RponsesChapitre 1 : Rponses aux questions de rvisionLeon 11.
Bonnes rponses : A et B A. Vrai : Un contrleur de domaine cre ou
joint un domaine Active Directory,qui doit avoir un nom DNS
valide.
B. Vrai : Un domaine doit avoir un nom NetBIOS pour prendre en
chargedanciennes applications utilisant des noms NetBIOS.
C. Faux : Un serveur DHCP nest pas ncessaire. En fait, un
contrleur dedomaine doit avoir des adresses IP statiques.
D. Faux : Bien quun serveur DNS soit ncessaire pour la
fonctionnalit dundomaine, en son absence, lAssistant Installation
des services de domaine Active Directory installe et configure le
service DNS sur le contrleur de domaine.
2. Bonne rponse : D A. Faux : Au niveau fonctionnel de fort
Windows Server 2008, tous lesdomaines doivent fonctionner au niveau
fonctionnel de domaine Windows Server 2008. Comme il se peut que le
domaine Litware contienne des contrleurs de domaine Windows Server
2003, il doit rester au niveau fonctionnel de domaine Windows
Server 2003. En consquence, la fort doit galement rester au niveau
fonctionnel de fort Windows Server 2003.
B. Faux : Au niveau fonctionnel de fort Windows Server 2008,
tous lesdomaines doivent fonctionner au niveau fonctionnel de
domaine Windows Server 2008. Comme il se peut que le domaine
Litware contienne des contrleurs de domaine Windows Server 2003, il
doit rester au niveau fonctionnel de domaine Windows Server 2003.
En consquence, la fort doit galement rester au niveau fonctionnel
de fort Windows Server 2003.
C. Faux : Un domaine fonctionnant au niveau fonctionnel de
domaineWindows Server 2008 ne peut pas contenir de contrleurs de
domaine Windows Server 2003.
D. Vrai : Le domaine Litware pouvant contenir des contrleurs de
domaineWindows Server 2003, il doit en sexcuter au niveau
fonctionnel de domaine Windows Server 2003. Vous ne pouvez pas
augmenter le niveau fonctionnel de fort tant que tous les domaines
ne sexcutent pas au niveau fonctionnel de domaine Windows Server
2008.
1
2
Rponses
Leon 21. Bonne rponse : A A. Vrai : Un mot de passe est
ncessaire afin de pouvoir lassigner au compteAdministrateur local
sur le serveur aprs la suppression dAD DS.
B. Faux : SERVER02 est actuellement un contrleur de domaine et
vous y tesconnect en tant quAdministrateur. En consquence, vous
possdez dj les informations didentification ncessaires pour
lopration de rtrogradation.
C. Faux : SERVER02 est actuellement un contrleur de domaine et
vous y tesconnect en tant quAdministrateur. En consquence, vous
possdez dj les informations didentification ncessaires pour
lopration de rtrogradation. Le groupe Domain Controllers contient
des comptes dordinateurs pour les contrleurs de domaine.
2. Bonne rponse : D A. Faux : AD CS nest pas pris en charge sur
Server Core. B. Faux : AD FS nest pas pris en charge sur Server
Core. C. Faux : AD RMS nest pas pris en charge sur Server Core. D.
Vrai : Comme AD CS nest pas pris en charge sur Server Core, vous
devezrinstaller le serveur avec une installation complte de Windows
Server 2008.
Chapitre 1 : Rponses aux cas pratiquesScnario : Crer une fort
Active Directory1. Oui. Server Core prend en charge les services de
domaine Active Directory. Vousnavez pas besoin dune installation
complte de Windows Server 2008 pour crer un contrleur de
domaine.
2. Utilisez la commande Netsh pour configurer des adresses IP.
3. Utilisez Ocsetup.exe pour ajouter des rles de serveur. Sinon, la
commandeDcpromo.exe /unattend saccompagne de paramtres susceptibles
dinstaller le service DNS.
4. Utilisez Dcpromo.exe pour ajouter et configurer AD DS.
Chapitre 2 : RponsesLeon 11. Bonne rponse : C A. Faux : Le
composant logiciel enfichable Active Directory du Gestionnaire
deserveur, une fois dmarr, sexcute avec les mmes informations
Rponses
3
didentification que la console personnalise. Une erreur de type
Accs refus continuera se produire.
B. Faux : Bien que dsa.msc soit un raccourci pour ouvrir la
console Utilisateurset ordinateurs Active Directory, il sexcutera
avec les mmes informations didentification que la console
personnalise. Une erreur de type Accs refus continuera se
produire.
C. Vrai : Une erreur de type Accs refus indique que vos
informationsdidentification ne sont pas suffisantes pour accomplir
laction demande. La question indique que vous tes certain davoir
cette permission. La rponse introduit lhypothse que vous possdez un
deuxime compte. Mme si ce compte nest pas celui dun administrateur,
il sagit dun compte dadministration. Cest la meilleure faon de
rpondre cette question.
D. Faux : Il est possible dutiliser DSMOD USER avec le
commutateur p pourredfinir un mot de passe utilisateur ; toutefois,
la question porte sur lerreur Accs refus. Rien nindique que linvite
de commandes a t lance avec dautres informations didentification ;
en consquence, vous continuerez recevoir des erreurs de type Accs
refus.
Leon 21. Bonne rponse : D A. Faux : Une tche Active Directory,
quelle soit accomplie laide de la lignede commandes, de scripts ou
doutils dadministration de serveur distance, peuvent tre ralises
par nimporte quel utilisateur qui en a reu lautorisation.
B. Faux : Les Admins du domaine sont des membres du
groupeAdministrateurs dans le domaine. En consquence, toutes les
autorisations assignes aux Administrateurs vous seront galement
attribues en tant que membre du groupe Admins du domaine.
C. Faux : La possibilit de supprimer une OU ou tout autre objet
dans ActiveDirectory est lie aux autorisations et non
l'appartenance.
D. Vrai : Les nouvelles units dorganisation sont cres avec une
protectioncontre les suppressions. Vous devez enlever la protection
avant de supprimer lOU. Pour ce faire, dans le composant logiciel
enfichable Utilisateurs et ordinateurs Active Directory, avec les
Fonctionnalits avances slectionnes, cliquez sur longlet Objet dans
la bote de dialogue des proprits de lOU.
Leon 31. Bonnes rponses : A, B et D A. Vrai : Dans une OU,
lassignation dune tche dadministration requiert lamodification de
la DACL. La bote de dialogue Paramtres de scurit
4
Rponses
avancs offre laccs le plus direct aux autorisations de la DACL.
LAssistant Dlgation de contrle masque la complexit des ACE dobjet
en vous guidant dans lattribution dautorisations des groupes. Il
est possible dutiliser DSACLS pour grer des autorisations Active
Directory depuis linvite de commandes.
B. Vrai : Dans une OU, lassignation dune tche dadministration
requiert lamodification de la DACL. La bote de dialogue Paramtres
de scurit avancs offre laccs le plus direct aux autorisations de la
DACL. LAssistant Dlgation de contrle masque la complexit des ACE
dobjet en vous guidant dans lattribution dautorisations des
groupes. Il est possible dutiliser DSACLS pour grer des
autorisations Active Directory depuis linvite de commandes.
C. Vrai : Dans une OU, lassignation dune tche dadministration
requiert lamodification de la DACL. La bote de dialogue Paramtres
de scurit avancs offre laccs le plus direct aux autorisations de la
DACL. LAssistant Dlgation de contrle masque la complexit des ACE
dobjet en vous guidant dans lattribution dautorisations des
groupes. Il est possible dutiliser DSACLS pour grer des
autorisations Active Directory depuis linvite de commandes.
D. Faux : DSUTIL sert grer les proprits du domaine et du
servicedannuaire mais pas les autorisations dobjet.
E. Vrai : Dans une OU, lassignation dune tche dadministration
requiert lamodification de la DACL. La bote de dialogue Paramtres
de scurit avancs offre laccs le plus direct aux autorisations de la
DACL. LAssistant Dlgation de contrle masque la complexit des ACE
dobjet en vous guidant dans lattribution dautorisations des
groupes. Il est possible dutiliser DSACLS pour grer des
autorisations Active Directory depuis linvite de commandes.
Chapitre 2 : Rponses aux cas pratiquesScnario : Units
dorganisation et dlgation1. La meilleure conception pour les objets
ordinateur de Contoso serait une seule OUparente contenant des OU
enfants pour chaque site. Le contrle des objets ordinateur de cette
OU doit avoir t dlgu lquipe charge du support de chaque site. LOU
parent peut servir dlguer des autorisations de sorte que lquipe
situe au sige social puisse grer des objets ordinateurs dans
nimporte quel site.
2. Mme si chaque site ne possde quun ou deux membres du
personneldassistance, il est toujours recommand de crer un groupe,
dy placer des utilisateurs et de lui dlguer des autorisations.
mesure que lorganisation et les
Rponses
5
quipes dassistance stoffent, et que les utilisateurs intgrent ou
quittent lorganisation, la gestion des autorisations assignes aux
comptes dutilisateur devient trs complexe. Une fois lautorisation
attribue un groupe, on peut simplement ajouter ou supprimer du
groupe du personnel dassistance.
3. Comme des utilisateurs peuvent demander de lassistance de
nimporte quel site une personne base dans un autre site, les
utilisateurs doivent demeurer dans une seule OU. Inutile de diviser
les utilisateurs en OU en fonction de sites bass sur la dlgation ou
la grabilit. LOU qui contient les utilisateurs doit tre dlgue un
groupe contenant lensemble du personnel dassistance. En fait, vous
pouvez crer un groupe incluant les groupes des quipes de support de
chaque site.
Chapitre 3 : Rponses aux questions de rvisionLeon 11. Bonne
rponse : C. A. Faux : Bien quun modle de compte dutilisateur
permette de copierplusieurs dizaines dattributs dans un nouveau
compte dutilisateur, vous devrez copier le modle 2 000 fois pour
achever cette tche.
B. Faux : La commande LDIFDE importe des objets de fichiers LDIF
ce qui ,nest pas le format gr nativement par Microsoft Office
Excel.
C. Vrai : La commande CSVDE importe des objets de fichiers texte
spars pardes virgules quExcel peut ouvrir, modifier et
enregistrer.
D. Faux : La commande Dsadd permet de crer un utilisateur depuis
la ligne decommandes mais vous devrez excuter la commande 2 000
fois pour achever cette tche.
2. Bonne rponse : A A. Vrai : LDIFDE prend en charge lajout, la
modification ou la suppressiondobjets Active Directory.
B. Faux : Dsmod modifie les proprits dun objet existant. C. Faux
: La commande DEL efface un fichier. D. Faux : CSVDE importe des
utilisateurs mais ne les supprime pas.
Leon 21. Bonne rponse : C A. Faux : Il nexiste pas dapplet de
commande native dans WindowsPowerShell pour crer des
utilisateurs,
B. Faux : ADSI ne propose pas de mthode NewUser. C. Vrai : Un
conteneur, comme une OU ou un domaine, propose une mthodeCreate
pour crer des objets dune classe dfinie.
6
Rponses
D. Faux : Il sagit dune syntaxe VBScript, aisment reconnaissable
lutilisationde linstruction Set.
2. Bonne rponse : D A. Faux : Il nexiste pas dapplet de commande
native dans WindowsPowerShell pour crer des utilisateurs,
B. Faux : La mthode SetInfo enregistre un nouvel utilisateur et
ses propritsdans Active Directory mais elle doit tre utilise
conjointement des commandes qui crent lobjet et ses attributs. Elle
ne peut pas tre utilise seule.
C. Faux : Un conteneur, tel quune OU ou un domaine, propose une
mthodeCreate pour crer des objets dune classe dfinie, mais tant que
la mthode SetInfo na pas t utilise, lobjet nest pas enregistr dans
Active Directory. En consquence, Create ne suffit pas.
D. Vrai : La commande Dsadd peut crer un utilisateur avec une
seulecommande.
3. Bonnes rponses : A, B et D A. Vrai : Un objet est cr en
invoquant la mthode Create dun conteneurcomme une OU.
B. Vrai : La mthode SetInfo enregistre un nouvel utilisateur et
ses propritsdans Active Directory. Si la mthode SetInfo nest pas
utilise, le nouvel objet et les changements apports ses proprits se
traduisent uniquement dans votre reprsentation locale de
lobjet.
C. Faux : Ce code nest pas valide. Il ressemble au code utilis
dans VBScript,mais pas dans le cadre de la cration dobjets
utilisateur.
D. Vrai : Vous devez vous connecter au conteneur dans lequel
lutilisateur seracr.
Leon 31. Bonne rponse : C A. Faux : Vous pouvez utiliser la
touche Ctrl pour slectionner plusieursutilisateurs mais ils doivent
se trouver dans la mme OU. Les dix utilisateurs de ce scnario se
trouvent dans des OU diffrentes.
B. Faux : Dsmod vous permet de modifier la proprit Bureau mais
Dsget nepourra pas localiser les objets. Dsget permet dafficher des
attributs et non de localiser des objets.
C. Vrai : Vous pouvez utiliser la commande Dsquery pour
identifier desutilisateurs dont la proprit Bureau est dfinie Miammi
et transmettre les rsultats la commande Dsmod via un pipeline pour
modifier la proprit Bureau.
D. Faux : Ces applets de commande ne sont pas utilises avec des
objets ActiveDirectory.
Rponses
7
2. Bonnes rponses : B et C. A. Faux : Move-Item est une applet
de commande Windows PowerShell validequi dplace des objets dans un
espace de noms, mais Windows PowerShell nexpose pas encore Active
Directory comme espace de noms.
B. Vrai : VBScript utilise la mthode MoveHere dun conteneur pour
dplacerun utilisateur dans le conteneur.
C. Vrai : Vous pouvez utiliser la commande Dsmove pour dplacer
un objetdans Active Directory.
D. Faux : La commande Redirusr.exe est utilise pour configurer
ActiveDirectory afin que les nouveaux objets utilisateur qui ont t
crs sans spcifier dOU se placent dans un autre conteneur que le
conteneur Users par dfaut.
E. Faux : Loutil de migration dActive Directory sert migrer des
comptes entredes domaines.
3. Bonne rponse : A A. Vrai : Les restrictions dordinateurs
limitent les ordinateurs auxquels unutilisateur peut se connecter.
Sous longlet Compte de son compte dutilisateur, cliquez sur le
bouton Se connecter et ajoutez lordinateur en slectionnant son nom
dans la liste des stations de travail accessibles.
B. Faux : Lorsquun compte est cr, vous pouvez contrler qui est
autoris joindre lordinateur au domaine avec ce bouton, mais cela na
rien voir avec qui peut se connecter lordinateur aprs quil est
devenu un membre du domaine.
C. Faux : Dsmove est utilis pour dplacer un objet dans Active
Directory. D. Faux : Bien que le droit de se connecter localement
soit requis, le messagederreur signal nest pas celui quelle aurait
reu si elle avait possd ce droit.
Chapitre 3 : Rponses aux cas pratiquesScnario : Importer des
comptes dutilisateurs1. Vous devez utiliser un script VBScript ou
Windows PowerShell. Ces deux langagesde script sont tous deux
capables dutiliser une base de donnes, par exemple un fichier Excel
enregistr sous forme de fichier de valeurs spares par des virgules
(.cvs), comme source de donnes pour crer des comptes dutilisateur.
Dans le script, vous pouvez implmenter la logique mtier. Par
exemple, il est possible de construire les attributs du nom
douverture de session et de ladresse de messagerie en utilisant les
informations lies au nom dutilisateur fournies dans le fichier
Excel. Mme si CSVDE permet dimporter des fichiers .csv, il se
contente
8
Rponses
dimporter les attributs dans le fichier ; il ne peut pas
implmenter la logique mtier ni crer de nouveaux attributs en temps
rel.
2. Vous pouvez dsactiver les comptes crs jusqu larrive des
tudiants. 3. Dans le composant logiciel enfichable Utilisateurs et
ordinateurs Active Directory,vous pouvez slectionner tous les
utilisateurs et changer lattribut company en une seule tape.
linvite de commandes, utilisez Dsquery.exe pour transmettre par
pipeline le DN de tous les utilisateurs vers Dsmod.exe qui pourra
modifier cet attribut.
Chapitre 4 : Rponses aux questions de rvisionLeon 11. Bonne
rponse : B A. Faux : Les groupes de scurit tendue universelle
peuvent contenir desutilisateurs ou des groupes de domaines
externes approuvs. Ils peuvent contenir des utilisateurs, des
groupes globaux et dautres groupes universels de nimporte quel
domaine de la fort.
B. Vrai : Les groupes de scurit tendue de domaine local peuvent
contenirdes membres de domaines externes approuvs.
C. Faux : Les groupes de scurit globaux ne peuvent pas contenir
desutilisateurs ou des groupes de domaines externes approuvs. Ils
peuvent contenir des utilisateurs et dautres groupes globaux
uniquement du mme domaine.
D. Faux : Les groupes de distribution ne peuvent pas recevoir
dautorisationsvers des ressources.
2. Bonne rponse : D A. Faux : Ce groupe est un groupe de
distribution qui ne peut pas recevoirdautorisation. Le fait de
modifier ltendue ne rsoudra pas cette limitation.
B. Faux : Ce groupe est un groupe de distribution qui ne peut
pas recevoirdautorisation. Le fait de modifier ltendue ne rsoudra
pas cette limitation.
C. Faux : Ce groupe est un groupe de distribution. Le fait de
lajouter au groupeDomain Users ne permettra pas ses membres daccder
au dossier partag.
D. Vrai : Le commutateur secgrp yes transforme le type de groupe
en groupe descurit ; ensuite, vous pouvez lajouter lACL du dossier
partag.
3. Bonnes rponses : C, D, E et F A. Faux : Les groupes globaux
ne peuvent pas contenir de groupes globauxprovenant dautres
domaines.
B. Faux : Les groupes globaux ne peuvent pas contenir de groupes
globauxprovenant dautres domaines.
Rponses
9
C. Vrai : Les groupes globaux peuvent contenir des utilisateurs
appartenant lamme fort.
D. Vrai : Les groupes globaux peuvent contenir des utilisateurs
provenant dedomaines approuvs.
E. Vrai : Les groupes globaux peuvent contenir des utilisateurs
appartenant aumme domaine.
F. Vrai : Les groupes globaux peuvent contenir des groupes
globauxappartenant au mme domaine.
G. Faux : Les groupes globaux ne peuvent pas contenir de groupes
locaux dudomaine.
H. Faux : Les groupes globaux ne peuvent pas contenir des
groupes universels.
Leon 21. Bonnes rponses : B, C et D A. Faux : Lapplet de
commande Remove-Item de Windows PowerShell nepeut pas tre utilise
pour supprimer les membres dun groupe car les groupes ne sont pas
exposs dans un espace de noms.
B. Vrai : Dsrm permet de supprimer un groupe. C. Vrai : Dsmod
avec loption remmbr peut supprimer des membres dungroupe.
D. Vrai : LDIFDE avec une opration changetype: modify et une
oprationdelete:member peut supprimer des membres dans un
groupe.
E. Faux : CSVDE peut importer de nouveaux groupes. Il ne peut
pas modifierdes groupes existants.
2. Bonne rponse : B A. Faux : Dsrm supprime un groupe. La
suppression dun groupe ne rsoudrapas le problme.
B. Vrai : Vous pouvez utiliser Dsmod avec le commutateur scope
pour modifierltendue du GroupeA et le changer en groupe universel
puis en groupe global. Vous pourrez alors ajouter le GroupeA au
GroupeB. Cette question est dlicate. Parfois, certaines questions
sont trompeuses. Celle-ci ne porte pas sur lutilisation des
commandes ni mme sur lajout dun groupe un autre mais sur ltendue du
groupe.
C. Faux : Dsquery recherche des objets dans Active Directory. Il
ne peut paseffectuer de changement et ne rsoudra pas le
problme.
D. Faux : Dsget extrait un attribut dun objet. Il ne peut pas
effectuer dechangement et ne rsoudra pas le problme.
3. Bonne rponse : D A. Faux : Get-Members est une applet de
commande Windows PowerShell quircupre les membres dun objet
programm, et non dun groupe.
10
Rponses
B. Faux : Dsquery recherche dans Active Directory des objets
correspondant un filtre de recherche. Il ne liste pas les
appartenances aux groupes.
C. Faux : LDIFDE peut tre utilis pour exporter un groupe et donc
sesmembres, mais uniquement des membres directs.
D. Vrai : Dsget retourne un attribut dun objet, y compris
lattribut member desobjets groupe. Avec loption expand, Dsget
retourne lappartenance complte dun groupe.
Leon 31. Bonne rponse : D A. Faux : Les membres de lquipe ont dj
cette autorisation. Celle-ci ne lesempchera pas daccder au dossier
depuis dautres ordinateurs.
B. Faux : Les membres de lquipe ont dj cette autorisation.
Celle-ci ne lesempchera pas daccder au dossier depuis dautres
ordinateurs.
C. Faux : Cette autorisation ne les empchera pas daccder au
dossier depuisdautres ordinateurs.
D. Vrai : Une autorisation de type Refuser prend le pas sur les
autorisations detype Autoriser. Si le membre dune quipe tente de se
connecter au dossier depuis un autre ordinateur, il sera un membre
du groupe didentit spcial Rseau et se verra refuser laccs. Si le
mme membre de lquipe se connecte localement un ordinateur de la
salle de confrence, il sera membre du groupe Interactif et non
Rseau et les autorisations qui lui sont accordes en tant que membre
de lquipe lui donneront accs au dossier.
2. Bonne rponse : D A. Faux : Longlet Membre de du groupe permet
dajouter et de supprimer desmembres mais pas de dlguer
ladministration de lappartenance.
B. Faux : Longlet Scurit de lobjet utilisateur Mike Danseglio
dfinit qui a lapossibilit de raliser des tches sur cet objet et non
ce que Mike peut faire.
C. Faux : Longlet Membre de lobjet utilisateur Mike Danseglio
dtermine lesgroupes auquel il appartient et non ceux dont il sest
vu dlguer le contrle.
D. Vrai : Longlet Gr par dun groupe permet de spcifier le
responsable dugroupe et dautoriser ce dernier actualiser
lappartenance au groupe.
3. Bonnes rponses : B, C et D A. Faux : Les Oprateurs de compte
nont pas le droit darrter un contrleurde domaine.
B. Vrai : Les Oprateurs dimpression ont le droit darrter un
contrleur dedomaine.
C. Vrai : Les Oprateurs de sauvegarde ont le droit darrter un
contrleur dedomaine.
Rponses
11
D. Vrai : Les Oprateurs de serveur ont le droit darrter un
contrleur dedomaine.
E. Faux : Le groupe didentit spcial Interactif na pas le droit
darrter uncontrleur de domaine.
Chapitre 4 : Rponses aux cas pratiquesScnario : Mise en uvre
dune Stratgie de groupe1. Les groupes de scurit globaux peuvent tre
utiliss pour reprsenter des rlesdutilisateur chez Trey Research et
Woodgrove Bank.
2. Les groupes de scurit tendue de domaine local doivent tre
utiliss pour grerlaccs en lecture et en criture aux dossiers Pain
en tranches.
3. Les groupes globaux Marketing et Recherche seront membres du
groupe dedomaine local qui gre laccs en criture. Le groupe qui gre
laccs en lecture devra avoir les membres suivants : Finance, le
Responsable, son assistante et le groupe global Auditeurs du
domaine Woodgrove Bank.
Chapitre 5 : Rponses aux questions de rvisionLeon 11. Bonne
rponse : D A. Faux : Dsmove est un utilitaire en ligne de commandes
qui dplace desobjets existants dans Active Directory. Il ne contrle
pas lemplacement par dfaut des nouveaux objets.
B. Faux : Move-Item est une applet de commande Windows
PowerShell quidplace des objets dans un espace de noms.
C. Faux : Netdom est un utilitaire en ligne de commandes qui
permet de joindreun domaine, de renommer un ordinateur et
daccomplir dautres activits lies lordinateur, mais il ne contrle
pas lemplacement par dfaut des nouveaux ordinateurs.
D. Vrai : Redircmp est un utilitaire en ligne de commandes qui
redirige leconteneur des ordinateurs par dfaut vers une autre
OU.
2. Bonne rponse : A A. Vrai : Lattribut
ms-DS-MachineAccountQuota du domaine autorise par dfauttous les
utilisateurs authentifis joindre les dix ordinateurs du domaine. Ce
quota est contrl lorsquun utilisateur joint un ordinateur au
domaine sans compte prdfini. Dfinissez cet attribut zro.
B. Faux : Cet attribut configure le quota par dfaut de tous les
objets ActiveDirectory, et non celui des nouveaux comptes
dordinateur seulement.
12
Rponses
C. Faux : La suppression de ce droit dutilisateur nempche pas
les Utilisateursauthentifis de joindre des ordinateurs au
domaine.
D. Faux : La dfinition de cette autorisation empchera tous les
utilisateurs, ycompris les administrateurs, de crer des comptes
dordinateurs.
3. Bonne rponse : B A. Faux : Dsadd cre de nouveaux objets, y
compris des objets ordinateur, maisne joint pas un ordinateur au
compte.
B. Vrai : Netdom Join peut joindre un ordinateur local ou un
ordinateur distantau domaine.
C. Faux : Dctest teste les diffrents composants dun contrleur de
domaine. D. Faux : System.cpl reprsente lapplication Proprits
systme du Panneau deconfiguration. Il vous permet de joindre
lordinateur local un domaine mais pas de joindre un ordinateur
distant au domaine.
Leon 21. Bonne rponse : C A. Faux : CSVDE peut importer un ou
plusieurs ordinateurs mais exige dabordque vous criez un fichier de
valeurs spares par des virgules.
B. Faux : LDIFDE peut importer un ou plusieurs ordinateurs mais
exigedabord que vous criez un fichier LDIF .
C. Vrai : Dsadd permet de crer un objet ordinateur avec une
seule commande. D. Faux : Windows PowerShell permet dutiliser ADSI
pour crer desordinateurs, mais il requiert plusieurs commandes.
E. Faux : VBScript permet dutiliser ADSI pour crer des
ordinateurs mais ilrequiert que vous criez dabord un script.
2. Bonnes rponses : A, D et E A. Vrai : CSVDE peut importer un
ou plusieurs ordinateurs dun fichier .csv, etExcel peut enregistrer
une feuille de calcul sous forme de fichier .csv.
B. Faux : LDIFDE peut importer un ou plusieurs ordinateurs mais
Excel nepermet pas de crer un document au format LDIF .
C. Faux : Dsadd permet de crer des objets ordinateur un par un.
D. Vrai : Windows PowerShell permet dutiliser ADSI pour crer
desordinateurs et utilise un fichier .csv comme source de
donnes.
E. Vrai : VBScript permet dutiliser ADSI pour crer des
ordinateurs et utiliseun fichier .csv comme source de donnes.
Rponses
13
Leon 31. Bonne rponse : A A. Vrai : Ces vnements sont
caractristiques dun canal scuris rompu. Larinitialisation du compte
de lordinateur est laction entreprendre pour rgler ce problme.
B. Faux : Lvnement ne reflte pas un problme
dauthentificationdutilisateur.
C. Faux : La dsactivation du compte de serveur empchera le
serveurdauthentifier. Son activation ne rglera pas le problme.
D. Faux : Lvnement ne reflte pas un problme
dauthentificationdutilisateur.
2. Bonnes rponses : C, D et E A. Faux : La suppression du compte
dordinateur entranera la suppression deson SID et ses appartenances
aux groupes seront perdues. Vous serez contraint dajouter le
nouveau compte aux mmes groupes et dassigner des autorisations au
nouveau compte.
B. Faux : La cration dun nouveau compte destin au nouveau systme
gnreun nouveau SID. Vous devrez assigner de nouveau des
autorisations et recrer les appartenances aux groupes.
C. Vrai : La rinitialisation du compte dordinateur permet un
systme dejoindre le domaine en utilisant ce compte. Le SID du
compte et les appartenances aux groupes sont conservs.
D. Vrai : Vous devez renommer le compte de sorte quil puisse tre
joint aunouveau systme grce son nom.
E. Vrai : Aprs avoir rinitialis et renomm le compte, vous devez
joindre lenouveau systme au domaine.
3. Bonne rponse : C A. Faux : Une flche vers le bas indique que
les comptes dordinateur sontdsactivs. Il nest pas ncessaire de
rinitialiser les comptes.
B. Faux : Une flche vers le bas indique que les comptes
dordinateur sont djdsactivs.
C. Vrai : Une flche vers le bas indique que les comptes sont
dsactivs. Vousdevez les activer.
D. Faux : Une flche vers le bas indique que les comptes
dordinateur sontdsactivs. Il nest pas ncessaire de supprimer les
comptes.
14
Rponses
Chapitre 5 : Rponses aux cas pratiquesScnario 1 : Crer des
objets ordinateur et les joindre au domaine1. Les ordinateurs sont
ajouts au conteneur Computers car il sagit du conteneur pardfaut.
Lorsquun ordinateur est joint au domaine et quun compte a t prdfini
dans une OU spcifique, Windows cre le compte dans ce conteneur par
dfaut.
2. La commande Redircmp.exe peut rediriger ce conteneur par
dfaut vers lOUClients.
3. Vous pouvez ramener lattribut ms-DS-MachineAccountQuota zro.
Par dfaut, savaleur est 10, ce qui permet tous les utilisateurs
authentifis de crer des ordinateurs et de joindre jusqu dix systmes
un domaine.
Scnario 2 : Automatiser la cration des comptes dordinateur1.
CSVDE importe des fichiers .csv qui peuvent tre exports depuis
Excel. 2. Dsquery computer DN de lOU | dsmod computer disabled yes
3. Vous pouvez slectionner 100 systmes, cliquer droit sur lun deux
et choisirProprits. Vous pouvez modifier lattribut Description de
tous les objets en une seule tape dans la bote de dialogue Proprits
dlments multiples.
Chapitre 6 : Rponses aux questions de rvisionLeon 11. Bonnes
rponses : B et D A. Faux : Le magasin central sert centraliser des
modles dadministration desorte quil ne soit pas ncessaire de les
conserver sur les stations de travail des administrateurs.
B. Vrai : Pour crer des GPO, les administrateurs des filiales
doivent avoirlautorisation daccder au conteneur Objets de Stratgie
de groupe. Par dfaut, les Propritaires crateurs de la Stratgie de
groupe possdent cette autorisation. Donc, lajout dadministrateurs
ce groupe leur permettra de crer de nouveaux GPO.
C. Faux : Les administrateurs des filiales ont besoin de
lautorisation de lier desGPO uniquement leur OU, et non dans
lensemble du domaine. En consquence, la dlgation de lautorisation
de lier des GPO au domaine confre une autorisation trop importante
aux administrateurs.
Rponses
15
D. Vrai : Aprs la cration dun GPO, les administrateurs des
filiales doiventtre capables dtendre le GPO aux utilisateurs et aux
ordinateurs de leur OU ; en consquence, ils doivent avoir
lautorisation Lier les objets GPO.
2. Bonnes rponses : B et D A. Faux : Le magasin central sert
centraliser des modles dadministration desorte ce quil ne soit pas
ncessaire de les conserver sur les stations de travail des
administrateurs.
B. Vrai : Pour crer des GPO, les administrateurs des filiales
doivent avoirlautorisation daccder au conteneur Objets de Stratgie
de groupe. Par dfaut, les Propritaires crateurs de la Stratgie de
groupe possdent cette autorisation. Donc, lajout des
administrateurs ce groupe leur permettra de crer de nouveaux
GPO.
C. Faux : Les administrateurs des filiales ont besoin de
lautorisation de lier desGPO uniquement leur OU, et non dans
lensemble du domaine. En consquence, la dlgation de lautorisation
de lier des GPO au domaine confre une autorisation trop importante
aux administrateurs.
D. Vrai : Aprs la cration dun GPO, les administrateurs des
filiales doiventtre capables dtendre le GPO aux utilisateurs et aux
ordinateurs de leur OU ; en consquence, ils doivent avoir
lautorisation Lier les objets GPO.
3. Bonne rponse : D A. Faux : Un rapport sauvegard est une
description HTML ou XML dun GPOet de ses paramtres. Il ne peut pas
tre import dans un autre GPO.
B. Faux : La commande Restaurer partir dune sauvegarde permet
derestaurer un GPO dans sa globalit.
C. Faux : Vous ne pouvez pas coller des paramtres dans un GPO.
D. Vrai : Vous pouvez importer des paramtres dans un GPO existant
partirde paramtres sauvegards appartenant un autre GPO.
Leon 21. Bonnes rponses : B et C A. Faux : Si vous configurez un
domaine pour bloquer lhritage, les GPO lisaux sites ne
sappliqueront pas aux utilisateurs ni aux ordinateurs du domaine.
Le GPO de Northwind Lockdown est li au domaine et sappliquera tous
les utilisateurs, y compris ceux du groupe Admins du domaine.
B. Vrai : En bloquant lhritage dans lOU qui contient tous les
utilisateurs dugroupe Admins du domaine, vous empchez que les
paramtres de la stratgie sappliquent ces utilisateurs.
C. Vrai : Lautorisation Refuser : Appliquer la Stratgie de
groupe, assigne auxAdmins du domaine, carte les Admins du domaine
de ltendue du GPO, qui sapplique sinon au groupe Utilisateurs
authentifis.
16
Rponses
D. Faux : Tous les comptes dutilisateurs du domaine
appartiennent en premierlieu au groupe Utilisateurs du domaine. En
consquence, le GPO sappliquera tous les utilisateurs, y compris
ceux du groupe Admins du domaine.
2. Bonnes rponses : A et D A. Vrai : Comme les restrictions de
bureau se trouvent sous le nudConfiguration utilisateur mais
quelles sappliquent lorsque des utilisateurs ouvrent une session
sur des ordinateurs spcifiques, le traitement de la stratgie par
boucle de rappel est ncessaire.
B. Faux : La liaison du GPO lOU qui contient des comptes
dutilisateur faitque ces restrictions sappliquent tout moment tous
les utilisateurs, et non uniquement lorsquils se connectent aux
systmes de la salle de confrence ou de formation.
C. Faux : Loption Bloquer lhritage nest pas ncessaire et
empcheralapplication de tous les autres GPO des OU parentes, du
domaine et des sites.
D. Vrai : Pour tendre le GPO correctement, vous devez le lier
lOU quicontient les objets ordinateur des systmes de la salle de
confrence et de formation.
Leon 31. Bonnes rponses : B et D A. Faux : LAssistant
Modlisation de Stratgie de groupe permet de simulerlapplication de
la Stratgie de groupe et non dtablir un rapport de son
application.
B. Vrai : LAssistant Rsultats de Stratgie de groupe permet
dtablir un rapportde lapplication de la Stratgie de groupe sur un
systme distant.
C. Faux : Gpupdate.exe permet dinitier une actualisation
manuelle de lastratgie.
D. Vrai : Gpresult.exe peut tre utilis avec le commutateur /s
pour runir desinformations sur le jeu de stratgie rsultant
distance.
E. Faux : Msconfig.exe permet de runir des informations systme
et decontrler le dmarrage du systme.
2. Bonne rponse : A A. Vrai : Gpresult.exe gnre un rapport du
jeu de stratgie rsultant qui indiquequand le GPO a t appliqu. Les
paramtres de stratgie de lcran de veille sont des paramtres de
configuration utilisateur, vous devez donc excuter Gpresult.exe
pour obtenir les paramtres utilisateur.
B. Faux : La commande Gpresult.exe ne possde pas doption
computer. C. Faux : Les paramtres dcran de veille sont des
paramtres de configurationdutilisateur et non dordinateur.
Rponses
17
D. Faux : Gpupdate.exe permet de dclencher lactualisation de la
stratgie etnon de gnrer un rapport sur son application.
Chapitre 6 : Rponses aux cas pratiquesScnario : Implmentation de
la Stratgie de groupe1. Les paramtres qui contrlent lenvironnement
du Bureau de lutilisateur setrouvent sous le nud Configuration
utilisateur.
2. Liez le GPO lOU contenant les ordinateurs des salles de
formation. Si vous le liez celle qui contient les utilisateurs, les
paramtres affecteront les utilisateurs de tous les ordinateurs de
Northwind Traders.
3. Vous devez activer le traitement de la stratgie par boucle de
rappel. Si vous liez leGPO lOU qui contient les ordinateurs des
salles de formation et que vous activez le traitement par boucle de
rappel, les ordinateurs des salles de formation appliqueront les
paramtres situs sous le nud Configuration utilisateur du GPO.
4. Le traitement par boucle de rappel doit tre configur en mode
Remplacer. Dans cemode, les paramtres utilisateur des GPO tendus
lutilisateur sont ignors. Seuls les paramtres utilisateur des GPO
tendus lordinateur sont appliqus.
5. Vous devez exclure les ordinateurs des salles de formation de
ltendue du GPO li lcran de veille. Pour ce faire, vous disposez de
deux solutions : bloquer lhritage dans lOU contenant les
ordinateurs de la salle de formation ou utiliser le filtrage laide
de groupes de scurit dans le GPO du domaine. Crez un groupe
contenant les ordinateurs de la salle de formation et accordez
lautorisation Refuser : Appliquer la Stratgie de groupe au GPO
dcran de veille de ce groupe.
Chapitre 7 : Rponses aux questions de rvisionLeon 11. Bonnes
rponses : A, B, C et D A. Vrai : Le compte Administrateur local est
membre par dfaut desAdministrateurs. Il ne peut pas tre
supprim.
B. Vrai : Le groupe Admins du domaine est ajout aux
Administrateurslorsquun ordinateur joint le domaine. Les paramtres
de stratgie Membre de ajoutent les groupes spcifis aux
Administrateurs et ne suppriment pas des membres existants.
C. Vrai : Support Sydney est ajout au groupe Administrateurs par
le GPOSupport Sydney. Les paramtres de stratgie Membre de ajoutent
les groupes spcifis aux Administrateurs et ne suppriment pas des
membres existants.
18
Rponses
D. Vrai : Lassistance technique est ajoute au groupe
Administrateurs par leGPO Assistance technique de lentreprise. Les
paramtres de stratgie Membre de ajoutent les groupes spcifis aux
Administrateurs et ne suppriment pas des membres existants.
E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un
membre pardfaut des administrateurs et nest ajout aux
Administrateurs par aucun de ces GPO.
2. Bonnes rponses : A et C A. Vrai : Le compte Administrateur
local est un membre par dfaut desAdministrateurs. Il ne peut pas
tre supprim.
B. Faux : Le groupe Admins du domaine est ajout aux
Administrateurslorsquun ordinateur joint le domaine mais est
supprim par le GPO Support Sydney qui spcifie lappartenance faisant
autorit du groupe.
C. Vrai : Support Sydney est ajout au groupe Administrateurs par
le GPOSupport Sydney.
D. Faux : LAssistance technique est spcifie comme membre du
groupeAdministrateurs par le GPO Assistance technique de
lentreprise, mais le GPO Support Sydney a une priorit plus leve car
il est li lOU o se trouve DESKTOP234. En consquence, lappartenance
spcifie par le paramtre Membre de du GPO Support Sydney fait
autorit.
E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un
membre pardfaut des administrateurs et nest ajout aux
Administrateurs par aucun de ces GPO.
3. Bonnes rponses : A, C et D A. Vrai : Le compte Administrateur
local est un membre par dfaut desAdministrateurs. Il ne peut pas
tre supprim.
B. Faux : Le groupe Admins du domaine est ajout aux
Administrateurslorsquun ordinateur joint le domaine, mais il est
supprim par le GPO Assistance technique de lentreprise qui spcifie
lappartenance des Administrateurs laide du paramtre Membre de ce
groupe.
C. Vrai : Support Sydney est ajout au groupe Administrateurs par
le GPOSupport Sydney. Comme la priorit du GPO Support Sydney est
plus leve que celle du GPO Assistance technique de lentreprise,
DESKTOP234 applique le GPO Support Sydney aprs lapplication du GPO
Assistance technique de lentreprise ; donc, les membres du GPO
Support Sydney sont ajouts au groupe Administrateurs.
D. Vrai : Lassistance technique est spcifie comme membre du
groupeAdministrateurs par le GPO Assistance technique de
lentreprise. Lorsquil est appliqu, tous les autres membres du
groupe Administrateurs sont supprims, lexception de ladministrateur
lui-mme.
Rponses
19
E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un
membre pardfaut des administrateurs et nest ajout aux
Administrateurs par aucun de ces GPO.
Leon 21. Bonne rponse : B A. Faux : La Stratgie de scurit locale
permet de configurer les paramtres surun seul serveur.
B. Vrai : Vous pouvez utiliser lAssistant Configuration et
analyse de la scuritpour comparer la configuration de
lenvironnement de test un modle, corriger les divergences et
exporter les paramtres rsultants dans un modle de scurit. Ce
dernier peut ensuite tre import dans un GPO.
C. Faux : LAssistant Configuration de la scurit ne gre pas les
droitsdutilisateur.
D. Faux : Le composant logiciel enfichable Modles de scurit cre
un modlede scurit mais nexporte pas les paramtres du serveur de
lenvironnement de test. LAssistant Configuration et analyse de la
scurit est donc la meilleure rponse.
2. Bonne rponse : C A. Faux : La Stratgie de scurit locale
permet de configurer les paramtres surun seul serveur.
B. Faux : LAssistant Configuration et analyse de la scurit
permet de crer desmodles de scurit que lon peut importer dans un
GPO mais cet outil nest pas bas sur les rles. LAssistant
Configuration de la scurit est la meilleure rponse.
C. Vrai : LAssistant Configuration de la scurit cre des
stratgies de scuritbases sur des rles qui grent des services, des
rgles de pare-feu et des stratgies daudit ainsi que certains
paramtres du Registre.
D. Faux : Les modles de scurit permettent de crer des modles de
scuritque lon peut importer dans un GPO, mais cet outil nest pas
bas sur les rles. LAssistant Configuration de la scurit est la
meilleure rponse.
3. Bonnes rponses : A et D A. Vrai : La commande Scwcmd.exe
/transform cre un GPO qui contient lesparamtres de la stratgie de
scurit spcifie.
B. Faux : Vous navez pas besoin de crer un GPO. La commande
Scwcmd.exesen charge automatiquement.
C. Faux : Vous nimportez pas les paramtres dune stratgie de
scurit dansun GPO. Vous pouvez importer les paramtres dun modle de
scurit dans un GPO.
D. Vrai : Le GPO cr doit tre li un site, un domaine ou une OU
approprisavant que ses paramtres ne sappliquent aux ordinateurs de
ce conteneur.
20
Rponses
Leon 31. Bonnes rponses : B et D A. Faux : Lobjectif est de
dployer lapplication vers les ordinateurs et non lesutilisateurs.
En consquence, le nud Configuration utilisateur nest pas lendroit
appropri o crer le package logiciel.
B. Vrai : Pour dployer lapplication vers les ordinateurs, le
package logicieldoit tre cr dans le nud Configuration ordinateur du
GPO.
C. Faux : Lextension dinstallation logicielle napplique pas les
paramtres siune liaison lente est dtecte. Comme lapplication est
dploye vers des ordinateurs et non des utilisateurs, la
configuration de la vitesse de connexion dans le nud Configuration
utilisateur ne change pas la vitesse de connexion par dfaut du nud
Configuration ordinateur qui est de 500 Kbit/s. Comme la connexion
partant de la succursale est infrieure 500 Kbit/s, les ordinateurs
qui sy trouvent ninstalleront donc pas lapplication.
D. Vrai : Lextension dinstallation logicielle napplique pas les
paramtres si uneliaison lente est dtecte. En configurant le seuil
de la dtection de liaison lente 256, vous garantissez que les
clients qui se connectent sur la connexion de 364 Kbit/s depuis la
succursale dtecteront une liaison rapide. Les clients installeront
donc lapplication.
E. Faux : Lextension dinstallation logicielle napplique pas les
paramtres siune liaison lente est dtecte. Comme la connexion
partant de la succursale est infrieure 1 000 Kbit/s, les
ordinateurs qui sy trouvent ninstalleront pas lapplication.
2. Bonnes rponses : A et D A. Vrai : Comme vous souhaitez
dployer lapplication vers des utilisateurs,vous devez crer le
package dans les stratgies Configuration utilisateur dun GPO. Ce
dernier doit ensuite tre tendu de sorte ne sappliquer quaux
utilisateurs de lOU Ventes. Comme tous les utilisateurs se trouvent
dans une mme OU, vous devez crer un groupe de scurit que vous
utiliserez pour filtrer le GPO.
B. Faux : Le GPO nest pas correctement tendu. LOU Ventes de
chaque site necontient que des ordinateurs. Les ordinateurs ne
traiteront pas les paramtres situs dans les stratgies du nud
Configuration utilisateur avec un traitement normal de la Stratgie
de groupe.
C. Faux : Vous souhaitez dployer lapplication vers des
utilisateurs. Lesstratgies situes sous le nud Configuration
ordinateur sappliquent aux ordinateurs. Comme le groupe Ventes ne
contient aucun ordinateur, la stratgie ne sera applique par aucun
systme.
D. Vrai : Si un ordinateur est configur pour accomplir le
traitement de lastratgie par boucle de rappel, il applique les
paramtres des stratgies du nud Configuration utilisateur des GPO
tendus lordinateur. Le GPO est
Rponses
21
tendu aux ordinateurs des ventes en tant li lOU Ventes. Le
traitement par boucle de rappel permet aux ordinateurs dinstaller
le package logiciel de la Configuration utilisateur.
3. Bonnes rponses : A, C, D et E A. Vrai : Le GPO de dploiement
logiciel doit tre tendu pour sappliquer tous les utilisateurs dans
les quatre succursales. Bien quon puisse lier le GPO chacune des
succursales slectionnes, cette solution na pas t propose.
B. Faux : Lapplication doit tre compltement installe avant que
lutilisateurne puisse la dmarrer pour la premire fois. Lorsque vous
publiez une application, lutilisateur doit linstaller en utilisant
Programmes et fonctionnalits situ dans le Panneau de configuration
sous Windows Server 2008 et Windows Vista ou dans Ajout/Suppression
de programmes sous Windows XP.
C. Vrai : Pour que lapplication soit pleinement installe avant
que lutilisateurne louvre pour la premire fois, vous devez
slectionner loption Installer cette application lors de louverture
de session. Sinon, lapplication sinstallera lorsque lutilisateur
louvrira pour la premire fois ou quil ouvrira un fichier dun type
associ lapplication.
D. Vrai : Un shadow group est un groupe qui contient des
utilisateurs enfonction dune caractristique donne, comme lOU o se
trouve le compte dutilisateur. Comme le GPO est li lOU Employs, il
peut tre filtr avec un groupe de scurit contenant les utilisateurs
des quatre succursales.
E. Vrai : Pour que lapplication soit compltement installe avant
quelutilisateur ne louvre pour la premire fois, vous devez assigner
lapplication.
F. Faux : Loption Mise niveau ncessaire pour les packages
existants nestutilise que dans des scnarios de mise niveau.
Leon 41. Bonne rponse : D A. Faux : Laudit des vnements de
connexion permet de capturer uneouverture de session interactive
locale et rseau sur des stations de travail et des serveurs.
B. Faux : Laudit Accs aux services dannuaire permet de contrler
deschangements apports des objets et des attributs dans Active
Directory.
C. Faux : Laudit de lutilisation des privilges est li lexcution
et larrtdun programme.
D. Vrai : Laudit des vnements de connexion aux comptes cre
desvnements lorsquun utilisateur tente douvrir une session avec un
compte dutilisateur du domaine vers nimporte quel ordinateur du
domaine.
22
Rponses
E. Faux : Laudit de gestion des comptes cre des vnements lis la
cration,la suppression et la modification des utilisateurs, des
ordinateurs et des groupes dans Active Directory.
2. Bonne rponse : B A. Faux : Laudit de la gestion des comptes
cre des vnements lis lacration, la suppression et la modification
des utilisateurs, des ordinateurs et des groupes dans Active
Directory, mais ne montre pas les anciennes valeurs des attributs
ni celles qui ont t modifies.
B. Vrai : La commande Auditpol.exe permet dactiver laudit des
modificationsdu service dannuaire qui journalise les dtails des
changements apports aux attributs dfinis dans la liste SACL des
objets Active Directory. Les anciennes et les nouvelles valeurs des
attributs se trouvent dans lentre du journal des vnements.
C. Faux : Laudit de lutilisation des privilges est li lexcution
et larrtdun programme.
D. Faux : Laudit de laccs au service dannuaire contrle les
changementsapports aux objets et aux attributs dans Active
Directory mais ne rapporte pas les anciennes et les nouvelles
valeurs des attributs.
3. Bonnes rponses : E, F et G A. Faux : Vous avez configur des
autorisations qui bloquent laccs desconsultants. En consquence, il
ny aura pas de tentatives daccs russies auditer.
B. Faux : Les vnements daccs au systme de fichiers sont
journaliss sur lesserveurs de fichiers et non sur les contrleurs de
domaine.
C. Faux : La stratgie daudit Accs au service dannuaire porte sur
leschangements apports aux objets dActive Directory et non un
dossier dans un sous-systme de disque.
D. Faux : Le paramtre de stratgie daudit doit sappliquer aux
serveurs defichiers et non des contrleurs de domaine.
E. Vrai : Vous devez activer laudit daccs aux objets sur les
serveurs defichiers. Le GPO Configuration du serveur est tendu pour
sappliquer tous les serveurs de fichiers.
F. Vrai : Les vnements daccs au systme de fichiers apparatront
dans lejournal Scurit de chaque serveur de fichiers.
G. Vrai : Les entres daudit doivent tre configures dans le
dossier Donnesconfidentielles. Laudit des checs daccs de type
Contrle total gnre des vnements daudit pour tout type daccs ayant
chou.
Rponses
23
Chapitre 7 : Rponses aux cas pratiquesScnario 1 : Installation
de logiciels avec Installation de logiciel Stratgie de groupe1. Le
package de lapplication doit tre cr dans le nud Configuration
ordinateurafin de sinstaller sur les ordinateurs utiliss par la
force de ventes itinrante. Si le package est cr dans le nud
Configuration utilisateur, lapplication est associe aux
utilisateurs et sera installe sur tous les ordinateurs auxquels les
utilisateurs se connecteront, y compris ceux des salles de
confrence et de formation.
2. Avanc. Comme le package de lapplication est cr dans le nud
Configurationordinateur, Publi nest pas une option valable. Les
options valables sont Attribu et Avanc. Vous devez choisir Avanc
pour associer une transformation au package.
3. Comme le GPO dploie lapplication dans le nud Configuration
ordinateur, ildoit tre tendu aux ordinateurs. Il peut tre li au
domaine ou, mieux encore, lOU Clients qui hberge tous les
ordinateurs clients. Le GPO doit ensuite tre filtr pour sappliquer
uniquement aux ordinateurs utiliss par la force de vente itinrante.
Pour ce faire, crez un groupe de scurit tendue globale contenant
les ordinateurs et utilisez-le pour filtrer le GPO. Vous devez
galement supprimer le groupe Utilisateurs authentifis auquel est
accorde lautorisation Appliquer la Stratgie de groupe par
dfaut.
Scnario 2 : Configuration de la scurit1. Ajoutez une entre
daudit qui audite les tentatives avortes du groupe Tout lemonde
daccder au dossier au niveau daccs Contrle total, ce qui inclut
tous les autres niveaux daccs. Une deuxime entre daudit doit
auditer les tentatives russies du groupe Administrateurs daccder au
dossier au niveau Contrle total, ce qui capture l encore des
activits tous les niveaux daccs.
2. Les stratgies de groupe restreintes permettent de grer
lappartenance auxgroupes. Vous devez configurer un paramtre de
Stratgie de groupe limit pour le groupe Administrateurs, afin de
spcifier que les membres de ce groupe reprsentent votre compte et
le compte du responsable des ressources humaines. Ce paramtre de
stratgie est le paramtre Membres. Il liste lappartenance finale
faisant autorit du groupe spcifi. Le compte Administrateur ne peut
pas tre supprim du groupe Administrateurs.
3. Vous devez activer les stratgies daudit Auditer laccs aux
objets et Auditerlutilisation des privilges. Auditer laccs aux
objets doit tre dfini pour auditer les vnements de succs et dchec,
car les entres daudit du dossier Salaires sont destines la fois aux
accs russis et chous. Auditer lutilisation des privilges doit tre
dfini pour auditer des vnements de succs afin de journaliser des
vnements lorsquun membre du groupe Administrateurs saccapare la
proprit dun dossier.
24
Rponses
4. Vous pouvez utiliser des modles de scurit pour grer la
configuration des septserveurs. Les modles de scurit peuvent tre
crs sur un systme grce au composant logiciel enfichable Modles de
scurit et imports dans une base de donnes, puis appliqus aux
serveurs au moyen du composant logiciel enfichable Configuration et
analyse de la scurit.
5. Les paramtres de stratgie des GPO bass sur Active Directory
peuvent neutraliservos paramtres de scurit car les GPO bass sur le
domaine prennent le pas sur la configuration des GPO locaux. Vous
pouvez contrler la configuration de votre serveur en excutant les
rapports du jeu de stratgie rsultant pour identifier les paramtres
des GPO de domaine qui entrent en conflit avec la configuration
dsire, ou en utilisant le composant logiciel enfichable
Configuration et analyse de la scurit pour comparer la
configuration des serveurs au modle de scurit.
Chapitre 8 : Rponses aux questions de rvisionLeon 11. Bonnes
rponses : C, D et E A. Faux : Les stratgies de mot de passe du GPO
Default Domain Policydfinissent les stratgies de tous les
utilisateurs du domaine, et non uniquement des comptes de
service.
B. Faux : Les PSO ne peuvent pas tre lis des units
dorganisation,uniquement des groupes et des utilisateurs.
C. Vrai : Les PSO peuvent tre lis des groupes : vous devez donc
crer ungroupe qui contient les comptes de service.
D. Vrai : Le PSO doit tre appliqu au groupe Comptes de service.
Sinon, sesparamtres ne prendront pas effet.
E. Vrai : Les PSO peuvent tre lis des groupes : vous devez donc
crer ungroupe qui contient les comptes de service.
2. Bonne rponse : D A. Faux : Le paramtre de stratgie Dure de
verrouillage des comptes estspcifi en minutes. Ce paramtre
verrouille un compte pendant 100 minutes. Pass ce dlai, le compte
est dverrouill automatiquement.
B. Faux : Le paramtre de stratgie Dure de verrouillage des
comptes estspcifi en minutes. Ce paramtre verrouille un compte
pendant 1 minute. Pass ce dlai, le compte est dverrouill
automatiquement.
C. Faux : Le paramtre de stratgie Seuil de verrouillage du
compte spcifie lenombre de tentatives douverture de session qui se
traduisent par un verrouillage de compte. Il ne dtermine pas la
dure pendant laquelle un compte est verrouill.
Rponses
25
D. Vrai : Un paramtre de stratgie Dure de verrouillage des
comptes dfinie 0 verrouille indfiniment le compte jusqu ce quun
administrateur le dverrouille.
3. Bonne rponse : C A. Faux : Bien que PSO1 possde la valeur
ayant la priorit la plus haute, unPSO qui sapplique des groupes est
neutralis par un PSO qui sapplique directement lutilisateur, mme si
le PSO de lutilisateur a une priorit plus basse.
B. Faux : Une valeur de priorit de 99 est infrieure une valeur
de priorit de1.
C. Vrai : Bien que PSO3 nait pas la valeur de priorit la plus
haute (celle dePSO1 est suprieure), il est li au compte de
lutilisateur et a donc la prsance.
D. Faux : PSO4 est un PSO li lutilisateur, mais sa valeur de 200
est infrieure celle de PSO3.
Leon 21. Bonne rponse : B A. Faux : Ce paramtre gnrera des
entres dans le journal dvnementslorsquun utilisateur se connectera
avec succs avec un compte du domaine. Une ouverture de session
russie ne gnre pas de verrouillage de compte.
B. Vrai : Les ouvertures de session choues vers un compte de
domainepeuvent gnrer un verrouillage de compte. Laudit des vnements
douverture de session de compte qui ont chou gnre dans le journal
dvnements des entres qui indiquent quel moment ces ouvertures de
session ont eu lieu.
C. Faux : Les vnements douverture de session gnrent des entres
dans lejournal dvnements de lordinateur sur lequel un utilisateur a
ouvert une session ou sur lequel il sest connect via le rseau. Les
ouvertures de session locales ne sont pas associes au verrouillage
de compte.
D. Faux : Les vnements douverture de session gnrent des entres
dans lejournal dvnements sur lordinateur sur lequel un utilisateur
a ouvert une session ou sur lequel il sest connect via le rseau.
Les ouvertures de session locales ne sont pas associes au
verrouillage de compte.
2. Bonne rponse : C A. Faux : Les vnements de connexion aux
comptes sont gnrs lorsquunutilisateur ouvre une session avec un
compte du domaine sur nimporte quel ordinateur du domaine.
B. Faux : Les stratgies daudit sont des paramtres situs dans le
nudConfiguration ordinateur dun GPO qui ne sappliquent pas aux
comptes dutilisateurs.
26
Rponses
C. Vrai : Les vnements douverture de session sont gnrs dans le
journaldvnements dun ordinateur lorsquun utilisateur ouvre une
session de manire interactive sur lordinateur ou quil se connecte
lordinateur sur le rseau, pour accder par exemple un dossier
partag.
D. Faux : Les vnements de connexion aux comptes sont gnrs par
lescontrleurs de domaine lorsquils authentifient un utilisateur qui
ouvre une session sur nimporte quel ordinateur du domaine. Ce GPO
nest pas tendu aux contrleurs de domaine.
Leon 31. Bonne rponse : B A. Faux : Un RODC ne requiert quun
seul contrleur de domaine WindowsServer 2008 accessible en criture.
Ce type de contrleur de domaine existe dj dans votre domaine.
B. Vrai : Vous devez excuter Adprep /rodcprep pour configurer la
fort de sorteque le RODC puisse rpliquer des partitions
dapplication DNS.
C. Faux : La commande Dsmgmt permet de configurer la sparation
des rlesdadministration sur un RODC aprs son installation.
D. Faux : Vous utilisez la commande Dcpromo pour accomplir
linstallationdun contrleur de domaine, y compris un RODC.
2. Bonne rponse : A A. Vrai : Longlet Utilisation de la stratgie
de la bote de dialogue Stratgie derplication de mot de passe avance
indique les comptes dont les mots de passe sont stocks sur un
RODC.
B. Faux : Le Groupe de rplication dont le mot de passe RDOC est
acceptspcifie les utilisateurs dont les informations
didentification seront mises en cache sur tous les RODC du
domaine.
C. Faux : Le Groupe de rplication dont le mot de passe RDOC est
refusspcifie les utilisateurs dont les informations didentification
ne seront pas mises en cache sur les RODC du domaine.
D. Faux : Longlet Stratgie rsultante value la stratgie de
rplication de motde passe dun utilisateur ou dun ordinateur ; il
nindique pas si les informations didentification de lutilisateur ou
de lordinateur sont dj mises en cache sur le RODC.
3. Bonnes rponses : B et D A. Faux : Le Groupe de rplication
dont le mot de passe RDOC est acceptspcifie les utilisateurs dont
les informations didentification ont t mises en cache sur tous les
RODC du domaine. Les cinq utilisateurs devront ouvrir une session
dans une seule des succursales.
Rponses
27
B. Vrai : Longlet Stratgie de rplication des mots de passe du
RODC de lasuccursale permet de spcifier les informations
didentification qui sont mises en cache par le RODC.
C. Faux : Les utilisateurs nont pas besoin du droit douvrir une
session localesur le contrleur de domaine de la succursale.
D. Vrai : En remplissant pralablement les informations
didentification descinq utilisateurs, vous garantissez que le RODC
pourra les authentifier sans transmettre lauthentification au
centre de donnes lextrmit de la liaison WAN.
Chapitre 8 : Rponses aux cas pratiquesScnario 1 : Accrotre la
scurit des comptes dadministration1. Les stratgies de mot de passe
grain fin ne peuvent tre configures que dans unseul domaine au
niveau fonctionnel de domaine Windows Server 2008. Avant daugmenter
le niveau fonctionnel du domaine Windows Server 2008, vous devez
mettre niveau tous les contrleurs de domaine Windows Server 2003
vers Windows Server 2008.
2. Modification ADSI. 3. Vous devez attribuer une valeur
comprise entre 1 et 9. Les valeurs proches de 1 ontune priorit
suprieure. En outre, assurez-vous que les nouveaux PSO ne sont pas
directement lis au compte dutilisateur.
4. Dfinissez dans le GPO Default Domain Controllers des
paramtres de stratgiedaudit qui configurent laudit des vnements de
connexion aux comptes qui ont chou.
Scnario 2 : Accrotre la scurit et la fiabilit de
lauthentification dans les succursales1. Assurez-vous que tous les
domaines sont au niveau fonctionnel de domaineWindows Server 2003
et que la fort se trouve au niveau fonctionnel de fort Windows
Server 2003. Sur le contrleur de schma, excutez Adprep /rodcprep.
Mettez niveau au moins un contrleur de domaine Windows Server 2003
vers Windows Server 2008.
2. Vous pouvez dlguer linstallation dun contrleur de domaine en
lecture seule encrant pralablement les comptes dordinateur du RODC
dans lOU Domain Controllers. Vous pouvez spcifier alors les
informations didentification de lutilisateur qui seront utilises
pour relier le RODC au compte, puis prciser que lutilisateur peut
installer le RODC sans privilges dadministration sur le
domaine.
28
Rponses
3. Utilisez la commande Dsmgmt.exe pour attribuer lutilisateur
des privilgesdadministration locaux sur le RODC.
Chapitre 9 : Rponses aux questions de rvisionLeon 11. Bonne
rponse : C A. Faux : Vous pouvez utiliser loutil de ligne de
commandes pour crer unearborescence de domaine. Pour ce faire, il
est prfrable de crer au pralable un fichier de rponse, afin que
toutes les valeurs soient transmises automatiquement la commande
pendant linstallation. Toutefois, il est galement possible
dutiliser lassistant pour accomplir cette tche.
B. Faux : Le plus souvent, vous utilisez des serveurs autonomes
pour crer unnouveau domaine. Cela signifie que vous devez ouvrir
une session avec des droits dadministration locaux puis fournir les
informations didentification de fort appropries pour ajouter le
domaine pendant linstallation.
C. Vrai : Loption permettant de crer une arborescence de fort
nest pasdisponible dans lassistant tant que vous navez pas
slectionn le mode avanc dans la premire page de lassistant.
D. Faux : Les informations didentification sont demandes par
lassistantpendant le processus de prparation de linstallation.
Lutilisation dun serveur autonome ou dun serveur membre na aucun
effet sur cette opration.
2. Bonnes rponses : B et D A. Faux : Vous devez slectionner le
mode avanc de lassistant pour crerlarborescence de domaine, mais
cela na aucun impact sur la capacit de lassistant crer la
dlgation.
B. Vrai : Comme la dlgation utilise un nom racine de haut niveau
(.ms), vousdevez crer la dlgation manuellement dans le domaine
racine de votre fort. Lassistant ne peut pas la crer
automatiquement parce que vous ne possdez pas les informations
didentification du serveur DNS racine qui maintient ce nom.
C. Faux : Comme vous crez la dlgation manuellement, vous devez
indiquer lassistant domettre la cration.
D. Vrai : Comme vous avez cr une dlgation manuelle, vous devez
indiquer lassistant domettre la cration de la dlgation.
E. Faux : Vous pouvez crer la dlgation manuellement aprs
quelarborescence de domaine a t installe. Toutefois, il est
recommand de la crer au pralable, puis dajouter des composants sa
configuration aprs
Rponses
29
que dautres contrleurs de domaine ont t crs dans larborescence
de domaine.
Leon 21. Bonnes rponses : A, B, C et D et E A. Vrai : Votre
administrateur DNS peut dj avoir configur le nettoyage detoutes les
zones, mais il est recommand de valider le fait quil a t appliqu la
vtre.
B. Vrai : Par dfaut, les tendues de rplication sont assignes
correctementlorsque vous crez la zone, mais il est toujours
prfrable que celle-ci utilise ltendue de rplication approprie.
C. Vrai : Vous pouvez avoir dautres enregistrements personnaliss
crer, maisvous devez crer au moins un enregistrement texte (TXT) et
un enregistrement attribu une personne responsable (RP). Ils seront
utiliss pour mettre jour lenregistrement de ressource SOA (Start of
Authority).
D. Vrai : Lenregistrement texte (TXT) contiendra les
informations relatives auxnormes de fonctionnement DNS que vous
appliquerez la zone.
E. Vrai : Une adresse de messagerie est affecte lenregistrement
RP pourpermettre dautres de communiquer avec loprateur en cas de
questions ou de problmes lis la rsolution des noms.
F. Faux : Comme cette zone est nouvelle, elle ne devrait
contenir aucunenregistrement non utilis.
G. Faux : Les zones de recherche inverses ne sont ncessaires que
si votre zonehberge des applications web sres. Aucune information
relative une telle application ne vous a t donne.
2. Bonnes rponses : A et B A. Vrai : Comme toutes les zones se
trouvent sur des contrleurs de domaine,vous devez utiliser des
informations didentification dadministrateur pour grer DNS.
B. Vrai : Si le serveur nest pas list dans la partition, cette
dernire ne sera pasdisponible au serveur.
C. Faux : Les informations didentification dadministrateur de
lentreprise nesont ncessaires que pour crer la partition
dapplication, non pour lattribuer.
D. Faux : Vous pouvez utiliser la ligne de commandes pour
attribuer des zones des partitions, mais cela nest pas
obligatoire.
E. Faux : Vous pouvez toujours modifier ltendue de la rplication
dunepartition dans DNS aprs sa cration. Cest lune des tches de base
des administrateurs de zone DNS.
30
Rponses
Chapitre 9 : Rponses aux cas pratiquesScnario : Bloquer des noms
DNS spcifiquesTrey Research peut ajouter les deux noms
problmatiques la liste de blocage des requtes globale sur ses
serveurs DNS. Pour ce faire, utilisez la ligne de commandes avec la
commande correspondante :dnscmd /config /globalqueryblocklist wpad
isatap biometrics biology
Cette commande garantit que les protocoles WPAD et ISATAP, qui
sont bloqus par dfaut, le seront toujours et ajoute les deux noms
de service problmatiques. Maintenant, mme si les stratgies
dadministration ne sont pas appliques, les possibilits de piratage
sont grandement limites. Souvenez-vous que cette commande affecte
toutes les zones de recherche directe hberges sur un serveur DNS
particulier. Si vous possdez dautres serveurs DNS hbergeant dautres
zones, comme un serveur DNS dans un domaine enfant, vous devez y
excuter galement cette commande.
Chapitre 10 : Rponses aux questions de rvisionLeon 11. Bonne
rponse : D A. Faux : Comme vous mettez niveau le systme
dexploitation duncontrleur de domaine, vous devez accomplir une
autre tape au pralable.
B. Faux : Vous devez excuter la commande Adprep /domainprep
/gpprep avantde mettre niveau le contrleur de domaine, mais vous
devez accomplir une autre tape avant dexcuter cette commande.
C. Faux : Le serveur est dj un contrleur de domaine. Il nest
donc pasncessaire dexcuter lAssistant Installation des services de
domaine Active Directory.
D. Vrai : Vous devez dabord excuter Adprep /forestprep sur le
contrleur deschma de la fort pour prparer la fort dun contrleur de
domaine Windows Server 2008.
E. Faux : La commande Adprep /rodcprep doit tre excute avant
linstallationdun contrleur de domaine en lecture seule.
2. Bonnes rponses : B, C et D A. Faux : Comme le domaine nest
compos que de contrleurs de domaineWindows Server 2008, il nest pas
ncessaire dexcuter Adprep /rodcprep.
B. Vrai : Pour autoriser un utilisateur qui nest pas un
administrateur relier uncontrleur de domaine en lecture seule au
domaine, vous devez prdfinir un compte dans lOU Domain
Controllers.
Rponses
31
C. Vrai : Loption UseExistingAccount de Dcpromo.exe permet de
relier unserveur un compte de RODC prdfini.
D. Vrai : Pour relier un serveur un compte de RODC prdfini, le
serveur doittre supprim du domaine avant lexcution de
Dcpromo.exe.
3. Bonne rponse : C A. Faux : NTBackup et les sauvegardes de
ltat du systme ne sont pas prises encharge dans Windows Server
2008.
B. Faux : Lajout des fonctionnalits de sauvegarde de Windows
Server ne suffitpas crer un support dinstallation.
C. Vrai : La commande Ntdsutil.exe permet de crer un support
dinstallation.Les options Sysvol et Full crent un support
dinstallation qui inclut SYSVOL pour un contrleur de domaine
accessible en criture.
D. Faux : On nutilise pas une copie de lannuaire et de SYSVOL
pour installerun contrleur de domaine.
Leon 21. Bonne rponse : E A. Faux : Le matre dinfrastructure ne
doit pas tre plac sur un contrleur dedomaine qui est un serveur de
catalogue global, sauf si tous les contrleurs de domaine du domaine
le sont.
B. Faux : Bien que le transfert du rle de matre RID prsente des
avantages,cette solution ne convient pas ce scnario.
C. Faux : Bien que le transfert du rle de contrleur de schma
prsente desavantages, cette solution ne convient pas ce
scnario.
D. Faux : Bien que le transfert du rle de matre dattributs de
noms dedomaine prsente des avantages, cette solution ne convient
pas ce scnario.
E. Vrai : Le matre dinfrastructure ne doit pas tre plac sur un
contrleur dedomaine qui est un serveur de catalogue global, sauf si
tous les contrleurs de domaine du domaine le sont. Comme SERVER02
nest pas un serveur de catalogue global, vous devez transfrer le
rle de matre dinfrastructure SERVER02.
2. Bonnes rponses : D et E A. Faux : Le rle de matre
dinfrastructure est propre chaque domaine. Vousnavez pas besoin de
le transfrer et, en fait, vous ne devez pas le transfrer vers un
contrleur de domaine dun autre domaine.
B. Faux : Le rle dmulateur PDC est propre chaque domaine. Vous
navezpas besoin de le transfrer et, en fait, vous ne devez pas le
transfrer vers un contrleur de domaine dun autre domaine.
32
Rponses
C. Faux : Le rle de matre RID est propre chaque domaine. Vous
navez pasbesoin de le transfrer et, en fait, vous ne devez pas le
transfrer vers un contrleur de domaine dun autre domaine.
D. Vrai : Le rle de contrleur de schma est un rle de fort. Vous
devez letransfrer dans le domaine contoso.com avant de dsactiver le
domaine.
E. Vrai : Le rle de matre dattribut de noms de domaine est un
rle de fort.Vous devez le transfrer dans le domaine contoso.com
avant de rtrograder le domaine.
3. Bonnes rponses : A, B et C A. Vrai : Le matre dinfrastructure
est un matre doprations de domaine. B. Vrai : Lmulateur PDC est un
matre doprations de domaine. C. Vrai : Le matre RID est un matre
doprations de domaine. D. Faux : Le contrleur de schma est un matre
doprations de fort et non dedomaine.
E. Faux : Le matre dattribution de noms de domaine est un
matredoprations de fort et non de domaine.
Leon 31. Bonnes rponses : C et D A. Faux : La rplication de
SYSVOL avec DFS-R au sein dun domaine dpenddes contrleurs de
domaines de ce domaine, et non de contrleurs de domaine dautres
domaines.
B. Faux : La rplication de SYSVOL avec DFS-R au sein dun domaine
dpenddu niveau fonctionnel de domaine de ce domaine, et non du
niveau fonctionnel de la fort.
C. Vrai : Tous les contrleurs de domaine doivent excuter
WindowsServer 2008 avant de pouvoir rpliquer SYSVOL en utilisant
DFS-R au sein de ce domaine.
D. Vrai : Le domaine doit tre au niveau fonctionnel de domaine
WindowsServer 2008 avant de pouvoir rpliquer SYSVOL en utilisant
DFS-R au sein de ce domaine.
E. Faux : La rplication de SYSVOL avec DFS-R au sein dun domaine
dpenddu niveau fonctionnel de domaine de ce domaine, et non du
niveau fonctionnel de domaine dautres domaines.
2. Bonne rponse : A A. Vrai : La commande Dfsrmig.exe est
utilise pour migrer la rplication deSYSVOL de FRS vers DFS-R.
B. Faux : La commande Repadmin.exe est utilise pour grer la
rplicationdActive Directory, et non la rplication de SYSVOL.
Rponses
33
C. Faux : La commande Dfsutil.exe est utilise pour accomplir des
tchesadministratives dans un espace de noms DFS, et non pour
configurer la rplication de SYSVOL.
D. Faux : La commande Dfscmd.exe est utilise pour accomplir des
tchesadministratives dans un espace de noms DFS, et non pour
configurer la rplication de SYSVOL.
Chapitre 10 : Rponses aux cas pratiquesScnario : Mettre niveau
un domaine1. Vous devez excuter Adprep /forestprep avant dinstaller
un contrleur de domaineWindows Server 2008 dans une fort.
2. Il nest pas possible que tous les contrleurs de domaine dun
domaine soient enlecture seule. Il doit y avoir au moins un
contrleur de domaine accessible en criture. Les trois succursales
ne peuvent donc pas tre servies par des contrleurs de domaines en
lecture seule. Un DC doit tre accessible en criture. Sinon, il faut
quun DC accessible en criture soit maintenu dans un emplacement
central et que les trois RODC soient dploys dans les trois
succursales.
3. Lorsque des temps dinactivit ont t planifis par un serveur
qui excute desoprations matre unique, vous devez transfrer les
oprations vers un autre contrleur de domaine. Lorsque le matre
doprations dorigine revient en ligne, vous pouvez lui transfrer de
nouveau les oprations.
Chapitre 11 : Rponses aux questions de rvisionLeon 11. Bonne
rponse : C A. Faux : Tous les contrleurs de domaine sont assigns un
site. Il peut sagirdu mauvais site, mais il est reflt comme un
objet serveur dans un site.
B. Faux : Vous ne pouvez pas crer de site sans lien de sites. Le
site de lasuccursale se trouve donc sur un lien de sites. Cela peut
tre le mauvais lien de sites, mais il est affect un lien de
sites.
C. Vrai : Si la plage dadresses IP de la succursale nest pas
reprsente par unobjet sous-rseau qui sera ensuite associ au site,
les ordinateurs pourraient sauthentifier auprs des contrleurs de
domaine dun autre site.
D. Faux : Il nest pas possible daffecter un sous-rseau deux
sites diffrents. 2. Bonnes rponses : A, D et E A. Vrai : Un objet
sous-rseau avec la plage dadresses IP de la succursalepermet aux
clients dtre informs de leur site.
34
Rponses
B. Faux : Le compte dordinateur de chaque contrleur de domaine
doit setrouver dans lOU Domaine Controllers.
C. Faux : Deux protocoles de transport de liens de sites sont
pris en charge parActive Directory : IP et SMTP. Aucun autre
protocole nest ncessaire.
D. Vrai : Un objet site de la succursale est ncessaire pour grer
lemplacementdu service, comme lauthentification, au sein de la
succursale.
E. Vrai : Lobjet site doit contenir un objet serveur pour le
contrleur dedomaine.
Leon 21. Bonne rponse : D A. Faux : Un contrleur de domaine en
lecture seule doit toujours tre capablede contacter un serveur de
catalogue global.
B. Faux : Les partitions dapplications ne sont pas impliques
danslauthentification utilisateur.
C. Faux : La rplication inter-sites ne rgle pas le problme caus
lorsque lecontrleur de domaine de la succursale ne peut pas
contacter un serveur de catalogue global.
D. Vrai : La mise en cache de lappartenance au groupe universel,
mise enuvre pour le site de la succursale, fera que le contrleur de
domaine mettra en cache les appartenances au groupe universel de
lutilisateur depuis un serveur de catalogue global, afin que
louverture de session ne soit pas refuse.
2. Bonnes rponses : D et E A. Faux : La partition de schma est
rplique vers tous les contrleurs dedomaine de la fort. Toutefois,
vous devez vous assurer que le contrleur de domaine que vous
rtrogradez nest pas contrleur de schma.
B. Faux : La partition de configuration est rplique vers tous
les contrleursde domaine de la fort.
C. Faux : Le contexte de nommage du domaine est rpliqu vers tous
lescontrleurs de domaine du domaine.
D. Vrai : Par dfaut, un catalogue global ne peut se trouver que
sur un seulcontrleur de domaine. Il est possible que le contrleur
de domaine que vous souhaitez rtrograder soit le seul serveur de
catalogue global. Dans ce cas, vous devez configurer un autre
serveur de catalogue global avant de rtrograder le contrleur de
domaine.
E. Vrai : Les partitions dapplications peuvent tre hberges sur
un ouplusieurs contrleurs de domaine. Il est possible quune
partition dapplication se trouve uniquement sur le contrleur de
domaine que vous prvoyez de rtrograder.
Rponses
35
3. Bonne rponse : C A. Faux : Vous pouvez utiliser Dcpromo.exe
pour spcifier quun nouveaucontrleur de domaine doit tre un serveur
de catalogue global, mais vous ne pouvez pas lemployer pour
modifier des contrleurs de domaine existants.
B. Faux : Vous pouvez utiliser lAssistant Installation des
services de domaineActive Directory pour spcifier quun nouveau
contrleur de domaine doit tre un serveur de catalogue global, mais
vous ne pouvez pas lemployer pour modifier des contrleurs de
domaine existants.
C. Vrai : Utilisez le composant logiciel enfichable Sites et
services ActiveDirectory pour configurer un serveur de catalogue
global en ouvrant les proprits de lobjet NTDS Settings dans lobjet
serveur qui reprsente le contrleur de domaine.
D. Faux : Le composant logiciel enfichable Utilisateurs et
ordinateurs ActiveDirectory ne permet pas de configurer des
serveurs de catalogue global.
E. Faux : Le composant logiciel enfichable Domaines et
approbations ActiveDirectory ne permet pas de configurer des
serveurs de catalogue global.
Leon 31. Bonne rponse : D A. Faux : Le cot total de la
rplication du Site A vers le Site C sur les liens versle Site B est
de 350. Le cot de la rplication sur le lien A-C nest que de 100. La
rplication utilisera le lien A-C.
B. Faux : Le cot total de la rplication du Site A vers le Site C
sur les liens versle Site B est de 350. Le cot de la rplication sur
le lien A-C nest que de 100. La rplication utilisera le lien
A-C.
C. Faux : Le cot total de la rplication du Site A vers le Site C
sur les liens versle Site B est de 150. Le cot de la rplication sur
le lien A-C nest que de 100. La rplication utilisera le lien
A-C.
D. Vrai : Le cot total de la rplication du Site A vers le Site C
sur les liens versle Site B est de 200. Si le cot de la rplication
sur le lien A-C nest que de 200, la rplication utilisera les liens
A-B et C-B.
2. Bonnes rponses : B et C A. Faux : Sil existe un lien de sites
entre A et C, il est possible que la rplicationait lieu sur ce
lien. Vous navez pas empch la rplication directe entre Site A et
Site C.
B. Vrai : Pour empcher la rplication entre les Sites A et C,
vous devezsupprimer le lien de sites qui contient ces deux
liens.
C. Vrai : Les liens de sites sont transitifs par dfaut. Le Site
A peut doncrpliquer directement vers le Site C laide des liens A-B
et B-C. Vous devez dsactiver la transitivit des liens de sites.
36
Rponses
D. Faux : La rduction des cots des liens de sites va encourager
la rplication viter de crer une connexion sur le lien A-C.
Toutefois, elle ne garantit pas que les changements seront envoys
en premier lieu au Site B.
3. Bonne rponse : A A. Vrai : Si la connectivit IP nest pas
disponible, SMTP doit tre utilis pour larplication mais ne peut pas
tre utilis pour rpliquer le contexte de nommage du domaine. En
consquence, le navire doit se trouver dans un domaine distinct de
la fort.
B. Faux : Laugmentation du cot du lien de site ne permettra pas
la rplicationentre le navire et le sige.
C. Faux : La dsignation dun serveur tte de pont ne permettra pas
larplication entre le navire et le sige.
D. Faux : La cration manuelle dun objet connexion ne permettra
pas larplication entre le navire et le sige.
4. Bonnes rponses : A et B A. Vrai : Dans le composant logiciel
enfichable Sites et services ActiveDirectory, vous pouvez cliquer
droit sur NTDS Settings et forcer la rplication.
B. Vrai : Loutil de diagnostic de la rplication, Repadmin.exe,
permet de forcerla rplication depuis la ligne de commandes.
C. Faux : Loutil de diagnostic du service dannuaire, Dcdiag.exe,
est un outil enligne de commandes qui permet de tester la sant de
la rplication et la scurit des services de domaine Active
Directory.
D. Faux : Le composant logiciel enfichable Domaines et
approbations ActiveDirectory permet de crer et de grer des objets
utilisateur, groupe et ordinateur. mais pas de forcer la
rplication.
Chapitre 11 : Rponses aux cas pratiquesScnario : Configurer des
sites et des sous-rseaux1. Crez un site Active Directory pour
Denver. La topologie de la rplication intrasite,cre par le
vrificateur de cohrence des donnes (KCC), gnre une topologie
bidirectionnelle avec un maximum de trois sauts. La rplication se
produira en une minute. Si le sige et le magasin se trouvent dans
des sites distincts, la frquence de la rplication inter-sites est
au mieux de 15 minutes.
2. La dsignation dun serveur tte de pont privilgi est utile pour
garantir que lerle est jou par un serveur disposant des ressources
systme les plus disponibles. Elle peut tre galement utile si la
configuration du rseau, les pare-feu par exemple, requiert que le
trafic de rplication soit dirig vers une seule adresse IP.
Toutefois, si le serveur tte de pont privilgi nest pas disponible,
le gnrateur de
Rponses
37
topologie inter-sites (ISTG) ne dsignera pas automatiquement un
serveur tte de pont temporaire. En consquence, la rplication
sinterrompt si le serveur tte de pont prfr est hors ligne.
3. Pour obtenir une vritable topologie hub-and-spoke, vous devez
crer cinq liens desites. Chacun deux contient le site Denver et
lune des succursales. En consquence, les cinq liens de sites sont :
DenverPortland, DenverSeattle, DenverChicago, DenverMiami et
DenverFort Lauderdale. Vous devez galement dsactiver la transitivit
des liens de sites afin que la rplication ne puisse pas construire
de connexions qui outrepassent le site Denver.
4. Crez un objet connexion manuellement pour le contrleur de
domaine dumagasin afin quil reoive la rplication de SERVER01. Un
objet connexion manuel ne sera pas supprim par le KCC lorsquil
construira la topologie de la rplication intrasite.
Chapitre 12 : Rponses aux questions de rvisionLeon 11. Bonnes
rponses : A et D A. Vrai : Dans le composant logiciel enfichable
Utilisateurs et ordinateursActive Directory, vous pouvez cliquer
droit sur le nud racine du composant ou sur le domaine : vous
trouverez alors la commande Augmenter le niveau fonctionnel du
domaine.
B. Faux : Le Schma Active Directory ne permet pas daugmenter le
niveaufonctionnel du domaine.
C. Faux : Sites et services Active Directory ne permet pas
daugmenter le niveaufonctionnel du domaine.
D. Vrai : Cliquez avec le bouton droit sur le domaine dans le
composant logicielenfichable Domaines et approbations Active
Directory et choisissez Augmenter le niveau fonctionnel du
domaine.
2. Bonnes rponses : B, D et E A. Faux : Vous devez possder un
contrleur de domaine accessible en criturequi excute Windows Server
2008 avant dajouter un contrleur de domaine en lecture seule au
domaine. Vous possdez dj un contrleur de domaine Windows Server
2008 dans le domaine contoso.com.
B. Vrai : Le niveau fonctionnel de domaine doit au moins tre
dfini Windows Server 2003 avant que vous ne puissiez ajouter un
RODC.
C. Faux : Vous ne pouvez pas augmenter le niveau fonctionnel du
domaine Windows Server 2008, car vous avez un contrleur de domaine
qui excute Windows Server 2003.
38
Rponses
D. Vrai : Le niveau fonctionnel de fort doit au moins tre dfini
WindowsServer 2003 avant que vous ne puissiez ajouter un RODC.
E. Vrai : Vous devez excuter Adprep /rodcprep avant dajouter le
premier RODC un domaine.
F. Faux : Vous possdez dj un contrleur de domaine Windows Server
2008.Vous avez donc dj excut Adprep /forestprep.
3. Bonne rponse : C A. Faux : Les contrleurs de domaine en
lecture seule ne sont pas requis pourmettre en uvre une stratgie de
mot de passe grain fin.
B. Faux : La commande Dfsrmig.exe configure la rplication DFS-R
de SYSVOL. C. Vrai : Le niveau fonctionnel de fort Windows Server
2008 est requis pourles stratgies de mot de passe grain fin.
D. Faux : Les stratgies de mot de passe grain fin ne sont pas
gres par laconsole GPMC.
Leon 21. Bonnes rponses : A, C et G A. Vrai : Les utilisateurs
de wingtiptoys.com sauthentifieront auprs desordinateurs du domaine
tailspintoys.com. Cela fait de wingtiptoys.com le domaine approuv.
Lapprobation que vous configurez dans wingtiptoys.com est une
approbation entrante.
B. Faux : Une approbation sortante permettrait aux utilisateurs
detailspintoys.com de sauthentifier auprs des ordinateurs de
wingtiptoys.com.
C. Vrai : Les utilisateurs de wingtiptoys.com doivent se
connecter auxordinateurs de tailspintoys.com, mais rien noblige les
utilisateurs de tailspintoys.com sauthentifier auprs dordinateurs
de wingtiptoys.com.
D. Faux : Les utilisateurs de tailspintoys.com ne sont pas
obligs de se connecter des ordinateurs de wingtiptoys.com.
E. Faux : Les approbations de domaine sont cres avec des
domaines Kerberosv5 et non avec des domaines Windows.
F. Faux : Une approbation raccourcie est utilise entre des
domaines dunefort multidomaine.
G. Vrai : Comme les utilisateurs des domaines
europe.wingtiptoys.com et dewingtiptoys.com sauthentifient avec des
ordinateurs situs dans tailspintoys.com, une approbation de fort
est ncessaire. Les approbations de fort sont transitives.
H. Faux : Une approbation externe ne permet pas aux utilisateurs
du domaineeurope.wingtiptoys.com de sauthentifier auprs des
ordinateurs du domaine tailspintoys.com.
Rponses
39
2. Bonnes rponses : C et D A. Faux : La cration de comptes
dupliqus ne permettra pas aux utilisateursdaccder aux
ressources.
B. Faux : La reconstruction du domaine Windows NT 4.0 ne
permettra pas auxutilisateurs daccder aux ressources.
C. Vrai : Le paramtre /verify vrifie la sant dune relation
dapprobationexistante. Comme certains utilisateurs peuvent accder
aux ressources, la relation dapprobation est reconnue comme
saine.
D. Vrai : Le fait que les comptes problmatiques soient migrs
depuis WindowsNT 4.0 suggre quil existe des SID filtrs dans les
attributs sIDHistory des utilisateurs, car le filtrage des SID est
activ par dfaut dans toutes les approbations externes. Le paramtre
/quarantine:no dsactivera le filtrage des SID.
3. Bonne rponse : D A. Faux : La rinstallation des systmes
dexploitation ne rsoudra pas leproblme car la performance est
suffisante pour accder aux ressources dans les domaines des
utilisateurs.
B. Faux : Peu importe que ladresse IP soit affecte de manire
statique oudynamique.
C. Faux : Le problme ne provient pas des mises jour dynamiques
desenregistrements DNS.
D. Vrai : Une approbation raccourcie amliore la performance en
autorisant descontrleurs de domaine dun domaine se rapporter des
clients situs dans lautre domaine directement et non via le domaine
racine de la fort.
Chapitre 12 : Rponses aux cas pratiquesScnario : Grer plusieurs
domaines et forts1. Vous devez augmenter le niveau fonctionnel de
domaine et de fort au moins Windows Server 2003. Les approbations
de fort ne sont autorises quaux niveaux fonctionnels de fort
Windows Server 2003 et Windows Server 2008.
2. Comme vous ne possdez pas de compte dans le domaine
wingtiptoys.com, vous nepouvez que des approbations entrantes et
sortantes sens unique. Les administrateurs de wingtiptoys.com
doivent crer des approbations entrantes et sortantes sens unique
rciproques.
3. Vous devez activer lauthentification slective dans
lapprobation sortante. Ensuite,accordez ces utilisateurs
lautorisation Autorisation dauthentifier sur les objets ordinateur
des quatre serveurs.
40
Rponses
Chapitre 13 : Rponses aux questions de rvisionLeon 11. Bonne
rponse : B A. Faux : Le service AD DS redmarrable est lune des
fonctionnalits les plusintressantes de Windows Server 2008.
B. Vrai : Si une personne travaille sur un autre contrleur de
domaine dans ledomaine racine de la fort et quelle a arrt le
service AD DS, vous ne pourrez pas larrter sur ce serveur car il
faut quau moins un contrleur de domaine soit oprationnel dans
chaque domaine pour pouvoir larrter.
C. Faux : Vous navez pas besoin dutiliser le mode DSRM dans
WindowsServer 2008 pour accomplir des oprations dans la base de
donnes sur un contrleur de domaine.
D. Faux : Vous pouvez arrter le service AD DS soit via la ligne
de commandes,soit via la console Services.
2. Bonnes rponses : D et F A. Faux : Si le serveur tombe en
panne, vous ne pouvez pas le redmarrer enmode DSRM.
B. Faux : Vous navez pas besoin daccomplir une restauration
faisant autorit,car rien nindique que le serveur contenait des
donnes perdues qui ne se trouvent pas sur les autres contrleurs de
domaine.
C. Faux : Vous navez pas besoin de rinstaller le systme
dexploitation si vousavez accs aux sauvegardes compltes du
serveur.
D. Vrai : Vous devez redmarrer le serveur avec WinRE pour lancer
loprationde rcupration complte du serveur.
E. Faux : Vous ne pouvez pas accomplir de restauration ne
faisant pas autoritavec Ntdsutil.exe dans Windows Server 2008. Vous
devez utiliser loutil Sauvegarde de Windows Server ou
Wbadmin.exe.
F. Vrai : Vous pouvez accomplir une rcupration complte du
serveur soit viala ligne de commandes, soit via linterface
graphique.
Leon 21. Bonnes rponses : C et D A. Faux : Les dates dexpiration
narrtent pas un ensemble de collectes. Ellesempchent le dmarrage
des nouvelles collections lorsque la date dexpiration est
atteinte.
B. Faux : Pour sexcuter, les ensembles de collecteurs doivent
tre dans lestemps. Sinon, ils sinterrompent si lutilisateur qui les
a crs se dconnecte.
C. Vrai : Vous devez dfinir une condition darrt pour chaque
ensemble decollecteurs.
Rponses
41
D. Vrai : Vous devez dfinir une dure pour chaque ensemble de
collecteurslorsque vous planifiez son excution, faute de quoi il ne
sarrte pas.
2. Bonnes rponses : A, B, C et D A. Vrai : Le Moniteur de
fiabilit indique si des changements ont t apportsrcemment au
serveur et sils peuvent tre