobalNames zone supportis explicitly enabled by using the following comman d on every authoritative DNS server in theforest: dnscmd <ServerName> /config /enableglobalnamessupport 1

where ServerName is the DNS name or IP address of the DNS server that hosts the GlobalNames zone. Tospecify the local computer, replace ServerName with a period (.), for example, dnscmd . /config /enableglobalnamessupport 1 .Step 3: Replicate the GlobalNames zoneTo make the GlobalNames zone available to all DNS servers and clients in a forest, replicate the zone to alldomain controllers in the forest, that is, add the GlobalNames zone to the forest-wide DNS applicationpartition. For more information, see Change the Zone Replication Scope.If you want to limit the servers that will be authoritative for the GlobalNames zone, you can create a customDNS application partition for replicating the GlobalNames zone. For more information, see UnderstandingDNS Zone Replication in Active Directory Domain Services.Step 4: Populate the GlobalNames zoneFor each server that you want to be able to provide single-label name resolution for, add an alias (CNAME)resource record to the GlobalNames zone. For more information, see Add an Alias (CNAME) ResourceRecord to a Zone.Step 5: Publish the location of the GlobalNames zon e in other forestsIf you want DNS clients in other forests to use the GlobalNames zone for resolving names, add servicelocation (SRV) resource records to the forest-wide DNS application partition, using the service name_globalnames._msdcs and specifying the FQDN of the DNS server that hosts the GlobalNames zone. Formore information, see Add a Resource Record to a Zone and Service Location (SRV) Resource RecordDialog Box.In addition, you must run the dnscmd ServerName/config /enableglobalnamessupport 1command on every authoritative DNS server in the forests that do not host the GlobalNames zone.

http://technet.microsoft.com/en-us/library/cc731744 .aspx

Reason : GNZ is intended to aid the retirement of W INS. To enable gnz:Dnscmd ServerName /config /Enableglobalnamessupport 1. Next , you can use gui to create GlobalNames zone o r using command :Dnscmd ServerName /ZoneAdd GlobalNames /DsPrimary / DP /forest

QUESTION 9Sua empresa tem uma sede e uma filial.

A rede contém um domínio do Active Directory chamado contoso.com. A zona de DNS para contoso.com éconfigurado como uma zona integrada ao Active Directory e é replicada para todos os controladores dedomínio no domínio.

O escritório principal contém um controlador de domínio gravável chamado DC1. A filial contém umcontrolador de domínio somente leitura (RODC) chamado RODC1. Todos os controladores de domínioexecutem o Windows Server 2008 R2 e são configurados como servidores de DNS.

Você desinstalar a função de servidor DNS a partir de RODC1. Você precisa impedir que registros de DNSde replicar para RODC1.


A. Modificar o escopo de replicação para a zona contoso.com.

B. Esvaziar o cache de DNS e permitir o bloqueio de cache em RODC1.

C. Configurar o encaminhamento condicional para a zona contoso.com.

D. Modificar as configurações de transferência de zona para zona contoso.com.

Answer: ASection: Configuring Additional AD Server Roles

Explanation/Reference:Change the Zone Replication Scope

Applies To: Windows Server 2008, Windows Server 2008 R2You can use the following procedure to change the replication scope for a zone. Only Active DirectoryDomain Services (AD DS)–integrated primary and stub forward lookup zones can change their replicationscope. Secondary forward lookup zones cannot change their replication scope.Membership in Administrators , or equivalent, is the minimum required to complete this procedure. Reviewdetails about using the appropriate accounts and group memberships at http://go.microsoft.com/fwlink/?LinkId=83477.Changing zone replication scopeUsing the Windows interface


To change zone replication scope using the Windows interface Open DNS Manager.In the console tree, right-click the applicable zone, and then click Properties .On the General tab, note the current zone replication type, and then click Change .Select a replication scope for the zone.Additional considerationsTo open DNS Manager, click Start , point to Administrative Tools , and then click DNS.

To change zone replication scope using the command line At a command prompt, type the following command, and then press ENTER:

dnscmd <ServerName> /ZoneChangeDirectoryPartition < ZoneName> <NewPartitionName>

Parameter Description dnscmd Specifies the name of the command-line tool for managing DNS servers.

<ServerName> Required. Specifies the Domain Name System (DNS) host name of the DNS server. Youcan also type the IP address of the DNS server. To specify the DNS server on the localcomputer, you can also type a period (.)

/ZoneChangeDirectoryPartition

Required. Changes a zone's replication scope.

<ZoneName> Required. Specifies the fully qualified domain name (FQDN) of the zone.<NewPartitionName>

Required. The FQDN of the DNS application directory partition where the zone will bestored.


QUESTION 10.

Sua rede contém um domínio do Active Directory chamado contoso.com. O domínio contém os servidoresmostrados na tabela seguinte:

nome doservidor

sistema operacional papel

DC1 Windows Server 2008 Domain controller

DC2 Windows Server 2008 R2 Domain controller

DNS1 Windows Server 2008 DNS server

DNS2 Windows Server 2008 R2 DNS server

O nível funcional da floresta é o Windows Server 2003. O nível funcional do domínio é o Windows Server2003.DNS1 e DNS2 hospedam a zona contoso.com. Todos os computadores clientes executam o Windows 7Enterprise.

Você precisa se certificar de que todos os nomes na zona contoso.com são garantidos utilizando DNSSEC.


A. Alterar o nível funcional da floresta.

B. Alterar o nível funcional do domínio.

C. Atualize DC1 para o Windows Server 2008 R2.

D. Atualize DNS1 para o Windows Server 2008 R2.


Explanation/Reference:Note

In Windows Server 2003 and Windows Server® 2008, DNSSEC is implemented on secondary zones asdescribed in RFC 2535. Because RFC 2535 has been made obsolete by the previously mentioned RFCs,the Windows Server 2003 and Windows Server 2008 implementations are not interoperable with theWindows Server 2008 R2 or Windows 7 implementation.

http://technet.microsoft.com/en-us/library/ee649205(v=WS.10).aspx

QUESTION 11Sua rede contém um controlador de domínio que está configurado como um servidor DNS. O servidorhospeda uma zona integrada ao Active Directory para o domínio.

Você precisa reduzir o tempo que leva até registros obsoletos são excluídos da zona.


A. A partir da partição de diretório de configuração da floresta, modificar o tempo de desativação.

B. A partir da partição de diretório de configuração da floresta, modificar o intervalo de coleta de lixo.

C. A partir das propriedades de envelhecimento da zona, modificar o intervalo sem atualização e ointervalo de atualização.

D. Desde o início da autoridade registo (SOA) da zona, modificar o intervalo de refrescamento e dointervalo de expirar.



QUESTION 12.

Você tem um domínio do Active Directory chamado contoso.com. Você tem um controlador de domíniochamado Server1 que é configurado como um servidor DNS. Server1 hospeda uma zona primária padrãopara contoso.com. A configuração DNS de Server1 é mostrado na exposição. (Clique no botão Exibir.)

You discover that stale resource records are not automatically removed from the contoso.com zone. Youneed to ensure that the stale resource records are automatically removed from the contoso.com zone.

What should you do?

A. Defina o período de limpeza do server1 para 0 dias.

B. Modificar o servidor envelhecimento / limpeza de propriedades.

C. Configure as propriedades de envelhecimento para a zona contoso.com.

D. Converter a zona contoso.com para uma zona integrada ao Active Directory.



Scavenging is set in three places on a Windows Server:On the individual resource record to be scavenged. On a zone to be scavenged. At one or more servers performing scavenging. It must be set in all three places or nothing happens.

http://blogs.technet.com/b/networking/archive/2008/03/19/don-t-be-afraid-of-dns-scavenging-just-be-patient.aspx?PageIndex=3

QUESTION 13Sua rede contém um domínio do Active Directory chamado contoso.com.

Você remove vários computadores da rede.

Você precisa se certificar de que o anfitrião (A) registros para os computadores são removidosautomaticamente excluído do DNS contoso.com zona.


A. Configurar atualizações dinâmicas.

B. Configurar o envelhecimento e limpeza.

C. Crie uma tarefa agendada que executa o comando Dnscmd / ClearCache.

D. Crie uma tarefa agendada que executa o Dnscmd / ZoneReload comando contoso.com



Scavenging is set in three places on a Windows Server:On the individual resource record to be scavenged. On a zone to be scavenged. At one or more servers performing scavenging. It must be set in all three places or nothing happens.

http://blogs.technet.com/b/networking/archive/2008/03/19/don-t-be-afraid-of-dns-scavenging-just-be-patient.aspx?PageIndex=3

QUESTION 14Você precisa forçar um controlador de domínio para registrar todas serviço local (SRV) registros derecursos no DNS.

Qual comando você deve executar?

A. ipconfig.exe /registerdns

B. net.exe stop dnscache & net.exe start dnscache

C. net.exe stop netlogon & net.exe start netlogon

D. regsvr32.exe dnsrslvr.dll


Explanation/Reference:To make sure that all you A and SRV records are updated corretly, please proceed like the following:Make sure that each DC / DNS server is pointing to its private IP address as primary DNS server Make sure that each DC without DNS is pointing to the correct internal DNS server a primary DNS server Check that you don't have connectivity problems Run net.exe stop netlogon & net.exe start netlogon command on all your DCs. Make sure that all your client computers / member servers are using the correct internal DNS server asprimary one

QUESTION 15Sua rede contém um domínio do Active Directory chamado contoso.com. Você planeja implantar umdomínio filho chamado sales.contoso.com. Os controladores de domínio em sales.contoso.com seráservidores DNS para sales.contoso.com.

Você precisa garantir que os usuários em contoso.com pode se conectar a servidores em sales.contoso.com usando nomes de domínio totalmente qualificado (FQDN).


A. Criar um encaminhador DNS.

B. Criar uma delegação DNS.

C. Configure os servidores de dica de raiz.

D. Configurar um servidor DNS alternativo em todos os computadores cliente.


Explanation/Reference:Create a Zone Delegation Applies To: Windows Server 2008, Windows Server 2008 R2You can divide your Domain Name System (DNS) namespace into one or more zones. You can delegatemanagement of part of your namespace to another location or department in your organization bydelegating the management of the corresponding zone. For more information, see Understanding ZoneDelegation.When you delegate a zone, remember that for each new zone that you create, you will need delegationrecords in other zones that point to the authoritative DNS servers for the new zone. This is necessary bothto transfer authority and to provide correct referral to other DNS servers and clients of the new servers thatare being made authoritative for the new zone.Membership in the Administrators group, or equivalent, is the minimum required to complete thisprocedure. Review details about using the appropriate accounts and group memberships at http://go.

microsoft.com/fwlink/?LinkId=83477.Creating a zone delegationUsing the Windows interface


To create a zone delegation using the Windows inter face Open DNS Manager.In the console tree, right-click the applicable subdomain, and then click New Delegation .Follow the instructions in the New Delegation Wizard to finish creating the new delegated domain.Additional considerationsTo open DNS Manager, click Start , point to Administrative Tools , and then click DNS.

All domains (or subdomains) that appear as part of the applicable zone delegation must be created in thecurrent zone before delegation is performed as described here. As necessary, use DNS Manager to firstadd domains to the zone before you complete this procedure.

To create a zone delegation using a command line Open a command prompt.Type the following command, and then press ENTER: dnscmd <ServerName> /RecordAdd <ZoneName> <NodeName > [/Aging] [/OpenAcl][<Ttl>] NS {<HostName>|<FQDN>}Parameter Description dnscmd Specifies the name of the command-line tool for managing DNS servers.

<ServerName>

Required. Specifies the DNS host name of the DNS server. You can also type the IP address ofthe DNS server. To specify the DNS server on the local computer, you can also type a period(.)

/RecordAdd

Required. Specifies the command to add a resource record.

<ZoneName>

Required. Specifies the fully qualified domain name (FQDN) of the zone.

<NodeName>

Required. Specifies the FQDN of the node in the DNS namespace for which the start ofauthority (SOA) resource record is added. You can also type the node name relative to the ZoneName or @, which specifies the zone's root node.

/AgingIf this command is used, this resource record is able to be aged and scavenged. If thiscommand is not used, the resource record remains in the DNS database unless it is manuallyupdated or removed.

/OpenAcl Specifies that new records are open to modification by any user. Without this parameter, onlyadministrators may modify the new record.

<Ttl> Specifies the Time To Live (TTL) setting for the resource record. (The default TTL is defined instart of authority (SOA) resource record).

NSRequired. Specifies that you are adding a name server (NS) resource record to the zone that isspecified in ZoneName.

<HostName>|<FQDN>

Required. Specifies the host name or FQDN of the new authoritative server.

To view the complete syntax for this command, at a command prompt, type the following command, andthen press ENTER: dnscmd /RecordAdd /help

QUESTION 16Sua rede contém um domínio único diretório ativo chamado contoso.com. O domínio contém doiscontroladores de domínio chamado DC1 e DC2 que executam o Windows Server 2008 R2. DC1 hospedaruma zona primária para contoso.com. DC2 hospeda uma zona secundária para contosto.com. Em DC1,você alterar o para uma zona integrada ao Active Directory e configurar a zona para aceitar atualizaçõesdinâmicas seguras apenas.

Você precisa se certificar que DC2 pode aceitar atualizações dinâmicas seguras para a zona contoso.com.


A. DNSCmd.exe dc2.contoso.com / dns.contoso.com createdirectorypartition

B. DNSCmd.exe dc2.contoso.com / zoneresettype contoso.com / DsPrimary

C. dnslint.exe /ql

D. repadmin.exe /syncall /force


Explanation/Reference:Dnscmd zoneresettypeChanges the type of the zone.Syntaxdnscmd [ServerName] /zoneresettype ZoneName ZoneType [/overwrite_mem | /overwrite_ds ] ParametersServerName Specifies the DNS server the administrator is planning to manage, represented by local computer syntax, IPaddress, FQDN, or Host name. If omitted, the local server is used. ZoneName Identifies the zone on which the type will be changed. ZoneType Specifies the type of zone to create. Each type has different required parameters. /dsprimaryCreates an Active Directory-integrated zone. /primary /file FileNameCreates a standard primary zone. /secondary MasterIPAddress [,MasterIPAddress ...]Creates a standard secondary zone. /stub MasterIPAddress [,MasterIPAddress ...] /file FileNameCreates a file-backed stub zone. /dsstub MasterIPAddress [,MasterIPAddress... ]Creates an Active Directory-integrated stub zone. /forwarder MasterIPAddress [,MasterIPAddress ]... /file FileNameSpecifies that the created zone forwards unresolved queries to another DNS server. /dsforwarderSpecifies that the created Active Directory-integrated zone forwards unresolved queries to another DNSserver. /overwrite_mem | /overwrite_ds Specifies how to overwrite existing data. /overwrite_memOverwrites DNS data from data in Active Directory. /overwrite_dsOverwrites existing data in Active Directory. RemarksSetting the zone type as /dsforwarder creates a zone that performs conditional forwarding.

Sample Usagednscmd dnssvr1.contoso.com /zoneresettype test.cont oso.com /primary /file test.contoso.com.dns dnscmd dnssvr1.contoso.com /zoneresettype second.co ntoso.com /secondary10.0.0.2

http://technet.microsoft.com/en-us/library/cc756116(v=WS.10).aspx#BKMK_29

Reason : dsprimary is AD integrated zone. We need AD-integrated to get the secure dynamic updates.

DNSLint is a Microsoft Windows utility that helps you to diagnose common DNS name resolution issues.You need to download it from Microsoft.

QUESTION 17Sua rede contém um domínio do Active Directory chamado contoso.com. Você corre Nslookup.exe comomostrado na janela seguinte prompt de comando.

Você precisa se certificar que você pode usar o Nslookup para listar todo o serviço local (SRV) recursopara contoso.com.

O que você deve modificar?

A. as dicas de raiz do servidor DNS

B. as configurações de segurança da zona

C. as configurações do Windows Firewall no servidor de DNS

D. as configurações de zona de transferência da zona


Explanation/Reference:To modify zone transfer settings using the Windows interface Open DNS Manager.Right-click a DNS zone, and then click Properties .On the Zone Transfers tab, do one of the following: To disable zone transfers, clear the Allow zone transfers check box.

To allow zone transfers, select the Allow zone transfers check box.

If you allowed zone transfers, do one of the following:

To allow zone transfers to any server, click To any server .

To allow zone transfers only to the DNS servers that are listed on the Name Servers tab, click Only toservers listed on the Name Servers tab .

To allow zone transfers only to specific DNS servers, click Only to the following servers , and thenadd the IP address of one or more DNS servers.

QUESTION 18Sua rede contém um domínio do Active Directory chamado contoso.com. O contoso.com zona DNS éarmazenada no Active Directory. Todos os controladores de domínio executem o Windows Server 2008 R2.

Você precisa identificar se todos os registros DNS usados para replicação do Active Directory estãocorretamente registradas.


A. No prompt de comando, use netsh.exe.

B. No prompt de comando, use dnslint.exe.

C. A partir do Módulo Active Directory para o Windows PowerShell, execute o cmdlet Get-ADRootDSE.

D. A partir do Módulo Active Directory para o Windows PowerShell, execute o cmdlet Get-ADDomainController.


Explanation/Reference:DNSLint is a Microsoft Windows utility that runs on Windows 2000-and-later operating systems. Amongother uses, it can help you troubleshoot Active Directory replication issues. Specifically, it can help youdetermine two things: Whether all DNS servers that are supposed to be authoritative for the root of an Active Directory forestactually have the necessary DNS records to successfully synchronize partition replicas among domaincontrollers in an Active Directory forest. DNSLint identifies which DNS records are missing from eachauthoritative DNS server. Whether a particular Active Directory domain controller can resolve all of the necessary DNS records tosuccessfully synchronizing partition replicas among domain controllers in an Active Directory forest. DNSLintidentifies which DNS records cannot be resolved by the domain controller being tested.

http://support.microsoft.com/kb/321046

Reason : DNSLint is a Microsoft Windows utility that helps you to diagnose common DNS name resolutionissues. You need to download it from Microsoft.

QUESTION 19A rede contém uma floresta do Active Directory. A floresta contém um domínio e três sites. Cada sitecontém dois controladores de domínio. Todos os controladores de domínio são servidores DNS.

Você cria uma nova zona integrada ao Active Directory.

Você precisa garantir que a nova zona é replicada para os controladores de domínio em apenas um dossites.


A. Modificar o site NTDS objeto de configurações para o site.

B. Modificar as configurações de replicação do link do site padrão.

C. Criar um objeto de conexão Active Directory.

D. Criar uma partição do Active Directory diretório do aplicativo.

Answer: DSection: Configuring AD Infrastructure

Explanation/Reference:Application directory partitionsAn application directory partition is a directory partition that is replicated only to specific domain controllers.

QUESTION 20A rede contém uma floresta único diretório Active. A floresta contém dois domínios chamados contoso.come sales.contoso.com. Os controladores de domínio são configurados como mostrado na tabela seguinte:

nome do servidor domínio Zonas DNShospedado

DC1 contoso.com contoso.com

DC2 contoso.com contoso.com

DC3 sales.contoso.com sales.contoso.com

DC4 sales.contoso.com sales.contoso.com

Todos os controladores de domínio executem o Windows Server 2008 R2. Todas as zonas sãoconfiguradas como Active Directory zonas integradas.

Você precisa garantir que os registros Contoso.com estão disponíveis no DC3.


A. dnscmd.exe DC1.contoso.com /ZoneChangeDirectoryPartition contoso.com /domain

B. dnscmd.exe DC1.contoso.com /ZoneChangeDirectoryPartition contoso.com /forest

C. dnscmd.exe DC3.contoso.com /ZoneChangeDirectoryPartition contoso.com /domain

D. dnscmd.exe DC3.contoso.com /ZoneChangeDirectoryPartition contoso.com /forest


Explanation/Reference:You can use these procedures to change the replication scope for a zone using either the DNS Managersnap-in or the dnscmd command-line tool. Only Active Directory–integrated primary and stub forwardlookup zones can change their replication scope. Because they are not integrated with Active Directory,secondary forward lookup zones cannot change their replication scope.

Caution Improperly configuring the replication scope of a zone can cause replication to fail or produce unexpectedresults, interfering with name resolution for the zone. You should not change the replication scope of azone unless you fully understand how Active Directory replication works.The following table describes the available zone replication scopes for Active Directory–integrated DomainName System (DNS) zone data. Zone replication scope Description All DNS servers in the ActiveDirectory forest

Replicates zone data to all DNS servers that are running on domaincontrollers in the Active Directory forest. Usually, this is the broadest scopeof replication.

All DNS servers in the ActiveDirectory domain

Replicates zone data to all DNS servers that are running on domaincontrollers in the Active Directory domain. This option is the default settingfor Active Directory–integrated DNS zone replication in Windows Server2003 and Windows Server 2008.

All domain controllers in theActive Directory domain

Replicates zone data to all domain controllers in the Active Directorydomain.

All domain controllers in aspecified application directorypartition

Replicates zone data according to the replication scope of the specifiedapplication directory partition. For a zone to be stored in the specifiedapplication directory partition, the DNS server that is hosting the zone mustbe enlisted in the specified application directory partition.

To change zone replication scope using the command line Open a command prompt. To open an elevated Command Prompt window, click Start , point to AllPrograms , click Accessories , right-click Command Prompt , and then click Run asadministrator .At a command prompt, type the following command, and then press ENTER:Copy dnscmd <ServerName> /ZoneChangeDirectoryPartition < ZoneName> <NewPartitionName>

Exam G

QUESTION 1Você tem uma zona de DNS que é armazenado em uma partição de diretório de aplicativospersonalizados.

Você instala um novo controlador de domínio.

Você precisa se certificar que a partição de diretório de aplicativo personalizado é replicado para o novocontrolador de domínio.

O que você deve usar?

A. o Active Directory consola Centro Administrativo

B. do Active Directory Sites e Serviços do console

C. o console do Gerenciador de DNS

D. a ferramenta Dnscmd


Explanation/Reference:Create a DNS Application Directory Partition Applies To: Windows Server 2008, Windows Server 2008 R2You can store Domain Name System (DNS) zones in the domain or application directory partitions of ActiveDirectory Domain Services (AD DS). A partition is a data structure in AD DS that distinguishes data fordifferent replication purposes. When you create an application directory partition for DNS, you can controlthe scope of replication for the zone that is stored in that partition. For more information, see UnderstandingActive Directory Domain Services Integration.Membership in the Enterprise Admins group is required to complete this procedure. Review detailsabout using the appropriate accounts and group memberships at http://go.microsoft.com/fwlink/?LinkId=83477.To create a DNS application directory partition Open a command prompt.Type the following command, and then press ENTER: Copy dnscmd <ServerName> /CreateDirectoryPartition <FQDN >

Parameter Description dnscmd Specifies the name of the command-line tool for managing DNS servers.

<ServerName>

Required. Specifies the DNS host name of the DNS server. You can also type the IPaddress of the DNS server. To specify the DNS server on the local computer, you can alsotype a period (.).

/CreateDirectoryPartition

Required. Creates a DNS application directory partition.

<FQDN> Required. Specifies the name of the new DNS application directory partition. You must usea DNS fully qualified domain name (FQDN).

To view the complete syntax for this command, at a command prompt, type the following command, andthen press ENTER:

dnscmd /CreateDirectoryPartition /?

http://technet.microsoft.com/en-us/library/cc754292 .aspx

QUESTION 2Sua rede contém um domínio do Active Directory chamado contoso.com. Todos os controladores dedomínio executem o Windows Server 2008 R2. O nível funcional do domínio é o Windows Server 2008 R2.

O nível funcional da floresta é o Windows Server 2008. Você tem um servidor membro nomeado Server1

que executa o Windows Server 2008. Você precisa se certificar que você pode adicionar Server1 paracontoso.com como um controlador de domínio.

O que você deve executar antes de promover Server1?

A. dcpromo.exe /CreateDCAccount

B. dcpromo.exe /ReplicaOrNewDomain:replica

C. Set-ADDomainMode -Identity contoso.com -DomainMode Windows2008Domain

D. Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest


Explanation/Reference:Since the domain functional level is set to Windows Server 2008 R2, you cannot add Server1 runningWindows Server 2008 as a DC until you upgrade the server or change the domain functional level.

After you set the domain functional level to a certain value in Windows Server 2008 R2, you cannot roll backor lower the domain functional level, with one exception: when you raise the domain functional level toWindows Server 2008 R2 and if the forest functional level is Windows Server 2008 or lower, you have theoption of rolling the domain functional level back to Windows Server 2008. You can lower the domainfunctional level only from Windows Server 2008 R2 to Windows Server 2008. If the domain functional levelis set to Windows Server 2008 R2, it cannot be rolled back, for example, to Windows Server 2003.

http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(WS.10).aspx

The Set-ADDomainMode cmdlet sets the domain mode for a domain. You specify the domain mode bysetting the DomainMode parameter.

The domain mode can be set to the following values that are listed in order of functionality from lowest tohighest.

Windows2000DomainWindows2003InterimDomainWindows2003DomainWindows2008DomainWindows2008R2Domain

You can change the domain mode to a mode with highe r functionality only . For example, if thedomain mode for a domain is set to Windows 2003, you can use this cmdlet to change the mode toWindows 2008. However, in the same situation, you cannot use this cmdlet to change the domain modefrom Windows 2003 to Windows 2000. (must take into account the above exception)

http://technet.microsoft.com/en-us/library/ee617230.aspx

/CreateDCAccountCreates a read-only domain controller (RODC) account. Only a member of the Domain Admins group or theEnterprise Admins group can run this command.

ReplicaOrNewDomain:{<Replica> | ReadOnlyReplica | Domain}Specifies whether to install an additional domain controller (a writable domain controller or an RODC) or tocreate a new domain.The default is to install an additional writable domain controller.

QUESTION 3A rede contém uma floresta do Active Directory. A floresta contém um único domínio. Você deseja acessar

recursos em um domínio que está localizado na outra floresta.

Você precisará configurar uma relação de confiança entre o domínio em sua floresta e do domínio na outrafloresta.

O que você deve criar?

A. uma relação de confiança externa de entrada

B. uma confiança reino de entrada

C. uma confiança de saída externa

D. uma confiança reino de saída

Answer: ASection: Configuring Domains and Trusts

Explanation/Reference:A one-way, incoming, external trust allows users in your domain (the domain that you are logged on to at thetime that you run the New Trust Wizard) to access resources in another Active Directory domain (outsideyour forest) or in a Windows NT 4.0 domain. For example, if you are the administrator of sales.wingtiptoys.com and users in that domain need to access resources in the marketing.tailspintoys.com domain (which islocated in another forest), you can use this procedure (in conjunction with another procedure, which isexecuted by the administrator in the other forest) to establish one side of the relationship so that users inyour domain can access resources in the marketing.tailspintoys.com domain.


QUESTION 4Sua rede contém duas florestas do Active Directory. Uma floresta contém dois domínios chamadoscontoso.com e na.contoso.com. A outra floresta contém um domínio chamado nwtraders.com. A confiançade floresta é configurado entre as duas florestas.

Você tem um usuário chamado User1 no domínio na.contoso.com. User1 relatos de que ele não conseguefazer logon em um computador no domínio nwtraders.com usando o nome de usuário NA \ User1.

Outros usuários a partir do relatório na.contoso.com que eles podem fazer logon para os computadores nodomínio nwtraders.com.

Você precisa se certificar que User1 pode fazer logon no computador no domínio nwtraders.com.


A. Ative a autenticação seletiva sobre a confiança de floresta.

B. Criar uma relação de confiança unidirecional externa de na.contoso.com para nwtraders.com.

C. Instrua User1 para fazer logon no computador usando seu nome de usuário principal (UPN).

D. Instrua User1 para fazer logon no computador usando os nwtraders nome de usuário \ User1.

Answer: CSection: Configuring Domains and Trusts

Explanation/Reference:UPN [email protected]

QUESTION 5Sua empresa tem uma sede e uma filial. O escritório principal contém dois controladores de domínio.

Você cria um site do Active Directory chamado BranchOfficeSite. Você implantar um controlador dedomínio na filial, e depois adicionar o controlador de domínio para o site BranchOfficeSite.

Você descobre que os usuários da filial estão aleatoriamente autenticado por qualquer controlador dedomínio na filial ou os controladores de domínio no escritório principal.

Você precisa garantir que os usuários da filial sempre tentar autenticar o controlador de domínio na filial emprimeiro lugar.


A. Criar unidades organizacionais (OUs).

B. Criar objetos de sub-rede do Active Directory.

C. Modificar o limiar de detecção de vínculo lento.

D. Modifique o atributo Localização dos objetos de computador.

Answer: BSection: AD Sites & Services

Explanation/Reference:If you create a new site or if you enlarge a new site, you can use this procedure to create a subnet object orobjects and associate them with the site in Active Directory Domain Services (AD DS). You can assign theappropriate network address to the subnet object so that it represents a range of TCP/IP addresses. Toaccomplish this procedure, you must have the following information:The site with which the subnet is to be associated.

The IP version 4 (IPv4) or IP version 6 (IPv6) subnet prefix.

You can modify the Default Domain Policy to enable Windows Vista and Windows Server 2008 clients in thedomain to locate domain controllers in the next closest site if no domain controller in their own site or theclosest site is available.

QUESTION 6Sua empresa tem um escritório central e 50 filiais. Cada escritório contém várias sub-redes.

Você precisa automatizar a criação de objetos de sub-rede do Active Directory.


A. the Dsadd tool

B. the Netsh tool

C. the New-ADObject cmdlet

D. the New-Object cmdlet


Explanation/Reference:The New-ADObject cmdlet creates a new Active Directory object such as a new organizational unit or newuser account. You can use this cmdlet to create any type of Activ e Directory object . Many objectproperties are defined by setting cmdlet parameters. Properties that are not set by cmdlet parameters canbe set by using the OtherAttributes parameter.You must set the Name and Type parameters to create a new Active Directory object. The Name specifiesthe name of the new object. The Type parameter specifies the LDAP display name of the Active DirectorySchema Class that represents the type of object you want to create. Examples of Type values includecomputer, group, organizational unit, and user.The Path parameter specifies the container where the object will be created.. When you do not specify thePath parameter, the cmdlet creates an object in the default naming context container for Active Directoryobjects in the domain.

Examples

-------------------------- EXAMPLE 1 -------------- ------------Command Prompt: C:\PS> Copy New-ADObject -Name '192.168.1.0/26' -Type subnet -D escription'192.168.1.0/255.255.255.192' -OtherAttributes @{lo cation="Building A";siteObject="CN=HQ,CN=Sites,CN=Configuration,DC=FABR IKAM,DC=COM"} -Path"CN=Subnets,CN=Sites,CN=Configuration,DC=FABRIKAM,D C=COM"

Creates a subnet object in the HQ site with the described attributes.

Dsadd tool is only used for creation of users and ou´s

QUESTION 7A rede contém uma floresta do Active Directory. A floresta contém vários sites.

Você precisa habilitar o cache de membros de grupos universais de um site.


A. De Active Directory Sites e Serviços, modificar as configurações NTDS.

B. De Active Directory Sites e Serviços, modifique os NTDS Site Settings.

C. De Active Directory Users and Computers, modificar as propriedades de todos os grupos universaisutilizados no site.

D. De Active Directory Usuários e Computadores, modificar os objetos de computador para oscontroladores de domínio no site.


Explanation/Reference:Enable Universal Group Membership Caching in a Site

Updated: January 9, 2009Applies To: Windows Server 2008, Windows Server 2008 R2In a branch site that has no global catalog server and in a forest that has multiple domains, you can use thisprocedure to enable Universal Group Membership Caching on a domain controller in the site so that aglobal catalog server does not have to be contacted across a wide area network (WAN) link for every initialuser logon. You enable this setting on the NTDS Site Settings object for the site in Active Directory DomainServices (AD DS), and you can specify the site of a global catalog server to contact when the cache mustbe updated. In most cases, the closest global catalog server is located in the hub site.You can use this procedure to enable Universal Group Membership Caching in a site.Membership in Domain Admins , or equivalent, is the minimum required to complete this procedure.Review details about using the appropriate accounts and group memberships at Local and Domain DefaultGroups (http://go.microsoft.com/fwlink/?LinkId=83477).To enable Universal Group Membership Caching in a s iteOpen Active Directory Sites and Services: On the Start menu, point to Administrative Tools , and then clickActive Directory Sites and Services .In the console tree, expand Sites , and then click the site in which you want to enable Universal GroupMembership Caching.In the details pane, right-click the NTDS Site Settings object, and then click Properties .Under Universal Group Membership Caching , select Enable Universal Group Membership Caching .In the Refresh cache from list, click the site that you want the domain controller to contact when theUniversal Group membership cache must be updated, and then click OK.

http://technet.microsoft.com/en-us/library/cc816928(v=ws.10).aspx

QUESTION 8Você precisa assegurar que os controladores de domínio só replicar entre controladores de domínio emlocais adjacentes.

O que você deve configurar a partir do Active Directory Sites e Serviços?

A. Entre as propriedades IP, selecione Ignorar todos os horários.

B. Entre as propriedades IP, selecione Desabilitar link do site de transição.

C. A partir do objeto Configurações NTDS, configure manualmente os Serviços do Active Directory Domainobjetos de conexão.

D. A partir das propriedades do objeto NTDS Site Settings, configure o gerador de topologia Inter-Site paracada site.


Explanation/Reference:Creating a Site Link Bridge Design

Updated: April 11, 2008Applies To: Windows Server 2008, Windows Server 2008 R2A site link bridge connects two or more site links and enables transitivity between site links. Each site link ina bridge must have a site in common with another site link in the bridge. The Knowledge ConsistencyChecker (KCC) uses the information on each site link to compute the cost of replication between sites inone site link and sites in the other site links of the bridge. Without the presence of a common site betweensite links, the KCC also cannot establish direct connections between domain controllers in the sites that areconnected by the same site link bridge.By default, all site links are transitive. We recommend that you keep transitivity enabled by not changing thedefault value of Bridge all site links (enabled by default). However, you will need to disable Bridgeall site links and complete a site link bridge design if:Your IP network is not fully routed. When you disable Bridge all site links , all site links are considerednontransitive, and you can create and configure site link bridge objects to model the actual routing behaviorof your network.

You need to control the replication flow of the changes made in Active Directory Domain Services (AD DS).By disabling Bridge all site links for the site link IP transport and configuring a site link bridge, the sitelink bridge becomes the equivalent of a disjointed network. All site links within the site link bridge can routetransitively, but they do not route outside of the site link bridge.

For more information about how to use the Active Directory Sites and Services snap-in to disable the Bridge all site links setting, see Enable or disable site link bridges (http://go.microsoft.com/fwlink/?LinkId=107073).



Você descobre que, quando você desativar IPv4 em um computador na filial, o computador autenticausando um controlador de domínio no escritório principal. Você precisa se certificar que o IPv6 só decomputadores autenticar a controladores de domínio no mesmo site.


A. Configure o objeto NTDS site Settings.

B. Criar objetos de sub-rede do Active Directory.

C. Criar Serviços do Active Directory Domain objetos de conexão.

D. Instale um túnel Intra-Site Automatic Addressing Protocol roteador (ISATAP).


Explanation/Reference:If you create a new site or if you enlarge a new site, you can use this procedure to create a subnet object orobjects and associate them with the site in Active Directory Domain Services (AD DS). You can assign theappropriate network address to the subnet object so that it represents a range of TCP/IP addresses. Toaccomplish this procedure, you must have the following information: The site with which the subnet is to be associated. The IP version 4 (IPv4) or IP version 6 (IPv6) subnet prefix.

http://technet.microsoft.com/nl-nl/library/cc816870%28WS.10%29.aspx

For enterprise networks, an incremental upgrade to IPv6 is possible using the Intra-Site Automatic TunnelAddressing Protocol (ISATAP) (RFC 4214). ISATAP allows IPv6-only hosts and subnets to fully coexist andinteroperate with IPv4 hosts and subnets in an intranet. In partnership with 6to4 technology, acomprehensive incremental migration solution is available to businesses transitioning their corporatenetworks.

http://technet.microsoft.com/en-us/library/bb726949.aspx

QUESTION 10.

Sua rede contém um domínio do Active Directory. O domínio é configurado como mostrado na tabelaseguinte:

Site do Active Directory Os controladores dedomínio

Main DC1 and DC2

Branch1 DC3

Branch2 None

Usuários em branch2 vezes autenticar em um controlador de domínio no branch1.

Você precisa garantir que os usuários em branch2 autenticar apenas os controladores de domínio principal.


A. Em DC3, defina o valor AutoSiteCoverage a 0.

B. Em DC3, defina o valor AutoSiteCoverage a 1.

C. Em DC1 e DC2, defina o valor AutoSiteCoverage a 0.

D. Em DC1 e DC2, defina o valor AutoSiteCoverage a 1.


Explanation/Reference:Usually domain controllers (DCs) register site-specific records for their local site in DNS, enabling clients toeasily find DCs and other services that are closest to them. If a site contains no DCs, then DCs in the sites closest to that site (calculated by site-link costs) will registersite-specific records for that site as well, to help clients find a DC as close as possible. This is known as automatic site coverage.

Start the registry editor (regedit.exe). Navigate to the HKEY_ LOCAL_MACHINE\SYSTEM CurrentControlSet\Services Netlogon\Parametersregistry subkey. From the Edit menu, select New, DWORD value. Enter a name of AutoSite- Coverage and press Enter. Double-click the new value and set it to 0 to disable it (1 enables it). Click OK.

http://www.windowsitpro.com/article/dns/learning-about-automatic-site-coverage

QUESTION 11Sua rede contém um domínio único diretório ativo que tem dois locais nomeados Site1 e Site2. Site1 temdois controladores de domínio chamado DC1 e DC2. Site2 tem dois controladores de domínio nomeadosDC3 e DC4.DC3 falhar.

Você descobre que a replicação não ocorre mais entre os sites. Você verificar a conectividade entre DC4 eos controladores de domínio em Site1.No DC4, você corre Repadmin.exe / kcc.

A replicação entre os sites continua a falhar.

Você precisa garantir que os dados do Active Directory replica entre os sites.


A. De Active Directory Sites e Serviços, modificar as propriedades de DC3.

B. De Active Directory Sites e Serviços, modificar as definições do site de NTDS Site2.

C. De Active Directory Users and Computers, modificar as configurações de localização de DC4.

D. De Active Directory Users and Computers, modificar as configurações de delegação do DC4.


Explanation/Reference:Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2008, Windows Server 2008 R2Repadmin.exe helps administrators diagnose Active Directory replication problems between domaincontrollers running Microsoft Windows operating systems.Repadmin.exe is built into Windows Server 2008 and Windows Server 2008 R2. It is available if you havethe AD DS or the AD LDS server role installed. It is also available if you install the Active Directory DomainServices Tools that are part of the Remote Server Administration Tools (RSAT). For more information, seeHow to Administer Microsoft Windows Client and Server Computers Locally and Remotely (http://go.microsoft.com/fwlink/?LinkID=177813). To use Repadmin.exe, you must run the ntdsutil command from an elevated command prompt. To openan elevated command prompt, click Start , right-click Command Prompt , and then click Run asadministrator .You can use Repadmin.exe to view the replication topology, as seen from the perspective of each domaincontroller. In addition, you can use Repadmin.exe to manually create the replication topology, to forcereplication events between domain controllers, and to view both the replication metadata and up-to-dateness vectors (UTDVECs). You can also use Repadmin.exe to monitor the relative health of an ActiveDirectory Domain Services (AD DS) forest.

Repadmin /kcc

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2003 with SP2, Windows Server 2008, Windows Server 2008 R2Forces the Knowledge Consistency Checker (KCC) on each targeted domain controller to immediatelyrecalculate the inbound replication topology.

By default, each domain controller performs this recalculation every 15 minutes. Run this command totroubleshoot KCC errors after you remove suspected fault conditions or to re-evaluate whether newconnection objects must be created on behalf of the targeted domain controllers.

Reason: Since repadmin /kcc is not finding issues with DC4, then the issue is mostly likely with DC3.

QUESTION 12Sua rede contém um domínio do Active Directory. O nível funcional do domínio é o Windows Server 2003.O domínio contém cinco controladores de domínio que executam o Windows Server 2008 e cincocontroladores de domínio que executam o Windows Server 2008 R2.

Você precisa se certificar que SYSVOL é replicado usando replicação do sistema de arquivos distribuídos(DFSR).


A. Executar PollAD Dfsrdiag.exe.

B. Executar dfsrmig.exe / setGlobalState 0.

C. Atualize todos os controladores de domínio para o Windows Server 2008 R2.

D. Elevar o nível funcional do domínio para o Windows Server 2008.


Explanation/Reference:Reason : Distributed File System (DFS) Replication is a replication service that is available for replicatingSYSVOL to all domain controllers in domains that have the Windows Server 2008 domain functional level.DFS Replication was introduced in Windows Server 2003 R2. However, on domain controllers that arerunning Windows Server 2003 R2, SYSVOL replication is performed by the File Replication Service (FRS).

QUESTION 13A rede contém uma floresta do Active Directory. A floresta contém dois domínios chamados contoso.com ewoodgrovebank.com.

Você tem um atributo personalizado chamado Attibute1 no Active Directory. Attribute1 está associada aobjetos de usuário.

Você precisa se certificar que attribute1 são replicados para o catálogo global.


A. Em Active Directory Sites e Serviços, configure as configurações NTDS.

B. Em Active Directory Sites e Serviços, configurar o cache de membros de grupo universal.

C. A partir do esquema do Active Directory snap-in, modificar as propriedades do objeto de esquema dousuário da classe.

D. A partir do esquema do Active Directory snap-in, modificar as propriedades do atributo de esquema declasse attribute1.


Explanation/Reference:You can also follow these steps to set the registry key discussed in the article mentioned above by way ofthe Schema MMC snap-in: Highlight Active Directory SchemaChoose Action | Operations Master....Click to select the box titled The Schema may be modified on this Domain Controller.Click OK.

At this point, a Schema Administrator can add additional attributes to the GC. There are several methods toadd additional attributes to the GC including the Schema MMC snap-in and ADSI scripts. To Make Modifications Using Active Directory Schema MMC Snap-InClick the Attributes folder in the snap-in.In the right pane, scroll down to the desired attribute, right-click it, and then click Properties .Click to select the Replicate this attribute to the Global Catalog check box.Click OK.

QUESTION 14Sua rede contém um domínio do Active Directory. O domínio contém três controladores de domínio.

Um dos controladores de domínio falhar.

Sete dias depois, os relatórios de help desk que não pode mais criar contas de usuário. Você precisa secertificar que o help desk pode criar novas contas de usuário.

Quais são as operações função de mestre de que você deve tomar?

A. domain naming master

B. infrastructure master

C. primary domain controller (PDC) emulator

D. RID master

E. schema master


Explanation/Reference:RID MasterThe relative identifier (RID) operations master allocates blocks of RIDs to each domain controller in thedomain. Whenever a domain controller creates a new security principal, such as a user, group, or computerobject, it assigns the object a unique security identifier (SID). This SID consists of a domain SID, which isthe same for all security principals created in the domain, and a RID, which uniquely identifies each securityprincipal created in the domain.

If the RID role is unavailable, eventually security principals cannot be created because there are no moreRIDs available.

QUESTION 15Sua rede contém dois servidores autônomos chamados Server1 e Server2 que têm ativos DirectoryLightweight Directory Services (AD LDS) instalado.

Server1 tem uma instância do AD LDS.

Você precisa se certificar que você pode replicar o exemplo do Servidor1 para Server2.

O que você deve fazer em ambos os servidores?

A. Obter um certificado de servidor.

B. mporte o arquivo MS-User.ldf.

C. Criar uma conta de usuário de serviço para AD LDS.

D. Registre-se o serviço de localização de registros (SRV) recurso.

Answer: CSection: Configuring AD LDS


If you run AD LDS on a domain controller in an AD DS environment, do not use the Network Serviceaccount as the AD LDS service account. Instead, use a domain user account that does not haveadministrative privileges.

Create a replica AD LDS instanceYou can use the Active Directory Lightweight Directory Services Setup Wizard to create AD LDS serviceinstances. In AD LDS, a "service instance" (or, simply, "instance") refers to a single running copy of ADLDS. To provide fault tolerance and load balancing, AD LDS instances can be part of a configuration set. AllAD LDS instances in a configuration set replicate a common configuration directory partition and a commonschema directory partition, plus any number of application directory partitions.To create an AD LDS instance and join it to an existing configuration set, use the Active DirectoryLightweight Directory Services Set Wizard to create a replica AD LDS instance. You need to know theDomain Name System (DNS) name of the server running an AD LDS instance that belongs to theconfiguration set, as well as the Lightweight Directory Access Protocol (LDAP) port that was specified whenthe instance was created. You can also supply the distinguished names (also known as DNs) of specificapplication directory partitions that you want to copy from the configuration set to the AD LDS instance thatyou are creating. Membership in Administrators , or equivalent, is the minimum required to complete this procedure. Reviewdetails about using the appropriate accounts and group memberships at Local and Domain Default Groups(http://go.microsoft.com/fwlink/?LinkId=83477).To create a replica AD LDS instance by using the Ac tive Directory Lightweight Directory ServicesSetup WizardClick Start , point to Administrative Tools , and then click Active Directory Lightweight DirectoryServices Setup Wizard .On the Welcome to the Active Directory Lightweight Directo ry Services Setup Wizard page, click Next.On the Setup Options page, click A replica of an existing instance , and then click Next .On the Instance Name page, accept the default name instance2 (or instance1, if you are installing AD LDSon a second computer), and then click Next .Note AD LDS instance names have to be unique only on a given computer. On the Ports page, accept the default values of 50000 and 50001 (if you are installing onto the firstcomputer) or 389 and 636 (if you are installing onto a second computer), and then click Next .On the Joining a Configuration Set page, in Server , type the host name or DNS name of the computerwhere the first AD LDS instance is installed. Then, type the LDAP port number in use by the first AD LDSinstance (which is 389 by default), and then click Next .Note You must use a valid host name or DNS name, rather than an IP address or localhost when you specify aserver on the Joining a Configuration Set page of the Active Directory Lightweight Directory ServicesSetup Wizard. On the Administrative Credentials for the Configuration Se t page, click the account that is usedas the AD LDS administrator for your first AD LDS i nstance. On the Copy Application Partition page, select the application directory partitions that you want toreplicate to the new AD LDS instance. (The schema and configuration partitions will be replicatedautomatically.) Accept the default values on the remaining Active Directory Lightweight Directory Services Set Wizardpages by clicking Next on each page, and then click Finish on the Completing the Active DirectoryApplication Mode Setup Wizard page.After the installation is complete, use the ADSI Edit snap-in to confirm that the selected directory partitionhas been replicated to your second AD LDS instance.

QUESTION 16Sua rede contém um servidor chamado Server1 que executa o Windows Server 2008 R2. Você cria umActive Directory Lightweight Directory Services (AD LDS) instância no Server1.

Você precisa criar um adicional de AD LDS partição de diretório de aplicativos na instância existente.


A. Adaminstall

B. Dsadd

C. Dsmod

D. Ldp


Explanation/Reference:Create an Application Directory Partition

Applies To: Windows Server 2008, Windows Server 2008 R2You use Ldp.exe to add a new application directory partition to an existing instance ofActive Directory Lightweight Directory Services (AD LDS).Membership in the Administrators group of the AD LDS instance is the minimumrequired to complete this procedure. By default, the security principal that you specify asthe AD LDS administrator during AD LDS setup becomes a member of theAdministrators group in the configuration partition. For more information about AD LDSgroups, see Understanding AD LDS Users and Groups.

To add an application directory partition to an exi sting AD LDS instance

Open LDP, and then connect and bind to an AD LDS instance. For more information, seeuse Use Ldp.exe to Manage an AD LDS Instance.On the Browse menu, click Add child .In Dn, type a distinguished name for the application partition.Under Edit entry , type ObjectClass in the Attribute box and container in the Valuesbox, and then click Enter .Under Edit entry , type instanceType in the Attribute box and 5 in the Values box, andthen click Enter .Click Run . After the new application directory partition is added, the following information appears inthe details pane:Added {distinguished name}where distinguished name is the distinguished name that you typed in step 3.Click Close .


LDP is a GUI with which you can administer an AD LDS instance.

QUESTION 17Sua rede contém um servidor chamado Server1 que executa o Windows Server 2008 R2. No Server1, vocêcria um ativo Directory Lightweight Directory Services (AD LDS) instância nomeada Instance1.

Você se conecta a Instance1 usando ADSI Edit.

Você executar o assistente Criar objeto e você descobre que não há nenhuma classe de objeto do usuário.Você precisa se certificar que você pode criar objetos de usuário no Instance1.


A. Execute o AD LDS Setup Wizard.

B. Modificar o esquema de Instance1.

C. Modificar as propriedades do serviço Instance1.

D. Instale as Ferramentas de Administração de Servidor Remoto (RSAT).


Explanation/Reference:Note As an alternative to using ldifde , you can import the optional AD LDS user classesduring AD LDS setup. If you do not specify user credentials using the -b parameter, ldifde uses the credentialsof the currently logged on user.

QUESTION 18Sua rede contém um domínio do Active Directory. O domínio contém um servidor chamado Server1.Server1 é executado no Windows Server 2008 R2.

Você precisa montar um Ativo Directory Lightweight Directory Services (AD LDS) instantâneo de Server1.


A. Executar ldp.exe e use a opção Bind.

B. Executar diskpart.exe e use a opção Anexar.

C. Executar Dsdbutil.exe e use a opção instantâneo.

D. Executar imagex.exe e especificar o parâmetro / mount.

Answer: CSection: Configuring AD LDS

Explanation/Reference:snapshot

Applies To: Windows Server 2008Manages snapshots of the volumes that contain the Active Directory database and logfiles, which you can view on a domain controller without starting in Directory ServicesRestore Mode (DSRM). You can also run the snapshot subcommand on an ActiveDirectory Lightweight Directory Services (AD LDS) server. In the command-line tool Ntdsutil.exe, you can use the snapshot subcommand tomanage the snapshots, but you must use Dsamain.exe to expose the snapshot as aLightweight Directory Access Protocol (LDAP) server. For more information about usingDsamain, see Dsamain.This is a subcommand of Ntdsutil and Dsdbutil. Ntdsutil and Dsdbutil are command-linetools that are built into Windows Server 2008 and Windows Server 2008 R2. Ntdsutil isavailable if you have the Active Directory Domain Services (AD DS) or AD LDS serverrole installed. Dsdbutil is available if you have the AD LDS server role installed. Thesetools are also available if you install the Active Directory Domain Services Tools that arepart of the Remote Server Administration Tools (RSAT). For more information, see How toAdminister Microsoft Windows Client and Server Computers Locally and Remotely (http://go.microsoft.com/fwlink/?LinkID=177813).To use either of these tools, you must run them from an elevated command prompt. Toopen an elevated command prompt, click Start , right-click Command Prompt , and thenclick Run as administrator .

Reason : dsdbutil is an AD LDS tool to manage LDS instances


ldp.exe bind / bind is authentication to lds instance only.

QUESTION 19Sua rede contém um domínio único diretório Active. Active Directory Rights Management Services (ADRMS) é implantado na rede.

Um usuário chamado User1 é um membro da AD RMS apenas o grupo Administradores de Empresas.Você precisa se certificar que User1 pode alterar o ponto de conexão de serviço (SCP) para a instalaçãodo AD RMS.A solução deve minimizar os direitos administrativos de User1.

A que grupo você deve adicionar User1?

A. AD RMS Auditors

B. AD RMS Service Group

C. Domain Admins

D. Schema Admins


Explanation/Reference:Registering or changing the service connection point (SCP)

Performing this task requires that the logged in user account be a member of the ADRMS Enterprise Administrators and have permission to change and create object inActive Directory Domain Services (AD DS). For example, a user who is a member of theAD RMS Enterprise Administrators group and the AD DS Enterprise Admins groupwould have the proper credentials to perform this task.

To administer AD RMS you must have been granted an Administration role on eachserver in the AD RMS cluster. For day-to-day operations there are three administrationgroups identified for AD RMS:AD RMS Enterprise Administrators

Members of this group have access to all features in the AD RMS console. Duringinstallation of AD RMS, the installing user account is automatically added to this group.

AD RMS Template Administrators

Members of this group can only access rights policy template administration features inthe AD RMS console.

AD RMS Auditors

Members of this group can only access the reports feature in the AD RMS console.


So according to this, domain admins may not be the correct answer, but is the closest tothe correct answer.

QUESTION 20Sua rede contém duas florestas do Active Directory chamado contoso.com e adatum.com. Active DirectoryRights Management Services (AD RMS) é implantado em contoso.com.Um AD RMS domínio de usuário confiável (TUD) entre contoso.com e adatum.com.

A partir dos logs do AD RMS, você descobre que alguns clientes que têm endereços IP na floresta adatum.com está autenticando como usuários de contoso.com.

Você precisa impedir que os usuários usuários contoso.com personificando.


A. Configurar confiáveis domínios de correio electrónico. email.

B. Habilitar lockbox exclusão na AD RMS.

C. Criar uma confiança de floresta entre adatum.com e contoso.com.

D. Adicionar um certificado de uma terceira parte confiável autoridade de certificação (CA).

Answer: ASection: Configuring AD Rights Mgmt Services

Explanation/Reference:To specify properties of the trusted user domain If the trusted user domain is based on another AD RMS cluster's server licensor certificate, you canspecify which e-mail domains within the trusted user domain are trusted. Select the certificate name in the results pane and then in the Actions pane, click Properties. Click the Trusted E-mail Domains tab, and then choose one of the following trust options: Select the Trust all e-mail domains option to trust all of the user accounts that are members of thatdomain. Select the Trust only specified e-mail domains option and then type the domain name to trust, such asexample.com, and then click Add. This adds the domain to the Trusted e-mail domains list. To remove a name from the list, select thename, and then click Remove. Adding a domain includes all of its child domains. Select the Trust AD RMS licensing to security identifiers (SIDs) for this user domain check box, ifnecessary. When finished, click OK.


Exam H

QUESTION 1Sua rede contém um domínio do Active Directory chamado contoso.com. A rede contém computadoresclientes que executam o Windows Vista ou Windows 7.Active Directory Rights Management Services (AD RMS) é implantado na rede.

Você cria um novo modelo de AD RMS, que é distribuído usando o AD RMS gasoduto. O modelo éatualizada a cada mês.

Você precisa se certificar que todos os computadores podem usar a versão mais atualizada do modelo ADRMS. Você quer atingir essa meta usando a quantidade mínima de esforço administrativo.


A. Atualizar todos os computadores com Windows Vista para o Windows 7.

B. Atualizar todos os computadores com Windows Vista para o Windows Vista Service Pack 2 (SP2).

C. Atribuir o Microsoft Windows Rights Management Services (RMS) Client Service Pack 2 (SP2) paratodos os usuários usando uma extensão de Instalação de Software de Diretiva de Grupo.

D. Atribuir o Microsoft Windows Rights Management Services (RMS) Client Service Pack 2 (SP2) paratodos os computadores usando uma extensão de Instalação de Software de Diretiva de Grupo.

Answer: BSection: Configuring AD Rights Mgmt Services

Explanation/Reference:When you modify a rights policy template on the AD RMS server, the server updates thetemplate in both the configuration database and the shared folder (if the AD RMS clusteris configured to specify a file location for storing copies of rights policy templates). Whenusing AD RMS clients other than Windows Vista with SP1, Windows Server 2008,Windows 7, and Windows Server 2008 R2, you should redeploy each rights policytemplate to client computers when they have been modified so that users have the mostcurrent version available. AD RMS clients running Windows Vista with SP1 , WindowsServer 2008, Windows 7, and Windows Server 2008 R2 will automatically detect thischange and update the rights policy templates accordingly. Templates can be redeployedseveral ways including login scripts and using group policies. For more information aboutdeploying rights policy templates see AD RMS Client Deployment and Usage Considerations(http://go.microsoft.com/fwlink/?LinkID=153481).

http://technet.microsoft.com/en-us/library/dd996658(v=WS.10).aspx

QUESTION 2Active Directory Rights Management Services (AD RMS) para implantado in SUA Rede. Os usuarios Quepossuem Dispositivos Windows Mobile 6 relatam Que eles nao podem Acessar OS Documentos Que estaoprotegidos POR AD RMS.

Voce Precisa si certificar Que de Todos os usuarios podem Acessar CONTEÚDO Protegido POR AD RMSusando o Windows Mobile 6.

O Que voce DEVE Fazer?

A. Modificar uma Segurança faça ARQUIVO ServerCertification.asmx.

B. Modificar a segurança do arquivo MobileDeviceCertification.asmx.

C. Habilitar a autenticação anônima para o diretório _wmcs virtual.

D. Habilitar a autenticação anônima para o diretório de certificação virtual.


Explanation/Reference:Enable Certification of Mobile Devices

Applies To: Windows Server 2008 R2AD RMS can provide rights account certificates (RACs) and use licenses to AD RMS-enabled applications that are running Windows Mobile 6. There are a few things that youshould be aware of when configuring mobile services:Discretionary access control lists (DACLs) on the AD RMS pipelines use the most securesettings by default. You must modify the DACL when using AD RMS mobile services.

Many mobile services use advanced Active Directory Domain Services (AD DS)functionality that is available only if all AD DS domain controllers are running WindowsServer 2003, Windows Server 2008, or Windows Server 2008 R2. If you are using anymobile services, we recommend that all domain controllers are running Windows Server2003, Windows Server 2008, or Windows Server 2008 R2, and that both the domain andforest Active Directory functional levels are at least at Windows Server 2003.

In a default AD RMS installation, the DACL of the AD RMS mobile certification pipeline isrestricted, which means an application cannot obtain certificates and licenses for theirusers. However, if you have an AD RMS-enabled application for these computers, youcan enable them to participate in your AD RMS system by configuring the DACLs on theAD RMS mobile certification pipeline.AD RMS-enabled mobile applications can connect to the AD RMS mobile certificationserver by using the MobileDeviceCertification.asmx file.

Note If there is more than one AD RMS server in the AD RMS cluster, the DACL on themobile certification service must be changed on each server in the cluster. Membership in the local Administrators group, or equivalent, is the minimum required tocomplete this procedure.

To enable certification of mobile devicesOpen Windows Explorer and navigate to the folder where Internet Information Serviceswas installed. By default, the folder path is %systemdrive%\Inetpub\wwwroot\_wmcs\Certification folder. To enable mobile devices to receive RACs, right-click the MobileDeviceCertification.asmx file, and then click Properties . On the Security tab, click Add , and then add the user account object of the AD RMS-enabled mobile application and the AD RMS Service Group . In the Permissions list for the groups, select the Allow check box for both Read andRead & Execute permissions, and then click OK.

Note If several servers are hosting AD RMS-enabled mobile applications, consider creating agroup, adding all of the user objects to this group, and then adding the group to theACL of the certification pipeline instead. Restart Internet Information Services by running IISRESET at a command prompt toimplement the changes on the DACLs on the Web services. Do this on each server in theAD RMS cluster.

QUESTION 3Sua rede contém um servidor chamado Server1. O Active Directory Rights Management Services (ADRMS) função de servidor está instalado em Server1.Um administrador altera a senha da conta do usuário que é utilizado pelo AD RMS.

Você precisa atualizar o AD RMS para usar a nova senha.

Qual console você deve usar?

A. Active Directory Rights Management Services

B. Active Directory Usuários e Computadores

C. Serviços de componentes

D. Serviços

Answer: ASection: Configuring AD Rights Mgmt Services

Explanation/Reference:Change the AD RMS Service Account

Applies To: Windows Server 2008 R2During installation, Active Directory Rights Management Services (AD RMS) creates theAD RMS Service Group on the local computer and grants it appropriate permissions onall of the resources that are required for AD RMS to operate. When you provision ADRMS on a server, you must define a domain account for use as the AD RMS serviceaccount. That account is made a member of the AD RMS Service Group, and it is granted thepermissions that are associated with this group. During routine operations, AD RMS runsunder the AD RMS service account.You can change the AD RMS service account at any time. When you do so, thepreviously specified account is automatically removed from the AD RMS Service Group,and the new account is made a member of it. If there is more than one server in the ADRMS cluster where you are changing the AD RMS service account, you must change theservice account on all servers in the cluster.To run the Change Service Account wizard, you must be logged on locally on the ADRMS server with a user account that has administrative privileges to the configurationdatabase.

Important For security reasons, we highly recommend that you create a special user account touse as the AD RMS service account, and that you use this account only as the AD RMSservice account and for no other purpose. In addition, you should not grant this accountany additional permissions. Membership in the AD RMS Enterprise Administrators and the local Administratorsgroup, or equivalent, is the minimum required to complete this procedure.To change the AD RMS Service AccountOpen the Active Directory Rights Management Services console and select the AD RMScluster.In the Actions pane, click Change Service Account .In the Change Service Account wizard, read the text on the Before Changing the ADRMS Service Account page, and then click Next .In the User name box, specify the name of the account within which AD RMS will run for

most operations. The user name should use the format domain_name\user_name. In thePassword box, type the password for the associated user account.Click Next , and then click Finish .Repeat steps 1–5 for each server in the AD RMS cluster.


QUESTION 4Sua rede contém um Active Directory Rights Management Services (AD RMS) cluster. Você tem váriosmodelos de políticas personalizadas. Os modelos de políticas personalizadas são atualizados comfreqüência.

Alguns usuários relatam que leva até 30 dias para receber os modelos de política atualizados. Você precisagarantir que os usuários receber os modelos de política atualizados personalizados dentro de sete dias.


A. Modificar o registro no RMS AD servidores.

B. Modificar o registro nos computadores dos usuários.

C. Alterar a programação do Direitos do AD RMS Gestão Template Política (Manual) tarefa agendada.

D. Alterar a programação do Direitos do AD RMS Gestão Template Política (automatizada) tarefaagendada.


Explanation/Reference:The automated scheduled task will not query the AD RMS template distribution pipelineeach time that this scheduled task runs. Instead, it checks the updateFrequency DWORDvalue registry entry. This registry entry specifies the time interval (in days) after which theclient should update its rights policy templates. By default the registry key is not presenton the client computer. In this scenario, the client checks for new, deleted, or modifiedrights policy templates every 30 days. To configure an interval other than 30 days, createa registry entry at the following location: HKEY_CURRENT_USER\Software\Microsoft\MSDRM\Template Management . In this registry key, you can also configure the updateIfLastUpdatedBeforeTime value,which forces the client computer to update its rights policy templates.

AD RMS Policy Template Considerations


Rights policy templates are used to control the rights that a user or group has on a particular piece of rights-protected content. Active Directory Rights Management Services (AD RMS) stores rights policy templates inthe configuration database. Optionally, it may maintain a copy of all rights policy templates in a shared folderthat you specify.

When publishing protected content, the author selects the rights policy template to apply from the templatesthat are available on the local computer. To make rights policy templates available for offline publishing, theadministrator must deploy them to client computers from a shared folder. In Windows Vista® with ServicePack 1 (SP1), Windows Server® 2008, Windows® 7, and Windows Server® 2008 R2, rights policytemplates are automatically managed by the AD RMS c lient . A new template distribution pipeline hasbeen created that the AD RMS client can poll for updates. If a rights policy template has been added,changed, or deleted, the client detects these changes and updates the local rights policy templates during

its next refresh. The rights policy templates are stored locally on the AD RMS client running Windows Vistawith SP1, Windows Server 2008, Windows 7, and Windows Server 2008 R2 in the %localappdata%\Microsoft\DRM\templates folder. For Windows XP, Windows 2000, and Windows Server 2003, the path is%appdata%\Microsoft\DRM\templates.

http://technet.microsoft.com/en-us/library/dd996658%28WS.10%29.aspx

QUESTION 5Sua empresa tem uma sede e uma filial. A filial contém um controlador de domínio somente leiturachamada RODC1.

Você precisa garantir que um usuário chamado Admin1 pode instalar atualizações em RODC1. A soluçãodeve evitar Admin1 de fazer logon em outros controladores de domínio.


A. Executar ntdsutil.exe e use a opção Funções.

B. Executar dsmgmt.exe e use a opção Funções Local.

C. De Active Directory Sites e Serviços, modifique os NTDS Site Settings.

D. De Active Directory Users and Computers, adicione o usuário ao grupo Operadores de Servidor.

Answer: BSection: Configuring Additional AD Server Roles

Explanation/Reference:Use the ntdsutil local roles command or the dsmgmt local roles command. You canuse this command to view, add, or remove members from the Administrators group andother built-in groups on the RODC. For more information about syntax and examples forusing this command, see local roles (http://go.microsoft.com/fwlink/?LinkId=120147).


-Q-Read only domain controllers

Administrator Role Seperation:Delegate admin role to any user In dcpromo answer file Dsmgmt.exe

Applies only to RODCAdmin user can Install updates, drivers, Perform admin tasks

QUESTION 6

Você instala um controlador de domínio somente leitura (RODC) chamado RODC1. Você precisa garantirque um usuário chamado User1 pode administrar RODC1. A solução deve minimizar o número depermissões atribuídas a User1.


A. Centro Administrativo do Active Directory


C. Dsadd

D. Dsmgmt


Explanation/Reference:Use the ntdsutil local roles command or the dsmgmt local roles command. You canuse this command to view, add, or remove members from the Administrators group andother built-in groups on the RODC. For more information about syntax and examples forusing this command, see local roles (http://go.microsoft.com/fwlink/?LinkId=120147).


-Q-Read only domain controllers

Administrator Role Seperation:Delegate admin role to any user In dcpromo answer file Dsmgmt.exe

Applies only to RODCAdmin user can Install updates, drivers, Perform admin tasks

QUESTION 7Sua rede contém um domínio do Active Directory. O domínio contém dois locais nomeados Site1 e Site2.Site1 contém quatro controladores de domínio. Site2 contém um controlador de domínio somente leitura(RODC). Você pode adicionar um usuário chamado User1 ao grupo de replicação admitidos RODCPassword. O link WAN entre Site1 e Site2 falhar.

User1 reinicia o computador e relatos de que ele é incapaz de fazer logon no domínio. O link WAN érestaurado e User1 relatos de que ele é capaz de fazer logon no domínio. Você precisa impedir que oproblema ocorra novamente se o link WAN falhar.


A. Crie uma senha objeto Configurações (PSO) e vincular o PSO para User1 da conta de usuário.

B. Crie uma senha objeto Configurações (PSO) e vincular o PSO ao grupo Usuários do Domínio.

C. Adicione a conta de computador do RODC para o Grupo de Replicação de Senha RODC Permitido.

D. Adicione a conta de computador do User1 do computador para o Grupo de Replicação de Senha RODCPermitido.


Explanation/Reference:User/Machine authenticationUser and machine authentication works pretty much identically. From DNS and theDCLocator process, the client figures that the RODC is the authoritative authenticationsource for its site (1). It requests to be authenticated by the RODC. The RODC checks itsdatabase to see whether it has already stored the user’s/computer’s credentials (2).Since this isn’t the case, it’ll use the WAN connection (3) and forward the auth request toa writeable DC. Since the writable DC knows about the credentials in question, it’ll checkthem (4) and, if the password provided was correct, it’ll send back the response to theRODC (5) which will happily provide the successful auth (6) to the user/computer. By thattime, the client’s request is serviced — but the RODC isn’t happy about not being able toprocess the auth request on its own. In order to do better, it’ll request the user’s/computer’s credentials from the writable DC - to be able to perform the authentication on

its own. The writable DC checks the Password Replication Policy to get to know whetherRODC is allowed to cache that password. If so, DC replicates the credentials to RODCwhich happily stores them in its local database.Now, the RODC is able to authenticate the user/computer if there was a WAN outage.Before the special password replication (that doesn’t take place during normal rep),RODC wouldn’t be able to service the client’s request if the WAN link was down.

http://www.frickelsoft.net/blog/?p=232

QUESTION 8Sua empresa tem uma sede e uma filial. A rede contém um domínio do Active Directory.

O escritório principal contém um controlador de domínio gravável chamado DC1. A filial contém umcontrolador de domínio somente leitura (RODC) chamado DC2.Você descobre que a senha de um administrador nomeado Admin1 é armazenado em cache no DC2.

Você precisa impedir a senha do Admin1 de ser armazenado em cache no DC2.


A. Modificar os NTDS Site Settings.

B. Modificar as propriedades do domínio.

C. Criar um objeto de Configuração de Senha (PSO).

D. Modificar as propriedades da conta DC2 do computador.


Explanation/Reference:Not certain on this one. This is all I can find on the topic.

Managing passwords and the PRPDepending on your security and service availability requirements for your RODC site, youmay want to change the default PRP. The PRP acts as an access control list (ACL). Itdetermines whether an RODC is permitted to cache a password. After the RODC receives an authenticated user or computer logon request, if it does nothave the credentials cached locally, it forwards the logon request to a writable WindowsServer 2008 domain controller. The writable domain controller refers to the PRP todetermine whether the password for the account should be cached on the RODC. Formore information about how the PRP works, see Credential caching.You can change the PRP by modifying attributes of an RODC. For more informationabout changing the PRP, see Administering the Password Replication Policy.Default PRPBy default, all RODCs have the same Password Replication Policy (PRP). The defaultPRP specifies that no account passwords can be cached on any RODC, and certainaccounts are explicitly denied from being cached on any RODC. The RODC PRP is determined by two multivalued Active Directory attributes that containsecurity principals (users, computers, and groups): msDS-Reveal-OnDemandGroup , also commonly known as the Allowed List

msDS-NeverRevealGroup , also commonly known as the Denied List

The msDS-Reveal-OnDemandGroup attribute specifies what security principals can

have passwords cached on an RODC. By default, this attribute has one value, which isthe Allowed RODC Password Replication Group. Because this domain local group hasno members by default, no account passwords can be cached on any RODC by default. The msDS-NeverRevealGroup attribute specifies what security principals are explicitlydenied from having their passwords cached on an RODC. By default, this attribute hasthe following values:Account Operators

Server Operators

Backup Operators

Administrators

Denied RODC Password Replication Group, which is a domain local group that includesthe following:

Enterprise Domain Controllers

Enterprise Read-Only Domain Controllers

Group Policy Creator Owners

Domain Admins

Cert Publishers

Enterprise Admins

Schema Admins

Domain-wide krbtgt account

Modifying the PRPBy using a combination of the Allowed List and the Denied List for each RODC with thedomain-wide password replication groups, you have great flexibility to decide preciselywhich accounts can be cached on specific RODCs. The following table describes threeexamples of ways that you might administer the PRP to manage how passwords arecached on the RODCs that you deploy. You can customize any of these examples tobest suit your needs.

QUESTION 9

Sua rede contém um domínio do Active Directory chamado contoso.com.

A rede tem um site de filial que contém um controlador de domínio somente leitura (RODC) chamadoRODC1. RODC1 executa o Windows Server 2008 R2.

Um usuário chamado User1 faz logon em um computador no site de filial. Você descobre que a senha doUser1 não é armazenado no RODC1.

Você precisa se certificar que User1 da senha é armazenada em RODC1.

O que você deve modificar?

A. Membro de propriedades de RODC1

B. Membro de propriedades de User1

C. as propriedades de segurança de RODC1

D. as propriedades de segurança de User1



QUESTION 10Sua empresa tem uma sede e uma filial. A filial tem um site do Active Directory que contém um controladorde domínio somente leitura (RODC).

Um usuário da filial informa que sua conta está bloqueada. A partir de um controlador de domínio gravávelno escritório principal, você descobre que a conta do usuário não está bloqueada.

Você precisa se certificar que o usuário pode fazer logon no domínio.


A. Modificar a Diretiva de Replicação de Senha.

B. Redefinir a senha da conta de usuário.

C. Execute o Knowledge Consistency Checker (KCC) no RODC.

D. Restaurar a comunicação de rede entre a filial e a matriz.


Explanation/Reference:If the credentials are not cached previously to the RODC, a writable DC needs to be contacted to verify theauthentication attempt.

QUESTION 11Sua rede contém um domínio único diretório Active. O domínio contém cinco controladores de domíniosomente leitura (RODC) e cinco controladores de domínio graváveis .Todos os servidores executam o Windows Server 2008. Você planeja instalar um RODC nova que roda oWindows Server 2008 R2.

Você precisa se certificar que você pode adicionar o RODC novo para o domínio. Você quer atingir essameta usando a quantidade mínima de esforço administrativo.



A. No prompt de comando, execute adprep.exe / rodcprep.

B. No prompt de comando, execute adprep.exe / forestprep.

C. No prompt de comando, execute adprep.exe / domainprep.

D. De domínios do Active Directory e relações de confiança, aumentar o nível funcional do domínio.

E. De Active Directory Users and Computers, pré-estágio a conta de computador do RODC.

Answer: BCSection: Configuring Additional AD Server Roles

Explanation/Reference:Run Adprep.exe commands to prepare your existing forest and domains for domaincontrollers that run Windows Server 2008 or Windows Server 2008 R2. The adprepcommands extend the Active Directory schema and update security descriptors so thatyou can add the new domain controllers. There are different versions of Adprep.exe forWindows Server 2008 and Windows Server 2008 R2. For more information, see RunningAdprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597).

Prepare the forest and domains. There are three adprep commands to complete andhave the changes replicate throughout the forest. Run the three commands as follows:

Prepare the forest by running adprep /forestprep on the server that holds the schemamaster operations master (also known as flexible single master operations or FSMO) roleto update the schema. For more information, see Prepare a Windows 2000 or Windows Server2003 Forest Schema for a Domain Controller That Runs Windows Server 2008 or Windows Server 2008 R2.

Prepare the domain by running adprep /domainprep /gpprep on the server that holdsthe infrastructure operations master role. For more information, see Prepare a Windows 2000or Windows Server 2003 Domain for a Domain Controller That Runs Windows Server 2008 or WindowsServer 2008 R2.

If you are installing an RODC in an existing Windows Server 2003 domain, you must alsorun adprep /rodcprep . For more information, see Prepare a Forest for a Read-Only DomainController. For more information about how to resolve possible errors when you runadprep /rodcprep , see Adprep /rodcprep can have an error if the infrastructure master for anapplication directory partition is not available.

Install Active Directory Domain Services (AD DS). You can install AD DS by using awizard, the command line, or an answer file. For more information, see Installing anAdditional Domain Controller (http://go.microsoft.com/fwlink/?LinkID=93254).

Deploy at least one writable domain controller running Windows Server 2008 orWindows Server 2008 R2 in the same domain as the RODC and ensure that the writabledomain controller is also a DNS server that has registered a name server (NS) resourcerecord for the relevant DNS zone. An RODC must replicate domain updates from awritable domain controller running Windows Server 2008 or Windows Server 2008 R2.


QUESTION 12Você implantar um Active Directory Federation Services (AD FS) Federação Proxy Service em um servidorchamado Server1.

Você precisará configurar o Firewall do Windows no Server1 para permitir que usuários externos seautenticar usando o AD FS.

Qual porta TCP de entrada que você deve permitir que em Server1?

A. 88

B. 135

C. 443

D. 445


Explanation/Reference:Firewalls:Internal and external users will need to access the application over SSL (typically port443) The AD FS 2.0 Proxy Server will need to access the internal AD FS server over SSL(default port 443) Internal users will need to access the internal Federation Service on its SSL port(TCP/443 by default) External users will need to access the Federation Service Proxy on its SSL port(TCP/443 by default)

QUESTION 13Você implanta um novo Active Directory Federation Services (AD FS) servidor de federação.

Você solicitar um novo certificado para o servidor AD FS federação. Você precisa garantir que o AD FSfederação servidor pode usar os novos certificados.

Para armazenamento de certificado que você deve importar os certificados?

A. computador

B. IIS Admin conta de serviço de serviço

C. Administrador Local

D. World Wide Web Publishing conta de serviço de serviço


Explanation/Reference:Before you install the AD FS 2.0 software on the computer that will become thefederation server, make sure that both certificates are in the Local Computer personalcertificate store and that the service communication certificate is assigned to the DefaultWeb Site. For more information about the order of the tasks that are required to set up afederation server, see Checklist: Setting Up a Federation Server.

QUESTION 14Sua rede contém um domínio do Active Directory chamado contoso.com. O domínio contém um servidorchamado Server1. Server1 tem o Active Directory Federation Services papel (AD FS) instalado.

Você tem um aplicativo chamado App1 que está configurado para usar Server1 para autenticação AD FS.Você implantar um novo servidor chamado Server2. Server2 é configurado como um servidor AD 2,0 FS.Você precisa se certificar que App1 pode usar Server2 para autenticação.

O que você deve fazer no Server2?

A. Adicione uma loja de atributo.

B. Criar uma relação de confiança do partido afinação.

C. Criar uma relação de confiança provedor de reivindicações.

D. Criar uma relação de confiança provedor de afinação.

Answer: B

Section: Configuring AD Federated Services

Explanation/Reference:Add a Relying Party Trust

Applies To: Active Directory Federation Services (AD FS) 2.0You can use the Add Relying Party Trust Wizard in Active Directory Federation Services(AD FS) 2.0 to add a new relying party trust and configure a new relying party.To add a new relying party trustClick Start , point to Administrative Tools , and then click AD FS 2.0.Under AD FS 2.0\Trust Relationships , right-click the Relying Party Trusts folder, andthen click Add Relying Party Trust to open the Add Relying Party Trust Wizard.On the Welcome page, click Start .On the Select Data Source page, click Enter data about the relying party manually ,and then click Next .

Note The Select Data Source page provides three options for entering the data about therelying party. If the relying party publishes its federation metadata or can provide a filecopy of it for you to use, the automatic retrieval method is recommended. It can savetime, and it allows you to skip most of the remaining steps in this procedure. The thirdoption is to enter all the configuration data for the new relying party trust manually, asdescribed in steps 5 through 9.

On the Specify Display Name page, type a name in Display name . Click Next after youenter the description details.You have the option, but you are not required, to enter details in the Notes text box.On the Choose Profile page, select the appropriate profile for your needs, and then clickNext .If you know you will require interoperability with federation servers running an earlierversion of AD FS, such as provided in Windows Server 2003 R2, click AD FS 1.0 and 1.1profile . Otherwise, click AD FS 2.0 profile .On the Configure Certificate page, click Browse to browse to and locate a certificatefile and add it to the list of certificates, and then click Next .On the Configure URL page, select the appropriate check boxes and specify anycorresponding URLs as appropriate for the WS-Federation Passive protocol-based orSecurity Assertion Markup Language (SAML) 2.0 WebSSO protocol-based endpoint, andthen click Next .On the Configure Identifiers page, you must specify at least one identifier for thisrelying party trust. Type the URI you want to use here, click Add to add it to the list, andthen click Next .On the Choose Issuance Authorization Rules page, select whether you want to permitall users or restrict them, based on configuring authorization rules, and then click Next .On the Ready to Add Trust page, review your settings. When you are ready to saveyour settings, click Next .On the Finish page, click Close .

http://technet.microsoft.com/en-us/library/adfs2-help-how-to-add-a-relying-party-trust(v=WS.10).aspx

QUESTION 15

Sua rede contém um domínio do Active Directory chamado contoso.com. O domínio contém um servidorchamado Server1. O Active Directory Federation Services (AD FS) papel está instalado no Server1.

Contoso.com é definido como um armazenamento de conta.

A empresa parceira tem um aplicativo baseado na Web que usa autenticação AD FS. A empresa parceiraplaneja oferecer aos usuários do acesso contoso.com para o aplicativo da Web. Você precisa configurar oAD FS em contoso.com para permitir que usuários Contoso.com para ser autenticada pela empresaparceira.

O que você deve criar no Server1?

A. uma nova aplicação

B. um parceiro de recurso

C. um parceiro de conta

D. uma declaração da organização


Explanation/Reference:Account partnerAn account partner represents the organization in the federation trust relationship thatphysically stores user accounts in either an Active Directory Domain Services (AD DS)store or an Active Directory Lightweight Directory Services (AD LDS) store. The accountpartner is responsible for collecting and authenticating a user's credentials, building upclaims for that user, and packaging the claims into security tokens. These tokens canthen be presented across a federation trust for access to Web-based resources that arelocated in the resource partner organization.In other words, an account partner represents the organization for whose users theaccount-side Federation Service issues security tokens. The Federation Service in theaccount partner organization authenticates local users and creates security tokens thatare used by the resource partner in making authorization decisions. In relation to AD DS, the account partner in AD FS is conceptually equivalent to a singleAD DS forest whose accounts need access to resources that are physically located inanother forest. Accounts in this example forest can access resources in the resourceforest only when an external trust or forest trust relationship exists between the twoforests and the resources to which the users are trying to gain access have been set withthe proper authorization permissions.

Resource partnerA resource partner is the second organizational partner in the federation trustrelationship. A resource partner is the organization where the AD FS-enabled Webservers that host one or more Web-based applications (the resources) reside. Theresource partner trusts the account partner to authenticate users. Therefore, to makeauthorization decisions, the resource partner consumes the claims that are packaged insecurity tokens coming from users in the account partner. In other words, a resource partner represents the organization whose AD FS-enabledWeb servers are protected by the resource-side Federation Service. The FederationService at the resource partner uses the security tokens that are produced by theaccount partner to make authorization decisions for AD FS-enabled Web servers that arelocated in the resource partner. To function as an AD FS resource, an AD FS-enabled Web server in the resourcepartner organization must have the AD FS Web Agent component of AD FS installed.

Web servers that function as an AD FS resource can host either claims-awareapplications or Windows NT token–based applications.


QUESTION 16Sua rede contém dois servidores nomeados Server1 e Server2 que executam o Windows Server 2008 R2.Server1 tem o Active Directory Federation Services (AD FS) Federação serviço de função de serviçoinstalado.

Você pretende implantar o AD FS 2.0 em Server2.

Você precisa exportar o certificado de autenticação de token de Server1, e depois importar o certificadopara Server2.

Qual o formato que você usa para exportar o certificado?

A. Base de dados de 64-X.509 codificado (. Cer)

B. Cryptographic Message Syntax PKCS padrão # 7 (. P7b)

C. DER binário codificado X.509 (. Cer)

D. PKCS Informações Pessoais Câmbio # 12 (. Pfx)


Explanation/Reference:Export the token signing certificateUse the procedure in this section to export the token signing certificate of the AD FSServer with which you want to establish a trust relationship, and then copy the certificateto a location that SharePoint Server 2010 can access.To export a token signing certificateVerify that the user account that is performing this procedure is a member of theAdministrators group on the local computer. For additional information about accountsand group memberships, see Local and Domain Default GroupsOpen the Active Directory Federation Services (AD FS) 2.0 Management console.In the left pane, click to expand Service , and then click the Certificates folder. Under Token signing , click the primary token certificate as indicated in the Primarycolumn.In the right pane, click View Certificate link . This displays the properties of thecertificate.Click the Details tab.Click Copy to File . This starts the Certificate Export Wizard.On the Welcome to the Certificate Export Wizard page, click Next .On the Export Private Key page, click No, do not export the private key , and then clickNext .On the Export File Format page, select DER encoded binary X.509 (.CER) , and thenclick Next .On the File to Export page, type the name and location of the file you want to export, andthen click Next . For example, enter C:\ADFS.cer .On the Completing the Certificate Export Wizard page, click Finish .

http://technet.microsoft.com/en-us/library/hh305235.aspx

QUESTION 17Sua rede contém dois servidores nomeados Server1 e Server2 que executam o Windows Server 2008 R2.Server1 tem Active Directory Federation Services (AD FS) 2.0 instalado. Server1 é um membro de umafazenda do AD FS.

O AD FS fazenda está configurado para usar um banco de dados de configuração que é armazenado emum servidor separado do servidor SQL da Microsoft.Você instalar o AD FS 2.0 em Server2.

Você precisa adicionar Server2 para a fazenda existente AD FS.


A. No Server1, execute fsconfig.exe.

B. No Server1, execute fsconfigwizard.exe.

C. No Server2, execute fsconfig.exe.

D. No Server2, execute fsconfigwizard.exe.


Explanation/Reference:To configure a new federation server using the command linefsconfig.exe {StandAlone|CreateFarm|CreateSQLFarm|JoinFarm|JoinSQLFarm} [deployment specificparameters]

http://technet.microsoft.com/en-us/library/adfs2-help-how-to-configure-a-new-federation-server%28WS.10%29.aspx

The AD FS configuration database stores all the configuration data that represents asingle instance of Active Directory Federation Services (AD FS) 2.0 (that is, theFederation Service). The AD FS configuration database defines the set of parametersthat a Federation Service requires to identify partners, certificates, attribute stores,claims, and various data about these associated entities. You can store this configurationdata in either a Microsoft SQL Server® database or the Windows Internal Database(WID) feature that is included with Windows Server® 2008 and Windows Server 2008R2.

QUESTION 18A rede contém uma floresta do Active Directory.Você define o Windows PowerShell política de execução para permitir scripts não assinados em umcontrolador de domínio na rede. Você criar um script do Windows PowerShell chamado new-users.ps1 quecontém as seguintes linhas:

nova-aduser user1nova-aduser user2nova-aduser user3nova-aduser user4nova-aduser user5

No controlador de domínio, você dá um duplo clique no script eo script é executado. Você descobre que oroteiro falha ao criar contas de usuário.

Você precisa garantir que o script cria as contas de usuário.

Qual cmdlet que você deve adicionar ao script?

A. Import-Module

B. Register-ObjectEvent

C. Set-ADDomain

D. Set-ADUser


Explanation/Reference:The Import-Module cmdlet adds one or more modules to the current session. A module is a package that contains members (such as cmdlets, providers, scripts,functions, variables, and other tools and files) that can be used in Windows PowerShell.After a module is imported, you can use the module members in your session. To import a module, use the Name, Assembly, or ModuleInfo parameter to identify themodule to import. By default, Import-Module imports all members that the moduleexports, but you can use the Alias, Function, Cmdlet, and Variable parameters to restrictthe members that are imported. Import-Module imports a module only into the current session. To import the module intoall sessions, add an Import-Module command to your Windows PowerShell profile. Formore information about profiles, see about_Profiles. For more information about modules, see about_Modules.

QUESTION 19A rede contém uma floresta do Active Directory. O esquema de floresta contém um atributo personalizadopara objetos de usuário.

Você precisa modificar o valor do atributo personalizado de 500 contas de usuário.


A. Csvde

B. Dsmod

C. Dsrm

D. Ldifde


Explanation/Reference:LDIFDE:CAN move or modify objects

CSVDE:CANNOT move or modify an object

Microsoft recommends that you use the Ldifde utility for Modify or Delete operations

QUESTION 20A rede contém uma floresta do Active Directory. O esquema de floresta contém um atributo personalizadopara objetos de usuário.

Você precisa dar o departamento de recursos humanos um arquivo que contém o tempo de logon passadoe os valores dos atributos personalizados para cada usuário na floresta.

Que você deve usar?

A. a ferramenta Dsquery

B. o cmdlet Export-CSV

C. o Get-ADUser cmdlet

D. o comando do usuário Net.exe


Explanation/Reference:The Get-ADUser cmdlet gets a user object or performs a search to retrieve multiple userobjects.

The Identity parameter specifies the Active Directory user to get. You can identify a userby its distinguished name (DN), GUID, security identifier (SID), Security AccountsManager (SAM) account name or name. You can also set the parameter to a user objectvariable, such as $<localUserObject> or pass a user object through the pipeline to theIdentity parameter.

To search for and retrieve more than one user, use the Filter or LDAPFilter parameters.The Filter parameter uses the PowerShell Expression Language to write query strings forActive Directory. PowerShell Expression Language syntax provides rich type conversionsupport for value types received by the Filter parameter. For more information about theFilter parameter syntax, see about_ActiveDirectory_Filter. If you have existing LDAPquery strings, you can use the LDAPFilter parameter.

This cmdlet retrieves a default set of user object properties. To retrieve additionalproperties use the Properties parameter.


Exam I

QUESTION 1Você tem um script do Windows PowerShell que contém o seguinte código:Import-CSV Accounts.csv | foreach {New-ADUser-Name $ _.Name-Enabled _.password $ true-AccountPassword $}

Quando você executa o script, você receberá uma mensagem de erro indicando que o formato da senhaestá incorreta. O script falha.

Você precisa executar um script que cria com êxito as contas de usuário usando a senha contida noaccounts.csv.

Qual a script deve executar?

A. import-csv Accounts.csv | Foreach {New-ADUser -Name $_.Name -Enabled $true - AccountPassword(ConvertTo-SecureString "Password" -AsPlainText -force)}

B. import-csv Accounts.csv | Foreach {New-ADUser -Name $_.Name -Enabled $true - AccountPassword(ConvertTo-SecureString $_.Password -AsPlainText -force)}

C. import-csv Accounts.csv | Foreach {New-ADUser -Name $_.Name -Enabled $true - AccountPassword(Read-Host -AsSecureString "Password")}

D. import-csv Accounts.csv | Foreach {New-ADUser -Name $_.Name -Enabled $true - AccountPassword(Read-Host -AsSecureString $_.Password)}


Explanation/Reference:I believe the "Password" parameter in "A" is when y ou specify the actual passwordin the command, whereas the $_.Password parameter i n "B" is a variable thatwould use the password in the CSV file. Need to ch eck that, though.

ConvertTo-SecureString

Applies To: Windows PowerShell 2.0Converts encrypted standard strings to secure strings. It can also convert plain text tosecure strings. It is used with ConvertFrom-SecureString and Read-Host.SyntaxCopy ConvertTo-SecureString [-Key <Byte[]>] [-String] <s tring> [<CommonParameters>]

ConvertTo-SecureString [-AsPlainText] [-Force] [-St ring] <string>[<CommonParameters>]

ConvertTo-SecureString [[-SecureKey] <SecureString> ] [-String] <string>[<CommonParameters>]

DescriptionThe ConvertTo-SecureString cmdlet converts encrypted standard strings into securestrings. It can also convert plain text to secure strings. It is used with ConvertFrom-SecureString and Read-Host. The secure string created by the cmdlet can be used withcmdlets or functions that require a parameter of type SecureString. The secure string canbe converted back to an encrypted, standard string using the ConvertFrom-SecureStringcmdlet. This enables it to be stored in a file for later use.If the standard string being converted was encrypted with ConvertFrom-SecureString using aspecified key, that same key must be provided as the value of the Key or SecureKeyparameter of the ConvertTo-SecureString cmdlet.

Parameters-AsPlainText Specifies a plain text string to convert to a secure string. The secure string cmdlets helpprotect confidential text. The text is encrypted for privacy and is deleted from computermemory after it is used. If you use this parameter to provide plain text as input, thesystem cannot protect that input in this manner. To use this parameter, you must alsospecify the Force parameter.Required? falsePosition? 2Default Value noneAccept Pipeline Input? falseAccept Wildcard Characters? false-Force Confirms that you understand the implications of using the AsPlainText parameter andstill want to use it.Required? falsePosition? 3Default Value noneAccept Pipeline Input? falseAccept Wildcard Characters? false-Key <Byte[]>Specifies the encryption key to use when converting a secure string into an encryptedstandard string. Valid key lengths are 16, 24, and 32 bytes.Required? falsePosition? namedDefault Value noneAccept Pipeline Input? falseAccept Wildcard Characters? false-SecureKey <SecureString>Specifies the encryption key to use when converting a secure string into an encryptedstandard string. The key must be provided in the format of a secure string. The securestring is converted to a byte array before being used as the key. Valid key lengths are 16,24, and 32 bytes.Required? falsePosition? 2Default Value noneAccept Pipeline Input? falseAccept Wildcard Characters? false-String <string>Specifies the string to convert to a secure string.Required? truePosition? 1Default Value noneAccept Pipeline Input? true (ByValue)Accept Wildcard Characters? false<CommonParameters>This command supports the common parameters: Verbose, Debug, ErrorAction,ErrorVariable, OutBuffer, OutVariable, WarningAction, and WarningVariable. For moreinformation, see about_CommonParameters.Inputs and OutputsThe input type is the type of the objects that you can pipe to the cmdlet. The return typeis the type of the objects that the cmdlet returns.

Inputs System.StringYou can pipe a standard encrypted string to ConvertTo-SecureString.

Outputs System.Security.SecureStringConvertTo-SecureString returns a SecureString object.

Example 1Copy C:\PS>$secure = read-host -assecurestring

C:\PS> $secureSystem.Security.SecureString

C:\PS> $encrypted = convertfrom-securestring -secur estring $secureC:\PS> $encrypted01000000d08c9ddf0115d1118c7a00c04fc297eb010000001a1 14d45b8dd3f4aa11ad7c0abdae9800000000002000000000003660000a8000000100000005df63c ea84bfb7d70bd6842e7efa79820000000004800000a000000010000000f10cd0f4a99a 8d5814d94e0687d7430b100000008bf11f1960158405b2779613e9352c6d14000000e6b7bf46a9d 485ff211b9b2a2df3bd6eb67aae41

C:\PS> $secure2 = convertto-securestring -string $e ncryptedC:\PS> $secure2System.Security.SecureString

Description-----------This example shows how to create a secure string from user input, convert the securestring to an encrypted standard string, and then convert the encrypted standard stringback to a secure string.The first command uses the AsSecureString parameter of the Read-Host cmdlet tocreate a secure string. After you enter the command, any characters that you type areconverted into a secure string and then saved in the $secure variable.The second command displays the contents of the $secure variable. Because the$secure variable contains a secure string, Windows PowerShell displays only theSystem.Security.SecureString type. The third command uses the ConvertFrom-SecureString cmdlet to convert the securestring in the $secure variable into an encrypted standard string. It saves the result in the$encrypted variable. The fourth command displays the encrypted string in the value ofthe $encrypted variable.The fifth command uses the ConvertTo-SecureString cmdlet to convert the encryptedstandard string in the $encrypted variable back into a secure string. It saves the result inthe $secure2 variable. The sixth command displays the value of the $secure2 variable.The SecureString type indicates that the command was successful.Example 2Copy C:\PS>$secure = read-host -assecurestring

C:\PS> $encrypted = convertfrom-securestring -secur eString $secure -key (1..16)

C:\PS> $encrypted | set-content encrypted.txt

C:\PS> $secure2 = get-content encrypted.txt | conve rtto-securestring -key(1..16)

Description-----------This example shows how to create a secure string from an encrypted standard string thatis saved in a file.The first command uses the AsSecureString parameter of the Read-Host cmdlet tocreate a secure string. After you enter the command, any characters that you type areconverted into a secure string and then saved in the $secure variable.

The second command uses the ConvertFrom-SecureString cmdlet to convert the securestring in the $secure variable into an encrypted standard string by using the specifiedkey. The contents are saved in the $encrypted variable.The third command uses a pipeline operator (|) to send the value of the $encryptedvariable to the Set-Content cmdlet, which saves the value in the Encrypted.txt file.The fourth command uses the Get-Content cmdlet to get the encrypted standard string inthe Encrypted.txt file. The command uses a pipeline operator to send the encryptedstring to the ConvertTo-SecureString cmdlet, which converts it to a secure string by usingthe specified key. The results are saved in the $secure2 variable.Example 3Copy C:\PS>$secure_string_pwd = convertto-securestring " P@ssW0rD!" -asplaintext -force

Description-----------This command converts the plain text string "P@ssW0rD!" into a secure string and storesthe result in the $secure_string_pwd variable. To use the AsPlainText parameter, theForce parameter must also be included in the command.

http://technet.microsoft.com/en-us/library/dd347656.aspx

QUESTION 2A rede contém uma floresta do Active Directory. O nível funcional da floresta é Windows Server 2008 R2.

Política da sua empresa de segurança corporativa afirma que a senha para cada conta de usuário deve sermudado pelo menos a cada 45 dias.

Você tem uma conta de usuário chamada Service1. Service1 é usado por um aplicativo de rede chamadoApplication1. A cada 45 dias, Application1 falhar.

Depois de redefinir a senha para Service1, corre Application1 corretamente. Você precisa resolver oproblema que faz Application1 a falhar. A solução deve aderir à política de segurança corporativa.


A. Execute o cmdlet Set ADAccountControl.

B. Execute o cmdlet Set ADServiceAccount.

C. Criar uma nova política de senha.

D. Criar um novo objeto de configurações Senha (PSO).


Explanation/Reference:Set-ADServiceAccountModifies an Active Directory service account.

Detailed DescriptionThe Set-ADServiceAccount cmdlet modifies the properties of an Active Directory serviceaccount. You can modify commonly used property values by using the cmdletparameters. Property values that are not associated with cmdlet parameters can bemodified by using the Add, Replace, Clear and Remove parameters.

The Identity parameter specifies the Active Directory service account to modify. You canidentify a service account by its distinguished name (DN), GUID, security identifier (SID),

or Security Accounts Manager (SAM) account name. You can also set the Identityparameter to an object variable such as $<localServiceAccountObject>, or you can passan object through the pipeline to the Identity parameter. For example, you can use theGet-ADServiceAccount cmdlet to retrieve a service account object and then pass theobject through the pipeline to the Set-ADServiceAccount cmdlet.

The Instance parameter provides a way to update a service account object by applyingthe changes made to a copy of the object. When you set the Instance parameter to acopy of an Active Directory service account object that has been modified, the Set-ADServiceAccount cmdlet makes the same changes to the original service accountobject. To get a copy of the object to modify, use the Get-ADServiceAccount object.When you specify the Instance parameter you should not pass the Identity parameter.For more information about the Instance parameter, see the Instance parameterdescription.

For more information about how the Instance concept is used in Active Directory cmdlets,see about_ActiveDirectory_Instance.

InstanceSpecifies a modified copy of a service account object to use to update the actual ActiveDirectory service account object. When this parameter is used, any modifications madeto the modified copy of the object are also made to the corresponding Active Directoryobject. The cmdlet only updates the object properties that have changed.

The Instance parameter can only update service account objects that have beenretrieved by using the Get-ADServiceAccount cmdlet. When you specify the Instanceparameter, you cannot specify other parameters that set properties on the object.

The following is an example of how to use the Get-ADServiceAccount cmdlet to retrievean instance of the ADServiceAccount object. The object is modified by using theWindows PowerShell command line. Then the Set-ADServiceAccount cmdlet saves thechanges to the Active Directory object.

Step 1: Retrieve a local instance of the object.$serviceAccountInstance = Get-ADServiceAccount -Identity ADServiceAdminStep 2: Modify one or more properties of the object instance.$serviceAccountInstance.Description = "default"Step3: Save your changes to ADServiceAdmin.Set-ADServiceAccount -Instance $serviceAccountInstance

http://technet.microsoft.com/en-us/library/ee617252 .aspx


QUESTION 3A rede contém uma floresta do Active Directory.

Você pode adicionar um nome principal de utilizador adicional (UPN) sufixos para a floresta. Você precisamodificar o sufixo UPN de todos os usuários.

Você quer atingir essa meta usando a quantidade mínima de esforço administrativo.


A. os domínios do Active Directory e consola Trusts

B. o Active Directory Usuários e Computadores do console

C. a ferramenta Csvde

D. a ferramenta Ldifde

Answer: DSection: Configuring Domains and Trusts

Explanation/Reference:In TechNet they talk about using PowerShell scripts to do this, but of the answers here, Ldifde is the onemost likely to be used to modify AD attributes for multiple users.

It is not ADDT, because it would only affect the UPN for new users:

QUESTION 4

Sua rede contém um domínio único diretório Active. Todos os computadores clientes executam o WindowsVista Service Pack 2 (SP2).

Você precisa impedir que os usuários de executar um aplicativo chamado App1.exe.

Quais configurações de Diretiva de Grupo que você deve configurar?

A. Application Compatibility

B. AppLocker

C. Instalação de Software

D. Diretivas de restrição de software


Explanation/Reference:Reason : applocker is a Windows 2008 R2 and Windows 7 feature. Software Restriction Policies applied to

vista and earlier.


QUESTION 5Sua rede contém um domínio do Active Directory. Todos os controladores de domínio executem oWindows Server 2008 R2. Os computadores clientes executam o Windows XP Service Pack 3 (SP3) ouWindows Vista.

Você precisa assegurar que todos os computadores clientes podem aplicar as preferências da Diretiva deGrupo.


A. Atualize todos os computadores clientes do Windows XP para o Windows 7.

B. Criar uma loja central que contém o grupo de arquivos Política ADMX.

C. Instale os Group Policy extensões do cliente (CSEs) em todos os computadores clientes.

D. Atualize todos os computadores clientes do Windows Vista para o Windows Vista Service Pack 2 (SP2).

Answer: CSection: Configuring Group Policy

Explanation/Reference:Reason: Group Policy Preferences/group policy client side extensions(CSEs) enable information technologyprofessionals to configure, deploy, and manage operating system(xp for example) and application settingsthey previously were not able to manage using Group Policy. After you install this update, your computer willbe able to process the new Group Policy Preference extensions

This article discusses the Group Policy preferences that are new in Windows Server2008 and how to enable down-level computers to process these new items. Group Policypreferences are made up of more than 20 new Group Policy client-side extensions(CSEs) that expand the range of configurable settings in a Group Policy object (GPO).These new preference extensions are included in the Group Policy Management Editorwindow of the Group Policy Management Console (GPMC). The kinds of preferenceitems that can be created by using each extension are listed when New is selected forthe extension. Examples of the new Group Policy preference extensions include thefollowing: Folder Options Drive Maps Printers Scheduled Tasks Services Start Menu

Updated versions of the new Windows Server 2008 Group Policy preferences client-sideextensions for Windows Server 2003 and Windows XP can be downloaded by usingWindows Update.


QUESTION 6Sua rede contém um domínio do Active Directory. Todos os controladores de domínio executem oWindows Server 2008 R2. Os computadores clientes executam o Windows 7 ou Windows Vista ServicePack 2 (SP2).

Você precisa auditar o acesso do usuário às ações administrativas nos computadores cliente.


A. Implantar um script de logon que corre Icacls.exe.

B. Implantar um script de logon que corre Auditpol.exe.

C. Implantar hum script de logon de Que corre Auditpol.exe.

D. Desde o Default Domain Controllers Policy, modificar a configuração da política avançada de Auditoria.


Explanation/Reference:Auditpol

Displays information about and performs functions to manipulate audit policies.For examples of how this command can be used, see the Examples section in each topic.


Reason: Not C or D: Advance audit policy is 2k8 R2 and windows 7 feature.

Which Versions of Windows Support Advanced Audit Po licy Configuration?15 out of 18 rated this helpful Rate this topic All versions of Windows Server 2008 R2 and Windows 7 that can process Group Policy can be configuredto use the new advanced security auditing enhancements. Versions of Windows Server 2008 R2 andWindows 7 that cannot join a domain do not have access to these features. There is no difference insecurity auditing support between 32-bit and 64-bit versions of Windows 7.



Você precisa criar um armazenamento central para os modelos de Diretiva de Grupo Administrativo.


A. Executar dfsrmig.exe / createglobalobjects.

B. Executar adprep.exe / domainprep / gpprep.

C. Copie o% SystemRoot% \ PolicyDefinitions pasta para o \\contoso.com\SYSVOL\ contoso.com pasta\Policies.

D. Copie o% SystemRoot% \ System32 \ GroupPolicy para o \ \ contoso.com \ SYSVOL \ contoso.compasta \ Policies.

Answer: CSection: Configuring Group Policy

Explanation/Reference:The Central StoreTo take advantage of the benefits of .admx files, you must create a Central Store in the SYSVOL folder on adomain controller. The Central Store is a file location that is checked by the Group Policy tools. The GroupPolicy tools use any .admx files that are in the Central Store. The files that are in the Central Store are laterreplicated to all domain controllers in the domain.

To create a Central Store for .admx and .adml files, create a folder that is named PolicyDefinitions in thefollowing location:

\\FQDN\SYSVOL\FQDN\policies

Note FQDN is a fully qualified domain name.

For example, to create a Central Store for the Test.Microsoft.com domain, create a PolicyDefinitions folderin the following location: \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\PoliciesCopy all files from the PolicyDefinitions folder ona Windows Vista-based client computer to the PolicyDefinitions folder on the domain controller. ThePolicyDefinitions folder on a Windows Vista-based computer resides in the same folder as Windows Vista.The PolicyDefinitions folder on the Windows Vista-based computer stores all .admx files and .adml files forall languages that are enabled on the client computer.


QUESTION 8Você configurar e implementar um objeto Group Policy (GPO) que contém as configurações do AppLocker.

Você precisa identificar se um arquivo de aplicação específica pode ser executado em um computador.

Que o Windows PowerShell cmdlet você deve usar?

A. Get-AppLockerFileInformation

B. Get-GPOReport

C. Get-GPPermissions

D. Test-AppLockerPolicy


Explanation/Reference:The Test-AppLockerPolicy cmdlet uses the specified AppLocker policy to test whether a specified list of filesare allowed to run on the local computer for a specific user.


QUESTION 9Você cria um objeto de configurações Senha (PSO).

Você precisa aplicar o PSO a um usuário de domínio chamado User1.


A. Modificar as propriedades do PSO.

B. Modificar as opções de conta da conta User1.

C. Modificar as configurações de segurança da conta User1.

D. Modificar a diretiva de senha do domínio objeto de diretiva padrão de Diretiva de Grupo (GPO).


Explanation/Reference:To apply PSOs to users or global security groups us ing the Windows interfaceOpen Active Directory Users and Computers. To open Active Directory Users and Computers, click Start ,point to Administrative Tools , and then click Active Directory Users and Computers .On the View menu, ensure that Advanced Features is checked.In the console tree, click Password Settings Container.Where? Active Directory Users and Computers\domain node\System\Password Settings Container.

In the details pane, right-click the PSO, and then click Properties .Click the Attribute Editor tab.Select the msDS-PsoAppliesTo attribute, and then click Edit .

Note If you do not see msDS-PsoAppliesTo attribute in the Attributes list, click Filter , and then click Showattributes /Optional . Also, clear the Show only attributes that have values check box.

In the Multi-valued String Editor dialog box, enter the Distinguished Name (also known as DN) of the useror the global security group that you want to apply this PSO to, click Add , and then click OK.


You can also use the ldifde command to apply a PSO to multiple users or global security groups quickly.

QUESTION 10Você precisa criar uma senha Configurações objeto (PSO).


A. Active Directory Usuários e Computadores

B. ADSI Edit

C. Group Policy Management Console

D. Ntdsutil


Explanation/Reference:Fine-Grained Passwords [Password policies per OU, Group or user]Adsi edit, cn=system, cn=password settings container, Right Mouse, new object, msds-passwordsettings,enter name Passwordsettings, enter values…ADUC adv, create group, goto system, Passwordsettings ,msDS-PSOAppliesTo, edit, enter the group.

QUESTION 11Sua rede contém um domínio do Active Directory. Todos os servidores rodam Windows Server 2008 R2.

Você precisa auditar a exclusão de chaves de registro em cada servidor.


A. Da Política Fiscal, modificar as configurações de acesso a objetos e as configurações de controle deprocessos.

B. Da Política Fiscal, modificar Eventos configurações do sistema e as configurações de uso de privilégios.

C. De Configuração Avançada Diretiva de Auditoria, modifique as configurações do sistema e asconfigurações de um acompanhamento detalhado.

D. De Configuração Avançada Diretiva de Auditoria, modificar as configurações de acesso a objetos e osglobais objeto de configurações de auditoria de acesso.

Answer: DSection: Configuring AD Infrastructure

Explanation/Reference:Reason : Advanced audit policy configuration is a W2K8 R2 feature (see sceenshot below).

Global Object Access Auditing1 out of 1 rated this helpful Rate this topic Updated: July 15, 2010Applies To: Windows 7, Windows Server 2008 R2Global Object Access Auditing policy settings allow administrators to define computersystem access control lists (SACLs) per object type for either the file system or registry.The specified SACL is then automatically applied to every object of that type. Auditors will be able to prove that every resource in the system is protected by an auditpolicy by just viewing the contents of the Global Object Access Auditing policy settings.For example, a policy setting "track all changes made by group administrators" showsthat this policy is in effect. Resource SACLs are also useful for diagnostic scenarios. For example, setting a GlobalObject Access Auditing policy setting to log all the activity for a specific user and enablingthe Object Access audit policy for a resource (file system, registry) to track "accessdenied" events can help administrators quickly identify which object in a system isdenying a user access.

This category includes the following subcategories:File System (Global Object Access Auditing)

Registry (Global Object Access Auditing)

Registry (Global Object Access Auditing)

Applies To: Windows 7,Windows Server 2008 R2This security policy setting allows you to configure a global system access control list(SACL) on the registry for a computer. If you select the Configure security check box, you can add a user or group to theglobal SACL.

QUESTION 12Sua rede contém um domínio único diretório Active. O nível funcional da floresta é Windows Server 2008R2.

Você precisa habilitar o Active Directory Lixeira.


A. a ferramenta Dsmod

B. o cmdlet Enable-ADOptionalFeature

C. a ferramenta Ntdsutil

D. o cmdlet Set-ADDomainMode


Explanation/Reference:Enabling Active Directory Recycle BinAfter the forest functional level of your environment is set to Windows Server 2008 R2, you can enableActive Directory Recycle Bin by using the following methods:

Enable-ADOptionalFeature Active Directory module cmdlet (This is the recommended method.)

Ldp.exe


QUESTION 13Sua rede contém um domínio único diretório Active.

Você precisa criar um Active Directory Domain instantâneo Serviços.


A. Use a ferramenta LDP.

B. Use a ferramenta Ntdsutil.

C. Use a ferramenta Wbadmin.

D. De Backup do Windows Server, execute um backup completo.


Explanation/Reference:Requirements for using the Active Directory databas e mounting toolYou do not need any additional software to use the Active Directory database mounting tool. All the toolsthat are required to use this feature are built into Windows Server 2008 and are available if you have the ADDS or the AD LDS server role installed. These tools include the following:

A new ntdsutil snapshot operation that you can use to create, list, mount, and unmount snapshots of ADDS or AD LDS data

Note You are not required to run the ntdsutil snapshot operation to use Dsamain.exe. You can instead use a backup of the AD DS orAD LDS database or another domain controller or AD LDS server. The ntdsutil snapshot operation simply provides a convenientdata input for Dsamain.exe.

Dsamain.exe, which you can use to expose the snapshot data as an LDAP server

Existing LDAP tools, such as Ldp.exe and Active Directory Users and Computers


QUESTION 14Sua rede contém um domínio único diretório Active. Um controlador de domínio chamado DC2 falhar.

Você precisa remover DC2 do Active Directory.



A. No prompt de comando, execute dcdiag.exe /fix.

B. No prompt de comando, execute netdom.exe remove dc2.

C. a partir de Active Directory Sites and Services, delete DC2.

D. a partir de Active Directory Users and Computers, delete DC2.

Answer: CDSection: Creating & Maintaining AD Objects

Explanation/Reference:TechNet wants you to do this from the server containing the DC - using dcpromo. Have not found theprocedure mentioned above.

QUESTION 15Sua rede contém um domínio único diretório Active. O nível funcional da floresta é o Windows Server 2008.O nível funcional do domínio é o Windows Server 2008 R2.

Todos os servidores DNS executar o Windows Server 2008. Todos os controladores de domínio executemo Windows Server 2008 R2. Você precisa se certificar que você pode habilitar o Active Directory Lixeira.


A. Alterar o nível funcional da floresta.

B. Alterar o nível funcional do domínio.

C. Modificar o esquema do Active Directory.

D. Modifique as configurações do grupo Universal cache de membros.

Answer: ASection: Configuring AD Backup-Restore

Explanation/Reference:Reason : Active directory recycle bin is a W2K8 R2 feature.

Raising the forest functional levelYou can enable Active Directory Recycle Bin only if the forest functional level of yourenvironment is set to Windows Server 2008 R2.


QUESTION 16Sua rede contém um domínio do Active Directory. O domínio contém vários controladores de domínio.Todos os controladores de domínio executem o Windows Server 2008 R2.

Você precisa restaurar o Default Domain Controllers Policy objeto Group Policy (GPO) para o WindowsServer 2008 R2 configurações padrão.


A. Executar dcgpofix.exe /target:dc.

B. Executar dcgpofix.exe /target:domain.

C. Excluir o link para o Default Domain Controllers Policy, e depois executar gpupdate.exe / sync.

D. Excluir o link para o Default Domain Controllers Policy, e depois executar gpupdate.exe / force.


Explanation/Reference:Dcgpofix restores the default Group Policy objects to their original default state afterinitial installation of a domain controller. The Dcgpofix tool recreates the two defaultGroup Policy objects and creates the settings based on the operations that areperformed only during Dcpromo.

The Dcgpofix tool is intended for use only as a last-resort disaster-recovery tool.

To run Dcgpofix Type the following at the command prompt: dcgpofix [/ignoreschema][/target:{domain | dc | both}]Where:/ignoreschema is an optional parameter. If you set this parameter, the Active Directoryschema version number is ignored. /target: {domain | dc | both} is an optional parameter that specifies the target domain,domain controller, or both. If you do not specify /target , dcgpofix uses both by default.

QUESTION 17Sua rede contém um domínio do Active Directory. O domínio contém dois sites do Active Directorychamado Site1 e Site2. Site1 contém dois controladores de domínio chamado DC1 e DC2.Site2 contém dois controlador de domínio chamado DC3 e DC4.

O nível funcional do domínio é o Windows Server 2008 R2. O nível funcional da floresta é o WindowsServer 2003.

Replicação do Active Directory entre Site1 e Site2 ocorre 20:00-01:00 todos os dias. Às 07:00, umadministrador exclui uma conta de usuário enquanto ele estiver conectado ao DC1. Você precisa restaurara conta de usuário excluída. Você quer atingir essa meta usando a quantidade mínima de esforçoadministrativo.


A. Em DC1, execute o cmdlet Restore-ADObject.

B. Em DC3, execute o cmdlet Restore-ADObject.

C. Em DC1, parar de Active Directory Domain Services, restaurar o estado do sistema, e depois iniciarActive Directory Domain Services.

D. Em DC3, pare de Active Directory Domain Services, executar uma restauração autoritativa, e depoisiniciar Active Directory Domain Services.

Answer: DSection: AD Sites & Services

Explanation/Reference:Authoritative restore allows the administrator to recover a domain controller, restore it toa specific point in time, and mark objects in Active Directory as being authoritative withrespect to their replication partners. For example, you might need to perform anauthoritative restore if an administrator inadvertently deletes an organizational unitcontaining a large number of users. If you restore the server from tape, the normalreplication process would not restore the inadvertently deleted organizational unit.Authoritative restore allows you to mark the organizational unit as authoritative and forcethe replication process to restore it to all of the other domain controllers in the domain.

Reason : A and B are incorrect because the functional level of the forest must be win2k8 R2 to use restore-adoject cmdlet (It is an AD recycle bin feature).

QUESTION 18Sua rede contém um domínio do Active Directory. O domínio contém dois controladores de domíniochamado DC1 e DC2.

Você executar um backup completo dos controladores de domínio, todas as noites usando o WindowsServer Backup.Você atualiza um script na pasta SYSVOL.

Você descobre que o novo script não funcionar corretamente. Você precisa restaurar a versão anterior doscript na pasta SYSVOL. A solução deve minimizar a quantidade de tempo necessária para restaurar oscript.


A. Execute o cmdlet Restore-ADObject.

B. Restaurar o estado do sistema para sua localização original.

C. Restaurar o estado do sistema para um local alternativo.

D. Anexe o arquivo VHD criado por Backup do Windows Server.

Answer: DSection: Configuring AD Backup-Restore

Explanation/Reference:Windows Server Backup creates VHD files. Simply mount the VHD in a compatible operating system (DiskManagement) and copy the needed file.


Você precisa restaurar uma conta de computador excluída do Active Recycle Bin.


A. No prompt de comando, execute recover.exe.

B. No prompt de comando, execute ntdsutil.exe.

C. A partir do Módulo Active Directory para o Windows PowerShell, execute o cmdlet Restore-Computador.

D. A partir do Módulo Active Directory para o Windows PowerShell, execute o cmdlet Restore-ADObject.


Explanation/Reference:Restoring a deleted Active Directory object using t he Get-ADObject and Restore-ADObject cmdletsYou can also restore a deleted Active Directory object by using the Get-ADObject and Restore-ADObjectActive Directory module for Windows PowerShell cmdlets. The recommended approach is to use the Get-ADObject cmdlet to retrieve the deleted object and then pass that object through the pipeline to theRestore-ADObject cmdlet.

To restore a single, deleted Active Directory objec t using the Get-ADObject and Restore-ADObjectcmdlets Click Start , click Administrative Tools , right-click Active Directory Module for Windows PowerShell ,and then click Run as administrator .At the Active Directory module for Windows PowerShell command prompt, type the followingcommand, and then press ENTER:Get-ADObject -Filter {String} -IncludeDeletedObject s | Restore-ADObject For example, if you want to restore an accidentally deleted user object with the display name Mary, type thefollowing command, and then press ENTER: Get-ADObject -Filter {displayName -eq "Mary"} -Incl udeDeletedObjects | Restore-ADObject

http://technet.microsoft.com/en-us/library/dd379509(v=WS.10).aspx#BKMK_3

It's not Restore-Computer cmdlet, because it only Starts a system restore on the local computer.

QUESTION 20Você precisa fazer backup de todas as políticas de grupo em um domínio.

A solução deve minimizar o tamanho da cópia de segurança.


A. O Add-WBSystemState cmdlet

B. O Group Policy Management console

C. O Wbadmin ferramenta

D. O Windows Server Backup feature


Explanation/Reference:Back Up a Group Policy Object

Applies To: Windows Server 2008 R2

To back up a Group Policy object

In the Group Policy Management Console (GPMC) console tree, open Group Policy Objects in the forestand domain containing the Group Policy object (GPO) to back up.To back up a single GPO, right-click the GPO, and then click Back Up . To back up all GPOs in the domain,right-click Group Policy objects and click Back Up All .In the Backup Group Policy object dialog box, in the Location box, enter the path for the location in whichyou want to store the GPO backups, or click Browse , locate the folder in which you want to store the GPObackups, and then click OK.In the Description box, type a description for the GPOs that you want to back up, and then click Back Up . Ifyou are backing up multiple GPOs, the description will apply to all GPOs you back up.After the operation completes, click OK.


Exam J

QUESTION 1Você tem uma empresa de raiz autoridade de certificação (CA) que executa o Windows Server 2008 R2.

Você precisa se certificar que você pode recuperar a chave privada de um certificado emitido para umservidor web.


A. A partir da CA, execute o cmdlet Get-PfxCertificate.

B. A partir do servidor Web, execute o cmdlet Get-PfxCertificate.

C. A partir da CA, execute a ferramenta certutil.exe e especificar o parâmetro exportpfx.

D. A partir do servidor Web, execute a ferramenta certutil.exe e especificar o -exportpfx parâmetro.


Explanation/Reference:A .pfx file includes the public and private key.

The correct notation is:certutil.exe -privatekey -exportpfx "MyCert" MyCert.pfxhttp://blogs.microsoft.co.il/blogs/applisec/archive/2008/04/08/creating-x-509-certificates-using-makecert-exe.aspx

The Get-PfxCertificate cmdlet gets an object representing each specified .pfx certificate fileThis command gets information about the .pfx certificate on the system and does NOT export it!http://technet.microsoft.com/en-us/library/dd347671.aspx


A rede contém um domínio único diretório Active. O escritório principal contém um controlador de domíniochamado DC1.

Você precisa instalar um controlador de domínio na filial, usando uma cópia offline do banco de dados doActive Directory.


A. A partir da ferramenta Ntdsutil, criar um conjunto de meios IFM.

B. No prompt de comando, execute djoin.exe / loadfile.

C. De Backup do Windows Server, execute um backup de estado do sistema.

D. A partir do Windows PowerShell, execute o cmdlet get-ADDomainController.


Explanation/Reference:Create Installation Media by Using Ntdsutil

This task uses the Install from Media (IFM) option. Create the media on a domain controller in the domainwhere you are installing one or more new domain controllers.


QUESTION 3

Sua rede contém um domínio do Active Directory. Todos os controladores de domínio executem oWindows Server 2008. O nível funcional do domínio é o Windows Server 2003. Todos os computadoresclientes executam o Windows 7.

Você instalar o Windows Server 2008 R2 em um servidor chamado Server1. Você precisa executar umajunção de domínio offline Server1.



A. De Server1, execute djoin.exe.

B. De Server1, execute netdom.exe.

C. A partir de um computador com Windows 7, execute djoin.exe.

D. Atualizar um controlador de domínio para Windows Server 2008 R2.

E. Elevar o nível funcional do domínio para o Windows Server 2008.

Answer: ACSection: Maintaining the AD Environment

Explanation/Reference:Reason : Requirement must be 2k8 R2 DC and Windows 7 to use djoin.exe

Operating system requirementsYou can run Djoin.exe only on computers that run Windows 7 or Windows Server 2008 R2. The computeron which you run Djoin.exe to provision computer account data into AD DS must be running Windows 7 orWindows Server 2008 R2. The computer that you want to join to the domain must also be running Windows7 or Windows Server 2008 R2.

By default, the Djoin.exe commands target a domain controller that runs Windows Server 2008 R2. However, you can specify an optional /downlevel parameter if you want to target a domain controller that isrunning a version of Windows Server that is earlier than Windows Server 2008 R2

1. On the provisioning server (Windows 7 client), open an elevated command prompt. Type the following command to provision the computer account:djoin /provision /downlevel /domain <domain to be joined> /machine <name of the destination computer> /savefile blob.txtCopy the blob.txt file to the client computer.

2. Command to insert the computer account metadata into the Windows directory of the destinationcomputer.On the client computer (The new W2K8 DC), open an elevated command prompt, and then type thefollowing command to request the domain join:djoin /requestODJ /loadfile blob.txt /windowspath %SystemRoot% /localos

http://technet.microsoft.com/nl-nl/library/offline-domain-join-djoin-step-by-step%28WS.10%29.aspx#BKMK_ODJRequirements

QUESTION 4Você tem um snapshot do Active Directory.

Você precisa ver o conteúdo das unidades organizacionais (OUs) no instantâneo.

Quais as ferramentas que você deve correr?

A. explorer.exe, netdom.exe e dsa.msc

B. ntdsutil.exe, Dsamain.exe e dsa.msc

C. wbadmin.msc, Dsamain.exe e netdom.exe

D. wbadmin.msc, ntdsutil.exe, e explorer.exe


Explanation/Reference:In the command-line tool Ntdsutil.exe, you can use the snapshot subcommand to manage the snapshots,but you must use Dsamain.exe to expose the snapshot as a Lightweight Directory Access Protocol (LDAP)server.

To start Active Directory Users and Computers focused on domain1, type:

dsa.msc /domain= domain1

To start Active Directory Users and Computers focused on server1, type:

dsa.msc /server= server1.domain1

QUESTION 5Sua rede contém um controlador de domínio que executa o Windows Server 2008 R2. Você execute oseguinte comando no controlador de domínio:Dsamain.exe dbpath c: \ $ SNAP_201006170326_VOLUMEC $ \ Windows \ NTDS \ ntds.dit ldapport 389-allowNonAdminAccess

O comando falha.

Você precisa garantir que o comando é concluído com êxito.

Como você deve modificar o comando?

A. Inclua o caminho para DSAMAIN.

B. Altere o valor do parâmetro dbpath.

C. Altere o valor do parâmetro ldapport.

D. Remover o-allowNonAdminAccess parâmetro.


Explanation/Reference:Normally when you use ntdsutil and dsamain.exe to connect a snapshot then you use a different port,because AD is allready running on the default port 389

The LDAPPort property specifies the TCP/IP port on which the domain controller listens for LDAP requests.The LDAPPort property is read-write.

QUESTION 6Sua rede contém um domínio do Active Directory. O domínio contém cinco controladores de domínio. Umcontrolador de domínio chamado DC1 tem o papel de DHCP e da função de servidor de arquivos instalado.

Você precisa mover o banco de dados do Active Directory em DC1 para um local alternativo. A soluçãodeve minimizar o impacto na rede durante a mudança de banco de dados.


A. Reinicie o DC1 no Modo de Segurança.

B. Reinicie o DC1 no Directory Services Restore Mode.

C. Iniciar DC1 a partir do Windows PE.

D. Parar o Active Directory Domain Services no DC1.


Explanation/Reference:To move the directory database and log files to a l ocal drive

Open a Command Prompt as an administrator: On the Start menu, right-click Command Prompt , and thenclick Run as administrator . If the User Account Control dialog box appears, provide credentials, ifrequired, and then click Continue .At the command prompt, type the following command, and then press ENTER:net stop ntds Type Y to agree to stop additional services, and then press ENTER.

Continue with the procedure...



A rede contém uma floresta do Active Directory. A floresta contém três domínios. A filial contém umcontrolador de domínio chamado DC5. DC5 é configurado como um servidor de catálogo global, umservidor DHCP e um servidor de arquivos.

Você remover o catálogo global do DC5.

Você precisa reduzir o tamanho do banco de dados do Active Directory em DC5. A solução deve minimizaro impacto sobre todos os usuários da filial.


A. Iniciar DC5 no Modo de Segurança.

B. Iniciar DC5 no diretório do modo de restauração de serviços.

C. Em DC5, iniciar o serviço de armazenamento protegido.

D. Em DC5, pare o Active Directory Domain Services.


Explanation/Reference:Only offline defragmentation can return unused disk space from the directory database to the file system.When database contents have decreased considerably through a bulk deletion (for example, you removethe global catalog from a domain controller), or if the size of the database backup is significantly increaseddue to the white space, use offline defragmentation to reduce the size of the Ntds.dit file.

QUESTION 8Sua rede contém um controlador de domínio que executa o Windows Server 2008 R2.

Você precisa mudar a localização dos arquivos de log do Active Directory.


A. Dsamain

B. Dsmgmt

C. Dsmove

D. Ntdsutil


Explanation/Reference:Start a command prompt, and then type ntdsutil.exe.NOTE: To get a list of commands that you can use atthe Ntdsutil prompt, type ?.

At a Ntdsutil prompt, type files. At the File Maintenance prompt, use one or both of the following procedures:

To move a database, type move db to %s, where %s is the drive and folder where you want the databasemoved. To move log files, type move logs to %s, where %s is the drive and folder where you want the log filesmoved.

QUESTION 9Sua rede contém um domínio único diretório Active. Todos os servidores rodam Windows Server 2008 R2.Você implanta um novo servidor que executa o Windows Server 2008 R2.O servidor não está ligado à rede interna.

Você precisa se certificar que o novo servidor já está associado ao domínio quando se conecta pelaprimeira vez para a rede interna.


A. A partir de um controlador de domínio, execute sysprep.exe e especificar o parâmetro / oobe. A partirdo novo servidor, executar o Sysprep.exe e especificar o parâmetro / generalize.

B. A partir de um controlador de domínio, execute sysprep.exe e especificar o parâmetro / generalize. Apartir do novo servidor, executar o Sysprep.exe e especificar o parâmetro / oobe.

C. A partir de um computador integrado ao domínio, execute djoin.exe e especificar o parâmetro /disposição. A partir do novo servidor, execute djoin.exe e especificar o parâmetro / requestodj.

D. A partir de um computador integrado ao domínio, execute djoin.exe e especificar o parâmetro /requestodj. A partir do novo servidor, execute djoin.exe e especificar o parâmetro / disposição.


Explanation/Reference:Offline domain join is a new process that computers that run Windows® 7 or Windows Server® 2008 R2can use to join a domain without contacting a domain controller. This makes it possible to join computers toa domain in locations where there is no connectivity to a corporate network.

Run Djoin.exe at an elevated command prompt to provision the computer account metadata. When you runthe provisioning command, the computer account metadata is created in a .txt file that you specify as part ofthe command. After you run the provisioning command, you can either run Djoin.exe again to request thecomputer account metadata and insert it into the Windows directory of the destination computer or you cansave the computer account metadata in an Unattend.xml file and then specify the Unattend.xml file duringan unattended operating system installation of the destination computer.

djoin /provision /domain <domain_name> /machine <de stination computer> /savefile <filename.txt> [/machineou <OU name>] [/dc name <name of domaincontroller>] [/reuse] [/downlevel] [/defpwd] [/nose arch] [/printblob] [/rootcacerts] [/certtemplate <name>] [/policynames < name(s)>] [/policypaths<Path(s)>]

djoin /requestodj /loadfile <filename.txt> /windows path <path to the Windowsdirectory of the offline image> /localos

http://technet.microsoft.com/en-us/library/offline- domain-join-djoin-step-by-

step(v=WS.10).aspx

QUESTION 10Sua rede contém um domínio do Active Directory. O domínio contém quatro controladores de domínio.Você pode modificar o esquema do Active Directory.

Você precisa verificar se todos os controladores de domínio recebeu a modificação do esquema.


A. dcdiag.exe /a

B. netdom.exe query fsmo

C. repadmin.exe /showrepl *

D. sc.exe query ntds


Explanation/Reference:Repadmin /showrepl Displays the replication status when the specified domain controller last attempted to perform inboundreplication on Active Directory partitions.


Reason : * means all controllers.

QUESTION 11.

Você monitorizar remotamente vários controladores de domínio.

Você corre winrm.exe quickconfig em cada controlador de domínio. Você precisa criar um script WMIconsulta para recuperar informações da BIOS de cada controlador de domínio.

Qual o formato que você usa para escrever a consulta?

A. XrML

B. XML

C. WQL

D. HTML


Explanation/Reference:Reason : the WMI Query Language (WQL) is a subset of the American National Standards InstituteStructured Query Language (ANSI SQL) with minor semantic changes. Queries built using WQL are used to control the WMI Service.

WMI Query LanguageWMI Query Language (WQL) isn’t so much a dialect as it is a language within a language. You use ascripting language such as VBScript to access and manipulate WMI objects, but you use WQL to retrievethe exact object or objects you want to work with.

QUESTION 12Sua rede contém um domínio do Active Directory chamado contoso.com. O domínio contém cinco

controladores de domínio.

Você pode adicionar um script de logoff de um objeto existente Group Policy (GPO). É necessário verificarque cada controlador de domínio com êxito replica a política de grupo atualizado.

Que dois objetos que você deve verificar em cada controlador de domínio?


A. \\servername\SYSVOL\contoso.com\Policies\{GUID}\gpt.ini

B. \\servername\SYSVOL\contoso.com\Policies\{GUID}\machine\registry.pol

C. o valor para o uSNChangedCN={GUID},CN=Policies,CN=System,DC=contoso,DC=com container

D. o valor para o versionNumber CN={GUID},CN=Policies,CN=System,DC=contoso,DC=com container


Explanation/Reference:Group Policy has two configurations – the computer and the user configuration. In order to track changes toeach configuration, the GPO must track a version number for each configuration. With only one versionnumber, the way two versions are tracked is to split the version number into two numbers. The top 16 bits of the version number corresponds to the user configuration version. The lower 16 bits of theversion number corresponds to the computer configuration version. When looking at the version entry in thegpt.ini file what you are then seeing is: Version = [user version number top 16 bits] [computer version number lower 16 bits]

This number can be found in the editor and in the gpt.ini file

QUESTION 13Sua rede contém um domínio do Active Directory que contém cinco controladores de domínio. Você temum computador de gerenciamento que executa o Windows 7.

A partir do computador com Windows 7, você precisa ver todas as falhas de logon de conta que ocorremno domínio.

As informações devem ser consolidadas em uma única lista.

Qual comando você deve executar em cada controlador de domínio?

A. Wecutil.exe qc

B. Wevtutil.exe gli

C. Winrm.exe quickconfig

D. Winrshost.exe


Explanation/Reference:Winrm.exe quickconfig must be run on the remote computers to enable the collection of events.

QUESTION 14Você criar um domínio novo Active Directory. O nível funcional do domínio é o Windows Server 2008 R2.

O domínio contém cinco controladores de domínio. Você precisa monitorar a replicação dos arquivos demodelo de política de grupo.


A. Dfsrdiag

B. Fsutil

C. Ntdsutil

D. Ntfrsutl


Explanation/Reference:Reason : Dfsrdiag can be used to replicate sysvol if the DC is running 2008 R2.

By running DFSRDIAG.EXE you can create test files then measure their replication times in a very granularway. In Windows Server 2008 R2 the SYSVOL is replicated using DFS

QUESTION 15Você criar um domínio novo Active Directory. O nível funcional do domínio é o Windows Server 2003.

O domínio contém cinco controladores de domínio que executam o Windows Server 2008 R2.

Você precisa monitorar a replicação dos arquivos de modelo de política de grupo.


A. Dfsrdiag

B. Fsutil

C. Ntdsutil

D. Ntfrsutl


Explanation/Reference:Reason: FRS will be used to replicate sysvol if the functional level is 2008 and below. Use ntfrsutl tomonitor that. If you want to use DFS to replicate sysvol, the functional level must be at 2008 R2. Then youmonitor using dfsrdiag.

QUESTION 16Você tem um controlador de domínio chamado Server1 que executa o Windows Server 2008 R2.

Você precisa determinar o tamanho do banco de dados do Active Directory em Server1.


A. Execute a ferramenta Active Directory Sizer.

B. Execute o Active Directory Diagnostics conjunto de coletores de dados.

C. A partir do Windows Explorer, visualizar as propriedades do %systemroot% \NTDS\ ntds.dit arquivo.

D. A partir do Windows Explorer, visualizar as propriedades do %systemroot%\sysvol\domain.

Answer: CSection: Configuring AD Backup-Restore

Explanation/Reference:You can use the Search command on the Start menu to locate the database file (Ntds.dit) or the edb*.logfile for the location of the database and log files, respectively.

If you have set garbage collection logging to report free disk space, Event ID 1646 in the Directory Servicelog also reports the size of the database file: “Total allocated hard disk space (megabytes):”

As an alternative, you can determine the size of the database file by listing the contents of the directory thatcontains the files.

Membership in Domain Admins , or equivalent, is the minimum required to complete this procedure.Review details about using the appropriate accounts and group memberships at Local and Domain DefaultGroups (http://go.microsoft.com/fwlink/?LinkId=83477).

To determine the database size and location online

On the domain controller on which you want to manage database files, open a command prompt as anadministrator: On the Start menu, right-click Command Prompt , and then click Run as administrator . Ifthe User Account Control dialog box appears, provide Domain Admins credentials, if required, and thenclick Continue .Change directories to the directory that contains the files that you want to manage.At the command prompt, type dir , and then press ENTER to examine the database size. In the followingexample command output, the Ntds.dit file and the log files are stored in the same directory. In the example,the files take up 58,761,256 bytes of disk space. This output is representative of a directory database towhich few objects have been added.

C:\Windows\NTDS>dir Volume in drive C has no label. Volume Serial Number is 003D-0E9E Directory of C:\Windows\NTDS 01/29/2008 11:04 AM <DIR> . 01/29/2008 11:04 AM <DIR> .. 01/29/2008 10:29 AM 8,192 edb.chk 01/29/2008 10:29 AM 10,485,760 edb.log 01/29/2008 10:29 AM 10,485,760 edb00001.log 01/29/2008 10:29 AM 10,485,760 edbres00001.jrs 01/29/2008 10:29 AM 10,485,760 edbres00002.jrs 01/29/2008 10:29 AM 14,696,488 ntds.dit 01/28/2008 02:54 PM 2,113,536 temp.edb 7 File(s) 58,761,256 bytes 2 Dir(s) 126,027,243,520 bytes free


QUESTION 17Você precisa receber uma mensagem de e-mail sempre que uma conta de usuário de domínio estábloqueado.



B. Visualizador de Eventos

C. monitor de recursos

D. Security Configuration Wizard


Explanation/Reference:When an account lockout occurs, it generates a message in the event log.

QUESTION 18Sua rede contém um domínio do Active Directory chamado contoso.com. Você tem um computador degerenciamento denominada Computer1 que executa o Windows 7.

Você precisa de transmitir os eventos de logon de todos os controladores de domínio em contoso.com paraComputer1.

Todos os novos controladores de domínio devem ser adicionados dinamicamente para a inscrição.


A. De Computer1, configurar inscrições de evento de código iniciado. A partir de um objeto de Diretiva deGrupo (GPO), ligado à unidade de controladores de domínio organizacional (UO), configurar o nó deencaminhamento de evento.

B. De Computer1, configurar-coletor iniciou inscrições em eventos. A partir de um objeto de Diretiva deGrupo (GPO), ligado à unidade de controladores de domínio organizacional (UO), configurar o nó deencaminhamento de evento.

C. De Computer1, configurar inscrições de evento de código iniciado. Instale um certificado deautenticação do servidor no Computador1. Implementar o registro automático para a unidadeorganizacional Controladores de Domínio (OU).

D. De Computer1, configurar-coletor iniciou inscrições em eventos. Instale um certificado de autenticaçãodo servidor no Computador1. Implementar o registro automático para a unidade organizacionalControladores de Domínio (OU).


Explanation/Reference:Subscriptions

The following list describes the types of event subscriptions:

Source-initiated subscriptions: allows you to define an event subscription on an event collector computer without defining the event source computers . Multiple remote event source computers can then be setup (using a group policy setting) to forward events to the event collector computer. For more information,see Setting up a Source Initiated Subscription. This subscription type is useful when you do not know or youdo not want to specify all the event sources computers that will forward events.

Collector-initiated subscriptions: allows you to create an event subscription if you know all the event sourcecomputers that will forward events. You specify all the event sources at the time the subscription is created.For more information, see Creating a Collector Initiated Subscription.For either of these subscription types, only computers running the following platforms are allowed to beevent collectors: Windows Server 2003 R2, Windows Vista with Service Pack 1 (SP1), or Windows Server2008.

Computers that run on the following operating systems can be an event source: Windows XP with ServicePack 2 (SP2), Windows Server 2003 with Service Pack 1 (SP1), Windows Server 2003 with Service Pack 2(SP2), Windows Server 2003 R2, Windows Vista, Windows Vista with SP1, or Windows Server 2008.

http://technet.microsoft.com/en-us/query/bb427443

QUESTION 19

Sua rede contém um domínio do Active Directory que tem dois sites.

Você precisa identificar se os scripts de logon são replicadas para todos os controladores de domínio.

Qual pasta você deve verificar?

A. GroupPolicy

B. NTDS

C. SoftwareDistribution

D. SYSVOL


Explanation/Reference:The System Volume (Sysvol) is a shared directory that stores the server copy of the domain's public filesthat must be shared for common access and replication throughout a domain. The Sysvol folder on adomain controller contains the following items:

Net Logon shares. These typically host logon scripts and policy objects for network client computers. User logon scripts for domains where the administra tor uses Active Directory Users andComputers. Windows Group Policy. File replication service (FRS) staging folder and files that must be available and synchronized betweendomain controllers. File system junctions.

QUESTION 20Você instala um autônomo raiz autoridade de certificação (CA) em um servidor chamado Server1.

Você precisa garantir que cada computador na floresta tem uma cópia do certificado raiz do CA instaladono computador local armazenamento de certificados raiz fidedigna.

Qual comando você deve executar no Server1?

A. Certreq.exe e especificar o -accept parâmetro

B. Certreq.exe e especificar o -retrieve parâmetro

C. Certreq.exe e especificar o -dspublish parâmetro

D. Certreq.exe e especificar o -importcert parâmetro



Exam K

QUESTION 1A rede contém uma floresta do Active Directory. A floresta contém dois domínios. Você tem um autônomoraiz autoridade de certificação (CA).

Em um servidor no domínio filho, você executar o Assistente para Adicionar Funções e descobrir que aopção de selecionar uma autoridade de certificação corporativa está desativado.

Você precisa instalar uma CA corporativa subordinada no servidor.

O que você deve usar para fazer logon para o novo servidor?

A. uma conta que é um membro do grupo Publishers Certificado no domínio filho

B. uma conta que seja membro do grupo Editores de Certificados no domínio raiz da floresta

C. uma conta que seja membro do grupo Administradores de Esquemas no domínio raiz da floresta

D. uma conta que seja membro do grupo Administradores de Empresa no domínio raiz da floresta


Explanation/Reference:Reason: Enterprise administrator privileges on the DNS, Active Directory, and CA servers. This is especiallyimportant because setup modifies information in numerous places, some of which require enterpriseadministrator privileges.

QUESTION 2Você tem uma empresa autoridade de certificação subordinada (CA). Você tem um grupo chamado Grupo1.

Você precisa permitir que os membros do grupo 1 para publicar listas de revogação de certificado. Osmembros do Grupo 1 não devem ser autorizados a revogar certificados.


A. Adicionar Grupo1 ao grupo Administradores local.

B. Adicionar Group1 para o grupo Editores de Certificados.

C. Atribuir a permissão Gerenciar CA para Grupo1.

D. Atribuir a Emitir e Gerenciar Certificados permissão para Grupo1.


Explanation/Reference:Reason : Only CA admin can Manage Certificate Revocation. "B" can only publish normal certificatetemplate.

QUESTION 3Você tem uma empresa autoridade de certificação subordinada (CA) configurado para arquivamento dechaves. Três certificados de agente de recuperação de chaves são emitidos.A CA está configurado para usar dois agentes de recuperação.

Você precisa se certificar que todos os certificados de agente de recuperação pode ser usado pararecuperar todas as novas chaves privadas.


A. Adicionar um agente de recuperação de dados para a Diretiva de Domínio Padrão.

B. Modifique o valor do Número de agentes de recuperação de usar caixa.

C. Revogar os atuais certificados de agente de recuperação de chaves e emitir três novos certificados deagente de recuperação de chaves.

D. Atribuir a Emitir e Gerenciar Certificados permissão para usuários que possuem os certificados deagente de recuperação de chaves.


Explanation/Reference:To identify a key recovery agent

Log on to the system as a Certification Authority Administrator.

Open Certification Authority.

In the console tree, click the name of the certification authority (CA).

Where?

Certification Authority (Computer)/CA name

On the Action menu, click Properties .

On the Recovery Agents tab, click Archive the key .

In the Number of recovery agents to use box, type the number of key recovery agentsthat will be used to encrypt the archived key.

Click Add to add key recovery agent certificates.

QUESTION 4Você tem uma empresa autoridade de certificação subordinada (CA). A CA está configurado para usar ummódulo de segurança de hardware.

Você precisa fazer backup de Serviços de Certificados do Active Directory no CA.


A. certutil.exe -backup

B. certutil.exe -backupdb

C. certutil.exe -backupkey

D. certutil.exe -store


Explanation/Reference:Certutil

Applies To: Windows Server 2008Certutil.exe is a command-line program that is installed as part of Certificate Services. You can use Certutil.exe to dump and display certification authority (CA) configuration information, configure Certificate Services,back up and restore CA components, and verify certificates, key pairs, and certificate chains.

-back upBackup Active Directory Certificate Services


QUESTION 5Você Serviços Certificados do Active Directory (AD CS) implantado. Você cria um modelo de certificadopersonalizado.

Você precisa se certificar de que todos os usuários no domínio automaticamente registrar um certificadobaseado no modelo de certificado personalizado.



A. Em um objeto Group Policy (GPO), configure as configurações de registro automático.

B. Em um objeto Group Policy (GPO), configurar as Configurações de solicitação automática decertificados.

C. No modelo de certificado, atribua a leitura e Registro Automático permissão para o grupo usuáriosautenticados.

D. No modelo de certificado, atribua o Read, Registro e Registro Automático permissão para o grupoUsuários do Domínio.


Explanation/Reference:Deploy User Certificates Applies To: Windows Server 2008 R2You can use this procedure to configure the certificate template that Active Directory® Certificate Services(AD CS) uses as the basis for user certificates that are enrolled to members of the domain users group.Membership in both the Enterprise Admins group and the Domain Admins group of the root domain is theminimum required to complete this procedure.To configure the certificate template and autoenrol lment On the computer where Active Directory Certificate Services is installed, click Start , click Run , type mmc ,and then click OK.On the File menu, click Add/Remove Snap-in . The Add or Remove Snap-ins dialog box opens.In Available snap-ins , double-click Certification Authority . Select the certification authority (CA) that youwant to manage, and then click Finish . The Certification Authority dialog box closes, returning to the Addor Remove Snap-ins dialog box.In Available snap-ins , double-click Certificate Templates , and then click OK.In the console tree, click Certificate Templates . All of the certificate templates are displayed in the detailspane.In the details pane, click the User template.On the Action menu, click Duplicate Template . The Duplicate Template dialog box opens. Select thetemplate version appropriate for your deployment, and then click OK. The new template properties dialogbox opens.On the General tab, in Display Name , type a new name for the certificate template or keep the defaultname.Click the Security tab. In Group or user names , click Domain Users .In Permissions for Domain Users , under Allow , select the Enroll and Autoenroll permission checkboxes, and then click OK.Double-click Certification Authority , double-click the CA name, and then click Certificate Templates . Onthe Action menu, point to New, and then click Certificate Template to Issue . The Enable CertificateTemplates dialog box opens.Click the name of the certificate template you just configured, and then click OK. For example, if you did notchange the default certificate template name, click Copy of User , and then click OK.

On the computer where Active Directory Domain Services (AD DS) is installed, click Start , click Run , typemmc , and then click OK.On the File menu, click Add/Remove Snap-in . The Add or Remove Snap-ins dialog box opens.In the Add or Remove Snap-ins dialog box, in Available snap-ins , double-click Group PolicyManagement Editor . The Select Group Policy Object wizard opens. Click Browse , and then selectDefault Domain Policy . Click OK, click Finish , and then click OK again.Click Default Domain Policy . Open User Configuration , then Policies , then Windows Settings , thenSecurity Settings , and then Public Key Policies .In the details pane, double-click Certificate Services Client - Auto-Enrollment . The Certificate ServicesClient - Auto-Enrollment Properties dialog box opens.In the Certificate Services Client - Auto-Enrollment Prope rties dialog box, in Configuration Model ,select Enabled .Select the Renew expired certificates, update pending certific ates, and remove revoked certificatescheck box.Select the Update certificates that use certificate templates check box, and then click OK.

QUESTION 6Você tem uma empresa autoridade de certificação subordinada (CA). Você tem um costume modelo decertificado versão 3.

Os usuários podem se inscrever para os certificados com base no modelo de certificado personalizadousando o console Certificados.

O modelo de certificado está disponível para registro na Web. Você precisa se certificar que o modelo decertificado está disponível nas páginas Web de inscrição.


A. Executar certutil.exe -pulse.

B. Executar certutil.exe -installcert.

C. Alterar o modelo de certificado para um modelo de certificado versão 2.

D. No modelo de certificado, atribua a permissão de Registro Automático para os usuários.


Explanation/Reference:version 3 templates cannot be requested via web enrollment using the “out of box”certificate web enrollment pages.

QUESTION 7Você tem uma empresa autoridade de certificação subordinada (CA). Você tem um modelo de certificadopersonalizado que tem um comprimento de chave de 1.024 bits. O modelo está habilitado para registroautomático.

Você aumenta o comprimento da chave modelo para 2.048 bits.

Você precisa se certificar que todos os titulares de certificados atuais automaticamente registrar umcertificado que usa o novo modelo.



B. Autoridade de Certificação

C. Modelos de Certificado

D. Group Policy Management



QUESTION 8A rede contém uma floresta do Active Directory. Todos os controladores de domínio executem o WindowsServer 2008 Standard. O nível funcional do domínio é o Windows Server 2003. Você tem uma autoridadede certificação (CA).

Os servidores relevantes no domínio são configurados como mostrado na tabela seguinte:

Nome do servidor Sistema operacional Função de servidor

Server1 Windows Server 2003 Enterprise root CA

Server2 Windows Server 2008 Enterprise subordinate CA

Server3 Windows Server 2008 R2 Web Server

Você precisa se certificar que você pode instalar os Serviços de Certificados do Active Directory (AD CS)certificado de serviço Web de inscrição na rede.


A. Atualize Server1 para o Windows Server 2008 R2.

B. Atualize Server2 para o Windows Server 2008 R2.

C. Elevar o nível funcional do domínio para o Windows Server 2008.

D. Instalar o Windows Server 2008 R2 atualizações do esquema do Active Directory.


Explanation/Reference:Installation requirementsBefore installing the certificate enrollment Web services, ensure that your environment meets theserequirements:

A host computer as a domain member running Windows Server 2008 R2.

An Active Directory forest with a Windows Server 2008 R2 schema . See Prepare a Windows 2000or Windows Server 2003 Forest Schema for a Domain Controller That Runs Windows Server 2008 orWindows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=93242).

An enterprise certification authority (CA) running Windows Server 2008 R2, Windows Server 2008, orWindows Server 2003.

If the Certificate Enrollment Web Service is configured for client certificate authentication, the CA mustbe running Windows Server 2008 R2 or Windows Server 2008.

For enrollment across forests, the CA must be installed on a computer running Windows Server 2008 R2Enterprise or Windows Server 2008 R2 Datacenter. See Configuring Certificate Enrollment WebServices for Enrollment Across Forest Boundaries.

Client computers running Windows 7 or Windows Server 2008 R2.

A Server Authentication certificate installed for HTTPS.

QUESTION 9

Sua empresa tem uma floresta do Active Directory que contém vários controladores de domínio. Oscontroladores de domínio executem o Windows Server 2008.Você precisa executar uma restauração de uma autoridade de uma unidade organizacional excluído e seusobjetos filho.Que quatro ações que você deve executar em seqüência? (Para responder, mover as quatro açõesapropriadas a partir da lista de ações para a área de resposta, e organizá-los na ordem correta.)

Answer:

Section: Maintaining the AD Environment


Exam L

QUESTION 1Sua rede contém um domínio do Active Directory chamado contoso.comAs propriedades do DNS contoso.com zona são configurados como mostrado na exposição.Você precisa atualizar todos de serviço local (SRV) para um controlador de domínio no domínio.


Exhibit:

A. Reinicie o serviço Netlogon.

B. Reinicie o serviço Cliente DNS.

C. Executar sc.exe e especificar o parâmetro triggerinfo.

D. Executar ipconfig.exe e especificar o parâmetro /registerdns.


Explanation/Reference:The SRV resource records are registered by starting the Net Logon service, which enlists the records in theNetlogon.dns file under the % systemroot %\System32\config folder.

QUESTION 2Sua rede contém um domínio do Active Directory. O domínio contém um grupo denominado Grupo1.O comprimento mínimo de senha para o domínio está definido para seis caracteres.você precisa se certificar de que as senhas para todos os usuários no grupo 1 são pelo menos 10caracteres. Todos os outros usuários devem ser capazes de usar senhas que são seis caracteres.


A. Execute o cmdlet New-ADFineGrainedPasswordPolicy.

B. Execute o cmdlet Add-ADFineGrainedPasswordPolicySubject.

C. A partir da Diretiva de Domínio Padrão, modificar a diretiva de senha.

D. A partir da política predefinida de controlador de domínio, modifique a política de senha.


Explanation/Reference:Important : For the fine-grained password and account lockout policies to function properly in a givendomain, the domain functional level of that domain must be set to Windows Server 2008.

Instead of powershell you can also do it like this:Fine-Grained Passwords [Password policies per OU, Group or user]Adsi edit, cn=system, cn=password settings container, Right Mouse, new object, msds-passwordsettings, enter namePasswordsettings, enter values…ADUC adv, create group, goto system, Passwordsettings ,msDS-PSOAppliesTo, edit, enter the group.

QUESTION 3Sua rede contém um domínio do Active Directory.Um usuário chamado User1 tem uma licença por um ano.Você precisa restringir o acesso à conta de usuário User1 User1 enquanto está fora.


A. A partir da Diretiva de Domínio Padrão, modificar as configurações de bloqueio de conta.

B. A partir da política predefinida de controlador de domínio, modifique as configurações de bloqueio deconta.

C. Entre as propriedades da conta de usuário, modificar as opções de conta.

D. Entre as propriedades da conta de usuário, modificar as configurações de sessão.



Account options:check account is disabled

QUESTION 4Sua rede contém 10 controladores de domínio que executam o Windows Server 2008 R2.A rede contém um servidor membro que estiver configurado para coletar todos os eventos que ocorremnos controladores de domínio.Sua necessidade de assegurar que os administradores são notificados quando um evento específicoocorre em qualquer um dos controladores de domínio. Você quer para conseguir o objetivo, usando omínimo esforço.O que você deve fazer?

A. De Visualizador de eventos no servidor membro, criar uma assinatura.

B. De Visualizador de eventos em cada controlador de domínio, criar uma assinatura.

C. De Visualizador de eventos no servidor membro, execute o Assistente Criar Tarefa Básica.

D. De Visualizador de eventos em cada controlador de domínio, execute o Assistente Criar Tarefa Básica.


Explanation/Reference:Forwarded Events will be on the collector computer - the member server.

QUESTION 5Sua rede contém um controlador de domínio do Active Directory chamado DC1. DC1 é executado noWindows Server 2008 R2.Você precisa desfragmentar o banco de dados do Active Directory em DC1. A solução deve minimizar otempo parado em DC1.


A. No prompt de comando, execute ntds net stop.

B. No prompt de comando, execute net stop netlogon.

C. Reinicie o DC1 no Modo de Segurança.

D. Reinicie o DC1 no diretório do modo de restauração Services (DSRM).


Explanation/Reference:The local copy of the AD database must be taken offline before the defrag.

QUESTION 6A sua empresa usa um aplicativo que armazena os dados de um Active Directory Lightweight DirectoryServices (AD LDS) instância nomeada instance1.Você tenta criar um instantâneo de Instance1 como mostrado na exposição. (Clique no botão Exibir.)Você precisa se certificar que você pode tirar um instantâneo de Instance1.O que você deve fazer?

Exhibit:

A. No prompt de comando, execute net start VSS.

B. No prompt de comando, execute Instance1 net start.

C. Defina o tipo de início para o serviço Instance1 para pessoas com mobilidade condicionada.

D. Defina o tipo de início para o Volume Shadow Copy Service (VSS) para Manual.

Answer: ASection: Configuring AD LDS

Explanation/Reference:Active Directory Domain Services Database Mounting Tool (Snapshot Viewer or Snapshot Browser)Step-by-Step Guide

Applies To: Windows Server 2008This guide shows how you can use an improved version of Ntdsutil and a new Active Directory® databasemounting tool in Windows Server® 2008 to create and view snapshots of data that is stored in ActiveDirectory Domain Services (AD DS) or Active Directory Lightweight Directory Services (AD LDS), withoutrestarting the domain controller or AD LDS server. A snapshot is a shadow copy—created by the VolumeShadow Copy Service (VSS)—of the volumes that contain the Active Directory database and log files.


QUESTION 7Sua rede contém um domínio do Active Directory chamado contoso.com. Todos os controladores dedomínio e servidores membro executar o Windows Server 2008. Todos os computadores clientesexecutam o Windows 7.A partir de um computador cliente, você cria uma diretiva de auditoria usando as avançadas configuraçõesde auditoria de configuração da política de domínio objeto de Diretiva Padrão de Diretiva de Grupo (GPO).Você descobre que a diretiva de auditoria não é aplicada aos servidores membros. A diretiva de auditoria éaplicada aos computadores cliente.Você precisa garantir que a política de auditoria é aplicada a todos os servidores membros e todos oscomputadores cliente.


A. Adicionar um filtro WMI para a Default Domain Policy GPO

B. Modificar as configurações de segurança do Default Domain Policy GPO

C. Configurar um script de inicialização que é executado auditpol.exe nos servidores membros.

D. Configurar um script de inicialização que é executado auditpol.exe nos controladores de domínio.


Explanation/Reference:Advanced audit policy is a 2k8 R2 feature.After applying the policy, make sure "apply group policy" is enable . See screenshot below.

QUESTION 8Sua rede contém um domínio do Active Directory. O domínio contém 1.000 contas de usuários.Você tem uma lista que contém o número do telefone celular de cada usuárioVocê precisa adicionar o número do celular de cada usuário para o Active Directory.


A. Crie um arquivo que contém os números de telemóvel, e depois executar Ldifde.exe

B. Crie um arquivo que contém os números de telemóvel, e depois executar Csvde.exe

C. De Adsiedit, selecione o contêiner CN = Usuários, e depois mofify as propriedades do recipiente.

D. De Active Directory Users and Computers, selecione todos os usuários, e, em seguida, modificar aspropriedades dos usuários.


Explanation/Reference:LDIFDE:Used mostly for changing a lot of user properties at once.

CSVDECANNOT move or modify an object

QUESTION 9Sua rede contém duas florestas do Active Directory chamado contoso.com e nwtraders.com. A confiançade floresta bidirecional existe entre contoso.com e nwtraders.com.A confiança de floresta é configurado para usar autenticação seletiva.Contoso.com contém um servidor chamado Server1. Server1 contém uma pasta compartilhada chamadade Marketing. Nwtraders.com contém um grupo global chamado G_Marketing. A permissão decompartilhamento Mudança ea modificar as permissões NTFS para a pasta de Marketing são atribuídos aogrupo G_Marketing.Membros do relatório G_Marketing que eles não podem accesss a pasta Marketing.Você precisa garantir que os membros G_Marketing pode accesss a pasta da rede.


A. A partir do Windows Explorer, modificar as permissões NTFS da pasta

B. A partir do Windows Explorer, alterar as permissões de compartilhamento da pasta

C. De Active Directory Users and Computers, modificar o objeto de computador para Server1

D. De Active Directory Users and Computers, modificar o objeto de grupo para G_Marketing


Explanation/Reference:Selective authentication over a forest trust restricts access to only those users in a trusted forest who havebeen explicitly given authentication permissions to computer objects (resource computers) that reside in thetrusting forest. To explicitly give authentication permissions to computer objects in the trusting forest tocertain users, Administrators must grant those users the Allowed to Authenticate permission in ActiveDirectory. For more information, see Grant the Allowed to Authenticate permission on computers in thetrusting domain or forest.

To grant the Allowed to Authenticate permission on computers in the trusting domain or forestUsing the Windows interface1. Open Active Directory Users and Computers.2. In the console tree, click the Computers container or the container where your computer objects reside. 3. Right-click the computer object that you want users in the trusted domain or forest to access, and then

click Properties .4. On the Security tab, do one of the following:

In Group or user names , click the user names or group names for which you want to grant access tothis computer, select the Allow check box next to the Allowed to Authenticate permission, and thenclick OK.

Click Add . In Enter the object names to select , type the name of the user object or group object forwhich you want to grant access to this resource computer, and then click OK. Select the Allow checkbox next to the Allowed to Authenticate permission, and then click OK.

QUESTION 10Sua rede contém um domínio do Active Directory chamado contoso.com. Contoso.com contém trêsservidores servers.The são configurar como mostrado na tabela a seguir.

Nome do servidor de serviço de função ServidorServer1 Autoridade Certificadora (AC)Server2 certificado de serviço Web de inscriçãoServer3 Certificate Enrollment Web Service Política

Você precisa garantir que os usuários podem se inscrever manualmente e renovar seus certificadosusando o certificado de serviço Web de inscrição.

Quais duas ações você deve executar? (Cada resposta corrent apresenta uma parte da solução. (Escolhadois).

A. Configure a definição módulo de política.

B. Configure os requisitos para emissão dos modelos de certificado.

C. Configurar o Certificado de Cliente dos Serviços - Certificado de Inscrição Política de configuração deDiretiva de Grupo.

D. Configure a definição da delegação para a Matrícula Web conta de Serviços de Certificação do pool deaplicativos.

Answer: BCSection: Configuring AD Certificate Services

Explanation/Reference:Configuring Group Policy to Support the Certificate Enrollment Policy Web Service

Applies To: Windows Server 2008 R2Before client computers can use the Certificate Enrollment Policy Web Service, a Group Policy setting mustbe configured to provide the location of Web service to domain members.

A certification authority (CA) processes each certificate request by using a defined set of rules. The CA mayissue some certificates with no proof of identification and require proof of identification before other types ofcertificates are issued. This provides different levels of assurance for different certificates. These levels ofassurance are represented in certificates as issuance policies.

QUESTION 11Sua rede contém um domínio do Active Directory chamado contoso.com. Contoso.com contém um servidormembro que executa o Windows Serever 2008 Standard.Você precisa instalar uma empresa subordinada autoridade de certificação (CA) que suportam a chaveprivada de arquivamento. Você deve atingir este objetivo usando o mínimo de esforço administrativo.O que você faz primeiro?

A. Inicializar o Trusted Platform Module (TPM)

B. Atualize o servidor membro para Windows Standard Server 2008 R2.

C. Instale o Certificado de Inscrição Política de Web serviço de função de serviço no servidor membro.

D. Execute o Assistente de Configuração de Segurança (ACS) e selecione os Serviços Certificados doActive Directory - Autoridade de Certificação de função de servidor caixa de seleção do modelo.



QUESTION 12Sua empresa tem quatro escritórios.A rede contém um domínio único diretório Active.Cada escritório tem um controlador de domínio. Cada escritório tem uma unidade organitational (OU) quecontém as contas de usuário para os usuários nesse escritório.Em cada escritório, técnicos de suporte básico para solucionar os problemas dos usuários em seusrespectivos cargos.Você precisa garantir que os técnicos de suporte podem redefinir a senha para as contas de usuário emseu respectivo serviço apenas. A solução deve impedir que os técnicos de criar contas de usuário.O que você deve fazer?

A. Quatro OU cada, execute o Assistente para delegação de controle.

B. Para o domínio, execute o Assistente para delegação de controle.

C. Para cada escritório, criar um grupo do Active Directory, e em seguida, modificar a configuração desegurança para cada grupo.

D. Para cada escritório, criar um grupo do Active Directory, e modifique os ControlAccessRights atribuirpara cada grupo.


Explanation/Reference:Active Directory Object Type

Applies To: Windows Server 2008, Windows Server 2008 R2Control Details This folder, existing objectsin this folder, and creationof new objects in this folder

Select this option if you want to delegate full control ofthis folder and all its existing object contents, as well asany future objects that it might contain.

Only the following objects inthe folder

Select this option if you want to delegate control of onlyselected types of objects in this folder. The types ofobjects that are available are determined by the ActiveDirectory schema. For more information about specificobject types, see Active Directory Domain ServicesReference (http://go.microsoft.com/fwlink/?LinkId=80181).

Create selected objects inthis folder check box

Select this check box to create objects of the types thatare selected in the object type list.

Delete selected objects inthis folder check box

Select this check box to remove objects of the types thatare selected in the object type list.

QUESTION 13Você precisa compactar um banco de dados do Active Directory em um controlador de domínio queexecuta o Windows Server 2008 R2.O que você deve fazer?

A. Executar defrag.exe /a /c.B. Executar defrag.exe /c /u.C. Ntdsutil forma, use a opção Arquivos.

D. De Ntdsutil, use a opção de limpeza de metadados.

Answer: C

Section: Configuring AD Backup-Restore

Explanation/Reference:At the command prompt, type the following command, and then press ENTER:net stop ntds Type Y to agree to stop additional services, and then press ENTER.At the command prompt, type ntdsutil , and then press ENTER.At the ntdsutil prompt, type activate instance ntds , and then press ENTER.At the ntdsutil prompt, type files, and then press ENTER.If you are compacting the database to a local drive, at the file maintenance: prompt, type compactto <drive>:\ <LocalDirectoryPath> (where <drive>:\ <LocalDirectoryPath> is the path toa location on the local computer), and then press ENTER.

QUESTION 14Sua rede contém um domínio do Active Directory chamado contoso.com. Contoso.com contém doiscontroladores de domínio. Os controladores de domínio são configurados como mostrado na tabela aseguir.------------------------------------------------------------------------------------------------------------------------------------- Server Server IP Address Server site-------------------------------------------------------------------------------------------------------------------------------------DC1 10.1.1.1/16 Default-First-Site-Name

DC2 10.1.1.2/16 Default-First-Site-Name-------------------------------------------------------------------------------------------------------------------------------------Todos os computadores clientes têm endereços IP no 10.1.2.1 a 10.1.2.240Você precisa minimizar o número de pedidos de autenticação de cliente enviar para o DC2.O que você deve fazer?

A. Criar um novo site chamado Site1. Criar um objeto de sub-rede novo que tem o prefixo 10.1.1.0/24 eatribuir a sub-rede para Site1. Mova DC1 para Site1.

B. Criar um novo site chamado Site1. Criar um objeto de sub-rede novo que tem o prefixo 10.1.1.1/32 eatribuir a sub-rede para Site1. Mova DC1 para Site1.

C. Criar um novo site chamado Site1. Criar um objeto de sub-rede novo que tem o prefixo 10.1.1.2/32 eatribuir a sub-rede para Site1. Mova DC2 para Site1.

D. Criar um novo site chamado Site1. Criar um objeto de sub-rede novo que tem o prefixo 10.1.2.0/24 eatribuir a sub-rede para Site1. Mova DC2 para Site1.

Answer: CSection: AD Sites & Services

Explanation/Reference:This effectively isolates DC2 in its own site as far as Sites, Subnets, and Clients are concerned.

QUESTION 15A rede contém uma floresta do Active Directory. A floresta contém dois domínios chamados contoso.com eeu.contoso.com. Todos os controladores de domínio são servidores DNS. Os controladores de domínio emcontoso.com hospedar a região para contoso.com. Os controladores de domínio em eu.contoso.comhospedar a região para eu.contoso.com

A zona de DNS para contoso.com está configurado como mostra a exposição. (Clique no botão Exibir.)

Você precisa se certificar que todos os controladores de domínio na floresta hospedar uma cópia gravável_msdsc.contoso.com

Quais duas ações você deve executar? (Cada resposta correta apresenta parte da solução. Escolha dois.)

Exhibit:

A. Criar um registro de delegação de zona em zona contoso.com

B. Criar um registro de delegação de zona em zona eu.contoso.com

C. Crie uma zona integrada ao Active Directory para _msdsc.contoso.com

D. Crie uma zona secundária chamado _msdsc.contoso.com em eu.contoso.com

Answer: ACSection: Configuring AD DNS


QUESTION 16Sua rede contém três floresta do Active Directory chamado Forest1, Forest2 e Forest3. Cada floresta

contém três domínios.

A confiança de floresta bidirecional existe entre Forest1 e Forest2. A confiança de floresta bidirecionalexiste entre Forest2 e Forest3.

Você precisará configurar a floresta para atender aos seguintes requisitos

Usuários em Forest3 deve ser capaz de acessar os recursos em Forest1.Usuários em Forest1 deve ser capaz de acessar os recursos em Forest3.O número de relações de confiança deve ser minimizado.


A. Em Forest2, modificar as configurações de roteamento de sufixos de nomes.

B. Em Forest1 e Forest3, configurar a autenticação seletiva.

C. Em Forest1 e Forest3, modificar as configurações de roteamento de sufixos de nomes.

D. Criar uma confiança de floresta bidirecional entre Forest1 e Forest3.

E. Criar uma relação de confiança de atalho em Forest1 e uma confiança de atalho em Forest3.

Answer: DSection: Configuring Domains and Trusts

Explanation/Reference:Two Forest Trusts Between Three Windows Server 2003 Forests

In this example, a two-way transitive forest trust exists between the forest root domains in Forest 1 andForest 2, and another two-way transitive forest trust exists between the forest root domains in Forest 3 andForest 2. This configuration allows:

Users in Forest 2 to access resources in any domain in either Forest 1 or Forest 3

Users in Forest 3 to access resources in any domain in Forest 2

Users in Forest 1 to access resources in any domain in Forest 2

This configuration does not allow users in Forest 1 to access resources in Forest 3 or vice versa. To allowusers in both Forest 1 and Forest 3 to share resources, a two-way transitive trust must be created betweenthe two forests.


QUESTION 17A rede contém uma floresta do Active Directory. A floresta contém dois controladores de domínio. Oscontroladores de domínio são configurados como mostrado na tabela seguinte.

Server name Server configuration-------------------------------------------------------------------------------------------------- Global catalog serverDC1 Schema master Domain naming master

-------------------------------------------------------------------------------------------------- Primary domain controller (PDC) emulatorDC2 RID master Infrastructure master--------------------------------------------------------------------------------------------------

Todos os computadores clientes executam o Windows 7.

Você precisa se certificar que todos os computadores cliente no domínio manter o mesmo tempo que umservidor de horário externo.


A. De DC1, execute o comando time.

B. De DC2, execute o comando time.

C. De DC1, execute o comando W32tm.exe.

D. De DC2, execute o comando W32tm.exe.


Explanation/Reference:This has to be run on PDC emulator.

Most domain member computers have a time client type of NT5DS, which means thatthey synchronize time from the domain hierarchy. The only typical exception to this is thedomain controller that functions as the primary domain controller (PDC) emulatoroperations master of the forest root domain, which is usually configured to synchronizetime with an external time source.

QUESTION 18Sua rede contém um domínio único diretório ativo chamado contoso.com.

Um administrador acidentalmente exclui da zona _msdsc.contoso.com.

Você recriar a zona _msdsc.contoso.com.

Você precisa garantir que a zona _msdsc.contoso.com contém todos os registros necessários DNS.

O que você deve fazer em cada controlador de domínio?

A. Reinicie o serviço Netlogon.

B. Reinicie o serviço do servidor DNS.

C. Executar dcdiag.exe /fix.

D. Executar ipconfig.exe /registerdns.



QUESTION 19Active Directory Rights Management Services (AD RMS) for implantado em sua rede.

Você precisa configurar o AD RMS para usar a autenticação Kerberos.

Quais duas ações você deve executar? (Cada resposta correta representa parte da solução. Escolha dois.)

A. Registrar um nome principal de serviço (SPN) para AD RMS.

B. Secretário hum nomo diretor de Serviço (SPN) n º AD RMS.

C. Configure a definição da identidade do pool de aplicativos _DRMSAppPool1.

D. Configure o atributo useAppPoolCredentials no Internet Information Services (IIS) da metabase.

Answer: ADSection: Configuring AD Rights Mgmt Services

Explanation/Reference:Enable support for Kerberos authentication

Applies To: Windows Server 2008 R2If you plan to use Active Directory Rights Management Services (AD RMS) with Kerberos authentication,you must take additional steps to configure the server running AD RMS after installing the AD RMS serverrole and provisioning the server. Specifically, you must perform these procedures:

Set the Internet Information Services (IIS) useAppPoolCredentials variable to True

Set the Service Principal Names (SPN) value for the AD RMS service account


QUESTION 20A rede contém uma floresta do Active Directory. A floresta contém um site Diretório acitve para umescritório remoto. O site remoto contém um controlador de domínio somente leitura (RODC).

Você precisará configurar o RODC para armazenar somente a senha de usuários no site remoto.


A. Criar um senha Configurações objeto (PSO).

B. Modifique o atributo parcial-Attribute Set-da floresta.

C. Adicione as contas de usuários dos usuários do site remoto para o Grupo de Replicação de SenhaRODC Permitido.

D. Adicione as contas de usuários de usuários que não estão no site remoto para o grupo de replicaçãonegado RODC Password.


Explanation/Reference:When you initially deploy an RODC, you must configure the Password Replication Policy on the writabledomain controller that will be its replication partner.

The Password Replication Policy acts as an access control list (ACL). It determines if an RODC should bepermitted to cache a password. After the RODC receives an authenticated user or computer logon request,it refers to the Password Replication Policy to determine if the password for the account should be cached.The same account can then perform subsequent logons more efficiently.

The Password Replication Policy lists the accounts that are permitted to be cached, and accounts that areexplicitly denied from being cached. The list of user and computer accounts that are permitted to be cacheddoes not imply that the RODC has necessarily cached the passwords for those accounts. An administratorcan, for example, specify in advance any accounts that an RODC will cache. This way, the RODC canauthenticate those accounts, even if the WAN link to the hub site is offline.

QUESTION 21Sua rede contém um domínio do Active Directory. Todo o controlador de domínio executar o WindowsServer 2003.

Você substitui todos os controladores de domínio com controladores de domínio que executam o WindowsServer 2008 R2.

Você elevar o nível funcional do domínio para o Windows Server 2008 R2.

Você precisa minimizar a quantidade de tráfego de replicação SYSVOL na rede.


A. Elevar o nível funcional da floresta para o Windows Server 2008 R2.

B. Modificar o caminho da pasta SYSVOL em todos os controladores de domínio.

C. Em um servidor de catálogo global, execute Repadmin.exe e especificar o parâmetro KCC.

D. No controlador de domínio que contém o controlador de domínio primário (PDC) emulador FSMO,executar dfsrmig.exe.


Explanation/Reference:Reason: Windows Server 2008 includes a command line tool called dfsrmig.exe which can be used byadministrators to control the process of migrating replication of the SYSVOL share from FRS to the DFSReplication service.

Windows Server 2008 ships a command line tool called ‘dfsrmig.exe’ which can be used by an administratorto initiate migration of SYSVOL replication from FRS to the DFS Replication service. This tool essentiallysets migration related directives in Active Directory. Thereafter, on each of the domain controllers in thedomain, when the DFS Replication service running polls Active Directory for configuration information, itnotices this migration directive and takes steps to migrate replication of SYSVOL to the DFS Replicationservice. The following section explains the various migration states that are possible during this migrationprocess in more detail.Thus migration directives are set only once (globally) and all domain controllers in the domain notice thisdirective and automatically take steps to attain the selected migration state, thus resulting in migration ofSYSVOL replication from FRS to the DFS Replication service.

http://blogs.technet.com/b/filecab/archive/2008/02/08/sysvol-migration-series-part-1-introduction-to-the-sysvol-migration-process.aspx

Exam M

QUESTION 1Sua rede contém duas florestas do Active Directory chamado contoso.com e nwtraders.com. Direitos doActive Directory Gerências Serviços (AD RMS) é implantado em cada floresta.Você precisa garantir que os usuários da floresta nwtraders.com pode acessar o conteúdo protegido ADRMS na floresta contoso.comO que você deve fazer?

A. Criar uma relação de confiança externa de contoso.com para nwtraders.com.

B. Criar uma relação de confiança externa de nwtraders.com para contoso.com

C. Adicionar um domínio de usuário confiável para o cluster AD RMS no domínio contoso.com

D. Adicionar um domínio de usuário confiável para o cluster AD RMS no domínio nwtraders.com.


Explanation/Reference:Trusted User Domain

Applies To: Windows Server 2008, Windows Server 2008 R2By default, Active Directory Rights Management Services does not service requests from users whoseRACs were issued by a different AD RMS cluster. However, you can add AD RMS domains to a list oftrusted user domains in an AD RMS cluster. This allows Active Directory Rights Management Services toprocess such requests.

A trusted user domain, often referred as a TUD, is a trust between AD RMS clusters that instructs alicensing server to accept rights account certificates (the certificates identifying users) from another ADRMS server in a different Active Directory forest. An AD RMS trust is not the same as an Active Directorytrust, but it is similar in that it refers to the ability of one environment to accept identities from anotherenvironment as valid subjects.

As a TUD is a trust between AD RMS infrastructures, it requires that each forest (whether in the samecompany or in different companies) has its own AD RMS infrastructure.

Using trusted user domains, AD RMS can process requests for use licenses from users whose rightsaccount certificates were issued by an AD RMS installation in a different Active Directory forest; in otherwords, from a different certification cluster. Trusted user domains are added by importing the server licensorcertificate, of the AD RMS installation to trust, to the trusting AD RMS installation.


QUESTION 2Você precisa limpar a lista de contas de usuário que foram autenticadas em um controlador de domíniosomente leitura (RODC)O que você deve fazer?

A. De Active Directory Users and Computers, modificar as propriedades do objeto de computador doRODC

B. Execute o comando Repadmin.exe uma especificar o parâmetro /prp

C. Execute o comando dsrm.exe e especificar o parâmetro -u

D. A partir do Active Directory Sites e serviços do, modificar as propriedades do objeto de computador doRODC


Explanation/Reference:repadmin /prp

You can use this command to view or modify the PRP for an RODC. The PRP determines which accountpasswords are allowed to be cached on an RODC and which account are denied from being cached.

http://technet.microsoft.com/en-us/library/administer-prp-for-rodc-with-repadmin.exe%28WS.10%29.aspx#BKMK_PRP

To clear the authenticated accounts list

Open an elevated Command Prompt window using the credentials of a Domain Admin. To do this, click Start . In Start Search , type runas /user:<domainName>\<domainAdminAccountUser> c md, andthen press ENTER. Replace <domainName> with the domain name, and replace <domainAdminUser>with the name of a user account that is a member of the Domain Admins group in that domain.

To clear all entries from the list, run the command repadmin /prp delete <hostname> auth2 /all. Substitute the actual host name of the RODC that you want to clear. For example, if you want to clear thelist of authenticated accounts for RODC2, type repadmin /prp delete rodc2 auth2 /all , and thenpress ENTER.

http://technet.microsoft.com/en-us/library/rodc-guidance-for-administering-the-password-replication-policy(v=WS.10).aspx


Você precisa fazer backup de todos os objetos de Diretiva de Grupo (GPOs) permissões de Diretiva deGrupo, e links de Diretiva de Grupo para o domínio.


A. A partir do Windows PowerShell, execute o cmdlet Backup-GPO.

B. De Backup do Windows Server, execute um backup de estado do sistema

C. A partir do Windows Explorer, copiar o conteúdo do %systemroot% \SYSVOL.

D. De Group Policy Management Console (GPMC), faça backup do GPOs


Explanation/Reference:http://technet.microsoft.com/en-us/library/ee461052.aspx

Detailed DescriptionThe Backup-GPO cmdlet backs up a specified GPO or all the GPOs in a domain to a backup directory

http://www.petri.co.il/backing-up-group-policy-objects.htmYou can also choose answer D, but in the answer it does not state "Back Up All" from Group Policy Objects!

QUESTION 4A rede contém uma floresta do Active Directory. A floresta contém um domínio. O domínio contém doiscontroladores de domínio chamado DC1 e DC2 que executam o Windows Server 2008 R2.DC1 DC2 foi instalado antes.

DC1 não

Você precisa se certificar que você pode adicionar 1.000 novas contas de usuário para o domínio.


A. Aproveite o mestre de esquema função FSMO.

B. Configurar DC2 como um servidor de catálogo global.

C. Aproveite o RID master FSMO papel

D. Modificar as permissões da conta do computador DC2


Explanation/Reference:RID masterThe RID master allocates sequences of relative IDs (RIDs) to each of the various domain controllers in itsdomain. At any time, there can be only one domain controller acting as the RID master in each domain inthe forest.Whenever a domain controller creates a user, group, or computer object, it assigns the object a uniquesecurity ID (SID). The SID consists of a domain SID, which is the same for all SIDs created in the domain,and a RID, which is unique for each SID created in the domain.To move an object between domains (using Movetree.exe), you must initiate the move on the domaincontroller acting as the RID master of the domain that currently contains the object.


QUESTION 5

Sua rede contém um domínio do Active Directory chamado contoso.com. Contoso.com contém dois locaisnomeados Site1 e Site2. Site1 contém um controlador de domínio chamado DC1.

Em Site1, você instalar um novo controlador de domínio chamado DC2. Você enviar DC2 para Site2.

Você descobre que determinados usuários em Site2 autenticar DC1.

Você precisa garantir que os usuários em Site2 sempre attemp para authentcate para DC2 primeiro.


A. De Sites do Active dirctory e Serviços, mova o objeto de servidor DC2.

B. De Active Directory Users and Computers, modificar as configurações de localização do objeto decomputador DC2.

C. De Active Directory Sites e Serviços, modifique o atributo Location para Site2.

D. De Active Directory Usuários e Computadores, mova o objeto de computador DC2.


Explanation/Reference:Servers (especially DCs) need to be in the correct site to accomplish this goal.

QUESTION 6Sua empresa tem um escritório central e quatro filiais.

Um site do Active Directory existe para cada escritório. Cada site contém um controlador de domínio. Cadasite de filial tem um link de site para o site do escritório principal.

Você descobre que os controladores de domínio nas filiais, por vezes, replicam diretamente uns aos outros.

Você precisa assegurar que os controladores de domínio nas filiais apenas se replicar para o controladorde domínio no escritório principal.


A. Desabilite o Knowledge Consistency Checker (KCC) para cada site de filial.

B. Modificar as configurações de firewall para o site do escritório principal

C. Modificar as configurações de segurança para o site do escritório principal

D. Desabilitar link do site de transição


Explanation/Reference:Controlling replication failoverIf your organization has a hub-and-spoke network topology, you generally do not want the satellite sites tocreate replication connections to other satellite sites if all domain controllers in the hub site fail. In suchscenarios, you must disable Bridge all site links and create site link bridges so that replication connectionsare created between the satellite site and another hub site that is just one or two hops away from thesatellite site.


QUESTION 7Sua rede contém um domínio único diretório Active. Os computadores clientes executam o Windows XPService Pack 3 (SPP ·) ou Windows 7. Todas as contas de computador para os computadores clientesestão localizados em uma unidade organizacional (OU) chamado OU1.

Você ligar um novo objeto de Diretiva de Grupo (GPO) chamado GPO10 para OU1.

Você precisa se certificar que GPO10 é aplicada apenas aos computadores clientes que executam oWindows 7.


A. Habilitar herança bloco em OU1.

B. Criar uma nova OU em OU1. Mova as contas do Windows Xp computador para a nova OU

C. Modificar as permissões de OU1.

D. riar um filtro WMI e atribuir o filtro para GPO10

Answer: DSection: Configuring Group Policy

Explanation/Reference:Creating WMI and Group Filters

Applies To: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

When the network includes client computers that run a variety of Windows operating systems, twocomputers in the same OU might require different settings to achieve the same configuration. For example,a computer that is running Windows XP might require a different setting than a computer that is runningWindows 7 or Windows Vista. Two GPOs would be required in that case, one to apply to computers that arerunning Windows XP, and one to apply to computers that are running the later versions of Windows.

There are also times when you cannot rearrange the computers in your AD OU hierarchy to let you link aGPO to OUs that contain only the computers to which you want the GPO to apply. So Group Policy alsosupports using access control lists (ACLs) to prevent the GPO from applying to any computer or useraccount that is not granted permissions to the GPO.

There are two frequently used techniques used to make sure that GPOs only apply to the correctcomputers:

Add a Windows Management Instrumentation (WMI) filt er to the GPO . A WMI filter enables you tospecify criteria that must be matched before the linked GPO is applied to a computer. By letting you filterthe computers to which the GPO applies, this reduces the need to further subdivide your OUs in ActiveDirectory. This technique is dynamic, in that the filter is evaluated when the computer attempts to applythe policy. So if you are filtering based on the version of Windows then upgrading the computer fromWindows XP to Windows 7 requires no changes to your GPO, because the filter will automaticallyrecognize the change and filter the computer’s access to the GPO accordingly.

Grant or deny the Apply Policy security permission in the ACL for the GPO. If you put your computers insecurity groups, you can then grant the Apply Policy permission to only the groups that should use theGPO.


QUESTION 8A rede contém uma floresta do Active Directory. Todos os computadores clientes executam o Windows 7.

A rede contém um alto volume de autoridade de certificação (CA).

Você precisa minimizar a quantidade de largura de banda de rede necessária para validar um certificado.


A. Configurar uma Certificação Online Status Protocol (OSCP) responder

B. Configurar um ponto de publicação LDAP para a lista de certificados revogados (CRL).

C. Replicar a lista de certificados revogados (CRL) usando o sistema de arquivos distribuídos (DFS)

D. Modificar as configurações da lista de revogação de certificado delta (CRL)

Answer: ASection: Configuring AD LDS

Explanation/Reference:CRLs

A CRL is a file, created and signed by a CA, that contains serial numbers of certificates that have beenissued by that CA and are revoked. In addition to the serial number for the revoked certificates, the CRLalso contains the revocation reason for each certificate and the time the certificate was revoked.Currently, two types of CRLs exist: base CRLs and delta CRLs. Base CRLs maintain a complete list ofrevoked certificates while delta CRLs maintain only those certificates that have been revoked since the lastpublication of a base CRL.The major drawback of CRLs is their potentially large size, which limits the scalability of the CRL approach. The large size adds significant bandwidth and stora ge burdens to the CA and relying party, andtherefore limits the ability of the system to distr ibute the CRL. Bandwidth, storage space, and CAprocessing capacity can also be negatively affected if the publishing frequency gets too high .Numerous attempts have been made to solve the CRL size issue through the introduction of partitionedCRLs, delta CRLs, and indirect CRLs. All these approaches have added complexity and cost to the systemwithout providing an ideal solution to the underlying problem. Another drawback of CRLs is latency; because the CRL publishing period is predefined, information in theCRL might be out of date until a new CRL or delta CRL is published.

OCSP

OCSP is a Hypertext Transfer Protocol (HTTP) that allows a relying party to submit a certificate statusrequest to an OCSP responder. This returns a definitive, digitally signed response indicating the certificatestatus. The amount of data retrieved per request is consta nt regardless of the number of revokedcertificates in the CA . Most OCSP responders get their data from published CRLs and are therefore relianton the publishing frequency of the CA. Some OCSP responders can, however, receive data directly from theCA's certificate status database and consequently provide near real-time status. Scalability is the major drawback of the OCSP approach. Since it is an online process and is designed torespond to single certificate status requests, it results in more server hits, requiring multiple and sometimesgeographically dispersed servers to balance the load. The response signing and signature verificationprocesses also take time, which can adversely affect the overall response time at the relying party. Finally,since the integrity of the signed response depends on the integrity of the OCSP responder's signing key, thevalidity of this key must also be verified after a response is validated by the client.


QUESTION 9Sua rede contém um domínio do Active Directory chamado contoso.com. Contoso.com contém um servidormembro que executa o Windows Server 2008 R2 Standard.

Você precisa criar uma empresa subordinada autoridade de certificação (CA) que pode emitir certificadoscom base em modelos de certificado da versão 3.Você deve atingir este objetivo, usando a quantidade mínima de esforço administrativo.


A. Atualize o servidor membro para o Windows Server 2008 R2 Enterprise.

B. Separar o servidor membro do domínio.

C. Executar certutil.exe -addenrollmentserver.

D. Instalar os Serviços de Certificado do Active Directory papel (AD CS) no servidor membro.


Explanation/Reference:It appears there is a problem with this question. If the server was running 2008 (not R2) the answerwould be correct.

Version 3 certificate templatesIn addition to version 2 template features and autoenrollment, version 3 certificate templates providesupport for Suite B cryptographic algorithms. Suite B was created by the U.S. National Security Agency tospecify cryptographic algorithms that must be used by U.S. government agencies to secure confidentialinformation.Template availability

Windows Server 2008 R2, all editions

Windows Server 2008, Enterprise and Datacenter editions

QUESTION 10Sua rede contém um domínio do Active Directory. Você criar e montar um instantâneo do Active Directory.Você execute o seguinte comando no controlador de domínio:Dsamain.exe dbpath C: \ Windows \ NTDS \ ntds.dit ldapport 54321-allowNonAdminAccesseo comando falhar, como mostrado na exposição. (Clique no botão Anexo).Você precisa se certificar que você pode navegar pelo conteúdo de instantâneo do Active Directory. O quevocê deve fazer?

Exhibit:

A. Altere o valor do parâmetro ldapport e execute novamente o Dsamain.exe.

B. Pare de Active Directory Domain Services (AD DS), e execute novamente o Dsamain.exe.

C. Reinicie o Volume Shadow Copy Service (VSS), e execute novamente o Dsamain.exe.

D. Altere o valor do parâmetro dbpath e execute novamente o Dsamain.exe.


Explanation/Reference:NOTE: THE COMPLETE COMMAND THAT YOU WILL SEE IN THE EXHIBIT (in the exam) IS :

dsamain.exe -dbpath C:\Windows\NTDS\ntds.dit -ldapport 54321 -allowNonAdminAccess

Now Take a look :To create a snapshot of the Active Directory database: ** Ntdsutil snapshot **

Command to mount (make active) a database snapshot. You can mount multiple snapshots. ** Ntdsutil mount **

Run the ** Dsamain.exe ** command to expose a snapshot as an LDAP server. This step allows you to connect toand view the snapshot. With *Dsamain.exe *, you specify the path to the snapshot , along with a port number that will be used toconnect to the snapshot. But in the EXHIBIT , the path is the real Active Directory database path , notthe snapshot path .

Finally ,,Run the ** Ldp ** tool or Active Directory Users and Computers using the specified port to view the snapshot data.

QUESTION 11Sua rede contém um domínio do Active Directory chamado contoso.com.Você precisa auditar alterações em uma conta de serviço.Que definição de política de segurança que você deve configurar?

A. Auditar uso de privilégios Sensitive.

B. Auditoria Alterações serviço de diretório.

C. Auditoria de Gestão de Conta de Usuário.

D. Auditar Eventos de gerenciamento de contas.


Explanation/Reference:Audit User Account ManagementThis security policy setting determines whether the operating system generates audit events when thefollowing user account management tasks are performed: * A user account is created, changed, deleted, renamed, disabled, enabled, locked out, or unlocked. * A user account password is set or changed. * Security identifier (SID) history is added to a user account. * The Directory Services Restore Mode password is set. * Permissions on accounts that are members of administrators groups are changed. * Credential Manager credentials are backed up or restored.This policy setting is essential for tracking events that involve provisioning and managing user accounts.


QUESTION 12Sua rede contém um domínio do Active Directory chamado contoso.com.Os exclui Adminisrator uma OU chamada OU1 acidentalmente.Você precisa restaurar OU1. Qual cmdlet que você deve usar?

A. Set-ADObject cmdlet

B. Set-ADOrganizationalUnit cmdlet

C. Set-ADUser cmdlet

D. Set-ADGroup cmdlet


Explanation/Reference:Set-ADObjectModifies an Active Directory object.http://technet.microsoft.com/en-us/library/ee617254.aspx

Restore-ADObjectRestores an Active Directory object.http://technet.microsoft.com/en-us/library/ee617262.aspx

But you can use Get_ADObject with Restore-ADObject!Get-ADObject -Filter 'samaccountname -eq "kimabercrombie"' -IncludeDeletedObjects | Restore-ADObject

QUESTION 13Sua rede contém um domínio do Active Directory. Você tem cinco unidades organizacionais (UOs)nomeados Finanças, RH, Marketing, Vendas e dev.

Você vincular um objeto Group Policy chamado GPO1 ao domínio, como mostrado na exposição.Você precisa se certificar que GPO1 é aplicada a usuários em Finanças, RH, Marketing e Vendas UOs.

A solução deve evitar GPO1 de ser aplicada aos usuários na OU Dev. O que você deve fazer?

Exhibit:

A. Fazer a ligação GPO1 à ou Finanças.

B. Modificar as configurações de segurança do OU Finanças.

C. Enforce GPO1.

D. Modificar as configurações de segurança da OU Dev



the idea here is that the ! icon on the Finance OU is letting us know that inheritance of GPO1 is blocked. You would need to either remove the block (which makes more sense than the answer in this question) orestablish a specific link to the policy to accomplish the goal of the question.

Let’s tackle “Block Inheritance” first. We’ve seen that, from a directory tree perspective,down the tree to the target objects, all GPOs are applied and settings configured thereare cumulated – where settings contradict, the last writers win. There may be situationsyou don’t want that. That’s what “Block Inheritance” is for. For example, we don’t wantthe IT-OU apply domain-level GPOs. We go right-click the “IT”-OU in GPMC and choose“Block Inheritance” from the context menu. Voilá! You see a blue exclamation mark onthe OU icon. From now on, IT objects won’t be bugged with domain-level GPOs. GPOsfrom levels higher than IT-OU will simply be ignored. Even GPOs from the same level,such as OULevel2-GPO, will. We’ve cut up-level administrators off.

http://blogs.technet.com/b/grouppolicy/archive/2010/01/07/tales-from-the-community-enforced-vs-block-inheritance.aspx

Exam N

QUESTION 1Sua rede contém um domínio do Active Directory. Todos os servidores DNS são controladores de domínio.Você ver as propriedades da zona DNS, como mostrado na exposição. (Clique no botão Exibir .)

Você precisa garantir que os membros do domínio só pode registrar registros de DNS na zona. O que vocêdeve fazer primeiro?

Exhibit:

A. Modificar o tipo de zona.

B. Criar uma âncora de confiança.

C. Modificar as propriedades avançadas do servidor DNS.

D. Modificar a configuração atualizações dinâmicas.

Answer: ASection: Cooper Exam D

Explanation/Reference:Secure dynamic updatesFor Windows Server 2008, DNS update security is available only for zones tha t are integrated intoActive Directory . After you integrate a zone, you can use the access control list (ACL) editing features thatare available in the DNS snap-in to add or to remove users or groups from the ACL for a specific zone or fora resource record.By default, dynamic update security for Windows Server 2008–based DNS servers and clients is handled inthe following manner:

1. Windows Server 2008–based DNS clients try to use nonsecure dynamic updates first. If thenonsecure update is refused, clients try to use a secure update.

Also, clients use a default update policy that lets them to try to overwrite a previously registered resourcerecord, unless they are specifically blocked by update security.

2. By default, after a zone becomes Active Directory-integrated, Windows Server 2008–based DNSservers enable only secure dynamic updates.

By default, when you use standard zone storage, the DNS Server service does not enable dynamicupdates on its zones. For zones that are either directory-integrated or use standard file-based storage,you can change the zone to enable all dynamic updates. This enables all updates to be accepted bypassing the use of secure updates.

QUESTION 2Sua empresa tem uma floresta único diretório ativo com um único domínio. Consultores em diferentesdepartamentos da empresa precisam de acesso a recursos de rede diferentes. Os consultores pertencema um grupo global chamado TempWorkers. Três servidores de arquivos são colocados em uma novaunidade organizacional chamada SecureServers. Os servidores de arquivos contêm dados confidenciaisem pastas compartilhadas. Você precisa impedir que os consultores de acessar os dados confidenciais.


A. Criar um objeto de Diretiva de Grupo (GPO) e vinculá-lo à unidade SecureServers organizacional.Atribuir Negar acesso a este computador do usuário de rede direito ao grupo TempWorkers global.

B. Criar um objeto de Diretiva de Grupo (GPO) e vinculá-lo ao domínio. Atribuir Negar acesso a estecomputador do usuário de rede direito ao grupo TempWorkers global.

C. Nas três servidores de arquivos, crie um compartilhamento na raiz de cada disco rígido. Configurar apermissão Negar Controle total para o grupo TempWorkers global sobre o compartilhamento.

D. Criar um objeto de Diretiva de Grupo (GPO) e vinculá-lo ao domínio. Atribuir o Negar logon local direitode usuário para o grupo TempWorkers global.

E. Criar um objeto de Diretiva de Grupo (GPO) e vinculá-lo à unidade SecureServers organizacional.Atribuir o Negar logon local direito de usuário para o grupo TempWorkers global.


Explanation/Reference:You would want to do this at the OU level using a GPO rather than at the domain level.

QUESTION 3Sua rede contém duas florestas do Active Directory chamado contoso.com e nwtraders.com. O nívelfuncional de ambas as florestas é o Windows Server 2003. Contoso.com contém um domínio. Nwtraders.com contém dois domínios. Você precisa garantir que os usuários em contoso.com pode acessar osrecursos em todos os domínios. A solução deve exigir o número mínimo de relações de confiança.

Que tipo de confiança que você deve criar?

A. external

B. floresta

C. realm

D. shortcut

Answer: BSection: Cooper Exam D

Explanation/Reference:Explanation:

Well the right answer for this question is B.

A is wrong because need to create a trust where contoso.com domain users can access all the resourcesand External trust doesn't provide transitivity.

C is wrong because we donot have to establish trust between any non-Windows Kerberos V5 realm and aWindows Server 2008 domain.

D is wrong because shortcut trust are used within a forest to speed up inter-domain authentication.

Trust TypesYou can use the New Trust Wizard or the Netdom command-line tool to create four types of trusts: externaltrusts, realm trusts, forest trusts, and shortcut trusts. The following table describes these trust types.

Trusttype Transitivity

Direction Description

External

NontransitiveOne-wayor two-way

Use external trusts to provide access to resources that are located on aWindows NT 4.0 domain or a domain that is located in a separate forest thatis not joined by a forest trust. For more information, see UnderstandingWhen to Create an External Trust.

Realm

Transitive ornontransitive

One-wayor two-way

Use realm trusts to form a trust relationship between a non-WindowsKerberos realm and a Windows Server 2008 or a Windows Server 2008 R2domain. For more information, see Understanding When to Create a RealmTrust.

Forest Transitive

One-wayor two-way

Use forest trusts to share resources between forests. If a forest trust is atwo-way trust, authentication requests that are made in either forest canreach the other forest. For more information, see Understanding When toCreate a Forest Trust.

Shortcut

Transitive One-wayor two-way

Use shortcut trusts to improve user logon times between two domains withina Windows Server 2008 or a Windows Server 2008 R2 forest. This is usefulwhen two domains are separated by two domain trees. For moreinformation, see Understanding When to Create a Shortcut Trust.

When you create external trusts, shortcut trusts, realm trusts, or forest trusts, you have the option to createeach side of the trust separately or both sides of a trust simultaneously.

If you choose to create each side of the trust separately, you must run the New Trust Wizard twice—oncefor each domain. When you create trusts using the method, you must supply the same trust password foreach domain. As a security best practice, all trust passwords should be strong passwords. For moreinformation, see Strong passwords (http://go.microsoft.com/fwlink/?LinkId=92697).

If you choose to create both sides of the trust simultaneously, you run the New Trust Wizard once. Whenyou choose this option, a strong trust password is automatically generated for you. You must have theappropriate administrative credentials for the domains between which you are creating the trust.


QUESTION 4Você instala um domínio do Active Directory em um ambiente de teste.Você precisa redefinir as senhas de todas as contas de usuário no domínio de um controlador de domínio.

Quais os dois comandos do Windows PowerShell que você deve correr? (Cada resposta corretarepresenta parte da solução, escolha dois.)

A. $ newPassword = *

B. Import-Module ActiveDirectory

C. Import-Module WebAdministration

D. Get- AdUser -filter * | Set- ADAccountPassword - NewPassword $ newPassword - Reset

E. Set- ADAccountPossword - NewPassword - Reset

F. $ newPassword = (Read-Host - Prompt "New Password" - AsSecureString )

G. Import-Module ServerManager

Answer: DFSection: Cooper Exam D


QUESTION 5Sua rede contém duas florestas nomeados adatum.com e litwareinc.com. O nível funcional de todos osdomínios é o Windows Server 2003. O nível funcional de ambas as florestas é o Windows 2000.

Você precisa criar uma confiança de floresta entre adatum.com e litwareinc.com.


A. Criar uma relação de confiança externa.

B. Elevar o nível funcional de ambas as florestas.

C. Configurar a filtragem SID.

D. Elevar o nível funcional de todos os domínios.


Explanation/Reference:Explanation: Forest trusts can be established when the forest and domain functional levels are set toWindows 2003.

QUESTION 6A rede contém uma floresta do Active Directory chamado adatum.com.Todos os computadores clientes usados pelo departamento de marketing estão em uma unidadeorganizacional (OU) chamado Computadores Marketing. Todas as contas de usuário para o departamentode marketing estão em uma OU chamada usuários de Marketing.

Você compra um novo pedido.

Você precisa se certificar que todos os usuários no domínio que faz logon em um computadordepartamento de marketing pode usar o aplicativo. O aplicativo deve estar disponível apenas a partir doscomputadores do departamento de marketing.


A. Criar e vincular um objeto Group Policy (GPO) para a unidade organizacional Usuários Marketing. Copieo pacote de instalação para uma pasta compartilhada na rede. Atribuir a aplicação.

B. Criar e vincular um objeto Group Policy (GPO) para a OU Computadores Marketing. Copie o pacote deinstalação para uma pasta compartilhada na rede. Atribuir a aplicação.

C. Criar e vincular um objeto Group Policy (GPO) para a OU Computadores Marketing. Copie o pacote deinstalação para uma unidade local em cada computador departamento de marketing. Publicar oaplicativo.

D. Criar e vincular um objeto Group Policy (GPO) para a unidade organizacional Usuários Marketing. Copieo pacote de instalação para uma pasta em cada computador departamento de marketing. Publicar oaplicativo.


Explanation/Reference:Explanation: Has to be done with a GPO assigned to the Marketing Computers. The GPO must point to a

shared location where the users/computers have permissions.

QUESTION 7A rede contém uma floresta do Active Directory chamado adatum.com.

Você precisa criar um Active Directory Rights Management Services (AD RMS) licenciamento somentecluster.

O que você deve instalar antes de criar o cluster raiz do AD RMS?

A. O recurso de cluster de failover

B. Os Serviços de Certificados do Active Directory papel (AD CS)

C. Microsoft Exchange Server 2010

D. Microsoft SharePoint Server 2010

E. Microsoft SQL Server 2008

Answer: ESection: Cooper Exam D

Explanation/Reference:Deploying an AD RMS Licensing-only Cluster in a Tes t EnvironmentWe recommend that you first use the steps provided in this guide in a test labenvironment. Step-by-step guides are not necessarily meant to be used to deployWindows Server features without additional deployment documentation and should beused with discretion as a stand-alone document.Upon completion of this step-by-step guide, you will have a working AD RMSinfrastructure with an AD RMS licensing-only cluster. You can then test and verify ADRMS functionality as follows:Restrict permissions on a Microsoft Office Word 2007 document

Have an authorized user open and work with the document.

Have an unauthorized user attempt to open and work with the document.

Licensing-only clusters are optional and are most often deployed to address specificlicensing requirements, such as supporting unique rights management requirements of adepartment. For instance, a group within your organization may require specific rightspolicy templates that no other department can access.The test environment described in this guide includes six computers connected to aprivate network and using the following operating systems, applications, and services:ComputerName

Operating System Applications and Services

ADRMS-SRV Windows Server® 2008

AD RMS, Internet Information Services (IIS)7.0, World Wide Web Publishing Service, andMessage Queuing

CPANDL-DC

Windows Server 2008 orWindows Server 2003 withService Pack 2 (SP2)

Active Directory Domain Services or ActiveDirectory®, Domain Name System (DNS)

ADRMS-DB

Windows Server 2003 with SP2Microsoft SQL Server® 2005 Standard Editionwith Service Pack 2 (SP2)

ADRMS-CLNT

Windows Vista® Microsoft Office Word 2007 Enterprise Edition

CPANDL-ADRMSLIC

Windows Server 2008AD RMS, Internet Information Services (IIS)7.0, World Wide Web Publishing Service, andMessage Queuing

CPANDL-LICDB

Windows Server 2003 with SP2Microsoft SQL Server® 2005 StandardEdition with Service Pack 2 (SP2)

QUESTION 8Sua rede contém um domínio do Active Directory chamado contoso.com. O domínio contoso.com contémum controlador de domínio chamado DC1.

Você cria um Active Directory-integrado zona GlobalNames. Você pode adicionar um registro de recurso dealias (CNAME) chamado Server1 para a zona. O host de destino do registro é server2.contoso.com.

Quando você executa ping Server1, você descobre que o nome não resolve. Você é capaz de executarping server2.contoso.com.

Você precisa se certificar que você pode resolver nomes usando a zona GlobalNames.


A. Dnscmd DCl.contoso.com /ZoneAdd GlobalNames /DsPrimary /DP /domain

B. Dnscmd DCl.contoso.com /config /Enableglobalnamessupport forest

C. DnscmdDCl.contoso.com/config/Enableglobalnamessupport 1

D. Dnscmd DCl.contoso.com /ZoneAdd GlobalNames /DsPrimary /DP /forest

Answer: CSection: Cooper Exam D

Explanation/Reference:Deploying a GlobalNames zoneThe specific steps for deploying a GlobalNames zone can vary somewhat, depending on the AD DStopology of your network.Step 1: Create the GlobalNames zoneThe first step in deploying a GlobalNames zone is to create the zone on a DNS server that is a domaincontroller running Windows Server 2008. The GlobalNames zone is not a special zone type; rather, it issimply an AD DS-integrated forward lookup zone that is called GlobalNames. For information about creatinga primary forward lookup zone, see Add a Forward Lookup Zone.Step 2: Enable GlobalNames zone supportThe GlobalNames zone is not available to provide name resolution until GlobalNames zone support isexplicitly enabled by using the following command on every authoritative DNS server in the forest: dnscmd <ServerName> /config /enableglobalnamessupport 1


A rede tem um site de filial que contém um controlador de domínio somente leitura (RODC) chamadoR0DC1. R0DC1 executa o Windows Server 2008 R2.

Um usuário faz logon em um computador no site de filial.

Você descobre que a senha do usuário não é armazenada em R0DC1.

Você precisa se certificar que a senha do usuário é armazenado no RODC1 quando ele fizer logon em umcomputador local filial.


A. Modificar a política do RODC s replicação de senha, removendo a entrada para o Grupo de Replicaçãode Senha RODC Permitido.

B. Modificar a política do RODC replicação de senha, adicionando R0DC1 conta de computador para alista de usuários permitidos, grupos e computadores.

C. Adicionar a conta do usuário do usuário para o built-in Grupo de Replicação de Senha RODC Permitidoem R0DC1.

D. Adicionar R0DC1 conta do computador para o built-in Grupo de Replicação de Senha RODC Permitidoem R0DC1.


Explanation/Reference:To cache a user password on the RODC server, the user must be on the Allowed list.

QUESTION 10Você implantar um Active Directory Federation Services (AD FS) Federação Proxy Service em um servidorchamado Server1.Você precisará configurar o Firewall do Windows no Server1 para permitir que usuários externos seautenticar usando o AD FS.

Qual o protocolo que você deve permitir que em Server1?

A. Kerberos

B. SSL

C. SMB

D. RPC


Explanation/Reference:Uses port 443

QUESTION 11Sua rede contém um domínio do Active Directory chamado contoso.com. Contoso.com contém um servidormembro que executa o Windows Server 2008 R2 Standard.

Você precisa criar uma empresa subordinada autoridade de certificação (CA) que pode emitir certificadoscom base em modelos de certificado da versão 3.

Você deve atingir este objetivo usando o mínimo de esforço administrativo.


A. Execute o certutil.exe comando -addenrollmentserver.

B. Instalar os Serviços de Certificado do Active Directory papel (AD CS) no servidor membro.

C. Atualize o servidor membro para o Windows Server 2008 R2 Enterprise.

D. Execute o certutil.exe comando -installdefaulttemplates.


Explanation/Reference:Duplicate: The server must run 2008 Enterprise or DataCenter or any 2008R2 version.

QUESTION 12Sua rede contém um servidor chamado Server1. O Active Directory Rights Management Services (ADRMS) função de servidor está instalado em Server1.Um administrador altera a senha da conta do usuário que é utilizado pelo AD RMS. Você precisa atualizar oAD RMS para usar a nova senha.


A. Active Directory Rights Management Services

B. Active Directory Users and Computers

C. Usuários e Grupos Locais

D. Serviços


Explanation/Reference:Duplicate

QUESTION 13Sua empresa, a Contoso, Ltd., tem uma sede e uma filial. Os escritórios estão conectados por um linkWAN. Contoso tem uma floresta do Active Directory que contém um único domínio chamado ad.contoso.com.

O domínio ad.contoso.com contém um controlador de domínio chamado DC1 que está localizado noescritório principal. DC1 é configurado como um servidor DNS para o DNS ad.contoso.com zona. Estazona é configurado como uma zona padrão primário.

Você instala um novo controlador de domínio chamado DC2 na filial. Você instalar o DNS no DC2.

Você precisa garantir que o serviço DNS pode atualizar os registros e resolver consultas DNS no caso deum link WAN falhar.


A. Criar uma nova zona secundária chamado ad.contoso.com em DC2.

B. Criar uma zona de stub novo nomeado ad.contoso.com em DC2.

C. Configurar o servidor DNS no DC2 para encaminhar solicitações para DC1.

D. Converter a zona ad.contoso.com em DC1 para uma zona integrada ao Active Directory.

Answer: DSection: Cooper Exam D

Explanation/Reference:Duplicate - if you want to update records in the branch office as well, this needs to be an AD-integratedzone.

QUESTION 14A rede contém uma autoridade de certificação (CA) que executa o Windows Server 2008 R2 Enterprise.

Você permitir o arquivamento de chaves da CA. A CA está configurado para usar modelos de certificados

personalizados para Encrypted File System (EFS) certificados.

Você precisa arquivar a chave privada para todos os novos certificados EFS.

Que pressão em você deve usar?

A. Active Directory Usuários e Computadores

B. Gerenciador de Autorização

C. Group Policy Management

D. Enterprise PKI

E. Security Templates

F. TPM Management

G. Certificados

H. Autoridade de Certificação

I. Modelos de Certificado

Answer: HSection: Cooper Exam D

Explanation/Reference:Enable Key Archival for a CA Applies To: Windows Server 2008 R2Before a key recovery agent can use a key recovery certificate, the key recovery agent must have enrolledfor the key recovery certificate and be registered as the recovery agent for the certification authority (CA).You must be a CA administrator to complete this procedure. For more information, see Implement Role-Based Administration.

To enable key archival for a CA 1. Open the Certification Authority snap-in.

QUESTION 15HOTSPOT

Sua rede contém um domínio do Active Directory chamado contoso.com.

Você precisa garantir que os endereços IP podem ser resolvidos para nomes de domínio totalmentequalificado (FQDN).

Em que nó no DNS snap-in que você deve adicionar uma zona?

Para responder, selecione o nó apropriado na área de resposta.

Answer:

Section: Cooper Exam D

Explanation/Reference:IP Address to FQDN resolution requires a Reverse Lookup Zone.

QUESTION 16HOTSPOT

A rede contém uma floresta do Active Directory.

A infra-estrutura DNS falha.

Você reconstruir a infra-estrutura de DNS.

Você precisa forçar o registro do Active Directory Service Locator (SRV) no DNS.

Qual serviço você deve reiniciar os controladores de domínio?

Para responder, selecione o serviço apropriado na área de resposta.

Answer:


Explanation/Reference:The Netlogon service would be involved with this.

QUESTION 17HOTSPOT

A rede contém uma floresta do Active Directory chamado contoso.com.

A política de senha da floresta requer que as senhas para todas as contas de usuários devem ser alteradasa cada 30 dias.

Você precisa criar contas de usuários que serão utilizados pelos serviços. As senhas para essas contasdevem ser alterada automaticamente a cada 30 dias.

Qual ferramenta que você deve usar para criar essas contas?

Para responder, selecionar a ferramenta adequada na área da resposta.

Answer:


Explanation/Reference:Creating a Managed Service Account

Applies To: Windows Server 2008 R2This topic explains how to use the Active Directory module for Windows PowerShell to create a managedservice account. Managed service accounts are used to run various services for applications that areoperating in your domain environment.Example 1The following example demonstrates how to create a service account, SQL-SRV1, in the containerManaged Service Accounts in the Fabrikam.com domain:New-ADServiceAccount -Name SQL-SRV1 -Path "CN=Manag ed Service Accounts,DC=FABRIKAM,DC=COM"

QUESTION 18HOTSPOT

Você precisa modificar a Diretiva de Replicação de Senha de um controlador de domínio somente leitura

(RODC).


Para responder, selecionar a ferramenta adequada na área da resposta.

Answer:


Explanation/Reference:To view the PRP using Active Directory Users and Co mputersOpen Active Directory Users and Computers. To open Active Directory Users and Computers, click Start . InStart Search , type dsa.msc , and then press ENTER.Ensure that you are connected to the correct domain. To connect to the appropriate domain, in the detailspane, right-click the Active Directory Users and Computers object, and then click Change Domain . Expand Domain Controllers , right-click the RODC account object for which you want to modify the PRP,and then click Properties .Click the Password Replication Policy tab.

QUESTION 19

Arrastar e soltar

A rede contém uma floresta do Active Directory chamado adatum.com. A floresta contém quatro domíniosfilho chamados europe.adatum.com, northamerica.adatum.com, asia.adatum.com e africa.adatum.com.

Você precisa criar quatro novos grupos no domínio raiz da floresta. Os grupos deve ser configurado comomostrado na tabela a seguir.


Para responder, arrastar o tipo de grupo apropriado para o nome correto do grupo na área de resposta.

Answer:


Explanation/Reference:Groupscope

Group can include asmembers…

Group can be assignedpermissions in…

Group scope can beconverted to…

Universal

Accounts from any domainwithin the forest in which thisUniversal Group resides

Global groups from anydomain within the forest inwhich this Universal Groupresides

Universal groups from anydomain within the forest inwhich this Universal Groupresides

Any domain or forest

Domain local

Global (as long as noother universal groupsexist as members)

Global

Accounts from the samedomain as the parent globalgroup

Global groups from thesame domain as the parentglobal group

Member permissions can beassigned in any domain

Universal (as long asit is not a member ofany other globalgroups)

Domainlocal

Accounts from any domain

Global groups from anydomain

Universal groups from anydomain

Domain local groups butonly from the same domainas the parent domain localgroup

Member permissions can beassigned only within the samedomain as the parent domainlocal group

Universal (as long asno other domain localgroups exist asmembers)

QUESTION 20HOTSPOT

Sua rede contém um domínio do Active Directory.

Você precisa criar um link de site novo entre dois locais nomeados Site1 e Site3. O link do site devesuportar a replicação de objetos de domínio.

Em que nó no Active Directory Sites e Serviços você deve criar o link do site?

Para responder, selecione o nó apropriado na área de resposta

Answer:


Explanation/Reference:To create a site link Open Active Directory Sites and Services. To open Active Directory Sites and Services, click Start , clickAdministrative Tools , and then click Active Directory Sites and Services .In the console tree, right-click the intersite transport protocol that you want the site link to use.Where? Active Directory Sites and Services\Sites\Inter-Site Transports\IP or SMTP

Click New Site Link .In Name, type the name for the site link.In Sites not in this site link , click a site to add to the site link, and then click Add . Repeat to add more sitesto the site link. To remove a site from the site link, in Sites in this link , click the site, and then click Remove.When you have added the sites that you want to be connected by this site link, click OK.

QUESTION 21Arrastar e soltar

A rede contém uma floresta do Active Directory chamado contoso.com. A floresta contém um controladorde domínio chamado DC1 que executa o Windows Server 2008 R2 Enterprise e um servidor membronomeado Server1 que executa o Windows Server Standard 2008 R2.

Você tem um computador chamado Computer1 que executa o Windows 7. Computer1 não está ligado àrede. Você precisa se juntar Computer1 ao domínio contoso.com.


Para responder, mover as ações apropriadas da lista de ações possíveis para a área de ações necessáriase organizá-los na ordem correta.

Answer:


Explanation/Reference:Performing an offline domain join using different physical computers

To perform an offline domain join using physical computers, you can complete the following steps. The bestpractice in this case is to have one domain controller, one domain-joined computer to use as a provisioningserver, and one client computer that you want to join to the domain.On the provisioning server, open an elevated command prompt. To open an elevated Command Promptwindow, click Start , point to All Programs , click Accessories , right-click Command Prompt , and then clickRun as administrator .

Type the following command to provision the computer account: djoin /provision /domain <domain to be joined> /mac hine <name of thedestination computer> /savefile blob.txt

Copy the blob.txt file to the client computer.

On the client computer, open an elevated command prompt, and then type the following command torequest the domain join:

djoin /requestODJ /loadfile blob.txt /windowspath % SystemRoot% /localos

QUESTION 22HOTSPOT

Sua rede contém um domínio do Active Directory chamado contoso.com. O domínio contém umcontrolador de domínio chamado Server1. Server1 tem um endereço IP de 192.168.200.100.

Você precisa ver o ponteiro do registro (PTR) para Server1.Que zona que você deve abrir no DNS snap-in para visualizar o registro?

Para responder, selecione a zona apropriada na área de resposta.

Answer:


Explanation/Reference:the corresponding in-addr.arpa zone would be 200.168.192, assuming a default subnet of /24s

Exam O


Você precisa fazer backup de todos os objetos de Diretiva de Grupo (GPOs), as permissões de Diretiva deGrupo, e links de Diretiva de Grupo para o domínio.


A. De Group Policy Management Console (GPMC), volta a GPOs.

B. A partir do Windows Explorer, copiar o conteúdo do %systemroot% \SYSVOL.

C. De Backup do Windows Server, execute um backup de estado do sistema.

D. A partir do Windows PowerShell, execute o cmdlet Backup-GPO.


Explanation/Reference:There is quite a bit of discussion regarding this question. It seems A is incorrect as that back-up does notinclude the links. Many think D is correct, but others do not think this backup would have any moreinformation than the GPMC backup. Found one blog entry that thinks that only the system state backupwould include all of the required parameters.

QUESTION 2Sua rede contém um controlador de domínio que executa o Windows Server 2008 R2. Você precisareiniciar o Directory Services Restore Mode senha (DSRM) no controlador de domínio. Qual ferramentadevo usar?

A. Ntdsutil

B. Dsamain

C. Active Directory Users and Computers

D. Local Users and Groups


Explanation/Reference:set DSRM password

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, WindowsServer 2008Resets the Directory Services Restore Mode (DSRM) password on a domain controller. At the Reset DSRMAdministrator Password: prompt, type any of the parameters listed under “Syntax.”This is a subcommand of Ntdsutil and Dsmgmt. Ntdsutil and Dsmgmt are command-line tools that are builtinto Windows Server 2008 and Windows Server 2008 R2. Ntdsutil is available if you have the ActiveDirectory Domain Services (AD DS) or Active Directory Lightweight Directory Services (AD LDS) server roleinstalled. Dsmgmt is available if you have the AD LDS server role installed. Reset Password on server %s

http://technet.microsoft.com/en-us/library/cc754363 (v=WS.10).aspx

QUESTION 3A rede contém uma floresta do Active Directory. Todos os computadores clientes executam o Windows 7.

A rede contém um alto volume de autoridade de certificação (CA).

Você precisa minimizar a quantidade de largura de banda de rede necessária para validar um certificado.


A. Configurar um ponto de publicação LDAP para a lista de certificados revogados (CRL).

B. Configurar uma Certificação Online Status Protocol (OCSP) responder.

C. Modificar as configurações da lista de revogação de certificado delta (CRL).

D. Replicar a lista de certificados revogados (CRL) usando o sistema de arquivos distribuídos (DFS).


Explanation/Reference:Duplicate OSPF does this.

QUESTION 4Sua rede contém um domínio do Active Directory. Você tem cinco unidades organizacionais (UOs)nomeados Finanças, RH, Marketing, Vendas, e dev. Você vincular um objeto Group Policy chamado GPO1ao domínio, como mostrado na exposição. (Clique no botão Exibir.)

Você precisa se certificar que GPO1 é aplicada aos usuários do Finanças, RH, Marketing, Vendas eunidades organizacionais. A solução deve evitar GPO1 de ser aplicada aos usuários na OU Dev. O quevocê deve fazer?

A. Enforce GPO1.

B. Modificar as configurações de segurança da OU Dev.

C. Fazer a ligação GPO1 à OU Finanças.

D. Modificar as configurações de segurança do OU Finanças.

Answer: C


Explanation/Reference:Duplicate - the idea here is that the ! icon on the Finance OU is letting us know that inheritance of GPO1 isblocked. You would need to either remove the block (which makes more sense than the answer in thisquestion) or establish a specific link to the policy to accomplish the goal of the question.

Let’s tackle “Block Inheritance” first. We’ve seen that, from a directory tree perspective,down the tree to the target objects, all GPOs are applied and settings configured thereare cumulated – where settings contradict, the last writers win. There may be situationsyou don’t want that. That’s what “Block Inheritance” is for. For example, we don’t wantthe IT-OU apply domain-level GPOs. We go right-click the “IT”-OU in GPMC and choose“Block Inheritance” from the context menu. Voilá! You see a blue exclamation mark onthe OU icon. From now on, IT objects won’t be bugged with domain-level GPOs. GPOsfrom levels higher than IT-OU will simply be ignored. Even GPOs from the same level,such as OULevel2-GPO, will. We’ve cut up-level administrators off.

http://blogs.technet.com/b/grouppolicy/archive/2010/01/07/tales-from-the-community-enforced-vs-block-inheritance.aspx

QUESTION 5Sua rede contém um domínio do Active Directory. O domínio contém uma unidade organizacional (OU)chamado OU1. OU1 contém todas as contas de serviços gerenciados no domínio. Você precisa impedirque as contas de serviços gerenciados de serem apagados acidentalmente a partir de OU1. Qual cmdletque você deve usar?

A. Set-ADUser

B. Set-ADOrganizationalUnit

C. Set-ADServiceAccount

D. Set-ADObject


Explanation/Reference:Set-ADObjectModifies an Active Directory object.SyntaxCopy Set-ADObject [-Identity] <ADObject> [-Add <hashtabl e>] [-Clear <string[]>] [-Description <string>] [-DisplayName <string>] [-Pro tectedFromAccidentalDeletion<System.Nullable[bool]>] [-Remove <hashtable>] [-Re place <hashtable>] [-AuthType {<Negotiate> | <Basic>}] [-Credential <PSC redential>] [-Partition<string>] [-PassThru <switch>] [-Server <string>] [ -Confirm] [-WhatIf][<CommonParameters>]

ProtectedFromAccidentalDeletion

QUESTION 6Sua rede contém um domínio do Active Directory chamado contoso.com. Contoso.com contém um

controlador de domínio gravável chamado DC1 e um controlador de domínio somente leitura (RODC)chamado DC2. Todos os controladores de domínio executem o Windows Server 2008 R2. Você precisainstalar um novo controlador de domínio gravável chamado DC3 em um site remoto. A solução deveminimizar a quantidade de tráfego de replicação que ocorre durante a instalação do Active DirectoryDomain Services (AD DS) no DC3. O que você deve fazer primeiro?

A. Executar dcpromo.exe /createdcaccount on DC3.

B. Executar ntdsutil.exe on DC2.

C. Executar dcpromo.exe /adv em DC3.

D. Executar ntdsutil.exe on DC1.


Explanation/Reference:Active Directory Installation Wizard

You can run the Active Directory Installation Wizard from the command line, or from the Configure YourServer Wizard. You can also install Active Directory using an unattended setup script called an answer file.When running the wizard from the command line, you can append the /adv switch to the dcpromocommand to populate the directory using a backup of system state data from another domain controller inthe same domain. Installing from backup media reduces the amount of data that must be replicatedover the network, thus reducing the time required t o install Active Directory.

QUESTION 7A rede contém uma floresta do Active Directory. A floresta contém 10 domínios. Todos os controladores dedomínio são configurados como servidores de catálogo global.

Você remover a função de catálogo global de um controlador de domínio chamado DC5.

Você precisa recuperar o espaço no disco rígido usado pelo catálogo global em DC5.


A. De Active Directory Sites e Serviços, execute o Knowledge Consistency Checker (KCC).

B. De Active Directory Sites e Serviços, modificar as propriedades gerais de DC5.

C. De Ntdsutil, use a opção de análise semântica do banco de dados.

D. De Ntdsutil, use a opção Arquivos.


Explanation/Reference:Use the ntdsutil files compact command to perform an offline defragmentation of the Active Directorydatabase

QUESTION 8A rede corporativa inclui uma zona integrada ao Active Directory. Todos os servidores DNS que hospedama zona são controladores de domínio.Você pode adicionar vários registros de DNS para a zona.

Você precisa assegurar que os novos registros estão disponíveis em todos os servidores DNS, logo quepossível.


A. Ldp

B. Repadmin

C. Ntdsutil

D. Nslookup

E. Active Directory Sites And Services console

F. Active Directory Domains And Trusts console

G. Dnslint

H. Dnscmd


Explanation/Reference:Explanation: http://technet.microsoft.com/en-us/library/cc778513(WS.10).aspx

Dnscmd.exe: DNS Server Troubleshooting ToolThis command-line tool assists administrators in Domain Name System (DNS) management.DNSCmd displays and changes the properties of DNS servers, zones, and resource records. It manuallymodifies these properties, creates and deletes zones and resource records, and forces replication eventsbetween DNS server physical memory and DNS databases and data files. Some operations of this tool workat the DNS server level while others work at the zone level.

QUESTION 9Você tem uma zona de DNS que são armazenados em uma partição de aplicativo personalizado. Vocêprecisa adicionar um controlador de domínio para o escopo de replicação da partição de aplicativopersonalizado. Qual ferramenta devo usar?

A. DNScmd

B. DNS Manager

C. Server Manager

D. Dsmod


Explanation/Reference:To change zone replication scope using the command line Open a command prompt. To open an elevated Command Prompt window, click Start , point to AllPrograms , click Accessories , right-click Command Prompt , and then click Run as administrator .At a command prompt, type the following command, and then press ENTER: dnscmd <ServerName> /ZoneChangeDirectoryPartition < ZoneName> <NewPartitionName>

QUESTION 10Sua rede contém um servidor chamado Server1 que executa o Windows Server Standard 2008 R2.Server1 tem os Serviços de Certificados do Active Directory papel (AD CS) instalado. Você pode configurarum modelo de certificado para registro automático chamado Template1. Você descobre que os certificadosnão estão sendo emitidos para todos os computadores cliente. Os logs de eventos nos computadorescliente não contém erros de registro automático. Você precisa se certificar de que todos os computadorescliente receber automaticamente os certificados com base template1. O que você deve fazer?

A. Modificar a Default Domain Policy objeto de Diretiva de Grupo (GPO).

B. Modificar o padrão Domain Controllers Policy objeto Group Policy (GPO).

C. Atualize Server1 para o Windows Server 2008 R2 Enterprise.

D. Reinicie os Serviços de Certificado em Server1.


Explanation/Reference:Use the Group Policy Management Console to configure user autoenrollment policy settings, and use theCertificate Templates snap-in to configure autoenrollment settings on the certificate template. To automatically enroll client computers for certificates in a domain environment, you must:

Configure an autoenrollment policy for the domain .

Configure certificate templates for autoenrollment.

Configure an enterprise CA.

QUESTION 11Sua rede contém um servidor que tem o Active Directory Lightweight Directory Services (AD LDS) papelinstaladas.

Você precisa executar uma instalação automatizada de uma instância do AD LDS.


A. Dism.exe

B. Servermanagercmd.exe

C. Adaminstall.exe

D. Ocsetup.exe


Explanation/Reference:At the command prompt, type the following command, and then press ENTER: %systemroot%\ADAM\ adaminstall.exe /answer:drive:\<pathname>\<filename>.txt"

Where drive:\<pathname>\<filename>.txt represents the drive, path, and file name of your answerfile. (The command requires the quotation marks.)

QUESTION 12Sua rede contém um domínio do Active Directory chamado contoso.com. A empresa parceira tem umdomínio do Active Directory chamado nwtraders.com.

As redes de contoso.com e nwtraders.com conectar uns aos outros por meio de um link WAN.

Você precisa garantir que os usuários em contoso.com podem acessar recursos no nwtraders.com erecursos na Internet.


A. Modificar Certificação Raiz Confiáveis loja Autoridades.

B. Modifique o Intermediate Certification loja Autoridades.

C. Criar encaminhadores condicionais.

D. Adicionar uma dica de raiz para o servidor DNS.


Explanation/Reference:Conditional forwarder will allow for the resolution of DNS records between the two domains.

QUESTION 13A rede contém uma floresta do Active Directory. A floresta contém vários domínios.

Você precisa garantir que os usuários no departamento de recursos humanos pode procurar porfuncionários usando o atributo employeeNumber.


A. De Active Directory Sites e Serviços, modificar as propriedades de cada servidor de catálogo global.

B. A partir do esquema do Active Directory snap-in, modificar as propriedades da classe de objeto dousuário.

C. De Active Directory Sites e Serviços, modificar o NTDS Configurações objectof cada servidor decatálogo global.

D. A partir do esquema do Active Directory snap-in, modificar as propriedades do atributoemployeeNumber.


Explanation/Reference:Indexed attributesDirectory searches for attributes that are indexed are more efficient than searches for attributes that are notindexed. Attributes are indexed when the least significant bit in their searchFlags attribute is set to the value1. Changing the value of the bit to 1 dynamically builds an index; changing the value to 0 or deleting itremoves an index for the attribute in question. The index is built automatically by a background thread onthe directory server.The values for indexed attributes are stored in a sorted list. This makes searching much more efficientbecause the system needs to search only until it locates the area in the list where the value should be,based on the sort. If the value is not there, the system can assume it will not find the value anywhere else inthe list, and it can terminate the search. When attributes are not indexed, the entire list must be searched todetermine whether or not a particular value actually exists.Indexing requires more storage to maintain the lists, but it makes searching more efficient. Nonindexedattributes are less efficient to search, but they require less storage to maintain. With this in mind, onlyattributes that are frequently referenced should be indexed. Ideally, indexed attributes are single-valueattributes with unique values that are evenly distributed across the set of instances. Multivalue attributes canbe indexed, but building the index requires more storage and updating.

searchFlags

The searchFlags property of each property’s attributeSchema object defines whether a property is indexedand other behavior.The seven currently defined bits for this attribute are:1 = Index over attribute only2 = Index over container and attribute4 = Add this attribute to the ambiguous name resolution (ANR) set (should be used in conjunction with 1)8 = Preserve this attribute on logical deletion (that is, make this attribute available on tombstones)16 = Include this attribute when copying a user object32 = Create a Tuple index for the attribute to improve medial searches64 = Reserved for future use; value should be 0.128 = Available in Windows Server 2003 Service Pack 1 (SP1) only. Mark the attribute confidential(CONTROL_ACCESS is required to read it).

QUESTION 14Sua rede contém um domínio único diretório Active. O domínio contém uma autoridade de certificação(CA).

Você precisa se certificar que as chaves de criptografia para e-mail certificados podem ser recuperados do

banco de dados CA.

Você pode modificar o modelo de certificado de e-mail para apoiar o arquivamento de chaves.


A. Emitir a chave de recuperação modelo de certificado de agente.

B. Executar certutil.exe -recoverkey.

C. Executar certreq.exe política.

D. Modificar o local do Acesso a Informações da Autoridade (AIA) ponto de distribuição.


Explanation/Reference:Microsoft 70-640 Exam-recoverkey as this recovers archived keys but e-mail certificate Explanation: Not certutil.exetemplate does not have key archival by default.

QUESTION 15Sua rede contém um Active Directory-integrado zona DNS chamada contoso.com. Você descobre que azona inclui registros de DNS para computadores que foram removidos da rede. Você precisa assegurarque os registros DNS são excluídos automaticamente da zona. O que você deve fazer?

A. No Gerenciador de DNS, defina as propriedades de envelhecimento.

B. Crie uma tarefa agendada que executa dnslint.exe / v / d contoso.com.

C. No Gerenciador de DNS, modificar o intervalo de atualização do registro de início de autoridade (SOA).

D. Crie uma tarefa agendada que executa ipconfig.exe /flushdns.


Explanation/Reference:To enable the aging and scavenging features, you perform the following steps to configure the applicableserver and any of its zones that are integrated with Active Directory Domain Services (AD DS):Enable aging and scavenging for the DNS server.

These settings determine the effect of zone-level properties for any zones that are integrated with AD DSand loaded at the server.

Enable aging and scavenging for specified zones on the DNS server.

When you set zone-level properties for a specified zone, these settings apply only to that zone and itsresource records. Unless you otherwise configure these zone-level properties, they inherit their defaultsettings from comparable settings that AD DS maintains in the aging and scavenging properties for the DNSserver.

QUESTION 16Sua rede contém um controlador de domínio que executa o Windows Server 2008 R2.

Você execute o seguinte comando no controlador de domínio:

Dsamain.exe C dbpath c:\$ SNAP_201006170326_VOLUMEC $\Windows\NTDS\ntds.dit C ldapport 389 -allowNonAdminAccess

O comando falha. Você precisa garantir que o comando é concluído com êxito.

Como você deve modificar o comando?

A. Altere o valor do parâmetro -dbpath.

B. Inclua o caminho para DSAMAIN.

C. Altere o valor do parâmetro -ldapport.

D. Remover o parâmetro CallowNonAdminAccess.


Explanation/Reference:The ldapport parameter has to be set to a different value as this is on of the default ports used by AD DS onthe DC.

Since dsamain.exe exposes Active Directory data that is stored in a snapshot or backup as a LightweightDirectory Access Protocol (LDAP) server, it cannot use the port that is already in use.

QUESTION 17Sua rede contém um domínio do Active Directory. O domínio contém 10 controladores de domínio queexecutam o Windows Server 2008 R2.

Você precisa monitorar as seguintes informações sobre os controladores de domínio durante os próximoscinco dias:

- O uso de memória- O uso do processador- O número de consultas LDAP


A. Criar um User Defined Data Collector Set (DCS) que usa o modelo de Active Directory Diagnostics.

B. Use o sistema de desempenho Conjunto de Coletores de Dados (DCS).

C. Criar um User Defined Data Collector Set (DCS) que usa o modelo de desempenho do sistema.

D. Use o Active Directory Diagnostics Conjunto de Coletores de Dados (DCS).


Explanation/Reference:Creating a data collector set to monitor the 10 DCs AD properties from the same location would be efficient.


Contoso.com contém um controlador de domínio chamado DC1 e um controlador de domínio somenteleitura (RODC) chamado RODC1.

Você precisa ver as contas de usuário mais recentes autenticados por RODC1.


A. De Active Directory Sites e Serviços, clique com o objeto de conexão para DC1, e clique em Duplicaragora.

B. De Active Directory Sites e Serviços, clique com o objeto de conexão para DC2, e clique em Duplicaragora.

C. De Active Directory Users and Computers, clique com o botão direito contoso.com, clique em AlterarDomainController, e depois conectar a DC1.

D. De Active Directory Users and Computers, clique com o botão direito contoso.com, clique em Alterarcontrolador de domínio, e depois conectar a RODC1.


Explanation/Reference:Unless the user passwords are cached on the RODC, authentication takes place through the the DC.

QUESTION 19Sua rede contém um domínio do Active Directory. O domínio contém 3.000 computadores clientes.Todos os computadores clientes executam o Windows 7.

Usuários fazem logon em seus computadores cliente usando contas de usuário padrão.

Você planeja implantar um novo aplicativo chamado App1.

O vendedor de App1 fornece um arquivo Setup.exe para instalar App1. Setup.exe requer direitosadministrativos para executar.

Você precisa implantar App1 para todos os computadores clientes. A solução deve atender aos seguintesrequisitos:

- App1 deve detectar automaticamente e substituir os arquivos do aplicativo corruptos.- App1 deve estar disponível a partir do menu Iniciar em cada computador cliente.


A. Criar um script de logon que chama Setup.exe para App1.

B. Crie um arquivo. Zap.

C. Criar um script de inicialização que chama Setup.exe para App1.

D. Remontar App1 como um pacote do Windows Installer.


Explanation/Reference:Repackaging Applications for Windows Installer

When you cannot reauthor a package to use Windows Installer, you might want to repackage it.Repackaging an application for Windows Installer involves taking a snapshot of a clean computer (includingthe registry settings, files, and system settings), installing the software, and then taking a post-installationsnapshot of the computer. The repackaging software detects the difference between the two snapshots,and then creates the necessary instructions to reproduce the installation. If any registry changes, fileschanges, or system setting changes occur during the capture process, they are included in the installation.You use repackaging when you do not have control over DLL files, source code, and registry entries, or forapplications about which you do not have in-depth knowledge.

Use this method only as a last resort when you need to repackage an application into an .msi. It is easy tounderestimate the cost of repackaging in terms of labor hours. Also, users often set their expectations toohigh for the reliability of repackaged applications. Repackaging requires a thorough knowledge of theapplication’s installation program and of the Windows Installer setup on the Windows platform.

Success with repackaging is affected by the state of the computer where you perform the repackaging. Forbest results, always perform a repackaging by using a clean computer. For the purpose of repackaging, aclean computer is defined as a computer that has only the operating system and operating system servicepacks installed before you run the repackaging software. Because of this limitation, and other issues,repackaging is not recommended.


Contoso.com contém dois locais nomeados Site1 e Site2. Site1 contém um controlador de domíniochamado DC1.

Em Site1, você instalar um novo controlador de domínio chamado DC2. Você enviar DC2 para Site2.

Você descobre que determinados usuários em Site2 autenticar DC1.Você precisa garantir que os usuários em Site2 sempre tentar autenticar DC2 primeiro.


A. De Active Directory Users and Computers, modificar as configurações de localização do objeto decomputador DC2.

B. De Active Directory Sites e Serviços, modifique o atributo Location para Site2.

C. De Active Directory Sites e Serviços, mova o objeto de servidor DC2.

D. De Active Directory Usuários e Computadores, mova o objeto de computador DC2.


Explanation/Reference:Need to change DC2 to site 2 in AD Sites and Services.


Contoso.com contém um servidor chamado Server2. Você abre as propriedades do sistema no Server2,como mostrado na exposição. (Clique no botão Exibir.)

Quando você tenta configurar Server2 como uma empresa subordinada autoridade de certificação (CA),você descobre que a empresa CA subordinada opção não está disponível.

Você precisará configurar Server2 como uma empresa CA subordinada.


A. Atualize Server2 para o Windows Server 2008 R2 Enterprise.

B. Entrar como administrador e Server Manager execução.

C. Importe o certificado da CA raiz.

D. Junte-se Server2 para o domínio.


Explanation/Reference:To be an Enterprise CA (even a subordinate) the server must be joined to the domain, at least as a memberserver.

QUESTION 22Sua rede contém um domínio do Active Directory. O domínio contém uma autoridade de certificação (CA).

Você precisa garantir que apenas os membros de um grupo chamado Admin1 pode criar modelos decertificado.

Que ferramenta deve ser usada para atribuir permissões para Admin1?

A. O console da Autoridade de Certificação


C. OS snap-in Certificados

D. Sites do Active Directory e Serviços


Explanation/Reference:The rest of these options do not have the ability to do this.

Exam P


Você precisa se certificar de que todos os membros de um grupo chamado Grupo 1 pode visualizar asentradas do log de eventos para os Serviços de certificados.


A. Modelos de Certificado

B. Autoridade de Certificação

C. Gerenciador de Autorização

D. Active Directory Usuarios e Computadores

E. TPM Management

F. Modelos de Segurança

G. Group Policy Management

H. Enterprise PKI

I. Certificados


Explanation/Reference:There is mention of an Event Log Reader Group. Membership should be able to be configured in AD Usersand Groups. Check this answer.


Você precisa garantir que os usuários podem se inscrever para os certificados que usam o modelo decertificado IPSEC (solicitação off-line)


A. Enterprise PKI

B. TPM Management

C. Certificados

D. Active Directory Usuários e Computadores

E. Gerenciador de Autorização

F. Autoridade de Certificação

G. Group Policy Management

H. Modelos de Segurança

I. Modelos de Certificado

Answer: ISection: Cooper Exam D

Explanation/Reference:Templates can be configured with such permissions.


Você tem um modelo de certificado personalizado chamado Modelo 1. Template1 é publicado para o CA.

Você precisa se certificar de que todos os membros de um grupo chamado Grupo 1 podem se inscreverpara os certificados que utilizam template1.


A. Security Templates

B. Enterprise PKI

C. Autoridade de Certificação

D. Modelos de Certificado

E. Certificados

F. TPM Management

G. Gerenciador de Autorização

H. Group Policy Management

I. Active Directory Usuários e Computadores




Você precisa aprovar uma solicitação de certificado pendente.


A. Active Directory Users and Computers

B. Gerenciador de Autorização

C. Autoridade de Certificação

D. Group Policy Management

E. Modelos de Certificado

F. TPM Management

G. certificados

H. Enterprise PKI

I. Modelos de Segurança



QUESTION 5Sua rede contém um domínio do Active Directory chamado adatum.com.

Você precisa garantir que os endereços IP podem ser resolvidos para nomes de domínio totalmentequalificado (FQDN).

Em que nó no DNS snap-in que você deve adicionar uma zona?

A. Zonas de pesquisa inversa

B. adatum.com

C. Forward Lookup Zones

D. Encaminhadores condicionais

E. _msdcs.adatum.com



QUESTION 6Sua rede contém um domínio do Active Directory chamado adatum.com. O domínio contém um controladorde domínio chamado DC1. DC1 tem um endereço IP de 192.168.200.100.

Você precisa identificar a zona que contém o ponteiro do registro (PTR) para 0C1.

Qual zona você deve identificar?

A. adatum.com

B. _msdcs.adatum.com

C. 100.168.192.in-addr.arpa

D. 200.168.192.in-addr.arpa



QUESTION 7A rede contém uma floresta do Active Directory chamado adatum.com.

A infra-estrutura DNS falha.

Você reconstruir a infra-estrutura de DNS.Você precisa forçar o registro do Active Directory Service Locator (SRV) no DNS.

Qual serviço você deve reiniciar os controladores de domínio?

A. Netlogon

B. DNS Server

C. Network Location Awareness

D. Network Store Interface Service

E. Online Responder Service


Explanation/Reference:Duplicate

QUESTION 8Sua rede contém um domínio do Active Directory chamado adatum.com.

A diretiva de senha do domínio requer que as senhas para todas as contas de usuários devem ser trocadosa cada 50 dias.

Você precisa criar várias contas de usuário que serão utilizados pelos serviços. As senhas para essascontas devem ser alterada automaticamente a cada 50 dias.

Qual ferramenta que você deve usar para criar as contas?



C. Módulo do Active Directory para o Windows PowerShell

D. ADSI Edit

E. Active Directory Domains and Trusts


Explanation/Reference:PowerShell should be able to set such attributes.

QUESTION 9Sua rede contém um domínio do Active Directory. O domínio contém vários controladores de domínio.Você precisa modificar a Diretiva de Replicação de Senha de um controlador de domínio somente leitura(RODC).Qual ferramenta devo usar?

A. Group Policy Management

B. Active Directory Domains and Trusts

C. Active Directory Users and Computers

D. Computer Management

E. Security Configuration Wizard


Explanation/Reference:To view the PRP using Active Directory Users and Co mputers

Open Active Directory Users and Computers. To open Active Directory Users and Computers, click Start . InStart Search , type dsa.msc , and then press ENTER.Ensure that you are connected to the correct domain. To connect to the appropriate domain, in the detailspane, right-click the Active Directory Users and Computers object, and then click Change Domain . Expand Domain Controllers , right-click the RODC account object for which you want to modify the PRP,and then click Properties .Click the Password Replication Policy tab.

QUESTION 10A rede contém uma floresta do Active Directory. A floresta contém controladores de domínio que executamo Windows Server 2008 R2. O nível funcional da floresta é o Windows Server 2003. O nível funcional dodomínio é o Windows Server 2008.

A partir de um controlador de domínio, você precisa executar uma restauração autoritativa de uma unidadeorganizacional (OU).


A. Elevar o nível funcional da floresta

B. Modificar o tempo de desativação da floresta.

C. Restore the system state.

D. Elevar o nível funcional do domínio.


Explanation/Reference:The first task is to backup the current state of the DC (just in case everything blows up during thisprocedure). After that restore the back of the system state before the deletion.

QUESTION 11A rede contém uma floresta do Active Directory. A floresta contém dois domínios chamados contoso.com ewoodgrovebank.com.

Você tem um atributo personalizado chamado Atributo 1 no Active Directory. Atributo 1 está associada aobjetos de usuário.

É necessário assegurar que attribute1 está incluído no catálogo global.


A. A partir do esquema do Active Directory snap-in, modificar as propriedades do objeto Atributo 1 attributeSchema.

B. Em Active Directory Usuários e computadores, configurar as permissões no atributo Atributo 1 paraobjetos do usuário.

C. A partir do esquema do Active Directory snap-in, modificar as propriedades do objeto UsuárioclassSchema.

D. Em Active Directory Sites e Serviços, configurar as definições de catálogo global para todos oscontroladores de domínio na floresta.


Explanation/Reference:To Make Modifications Using Active Directory Schema MMC Snap-InClick the Attributes folder in the snap-in.In the right pane, scroll down to the desired attribute, right-click it, and then click Properties .Click to select the Replicate this attribute to the Global Catalog check box.Click OK.

QUESTION 12Sua rede contém um servidor chamado Server1. Server1 é executado no Windows Server 2008 R2 e tem oActive Directory Lightweight Directory Services (AD LDS) papel instaladas. Server1 hospeda duasinstâncias do AD LDS nomeados Instance1 e Instance2.

Você precisa remover Instance2 de Server1 sem afetar Instance1.


A. NTDSUtil

B. Dsdbutil

C. Programas e Recursos no Painel de Controle

D. Server Manager


Explanation/Reference:Remove an AD LDS Instance

Applies To: Windows Server 2008You can use this procedure to remove an Active Directory Lightweight Directory Services (AD LDS)instance.Membership in the local Administrators group, or equivalent, is the minimum required to complete thisprocedure. Review details about using the appropriate accounts and group memberships at Local andDomain Default Groups (http://go.microsoft.com/fwlink/?LinkId=83477).

To remove an AD LDS instanceTo open Programs and Features , click Start , click Settings , click Control Panel , and then double-clickPrograms and Features .Locate and click the AD LDS instance that you want to remove.Click Uninstall .


QUESTION 13Sua rede contém um domínio do Active Directory. Todos os controladores de domínio executem oWindows Server 2008 R2.

Você precisa compactar o banco de dados do Active Directory.


A. Execute o cmdlet Get-ADForest.

B. Configure assinaturas de Visualizador de eventos.

C. Execute o comando eventcreate.exe.

D. Configure the Active Directory Diagnostics Data Collector Set (OCS).

E. Criar um Conjunto de Coletores de Dados (DCS).

F. Execute o comando Repadmin.exe.

G. Execute o comando ntdsutil.exe.

H. Execute o comando Dsquery.exe.

I. Execute o comando Dsamain.exe.

J. Criar exibições personalizadas de Visualizador de eventos.

Answer: GSection: Cooper Exam D

Explanation/Reference:At the command prompt, type the following command, and then press ENTER:net stop ntds Type Y to agree to stop additional services, and then press ENTER.At the command prompt, type ntdsutil , and then press ENTER.At the ntdsutil prompt, type activate instance ntds , and then press ENTER.At the ntdsutil prompt, type files , and then press ENTER.If you are compacting the database to a local drive, at the file maintenance: prompt, type compactto <drive>:\ <LocalDirectoryPath> (where <drive>:\ <LocalDirectoryPath> is the path toa location on the local computer), and then press ENTER.


Você precisa coletar todos os serviços do diretório de eventos de todos os controladores de domínio earmazenar os eventos em um único computador central.


A. Execute o comando ntdsutil.exe.

B. Execute o comando repodmin.exe.

C. Execute o cmdlet Get-ADForest.

D. Execute o comando Dsamain.exe.

E. Criar exibições personalizadas de Visualizador de eventos.

F. Execute o comando Dsquery.exe.

G. Configurar o Active Directory Diagnostics Conjunto de Coletores de Dados (DCS).

H. Configure assinaturas de Visualizador de eventos.

I. Configurar o comando subscRun eventcreate.exe.

J. Criar um Conjunto de Coletores de Dados (DCS).


Explanation/Reference:Event Viewer subscription would be correct.

QUESTION 15Sua rede contém um domínio do Active Directory. Todos os controladores de domínio executem oWindows Server 2008 R2. Você precisa receber uma notificação quando mais de 100 objetos do ActiveDirectory são excluídos por segundo.


A. Criar exibições personalizadas de Visualizador de eventos.

B. Execute o cmdlet Get-ADForest.

C. Execute o comando ntdsutil.exe.

D. Configurar o Active Directory Diagnostics Conjunto de Coletores de Dados (DCS).


F. Execute o comando Dsamain.exe.

G. Execute o comando Dsquery.exe.

H. Execute o comando Repadmin.exe.

I. Configure assinaturas de Visualizador de eventos.

J. Execute o comando eventcreate.exe.

Answer: ESection: Cooper Exam D

Explanation/Reference:Creating a collector set would work.


Você precisa criar um instantâneo do Active Directory.


A. YoRun o comando Dsquery.exe.

B. Execute o comando Dsamain.exe.

C. Criar exibições personalizadas de Visualizador de eventos.

D. Configure assinaturas de Visualizador de eventos.


F. Configurar o Active Directory Diagnostics Conjunto de Coletores de Dados (DCS).

G. Execute o comando Repadmin.exe.

H. Execute o comando ntdsutil.exe.

I. Execute o cmdlet Get-ADForest.

J. Execute o comando eventcreate.exe.


Explanation/Reference:Active Directory Domain Services Database Mounting Tool (Snapshot Viewer or Snapshot Browser)Step-by-Step Guide

Applies To: Windows Server 2008This guide shows how you can use an improved version of Ntdsutil and a new Active Directory® databasemounting tool in Windows Server® 2008 to create and view snapshots of data that is stored in ActiveDirectory Domain Services (AD DS) or Active Directory Lightweight Directory Services (AD LDS), withoutrestarting the domain controller or AD LDS server. A snapshot is a shadow copy—created by the VolumeShadow Copy Service (VSS)—of the volumes that contain the Active Directory database and log files.


Você monta um instantâneo do Active Directory.

Você precisa se certificar que você pode consultar o snapshot usando LDAP.


A. Execute o comando Dsamain.exe.

B. Criar exibições personalizadas de Visualizador de eventos.

C. Execute o comando ntdsutil.exe.

D. Configure assinaturas de Visualizador de eventos.

E. Execute o cmdlet Get-ADForest.

F. Criar um Conjunto de Coletores de Dados (DCS).

G. Execute o comando eventcreate.exe.

H. Configurar o Active Directory Diagnostics Conjunto de Coletores de Dados (DCS).

I. Execute o comando Repadmin.exe.

J. Execute o comando Dsquery.exe.


Explanation/Reference:The Active Directory database mounting tool (Dsamain.exe) can improve recovery processes for yourorganization by providing a means to compare data as it exists in snapshots that are taken at different timesso that you can better decide which data to restore after data loss. This eliminates the need to restoremultiple backups to compare the Active Directory data that they contain


Sua rede contém um domínio do Active Directory chamado adatum.com.

Você precisa usar diretivas de grupo para implantar os aplicativos de linha de negócios apresentados natabela a seguir.


Para responder, arraste o método de implantação adequada para a correcta aplicação na área de resposta.

Answer:


Explanation/Reference:You can use Group Policy to distribute computer programs by using the following methods: Assigning SoftwareYou can assign a program distribution to users or computers. If you assign the program to a user, it isinstalled when the user logs on to the computer. When the user first runs the program, the installation isfinalized. If you assign the program to a computer, it is installed when the computer starts, and it is availableto all users who log on to the computer. When a user first runs the program, the installation is finalized. Publishing SoftwareYou can publish a program distribution to users. When the user logs on to the computer, the publishedprogram is displayed in the Add or Remove Programs dialog box, and it can be installed from there.

QUESTION 19HOTSPOT

A rede contém uma floresta do Active Directory chamado contoso.com. Todos os computadores clientesexecutam o Windows 7 Enterprise.

Você precisa automaticamente para criar um grupo local chamado PowerManagers em cada computadorcliente que contém uma bateria. A solução deve minimizar a quantidade de esforço administrativo.

Que nó no Editor de Gestão de Políticas você deve usar?

Para responder, selecione o nó apropriado na área de resposta.

Answer:


Explanation/Reference:Would be a GPO applied to a computer.


Sua rede contém duas florestas nomeados contoso.com e fabrikam.com. O nível funcional de todos osdomínios é o Windows Server 2003. O nível funcional de ambas as florestas é o Windows 2000.

Você precisa criar uma relação de confiança entre contoso.com e fabrikam.com. A solução deve garantirque os usuários de contoso.com só pode acessar os servidores em fabrikam.com que a permissão paraautenticar conjunto de permissões.



Answer:


Explanation/Reference:In this case the forest functional levels need to be at 2003 or higher, and a forest trust should beestablished. Selective authentication would also be needed.

External trusts are usually for NT domains or LDAP connections.


A rede contém uma floresta do Active Directory chamado contoso.com.

Você precisa criar um Active Directory Rights Management Services (AD RMS) licenciamento somentecluster.



Answer:




Sua empresa tem uma sede e uma filial. Todos os servidores estão localizados no escritório principal.

A rede contém uma floresta do Active Directory chamado adatum.com. A floresta contém um controladorde domínio chamado MainDC que executa o Windows Server 2008 R2 Enterprise e um servidor membronomeado FileServer que executa o Windows Server Standard 2008 R2.

Você tem um computador quiosque chamado Public_Computer que executa o Windows 7.Public_Computer não está ligado à rede.

Você precisa se juntar Public_Computer ao domínio adatum.com.



Answer:


Explanation/Reference:These are the steps for to pre-join a computer to the domain.

Exam Q

QUESTION 1Empresa tem servidores na rede principal que executa o Windows Server 2008. Também tem doiscontroladores de domínio. Serviços do Active Directory estão sendo executados em um controlador dedomínio chamado CKDC1. Você tem que executar as atualizações críticas do Windows Server 2008 emCKDC1 sem reiniciar o servidor. O que você deve fazer para realizar off-line atualizações críticas sobreCKDC1 sem reiniciar o servidor?

A. Inicie os Serviços de Domínio do Active Directory em CKDC1

B. Desconectar da rede e iniciar o Windows recurso de atualização

C. Pare os serviços de domínio Active Directory e instalar as atualizações. Inicie os serviços do domínio doActive Directory depois de instalar as atualizações.

D. Pare de Active Directory Domain Services e atualizações de instalação. Desconectar da rede e, emseguida, conectar novamente

E. Nenhum dos acima

Answer: CSection: Configuring AD Infrastructure


QUESTION 2A sua empresa lhe pede para implementar o Windows Cardspace no domínio. Você quer usar o WindowsCardspace em sua casa. Sua casa e computadores de escritório executar o Windows Vista Ultimate. O quevocê deve fazer tocreate uma cópia de backup de cartões Windows CardSpace para ser usado em casa?

A. Faça logon com a conta de administrador e \ copy pasta Windows\ServiceProfiles para o seu disco USB

B. Backup \Windows\Globalization usando status de backup e salvar a pasta onyour drive USB

C. Faça backup dos dados do estado do sistema usando a ferramenta de status de backup em seu driveUSB

D. Empregar aplicativo do Windows CardSpace para o backup dos dados em seu disco USB.

E. Reformatar o drive C:

F. Nenhum dos acima



QUESTION 3A empresa possui uma floresta do Active Directory em um único domínio. Empresa precisa de umaaplicação distribuída que implanta um aplicativo personalizado. A aplicação é um software de partição dediretório chamado PARDAT. Você precisa implementar esta aplicação para replicação de dados. Quais sãoas duas ferramentas que você deve usar para realizar esta tarefa? (Escolha duas resposta answers.Each éuma parte de uma solução completa)

A. Dnscmd

B. Ntdsutil

C. Ipconfig

D. Dnsutil

E. Todos o acima

Answer: AB

Section: Powershell & Command line cmds


QUESTION 4A empresa possui uma floresta do Active Directory com seis domínios. A empresa tem 5 sites. A empresaexige uma nova aplicação distribuída que usa uma partição de diretório de aplicativo personalizadochamado ResData para replicação de dados. O aplicativo é instalado em um servidor membro em cincosites. Você precisará configurar os servidores membro cinco para receber o ResData partição de diretóriode aplicativos para replicação de dados. O que você deve fazer?

A. Execute o utilitário Dcpromo sobre os cinco servidores membros.

B. Execute o comando Regsvr32 sobre os cinco servidores membros

C. Execute o comando Webadmin nos cinco servidores membros

D. Execute o RacAgent utilityon os cinco servidores membros

Answer: ASection: Configuring AD Infrastructure


QUESTION 5Sua empresa tem um escritório principal e três filiais. Cada escritório é configurado como um site ActiveDirectory separado que tem seu controlador de domínio próprio. Você desativar uma conta que tenhadireitos administrativos. Você precisa imediatamente replicar as informações de conta desabilitada paratodos os sites. Quais são as duas maneiras de alcançar essa meta? (Cada resposta correta apresenta umasolução completa. Escolha dois.)

A. A partir dos sites do Active Directory e consola Services, configurar todos os controladores de domíniocomo servidores de catálogo global.

B. A partir das Active Directory Sites e Serviços do console, selecione os objetos de conexão existentes ereplicação força.

C. Use Repadmin.exe para forçar a replicação entre os objetos de conexão do site.

D. UseDsmod.exe para configurar todos os controladores de domínio como servidores de catálogo global.

Answer: BCSection: AD Sites & Services


QUESTION 6ABC.com tem uma rede que consiste de um domínio de Directório activo único. Um técnico foi excluídoacidentalmente uma unidade organizacional (OU) no controlador de domínio. Como administrador da ABC.com, você está em processo de restauração da OU. Você precisa executar uma restauração não-autorizada antes de uma restauração autoritativa do OU. Qual backup você deve utilizar para realizarrestauração não autoritativa do Active Directory Domain Services (AD DS), sem perturbar outros dadosarmazenados no controlador de domínio?

A. Backup de volume crítico

B. Backup de todos os volumes

C. Backup do volume que hospeda sistema operacional

D. Backup de pastas do AD DS

E. Nenhum dos acima

Answer: ASection: Configuring AD Backup-Restore


QUESTION 7Você está a formulação da estratégia de backup para Active Directory Lightweight Directory Services (ADLDS) para garantir que os dados e arquivos de log são apoiadas regularmente. Isso também irá garantir adisponibilidade contínua de dados para aplicativos e usuários em caso de falha do sistema. Porque vocêtem recursos limitados de mídia, você decidiu fazer o backup apenas uma instância ADLDS específico emvez de tomar backup de todo o volume. O que você deve fazer para realizar essa tarefa?

A. Use o Windows utilitário de backup do servidor e permitir caixa de seleção para levar apenas o backupde banco de dados e arquivos de log do AD LDS

B. Use a ferramenta Dsdbutil.exe para criar mídia de instalação que corresponde somente à instânciaADLDS

C. Mova AD LDS banco de dados e arquivos de log em um volume separado e usar janelas utilitário debackup do servidor

D. Nenhum dos acima

Answer: BSection: Configuring AD LDS


Exam R

QUESTION 1Sua rede contém um servidor chamado Server1 que executa o Windows Server 2008 R2. Server1 éconfigurado como um Active Directory Federation Services (AD FS) 2,0 servidor independente. Vocêplaneja adicionar um certificado de autenticação de token novo Server1. Você pode importar o certificadopara o servidor, como mostrado na exposição. (Clique no botão Exibir.)

Quando você executar o assistente Add Certificado de token, você descobre que o novo certificado nãoestá disponível. Você precisa se certificar que você pode usar o novo certificado para AD FS. O que vocêdeve fazer?

Exhibit:

A. A partir das propriedades do certificado, modificar o Certificado Policy configuração OIDs.

B. Importe o certificado para o 2,0 FS AD Windows Service armazenamento de certificados pessoais.

C. A partir das propriedades do certificado, modificar o Certificado de configuração fins.

D. Importe o certificado para o local armazenamento de certificados do computador pessoal.

Answer: DSection: Configuring AD Federated Services


QUESTION 2Sua empresa tem duas florestas do Active Directory chamado contoso.com e fabrikam.com. A rede daempresa tem três servidores DNS DNS1 e DNS2 nomeados e DNS3. Os servidores de DNS sãoconfigurados como mostrado na tabela a seguir.

Todos os computadores que pertencem ao domínio fabrikam.com ter DNS3 configurado como servidorDNS thepreferred. Todos os outros computadores usam DNS1 como servidor DNS preferencial. Usuáriosdo domínio fabrikam.com são incapazes de se conectar aos servidores que pertencem ao domínio

contoso.com. Você precisa garantir que os usuários do domínio fabrikam.com são capazes toresolve todasas consultas contoso.com. O que você deve fazer?

A. Configurar o encaminhamento condicional no DNS1 e DNS2 para frente fabrikam.com consultas paraDNS3.

B. Configurar o encaminhamento condicional no DNS1 e DNS2 para frente fabrikam.com consultas paraDNS3.

C. Criar uma cópia da zona fabrikam.com no servidor DNS1 eo servidor DNS2.

D. Configurar o encaminhamento condicional no DNS3 para encaminhar consultas Contoso.com paraDNS1.



QUESTION 3Você tinha instalado o Windows Server 2008 em um computador andconfigured-lo como um servidor dearquivos, chamado FileSrv1. O computador FileSrv1 contém quatro discos rígidos, que são configuradascomo discos básicos. Para tolerância a falhas e desempenho que você deseja configurar Redundant Arrayof Independent Disks (RAID) 0 +1 em FileSrv1. Qual utilidade que você vai usar para converter discosbásicos em discos dinâmicos em FileSrv1?

A. Diskpart.exe

B. Chkdsk.exe

C. Fsutil.exe

D. Fdisk.exe

E. None of the above



QUESTION 4A rede corporativa da empresa consiste em um domínio Directory do Windows Server 2008 único ativo. Odomínio tem dois servidores nomeados Empresa 1 e Empresa 2. Para assegurar a central demonitoramento de eventos que você decidiu recolher todos os eventos em um servidor, a empresa 1. Paracoletar eventos de Empresa 2. e transferi-los para a Empresa 1, você configurou as inscrições em eventosnecessários. Você selecionou a opção Normal para a configuração de otimização evento de entregausando o protocolo HTTP. No entanto, você descobriu que nenhum dos trabalhos assinaturas. Qual dasseguintes ações que você executar para configurar a coleta de eventos e encaminhamento de eventossobre os dois servidores? (Escolha três. Cada resposta é uma parte da solução completa).

A. Através da janela Executar executar o comando winrm quickconfig na Empresa 2.

B. Através da janela Executar executar o comando qc wecutil na Empresa 2.

C. Adicionar a Empresa 1 conta com o Groupon Administradores 2 Empre

D. Através da janela Executar executar o comando winrm quickconfig na Empresa 1.

E. Adicione o Company 2 conta ao grupo Administradores da Empresa 1.

F. Através da janela Executar executar o comando qc wecutil na Empresa 1.

Answer: ACFSection: Maintaining the AD Environment


QUESTION 5Exhibit:

Servidores da empresa executar o Windows Server 2008. Ele tem domínio do Directório asingle Active. Umservidor chamado S4 tem papel arquivo de serviços instalado. Você instalar algum disco paraarmazenamento adicional. Os discos são configurados como mostrado na exposição acima. Para suportardados de esgoto, com paridade, você tem que criar uma nova unidade de volume. O que você deve fazerpara alcançar este objectivo?

A. Construir um novo volume gerado por combinar Disk0 e Disk1

B. Criar um volume RAID-5 novo, adicionando um outro disco.

C. Criar um novo volume virtual, combinando o disco 1 e disco 2

D. Construir um novo volume listrado combinando Disk0 e disco 2

Answer: BSection: Configuring AD Infrastructure


QUESTION 6ABC.com tem um laboratório de avaliação do software. Existe um servidor no laboratório de avaliaçãonomeado como CKT. CKT executa o Windows Server 2008 e Microsoft Virtual Server 2005 R2. CKT tem200 servidores virtuais rodando em um segmento isolado virtual para avaliar software. Para se conectar àinternet, ele usa placa de interface de rede física. ABC.com exige que cada servidor da empresa paraacessar Internet. ABC.com política de segurança determina que o espaço de endereço IP utilizado pelolaboratório de avaliação de software não devem ser utilizados por outras redes. Mesma forma, afirma oespaço de endereço IP utilizados por outras redes não deve ser utilizado pelo laboratório de avaliaçãonetwork.As um administrador você achar que você que os aplicativos testados no laboratório de avaliaçãode software precisam acessar rede normal para se conectar aos vendedores atualizar os servidores em ainternet. Você precisará configurar todos os servidores virtuais no servidor CKT para acessar a internet.Você também precisa cumprir com a política de segurança da empresa. Quais duas ações você deverealizar para atingir essa tarefa? (Escolha duas respostas. Cada resposta é uma parte da soluçãocompleta)

A. Acionar o servidor DHCP virtual para a rede virtual externa e execute ipconfig /renew comando em cadaservidor virtual

B. Na interface do CKT da rede física, ativar o Internet Connection Sharing (ICS)

C. Use endereços IP ABC.com intranet em todos os servidores virtuais no CKT.

D. Adicionar e instale o Microsoft Loopback Adaptador de interface de rede em CKT. Use uma novainterface de rede e criar uma nova rede virtual.

E. Nenhum dos acima

Answer: ADSection: Maintaining the AD Environment


QUESTION 7Sua empresa tem um domínio do Active Directory. A empresa adquiriu 100 novos computadores. Vocêdeseja implantar os computadores como membros do domínio. Você precisa criar as contas decomputador em um OU.What você deve fazer?

A. Execute o comando csvde -f computers.csv

B. Execute o comando ldifde -f computers.ldf

C. Execute o comando <computerdn> dsadd computador

D. Execute o comando <computerdn> dsmod computador


Explanation/Reference:The -f switch creates an export file.Dsmod will not create computer accounts.

QUESTION 8A rede contém uma zona integrada ao Active Directory. Todos os servidores DNS que hospedam a zonasão controladores de domínio. Você pode adicionar vários registros de DNS para a zona. Você precisaassegurar que os registros são replicados para todos os servidores DNS. Qual ferramenta devo usar?

A. Dnslint

B. Ldp

C. Nslookup

D. Repadmin



QUESTION 9Você é um administrador no ABC.com. Empresa tem um servidor (somente leitura controlador de domínio)RODC em um local remoto. O local remoto não tem segurança física adequada. Você precisa ativarsenhas de contas não administrativas no servidor RODC. Qual das seguintes medidas devem serconsiderados para preencher o servidor RODC com senhas de contas não administrativas?

A. Apagar todas as contas administrativas do grupo do RODC

B. Configurar a permissão de Negar em receber contas administrativas na guia de segurança para oGrupoObjeto de Diretiva (GPO)

C. Configure as contas administrativas que devem ser adicionados na Replicação de Senha RODCNegado Domínio grupo

D. Adicionar um novo GPO e ativar as configurações de bloqueio de conta. Vinculá-lo ao servidor remotoRODC e, na guia de segurança no GPO, verifique a leitura Permitir e Aplicar permissões de grupo depolítica para os administradores.

E. Nenhum dos acima



QUESTION 10Sua empresa tem uma floresta do Active Directory que contém dois domínios, a floresta tem gruposuniversais que contêm membros de cada domínio, A filial tem um controlador de domínio chamado DC1,usuários no relatório da sucursal que o processo de logon leva muito tempo, você precisa para diminuir aquantidade de tempo que leva para os usuários de filiais de logon, que você deve fazer?

A. Configurar DC1 como um servidor de catálogo global,

B. Configurar DC1 como um servidor de ponte para o site da filial,

C. Diminua o intervalo de replicação no link de site que se conecta a filial para a rede corporativa,

D. Aumentar a replicationinterval no link de site que se conecta a filial para a rede corporativa.



QUESTION 11A Companhia possui um servidor Windows 2008 controlador de domínio. Este servidor é rotineiramenteapoiado sobre a rede de um servidor de backup dedicado que está executando o Windows 2003 OS. Vocêprecisa preparar o controlador de domínio para recuperação de desastres para além dos procedimentos debackup de rotina. Você é incapaz de lançar o utilitário de backup ao tentar fazer backup dos dados doestado do sistema para o tratamento dos dados. Você precisa fazer backup de dados do estado do sistemado servidor do Windows 2008 controlador de domínio. O que você deve fazer?

A. Adicionar sua conta de usuário ao grupo local Operadores de Backup

B. Instale o Windows recurso de backup do servidor usando o recurso do Server Manager.

C. Instale o recurso Gerenciador de armazenamento removível usando o recurso do Gerenciador deServidores

D. Desactivar o trabalho de backup que está configurado para backup do Windows 2008 controlador dedomínio do servidor no servidor Windows 2003.

E. Nenhum dos acima



QUESTION 12Sua empresa tem um domínio único diretório ativo chamado intranet.adatum.com. Os controladores dedomínio executem o Windows Server 2008 e da função de servidor DNS. Todos os computadores,incluindo não membros do domínio, registrar dinamicamente seus registros de DNS. Você precisa

configurar a zona intranet.adatum.com para permitir que os membros do domínio apenas para registrardinamicamente registros DNS. O que você deve fazer?

A. Definir as atualizações dinâmicas para proteger Only.

B. Remover o grupo Usuários autenticados.

C. Permitir transferências de zona para servidores de nome.

D. Negar o grupo Todos a permissão Criar Todos Criança objetos.



QUESTION 13Sua empresa tem uma sede e uma filial que são configurados como uma floresta único diretório Active. Onível funcional da floresta do Active Directory é o Windows Server 2003. Há quatro do Windows Server2003 controladores de domínio no escritório principal. Você precisa se certificar que você é capaz deimplantar um controlador de domínio somente leitura (RODC) na filial. Quais duas ações você deveexecutar? (Cada resposta correta representa parte da solução. Escolha dois.)

A. Elevar o nível funcional da floresta para o Windows Server 2008.

B. Implantar um controlador de domínio do Windows Server 2008, no escritório central.

C. Elevar o nível funcional do domínio para o Windows Server 2008.

D. Execute o comando adprep /rodcprep.

Answer: BDSection: Configuring Additional AD Server Roles


QUESTION 14Sua empresa, a Contoso, Ltd., tem escritórios na América do Norte e Europa. Contoso tem uma floresta doActive Directory que tem três domínios. Você precisa reduzir o tempo necessário para autenticar osusuários do domínio labs.eu.contoso.com quando acessar recursos no domínio a.contoso.com eng.n. Oque você deve fazer?

A. Diminua o intervalo de replicação para todos os objetos de conexão.

B. Diminua o intervalo de replicação para o link do site DEFAULTIPSITELINK.

C. Configurar uma confiança de atalho one-way de eng.na.contoso.com para labs.eu.contoso.com.

D. Configurar uma confiança de atalho one-way de labs.eu.contoso.com para eng.na.contoso.com.

Answer: CSection: Configuring AD Infrastructure


QUESTION 15Sua empresa usa pastas compartilhadas. Os usuários têm acesso às pastas compartilhadas usandogrupos de domínio local. Uma das pastas compartilhadas contém dados confidenciais. Você precisagarantir que usuários não autorizados não são capazes de acessar a pasta compartilhada que contémdados confidenciais. O que você deve fazer?

A. Ative o Não confiar neste propriedade fordelegation computador em todos os computadores de usuáriosnão autorizados usando o utilitário Dsmod.

B. Instrua os usuários não autorizados a fazer logon usando a conta de convidado. Configurar a permissãoNegar Controle total sobre as pastas compartilhadas que seguram a confidentialdata para a conta deconvidado.

C. Criar um grupo global chamado Negar DLG. Coloque o grupo global que contém os usuários não-autorizados para o grupo DLG Negar. Configurar a permissão Permitir controle total sobre a pastacompartilhada que mantenha o forthe dados confidenciais Negar DLG grupo.

D. Criar um grupo local de domínio chamado Negar DLG. Coloque o grupo global que contém os usuáriosnão-autorizados para o grupo DLG Negar. Configurar a permissão Negar Controle total sobre a pastacompartilhada que manter os dados confidenciais para o grupo DLG Negar.

Answer: DSection: Creating & Maintaining AD Objects


QUESTION 16Você é um administrador no ABC.com. Empresa tem uma rede de 5 servidores membros atuando comoservidores de arquivos. Ele tem um domínio do Active Directory. Você instalou um aplicativo de softwarenos servidores. Assim que o aplicativo é instalado, um dos servidores membros desliga-se. Para rastrear ecorrigir o problema, você cria um objeto de Diretiva de Grupo (GPO). Você precisa mudar as configuraçõesde segurança de domínio para traçar as paradas e identificar a causa do mesmo. O que você deve fazerpara executar essa tarefa?

A. Link the GPO to the domain and enable System Events option

B. Vincular o GPO ao domínio e permitir Auditoria opção Object Access

C. Vincular o GPO para os controladores de domínio e permitir Auditoria opção Object Access

D. Vincular o GPO para os controladores de domínio e permitir Auditoria opção Controle de processos

E. Executar todas as ações acima



QUESTION 17Sua empresa tem um domínio do Active Directory. Todos os servidores rodam Windows Server. Vocêimplantar uma Autoridade de Certificação do servidor (CA). Você criar um novo grupo de segurança globalchamada CertIssuers. Você precisa assegurar que os membros do grupo CertIssuers pode emitir, aprovare revogar certificados.O que você deve fazer?

A. Atribua a função Gerenciador de Certificados ao grupo CertIssuers

B. CertIssuers Grupo locais sem certificado de editor de Grupo

C. Execute o certsrv -add promt comando CertIssuers do servidor de certificação

D. Execute o add -membro -MemberType MemberSet comando CertIssuers por usingMicrosoft WindowsPowerShell



QUESTION 18Você precisa remover o Active Directory Domain Services de um papel controlador de domínio chamadoDC1.O que você deve fazer?

A. Execute o netdom remover DC1 comando.

B. Execute o utilitário Dcpromo. Remover o Active Directory Domain função de serviços.

C. Executar nltest /remove_server: DC1 comando.

D. Redefinir a conta de computador controlador de domínio usando o Active Directory Usuários eComputadores utilidade.



QUESTION 19Uma das filiais remotas do ramo Companhia está executando um Servidor Windows 2008 com controladorde domínio pronto só (RODC) instalado. Por motivos de segurança você não quer que alguns críticos,como as credenciais (senhas, chaves de criptografia) para ser armazenado no RODC. O que você devefazer para que essas credenciais não são replicadas para qualquer do RODC na floresta? (Select 2)

A. Configurar conjunto de atributos filtrados do RODC no servidor

B. Configurar RODC filtrada definida no servidor que mantém esquema função de mestre de operações.

C. Delegar permissões administrativas locais para um RODC para qualquer usuário do domínio semconceder esse usuário nenhum direito de usuário para o domínio

D. Configurar servidor de nível funcional da floresta para o Windows Server 2008 para configurar conjuntode atributos filtrados.

E. Nenhum dos acima

Answer: BDSection: Maintaining the AD Environment


QUESTION 20Empresa tem um domínio de rede única com o Windows 2000, Windows 2003 e Windows 2008 servidores.Os computadores clientes que executam o Windows XP e Windows Vista. Todos os controladores dedomínio estiver executando o Windows Server 2008.

Anexo BServidores ----------------------- sistema operacional ------------------- PapelCompany_DC1 ------------ Windows Server 2008 -------------- controlador de domínioEmpresa _DC2 ----------- Windows Server 2008 -------------- controlador de domínioEmpresa _SRV5 --------- Windows Server 2008 -------------- arquivos e servidor de impressão

Você precisa implantar Active Directory Rights Management System (AD RMS) a proteger todos osdocumentos, planilhas e para fornecer autenticação de usuário. O que você precisa para configurar, demodo a concluir a implantação do AD RMS?

A. Atualize todos os computadores cliente para o Windows Vista. Instalar o AD RMS no domínio daempresa controladora _DC1

B. Assegurar que todos os computadores com Windows XP tem o service pack mais recente e instalar ocliente RMS em todos os sistemas. Instalar o AD RMS no domínio da empresa controladora _DC1

C. Atualize todos os computadores cliente para o Windows Vista. Instalar o AD RMS em Empresa _SRV5

D. Assegurar que todos os computadores com Windows XP tem o service pack mais recente e instalar ocliente RMS em todos os sistemas. Instalar o AD RMS no domínio da empresa controladora _SRV5

E. Nenhum dos acima



Microsoft.Português.70-640.v2012-03-26.336q

Documents

ad environment15

ad dnsexplanationreference

ad lds10

ad infrastructure5

ad dns6

server roleserver1 windows

maintaining ad objects14

additional ad server