Der Völk für Windows Server 2003

Transcription

��
��
�
��
��
��
�
�
�
�
� ��
��
��
��
�
DER VÖLK
��
��
�
�
�
��
��
��
��
�
�
�
�
�
�
��
��
��
��
��
��
��
��
��
��
��
��
�
�
�
��
��
Planen, Implementieren und Warten
einer Active Directory-Infrastruktur
unter Microsoft Windows Server 2003
��
IMPRESSUM
Impressum
Bibliografische Information der Deutschen Bibliothek - CIP
Einheitsaufnahme
Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen
Nationalbibliografie; detaillierte bibliografische Daten sind im Internet
über http://dnb.ddb.de abrufbar.
ISBN (10stellig) 3-938077-05-0
ISBN (13stellig) 978-3-938077-05-4
Version 1.0
1. Auflage 2006
© 2006 MVS Press Michael Völk Systems, Puchheim
Text: Michael Völk, Dr. David Street
Grafiken: Michael Völk, Dr. David Street, Kerstin Völk
Fachlektorat: Andreas Hengge, München
Sprachlektorat: Dr. Bernd Wollner, Küps, [email protected]
Geschützte Warennamen (Warenzeichen) werden nicht immer kenntlich
gemacht. Aus dem Fehlen eines solchen Hinweises kann nicht geschlossen
werden, dass es sich um einen freien Warennamen handelt.
Alle Rechte, insbesondere das Recht zur Vervielfältigung und Verbreitung
sowie der Übersetzung, vorbehalten.
Kein Teil des Werkes darf in irgendeiner Form (durch Fotokopie, Mikrofilm
oder ein anderes Verfahren) ohne schriftliche Genehmigung des Verlages
reproduziert werden.
Der Verlag übernimmt keine Gewähr für die Funktion einzelner
beschriebener Vorgänge oder von Teilen derselben. Insbesondere
übernimmt er keinerlei Haftung für eventuelle, aus dem Gebrauch
resultierende Folgeschäden.
INHALTSVERZEICHNIS
Inhaltsverzeichnis
Impressum................................................................................. - 1 Vorwort ..................................................................................... - 3 Liebe Leserin, lieber Leser, ........................................................ - 3 Wie ist dieses Buch aufgebaut? .................................................. - 4 Wie sollten Sie dieses Buch nutzen?............................................ - 5 Danksagung ............................................................................ - 6 Kapitel 1 .................................................................................... - 7 Prüfungsfragen Examen 70-294 ................................................. - 7 Simulationen ........................................................................- 181 Kapitel 2 .................................................................................- 185 Lösungen und Begründungen für Examen 70-294 ......................- 185 Simulationen ........................................................................- 497 zur Onlinetestdatenbank - klick hier!
VORWORT
Vorwort
Liebe Leserin, lieber Leser,
willkommen beim E-Book von MVSPress „Der Völk für Windows Server
2003 – Prüfungsvorbereitung für das Examen 70-294“.
Dieses E-Book wird ständig erweitert und angepasst. Aufgrund der
Tatsache, dass wir das Buch als E-Book anbieten, können wir deutlich
schneller auf Veränderungen und Modifizierungen reagieren. Sie als Käufer
erhalten einen zeitlich unbegrenzten Zugriff auf die aktuelle Version.
Einmal kaufen und immer wieder die neueste Version im Zugriff haben!
Sobald eine neue Version bereitsteht, werden Sie hierüber per E-Mail
informiert.
In dieses Buch haben wir deshalb die Erfahrungen aller im Rahmen dieser
Prüfungsvorbereitungen Beteiligten einfließen lassen. Damit erreichen wir
einen direkten Bezug zur Prüfung, der sich allein schon in der
Fragestellung widerspiegelt. Zudem haben wir uns um eine größtmögliche
Aktualität bemüht. Sie finden daher in diesem Buch Fragen zum Examen,
die Sie vermutlich in ähnlicher Form erst wieder in der Prüfung zu Gesicht
bekommen.
„Der Völk für Windows Server 2003“ kann die Praxis und Erfahrung rund
um Windows Server 2003 nicht ersetzen. Auch wenn in der Vergangenheit
manche Leser unsere Bücher auswendig gelernt und dadurch die einzelnen
Examen bestanden haben, so ist dies nicht der richtige Weg. Setzen Sie
sich mit der Thematik ausführlich auseinander und bringen Sie dieses
erworbene Wissen in die Lektüre dieses Buchs mit ein. Dieses Buch ist
ausschließlich zur Prüfungsvorbereitung gedacht und ersetzt kein
Fachbuch, keine Schulung oder gar die Erfahrung mit dem Produkt.
-3-
VORWORT
Wie ist dieses Buch aufgebaut?
Die Kapitel 1 und 2 dienen der individuellen Vorbereitung auf die Prüfung.
Das Kapitel 1 dient der Vorbereitung auf das Examen und enthält nur die
Fragen und Lösungsvorschläge. Im Kapitel 2 finden Sie die gleichen
Fragen und Lösungsvorschläge wieder. Neben der bloßen Angabe der
richtigen Lösung/en erhalten Sie darüber hinaus eine Begründung,
weshalb diese angegebene/n Lösung/en die richtige/re/n ist/sind, sowie
Verweise auf die Original-Microsoft-Trainings („grüne Bücher“) und auf die
Hilfe. Diese Hilfe wird oft unterschätzt; sie stellt jedoch eine
Informationsquelle dar, die nicht nur kostenlos ist, sondern auch wirklich
als Nachschlagewerk dienen kann.
Wir geben im Kapitel 2 immer nur „MS-Training“ als Verweis an. Dieser
Verweis bezieht sich auf das folgende Buch:
Herausgeber: Microsoft Press Deutschland
Titel: Verwalten und Warten einer Microsoft Windows Server 2003Umgebung – Original Microsoft Training
1. Auflage ISBN: 3-86063-932-3
2. Auflage ISBN: 3-86645-909-2
Wir geben hier jeweils (nach Verfügbarkeit) die Verweise auf die erste und
die zweite Auflage der MS Trainings an.
An dieser Stelle ein herzliches Dankeschön an Microsoft Press für die
kostenlose Überlassung des MCSE Core Schubers für die Examen 70-290,
70-291, 70-293 und 70-294.
Wir stellen Ihnen auf unserer Homepage http://www.mvspress.de
zusätzliche Informationen bereit. Neben einer Übersicht der
unterschiedlichen Fragentypen finden Sie dort Informationen rund um die
Microsoft Zertifizierungen. Dort können Sie auch online Ihr Wissen testen
und, fast wie bei der richtigen Prüfung, Ihr Wissen unter Beweis stellen.
-4-
VORWORT
Wie sollten Sie dieses Buch nutzen?
Arbeiten Sie bitte zuerst das Kapitel 1 durch und nutzen Sie alle Ihnen
zugänglichen Informationsmedien, um die Fragen zu beantworten.
Versuchen Sie bei jeder Frage, sich selbst zu erklären, warum z. B. der
Lösungsvorschlag C besser ist als der Lösungsvorschlag A. Es heißt nicht
umsonst:
Wer lehrt, der lernt!
Uns bleibt zu guter Letzt nur, Ihnen viel Erfolg und auch ein wenig Spaß
beim erfolgreichen Durcharbeiten dieses Buches und viel Glück beim
Examen 70-294, »Planen, Implementieren und Warten einer Active
Directory-Infrastruktur unter Microsoft Windows Server 2003« zu
wünschen. Weiteren Support (per Mail oder auch per Telefon) zu diesem
Buch stellen wir nicht bereit, da in der Vergangenheit diese Möglichkeit
von manchen Lesern zum persönlichen Training missbraucht wurde.
Lassen Sie andere von Ihren Erfahrungen mit profitieren und mailen Sie
Anregungen an [email protected].
Vielen Dank schon jetzt für Ihren Beitrag.
-5-
VORWORT
Danksagung
Wir möchten an dieser Stelle all denjenigen ein herzliches Dankeschön
aussprechen, die an der Entwicklung dieses Buches mitgewirkt haben,
insbesondere unseren Mitarbeitern, Freunden und Kollegen und natürlich
auch unseren Teilnehmern. Ohne ihr Engagement und auch die
konstruktive Kritik wäre dieses Buch nicht entstanden. Besonderen Dank
möchten wir folgenden Freunden und Mitarbeitern für ihre konstruktive
Mitarbeit aussprechen:
Daniela Pelg und Kerstin Völk.
Auch unsere Familien mussten Ihren Tribut für das Entstehen dieses
Buches zollen, ein Dankeschön an unsere Ehefrauen und Kinder, die ihre
Männer und Väter oft entbehren mussten.
Zu guter Letzt möchten wir noch einen Hinweis auf das Cover geben. Wir
haben als Hintergrund Detailaufnahmen von versteinertem Holz gewählt,
weil ja im Englischen immer wieder vom „Forest(s)“ oder „Tree(s)“
gesprochen wird.
Puchheim, im Dezember 2006
Michael Völk und Dr. David Street
-6-
PRÜFUNGSFRAGEN EXAMEN 70-294
Kapitel 1
Prüfungsfragen Examen 70-294
zur Onlinetestdatenbank - klick hier!
-7-
Frage 1
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr
Netz besteht aus einem Intranet und einem Grenznetzwerk. Das
Grenznetzwerk enthält folgende Server:
• einen Windows Server 2003 Web Edition-Server mit der Bezeichnung
»MVSWEB001«,
• einen Windows Server 2003 Standard EditionServer mit der
Bezeichnung »MVSDCO002«,
• einen Windows Server 2003 Enterprise Edition-Server mit der
• eine Webservergruppe, bestehend aus zwei Windows Server 2003
Web Edition Servern.
Alle Server im Grenznetzwerk sind Mitglieder derselben Arbeitsgruppe.
Das Planungsteam plant einen neuen Verzeichnisdienst zu erstellen, der
alle Server des Grenznetzwerkes enthält. In der neuen Domäne sollen alle
Webapplikationen des Grenznetzwerkes laufen. Das Planungsteam macht
zur Auflage, dass die Domäne für das Grenznetzwerk fehlertolerant sein
soll.
Sie müssen einen oder mehrere Server aus dem Grenznetzwerk
auswählen, die Sie zu einem Domänencontroller heraufstufen werden.
Welche/n Server wählen Sie aus?
A

»MVSWEB001«.
B

»MVSDCO002«.
C

»MVSDCO003«.
D

Webservergruppe.
-8-
Frage 2
Netzwerk besteht aus einem Verzeichnisdienst, wie in der folgenden Grafik
dargestellt:
Ihre Firma hat eine Sicherheitsrichtlinie erstellt, die definiert, dass alle
Domänencontroller in VERTRIEB.MVSPRESS.DE die NTLMv2 LAN-ManagerAuthentifizierung verwenden müssen. Sie möchten, dass nur die Mitglieder
der DOMÄNEN-ADMINS die Domänencontroller starten dürfen. Sie müssen
die Domänencontroller in VERTRIEB.MVSPRESS.DE so konfigurieren, dass
sie diesen Sicherheitsvorschriften entsprechen.
Mit welchen zwei Aktionen können Sie das durchführen?
(Jede richtige Antwort ist Teil der Lösung.)
-9-
A

Sie importieren die standardmäßig vorhandene
Sicherheitsvorlage rootsec.inf in die
Gruppenrichtlinien für Domänencontroller in
VERTRIEB.MVSPRESS.DE.
B

Gruppenrichtlinien für Domänen von
C

Sicherheitsvorlage securedc.inf in die
D

E

Sie führen das Tool syskey.exe auf jedem
Domänencontroller in der Domäne
VERTRIEB.MVSPRESS.DE aus. Im Auswahlfenster
wählen Sie die Option Kennwort für den
Systemstart aus.
F

wählen Sie die Option Systemstartschlüssel wird
lokal gespeichert aus.
- 10 -
Frage 3
Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung
MVSNET.DE. Alle Domänencontroller führen Windows Server 2003 aus.
Sie erstellen einen Wiederherstellungsplan für den „Fall der Fälle“ in Ihrer
Firma. Die Domänencontroller werden jede Nacht mittels eines „normalen“
Backups gesichert. Die normale Sicherung umfasst die Sicherung des
Systemstatus eines jeden Domänencontrollers.
Ihr Notfallplan sollte folgende Definitionen berücksichtigen:
• Wiederherstellen von Verzeichnisobjekten, die zufällig oder
vorsätzlich gelöscht worden sind.
• Der Verzeichnisdienst muss so schnell wie möglich in seiner
aktuellsten Version wiederhergestellt werden können.
• Der Zeitaufwand muss reduziert werden.
Er sollte die Möglichkeit bieten, gelöschte Organisationseinheiten (OUs)
wiederherstellen zu können.
Welche zwei Aktionen sollte Ihr Notfallplan berücksichtigen?
(Jede richtige Antwort ist ein Teil der Lösung.)
A

Den Domänencontroller im Modus für
Verzeichniswiederherstellung starten.
B

Den Domänencontroller im abgesicherten Modus
starten.
C

Sie benutzen das Tool ntdsutil, um eine
autorisierende Wiederherstellung der Datenbank
durchzuführen.
D

Wiederherstellen des Systemstatus mit der Option
Alles Überschreiben.
E

Sie benutzen das Tool ntdsutil für eine
autorisierende Wiederherstellung des entsprechenden
Teilbereiches.
- 11 -
Frage 4
Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Alle Server im Netzwerk führen Windows Server 2003 und
alle Clientcomputer Windows XP Professional aus. In der Domäne befinden
sich zwei Domänencontroller, »MVSDCO001« und »MVSDCO002«.
»MVSDCO001« ist der erste Domänencontroller der Domäne und verfügt
über alle Betriebsmasterfunktionen.
Sie beabsichtigen, »MVSDCO001« wegen Wartungsarbeiten wenige
Stunden vom Netz zu nehmen. Ungeachtet davon, dass der Server
»MVSDCO001« offline ist, wird ein anderer Administrator während dieser
Zeit sehr viele neue Benutzerkonten erstellen.
Mit so wenig wie möglichen Konfigurationsschritten müssen Sie
sicherstellen, dass der Administrator seine Aufgaben durchführen kann.
Welche Maßnahmen sollten Sie ergreifen?
(Wählen Sie alle richtigen Antworten.)
A

Sie verbinden sich mit »MVSDCO002« und übertragen
die PDC-Emulatorrolle auf den Server »MVSDCO002«.
B

Sie verbinden sich mit »MVSDCO002« und
konfigurieren den Server »MVSDCO002« zum PDCEmulationsmaster.
C

die Infrastrukturmasterrollen auf den Server
»MVSDCO002«.
D

konfigurieren die Infrastrukturmasterrollen auf dem
Server »MVSDCO002«.
E

die RID-Masterrolle auf den Server »MVSDCO002«.
F

konfigurieren die RID-Masterrolle auf dem Server
»MVSDCO002«.
- 12 -
Frage 5
Sie sind ein Systemadministrator des Gästehauses Merk. Das Netzwerk
besteht aus einer Verzeichnisstruktur mit der Bezeichnung GAESTEHAUSMERK.DE. Alle Server führen das Betriebssystem Windows Server 2003
aus.
Ein Mitarbeiter des Helpdesks berichtet, dass ein Benutzerobjekt zufällig
gelöscht wurde. Der Benutzer ist nicht mehr in der Lage, sich an der
Domäne anzumelden und bekommt daher keinen Zugriff mehr auf seine
Ressourcen im Netzwerk. Sie überprüfen diesen Sachverhalt und stellen
fest, dass das Benutzerobjekt in der aktuellen
Systemstatusdatensicherung vorhanden ist.
Sie müssen dem Benutzer ermöglichen, sich an der Domäne anmelden zu
können. Sie müssen zudem sicherstellen, dass der Benutzer wieder Zugriff
auf alle benötigten Ressourcen bekommt.
Was sollten Sie tun?
A
{
Sie setzen einen neuen Domänencontroller auf. Sie
stellen den Verzeichnisdienst des aktuellen Backups
auf diesem Server wieder her. Sie initiieren eine
manuelle Replikation.
B
{
Sie vermindern das Garbage Collection Intervall. Sie
führen eine nichtautorisierende Wiederherstellung des
Verzeichnisdienstes unter Verwenden des aktuellsten
Backups durch.
C
{
Sie führen eine autorisierende Wiederherstellung des
Verzeichnisdienstes unter Verwendung des aktuellsten
Backups durch. Sie stellen das Benutzerobjekt, das
gelöscht wurde, wieder her.
D
{
Sie erstellen ein neues Benutzerobjekt mit demselben
Benutzerprinzipalnamen (UPN), den das
Benutzerobjekt hatte, das gelöscht wurde. Sie stellen
dieses Benutzerobjekt zuverlässig wieder her.
- 13 -
Frage 6
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihre
Gesellschaft besteht aus einem Verzeichnisdienst mit der Bezeichnung
MVSPRESS.DE. Alle Clients in Ihrer Firma führen als Betriebssystem
Windows XP Professional aus.
Das Hauptbüro der Gesellschaft befindet sich in Nürnberg. Sie sind ein
Netzwerkadministrator in einer Zweigstelle der Gesellschaft in Kronach.
Sie erstellen eine Gruppenrichtlinie, die das Startmenü der Mitarbeiter in
Kronach auf einen freigegeben Ordner auf einem Dateiserver umleitet.
Mehrere Benutzer in Kronach berichten, dass viele der Programme, die sie
normalerweise verwenden, in ihrem Startmenü fehlen. Die Programme
waren im Startmenü am Vortag noch verfügbar, aber heute erschienen sie
nicht, wenn sich die Benutzer angemeldet haben.
Sie melden sich bei dem Computer eines Mitarbeiters an. Alle
erforderlichen Programme erscheinen im Startmenü. Sie stellen sicher,
dass die Mitarbeiter auf den gemeinsamen Ordner auf dem Dateiserver
zugreifen können. Sie müssen herausfinden, warum sich das Startmenü
für diese Mitarbeiter geändert hat.
Welche zwei Möglichkeiten haben Sie, um dieses Ziel zu erreichen?
(Jede richtige Antwort entspricht einer vollständigen Lösung. Wählen Sie
zwei.)
A

Sie wählen in der Gruppenrichtlinienverwaltung
(GPMC) den Dateiserver, auf dem der gemeinsame
Ordner verwaltet wird, sowie ein Benutzerkonto, das
in der Gruppe der Domänenadministratoren ist, und
überprüfen dies mithilfe des
Richtlinienergebnissatzes.
B

(GPMC) eines der betroffenen Benutzerkonten aus
und überprüfen dieses mithilfe des
C

Sie überprüfen auf einem der betroffenen
Clientcomputer die Einstellungen mithilfe des Tools
gpresult.
D

gpupdate.
E

secedit.
- 14 -
Frage 7
Netzwerk besteht aus einer Domäne mit der Bezeichnung MVSPRESS.DE.
Bevor Sie neue Gruppenrichtlinien implementieren, testen Sie diese auf
einer Organisationseinheit mit der Bezeichnung Test. Die
Organisationseinheit Test enthält einen Windows XP Professional
Clientcomputer, den Sie als Testcomputer benutzen.
Die Domäne enthält eine Gruppe mit der Bezeichnung Sicherheit. Sie
erstellen eine neue Gruppenrichtlinie und konfigurieren im Abschnitt
Computerkonfiguration die Option, damit die Gruppe Sicherheit eine
Änderung der Systemzeit durchführen kann.
Unmittelbar danach melden Sie sich am Testcomputer an und stellen fest,
dass die Gruppenrichtlinie nicht angewendet wurde. Sie müssen das
Gruppenrichtlinienobjekt sofort anwenden.
A
{
Sie melden sich von dem Testcomputer ab und dann
gleich wieder an.
B
{
Sie melden sich von dem Testcomputer ab. Sie
erstellen ein Benutzerkonto in der
Organisationseinheit Test und melden sich dann mit
diesem Konto wieder an.
C
{
Sie führen auf dem Testcomputer den Befehl
gpresult aus.
D
{
gpupdate /force aus.
- 15 -
Frage 8
Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Die
Gesellschaft hat ein Hauptbüro und sechs Zweigstellen. Jede Zweigstelle
beschäftigt weniger als 15 Mitarbeiter.
Das Netzwerk besteht aus einer aktiven Verzeichnisdomäne und ist mit
einem einzelnen Standort konfiguriert. Alle Server verwenden das
Betriebssystem Windows Server 2003. Die Domänencontroller befinden
sich im Hauptbüro. Alle Zweigstellen sind mit dem Hauptbüro durch WANVerbindungen verbunden.
Es ist erforderlich, dass alle Benutzer ihre Kennworte alle zehn Tage
ändern. Eine weitere Beschränkung ist eine Kennwortchronik, die die
letzten fünf Kennwörter aufzeichnet. Sie stellen fest, dass Benutzer in den
Zweigstellen, nach einem Ausfall der WAN-Verbindung für 24 Stunden
oder länger, durch Verwenden der vor kurzem erloschenen Kennworte sich
anmelden und auf lokale Ressourcen zugreifen können.
Sie müssen sicherstellen, dass Benutzer sich nur an der Domäne durch
Verwenden eines gegenwärtigen Kennworts anmelden können.
A
{
Sie aktivieren das Kontrollkästchen
Zwischenspeichern der universellen
Gruppenmitgliedschaft aktivieren.
B
{
Sie weisen alle Benutzer an, sich durch Verwenden
ihrer Benutzerprinzipalnamen (UPNs) anzumelden.
C
{
Sie aktivieren für alle Mitarbeiter die Option
Benutzer muss Kennwort bei der nächsten
Anmeldung ändern.
D
{
Sie konfigurieren die Domänengruppenrichtlinie, um
Anmeldungsversuche zu verhindern, die
zwischengespeicherte Informationen verwenden.
- 16 -
Frage 9
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das
Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der
Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem
Windows Server 2003. Die meisten Clientcomputer befinden sich in den
Büros der einzelnen Mitarbeiter. Einige Clientcomputer befinden sich in
öffentlich zugänglichen Bereichen.
Die firmeninterne Sicherheitspolitik enthält folgende Vorgaben:
• Alle Mitarbeiter müssen Chipkarten benutzen, um sich bei einem
Clientcomputer anzumelden.
• Mitarbeiter, die einen öffentlich zugänglichen Clientcomputer
benutzen, müssen abgemeldet werden, wenn sie die Chipkarte aus
dem Kartenleser entfernen.
Sie konfigurieren alle Benutzerkonten so, dass sie Chipkarten für
interaktive Anmeldung anfordern. Sie schaffen eine Organisationseinheit
mit der Bezeichnung PUBLIC.
Sie müssen sicherstellen, dass das entsprechende Ereignis auf jedem
Clientcomputer auftritt, wenn eine Chipkarte entfernt wird.
Sie müssen dieses Ziel erreichen, ohne die anderen Computer zu
konfigurieren.
- 17 -
A
{
Sie verschieben alle Computer, die öffentlich
zugänglich sind, in die Organisationseinheit PUBLIC.
Sie erstellen eine neue Gruppenrichtlinie und
verknüpfen sie mit der Organisationseinheit PUBLIC.
Sie aktivieren Interaktive Anmeldung: Verhalten
beim Entfernen von Smartcards: Abmeldung
erzwingen.
B
{
Sie verschieben alle Mitarbeiter, die die öffentlich
zugänglichen Clientcomputer benutzen, in die
Organisationseinheit PUBLIC. Sie erstellen eine neue
Gruppenrichtlinie und verbinden diese Richtlinien mit
der Organisationseinheit PUBLIC. Sie aktivieren
Interaktive Anmeldung: Verhalten beim
Entfernen von Smartcards: Abmeldung
erzwingen.
C
{
Sie aktivieren in der Standarddomänenrichtlinie
erzwingen.
D
{
Sie aktivieren in der
Standarddomänencontrollerrichtlinie Interaktive
Anmeldung: Verhalten beim Entfernen von
Smartcards: Abmeldung erzwingen.
- 18 -
Frage 10
Netzwerk besteht aus einer Gesamtstruktur mit der Bezeichnung
MVSPRESS.DE. Alle Server verwenden das Betriebssystem Windows
Server 2003 und alle Clientcomputer Windows XP Professional.
In einem Testlabor, das eine separate Verzeichnisstruktur enthält,
entwickeln und testen Sie Gruppenrichtlinien, die Sie auf alle Computer
und Benutzer in der Domäne anwenden möchten. Sie müssen eine neue
Gruppenrichtlinie im Netzwerk einsetzen. Sie wollen diese Aufgabe mit
minimalem administrativem Aufwand umsetzen.
A
{
Sie verwenden das verteilte Dateisystem, um die
Gruppenrichtlinien im freigegebenen Ordner SYSVOL
vom Testlabor zur Domäne zu replizieren.
B
{
Sie verwenden die
Gruppenrichtlinienverwaltungskonsole (GPMC), um
die Richtlinie aus dem Testlabor zu exportieren und
um sie anschließend in der Domäne zu importieren.
C
{
Sie kopieren die Gruppenrichtlinieschablone (GPT) aus
dem freigegebenen Ordner SYSVOL des Testlabors
zur Domäne.
D
{
Sie verwenden das Snap-In Active DirectoryBenutzer und -Computer, um in der Domäne eine
neue Gruppenrichtlinie zu erstellen. In der neuen
Gruppenrichtlinie übernehmen Sie alle Einstellungen
aus der Richtlinie des Testlabors.
- 19 -
Frage 11
Windows Server 2003 und alle Clientcomputer Windows XP.
Die Firma hat ihren Hauptsitz in Puchheim und eine Zweigniederlassung in
Küps. Diese zwei Geschäftsstellen wurden jeweils als ein Active DirectoryStandort konfiguriert und sind mit einer 10MBit Standleitung verbunden.
Das Puchheimer Büro beinhaltet alle Domänencontroller der Domäne
MVSNET.DE. Die Gruppenrichtlinienobjekte sind mit der Domäne und den
verschiedenen Organisationseinheiten verknüpft. Aufgrund der hohen
Bandbreite zwischen den Standorten existieren keinerlei Probleme
bezüglich der Verarbeitung der Gruppenrichtlinien. Sollte die 10MBit
Leitung ausfallen und nicht zur Verfügung stehen, werden die
Gruppenrichtlinien über eine eigens dafür gemietete 128Kbps ISDN
Leitung übertragen.
Sie aktivieren die Gruppenrichtlinie zur Erkennung von langsamen
Verbindungen und konfigurieren bestimmte GPOs dahingehend, dass diese
nicht verarbeitet werden, sobald die 10MBit Leitung ausgefallen ist und
nur die langsame Netzwerkverbindung zur Verfügung steht.
Sie müssen sicherstellen, dass die Gruppenrichtlinienobjekte fehlerfrei
abgearbeitet und angewendet werden. Um dieses Szenario zu testen,
simulieren Sie eine langsame Netzwerkverbindung.
A
{
Sie verwenden in der Befehlszeile secedit /analyze.
B
{
Sie verwenden den Richtlinienergebnissatz (RSoP) im
Planungsmodus.
C
{
Protokolliermodus.
D
{
Sie verwenden in der Befehlszeile gpupdate.
- 20 -
Frage 12
Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das
Bezeichnung EISSNER-EDV.DE. Alle Server verwenden das Betriebssystem
Windows Server 2003.
Die Gruppenrichtlinie Softwarebeschränkungen, in der auch Pfadregeln für
das Standardverzeichnis für Programme angewendet wurden, hindert die
Benutzer daran, nicht genehmigte Anwendungen auszuführen. Diese
Einschränkung gilt nicht für Benutzer, die lokale Administratoren auf ihren
Clientcomputern sind.
Der Entwickler in der Firma erstellt für einige der internen Benutzer eine
neue Applikation, die in regelmäßigen Abständen aktualisiert wird. Ein
Administrator installiert die Software unter C:\Programme\ auf einer
bestimmten Anzahl von Computern mit der gelieferten setup.exe. Wenn
Mitarbeiter jedoch versuchen, die neue Anwendung auszuführen,
berichten sie, dass sie dies nicht können.
Sie müssen langfristig und ohne weiteren Aufwand sicherstellen, dass alle
Mitarbeiter die neue Anwendung ausführen können. Nicht genehmigte
Software darf dagegen weiterhin nicht verwendet werden.
A
{
Sie erstellen einen WMI-Filter in der Gruppenrichtlinie
Softwarebeschränkung, der festlegt, wo die Software
installiert wird und wo die Gruppenrichtlinie die
Ausführung der Software verhindert.
B
{
Sie erstellen einen Hashwert für die ausführbare Datei
der Software und überarbeiten die Gruppenrichtlinie
Softwarebeschränkung, um zu erlauben, dass eine
ausführbare Datei, die zum Hashwert passt,
ausgeführt werden darf.
C
{
Sie erstellen eine Zertifikatregel für die ausführbare
Datei der Software und überarbeiten die
Gruppenrichtlinie Softwarebeschränkung, um zu
erlauben, dass die Applikation ausgeführt werden
darf.
D
{
Sie erstellen von der Software ein .msi-Paket und
erstellen eine neue Gruppenrichtlinie, um das Paket
den Computern zuzuteilen, die die Software
benötigen.
- 21 -
Frage 13
Sie sind der Netzwerkadministrator der Firma IT Consulting MERK. Das
Netzwerk besteht aus zwei Verzeichnisdiensten und jeweils einer einzelnen
Domäne. Die Domänenfunktionsebene bei beiden Verzeichnisstrukturen ist
Windows Server 2003. Eine Testumgebung bildet eine Verzeichnisstruktur,
die zweite ist die Produktionsumgebung. In der Testumgebung befindet
sich ein Domänencontroller.
Sie verwenden die Testumgebung, um Gruppenrichtlinien für die
Produktionsumgebung zu testen. Diese Tests schließen Änderungen an der
Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für
Domänencontroller mit ein. Zudem verwalten Sie in der Testumgebung
alle Gruppenrichtlinienobjekte für die gesamten Verzeichnisdienste.
Sie müssen in der Lage sein, die Sicherheitsrichtlinie für Domänen
und die Sicherheitsrichtlinie für Domänencontroller aus der Domäne
Test in der Produktionsumgebung implementieren und anwenden zu
können. Sie wollen diese Aufgabe mit dem geringsten möglichen
Verwaltungsaufwand erledigen.
Welche zwei Maßnahmen sollten Sie ergreifen?
(Jede richtige Antwort ist Teil der Lösung. Wählen Sie zwei.)
- 22 -
A

Sie kopieren die Gruppenrichtlinie aus der
Testdomäne in die produktive Domäne. Sie führen
unter der Pfadangabe der Gruppenrichtlinie den
Befehl DcGPOFix [/ignoreschema] [/Target:
Domain | DC | BOTH] in der produktiven Domäne
aus.
B

Sie sichern die Sicherheitsrichtlinie für Domänen
und die Sicherheitsrichtlinie für
Domänencontroller der Produktionsdomäne durch
Verwenden der Gruppenrichtlinienverwaltung
(GPMCs).
C

Sie importieren die Sicherheitsrichtlinie für
Domänen und die Sicherheitsrichtlinie für
Domänencontroller in die Testdomäne durch
(GPMCs) und einer Migrationstabelle.
D

Sie sichern und exportieren die angepassten Dateien
gpttmpl.inf, die die Einstellungen für die
Sicherheitsrichtlinie für Domänen und
Sicherheitsrichtlinie für Domänencontroller
beinhalten aus der Domäne Test und importieren sie
in die Domäne Produktion.
E

Sie erhöhen die Version der gpt.ini-Dateien für die
Sicherheitsrichtlinie für Domänen und die
Sicherheitsrichtlinie für Domänencontroller.
- 23 -
Frage 14
Sie sind der Netzwerkadministrator der Firma Dynagroup IT GmbH. Ihre
Firma hat eine Tochtergesellschaft mit dem Namen MVS M. Völk Systems.
Die Firma Dynagroup IT GmbH verfügt über einen aktiven
Verzeichnisdienst mit der Bezeichnung DYNAGROUP.DE. Die
Domänenfunktionsebene Ihrer Firma ist Windows Server 2003. In Ihrer
Tochtergesellschaft MVS M. Völk Systems ist eine Windows NT 4 Domäne
mit der Bezeichnung MVSNET.DE vorhanden.
Ein Dateiserver mit der Bezeichnung »MVSNETFS04« ist Mitglied der
Domäne DYNAGROUP.DE. Alle Mitarbeiter in beiden Domänen müssen
jeden Tag Daten auf »MVSNETFS04« abspeichern. Sie möchten den
Mitarbeitern in der Domäne MVSNET.DE den Zugriff auf »MVSNETFS04«
erlauben.
Sie müssen sicherstellen, dass die Domänenadministratoren aus
DYNAGROUP.DE den Mitarbeitern von MVS M. Völk Systems keine
Berechtigungen auf den Servern in MVSNET.DE erteilen können.
Wie können Sie ihr Ziel erreichen?
A
{
Sie führen ein Upgrade aller Server in der Domäne
MVSNET.DE zu Windows Server 2003 durch und
machen diese Domäne zur Stammdomäne einer
zweiten Verzeichnisstruktur im vorhandenen
Verzeichnisdienst.
B
{
neuen Verzeichnisstruktur. Sie richten eine beidseitige
Vertrauensstellung ein.
C
{
Sie richten eine einseitige Vertrauensstellung
zwischen den beiden Domänen ein, wobei die Domäne
DYNAGROUP.DE der Domäne MVSNET.DE vertraut.
D
{
MVSNET.DE der Domäne DYNAGROUP.DE vertraut.
- 24 -
Frage 15
MVSNET.DE. Alle Server verwenden als Betriebssystem Windows Server
2003 und alle Clientcomputer Windows XP Professional.
Der Verzeichnisdienst enthält die Organisationseinheiten Lohnbuchhaltung
Mitarbeiter, Lohnbuchhaltung Server und Finanz Server. Die Computer der
Mitarbeiter aus der Lohnbuchhaltung sind alle in der Organisationseinheit
Lohnbuchhaltung Mitarbeiter mit aufgenommen. Die Server der
Lohnbuchhaltung befinden sich alle in der Organisationseinheit
Lohnbuchhaltung Server, die Server der Finanzabteilung alle in der
Organisationseinheit Finanz Server.
Sie planen eine grundlegende Sicherheitsrichtlinie für die
Lohnbuchhaltung. Die Firmenrichtlinie gibt vor, dass die Kommunikation
mit den Servern der Lohnbuchhaltung nur mit IPSec stattfinden darf. Alle
anderen Server benötigen keine sichere Verbindung über IPSec. Sie
möchten die grundlegende Sicherheitsrichtlinie der Firmenrichtlinie
anpassen. Sie sollen sicherstellen, dass die Mitarbeiter der
Lohnbuchhaltung auf Ressourcen der Lohnbuchhaltung und der
Finanzabteilung zugreifen können.
Wie gehen Sie vor?
- 25 -
A
{
Sie erstellen eine neue Gruppenrichtlinie und fügen
die Richtlinie Sicherer Server (Sicherheit
erforderlich) hinzu. Sie verknüpfen die neue
Gruppenrichtlinie mit der Organisationseinheit
Lohnbuchhaltung Server. Sie erstellen eine zweite
Gruppenrichtlinie und fügen die Richtlinie Client (nur
Antwort) hinzu. Sie verknüpfen die neue
Lohnbuchhaltung Mitarbeiter.
B
{
Lohnbuchhaltung Server und Organisationseinheit
Finanz Server. Sie erstellen eine zweite
C
{
die Richtlinie Server (Sicherheit anfordern) hinzu.
Sie verknüpfen die neue Gruppenrichtlinie mit der
Organisationseinheit Lohnbuchhaltung Server. Sie
erstellen eine zweite Gruppenrichtlinie und fügen die
Richtlinie Client (nur Antwort) hinzu. Sie
verknüpfen die neue Gruppenrichtlinie mit der
Organisationseinheit Lohnbuchhaltung Mitarbeiter.
D
{
Organisationseinheit Lohnbuchhaltung Server und der
Organisationseinheit Finanz Server. Sie erstellen eine
zweite Gruppenrichtlinie und fügen die Richtlinie
Client (nur Antwort) hinzu. Sie verknüpfen die
neue Gruppenrichtlinie mit der Organisationseinheit
- 26 -
Frage 16
Bezeichnung EISSNER-EDV.DE. Alle Server verwenden Windows Server
2003 als Betriebssystem.
Sie müssen die Benutzerdatenbank des Domänencontrollers vor
unberechtigten Zugriff schützen und möchten dieses Ziel mit möglichst
geringem Verwaltungsaufwand durchführen.
Mit welchen zwei Aktionen lässt sich dieses Ziel erreichen?
(Jede Antwort ist ein Teil der Lösung!)
A

Sie verwenden das Dienstprogramm für
Systemschlüssel (syskey.exe) und wenden die
sicherste Methode auf dem Domänencontroller an.
B

Sie erstellen eine Gruppenrichtlinie, importieren die
Sicherheitsvorlage securedc.inf und wenden diese
GPO auf dem Domänencontroller an.
C

Sie erstellen eine Gruppenrichtlinie und konfigurieren
die Netzwerksicherheit LAN Manager
Authentifizierung-Option so, dass sie zum Senden
NTLMv2 verwendet wird.
D

Sicherheitsvorlage security.inf und wenden diese
- 27 -
Frage 17
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Alle
Domänencontroller verwenden das Betriebssystem Windows Server 2003.
Das Netzwerk enthält 50 Windows 98 Computer, 300 Windows 2000
Professional Computer und 150 Windows XP Professional Computer.
Entsprechend der Netzentwurfsspezifikation muss das Kerberos Version 5
Bestätigungsprotokoll für alle Clientcomputer im internen Netz verwendet
werden.
Sie müssen sicherstellen, dass Kerberos Version 5 Bestätigung für alle
Clientcomputer im internen Netz verwendet wird.
A
{
Sie deaktivieren auf jedem Domänencontroller das
Server Message Block (SMB) Protokoll für die
Verschlüsselung einer sicheren Datenverbindung.
B
{
Sie ersetzen alle Windows 98 Clientcomputer durch
Windows XP Professional.
C
{
Sie installieren auf allen Windows 98 Clientcomputern
die Verzeichnisdienstkomponente.
D
{
Windows NT 4 Workstations.
- 28 -
Frage 18
Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen mit den
Bezeichnungen MVSNET.DE, DACHAU.MVSNET.DE und
AUGSBURG.MVSNET.DE. Die Domänenfunktionsebene ist Windows Server
2003.
Die Domänen DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE enthalten
Benutzerkonten, Computerkonten und Mitgliedsserver. Die Domäne
MVSNET.DE enthält nur die Administratoren und Computerkonten für zwei
Domänencontroller. Jeder Mitgliedsserver führt nur die Dienste
Dateiserver, Druckserver, WEB-Server oder Datenbankserver aus.
Ihre Firma plant die Verwendung eine Gruppenrichtlinie für eine zentrale
Verwaltung der Sicherheitseinstellungen der Mitgliedsserver. Einige der
Sicherheitseinstellungen müssen auf alle Mitgliedsserver angewandt und
dürfen nicht überschrieben werden. Andere Sicherheitseinstellungen sind
nur für die entsprechenden Serverdienste gedacht.
Sie müssen eine Struktur von Organisationseinheiten schaffen, um die
Gruppenrichtlinien zu unterstützen. Sie wollen so wenig wie möglich
Gruppenrichtlinien und Verbindungen erstellen.
- 29 -
A
{
Sie erstellen eine Organisationseinheit auf oberster
Ebene für jeden Serverdienst unterhalb der Domäne
MVSNET.DE. Sie erstellen eine Organisationseinheit
auf oberster Ebene mit der Bezeichnung Server
unterhalb der Domäne DACHAU.MVSNET.DE. Sie
erstellen eine Organisationseinheit auf oberster Ebene
mit der Bezeichnung Server unterhalb der Domäne
AUGSBURG.MVSNET.DE.
B
{
Ebene mit der Bezeichnung Server unterhalb der
Domäne DACHAU.MVSNET.DE. Sie erstellen eine
Organisationseinheit für jeden Serverdienst unterhalb
der Organisationseinheit Server. Sie erstellen eine
Organisationseinheit auf oberster Ebene mit der
Bezeichnung Server unterhalb der Domäne
AUGSBURG.MVSNET.DE. Sie erstellen eine
der Organisationseinheit Server.
C
{
Domäne MVSNET.DE. Sie erstellen eine
D
{
DACHAU.MVSNET.DE. Sie erstellen eine
Organisationseinheit auf oberster Ebene für jeden
Serverdienst unterhalb der Domäne
AUGSBURG.MVSNET.DE.
- 30 -
Frage 19
EISSNER-EDV.DE. Alle Server verwenden Windows Server 2003 als
Betriebssystem, alle Clientcomputer Windows XP Professional.
Die EDV-Beratung Eißner hat ein Büro in Veilsdorf und ein weiteres in
Hildburghausen. Jedes Büro ist als Standort im Verzeichnisdienst definiert.
Jedes Büro verfügt über zwei Domänencontroller.
Das Netzwerk ist so konfiguriert, dass eine Mitteilung auf dem Bildschirm
aller Benutzer angezeigt wird, bevor sie sich anmelden. Auf Anfrage der
Rechtsabteilung nehmen Sie eine Änderung an der Mitteilung vor, indem
Sie die Einstellungen in einer Gruppenrichtlinie ändern. Diese
Gruppenrichtlinie ist mit der Domäne verknüpft.
Die Rechtsabteilung berichtet, dass nicht alle Benutzer die neue Mitteilung
erhalten. Sie entdecken, dass Benutzer im Büro Veilsdorf die neue
Mitteilung erhalten, aber Benutzer im Büro Hildburghausen erhalten
weiterhin die alte Mitteilung. Das Problem besteht mehrere Tage.
Sie müssen sicherstellen, dass die neue Mitteilung auf allen Computern im
Netz richtig angezeigt wird.
Wie gehen Sie vor?
A
{
Sie erstellen eine neue Sicherheitsgruppe und fügen
alle Computerkonten aus Veilsdorf hinzu. Sie erlauben
der Sicherheitsgruppe die Anwendung der
Gruppenrichtlinie.
B
{
Sie fügen einen Domänencontroller aus dem Standort
Veilsdorf dem Standort Hildburghausen hinzu, warten
24 Stunden und bringen den Server in seinen
ursprünglichen Standort zurück.
C
{
Sie erzwingen eine Replikation des
Verzeichnisdienstes.
D
{
Sie melden sich an einem Domänencontroller in
Veilsdorf an und fügen ihm die
Betriebsmasterfunktion Infrastruktur hinzu.
- 31 -
Frage 20
EISSNER-EDV.DE. Die Domäne enthält eine Organisationseinheit Verkauf.
Sie erstellen drei Gruppenrichtlinienobjekte, die über vier
Konfigurationseinstellungen (siehe Tabelle) verfügen:
Standort
GPO-Name
GPO-Konfiguration
Einstellungen
Domäne
Bildschirmschoner
Verstecken der
Registerkarte
Bildschirmschoner
Deaktiviert
OU
Verkauf
Anzeige und
Bildschirmhintergrund
Verstecken der
Registerkarte
Bildschirmschoner
Aktiviert
OU
Verkauf
Anzeige und
Pfad für aktuellen
Bildschirmhintergrund:
c:\WINNT\web\wallpape
r\bliss.jpg
Aktiviert
OU
Verkauf
Pfad für aktuellen
r\Fruehling.jpg
Aktiviert
Die Gruppenrichtlinie Bildschirmschoner hat die Einstellung nicht
Überschreiben aktiviert. Auf der Organisationseinheit Verkauf ist die
Vererbung der Gruppenrichtlinien aktiviert. Die Reihenfolge der
verknüpften Richtlinien für die Organisationseinheit Verkauf ist Anzeige
und Bildschirmhintergrund und als zweites Bildschirmhintergrund.
Für die Benutzer in der Organisationseinheit Verkauf soll die Registerkarte
Bildschirmschoner deaktiviert und der Bildschirmhintergrund
Fruehling.jpg sein. Sie melden sich an einem Testcomputer mit einem
Benutzerkonto aus der Organisationseinheit Verkauf an, aber Sie
bekommen nicht die geforderten Einstellungen.
Sie müssen sicherstellen, dass für die Benutzer aus der
Organisationseinheit Verkauf die Registerkarte Bildschirmschoner
deaktiviert wird und als Bildschirmhintergrund Fruehling.jpg eingesetzt
wird. Benutzer in anderen Organisationseinheiten dürfen von diesen
Einstellungen nicht betroffen werden.
Wie gehen Sie vor?
- 32 -
A
{
Sie aktivieren die Einstellung nicht Überschreiben
für die Gruppenrichtlinie Anzeige und
Bildschirmhintergrund.
B
{
Sie deaktivieren die Einstellung nicht Überschreiben
für die Gruppenrichtlinie Bildschirmhintergrund.
Verschieben Sie die Gruppenrichtlinie
Bildschirmhintergrund an die erste Stelle der
Reihenfolge.
C
{
Sie erstellen eine Gruppenrichtlinie und verknüpfen
sie mit dem Objekt Standardname-des-erstenStandorts. Sie konfigurieren die Gruppenrichtlinie so,
dass Verzeichnisdiensthintergrund auf
c:\WINNT\web\wallpaper\Fruehling.jpg verweist.
D
{
Sie deaktivieren die Vererbung der Richtlinien für die
Organisationseinheit Verkauf. Sie ändern die
Gruppenrichtlinie Anzeige und Bildschirmhintergrund
und verweisen für den Verzeichnisdiensthintergrund
auf c:\WINNT\web\wallpaper\Fruehling.jpg.
- 33 -
Frage 21
Server 2003, alle Clientcomputer Windows XP Professional. Die Benutzer
haben keine lokalen Administrationsrechte.
Ihre Firma bekommt eine neue Software für die Auftragsbearbeitung.
Diese Software muss auf jedem Clientcomputer installiert werden. Die
Applikation enthält eine .msi-Datei. Sie kopieren diese Datei in einen
freigegeben Ordner auf einem Dateiserver. Sie erteilen der Gruppe
Authentifizierte Benutzer das Leserecht für diesen Ordner.
Sie wollen diese Software einsetzen und weisen die Mitarbeiter an, dass
sie diese .msi-Datei mit einem Doppelklick im freigegeben Ordner starten
sollen. Als die Mitarbeiter jedoch versuchen, diese Software zu installieren,
erhalten sie eine Fehlermeldung.
Sie müssen das Netzwerk so konfigurieren, dass diese Software installiert
werden kann.
Welche zwei Optionen müssen Sie verwenden?
(Jede richtige Antwort ist ein Teil der gesamten Lösung.)
A

Sie ändern die Standarddomänengruppenrichtlinie und
fügen die Software für alle Computer hinzu.
B

Sie erweitern die Rechte der Mitarbeiter soweit, dass die
Mitarbeiter während der Installation einen temporären
Ordner im freigegeben Ordner erstellen können.
C

deaktivieren die Option Windows Installer
deaktivieren im Bereich Computerkonfiguration.
D

aktivieren die Option immer mit erhöhten Rechten
installieren im Bereich Computerkonfiguration.
- 34 -
Frage 22
MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server
2003, alle Clientcomputer Windows XP Professional.
Alle Server, die keine Domänencontroller sind, haben ein Computerkonto
in der Organisationseinheit ApplikationServers. Die Computerkonten der
Clientcomputer sind auf 15 verschiedene Organisationseinheiten innerhalb
des Verzeichnisdienstes verteilt, alle Benutzerkonten in der
Organisationseinheit FirmenMitarbeiter zusammengefasst.
Die Firma möchte, dass alle Mitarbeiter Microsoft Word auf ihren
Clientcomputer haben. Die Firma möchte jedoch nicht, dass Microsoft
Word auf den Domänencontrollern oder den anderen Servern installiert
wird.
Sie müssen das Netzwerk so konfigurieren, dass die Software ohne
Auswirkung auf bestehende Richtlinien oder sonstige Einstellungen
installiert werden kann.
Wie gehen Sie vor?
- 35 -
A
{
Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft
Word in der
Computerkonfiguration/Softwareinstallation hinzu
und verknüpfen diese Gruppenrichtlinie mit der Domäne.
Dann deaktivieren Sie die Vererbung der Richtlinie für die
Organisationseinheiten ApplikationServers und
Domänencontroller.
B
{
Word in der
Dann konfigurieren Sie die Berechtigungen für das
Gruppenrichtlinienobjekt so, dass die
Domänencontroller dieses Gruppenrichtlinienobjekt nicht
ausführen können.
C
{
Word in der
Benutzerkonfiguration/Softwareinstallation hinzu
Domänencontroller.
D
{
Word in der
lesen können.
- 36 -
Frage 23
2003, alle Clientcomputer Windows 2000 Professional oder Windows XP
Professional. Die Clientcomputer sind in der Organisationseinheit
Arbeitsstationen zusammengefasst.
Die Firmenrichtlinie gibt vor, dass die Windows 2000 Professional
Computer keine Offlineordner verwenden dürfen. Sie erstellen eine neue
Gruppenrichtlinie, die diese Vorgabe enthält. Diese Einstellung in der
Gruppenrichtlinie gilt für Windows 2000 Professional und Windows XP
Professional Computer gleichermaßen.
Sie müssen eine Gruppenrichtlinie nur für die Windows 2000 Professional
Computer konfigurieren.
Welche zwei Aktionen führen Sie zum Ziel?
(Jede richtige Antwort ist eine vollständige Lösung.)
A

Sie erstellen einen WMI-Filter, der die Gruppenrichtlinie
nur auf Windows 2000 Professional Computer anwendet.
B

nicht auf Windows XP Professional Computer anwendet.
C

Sie erstellen zwei Organisationseinheiten unterhalb der
Organisationseinheit Arbeitsstationen. Sie verschieben die
Computer mit Windows XP in die eine
Organisationseinheit und die Computer mit Windows
2000 in die zweite Organisationseinheit. Sie verknüpfen
diese Gruppenrichtlinie dann mit der Organisationseinheit
Arbeitsstationen.
D

Sie erstellen eine Gruppe, die alle Windows XP
Professional Computer beinhaltet und verweigern dieser
Gruppe den Zugriff auf die Organisationseinheit.
E

Sie erstellen eine Gruppe, die alle Windows 2000
Gruppe den Zugriff auf Hinzufügen von
Gruppenrichtlinienberechtigungen.
- 37 -
Frage 24
Netzwerk besteht aus einem einzelnen Verzeichnisdienst und drei
Standorten. Jeder Standort hat einen Domänencontroller. Alle Server
verwenden das Betriebssystem Windows Server 2003, die Clientcomputer
Windows 2000 Professional oder Windows XP Professional.
Die EDV-Abteilung ist in vier Gruppen aufgeteilt und arbeitet an allen drei
Standorten. Die Computer der EDV-Mitarbeiter müssen in der Lage sein,
Skripte auszuführen. Das Skript oder die Skripte müssen immer
ausgeführt werden können, egal an welchem Standort sich die EDVMitarbeiter anmelden möchten oder in welcher Gruppe sie Mitglied sind.
Sie müssen sicherstellen, dass die richtigen Anmeldeskripte für die
entsprechenden EDV-Mitarbeiter ausgeführt werden.
Wie gehen Sie vor?
A
{
Sie erstellen vier Gruppenrichtlinienobjekte und dann ein
Skript für jede Gruppenrichtlinie für die entsprechenden
Gruppen. Sie verknüpfen alle vier Gruppenrichtlinien mit
den drei Standorten und gewähren jeder Gruppe das
Recht dafür, nur die Gruppenrichtlinien anzuwenden, die
für ihre Gruppe erstellt wurden.
B
{
Sie erstellen ein Skript, das die entsprechenden
Eigenschaften, je nach Gruppenmitgliedschaft, ausführt.
Sie kopieren dieses Skript in den NETLOGON-Ordner auf
dem Domänencontroller.
C
{
Sie erstellen ein Gruppenrichtlinienobjekt mit einem
Startskript, das die Computer der EDV-Mitarbeiter
entsprechend ihrer Gruppenmitgliedschaft konfiguriert.
Sie verknüpfen dieses Gruppenrichtlinienobjekt mit den
drei Standorten.
D
{
Sie erstellen ein Skript, das die Computer der EDVMitarbeiter entsprechend ihrer Gruppenmitgliedschaft und
Standortzugehörigkeit konfiguriert. Sie erstellen ein
Gruppenrichtlinienobjekt für die Organisationseinheit
Domänencontroller, das das Skript ausführt.
- 38 -
Frage 25
Firma besteht nur aus einem Büro, das Netzwerk aus einem
Verzeichnisdienst mit einem Standort. Alle Server verwenden das
Betriebssystem Windows Server 2003.
Alle Datei- und Druckserver sowie die Applikationsserver sind in einer
Organisationseinheit mit der Bezeichnung Server zusammengefasst. Ein
Serversupportteam führt die täglichen Arbeiten auf den Datei- und
Druckservern sowie den Applikationsservern durch. Alle Benutzerkonten
des Serversupportteams sind in der Organisationseinheit SST
zusammengefasst.
Sie sind verantwortlich für die Sicherheit aller Server. Sie erstellen eine
neue Gruppe ServerSupport, die alle Mitarbeiter des Serversupportteams
enthält.
Sie müssen sicherstellen, dass alle Mitarbeiter des Serversupportteams
sich an jedem Datei- und Druckserver sowie den Applikationsservern lokal
anmelden können.
Wie gehen Sie vor?
A
{
Sie erstellen ein Gruppenrichtlinienobjekt und erlauben
der Gruppe ServerSupport das Recht zur lokalen
Anmeldung. Sie verbinden dieses
Gruppenrichtlinienobjekt mit der Organisationseinheit
SST.
B
{
Server.
C
{
Sie erteilen der Gruppe ServerSupport den Vollzugriff auf
die Organisationseinheit Server.
D
{
die Organisationseinheit Computer.
- 39 -
Frage 26
Netzwerk besteht aus einem Verzeichnisdienst. Die Verzeichnisstruktur
umfasst 19 Domänen. 15 Domänen verfügen über Windows Server 2003.
Die Domänenfunktionsebene aller Domänen ist Windows 2000 pur. Das
Netzwerk enthält eine Microsoft Exchange 2000 Server-Organisation.
Sie möchten Gruppen erstellen, die verwendet werden sollen, um E-Mails
an alle Mitarbeiter in der gesamten Firma zu versenden. Sie wollen dieses
Ziel mit minimalem Replikationsverkehr erreichen und die Größe der
Verzeichnisdatenbank möglichst klein halten.
Sie müssen einen Plan zur Erstellung der E-Mail-Gruppen für die Firma
MVS M. Völk Systems erstellen.
A
{
Sie erstellen eine globale Verteilergruppe in jeder
Domäne und fügen die entsprechenden Mitarbeiter in der
Domäne der globalen Verteilergruppe hinzu. Sie erstellen
dann eine universelle Verteilergruppe und machen die
globale Verteilergruppe zum Mitglied der universellen
Verteilergruppe.
B
{
Sie erstellen eine globale Sicherheitsgruppe in jeder
Domäne und fügen die entsprechenden Mitarbeiter der
Domäne der globalen Sicherheitsgruppe hinzu. Sie
erstellen dann eine universelle Sicherheitsgruppe und
machen die globale Sicherheitsgruppe zum Mitglied der
universellen Sicherheitsgruppe.
C
{
Sie erstellen universelle Verteilergruppen und fügen die
entsprechenden Mitarbeiter in der Domäne dieser
universellen Verteilergruppe hinzu.
D
{
Sie erstellen eine universelle Sicherheitsgruppe und fügen
die entsprechenden Mitarbeiter in der Domäne dieser
universellen Sicherheitsgruppe hinzu.
- 40 -
Frage 27
MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003.
Ihre Firma kauft eine andere Firma mit der Bezeichnung IT Consulting
Merk auf. Das Netzwerk der Firma besteht aus einem Verzeichnisdienst
mit der Bezeichnung MERK.NET und einer zweiten Domäne
MITTENWALD.MERK.NET. Die Domänenfunktionsebene des
Verzeichnisdienstes ist Windows 2000. Die Domänenfunktionsebene von
MITTENWALD.MERK.NET ist Windows 2000 pur.
Eine Geschäftsentscheidung bestimmt, dass die Domäne
MITTENWALD.MERK.NET aufgelöst werden soll. Sie müssen alle Benutzer
von MITTENWALD.MERK.NET nach MVSNET.DE mit dem Verzeichnisdienst
Migration Tool verschieben. Sie müssen die Aufgabe so durchführen, dass
keine Anmelderechte oder sonstige Berechtigungen der Mitarbeiter
verloren gehen. Sie müssen sicherstellen, dass alle Mitarbeiter aus der
Domäne MITTENWALD.MERK.NET sich in der Domäne MVSNET.DE mit
ihrem Benutzernamen und Passwort anmelden können.
Wie gehen Sie vor?
A
{
Sie erstellen eine beidseitige Windows Server 2003
Vertrauensstellung zwischen MVSNET.DE und der
Domäne MERK.NET.
B
{
Sie erstellen eine einseitige Windows Server 2003
Vertrauensstellung, in der MVSNET.DE der Domäne
MERK.NET vertraut.
C
{
Sie erstellen eine vorübergehende beidseitige
Domäne MITTENWALD.MERK.NET.
D
{
Domäne MERK.NET.
- 41 -
Frage 28
Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen. Die
übergeordnete Domäne hat die Bezeichnung MVSNET.DE. Es gibt noch
zwei untergeordnete Domänen mit der Bezeichnung
FRANKFURT.MVSNET.DE und BERLIN.MVSNET.DE. Die
Domänenfunktionsebene ist Windows Server 2003.
Jede Domäne verfügt über zwei Domänencontroller. Der
Domänencontroller »MVSDC001« in der Domäne MVSNET.DE führt die
Schemamaster- und Domänennamensmasterfunktionen aus. Der
Domänencontroller »MVSDC002« in den untergeordneten Domäne führt
folgende Betriebsmasterfunktionen aus: RID-Master, Infrastrukturmaster
und PDC-Emulator. Der Domänencontroller »MVSDC001« in der
übergeordneten Domäne verfügt außerdem noch über die Rolle des
globalen Katalogservers.
Der Mitarbeiter Thomas aus der Domäne BERLIN.MVSNET.DE ist ein
Mitglied der Sicherheitsgruppe Medizinstudenten. Wegen einer
Namensänderung soll der Domänenadministrator den Nachnamen im
Verzeichnisdienst von „Rauch“ auf „Müller“ ändern.
Der Domänenadministrator von FRANKFURT.MVSNET.DE stellt fest, dass
der Mitarbeiter immer noch mit „Thomas“ aufgelistet wird.
Sie müssen sicherstellen, dass der Benutzername richtig in der Gruppe
Medizinstudenten aufgelistet wird.
Wie gehen Sie vor?
A
{
Sie verschieben in jeder Domäne den PDC-Emulator von
»MVSDC001« auf »MVSDC002«.
B
{
Sie verschieben in jeder Domäne den Infrastrukturmaster
von »MVSDC001« auf »MVSDC002«.
C
{
Sie verschieben in jeder Domäne den RID-Master von
D
{
Sie verschieben in der Domäne MVSNET.DE den
Schemamaster von »MVSDC001« auf »MVSDC002«.
- 42 -
Frage 29
Netzwerk besteht aus einem Verzeichnisdienst mit zwei Standorten. Jeder
der Standorte enthält zwei Domänencontroller. Einer der
Domänencontroller ist der globale Katalogserver.
Sie fügen jedem Standort einen weiteren Domänencontroller hinzu. Jeder
der neue Domänencontroller hat einen schnelleren Prozessor als die
existierenden Domänencontroller.
Die Firmenleitung möchte, dass die Verzeichnisreplikation mit dem
Domänencontroller durchgeführt wird, der den schnellsten Prozessor am
Standort hat.
Sie müssen eine Standortreplikation konfigurieren, um den Forderungen
einer schnellen Verzeichnisreplikation nachzukommen.
A
{
Sie konfigurieren die neuen Domänencontroller als
globale Katalogserver.
B
{
bevorzugte Brückenkopfserver für den IP-Transport.
C
{
bevorzugte Brückenkopfserver für den SMTP-Transport.
D
{
Sie konfigurieren eine zusätzliche IP-Standortverbindung
zwischen den zwei Standorten. Sie ordnen der
Originalstandortverbindung niedrigere
Standortverbindungskosten für diese Standortverbindung
zu.
- 43 -
Frage 30
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems, die
fünf regionale Büros und drei Branchenbüros besitzt.
Jedes Branchenbüro hat zehn Benutzer. Die Branchenbüros sind jeweils
mit dem regional nächsten Büro über eine 56-Kbps WAN-Verbindung
verbunden.
Das Netzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Domäne für jedes regionale Büro enthält. Auf
allen Servern läuft Windows Server 2003. Jedes Branchenbüro enthält
einen Domänencontroller, der als zusätzlicher Domänencontroller in der
regionalen Domäne für das Branchenbüro konfiguriert ist. Die
Standortverbindung zwischen jedem Branchenbüro und der
entsprechenden regionalen Domäne ist so konfiguriert, dass im Intervall
von 30 Minuten Replikationen durchgeführt werden.
Benutzer berichten, dass Anwendungen langsam reagieren, wenn sie auf
Ressourcen im entsprechenden regionalen Büro zugreifen. Sie beobachten
die WAN-Verbindung, die mehrere Branchenbüros verbindet, und
entdecken, dass die Auslastung von 30% auf über 90% angestiegen ist.
Sie müssen die Reaktionszeit der Anwendungen verbessern, wenn sie auf
Ressourcen im regionalen Büro zugreifen. Außerdem müssen Sie
sicherstellen, dass sich die Benutzer ohne zwischengespeicherte
Informationen anmelden können, wenn die WAN-Verbindung ausfällt.
Was müssen Sie tun?
A
{
Sie entfernen Active Directory von jedem Datei- und
Druckserver in jedem Brachenbüro. Anschließend erhöhen
Sie das Replikationsintervall für jede Standortverknüpfung
zwischen den Branchenbüros und dem entsprechenden
regionalen Büro.
B
{
Sie aktivieren die Zwischenspeicherung der universellen
Gruppenmitgliedschaft in jedem Branchenbüro.
Anschließend konfigurieren Sie die Standortverknüpfungen
regionalen Büro so, dass sie nur in verkehrsarmen
Zeiträumen verfügbar sind.
C
{
Sie konfigurieren den Domänencontroller in jedem
Branchenbüro als einen globalen Katalogserver.
D
{
Sie vermindern das Replikationsintervall für jede
Standortverbindung zwischen jedem Branchenbüro und
dem entsprechenden regionalen Büro.
- 44 -
Frage 31
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Die
Firma besteht aus dem Hauptbüro und fünf Niederlassungen. Das
Netzwerk besteht aus einem Verzeichnisdienst mit sechs Domänen. Alle
Server verwenden das Betriebssystem Windows Server 2003. Jede
Niederlassung ist als eigene Domäne und im Verzeichnisdienst als
Standort definiert.
Die Mitarbeiter der Firma und einige Applikationsserver benötigen
Benutzerinformationen vom globalen Katalogserver. Sie installieren einige
Applikationsserver im Hauptbüro und in den fünf Niederlassungen. Das
Netzwerk sieht wie folgt aus:
Sie überwachen die WAN-Verbindung zwischen dem Hauptbüro und den
Niederlassungen und stellen fest, dass die Auslastung zwischen 70 und
90% liegt. Mitarbeiter berichten über lange Antwortzeiten, wenn sie
Informationen von den Applikationsservern anfordern.
Sie müssen in jede Niederlassung, die über lange Antwortzeiten klagt,
einen globalen Katalogserver stellen. Sie möchten das mit einem Minimum
an Zeit und Netzwerkverkehr durchführen.
In welchen/r Niederlassung/en stellen Sie einen oder mehrere globale
Katalogserver auf?
(Wählen Sie alle benötigten Städte aus.)
- 45 -
A

Berlin.
B

Kaunas.
C

Moskau.
D

St. Petersburg.
E

London.
- 46 -
Frage 32
Firmennetzwerk besteht aus zwei Active Directory-Domänen. Auf allen
Servern läuft Windows Server 2003. Die Firma hat Büros in Veilsdorf und
Riesa.
Beide Büros sind über eine 128-Kbps WAN-Verbindung miteinander
verbunden. Jedes Büro ist als eine einzelne Domäne und als Active
Directory Standort konfiguriert.
Die Standortinformationen der Drucker werden im Active Directory
gespeichert. Die Benutzer führen regelmäßig eine Suche im Active
Directory durch, um Informationen über Drucker zu finden, indem sie die
Entire Directory Option wählen. Die Benutzer im Büro Veilsdorf berichten,
dass die Antwortzeit inakzeptabel langsam ist, wenn sie nach Druckern
suchen.
Sie müssen die Antwortzeit für die Benutzer im Büro Veilsdorf verbessern.
A
{
Sie platzieren ein Domänencontroller für die Domäne
Riesa im Büro Veilsdorf.
B
{
Veilsdorf im Büro Riesa.
C
{
Gruppenmitgliedschaft im Büro Veilsdorf.
D
{
Sie konfigurieren einen globalen Katalogserver im Büro
Veilsdorf.
- 47 -
Frage 33
Sie sind der Netzwerkadministrator der Domäne MVSNET.DE. Das
Sie fügen acht neue Server für eine neue Software hinzu. Sie erstellen
eine Organisationseinheit SOFTWARE, die die neuen Server sowie
Ressourcen der Software enthält.
Benutzer und Gruppen in der Domäne benötigen unterschiedliche
Berechtigungen für die neuen Softwareserver. Die Mitglieder einer
globalen Gruppe ServerZugriffsTeam müssen in der Lage sein,
Zugriffsrechte erteilen zu können. Das ServerZugriffsTeam muss sonst
keine anderen Tätigkeiten auf den Servern auszuführen.
Sie müssen dem ServerZugriffsTeam die Möglichkeit geben,
Berechtigungen für diese Server zu vergeben und sicherstellen, dass nur
die benötigten Rechte zugewiesen werden.
Wie gehen Sie vor?
A
{
Sie erstellen ein neues Gruppenrichtlinienobjekt für
beschränkte Gruppen. Sie verändern die
Gruppenrichtlinie so, dass die Gruppe
ServerZugriffsTeam Mitglied der Hauptbenutzer auf
jedem neuen Server wird. Sie verknüpfen diese
SOFTWARE.
B
{
Sie gewähren der Gruppe ServerZugriffsTeam das Recht
zum Ändern von Computerobjekten in der
Organisationseinheit SOFTWARE.
C
{
Sie verschieben die Gruppe ServerZugriffsTeam in die
D
{
Sie erstellen eine neue lokale Domänengruppe und
gewähren dieser den Zugriff auf die Softwareserver. Sie
gewähren der Gruppe ServerZugriffsTeam das Recht
zum Ändern der Mitgliedschaft für diese lokale
Domänengruppe.
- 48 -
Frage 34
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die mehrere Domänen enthält. Die
Gesamtstrukturfunktionsebene ist Windows Server 2003.
Die Gesamtstruktur enthält mehrere Active Directory-Standorte, die
Branchenbüros repräsentieren, und den Standort Puchheim, der das
zentrale Datencenter darstellt. Ein Standort mit der Bezeichnung Veilsdorf
enthält einen Domänencontroller mit der Bezeichnung »FDEDC002«, der
nicht als globaler Katalogserver fungiert. Der Standort Puchheim enthält
einen Domänencontroller mit der Bezeichnung »FDEDC001«, der als
globaler Katalogserver konfiguriert ist. Sie müssen die
Zwischenspeicherung der universellen Gruppenmitgliedschaft im Standort
Veilsdorf einsetzen.
Welche Komponente/n sollten Sie konfigurieren?
(Wählen Sie die passende/n Komponente/n im Arbeitsbereich, um zu
antworten.)
A
{
Sie wählen die NTDS Site Settings für das Büro
Veilsdorf im rechten Fenster.
B
{
Puchheim im rechten Fenster.
C
{
Sie wählen die NTDS Settings für das Büro Veilsdorf im
linken Fenster
D
{
Sie wählen die NTDS Settings für das Puchheim im
linken Fenster
- 49 -
Frage 35
Netzwerk besteht aus einer einzelnen Active Directory-Domäne mit zwei
Standorten. Die Active Directory-Datenbank wird jede Nacht gesichert.
Ein Netzwerkadministrator im Standort Kronach löscht eine leere
Organisationseinheit mit der Bezeichnung PROJEKTE. Zur gleichen Zeit
verschiebt ein Administrator im Standort Puchheim 20 Benutzerkonten in
die Organisationseinheit PROJEKTE. Später stellt der Administrator im
Standort Puchheim fest, dass die Organisationseinheit PROJEKTE im Active
Directory gelöscht ist. Er kann die Benutzerkonten, die er in die
Organisationseinheit PROJEKTE verschoben hat, nicht mehr finden.
Sie müssen eine Organisationseinheit PROJEKTE bereitstellen, um die 20
Benutzerkonten hinzufügen zu können. Der Netzwerkzugriff dieser
Benutzer darf keinen Einfluss auf diesen Prozess haben.
Wie gehen Sie vor?
A
{
Sie verwenden eine autorisierende Wiederherstellung für
die Organisationseinheit PROJEKTE und für die
Benutzerkonten auf einem Domänencontroller im
Standort Puchheim.
B
{
Sie verwenden eine nicht autorisierende
Wiederherstellung für die Organisationseinheit
PROJEKTE und für die Benutzerkonten auf einem
Domänencontroller im Standort Puchheim.
C
{
Sie erstellen eine neue Organisationseinheit PROJEKTE.
Sie erstellen 20 neue Benutzerkonten mit den gleichen
Benutzerprinzipalnamen (User Principal Name, UPN). Sie
verschieben diese Benutzerkonten in die
Organisationseinheit PROJEKTE.
D
{
Sie verschieben die Benutzerkonten aus dem Ordner
LostAndFound in die neue Organisationseinheit
PROJEKTE.
- 50 -
Frage 36
Bezeichnungen MVSPRESS.DE, NORD.MVSPRESS.DE und
SUED.MVSPRESS.DE. Die Domänenfunktionsebene ist Windows Server
2003.
Die Mitarbeiter im Helpdesk sind auch für das Zurücksetzen der
Benutzerkennwörter zuständig. Die dafür notwendigen Berechtigungen im
Verzeichnisdienst haben sie. Es gibt eine Organisationseinheit
FIRMENMITARBEITER in jeder Domäne, die alle Benutzerkonten der
Domäne enthält. Alle Mitarbeiter, die über administrative Berechtigungen
verfügen, haben das Benutzerkonto im Standardordner USER einer jeden
Domäne.
Es gibt eine universelle Gruppe HD_MITARBEITER in der Domäne
MVSPRESS.DE. Alle Mitarbeiter des Helpdesk sind Mitglieder dieser
Gruppe. Sie müssen die dafür erforderlichen Berechtigungen zuordnen,
damit das Helpdesk die Kennwörter zurücksetzen kann.
Für welche/s Objekt/e im Verzeichnisdienst sollten die Mitarbeiter des
Helpdesk die Berechtigung erhalten?
(Um zu antworten, wählen Sie den/die entsprechende/n Bestandteil/e in
der Grafik aus.)
- 51 -
- 52 -
Frage 37
MVSNET.DE. Die Firma besteht aus der Zentrale und einer Außenstelle.
Die Domäne umfasst vier Domänencontroller. Zwei Domänencontroller
stehen in der Zentrale und die beiden anderen in der Außenstelle.
Sie erstellen ein Gruppenrichtlinienobjekt mit der Bezeichnung WORKSOFT
und verknüpfen dieses mit der Domäne. Sie konfigurieren die
Gruppenrichtlinie, um eine Textverarbeitungssoftware im Abschnitt
Benutzerkonfiguration einzubinden. Benutzer in der Außenstelle berichten,
dass diese Software nicht zur Verfügung steht. Mitarbeiter in der Zentrale
können jedoch diese Software benützen.
Sie müssen sicherstellen, dass den Mitarbeitern in der Außenstelle diese
Software zur Verfügung steht.
Wie gehen Sie vor?
A
{
Sie synchronisieren das Verzeichnis NETLOGON auf
beiden Domänencontroller in der Außenstelle.
B
{
Sie beschleunigen die Replikation zwischen den
Domänencontrollern in der Zentrale und der
Außenstelle.
C
{
Sie führen das Tool gpresult auf jedem Clientcomputer
in der Außenstelle aus.
D
{
Sie führen das Tool gpotool auf jedem Clientcomputer
- 53 -
Frage 38
MVSNET.DE und enthält zwei Domänencontroller. Beide
Domänencontroller verwenden Windows Server 2003 als Betriebssystem,
alle Clientcomputer Windows XP Professional.
Das einzige Benutzerkonto in der Domänenadministratoren-Gruppe ist das
Administratorkonto der Domäne. Jede Nacht wird ein komplettes Backup
der Festplatten auf jedem Domänencontroller durchgeführt.
Sie deaktivieren das lokale Administratorkonto im
Standarddomänengruppenrichtlinienobjekt. Sie stellen fest, dass Sie nicht
mehr in der Lage sind, sich als Domänenadministrator an einem der
Domänencontroller anzumelden. Sie müssen sicherstellen, dass Sie sich
als Administrator auf beiden Domänencontrollern anmelden können.
Wie gehen Sie vor?
A
{
Sie starten einen Domänencontroller im abgesicherten
Modus. Sie erstellen ein Benutzerkonto für einen
zweiten Administrator, starten den Domänencontroller
neu, verwenden zum Anmelden das neue Konto und
entfernen dann die Einschränkung für den
Administrator.
B
{
Sie stellen die gesamte Festplatte unter Verwendung der
letzten nächtlichen Sicherung auf einem
Domänencontroller wieder her, bevor Sie die Änderung
durchführen. Sie starten dann den Server neu und
geben dem Verzeichnisdienst an, sich zu replizieren.
C
{
Sie starten einen Domänencontroller mit der
Wiederherstellungskonsole unter Verwendung der
Windows Server 2003-CD neu. Sie stoppen den GPCDienst und starten den Domänencontroller neu.
D
{
Sie starten einen Domänencontroller im
Verzeichniswiederherstellungsmodus und führen eine
autorisierende Wiederherstellung des
Verzeichnisdienstes mit dem letzten nächtlichen Backup
auf dem Domänencontroller durch, bevor Sie die
Änderung machten. Sie starten den Server neu.
- 54 -
Frage 39
EISSNER-EDV.DE. Alle Server verwenden das Betriebssystem Windows
Server 2003. Sie verwenden Gruppenrichtlinien für die Verteilung von
Software.
Die EDV-Beratung Eißner verwendet zwei unterschiedliche Programme
zum Anzeigen von Grafiken. Benutzer können auswählen, welches
Programm sie aufgrund der Grafikformate verwenden möchten. Die
Benutzer dürfen selbst entscheiden, welches dieser zwei Programmen sie
installieren möchten.
Sie müssen die Gruppenrichtlinien konfigurieren, um jede grafische
Software, basierend auf der Auswahl des Benutzers, zu installieren.
Wie gehen Sie vor?
A
{
Sie veröffentlichen beide Programme mit Aktivierung
über die Dateierweiterung.
B
{
Sie veröffentlichen beide Programme ohne Aktivierung
C
{
Sie fügen beide Programme hinzu und installieren sie
bei Bedarf.
D
{
Sie fügen beide Programme hinzu und installieren beide.
- 55 -
Frage 40
Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne, die
nur einen Domänencontroller enthält. Der Domänencontroller hat die
Bezeichnung »FDEDC001« und befindet sich in der Hauptniederlassung im
Standort Veilsdorf.
Sie fügen einen neuen Standort mit der Bezeichnung Puchheim hinzu. Sie
müssen dazu einen bereits existierenden Windows Server 2003
Mitgliedsserver mit der Bezeichnung »FDESRV01« zu einem weiteren
Domänencontroller der Domäne EISSNER-EDV.DE heraufstufen. Eine
56Kbps WAN-Verbindung verbindet die beiden Standorte Veilsdorf und
Puchheim.
Sie müssen »FDESRV01« als neuen Domänencontroller für den Standort
Puchheim installieren. Zudem soll die Belastung der WAN-Verbindung
während dieses Prozesses minimal gehalten werden.
A
{
Sie stellen die Kosten für Replikation zwischen den
Standorten Veilsdorf und Puchheim auf 50. Danach
stufen Sie »FDESRV01« zu einem zusätzlichen
Domänencontroller für den Standort Puchheim herauf.
B
{
Sie stellen die gesicherten Systemstatusdaten von
»FDEDC001« in einem neuen Ordner auf »FDESRV01«
wieder her und installieren Active Directory, indem Sie
den Befehl dcpromo /adv ausführen.
C
{
Sie stufen »FDESRV01« zu einem zusätzlichen
Domänencontroller auf, indem Sie den Befehl dcpromo
über das Netzwerk ausführen.
D
{
Domänencontroller auf, indem Sie eine Datei für eine
unbeaufsichtigte Installation benutzen.
- 56 -
Frage 41
Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur, die
eine Stammdomäne und mehrere Subdomänen enthält. Die
Domänenfunktionsebene aller Subdomänen ist Windows Server 2003. Die
Domänenfunktionsebene der Hauptdomäne ist Windows 2000 pur.
Sie konfigurieren einen Windows Server 2003 mit der Bezeichnung
»FDEDC001« als Domänencontroller für eine existierende Subdomäne.
»FDEDC001« befindet sich in einer neuen Zweigstelle in Puchheim. Sie
verbinden »FDEDC001« mit der Zentrale in Veilsdorf über einen
permanenten VPN-Tunnel, basierend auf einer DSL-Verbindung.
»FDEDC001« hat eine einzelne Replikationsverbindung mit einem
Standortbrücken-Domänencontroller in der Zentrale in Veilsdorf.
Sie konfigurieren DNS auf »FDEDC001« und erstellen sekundäre Zonen für
jede Domäne in der Gesamtstruktur.
Sie müssen den Netzwerkverkehr, der durch Anmeldeaktivitäten über die
VPN-Verbindung verursacht wird, minimieren.
Auf welche Weise kann man die Aufgabe lösen?
(Jede richtige Antwort stellt eine komplette Lösung dar. Wählen Sie zwei
aus.)
A

Sie konfigurieren die DNS-Zonen so, dass sie Active
Directory-integrierte Zonen verwenden.
B

Sie konfigurieren »FDEDC001« so, dass er den PDCEmulator für die Domäne darstellt.
C

Sie konfigurieren »FDEDC001« so, dass er ein globaler
Katalogserver ist.
D

Sie konfigurieren die Zwischenspeicherung der
universellen Gruppenmitgliedschaft auf
»FDEDC001«.
- 57 -
Frage 42
Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Das
Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit
der Bezeichnung EISSNER-EDV.DE. Die Informationen der Active
Directory-Datenbank haben einen Umfang von 500 MB.
Der Hauptsitz der EDV-Beratung Eißner befindet sich in Veilsdorf. Zudem
gibt es eine Zweigstelle in Puchheim. Die zwei Büros sind über eine 56Kbps WAN-Verbindung verbunden, die nur für Active DirectoryReplikationen benutzt wird. In dem Büro in Veilsdorf arbeiten 450
Mitarbeiter und 15 in Puchheim.
Die Zweigstelle in Puchheim betreibt einen einzelnen Windows Server
2003 Domänencontroller und zwei Windows Server 2003 Datei- und
Druckserver.
Die Festplatte des Domänencontrollers in Puchheim, auf der sich das
Betriebssystem befand, fällt aus, und lässt sich nicht wiederherstellen. Sie
bekommen den Auftrag, einen neuen Domänencontroller in Puchheim zu
installieren, der eine aktuelle Kopie des Active Directory enthalten soll.
Diese Aufgabe muss so schnell wie möglich erledigt werden.
A
{
Sie tauschen die Festplatte im Domänencontroller aus.
Danach installieren Sie Windows Server 2003 auf dem
Domänencontroller. Anschließend stellen Sie Active
Directory aus einer Sicherung wieder her.
B
{
Sie installieren Active Directory auf einem der Dateioder Druckserver. Danach erzwingen Sie eine
Replikation.
C
{
Sie installieren Active Directory auf einem der Dateioder Druckserver von wiederhergestellten, gesicherten
Dateien.
D
{
Domänencontroller und erzwingen eine Replikation.
- 58 -
Frage 43
Firma arbeitet mit einem Partnerunternehmen, der EDV-Beratung Eißner,
zusammen. Das Firmennetzwerk enthält zwei Active DirectoryGesamtstrukturen mit den Bezeichnungen EISSNER-EDV.DE und
MVSNET.DE. Die Domänenfunktionsebene beider Gesamtstrukturen ist
Es besteht eine bidirektionale Gesamtstrukturvertrauensstellung zwischen
den beiden Gesamtstrukturen.
Sie müssen folgende Aufgaben erfüllen:
• Die Benutzer der EISSNER-EDV.DE-Gesamtstruktur müssen auf alle
Ressourcen der MVSNET.DE-Gesamtstruktur Zugriff haben.
• Die Benutzer der MVSNET.DE-Gesamtstruktur sollen nur auf
Ressourcen Zugriff haben, die auf einem Server mit der Bezeichnung
»FDESRV01.EISSNER-EDV.DE« gespeichert sind.
Sie müssen die Gesamtstrukturvertrauensstellung und die Ressourcen auf
»FDESRV01.EISSNER-EDV.DE« konfigurieren, um die Aufgabe zu erfüllen.
Welche drei Aktionen müssen Sie durchführen? (Jede richtige Antwort
stellt einen Teil der Lösung dar.)
- 59 -
A

Sie konfigurieren auf einem Domänencontroller der
EISSNER-EDV.DE-Gesamtstruktur die Eigenschaften der
eingehenden Gesamtstrukturvertrauensstellung so, dass
die Ausgewählte Authentifizierung benutzt wird.
B

die Gesamtstrukturweite Authentifizierung benutzt
wird.
C

MVSNET.DE-Gesamtstruktur die Eigenschaften der
D

Sie konfigurieren, auf einem Domänencontroller der
wird.
E

Sie modifizieren die Freigegebenen
Zugriffssteuerungslisten (DACLs) auf
»FDESRV01.EISSNER-EDV.DE« so, dass der
Sicherheitsgruppe MVSNET_Benutzer der Zugriff gewährt
wird.
F

Sicherheitsgruppe EISSNER-EDV_Benutzer der Zugriff
verweigert wird.
- 60 -
Frage 44
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, bestehend aus fünf Domänen und 30 Remotestandorten.
Diese befinden sich in Städten auf der ganzen Welt. Insgesamt existieren
40000 Benutzerkonten in den fünf Domänen. Alle Remotestandorte sind
über unzuverlässige 56Kbps WAN-Verbindungen mit dem Firmennetzwerk
verbunden.
Jeder Standort enthält mindestens einen Domänencontroller und einen
globalen Katalogserver. Auf allen Domänencontrollern in der
Gesamtstruktur ist Windows Server 2003 installiert. Die
Domänenfunktionsebene aller Domänen in der Gesamtstruktur ist
Windows 2000 pur.
Sie planen mehrere Active Directory-fähige Anwendungen in den nächsten
sechs Monaten zu verteilen. Jede dieser Anwendungen wird Attribute zum
globalen Katalog hinzufügen oder existierende Attribute modifizieren.
Sie müssen Modifikationen an der Active Directory-Infrastruktur
durchführen, um die Verteilung der Anwendungen vorzubereiten. Sie
wollen diese Aufgabe während der Abendstunden durchführen. Sie
müssen sicherstellen, dass Netzwerkunterbrechungen, die durch das
Verteilen der Anwendungen entstehen können, minimal gehalten werden.
Zudem muss sichergestellt sein, dass diese Modifikationen den Zugriff der
Benutzer auf Ressourcen nicht unterbrechen.
A
{
Sie verringern die Tombstone-Ablaufzeit im Active
Directory-Schema für die NIDS-Service-Objektklasse.
B
{
Sie entfernen die globale Katalogfunktion von den
globalen Katalogservern in jedem Remotestandort.
C
{
Sie erhöhen die Gesamtstrukturfunktionsebene auf
D
{
Sie konfigurieren die Zwischenspeicherung für
universelle Gruppenmitgliedschaft in jedem
Remotestandort.
- 61 -
Frage 45
der Bezeichnung EISSNER-EDV.DE. Auf allen Mitgliedsserver läuft
Windows Server 2003, auf allen Clientrechnern Windows XP Professional.
Alle Computerkonten der Clientrechner der Domäne befinden sich in einer
Organisationseinheit (OU) mit der Bezeichnung Workstations.
Sie müssen auf allen Rechnern im Netzwerk eine neue Anwendung
aufspielen. Sie erstellen eine Gruppenrichtlinie, die das Anwendungspaket
unter Softwareeinstellungen\Softwareinstallation im Bereich
Computerkonfiguration des Gruppenrichtlinienobjektes bereitstellt. Sie
weisen das Gruppenrichtlinienobjekt der Organisationseinheit
Workstations zu. Einige Tage später berichten Benutzer, dass die
Anwendung noch immer nicht installiert ist.
Sie müssen sicherstellen, dass die Anwendung auf allen Clientrechner
installiert ist.
A
{
Sie instruieren die Benutzer, dass sie ihre Rechner neu
starten.
B
{
Sie instruieren die Benutzer, dass sie ein Windows
Update auf ihren Rechnern ausführen.
C
{
Sie instruieren die Benutzer, dass sie eine Aktualisierung
der Computerrichtlinieneinstellung auf ihren Rechnern
erzwingen sollen.
D
{
der Benutzerrichtlinieneinstellung auf ihren Rechnern
erzwingen sollen.
- 62 -
Frage 46
der Bezeichnung EISSNER-EDV.DE. Die Domänenfunktionsebene ist
Windows 2000 gemischt. Die Domäne enthält eine Organisationseinheit
(OU) mit der Bezeichnung Vertrieb. Die Computerkonten der Clientrechner
aus der Verkaufsabteilung befinden sich in der Organisationseinheit
Vertrieb. Auf jedem Clientrechner läuft entweder Windows NT Workstation
4.0, Windows 2000 Professional oder Windows XP Professional.
Sie müssen ein Softwarepaket automatisch auf alle Windows 2000
Professional Clientrechner in der Organisationseinheit Vertrieb verteilen.
Sie erstellen ein Gruppenrichtlinienobjekt (GPO) und verbinden dieses mit
der Organisationseinheit Vertrieb.
Wie gehen Sie vor?
A
{
Sie konfigurieren die Gruppenrichtlinie so, dass das
Softwarepaket dem Bereich Computerkonfiguration
unter Softwareeinstellungen zugewiesen wird. Danach
modifizieren Sie die Freigegebenen
Zugriffssteuerungslisten (DACLs) der
Gruppenrichtlinie so, dass den authentifizierten
Benutzern das Leserecht gegeben und das Recht zum
Ausführen von Gruppenrichtlinien verwehrt wird.
B
{
konfigurieren Sie einen WMI-Filter, der Windows 2000
Professional enthält.
C
{
unter Softwareeinstellungen zugewiesen wird. Sie
deaktivieren die Computerkonfiguration in der
Gruppenrichtlinie.
D
{
Gruppenrichtlinie so, dass nur Windows 2000
Professional Computern das Leserecht und das Recht
zum Ausführen von Gruppenrichtlinien gegeben wird.
- 63 -
Frage 47
der Bezeichnung EISSNER-EDV.DE. Alle Computer sind Mitglieder der
Domäne. Auf allen Servern läuft Windows Server 2003, auf allen
Clientrechnern Windows XP Professional.
Das Netzwerk enthält Desktopclientrechner und einige portable
Clientrechner. Zu den portablen Clientrechnern zählen Laptops sowie
Tablet-PCs. Die Computerkonten der Clientrechner befinden sich in
verschiedenen Organisationseinheiten (OUs), sortiert nach den einzelnen
Abteilungen.
Eine schriftliche Firmenrichtlinie verlangt, dass kein portabler Rechner
unbeaufsichtigt und am Netzwerk angemeldet verlassen werden darf,
wenn er nicht passwortgeschützt ist. Benutzer dürfen sich nicht über diese
Anordnung hinwegsetzen. Diese trifft jedoch nicht für die Desktoprechner
zu, da sich diese in gesicherten Büros befinden
Sie müssen das Netzwerk so konfigurieren, dass die portablen Rechner
diese Anforderung erfüllen.
- 64 -
A
{
Sie erstellen eine Gruppenrichtlinie, die ein Logonskript
spezifiziert. Danach verbinden Sie das
Gruppenrichtlinienobjekt mit der Domäne. Sie
konfigurieren das Logonskript so, dass es die
oeminfo.inf-Datei nach Hersteller- und
Modellinformationen ließt und die
Bildschirmschonereigenschaften aktiviert, falls die
Hersteller- und Modellnummer einen portablen Rechner
identifiziert.
B
{
konfigurieren das Logonskript so, dass es eine WMIAbfrage nach Herstellerinformation und ein Update der
Benutzerprofilinformationen in den Active Directorys
durchführt, insofern der Benutzer einen portablen
Rechner verwendet.
C
{
Sie erstellen eine Gruppenrichtlinie, die einen
passwortgeschützten Bildschirmschoner spezifiziert.
Danach verbinden Sie das Gruppenrichtlinienobjekt mit
der Domäne. Anschließend verwenden Sie einen WMIFilter, der nach den Chassistypinformationen abfragt,
sodass die Gruppenrichtlinie nur auf portable Rechner
angewendet wird.
D
{
der Domäne. Anschließend verwenden Sie einen WMIFilter, der nach der spezifischen Edition der Windows XP
Professional Installation den Rechnern abfragt, sodass
die Gruppenrichtlinie nur auf portable Rechner
angewendet wird.
- 65 -
Frage 48
der Bezeichnung MVSNET.DE mit fünf Standorten.
Sie konfigurieren fünf Active Directory-Standorte entsprechend den
Anforderungen des Standortdesignentwurfs der Firma. Die Netzwerksowie die Standortkonfiguration wird im folgenden Schaubild gezeigt:
Der Standortdesignentwurf verlangt ebenfalls, dass Sie die
Standortverknüpfungsbrücken konfigurieren. Das Design verlangt, dass
die Standortverknüpfungen für Standort 1, Standort 2 und Standort 3
transitiv und alle anderen Standortverknüpfungen non-transitiv sind.
Sie müssen die Standortverknüpfungsbrücken so konfigurieren, dass diese
den Anforderungen des Standortdesignentwurfes entsprechen.
Welche Aktion/en müssen Sie durchführen?
(Wählen Sie alle, die angewendet werden müssen.)
A

Sie deaktivieren Brücke zwischen allen Standorten
herstellen in den IP-Objekteigenschaften.
B

Sie erstellen eine neue Standortverknüpfung zwischen
jedem Active Directory-Standort.
C

Sie entfernen jeden Standort von den
Standardstandortverknüpfungen.
D

Sie erstellen eine neue Standortverknüpfungsbrücke.
Danach fügen Sie die Standortverknüpfungen, die
Standort 1, Standort 2 und Standort 3 verbinden, zu der
Standortverknüpfungsbrücke hinzu.
E

- 66 -
Frage 49
Sie sind der Netzwerkadministrator Ihrer Firma. Sie besteht aus zwei
Partnergesellschaften, der EDV-Beratung Eißner und der MVS M. Völk
Systems. Das Firmennetzwerk enthält zwei Active Directory-Domänen in
einer einzelnen Gesamtstruktur mit vier Standorten. Die
Netzwerkkonfiguration wird im folgenden Schaubild gezeigt:
Auf allen Clientrechnern läuft Windows XP Professional.
Benutzer, die ihre Benutzerkonten in der MVSNET.DE-Domäne haben,
greifen regelmäßig auf Ressourcen des Standorts 3 zu. Wenn sich die
Benutzer an das Netzwerk in Standort 3 anmelden, kann der
Anmeldeprozess bis zu zehn Minuten in Anspruch nehmen.
Sie entdecken, dass bei der Anmeldung von Benutzern an das Netzwerk
von Standort 3 die Benutzer über »MVSDC005.MVSNET.DE« in Standort 1
authentifiziert werden. Sie müssen sicherstellen, dass sich die Benutzer
von MVS schneller an das Netzwerk von Standort 3 anmelden können.
A
{
Sie erhöhen die Verbindungskosten für
Standortverbindung 1-3 auf 500.
B
{
Sie konfigurieren eine Standortverknüpfungsbrücke so,
dass sie die Standortverknüpfung 3-4 und die
Standortverknüpfung 2-4 überbrückt.
C
{
Sie modifizieren das Subnetzobjekt, das mit Standort 3
verbunden ist, sodass es mit Standort 1 verbunden ist.
D
{
Sie bewegen »MVSDC005.MVSNET.DE« von Standort 1
zu Standort 3.
- 67 -
Frage 50
Die Sicherheitsvorschriften der Firma MVS M. Völk Systems benötigen
folgende Zugriffsrichtlinien:
• Benutzerkonten müssen nach drei Fehlversuchen der
Passworteingabe für 30 Minuten gesperrt sein.
• Die Freischaltung des Benutzerkontos muss manuell erfolgen.
Sie müssen eine Zugriffsrichtlinie für die Domäne erstellen, die diese
Sicherheitsregeln beinhaltet.
Wie gehen Sie vor?
(Um zu antworten, wählen Sie den entsprechenden Bestandteil oder die
Bestandteile in der Grafik aus.)
- 68 -
Frage 51
Sie sind ein Systemadministrator der Firma MVS M. Völk Systems. Das
Netzwerk besteht aus einer Verzeichnisstruktur mit drei Domänen. Alle
Domänen laufen unter der Domänenfunktionsebene Windows 2000 pur.
Ihre Firma übernimmt die Firma Rauschert IT Consulting GmbH. Das
Netzwerk der Firma Rauschert beruht auf einer Verzeichnisstruktur mit
einer Domäne und der Bezeichnung RAUSCHERT.NET. Die
Domänenfunktionsebene von RAUSCHERT.NET ist Windows 2000 pur. Die
Strukturen beider Firmen sieht wie folgt aus:
Sie möchten, dass alle Mitarbeiter beider Firmen vollen Zugriff auf
Ressourcen der jeweils anderen Firma bekommen, außerdem müssen
Benutzer in der Lage sein, sich zwischen Domänen durch Verwenden der
Kerberos-Bestätigung anzumelden.
Sie müssen sicherstellen, dass Benutzer auf alle Ressourcen durch
Verwenden ihrer vorhandenen Benutzerkonten zuzugreifen können.
- 69 -
A
{
Sie stufen die Windows 2000 Domänencontroller in der
Domäne RAUSCHERT.NET auf Mitgliedsserver herunter
und binden diese in die Domäne MVSNET.DE ein.
B
{
und aktualisieren sie auf Windows Server 2003. Sie
fügen diese Server in einer neuen Domäne von
MVSNET.DE hinzu und stufen sie zu Domänencontroller
herauf.
C
{
Sie rüsten die Windows 2000 Domänencontroller in der
Domäne RAUSCHERT.NET auf Windows Server 2003
nach. Sie erstellen eine Vertrauensstellung zwischen den
beiden Hauptdomänen.
D
{
Sie rüsten alle Domänencontroller in beiden
Verzeichnisstrukturen auf Windows Server 2003 nach.
Sie heben die Domänenfunktionsebene in beiden
Verzeichnisstrukturen auf Windows Server 2003 an. Sie
erstellen eine Vertrauensstellung zwischen den beiden
Hauptdomänen.
- 70 -
Frage 52
Sie sind ein Systemadministrator Ihrer Firma. Die Gesellschaft besteht aus
den zwei Tochtergesellschaften MVSNET.DE und RAUSCHERT.NET. Das
Netzwerk besteht aus zwei aktiven Verzeichnisstrukturen. Alle Server
laufen mit Windows Server 2003.
Die Domänenkonfiguration ist wie in der Grafik dargestellt:
Sie benennen die Domäne KC.MVSNET.DE in TRAINING.MVSNET.DE, und
die Domäne PUC.MVSNET.DE in CONSULTING.MVSNET.DE um.
Nachdem die Domäne umbenannt ist, können Benutzer in der Domäne
CONSULTING.MVSNET.DE nicht mehr auf Ressourcen in RAUSCHERT.NET
zugreifen. Außerdem berichten Benutzer in der Domäne RAUSCHERT.NET,
dass sie nicht auf gemeinsam benutzte Ressourcen in der Domäne
MVSPRESS.DE zugreifen können.
Sie müssen den Zugriff auf Ressourcen zwischen der Domäne
MVSPRESS.DE und RAUSCHERT.NET wiederherstellen.
- 71 -
A
{
Sie ändern den NetBIOS-Namen für die
CONSULTING.MVSNET.DE-Domäne in
PUC.MVSPRESS.DE.
B
{
Sie löschen die zwei externen Vertrauensstellungen
zwischen CONSULTING.MVSNET.DE und
RAUSCHERT.NET und erstellen sie wieder neu.
C
{
Sie konfigurieren Bedingte Weiterleitung auf dem
DNS-Server in der Domäne RAUSCHERT.NET, um
Anfragen der Namensauflösung MVSNET.DE an die DNSServern in der Domäne CONSULTING.MVSNET.DE
weiterzuleiten.
D
{
Sie setzen alle Computerkontokennwörter auf allen
Domänencontroller in der Domäne MVSPRESS.DE
zurück.
- 72 -
Frage 53
Netzwerk besteht aus einer Verzeichnisstruktur mit der Bezeichnung
MVSNET.DE. Die Domänenfunktionsebene entspricht Windows Server
2003.
Die Domäne enthält ein Grenznetzwerk und einen Standort mit dem
Firmen-LAN, wie in der Grafik dargestellt.
Die Laufwerke aller Domänencontroller sind wie in der folgenden Tabelle
dargestellt, konfiguriert.
Laufwerk
Inhalt
C:
Bootpartition, Systempartition und Datenbank des
Verzeichnisdienstes
D:
Datenbank des Verzeichnisdienstes
E:
Dateien und Verzeichnisse
Das Motherboard auf »MVSDC002« fällt aus und wird vom Netz
genommen. Eine Woche später wird auf »MVSDC003« die Funktion des
Schemamasters übertragen. Sie benötigen die Daten von »MVSDC002«.
Sie ersetzen das Motherboard auf »MVSDC002« und starten »MVSDC002«
in einem isolierten Subnetz wieder. Sie müssen in der Lage sein,
»MVSDC002« im Grenznetzwerk so schnell wie möglich zurückzubringen,
um auf die Daten zugreifen zu können.
- 73 -
A
{
Sie formatieren das Laufwerk D: auf »MVSDC002«. Sie
übertragen die Schemabetriebsmasterfunktion auf einen
Domänencontroller im Firmen-LAN. Sie entfernen die
Verweise von »MVSDC002« aus dem Active Directory
durch Verwendung der Tools ntdsutil.exe und
adsiedit.exe auf »MVSDC001«.
B
{
Sie formatieren das Laufwerk C: auf »MVSDC002. Sie
installieren das Betriebssystem auf »MVSDC002«neu.
Sie entfernen die Verweise von »MVSDC002« aus dem
Active Directory durch Verwendung der Tools
ntdsutil.exe und adsiedit.exe auf »MVSDC001«.
C
{
Sie formatieren das Laufwerk C: auf »MVSDC002«. Sie
führen den Befehl dcpromo auf »MVSDC002« aus. Sie
Domänencontroller im Firmen-LAN. Sie fügen
»MVSDC002« zur Domäne hinzu.
D
{
- 74 -
Frage 54
Sie sind der Netzwerkadministrator der Firma MVSNET.DE. Ihr Netzwerk
besteht aus einem Verzeichnisdienst mit einem Domänencontroller. Alle
Domänencontroller verwenden das Betriebssystem Windows Server 2003,
die Clientcomputer Windows XP Professional. Die Verzeichnisstruktur Ihrer
Firma ist wie in der Grafik dargestellt aufgebaut:
Die firmeninternen Richtlinien erlauben den Mitarbeitern der
Herstellungsabteilung nur beschränkte Zugriffsrechte und beschränkten
Zugriff auf Anwendungen auf den Computer. Diese Richtlinie mit ihren
Beschränkungen darf kein Auswirkungen auf Mitglieder der
Sicherheitsgruppe Manager haben.
Sie erstellen ein Gruppenrichtlinienobjekt mit der Bezeichnung Beschränke
Zugriffe und wenden die Gruppenrichtlinie auf die Domäne an. Diese
Richtlinie entspricht den Vorgaben der firmeninternen Richtlinie.
Sie stellen fest, dass die beschränkten Zugriffe für alle Benutzer gelten.
Sie überprüfen die Gruppenrichtlinie durch Verwenden der
Gruppenrichtlinienverwaltung (GPMCs). Sie überprüfen die Berechtigungen
für das Gruppenrichtlinienobjekt:
- 75 -
Sie müssen das Netzwerk so konfigurieren, so dass die firmeninternen
Richtlinien richtig angewendet werden.
(Jede richtige Antwort ist ein Teil der Lösung. Wählen Sie zwei.)
A

Sie lösen die Gruppenrichtlinie von der Domäne und
binden sie auf die Organisationseinheit Herstellung.
B

binden sie auf die Organisationseinheit USERS.
C

Sie ordnen der Gruppe Authentifizierte Benutzer das
Recht Verweigern auf Gruppenrichtlinien
übernehmen zu.
D

Sie ordnen der Gruppe Manager das Recht Verweigern
auf Gruppenrichtlinien übernehmen zu.
- 76 -
Frage 55
Firma besteht aus zwei Tochtergesellschaften mit dem Namen MVS net
und MVS press. MVS net hat ein Büro in München. MVS press hat zwei
Büros, eines in Puchheim und das andere in Küps.
Das Netz besteht aus zwei aktiven Verzeichnisstrukturen. Eine
Vertrauensstellung existiert zwischen den zwei Verzeichnisstrukturen. Eine
Verzeichnisstruktur enthält eine Domäne mit dem Namen
MUENCHEN.MVSNET.DE. Die andere Verzeichnisstruktur enthält zwei
Domänen mit der Bezeichnung PUCHHEIM.MVSPRESS.DE und
KUEPS.MVSPRESS.DE. Alle drei Büros sind durch zwei 128-Kbps
Verbindungen miteinander verbunden. Alle Server verwenden das
Das Netz verwendet serverbasierende Mitarbeiterprofile und
Gruppenrichtlinien. Gelegentlich müssen Mitarbeiter in einem anderen als
ihrem üblichen Büro arbeiten. Benutzer müssen immer denselben Desktop
haben, ganz gleich wo sie sich im Netzwerk anmelden. Sie müssen
sicherstellen, dass das Profil des Mitarbeiters sowie die Gruppenrichtlinien
immer zur Verfügung stehen, egal von wo aus sich der Mitarbeiter
anmeldet.
(Um die Frage zu beantworten, verschieben Sie die entsprechende/n
Konfiguration/en zu der/n richtigen Richtlinie/n.)
- 77 -
Frage 56
Sie sind der Netzwerkadministrator der Firma IT-Consulting MERK. Das
Netzwerk besteht aus zwei aktiven Verzeichnisdiensten und jeweils aus
einer einzelnen Domäne.
Die Domänenfunktionsebene bei beiden Verzeichnisstrukturen ist Windows
Server 2003. Eine Verzeichnisstruktur ist nur zum testen, die zweite ist
eine Produktionsumgebung. Die Testumgebung enthält einen
Domänencontroller.
Produktionsumgebung zu testen, und verwalten administrative Vorlagen,
bevor sie in der Produktionsumgebung eingeführt werden. Diese Tests
schließen Änderungen an der Sicherheitsrichtlinie für Domänen und
Sicherheitsrichtlinie für Domänencontroller mit ein.
Sie müssen in der Lage sein, Sicherheitsrichtlinie für Domänen und
Sicherheitsrichtlinie für Domänencontrollern aus der Domäne Test in der
Produktionsumgebung anwenden zu können. Sie wollen diese Aufgabe
durch Verwenden des Minimalmaßes an Verwaltungsaufwand erreichen.
A

Sie führen den Befehl dcgpofix /both in der Testdomäne
aus.
B

Sie sichern die Sicherheitsrichtlinie für Domänen und
Sicherheitsrichtlinie für Domänencontroller von der
Produktionsdomäne durch Verwenden der
Gruppenrichtlinineverwaltung (GPMCs).
C

Sie importieren die Sicherheitsrichtlinie für Domänen und
die für Domänencontroller in die Test-Domäne durch
Verwenden der Gruppenrichtlinineverwaltung (GPMCs)
und einer Migrationstabelle.
D

Sie sichern die ursprünglichen gptmpl.inf-Datei für die
Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie
für Domänencontroller von der Domäne Produktion.
E

Sie stellen die gesicherte gptmpl.inf Datei in der
Testdomäne wieder her.
F

Sie erhöhen die Version in der gpt.ini-Dateien für die
für Domänencontroller.
- 78 -
Frage 57
Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Die
Firma besteht aus der Hauptniederlassung und einer Zweigstelle. Das
EISSNER_EDV.DE. Das Netzwerk verfügt über drei Windows Server 2003
Domänencontroller, »EDVEDC01«, »EDVEDC02« und »EDVEDC03«. Sie
erstellen zwei Standorte im Verzeichnisdienst, einen für das Hauptbüro
und einen für die Niederlassung.
Das Netzwerk ist wie folgt aufgebaut:
Die Domänencontroller werden jede Nacht mittels eines normalen Backups
gesichert, ebenso wird der Systemstaus mitgesichert.
- 79 -
Sie sind verantwortlich für die Erstellung eines Notfallplanes, falls ein
Domänencontroller in einem der Standorte ausfällt. Das Team definiert,
dass der Netzwerkverkehr zwischen dem Hauptbüro und der
Niederlassung auf ein Minimum reduziert werden muss. Das
Wiederherstellen der Sicherung soll ebenfalls auf ein Minimum reduziert
werden.
Sie müssen in ihrem Plan das Wiederherstellen des Verzeichnisdienstes im
Fall das die Hardware eines Servers ausfällt berücksichtigen.
Welche zwei Aktionen sollte Ihr Plan beinhalten?
(Jede Antwort ist ein Teil der Lösung.)
A

Zurücksichern des Systemstaus eines jeden
Domänencontrollers auf irgendeinen Mitgliedsserver im
gleichen Netzwerk.
B

Sie führen eine autorisierte Wiederherstellung an einem
funktionierenden Domänencontroller durch.
C

Sie führen auf einem im gleichen Netzwerk wie der
ausgefallenen Domänencontroller verfügbaren
Mitgliedsserver den Befehl dcpromo /adv und aktivieren
die Option Über das Netzwerk aus.
D

Mitgliedsserver den Befehl dcpromo /adv aus und
aktivieren die Option Von folgenden wieder
hergestellten Sicherungsdateien kopieren.
- 80 -
Frage 58
Sie sind der Netzwerkadministrator der Firma IT-Consulting Merk. Ihr
MERK.NET. Die Domänenfunktionsebene ist Windows Server 2003. Ihre
Domäne besteht aus Windows Server 2003 Rechnern und Windows XP
Professional Computern. Die Domäne ist wie in der Grafik dargestellt
aufgebaut:
Alle produktiven Server sind in der organisatorischen Einheit Server
zusammengefasst, alle Clientcomputer in der organisatorischen Einheit
Desktop. Auf jede dieser beiden organisatorischen Einheiten ist eine
Gruppenrichtlinie verknüpft.
Ihre Firma möchte eine neue Sicherheitsrichtlinie einführen. Einige dieser
neuen Einstellungen sollen sich nur auf Clientcomputer der Domäne
auswirken, andere nur auf die Server. Sie sollen die neuen Einstellungen
in bereits vorhandene Richtlinien einbinden.
Sie konfigurieren zehn neue Windows XP Professional Computer und fünf
neue Windows Server 2003 Server, um den Einsatz der neuen
Sicherheitseinstellungen über die geänderten Gruppenrichtlinien zu testen.
Sie verwenden die Gruppenrichtlinienverwaltung, um die vorhandenen
Gruppenrichtlinien für den Test zu kopieren.
Sie müssen sich entscheiden, wo sie die Testcomputer in der Domäne
platzieren. Sie sollten den Verwaltungsaufwand so gering wie möglich
halten, und Ihre Tests dürfen keine Auswirkung auf die
Produktionsumgebung haben. Des Weitern sollen Sie vermeiden, dass
Gruppenrichtlinien mit mehreren organisatorischen Einheiten verbunden
sind.
Wie gehen Sie vor?
- 81 -
A
{
Sie verschieben alle Testcomputer in die organisatorische
Einheit MERK.NET.
B
{
Einheit Computer.
C
{
Einheit Desktop und alle Testserver in die organisatorische
Einheit Server.
D
{
Sie erstellen eine untergeordnete organisatorische Einheit
unter der organisatorischen Einheit Desktop für die
Testcomputer. Sie erstellen eine untergeordnete
organisatorische Einheit unter der organisatorischen
Einheit Server für die Testserver.
E
{
Sie erstellen eine neue organisatorische Einheit Test in der
Domäne MERK.NET. Darunter erstellen Sie zwei
untergeordnete organisatorische Einheiten, eine für die
Testcomputer und eine für die Testserver.
- 82 -
Frage 59
2003, alle Clientcomputer Windows NT 4.0 Workstation, Windows 2000
Professional und Windows XP Professional. Alle Computerkonten sind in
der Organisationseinheit Firmen Computer zusammengefasst, alle
Benutzerkonten in der Orgasnisationseinheit Firmen Mitarbeiter.
Ihre Firma erstellt eine Sicherheitsvorgabe, bei der alle Mitarbeiter, die
sich an einem Computer im Netzwerk anmelden, ein Mitteilungsfenster
bekommen. Diese Mitteilungsfenster soll eine Warnung vor unbefugter
Benutzung des Computers ausgeben.
Sie müssen sicherstellen dass alle Mitarbeiter dieses Mitteilungsfenster
bekommen, wenn Sie sich im Netzwerk anmelden möchten.
Welche zwei Optionen würden Sie verwenden?
A

Sie erstellen ein Gruppenrichtlinienobjekt, das die
geforderten Einstellungen in dem Bereich interaktive
Anmeldung enthält und verknüpfen dieses
Gruppenrichtlinienobjekt mit der Domäne.
B

Sie erstellen ein Skript, das diese Informationen
ausgibt. Sie erstellen ein Gruppenrichtlinienobjekt und
lassen dieses Skript beim Starten ausführen. Sie
verknüpfen dieses Gruppenrichtlinienobjekt mit der
Organisationseinheit Firmenmitarbeiter.
C

Sie erstellen eine Richtlinie mit dem Namen
ntconfig.pol, die die geforderten Einstellungen enthält.
Sie kopieren diese Datei in den dafür vorgesehenen
Ordner auf dem Domänenkontroller.
D

Sie erstellen eine Datei mit dem Namen autoexec.bat,
die die Warnungen enthält, und kopieren diese Datei auf
allen Clients auf das Laufwerk C:
- 83 -
Frage 60
Sie sind der Netzwerkadministrator Ihrer Firma. Das Netzwerk besteht aus
einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server
verwenden das Betriebssystem Windows Server 2003. Die Struktur der
Domänen und der Organisationseinheiten ist wie in der Grafik dargestellt:
Benutzer in der Forschungsabteilung haben ihre Benutzerkonten in der
Domäne FORSCHUNG.MVSNET.DE. Alle anderen Benutzerkonten und
Ressourcen sind in der Domäne MVSNET.DE. Alle Domänencontroller
befinden sich in den entsprechenden Organisationseinheiten
Domänencontroller in den eigenen Domänen. Keine Computer- oder
Benutzerkonten sind in der Organisationseinheit Domänencontroller
vorhanden.
Die Firmenpolitik schreibt vor, dass alle Benutzer in der
Forschungsabteilung komplexe Kennwörter mit mindestens neun Zeichen
verwenden müssen. Die Richtlinie gibt vor, dass alle anderen Mitarbeiter
von diesen Einstellungen nicht betroffen sind. Alle betroffenen Mitarbeiter
haben ihr Benutzerkonto in der der Organisationseinheit FORSCHUNG in
der Domäne FORSCHUNG.MVSNET.DE.
Sie erstellen ein Gruppenrichtlinienobjekt mit den erforderlichen
Einstellungen.
Sie müssen sicherstellen, dass von diesen Einstellungen nur Mitarbeiter
der Forschungsabteilung betroffen sind, auf alle anderen Mitarbeiter
dürfen diese Einstellungen keine Auswirkung haben.
- 84 -
Wo sollten Sie das Gruppenrichtlinienobjekt verknüpfen?
A
{
Mit der Domäne FORSCHUNG.MVSNET.DE.
B
{
Mit der Domäne MVSNET.DE.
C
{
Mit der Organisationseinheit Forschung in der Domäne
FORSCHUNG.MVSNET.DE.
D
{
Mit der Organisationseinheit Domänencontroller in der
der Domäne MVSNET.DE.
- 85 -
Frage 61
MVSNET.DE. Alle Server verwenden Windows Server 2003 als
Betriebssystem. Die Domänenfunktionsebene ist Windows Server 2003.
Die Struktur der Firma können Sie in der Grafik ersehen:
Ihre Firma verwendet eine Applikation für die Verkaufs- und
Marketingabteilung die auf dem X.500 Standard basiert. Diese Software
wird nur von Mitarbeitern der Verkaufs- und Marketingabteilung
verwendet. Die Software verwendet InetOrgPerson-Objekte für die
Benutzerkonten. Diese InetOrgPerson-Objekte sind im Verzeichnisdienst
für alle Mitarbeiter der Verkaufs- und Marketingabteilung vorhanden. Die
Mitarbeiter sind angewiesen, bei der Anmeldung die InetOrgPersonObjekte als ihr Benutzerkonto zu verwenden.
Der Microsoft Identity Integration Server ist so konfiguriert, dass er
Änderungen der InetOrgPerson-Objekte aus dem Verzeichnisdienst in die
X.500 Verzeichnisdienst-Software kopiert. Die Mitarbeiter der
Marketingabteilung sind in der Organisationseinheit MARKETING
zusammengefasst, die Mitarbeiter der Verkaufsabteilung in der
Organisationseinheit VERKAUF.
Daniel ist einer der Administratoren der Firma MVS M. Völk Systems.
Daniel ist dafür verantwortlich, die Objekte für Benutzer, die Zugang zum
X.500 Verzeichnisdienst benötigen, zu verwalten.
Sie müssen den Verzeichnisdienst konfigurieren, damit Daniel seinen
Aufgaben nachkommen kann.
Welche Aktion oder Aktionen würden Sie auswählen?
(Wählen Sie alle notwendigen Aktionen aus.)
- 86 -
A

Sie erteilen auf der Domäne Daniel das Recht zur
Verwaltung von BenutzeroObjekten.
B

Verwaltung von InetOrgPerson-Objekten.
C

Sie blockieren auf der Organisationseinheit VERKAUF die
Vererbung der Rechte.
D

Sie blockieren auf der Organisationseinheit MARKETING
die Vererbung der Rechte.
E

Sie blockieren auf der Organisationseinheit DEV die
- 87 -
Frage 62
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems mit
sechs Büros. Das Netzwerk besteht aus einem Verzeichnisdienst mit der
Bezeichnung MVSNET.DE.
Jedes Büro verfügt über Mitarbeiter, die in den Abteilungen VERTRIEB,
MARKETING und PRODUKTION arbeiten. Die Verwaltung des
Verzeichnisdienstes unterliegt der EDV-Abteilung. Die EDV-Abteilung stellt
eine Helpdesk, 2nd Level Support und eine MIS-Gruppe zur Verfügung.
Jedes Büro verfügt über einen Mitarbeiter, der im Helpdesk arbeitet. Die
administrative Verantwortlichkeit ist wie in nachfolgender Tabelle verteilt:
Gruppe
Aufgabe
Helpdesk
Wartung der Benutzerkonten aller
Mitarbeiter, die nicht verwaltet werden.
2nd Level Support
Benutzerkonto für alle Mitglieder des
Helpdesks zur Verwaltung von
Benutzerkonten
MIS-Gruppe
Verwaltung der Servicekonten, Warten der
Domänenadministratorenkonten und
hinzufügen von Konten in den
Verzeichnisdienst.
Sie benötigen einen Plan der Organisationseinheiten zur Verteilung der
Verwaltungsaufgaben. Ihr Plan muss sicherstellen, dass die
Berechtigungen zur Wartung mit einem Minimum an Verwaltungsaufgaben
durchgeführt werden kann.
Welche Struktur würden Sie verwenden?
- 88 -
A
B
- 89 -
C
- 90 -
D
- 91 -
Frage 63
Firma besteht aus zwei Gesellschaften mit den Bezeichnungen Merk und
MVSPress. Das Netzwerk besteht aus einem Verzeichnisdienst, der aus
drei Domänen besteht. Die Domänen- und Standortkonfiguration ersehen
Sie aus der Grafik:
Ein Computer mit der Bezeichnung »DC1.NORD.MERK.NET« und ist ein
Domänencontroller der Domäne NORD.MERK.NET.
»DC1.NORD.MERK.NET« ist der globale Katalogserver und der bevorzugte
Brückenkopfserver des Standortes NORD.
Die Verzeichnisdatenbank auf »DC1.NORD.MERK.NET« ist ca. 1GB groß.
Die Abteilung NORD implementiert eine Software, die den
Verzeichnisdienst aktiv verwendet. Sie erwarten, dass die Größe der
Datenbank auf »DC1.NORD.MERK.NET« um weitere 200 MB zunimmt.
Der Verzeichnisdienst auf »DC1.NORD.MERK.NET« beendet seine
Funktion. Nach einer Überprüfung stellen Sie fest, dass der verfügbare
Festplattenplatz kleiner als 5 MB ist.
Sie müssen den Verzeichnisdienst auf »DC1.NORD.MERK.NET« wieder
starten. Sie müssen den Server so konfigurieren, dass ausreichender
Festplattenplatz für weitere Daten, die dem Verzeichnisdienst hinzugefügt
werden, zur Verfügung steht.
- 92 -
A
{
Sie löschen Sie alle Protokolldateien aus dem SYSVOLVerzeichnis.
B
{
Sie installieren eine zusätzliche Festplatte auf
»DC1.NORD.MERK.NET«. Sie verwenden das Tool
ntdsutil, um die Verzeichnisdatenbank auf die neue
Festplatte zu verschieben.
C
{
Sie installieren Sie eine zusätzliche Festplatte auf
ntdsutil, um die Protokolldateien auf die neue Festplatte
zu verschieben.
D
{
Sie konfigurieren einen anderen Server in dem Standort
als Brückenkopfserver. Sie konfigurieren
»DC1.NORD.MERK.NET« so, dass er nicht mehr als
bevorzugter Brückenkopfserver fungiert.
- 93 -
Frage 64
Netzwerk besteht aus einem Verzeichnisdienst mit einer Domäne und der
Bezeichnung MVSPRESS.DE. Die Domänenfunktionsebene ist Windows
Server 2003.
MVS M. Völk Systems kauft eine Firma mit dem Domänennamen EDVEISSNER.DE. Das Netzwerk von EDV-EISSNER.DE besteht aus einer
Windows NT4 Kontendomäne und zwei Windows NT4 Ressourcendomänen
(siehe Grafik):
Alle Dateien liegen auf dem Dateiserver in der Domäne EDVEissner1
Sie möchten folgende Ziele erreichen:
• Die Anzahl der Vertrauensstellungen auf ein Minimum reduzieren.
• Benutzer in jeder Firma benötigen Zugriff auf die Dateien, die in der
jeweils anderen Firma liegen.
Welche zwei Aktionen müssen Sie durchführen?
- 94 -
A

Sie erstellen eine Einweg-Vertrauensstellung, in der die
Domäne EDVEISSNER1 der Domäne MVSPRESS.DE
vertraut.
B

Domäne MVSPRESS.DE der Domäne EDVEISSNER1
vertraut.
C

Domäne MVSPRESS.DE der Domäne EDV-EISSNER.DE
vertraut.
D

Domäne EDV-EISSNER.DE der Domäne MVSPRESS.DE
vertraut.
- 95 -
Frage 65
Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Ihre
Firma besteht aus den zwei Geschäftsbereichen Wartung und ITDienstleitung. Das Netzwerk besteht aus einem Verzeichnisdienst. Die
Domänenfunktionsebene ist Windows Server 2003. Der Verzeichnisdienst
besteht aus der Hauptdomäne MERK.NET und einer zusätzlichen Domäne
mit der Bezeichnung WARTUNG.MERK.NET; diese Domäne enthält zwei
untergeordnete Domänen. Alle Server verwenden Windows Server 2003
als Betriebssystem.
Der Verzeichnisdienst ist mit den Standardeinstellungen konfiguriert. Der
Verzeichnisdienst enthält 250.000 Objekte, die häufig geändert werden.
Sie müssen einige Objekte in einer der untergeordneten Domänen von
WARTUNG.MERK.NET von einem drei Monate alten Backup
wiederherstellen. Sie müssen eine Änderung am Verzeichnisdienst auf
einem der Domänenkontroller in einer der Domänen vornehmen, um
dieses Ziel erreichen zu können.
(Jede einzelne richtige Antwort ist als vollständige Lösung zu betrachten.)
A

Sie führen das Tool netdom auf einem
Domänenkontroller der Domäne WARTUNG.MERK.NET
aus.
B

Sie verwenden das Tool ntdsutil auf einem
Domänenkontroller der Domäne MERK.NET.
C

Sie verwenden das Tool adsiedit auf einem
Domänenkontroller der Domäne WARTUNG.MERK.NET.
D

Sie führen das Tool ldp auf einem Domänenkontroller der
Domäne MERK.NET aus.
- 96 -
Frage 66
Netzwerk besteht aus einem Verzeichnisdienst, der aus einer
Hauptdomäne und einer untergeordneten Domäne besteht. Im
Verzeichnisdienst sind drei eigenständige Standorte vorhanden.
Standort
Server
Standort 1
SERVER1.MVSNET.DE
SERVER2.MVSNET.DE
SERVER1.EUROPA.MVSNET.DE
Standort 2
SERVER3.MVSNET.DE
SERVER4.MVSNET.DE
Standort 3
SERVER5.MVSNET.DE
SERVER6.MVSNET.DE
Das Netzwerk wird nicht vollständig geroutet, es besteht keine
physikalische Verbindung zwischen Standort 1 und Standort 3.
Standortverbindungen werden nicht überbrückt.
Sie stellen fest, dass der Domänenkontroller für EUROPA.MVSNET.DE im
Standort 1 über Benutzerkonten verfügt, die nicht auf dem
Domänenkontroller im Standort 3 für die Domäne EUROPA.MVSNET.DE
vorhanden sind. Sie überprüfen das Protokoll Verzeichnisdienst in der
Ereignisanzeige auf einem Domänencontroller für EUROPA.MVSNET.DE
und finden mehrere Ereigniskennungen 1311.
Sie müssen das Problem lösen, das diesen Fehler verursacht.
Wie gehen Sie vor?
A
{
Sie fügen einen Domänencontroller für
EUROPA.MVSNET.DE im Standort 2 hinzu.
B
{
Sie erstellen eine Standortverknüpfungsbrücke zwischen
den Standortverbindungen von Standort 1 und Standort
3.
C
{
Sie konfigurieren mindestens einen Domänencontroller in
jedem Standort als globalen Katalogserver.
D
{
Sie erstellen eine Standortverknüpfung zwischen dem
Standort 1 und dem Standort 3.
- 97 -
Frage 67
Sie sind Mitglied der Administratorengruppe des Windows Server 2003Netzwerkes der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus
einer einzelnen Domäne mit der Bezeichnung EISSNER-EDV.DE. Das Büro
in Veilsdorf hat eine eigene Organisationseinheit mit der Bezeichnung
Veilsdorf.
Sie engagieren eine Angestellte namens Karin als LAN-Administrator für
das Büro in Veilsdorf. Karin muss untergeordnete Organisationseinheiten
für das Büro Veilsdorf erstellen. Außerdem soll sie die eigens erstellten
Organisationseinheiten überprüfen können. Sie möchten Karin nur ein
Minimum an Berechtigungen für die Organisationseinheit Veilsdorf geben,
damit sie ihre Aufgaben ausführen kann.
Welche Berechtigungen sollten Sie ihr geben?
A
{
Alle Eigenschaften lesen, Organisationseinheit erstellen,
alle Eigenschaften schreiben.
B
{
Alle Eigenschaften lesen, Inhalt auflisten,
Organisationseinheit erstellen.
C
{
Inhalt auflisten, alle untergeordnete Objekte erstellen.
D
{
Alle Eigenschaften schreiben, alle erweiterten Rechte.
- 98 -
Frage 68
Firmennetzwerk besteht aus einer einzelnen Domäne. Das Hauptbüro
befindet sich in Puchheim. Zudem existieren weitere Zweigbüros in
Kronach und Veilsdorf. Die Büros sind über dedizierte 256-Kbps-Leitungen
miteinander verbunden. Um die Anmeldezeiten über die langsamen
Leitungen zu verringern, erstellen Sie für jedes Büro in Active Directory
einen Standort und konfigurieren Standortverknüpfungen zwischen den
Standorten.
Benutzer der Zweigbüros berichten, dass es sehr lange dauert, sich an der
Domäne anzumelden. Sie beobachten das Netzwerk und entdecken, dass
jeglicher Authentifizierungsverkehr noch immer zu den
Domänencontrollern in Puchheim gesendet wird. Sie müssen die
Netzwerkperformance verbessern.
A
{
Sie richten die Replikation so ein, dass sie in einem
kürzeren Zeitintervall zwischen den Standorten
stattfindet.
B
{
längeren Zeitintervall zwischen den Standorten
stattfindet.
C
{
Sie erstellen für jeden physikalischen Standort ein
Subnetz und verbinden dieses mit dem Standort
Puchheim. Danach verschieben Sie die
Domänencontrollerobjekt in den Standort Puchheim.
D
{
Subnetz und verbinden jedes Subnetz mit seinem
Standort. Danach verschieben Sie die
Domänencontrollerobjekte in den jeweiligen Standort.
- 99 -
Frage 69
Sie sind der Administrator des Windows Server 2003-Netzwerks der Firma
EDV-Beratung Eißner. Das Netzwerk besteht aus zwei Active DirectoryStandorten: Veilsdorf und Puchheim. Zudem enthält das Netzwerk zwei
Domänen: EISSNER-EDV.DE und MVS.EISSNER-EDV.DE. Die
Konfiguration des Netzwerks wird im folgenden Schaubild gezeigt:
Die Benutzer von Puchheim reisen oft mit ihren mobilen Rechnern nach
Veilsdorf. Wenn sich diese Benutzer an das Netzwerk in Veilsdorf
anmelden, erscheint sehr lange der Text Benutzereinstellungen
werden geladen.
Sie wollen sicherstellen, dass für die Benutzer von Puchheim diese
Verzögerung nicht mehr auftritt.
A
{
Sie verbinden das Subnetz von Veilsdorf mit dem
Standort Puchheim.
B
{
Sie erstellen eine Vertrauensstellung, sodass EISSNEREDV.DE der Domäne MVS.EISSNER-EDV.DE vertraut.
C
{
Sie installieren einen Domänencontroller für
MVS.EISSNER-EDV.DE im Subnetz von Veilsdorf.
D
{
Sie verwenden das Snap-In Active Directory-Standorte
und -Dienste, um »FDEDC003« in den Standort Veilsdorf
zu verschieben.
- 100 -
Frage 70
Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Sie
administrieren die Windows Server 2003-Domäne EISSNER-EDV.DE und
eine Subdomäne mit der Bezeichnung SUB1.EISSNER-EDV.DE.
SUB1.EISSNER-EDV.DE enthält alle Benutzerkonten des Netzwerkes.
Ihre Firma arbeitet mit der Firma MVS M. Völk Systems zusammen. Das
Netzwerk von MVS besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Stammdomäne mit der Bezeichnung MVSNET.DE
enthält. Zudem existiert eine Subdomäne mit der Bezeichnung
SUB1.MVSNET.DE. Auf allen Domänencontrollern läuft Windows Server
2003. Beide Domänen enthalten Benutzerkonten und Ressourcenserver.
Die Domänen und bereits existierenden Vertrauensstellungen werden im
folgenden Schaublid dargestellt:
Sie sollen so wenig wie möglich Vertrauensstellungen erstellen, um den
Benutzern von SUB1.EISSNER-EDV.DE Zugriff auf beide Domänen in der
Gesamtstruktur MVSNET.DE zu geben.
- 101 -
A
{
Sie erstellen eine Einwegvertrauensstellung, in der die
EISSNER-EDV.DE-Domäne der MVSNET.DE-Domäne
vertraut.
B
{
Sie erstellen eine Gesamtstrukturvertrauensstellung
zwischen MVSNET.DE und EISSNER-EDV.DE.
C
{
SUB1.EISSNER-EDV.DE-Domäne der MVSNET.DE-Domäne
vertraut. Danach erstellen Sie eine
Einwegvertrauensstellung, in der die SUB1.EISSNEREDV.DE-Domäne der SUB1.MVSNET.DE-Domäne vertraut.
D
{
MVSNET.DE-Domäne der SUB1.EISSNER-EDV.DE-Domäne
Einwegvertrauensstellung, in der die SUB1.MVSNET.DEDomäne der SUB1.EISSNER-EDV.DE-Domäne vertraut.
- 102 -
Frage 71
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die zwei Domänen enthält. Die Domänen haben die
Bezeichnungen EISSNER-EDV.DE und SUB1.EISSNER-EDV.DE. Die
Ihre Firma kooperiert mit der Firma MVS M. Völk Systems. Das
Firmennetzwerk von MVS besteht ebenfalls aus einer einzelnen Active
Directory-Gesamtstruktur. Die Gesamtstruktur enthält zwei Domänen mit
den Bezeichnungen MVSNET.DE und SUB1.MVSNET.DE. Die
Domänenfunktionsebene beider Domänen ist Windows 2000 pur. Auf allen
Domänencontrollern in der Gesamtstruktur läuft Windows 2000 Server.
Die Benutzer in den Domänen SUB1.EISSNER-EDV.DE und
SUB1.MVSNET.DE müssen auf einfachstem Weg auf gemeinsam genutzte
Informationen zugreifen können. Die Daten befinden sich auf Windows
Server 2003 Mitgliedsservern in beiden Domänen. Sie müssen die
Vertrauensstellungen zwischen den Domänen so konfigurieren, dass die
Benutzer gemeinsam auf die Informationen zugreifen können. Sie wollen
dieses Ziel mit einem Minimum an administrativem Aufwand erreichen.
A
{
Sie erstellen eine bidirektionale
Gesamtstrukturvertrauensstellung zwischen den Domänen
EISSNER-EDV.DE und MVSNET.DE.
B
{
Sie erstellen eine unidirektionale externe
Vertrauensstellung, in der die Domäne SUB1.EISSNEREDV.DE der Domäne SUB1.MVSNET.DE vertraut. Danach
erstellen Sie eine weitere unidirektionale externe
Vertrauensstellung, in der die Domäne SUB1.MVSNET.DE
der Domäne SUB1.EISSNER-EDV.DE vertraut.
C
{
Vertrauensstellung, in der die Domäne EISSNER-EDV.DE
der Domäne MVSNET.DE vertraut. Danach erstellen Sie
eine weitere unidirektionale externe Vertrauensstellung,
in der die Domäne MVSNET.DE der Domäne EISSNEREDV.DE vertraut.
D
{
Vertrauensstellung, in der die Domäne MVSNET.DE der
Domäne SUB1.MVSNET.DE vertraut. Danach erstellen Sie
in der die Domäne EISSNER-EDV.DE der
SUB1.MVSNET.DE-Domäne vertraut.
- 103 -
Frage 72
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit den beiden Domänen MVSNET.DE und
2003. Die Gesamtstrukturfunktionsebene ist Windows Server 2003.
MVS fusioniert mit der Firma EDV-Beratung Eißner. Das Firmennetzwerk
der EDV-Beratung Eißner besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Domäne mit der Bezeichnung EISSNER-EDV.DE
enthält. Auf allen Domänencontrollern läuft Windows Server 2003. Die
Die Benutzer der Domäne MVSNET.DE benötigen Zugriff auf Datei- und
Druckressourcen des Rechner »FDESRV01.EISSNER-EDV.DE«. Die
Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf alle Rechner
in der Gesamtstruktur MVSNET.DE. Die Administratoren sollen die
Möglichkeit haben, den Benutzern Zugriff auf die benötigten Ressourcen
zu gewähren.
A
{
MVSNET.DE und EISSNER-EDV.DE. In der Domäne
MVSNET.DE aktivieren Sie die gesamtstrukturweite
Authentifizierung für die EISSNER-EDV.DE-Domäne. In
der Domäne EISSNER-EDV.DE aktivieren Sie die
ausgewählte Authentifizierung für die MVSNET.DEDomäne.
B
{
Sie erstellen eine bidirektionale externe
Vertrauensstellung zwischen der Domäne MVSNET.DE und
der EISSNER-EDV.DE-Domäne.
C
{
Sie erstellen eine unidirektionale
Gesamtstrukturvertrauensstellung, in der die Domäne
EISSNER-EDV.DE der MVSNET.DE-Domäne vertraut. In
der MVSNET.DE -Domäne aktivieren Sie die
gesamtstrukturweite Authentifizierung für die EISSNEREDV.DE-Domäne.
D
{
MVSNET.DE der EISSNER-EDV.DE-Domäne vertraut. Sie
erstellen eine zweite unidirektionale
EISSNER-EDV.DE der Domäne MVSNET.DE vertraut.
- 104 -
Frage 73
Servern läuft Windows Server 2003. Die Firma hat Büros in mehreren
Städten, wie folgendes Schaubild zeigt:
Jedes Büro ist als ein Active Directory-Standort konfiguriert. Es sind
globale Katalogserver in den Standorten Veilsdorf und Puchheim
vorhanden. Sie aktivieren Zwischenspeicherung für universelle
Gruppenmitgliedschaft für alle anderen Standorte.
Die Benutzer verwenden eine Active Directory-integrierte Anwendung. Die
Anwendung liest Daten vom globalen Katalog. Benutzer berichten, dass in
der Zeit der höchsten Netzwerkauslastung die Anwendung sehr langsam
reagiert. Sie sollen die Reaktionszeit der Anwendung verbessern.
A
{
Sie deaktivieren Zwischenspeicherung für universelle
Gruppenmitgliedschaft in den Standorten Erfurt, Riesa,
Kronach und München.
B
{
Sie verringern das Replikationszeitintervall für die
Standortverknüpfungen, die die Standorte Erfurt und
Riesa mit dem Standort Veilsdorf, und die Standorte
Kronach und München mit dem Standort Puchheim
verbinden.
C
{
Sie konfigurieren globale Katalogserver in den Standorten
Erfurt, Riesa, Kronach und München.
D
{
Sie führen eine Offline-Defragmentierung der Active
Directory-Datenbank auf den Domänencontrollern in den
Standorten Veilsdorf und Puchheim durch.
- 105 -
Frage 74
Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Zwei
Kunden dieser Firma sind das AHE Erfurt und die KIG Meiningen. Die
Domäneninfrastruktur wird im folgenden Schaubild gezeigt:
Alle Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf die
Ressourcen der Domäne AHE-ERFURT.DE. Einige Benutzer der EISSNEREDV.DE-Domäne benötigen Zugriff auf die Ressourcen der Domäne
VERKAUF.KIG-MGN.DE. Die Benutzer der Domäne EISSNER-EDV.DE
benötigen keinen Zugriff auf die Ressourcen der Domäne VERKAUF.AHEERFURT.DE.
Es besteht eine bidirektionale Vertrauensstellung zwischen den Domänen
EISSNER-EDV.DE und KIG-MGN.DE. Sie stellen fest, dass die Benutzer der
Domäne EISSNER-EDV.DE keinen Zugriff auf die Ressourcen der
VERKAUF.KIG-MGN.DE- Domäne haben.
Sie müssen sicherstellen, dass alle Benutzer der Domäne EISSNEREDV.DE Zugriff auf die benötigten Ressourcen in den anderen
Gesamtstrukturen haben.
- 106 -
A
{
Sie aktivieren das Routing des VERKAUF.AHE-ERFURT.DENamenssuffixes in der Gesamtstrukturvertrauensstellung
von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach
deaktivieren Sie das Routing des VERKAUF.KIG-MGN.DENamenssuffixes in der Gesamtstrukturvertrauensstellung
von EISSNER-EDV.DE auf KIG-MGN.DE.
B
{
Sie deaktivieren das Routing des VERKAUF.AHEERFURT.DE-Namenssuffixes in der
Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE
auf AHE-ERFURT.DE. Danach aktivieren Sie das Routing
des VERKAUF.KIG-MGN.DE-Namenssuffixes in der
auf KIG-MGN.DE.
C
{
aktivieren Sie das Routing des VERKAUF.KIG-MGN.DENamenssuffixes in der Gesamtstrukturvertrauensstellung
D
{
auf AHE-ERFURT.DE. Danach deaktivieren Sie das Routing
auf KIG-MGN.DE.
- 107 -
Frage 75
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit zwei Domänen mit den Bezeichnungen MVSNET.DE
und PUCHHEIM.MVSNET.DE. Die Gesamtstrukturfunktionsebene ist
Windows Server 2003. Das Netzwerk enthält zwei Standorte mit den
Bezeichnungen Puchheim und Kronach. Eine 128 Kbps Standortverbindung
verbindet Puchheim mit Kronach.
In der Domäne MVSNET.DE befindet sich ein Domänencontroller mit der
Bezeichnung »MVSDC001« im Standort Kronach. Die Domäne
PUCHHEIM.MVSNET.DE verfügt über einen Domänencontroller mit der
Bezeichnung »MVSDC002« im Standort Puchheim. »MVSDC001« ist ein
Active Directory-integrierter DNS-Server und fungiert gleichzeitig als
globaler Katalogserver. Es existieren 1500 Benutzer im Standort Kronach
und 80 Benutzer im Standort Puchheim.
Benutzer im Standort Puchheim berichten, dass die Anmeldung am
Netzwerk sehr lange dauert. Sie müssen sicherstellen, dass sich die
Benutzer von Puchheim schneller anmelden können.
A
{
Sie vermindern den Wert der maximalen Gültigkeitsdauer
des Benutzertickets in den Kerberos-Richtlinien der
Standarddomänengruppenrichtlinie (GPO) der
PUCHHEIM.MVSNET.DE-Domäne.
B
{
Sie aktivieren Zwischenspeicherung der universellen
Gruppenmitgliedschaft für »MVSDC002« in den Active
Directory-Standorten und -Diensten.
C
{
Sie aktivieren die interaktive Anmeldung: Anzahl
zwischenzuspeichernder vorheriger Anmeldungen in der
Standarddomänengruppenrichtlinie (GPO) der Domäne
PUCHHEIM.MVSNET.DE.
D
{
Sie vermindern den Wert für das Replikationszeitintervall
für die Standortverbindung zwischen Puchheim und
Kronach.
- 108 -
Frage 76
Sie sind der Netzwerkadministrator in Ihrer Firma. Die Firma besteht aus
drei Partnergesellschaften: MVS M. Völk Systems, EDV-Beratung Eißner
und IT-Consulting Merk. Das Firmennetzwerk enthält drei Active
Directory-Gesamtstrukturen, die externe Vertrauensstellungen enthalten,
wie folgendes Schaubild zeigt:
Die Gesamtstrukturfunktionsebene ist Windows 2000. Die
Domänenfunktionsebene aller Domänen ist Windows 2000 pur.
MVS verlangt, dass die Benutzer jeder Domäne Zugriff auf Ressourcen in
allen anderen Domänen aller Gesamtstrukturen haben. Es soll ein
Minimum an Vertrauensstellungen verwendet werden.
Sie müssen sicherstellen, dass die Benutzer kein weiteres Konto in einem
der anderen beiden Gesamtstrukturen haben. Sie sollen dieses Ziel mit
einem Minimum an administrativem Aufwand erfüllen. Sie aktualisieren
jeden Domänencontroller auf Windows Server 2003.
Welche zusätzliche/n Aktion/en müssen Sie durchführen?
(Wählen Sie alle, die angewendet werden sollen.)
- 109 -
A

Sie erhöhen die Domänenfunktionsebene jeder Domäne
auf Windows Server 2003.
B

Sie erstellen Shortcut-Vertrauensstellungen zwischen
jeder Subdomäne.
C

Sie ersetzen existierende externe Vertrauensstellungen
durch bidirektionale Gesamtstrukturvertrauensstellungen.
D

Gesamtstrukturvertrauensstellung zwischen MVSNET.DE
und EISSNER-EDV.DE.
- 110 -
Frage 77
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Gesamtstrukturstammdomäne mit der
Bezeichnung EISSNER-EDV.DE und eine Sub-Domäne mit der
Bezeichnung SUB1.EISSNER-EDV.DE enthält.
Die Firma verwendet universelle Gruppen, um temporär angestellten
Mitarbeitern den Zugriff auf vertrauliche Informationen auf Rechnern der
Gesamtstruktur zu gewähren.
In der Domäne SUB1.EISSNER-EDV.DE befindet sich ein Windows 2000
Server mit der Bezeichnung »FDEDC001«. Auf »FDEDC001« läuft eine
Anwendung, die häufige LDAP-Abfragen an den globalen Katalog sendet.
»FDEDC001« befindet sich in einem Subnetz, das mit dem Active
Directory-Standort 2 verbunden ist, der keine globalen Katalogserver
enthält. Standort 2 ist über eine WAN-Verbindung mit dem Hauptstandort
verbunden.
Sie sollen für die Anwendung auf »FDEDC001« die Voraussetzung
schaffen, dass sie auf einem hohen Performancelevel ausgeführt wird und
zudem beim Ausfall der WAN-Verbindung fortgesetzt wird. Zudem müssen
Sie den Netzwerkverkehr über die WAN-Verbindung reduzieren.
A
{
Gruppenmitgliedschaft im Standort 2.
B
{
Sie konfigurieren mindestens einen globalen Katalog im
Standort 2.
C
{
Sie ergänzen den Schlüssel
Hkey_Local_Machine\System\CurrentControlset\Co
ntrol\Lsa\IgnoreGcFailures in der Registrierdatenbank
aller Domänencontroller im Standort 2.
D
{
Sie entfernen »FDEDC001« von der Domäne
SUB1.EISSNER-EDV.DE und fügen »FDEDC001« einer
Arbeitsgruppe hinzu.
- 111 -
Frage 78
der Bezeichnung EISSNER-EDV.DE. Mehrere Windows 2000
Domänencontroller befinden sich in zwei Standorten mit den
Bezeichnungen Veilsdorf und Riesa. Die Domäne enthält eine
Organisationseinheit (OU) mit der Bezeichnung Buchhaltung.
Sie müssen eine Antivirensoftware auf alle Rechner im Netzwerk verteilen,
ohne dass Benutzer in diesen Vorgang eingreifen müssen. Zudem müssen
Sie eine spezielle Buchhaltungsanwendung an die Benutzerkonten der
Buchhaltung verteilen, ohne dass Benutzer in diesen Vorgang eingreifen
müssen. Die Buchhaltungssoftware muss für die Benutzer der
Buchhaltungsabteilung verfügbar sein, egal welchen Rechner sie
benutzen. Zudem sollen Sie die Anzahl der
Gruppenrichtlinienverknüpfungen minimieren.
Name
Gruppenrichtlinie
Richtlinieneinstellung
GPO1
Computerkonfiguration
Zuweisen der Antivirensoftware
GPO2
Benutzerkonfiguration
GPO3
Zuweisen der Buchhaltungsanwendung
GPO4
GPO5
Veröffentlichen der Antivirensoftware
GPO6
Veröffentlichen der
Buchhaltungsanwendung
Wie müssen Sie die Gruppenrichtlinien verknüpfen?
(Verschieben Sie das/die verwendete/n Anwendungsgruppenrichtlinie/n
zur richtigen Domänenkomponente bzw. zu den richtigen
Domänenkomponenten auf der Arbeitsfläche, um zu antworten.)
- 112 -
- 113 -
Frage 79
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit der Bezeichnung EISSNER-EDV.DE und einer
einzelnen Windows NT 4.0-Domäne. Die Gesamtstrukturfunktionsebene ist
Windows 2000.
Die Active Directory-Domäne enthält mehrere Computerkonten und zwei
Windows Server 2003 Domänencontroller. Zudem verwendet die Active
Directory-Domäne Gruppenrichtlinien (GPO). Die Windows NT 4.0-Domäne
enthält Benutzerkonten und verwendet Systemrichtlinien zur Konfiguration
der Rechner.
Sie wollen erreichen, dass Einstellungen, die mit den Systemrichtlinien
konfiguriert werden, nicht weiterhin auf diese Rechner angewendet
werden.
A
{
Sie erstellen eine neue Systemrichtlinie, die
Benutzerkonfigurationseinstellungen enthalten, die die
vorherige Systemrichtlinie umkehrt. Danach ersetzen Sie
die alte Systemrichtlinie durch die neue.
B
{
Sie erstellen eine Gruppenrichtlinie, die
Benutzerkonfigurationseinstellungen enthält, die die
vorherige Systemrichtlinie umkehrt. Sie wenden die neue
Gruppenrichtlinie auf die Active Directory-Domäne an.
C
{
Sie erhöhen die Funktionsebene der Active DirectoryDomäne auf Windows Server 2003 interim.
D
{
Sie erhöhen die Funktionsebene der Active DirectoryGesamtstruktur auf Windows Server 2003.
- 114 -
Frage 80
der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server
2003. Die Benutzerkonten der Verkaufsabteilung befinden sich in einer
Organisationseinheit (OU) mit der Bezeichnung Verkauf.
Sie müssen eine Anwendung an alle Benutzer der Verkaufsabteilung
verteilen. Sie erstellen eine Gruppenrichtlinie (GPO) und verbinden diese
mit der Organisationseinheit Verkauf. Sie speichern die .msi-Datei der
Anwendung in einem freigegebenen Ordner im Netzwerk. Anschließend
konfigurieren sie im Bereich Benutzerkonfiguration der Gruppenrichtlinie
die Verteilung der Anwendung.
Es ist sicherzustellen, dass die Anwendung nach der Anmeldung eines
Benutzers an einem Clientrechner sofort betriebsbereit ist. Außerdem
müssen Sie verhindern, dass Benutzer, deren Benutzerkonto in eine
andere Organisationseinheit verschoben wird, die Anwendung weiterhin
nutzen können.
- 115 -
A

Zugewiesen.
B

Anwendung deinstallieren, wenn sie außerhalb des
Verwaltungsbereichs liegt.
C

Anwendung bei Anmeldung installieren.
D

Einfach.
E

Veröffentlicht.
F

Paket in der Systemsteuerung unter „Software“
nicht anzeigen.
G

Maximum.
- 116 -
Frage 81
Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Die
Firma hat Büros in Veilsdorf, Riesa und Puchheim. Die
Netzwerkverbindungen werden im folgenden Schaubild gezeigt:
Das Netzwerk besteht aus zwei Active Directory-Domänen.
Benutzerobjekte für Benutzer in Veilsdorf und Riesa werden in der
Domäne EISSNER-EDV.DE gespeichert, Benutzerobjekte für die Benutzer
in Puchheim in der Domäne PRODUKTION.EISSNER-EDV.DE. Active
Directory ist wie folgt konfiguriert:
Standort
Anzahl der
Benutzer
Anzahl der
Anzahl der
Domänencontroller Katalogserver
Veilsdorf
650
4
2
Riesa
15
1
0
Puchheim
500
3
2
Benutzer aus dem Büro Riesa berichten häufig, dass sie sich nicht an das
Netzwerk anmelden können bzw. die Anmeldung sehr lange dauert. Sie
stellen eine Erhöhung der Abfragen des globalen Katalogsservers in
Veilsdorf während der Spitzenanmeldezeiten fest.
- 117 -
A
{
Sie konfigurieren den Domänencontroller in Riesa als
einen globalen Katalogserver.
B
{
Sie konfigurieren Active Directory so, dass die
Zwischenspeicherung der universellen
Gruppenmitgliedschaft für das Büro in Veilsdorf aktiviert
wird.
C
{
Sie installieren einen zusätzlichen Domänencontroller im
Büro in Riesa.
D
{
Gruppenmitgliedschaft für das Büro Riesa aktiviert wird.
- 118 -
Frage 82
Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne.
Das Netzwerk enthält zehn Server, auf denen Windows Server 2003 und
500 Clientrechner auf denen Windows XP Professional läuft.
Sie erstellen eine Gruppenrichtlinie (GPO), die das Startmenü für die
Benutzer zu einem freigegebenen Ordner auf einem Dateiserver umleitet.
Einige Benutzer berichten, dass viele Programme, die sich normalerweise
im Startmenü befinden, fehlen.
Sie melden sich an einem Clientrechner mit der Bezeichnung »FDECLI01«
an. Alle erforderlichen Programme erscheinen im Startmenü. Die Benutzer
können sich mit dem freigegebenen Ordner verbinden. Sie vermuten, dass
die Änderung der Gruppenrichtlinie an einigen Clients nicht übernommen
wurde.
Sie müssen herausfinden warum einige Startmenüeinträge für einige
Benutzer nicht erscheinen.
A
{
Sie führen auf dem Dateiserver, der den freigegebenen
Ordner enthält, den Befehl gpresult aus.
B
{
Sie führen auf einem der betreffenden Clients den Befehl
gpresult aus.
C
{
gpupdate aus.
D
{
secedit aus.
- 119 -
Frage 83
der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows
Server 2003.
MVS hat ein Haupt- und vier Zweigbüros. Jedes Zweigbüro ist über eine
WAN-Verbindung mit dem Hauptbüro verbunden. Sie konfigurieren einen
Active Directory-Standort für jedes Büro. Die Standorte und WANVerbindungen werden im folgenden Schaubild dargestellt:
Sie müssen Standortverknüpfungen erstellen, um den Replikationsverkehr
über die WAN-Verbindungen zu minimieren.
Welche Standortverbindung/en müssen Sie erstellen?
(Verschieben Sie die verwendete/n Standortverbindung/en zur richtigen
Position auf der Arbeitsfläche, um zu antworten.)
- 120 -
- 121 -
Frage 84
der Bezeichnung MVSNET.DE. Die Domäne beinhaltet drei Standorte mit
den Bezeichnungen Standort 1, Standort 2 und Standort 3.
Die Standortverknüpfungen zwischen den Standorten sind so konfiguriert,
dass Standort 1 mit Standort 3 über Standort 2 verbunden ist. Die
Konfiguration der Standortverknüpfungen wird in der folgenden Tabelle
gezeigt:
Standortverknüpfung
Replikationsplan
Replikationsintervall
Kosten
Standort 1 – Standort 2
01:00 – 06:00 Uhr
60 Minuten
200
20:00 – 01:00 Uhr
30 Minuten
500
Alle Benutzer- und Gruppenkonten werden von den
Netzwerkadministratoren in Standort 1 verwaltet.
Benutzer von Standort 3 berichten, dass es länger als einen Tag dauert,
bis Änderungen in der Active Directory-Datenbank von Standort 1 auf dem
Domänencontroller von Standort 3 angezeigt werden. Sie sollen
sicherstellen, dass Änderungen in der Active Directory-Datenbank von
Standort 1 zwischen 08:00 und 18:00 Uhr am nächsten Tag um 08:00 Uhr
in Standort 3 sichtbar sind.
A
{
Sie modifizieren das Replikationsintervall für die
Standortverbindung zwischen Standort 1 und Standort 2
auf 30 Minuten.
B
{
Sie modifizieren den Replikationszeitplan für die
so, dass zwischen 18:00 und 01:00 Uhr repliziert wird.
C
{
Sie modifizieren die Standortverbindungskosten zwischen
Standort 2 und Standort 3 auf 200.
D
{
Standortverbindungen zwischen Standort 1 und Standort
2 so, dass zwischen 19:00 und 02:30 Uhr repliziert wird.
- 122 -
Frage 85
Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Das
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit einer Domäne. Die Firma unterhält ein Hauptbüro und
ein Zweigbüro in Veilsdorf. Außerdem existieren weitere Zweigbüros in
Puchheim, Riesa und Erfurt.
Die Administratoren des Hauptbüros sind für das Verwalten aller Objekte
der Domäne verantwortlich. Die Administratoren der Zweigbüros
verwalten nur die Benutzer- und Computerkonten der Angestellten in
ihrem jeweiligen Büro. Im Zweigbüro Veilsdorf sind die Administratoren
zusätzlich für die Benutzer- und Computerkonten der Angestellten des
Hauptbüros verantwortlich.
Diese Benutzer sollen als eine Einheit verwaltet werden. Sie legen fest,
dass die Administratoren nur Änderungen an den Objekten vorzunehmen
dürfen, für die sie auch verantwortlich sind. Sie müssen einen
Strukturplan für den Einsatz von Organisationseinheiten erstellen, der die
Delegierung der benötigten Berechtigungen erlaubt. Dieses Ziel soll mit
einem Minimum an administrativem Aufwand erreicht werden.
Welche Struktur für den Einsatz der Organisationseinheiten müssen Sie
wählen?
- 123 -
A
{
B
{
C
{
- 124 -
D
{
- 125 -
Frage 86
Sie sind Netzwerkadministrator der MVS M. Völk Systems. Die Firma hat
eine Partnergesellschaft mit dem Namen EDV-Beratung Eissner. Das
Firmennetzwerk von MVS besteht aus einer einzelnen Active DirectoryGesamtstruktur. Die Gesamtstruktur enthält eine Domäne mit der
Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows
Server 2003.
Das Firmennetzwerk der EDV-Beratung Eißner besteht aus einer Windows
NT 4.0-Domäne mit der Bezeichnung EISSNER-EDV.DE.
Ein Dateiserver mit der Bezeichnung »MVSDC001« ist Mitglied der
Domäne MVSNET.DE. Alle Benutzer beider Domänen müssen täglich
Dateien auf »MVSDC001« speichern.
Sie müssen den Benutzern der Domäne EISSNER-EDV.DE den Zugriff auf
die Dateien von »MVSDC001« gewähren. Sie müssen sicherstellen, dass
die Domänenadministratoren der Domäne EISSNER-EDV.DE den
Benutzern der Domäne MVSNET.DE keine Berechtigungen auf Server der
Domäne EISSNER-EDV.DE geben können.
A
{
Sie führen ein Upgrade der Domäne EISSNER-EDV.DE auf
Windows Server 2003 durch und machen diese Domäne
zur Stammdomäne eines zweiten Zweiges in der
existierenden Gesamtstruktur.
B
{
zur Stammdomäne einer neuen Gesamtstruktur. Sie
erstellen eine Zweiwegvertrauensstellung.
C
{
Sie erstellen eine externe Einwegvertrauensstellung, in
der die Domäne MVSNET.DE der Domäne EISSNEREDV.DE vertraut.
D
{
der die Domäne EISSNER-EDV.DE der Domäne
MVSNET.DE vertraut.
- 126 -
Frage 87
der Bezeichnung EISSNER-EDV.DE. Die Firma hat ein Hauptbüro in
Veilsdorf und Zweigbüros in Puchheim und Riesa. Im Hauptbüro befinden
sich die Verkaufsabteilung und die Marketingabteilung. Der Bereich ITMaster der Firma ist für die ganze Domäne verantwortlich. Jedes Büro hat
eine IT-Abteilung, die für die Administration der Benutzerkonten
verantwortlich ist. Zusätzlich hat der Bereich IT-Master des Hauptbüros
einen Administrator für das Verwalten der Verkaufsabteilung und einen
Administrator für das Verwalten der Marketingabteilung.
Sie müssen eine Organisationseinheitenstruktur planen. Dabei sollen
Administratoren nur Verwaltungszugriff auf Objekte erhalten, für die sie
auch verantwortlich sind. Außerdem muss der Plan sicherstellen, dass
Berechtigungen mit minimalem administrativem Aufwand eingerichtet
werden können.
Welche Organisationseinheitenstruktur müssen Sie wählen?
- 127 -
A
{
B
{
C
{
- 128 -
D
{
- 129 -
Frage 88
Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne. Auf
allen Servern läuft Windows Server 2003.
Sie erstellen eine Gruppenrichtlinie (GPO), um eine Grafikanwendung
mittels einer .msi Datei zu veröffentlichen. Die neue Grafikanwendung soll
die alte Software ersetzen. Die derzeitigen Benutzer können die alte
Anwendung weiterhin benutzen oder mit der neuen Anwendung arbeiten,
wann immer sie wollen.
Um Inkompatibilitäten zu vermeiden, dürfen nicht beide Versionen zur
gleichen Zeit installiert sein. Sie müssen die Benutzerkonten so
konfigurieren, dass die Benutzer bei Bedarf zu der neuen Anwendung
wechseln können.
A
{
Sie erstellen eine neue Gruppenrichtlinie, um die neue
Anwendung zu veröffentlichen. Danach konfigurieren Sie
die neue Gruppenrichtlinie so, dass sie eine höhere
Priorität hat, als die Gruppenrichtlinie für die alte
Anwendung.
B
{
Anwendung zuzuweisen. Danach deaktivieren Sie die
Gruppenrichtlinie, die die alte Anwendung installiert.
C
{
Anwendung zu veröffentlichen. Sie konfigurieren die
Gruppenrichtlinie so, dass die existierende Anwendung
aktualisiert und durch die neue Anwendung ersetzt wird.
Sie legen dies jedoch nicht als Bedingung fest.
D
{
Sie kopieren die .msi-Datei für die neue Anwendung in
den gleichen Ordner, in der sich die .msi-Datei der alten
Anwendung befindet.
- 130 -
Frage 89
sind für Verteilung und Konfiguration von Anwendungen unter
Verwendung von Gruppenrichtlinien (GPO) verantwortlich. Das
der Bezeichnung EISSNER-EDV.DE. Auf jedem Server läuft Windows
Server 2003. Alle Benutzerkonten befinden sich in einer
Organisationseinheit (OU) mit der Bezeichnung Konten. Die Clientrechnern
verwenden als Betriebssystem Windows XP Professional und befinden sich
in einer Organisationseinheit mit der Bezeichnung Workstations.
Alle Manager der Firma müssen eine Managementsoftware verwenden. Die
Anwendung wird als Link via E-Mail an die Personen versendet, die sie
benötigen. Die Manager benötigen diese Anwendung unabhängig vom
jeweiligen Rechner, an dem sie arbeiten.
Ein aktuelles Softwareupdate für diese Anwendung ist eingetroffen. Sie
müssen das Update auf jedem Rechner einsetzen, auf dem die Anwendung
bereits installiert ist.
A
{
Sie konfigurieren eine Gruppenrichtlinie so, dass das
Softwareupdate unter Verwendung der WMI-Filterung
installiert wird. Sie verbinden die Gruppenrichtlinie mit
der Organisationseinheit Konten.
B
{
Softwareupdate installiert wird. Sie verbinden die
Workstations.
C
{
Sie erstellen eine .zap-Datei für das Softwareupdate und
konfigurieren eine Gruppenrichtlinie, um die .zap-Datei zu
installieren. Sie verbinden die Gruppenrichtlinie mit der
Organisationseinheit Konten.
D
{
Sie konfigurieren eine Gruppenrichtlinie so, dass
Automatische Updates aktiviert sind und das
Workstations.
- 131 -
Frage 90
2003. Alle Clientrechner arbeiten mit Windows XP Professional.
Angestellte verwenden Software auf ihren Clientrechnern und außerdem
die Remotedesktopverbindung, um sich mit einem Terminalserver mit der
Bezeichnung »MVSTK001« zu verbinden. Alle Benutzer von MVS haben
Benutzerkonten, die sich in einer Organisationseinheit mit der
Bezeichnung Firmenbenutzer befinden. Sie bekommen Anwendungen über
eine Gruppenrichtlinie (GPO) zugewiesen, die mit der Organisationseinheit
Firmenbenutzer verbunden ist. Die Gruppenrichtlinie verwendet
Sicherheitsfilterung, um festzulegen, welche Sicherheitsgruppe welche
Anwendung erhält.
Benutzer berichten, dass, wenn sie auf »MVSTK001« zugreifen, ihre
zugewiesenen Anwendungen nicht verfügbar sind. Sie müssen das
Netzwerk so konfigurieren, dass alle Anwendungen für die Benutzer
verfügbar sind, wenn sie sich mit »MVSTK001« verbinden. Außerdem ist
sicherzustellen, dass die Benutzer keine Anwendung ausführen können,
die momentan nicht auf sie zugewiesen ist.
A
{
Sie ändern die Gruppenrichtlinie, die die
Softwareinstallationspakete enthält, so, dass diese an die
Benutzer veröffentlicht werden.
B
{
Softwareinstallationspakete enthält, so, dass zugewiesene
Softwareinstallationspakete automatische bei der
Anmeldung installiert werden.
C
{
Sie installieren jegliche benötigte Software auf
»MVSTK001«. Danach verwenden Sie NTFSBerechtigungen, um festzulegen, welche
Sicherheitsgruppe Zugriff auf welche Anwendungen hat.
D
{
Sie verbinden die Gruppenrichtlinie, die die
Softwareinstallationspakete enthält, mit der Domäne,
nicht mit der Organisationseinheit.
- 132 -
Frage 91
der Bezeichnung EISSNER-EDV.DE.
Sie sind für die Konfiguration der Active Directory-Sicherheit zuständig.
Alle Gruppen der Domäne befinden sich in einer Organisationseinheit (OU)
mit Bezeichnung Gruppen. Es sollen Ressourcengruppen verwendet
werden, um Benutzern, die Mitglieder in Kontengruppen sind,
Berechtigungen zuzuweisen.
Die Abteilung Ressourcen soll nur die Mitgliedschaften der Kontengruppen
verwalten können. Der Abteilung Serversupport muss es möglich sein, nur
die Mitgliedschaften der Ressourcengruppen zu verwalten. Die Gruppe der
Domänenadmins soll alle Gruppen verwalten können.
Sie müssen die Organisationseinheitenstruktur so konfigurieren, dass die
entsprechenden Berechtigungen zur Verfügung stehen. Außerdem wollen
Sie das Ergebnis mit einem Minimum an administrativem Aufwand
erreichen.
(Verschieben Sie die entsprechende/n Organisationseinheit/en zu derden
richtigen Stelle/n im Arbeitsbereich.)
- 133 -
Frage 92
der Bezeichnung MVSNET.DE.
Die firmeninterne Administrationsrichtlinie verlangt, dass den
Supportangestellten das Zurücksetzen des Passwortes möglich sein muss.
Die Supportangestellten müssen die Passwörter aller Benutzerkonten,
ausgenommen der Mitglieder der globalen Gruppe Einkäufer, zurücksetzen
können. Die Supportangestellten dürfen jedoch keine weiteren
administrativen Rechte in der Domäne haben.
Alle Mitglieder der Gruppe der Domänenadmins befinden sich in einer
Organisationseinheit (OU) mit der Bezeichnung AdminsOU.
Alle Mitglieder der Gruppe Einkäufer befinden sich einer
Organisationseinheit mit der Bezeichnung EinkaufOU. Alle anderen
Benutzerkonten befinden sich in einer Organisationseinheit mit der
Bezeichnung AngestellteOU. Der relevante Teil des
Organisationseinheitendesigns der Domäne wird im folgenden Schaubild
gezeigt:
Sie müssen die Berechtigungen für die Supportangestellten entsprechend
der Administrationsrichtlinien konfigurieren.
- 134 -
A
{
Sie weisen der globalen Gruppe Support das Recht zum
Zurücksetzen von Passwörtern in der Organisationseinheit
AngestellteOU zu.
B
{
Verwalten von Benutzerkonten in der Organisationseinheit
AllUsersOU zu. Danach blocken Sie die Vererbung von
Berechtigungen für die Organisationseinheiten AdminsOU
und EinkaufOU.
C
{
AllUsersOU zu.
D
{
Verwalten von Benutzerkonten auf Domänenebene zu.
Danach nehmen Sie den Supportangestellten das Recht,
Passwörter in den Organisationseinheiten AdminsOU und
EinkaufOU zurückzusetzen.
- 135 -
Frage 93
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Es
existieren zwei Standorte in Puchheim und in Kronach. Die Firma installiert
eine Active Directory-Gesamtstruktur, die eine einzelne Domäne enthält.
Die Organisationsstruktur der Firma beinhaltet zwei Hauptabteilungen, mit
den Bezeichnungen Operatoren und Support. Die lokalen IT-Angestellten
eines jeden Standortes sind jeweils für den Benutzersupport ihres eigenen
Standortes verantwortlich, unabhängig davon, in welcher Abteilung sich
die Benutzer befinden. Der Forschungs- und Entwicklungsabteilung (F&E)
hat ihren eigenen IT-Support-Angestellten. Die F&E-Abteilung führt die
Supportaufgaben unabhängig vom Standort aus.
Sie müssen eine Organisationseinheitenstruktur planen, die die
Übertragung von administrativen Verwaltungsrechten erleichtert.
Welche Top-Level-Organisationseinheit/en sollten Sie erstellen?
(Verschieben Sie die verwendete/n Top-Level-Organisationseinheit/en zu
dem/den korrekten Standort/en im Arbeitsbereich, um zu antworten.)
- 136 -
Frage 94
Server 2003. Auf allen Domänencontrollern läuft Windows Server 2003.
Alle Domänencontroller werden jeden Freitagnachmittag 17:00 Uhr
komplett gesichert.
Das Active Directory-Objekt ist mit folgenden Eigenschaften konfiguriert:
Active Directory-Objekt Eigenschaft
Einstellung
garbageCollPeriod
15 Stunden
Tombstone-Ablaufzeit
5 Tage
An einem Montagmorgen löscht ein Netzwerkadministrator mehrere
Benutzerkonten der Domäne. Am Mittwochnachmittag um 17:00 Uhr fällt
ein Domänencontroller aus. Sie planen, die Active Directory-Datenbank
von einem Backup wiederherzustellen. Sie müssen sicherstellen, dass die
Verzeichnisdatenbank durch den Wiederherstellungsprozess nicht
beschädigt wird.
A
{
Sie erhöhen die Einstellung garbageCollPeriod um 5.
B
{
Sie vermindern die Einstellung garbageCollPeriod um 5.
C
{
Sie erhöhen die Einstellung Tombstone-Ablaufzeit um
5.
D
{
Sie vermindern die Einstellung Tombstone-Ablaufzeit
um 5.
- 137 -
Frage 95
der Bezeichnung EISSNER-EDV.DE. Die Domäne umfasst drei Standorte
mit den Bezeichnungen Veilsdorf, Puchheim und Riesa. Jeder Standort
enthält vier Domänencontroller und 100 Clientrechner. Ein Server im
Standort Puchheim hat die Bezeichnung »FDEDC001«. Alle DNS-Server
enthalten Active Directory-integrierte Zonen.
Andere Administratoren berichten, dass sie sich bei dem Versuch, die
Active Directorys zu administrieren, nicht mit »FDEDC001« verbinden
können. Außerdem berichten sie, dass es lokal an »FDEDC001« möglich
ist, diese Aufgaben durchzuführen.
Sie stellen fest, dass »FDEDC001« betriebsbereit ist und die Datei- und
Druckressourcen unter Verwendung von Hostnamen erreichbar sind.
Sie müssen sicherstellen, dass Administratoren die Active DirectoryAdministration auf »FDEDC001« durchführen können, ohne dafür lokalen
Zugriff zu diesem Server zu benötigen.
A
{
Sie erzwingen auf Server1 eine Registrierung der DNS–
Hosteinträge (A-Einträge).
B
{
Sie starten auf Server1 den netlogon-Dienst neu.
C
{
Sie installieren DNS auf »FDEDC001«.
D
{
Sie konfigurieren »FDEDC001« als einen lokalen
Brückenkopfserver für den Standort Puchheim.
- 138 -
Frage 96
Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur mit
einer einzelnen Domäne, mit der Bezeichnung EISSNER-EDV.DE. Das
Netzwerk enthält vier Windows Server 2003 Domänencontroller. Auf zwei
Windows Server 2003 Mitgliedsservern ist der DNS-Dienst installiert.
Sie entscheiden sich, eine neue Subdomäne SUB1.EISSNER-EDV.DE in der
Gesamtstruktur zu erstellen. Sie installieren Windows Server 2003 auf
einem neuen Rechner. Sie verbinden den Server mit der Domäne
EISSNER-EDV.DE. Der erste Domänencontroller, der in der Domäne
EISSNER-EDV.DE installiert wurde, fällt wegen eines Hardwarefehlers aus.
Sie prognostizieren die Dauer der Reparatur auf mehrere Tage. Sie
entscheiden sich, die Erstellung der neuen Subdomäne fortzusetzen. Sie
versuchen, den Mitgliedsserver zu einem Domänencontroller der Domäne
SUB1.EISSNER-EDV.DE hochzustufen.
Die Einrichtung des Domänencontrollers schlägt fehl. Sie erhalten folgende
Fehlermeldung:
Sie müssen den Fehler beheben, um die neue Domäne zu erstellen.
A
{
Sie konfigurieren die DNS-Clienteinstellungen auf dem
neuen Server so, dass er den DNS-Server der Domäne
EISSNER-EDV.DE verwendet.
B
{
Sie konfigurieren auf dem DNS-Server der Domäne
EISSNER-EDV.DE eine Zone mit der Bezeichnung
SUB1.EISSNER-EDV.DE.
C
{
Sie konfigurieren einen der anderen EISSNER-EDV.DEDomänencontroller so, dass er alle
Betriebsmasterfunktionen ausführt.
D
{
Sie konfigurieren einen der existierenden
Domänencontroller als einen globalen Katalogserver.
- 139 -
Frage 97
Firma hat Büros in Puchheim und Kronach. Das Firmennetzwerk besteht
aus einer einzelnen Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Die Domäne enthält sechs Domänencontroller, wie folgendes
Schaubild zeigt:
Die Büros in Puchheim und Kronach sind über eine IP-Standortverbindung
miteinander verbunden. Die sechs Domänencontroller sind wie folgt
konfiguriert:
Servername
Funktion
»MVSDC001«
Datei- und Druckserver
»MVSDC002«
Applikationsserver
»MVSDC003«
Routing- und RAS-Server
»MVSDC004«
»MVSDC005«
»MVSDC006«
Applikationsserver
Sie bemerken, dass in regelmäßigen Intervallen die CPU-Auslastung
einiger Datei- und Druckserver für eine gewisse Zeitspanne auf 100%
ansteigt. In dieser Zeit können die Server nicht auf Benutzeranfragen
reagieren. Sie bemerken, dass dieses Problem während der Active
Directory-Replikation auftritt. Sie müssen sicherstellen, dass die Dateiund Druckserver auch während der Active Directory-Replikation für
Benutzeranfragen verfügbar sind.
- 140 -
A
{
Sie erhöhen das Replikationsintervall der
Standortverbindung, die die zwei Büros verbindet.
B
{
Sie verringern das Replikationsintervall der
C
{
Sie konfigurieren »MVSDC001« und »MVSDC005« als
bevorzugte Brückenkopfserver.
D
{
- 141 -
Frage 98
einer einzelnen Domäne mit der Bezeichnung EISSNER-EDV.DE. Sie haben
ein Benutzerkonto mit der Bezeichnung EISSNER-EDV\admin erstellt, das
Mitglied der globalen Gruppe der Domänenadmins ist. Sie müssen eine
neue Subdomäne mit der Bezeichnung SUB1.EISSNER-EDV.DE in der
Gesamtstruktur erstellen. Sie installieren einen allein stehenden Windows
Server 2003 Rechner mit der Bezeichnung »FDEDC002«.
Sie verwenden den Active Directory-Installationsassistenten, um
»FDEDC002« zu einem Domänencontroller der neuen Domäne
heraufzustufen. Sie entscheiden sich, einen Domänencontroller für die
neue Subdomäne in einer existierenden Domäne zu erstellen. Sie geben
den Benutzernamen und das Passwort für EISSNER-EDV\admin ein. Sie
wählen EISSNER-EDV.DE als übergeordnete Domäne, und geben SUB1 als
den Namen für die Subdomäne ein.
Sie erhalten folgende Fehlermeldung:
- 142 -
Stellen Sie sicher, dass die neue Subdomäne erstellt werden kann.
A
{
Sie verwenden die Netzwerkreferenz eines Mitgliedes der
lokalen Administratorengruppe.
B
{
Sie fügen »FDEDC002« zur Domäne EISSNER-EDV.DE
hinzu und führen den Active DirectoryInstallationsassistenten aus.
C
{
Gruppe Organisations-Admins für die EISSNER-EDV.DEGesamtstruktur.
D
{
Gruppe Schema-Admins für die Gesamtstruktur von
MVSNET.DE
- 143 -
Frage 99
der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows
Server 2003. Alle Benutzerkonten der Forschungs- und
Entwicklungsbteilung befinden sich in der Organisationseinheit (OU) FEBenutzer.
Eine Gruppenrichtlinie (GPO) mit der Bezeichnung Benutzerrechte ist mit
der Domäne verbunden. Folgende Benutzereinstellungen sind in dieser
Gruppenrichtlinie aktiviert:
• Benutzerkonfiguration von Offlinedateien nicht zulassen
• Option Programme ändern und entfernen ausblenden
• Symbol Anzeige aus der Systemsteuerung entfernen
Sie müssen allen Benutzern der Organisationseinheit FE-Benutzer das
Entfernen von Programmen unter Verwendung des Tools Software in der
Systemsteuerung, erlauben. Die anderen Richtlinieneinstellungen sollen
weiterhin angewendet werden.
A
{
Sie aktivieren die Einstellung Richtlinienvererbung
deaktivieren in der Organisationseinheit FE-Benutzer.
B
{
Sie erstellen eine neue Gruppenrichtlinie, die die
Einstellung Option Programme ändern und entfernen
ausblenden deaktiviert.
C
{
Sie weisen den Benutzerkonten der Organisationseinheit
FE-Benutzer die Berechtigung Verweigern für den
Eintrag Gruppenrichtlinie übernehmen unter
Gruppenrichtlinie-Sicherheit zu.
D
{
Eintrag groupPolicyContainer erstellen unter
Organisationseinheit-Sicherheit zu.
- 144 -
Frage 100
2003 und auf allen Clientrechner Windows XP Professional.
Alle Dateiserver haben Computerkonten in einer Organisationseinheit (OU)
mit der Bezeichnung FirmenServer. Die Benutzerkonten aller Mitarbeiter
befinden sich in der Organisationseinheit FirmenBenutzer. Für alle
Benutzer und Administratoren wird der Ordner Eigene Dateien zu einem
freigegebenen Ordner auf einem Dateiserver mit der Bezeichnung
»MVSSRV01« weitergeleitet.
Die Firma möchte die Größe des Speicherplatzes, der von jedem Benutzer
verwendet werden darf, einschränken. Jeder Benutzer soll maximal 2
GByte Speicherplatz auf »MVSSRV01« bereitgestellt bekommen.
Sie müssen die Bereitstellung von Speicherplatz auf »MVSSRV01« für
jeden Benutzer auf 2 GByte begrenzen. Für Administratoren gilt diese
Begrenzung nicht.
A
{
Sie erstellen eine Gruppenrichtlinie (GPO), die mit der
Organisationseinheit FirmenBenutzer verbunden ist. Dann
aktivieren sie in der Gruppenrichtlinie
Datenträgerkontingente.
B
{
aktivieren sie in der Gruppenrichtlinie Profilgröße
beschränken für Benutzerprofile.
C
{
Organisationseinheit FirmenServer verbunden ist. Dann
D
{
aktivieren sie in der Gruppenrichtlinie eine
Standardzwischenspeichergröße für Offline-Dateien.
- 145 -
Frage 101
Firma betreibt ein Callcenter. Das Firmennetzwerk besteht aus einer
einzelnen Active Directory-Domäne mit der Bezeichnung EISSNEREDV.DE. Auf allen Servern läuft Windows Server 2003. Alle Clientrechner
sind Mitglieder der Domäne.
Die Rechner des Callcenters sind über eine Gruppenrichtlinie (GPO)
konfiguriert, sodass sie einen gemeinsamen, eingeschränkten Desktop
haben. Alle Computerkonten der Rechner im Callcenter befinden sich in
einer Organisationseinheit (OU) mit der Bezeichnung CallCenterRechner.
Callcenter-Benutzer besitzen Benutzerkonten in der Organisationseinheit
CallCenterAngestellte. Manager besitzen Benutzerkonten in der
Organisationseinheit ManagementBenutzer.
Sie verbinden eine Gruppenrichtlinie mit der Organisationseinheit
CallCenterRechner. Die derzeitigen Einstellungen werden im
Arbeitsbereich gezeigt. Alle Benutzer, die sich an diese Rechner anmelden,
erhalten den eingeschränkten Desktop. Als sich ein Manager anmeldet,
erhält dieser ebenfalls den eingeschränkten Desktop. Der eingeschränkte
Desktop hindert die Manager daran, Managementaufgaben durchzuführen.
Sie sollen sicherstellen, dass jeder Manager, der sich an einem Rechner im
Callcenter anmeldet, einen normalen, uneingeschränkten Desktop erhält.
Arbeitsbereich:
- 146 -
Gesamtstrukturübergreifende Benutzerprofile und
servergespeicherte Benutzerprofile zulassen
Deaktiviert
Gruppenrichtlinien zu Erkennung langsamer Verbindungen
Aktiviert
Protokollierung des Richtlinienergebnissatzes deaktivieren
Deaktiviert
Aktualisierung der Gruppenrichtlinien durch Benutzer
entfernen
Aktiviert
Generieren von Richtlinienergebnissatzdaten durch
interaktive Benutzer nicht zulassen
Aktiviert
Registrierungsrichtlinienverarbeitung
Deaktiviert
Verarbeitung von Richtlinien zur Internet-Explorer-Wartung
Deaktiviert
Softwareinstallations-Richtlinienverarbeitung
Deaktiviert
Ordnerumleitungs-Richtlinienverarbeitung
Deaktiviert
Skriptrichtlinienverarbeitung
Deaktiviert
Sicherheitsrichtlinienverarbeitung
Deaktiviert
IP-Sicherheitsrichtlinienverarbeitung
Deaktiviert
Verarbeitung von Richtlinien für Drahtlosnetzwerke
Deaktiviert
Richtlinienverarbeitung der EFS-Wiederherstellung
Deaktiviert
Datenträgerkontingent- Richtlinienverarbeitung
Deaktiviert
Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor
verwenden
Aktiviert
Welche Gruppenrichtlinieneinstellung sollten Sie ändern?
(Wählen Sie die passende Einstellung im Arbeitsbereich, um zu
antworten.)
A
{
servergespeicherte Benutzerprofile zulassen –
Deaktiviert.
B
{
Gruppenrichtlinien zu Erkennung langsamer
Verbindungen - Aktiviert.
C
{
Protokollierung des Richtlinienergebnissatzes
deaktivieren - Deaktiviert.
D
{
Aktualisierung der Gruppenrichtlinien durch
Benutzer entfernen - Aktiviert.
E
{
interactive Benutzer nicht zulassen – Aktiviert.
F
{
Registrierungsrichtlinienverarbeitung – Deaktiviert.
- 147 -
Frage 102
der Bezeichnung MVSNET.DE. Auf allen Servern ist Windows Server 2003
installiert. Die Domäne enthält insgesamt 300 Benutzer- und 325
Computerkonten.
Verschiedene Benutzer im Netzwerk benötigen unterschiedliche
Anwendungen, die aufgrund der jeweiligen Tätigkeit, bereitgestellt
werden. Jede Applikation liegt als .msi-Paket vor. Viele dieser
Anwendungen werden des öfteren aktualisiert.
Sie erhalten viele Supportanrufe von Benutzern, bei denen die Anwendung
erneut installiert werden muss, da die derzeitige Installation beschädigt
ist. Die Firma entscheidet, dass die Kosten für den Installationsvorgang
und die Bereitstellung dieser Applikationen zu hoch sind.
Sie müssen eine Technologie implementieren, die die Kosten für die
Verteilung der Benutzeranwendungen reduziert und zudem die Ausfallzeit
der Benutzer minimiert.
A
{
Sie konfigurieren Gruppenrichtlinien, um die
Anwendungen den jeweiligen Benutzerkonten zuzuweisen.
B
{
Sie installieren zusätzliche Server auf denen die
Installationsdienste im Netzwerk bereitgestellt werden.
C
{
Sie platzieren einen Server im Netzwerk, auf dem der
Software Update Service (SUS) läuft. Zudem
konfigurieren Sie eine Gruppenrichtlinie, um die Updates
für alle Clientrechner zu verteilen.
D
{
Sie installieren den Microsoft-Operations-Manager und
aktivieren SNMP auf den Clientrechnern.
- 148 -
Frage 103
der Bezeichnung MVSNET.DE. Das Netzwerk enthält zehn Server, auf
denen Windows Server 2003 läuft, und 500 Clientrechner, auf denen
Windows XP Professional, Windows 2000 Professional oder Windows NT4.0
läuft.
Die Rechtsabteilung verlangt, dass Sie alle Rechner im Netzwerk so
konfigurieren, dass bei der Anmeldung eines Benutzers eine
Anmeldenachricht angezeigt wird.
(Wählen Sie zwei Antworten.)
A

Sie benutzen gpedit.msc, um eine Gruppenrichtlinie zu
erstellen, die die geforderte Einstellung im Bereich
interaktive Anmeldung enthält. Sie verknüpfen die
Gruppenrichtlinie mit der Domäne.
B

Sie erstellen ein Anmeldeskript, um die Anmeldenachricht
anzuzeigen. Sie benutzen gpedit.msc, um eine
Gruppenrichtlinie zu erstellen, die mit der
Benutzerkonfiguration verknüpft ist, um das Skript bei der
Benutzeranmeldung zu starten.
C

Sie benutzen poledit.exe, um eine Systemrichtliniendatei
mit der Bezeichnung ntconfig.pol zu erstellen, die die
geforderte Einstellung enthält. Sie platzieren eine Kopie
dieser Datei in dem vorgesehenen Ordner auf dem
Domänencontroller.
D

Sie benutzen den Texteditor, um eine
Stapelverarbeitungsdatei mit der Bezeichnung
autoexec.bat zu erstellen, die die Anmeldenachricht
enthält. Diese Datei kopieren Sie in das Verzeichnis C:\
auf allen Rechnern.
- 149 -
Frage 104
Netzwerkstruktur wird im Schaubild gezeigt. Die Domänenfunktionsebene
beider Gesamtstrukturen ist Windows Server 2003. Alle drei Domänen
sind Windows Server 2003-Domänen.
Die Domäne EISSNER-EDV.DE enthält einen Computer mit der
Bezeichnung »FDESRV01«. Ein freigegebener Ordner auf »FDESRV01« hat
die Bezeichnung Freigabe1. Benutzer in einer Organisationseinheit (OU)
mit der Bezeichnung Konten in der SUB1.MVSNET.DE benötigen Zugriff
auf Freigabe1. Wenn jedoch die Benutzer der Organisationseinheit
Konten versuchen auf Freigabe1 zuzugreifen, erhalten Sie eine
Fehlermeldung, die aussagt, dass der Zugriff verweigert wurde.
Sie sollen sicherstellen, dass die Benutzer der Organisationseinheit Konten
Zugriff auf Freigabe1 haben.
- 150 -
A
{
Sie erstellen in der Domäne SUB1.MVSNET.DE eine
universelle Verteilungsgruppe, die alle Benutzer der
Organisationseinheit Konten enthält. Danach erstellen Sie
eine lokale Sicherheitsgruppe für Domänen in der
Domäne EISSNER-EDV.DE und erteilen dieser lokalen
Gruppe Zugriffsberechtigung auf die Freigabe
\\FDESRV01\Freigabe1. Sie nehmen die universelle
Verteilungsgruppe als Mitglied in die lokale
Sicherheitsgruppe für Domänen auf.
B
{
globale Sicherheitsgruppe, die alle Benutzer der
\\FDESRV01\Freigabe1. Sie nehmen die globale
Sicherheitsgruppe als Mitglied in die lokale
C
{
Sie erstellen einen freigegebenen Ordner in der
Organisationseinheit Konten für
\\FDESRV01\Freigabe1.
D
{
Sie erstellen eine einseitige externe Vertrauensstellung, in
der SUB1.MVSNET.DE der Domäne EISSNER-EDV.DE
vertraut.
- 151 -
Frage 105
der Bezeichnung EISSNER-EDV.DE. Drei Sicherheitsgruppen mit der
Bezeichnung Verwaltung, Planung und Management befinden sich in einer
Organisationseinheit mit der Bezeichnung Buchführung. Alle
Benutzerkonten dieser drei Gruppen befinden sich ebenfalls in der
Organisationseinheit Buchführung.
Sie erstellen eine Gruppenrichtlinie und verknüpfen diese mit der
Organisationseinheit Buchführung. Sie konfigurieren die Gruppenrichtlinie
im Bereich Benutzerkonfiguration so, dass die Option Anzeige
deaktiviert ist. Sie sollen folgende Ziele erreichen: Sie müssen
sichergehen, dass die Gruppenrichtlinie auf alle Benutzerkonten der
Gruppe Planung angewendet wird. Außerdem müssen Sie verhindern, dass
die Gruppenrichtlinie auf die Benutzerkonten der Gruppe Verwaltung
angewendet wird. Weiterhin sollen Sie verhindern, dass die
Gruppenrichtlinie auf die Benutzerkonten der Gruppe Management
angewendet wird, egal ob das Benutzerkonto ebenfalls Mitglied der
Gruppe Planung ist oder nicht.
- 152 -
A
{
Zugriffssteuerungslisten (DACL)-Einstellungen der
Gruppenrichtlinie und verweigern den Sicherheitsgruppen
Verwaltung und Management Lese- und Ausführrechte der
Gruppenrichtlinien. Sie modifizieren die DACLEinstellungen der Gruppenrichtlinie so, dass den
Benutzern beider Sicherheitsgruppen die Berechtigung
zum Lesen und Ausführen der Gruppenrichtlinien gegeben
wird.
B
{
Verwaltung und Management die Lese- und Ausführrechte
der Gruppenrichtlinien. Danach erstellen Sie eine neue
Sicherheitsgruppe mit der Bezeichnung Gemischt, in der
alle Benutzerkonten der Gruppe Verwaltung und die
spezifischen Benutzerkonten der Gruppe Management
enthalten sind. Sie modifizieren die DACL-Einstellungen
der Gruppenrichtlinie so, dass der Sicherheitsgruppe
Gemischt die Berechtigung zum Lesen und Ausführen der
Gruppenrichtlinien gegeben wird.
C
{
Gruppenrichtlinie und verweigern der Sicherheitsgruppe
Verwaltung das Lese- und Ausführrecht der
Gruppenrichtlinien. Außerdem modifizieren Sie die DACLEinstellungen der Gruppenrichtlinie so, dass die Gruppe
Authentifizierte Benutzer entfernt wird. Danach
modifizieren Sie die DACL-Einstellungen der
Gruppenrichtlinie so, dass die Gruppe Planung
hinzugefügt und ihr die Rechte zum Lesen und Ausführen
der Gruppenrichtlinien gegeben wird.
D
{
Gruppenrichtlinie, um der Sicherheitsgruppe Planung die
Leserechte zu verweigern und die Rechte zum Ausführen
der Gruppenrichtlinien zu geben. Danach modifizieren Sie
die DACL-Einstellungen der Gruppenrichtlinie so, dass der
Sicherheitsgruppe Management die Rechte zum Lesen und
Ausführen der Gruppenrichtlinien verweigert wird.
- 153 -
Frage 106
2003.
Eine firmeninterne Richtlinie von MVS verlangt, dass die administrativen
Passwörter alle 30 Tage geändert werden. Sie konfigurieren die
Sicherheitsrichtlinie der Domäne so, dass die Firmenrichtlinie durchgesetzt
wird. Eine Sicherheitsprüfung zeigt, dass das Passwort zur Anmeldung an
Domänencontrollern im Verzeichnisdienstewiederherstellungsmodus zehn
Monate alt ist.
Sie sollen sichergehen, dass alle Passwörter entsprechend der
firmeninternen Richtlinien geändert werden. Sie sollen diese Aufgabe ohne
Unterbrechung des Benutzerzugriffs lösen.
A
{
Sie starten jeden Domänencontroller im
Verzeichnisdienstewiederherstellungsmodus neu. Danach
benutzen Sie das Snap-In Computerverwaltung, um
das Kennwort für das Administratorenkonto
zurückzusetzen.
B
{
Sie benutzen das ntdsutil-Utility, um auf jedem
Domänencontroller das Administratorenpasswort für den
Verzeichnisdienstewiederherstellungsmodus
zurückzusetzen.
C
{
Sie konfigurieren die Sicherheitsrichtlinie der
Domänencontroller so, dass die firmeninternen Richtlinien
geltend gemacht werden.
D
{
Sie setzen das Administratorenpasswort zurück, indem Sie
Active Directory-Benutzer und -Computer benutzen.
- 154 -
Frage 107
Sie sind der Administrator der Domäne MVSNET.DE. Das Netzwerk ist wie
im folgenden Diagramm dargestellt konfiguriert:
Nachdem die Gesamtstrukturvertrauensstellung gelöscht wurde, stellen
Sie fest, dass die Mitgliedschaftslisten für einige der lokalen Gruppen der
Domäne nicht mehr stimmen. Als Sie sich die Mitgliedschaftslisten
anschauen, sehen Sie, dass sie Einträge enthalten, die nicht zuzuordnen
sind.
Sie sollen alle unbekannten Gruppen aus der Mitgliedschaftsliste für die
lokale Gruppe der Domäne löschen. Dieses Ziel soll mit einem Minimum an
administrativem Aufwand und ohne die Modifikation der
Zugriffsberechtigungen auf die Ressourcen in der MVSNET.DEGesamtstruktur erreicht werden.
- 155 -
A
{
Sie erstellen eine neue lokale Gruppe für Domänen.
Danach fügen Sie die benötigten globalen Gruppen der
MVSNET.DE-Gesamtstruktur in die lokale Gruppe der
Domäne hinzu. Sie geben der lokalen Gruppe der Domäne
die benötigten Berechtigungen. Anschließend löschen Sie
die originale lokale Gruppe der Domäne.
B
{
Sie erstellen erneut die Vertrauensstellung zwischen den
Gesamtstrukturen MVSNET.DE und EISSNER-EDV.DE.
Danach löschen Sie alle globalen Konten von EISSNEREDV.DE von der Mitgliedschaftsliste der lokalen Gruppe
der Domäne. Anschließend löschen Sie die
Vertrauensstellung zwischen beiden Gesamtstrukturen.
C
{
Sie prüfen alle verbleibenden Vertrauensstellungen.
Anschließend löschen Sie alle unbekannten Konten von
den lokalen Gruppen der Domäne.
D
{
Sie löschen alle betroffenen lokalen Gruppen der
Domäne. Anschließend erstellen Sie die Gruppen erneut.
Sie fügen die verwendeten globalen Gruppen der
MVSNET.DE-Gesamtstruktur zu den Gruppen hinzu. Sie
gewähren der lokalen Gruppe der Domäne die
notwendigen Berechtigungen.
- 156 -
Frage 108
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die zwei Domänen in vier Standorten enthält. Auf allen
Servern läuft Windows Server 2003.
Sie sind verantwortlich für die Administration der Domänencontroller in
einem der Standorte. Ihr Standort enthält vier Domänencontroller. Die
Festplatte, auf der die Active Directory-Datenbank liegt, ist auf dem
Domänencontroller »MVSDC002« ausgefallen. Sie ersetzen die Festplatte.
Sie müssen »MVSDC002« wiederherstellen. Dieses Ziel müssen Sie ohne
Beeinflussung existierender Active Directory-Datenbanken erreichen.
A
{
Sie führen eine nicht autorisierende Wiederherstellung
der Active Directory-Datenbank durch.
B
{
Sie führen eine autorisierende Wiederherstellung der
Active Directory-Datenbank durch.
C
{
Sie benutzen ntdsutil, um eine semantische
Datenbankanalye durchzuführen.
D
{
Sie benutzen ntdsutil, um den Befehl restore subtree
durchzuführen.
- 157 -
Frage 109
der Bezeichnung MVSNET.DE. Es existiert eine Organisationseinheit (OU)
mit der Bezeichnung DokVerwaltung. Die Organisationseinheit
DokVerwaltung enthält Benutzerkonten für Benutzer der Abteilung
Dokumentenverwaltung.
Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der
Organisationseinheit DokVerwaltung. Sie konfigurieren die
Gruppenrichtlinie so, dass eine Grafikanwendung veröffentlicht wird.
Einige Benutzer der Abteilung Dokumentenverwaltung berichten, dass die
Anwendung nicht im Startmenü verfügbar ist. Andere berichten, dass die
Anwendung erfolgreich installiert wurde, nachdem man auf ein Dokument
der Anwendung doppelt geklickt hat. Sie sollen sicherstellen, dass jeder
Benutzer der Organisationseinheit DokVerwaltung die Grafikanwendung
ausführen kann.
A
{
Sie unterweisen die Benutzer, bei denen Probleme
auftreten, dass diese den gpupdate-Befehl ausführen
sollen.
B
{
auftreten, dass diese das Programm installieren sollen,
indem sie in der Systemsteuerung die Option Neue
Software hinzufügen benutzen.
C
{
Sie führen das Tool Richtlinienergebnissatz auf den
Domänencontrollern im Netzwerk aus.
D
{
Sie führen den Befehl gpresult auf jedem Clientrechner
und Domänencontroller im Netzwerk aus.
- 158 -
Frage 110
Die EDV-Beratung Eißner fusioniert mit der Firma MVS. Sie müssen neue
Benutzerkonten für alle Angestellten von MVS erstellen. Das Format für
die E-Mail-Adressen aller Benutzer von MVS ist [email protected]. Die
Benutzer müssen ihre E-Mail-Adressen nach der Fusion weiter benutzen
können.
Um weniger Verwirrung zu erzeugen, sollen sich die Benutzer mit ihren EMail-Adressen an das Firmennetzwerk anmelden.
Sie sollen sicherstellen, dass sich die neuen Benutzer mit ihren E-MailAdressen anmelden können. Sie sollen diese Aufgabe mit dem geringsten
Kostenaufwand sowie mit einem Minimum an administrativem Aufwand
erreichen.
A
{
Sie erstellen in der Gesamtstruktur EISSNER-EDV.DE eine
neue Domäne mit der Bezeichnung MVSNET.DE. Danach
erstellen Sie für alle Benutzer der Domäne MVSNET.DE
Benutzerkonten.
B
{
Sie erstellen eine neue Gesamtstruktur mit der
Bezeichnung MVSNET.DE. Danach erstellen Sie für alle
Benutzer der Domäne MVSNET.DE Benutzerkonten.
Zudem erstellen Sie eine
Gesamtstrukturvertrauensstellung zwischen den beiden
Gesamtstrukturen.
C
{
Sie erstellen für jeden neuen Benutzer der Domäne
EISSNER-EDV.DE Benutzerkonten. Danach konfigurieren
Sie die E-Mail-Adressen der MVS-Benutzer als
[email protected].
D
{
Sie konfigurieren MVSNET.DE als ein zusätzliches UPNSuffix für die EISSNER-EDV.DE-Gesamtstruktur. Danach
konfigurieren Sie jedes Benutzerkonto so, dass es das
MVSNET.DE-Suffix benutzt.
- 159 -
Frage 111
der Bezeichnung MVSNET.DE. Für alle Benutzerkonten auf jedem Server
wird täglich eine Passwortrücksetzung durchgeführt. Die Windows Server
2003 Rechner »MVSDC001«, »MVSDC002« und »MVSDC003« sind wie
folgt konfiguriert:
An einem Mittwochmorgen verbindet sich ein anderer Administrator in
Kronach mit dem Server »MVSDC003« und löscht eine
Organisationseinheit (OU) mit der Bezeichnung KronachBenutzer. Die
Änderung wird auf alle Standorte der Gesamtstruktur repliziert. Benutzer
in Kronach berichten, dass sie sich nicht länger an das Netzwerk anmelden
können.
Sie sollen den Benutzern in Kronach die Anmeldung an das Netzwerk so
schnell wie möglich ermöglichen. Außerdem sollen Sie sicherstellen, dass
die Unterbrechung für die Benutzer in Puchheim und Veilsdorf auf ein
Minimum reduziert wird.
- 160 -
A
{
Sie stellen die Organisationseinheit KronachBenutzer auf
»MVSDC001« aus einem Backup wieder her. Sie benutzen
das ntdsutil-Utility um die Organisationseinheit als
autorisierend zu kennzeichnen. Danach führen Sie eine
Replikation durch.
B
{
»MVSDC002« aus einem Backup wieder her. Danach
führen Sie eine Replikation durch.
C
{
Sie stellen ntdsutil wieder her, um sich mit »MVSDC001«
zu verbinden. Sie verwenden den
Metadatenbereinigungsbefehl um »MVSDC003« von
Active Directory zu entfernen. Danach erzwingen Sie eine
Replikation.
D
{
Sie verwenden das ntdsutil-Utility auf »MVSDC003«, um
den Domänennamenkontext als autorisierend zu
kennzeichnen. Danach erzwingen Sie eine Replikation.
- 161 -
Frage 112
der Bezeichnung EISSNER-EDV.DE. In der Domäne ist eine
Organisationseinheit mit der Bezeichnung Buchführung vorhanden.
Der Benutzer Steffen arbeitet in der Buchhaltung. Das Benutzerkonto für
Steffen befindet sich in der Organisationseinheit Buchhaltung.
Sie erstellen drei Gruppenrichtlinien und verknüpfen diese mit der
Organisationseinheit Buchhaltung. Die drei Gruppenrichtlinien werden im
folgenden Schaubild gezeigt:
- 162 -
Sie starten das Tool Richtlinienergebnissatz im Protokollierungmodus
für das Benutzerkonto von Steffen. Das Ergebnis der Richtlinien, die sich
auf das Benutzerkonto Steffen beziehen, wird im folgenden Schaubild
gezeigt:
Sie sollen sicher gehen, dass das Desktopregister und das
Bildschirmschonerregister in der Anzeige deaktiviert sind.
A
{
Sie setzen die Gruppenrichtlinie Bildschirmschonerregister
einblenden in der Prioritätsliste der
Gruppenrichtliniendialogbox nach oben.
B
{
Gruppenrichtliniendialogbox nach unten.
C
{
Sie deaktivieren die Einstellung Richtlinienvererbung
deaktivieren der Organisationseinheit Buchführung.
D
{
Sie klicken auf die Schaltfläche Optionen in der
Buchführungseigenschaftendialogbox und aktivieren die
Einstellung Kein Vorrang… für die Gruppenrichtlinie
Desktopregister ausblenden.
- 163 -
Frage 113
der Bezeichnung MVSNET.DE. Im Netzwerk befinden sich zehn Dateiserver
auf denen Windows Server 2003 läuft. Alle Dateiserver befinden sich in
einer Organisationseinheit (OU) mit der Bezeichnung Server.
Sie stellen fest, dass ein Virus die Dateien auf den Dateiservern infiziert
hat. Sie verwenden eine Antivirusanwendung, die den Virus entfernt und
ein Patch installiert, damit der Virus keine Dateien wieder infizieren kann.
Das Programm sowie zugehörige Updates sind als .msi-Dateien verfügbar.
Die Dateiserver müssen online bleiben, da zurzeit Benutzer an
vertraulichen Projekten arbeiten.
Sie sollen sicherstellen, dass die Dateiserver vor Virenangriffen geschützt
sind. Diese Aufgabe soll mit einem Minimum an administrativem Aufwand
erfüllt werden.
Welche Option/en müssen Sie wählen, um das Ziel zu erreichen?
(Um die Frage zu beantworten, ziehen Sie die Option, die zuerst
ausgeführt werden soll, in das erste Aktionsfeld. Fahren Sie
dementsprechend mit den anderen Optionen fort, bis alle benötigten
Optionen in der richtigen Reihenfolge sind. Es kann sein, dass nicht alle
nummerierten Felder benutzt werden müssen.)
- 164 -
Frage 114
2003. Benutzerkonten der Finanzabteilung befinden sich in der
Organisationseinheit (OU) Finanz. Sie verwenden Gruppenrichtlinien, um
die Benutzerkonten zu verwalten.
Die Benutzer der Finanzabteilung benötigen eine neue Anwendung auf
ihren Rechnern. Einige Benutzer melden sich freiwillig, um die Anwendung
zu testen, bevor sie in der ganzen Abteilung installiert wird. Sie
konfigurieren eine Gruppenrichtlinie, um das Programm zu installieren. Sie
erstellen eine Gruppe mit der Bezeichnung TestUser in der
Organisationseinheit Finanz. Danach nehmen Sie die Benutzerkonten der
Testbenutzer in die Gruppe TestUser auf. Die Benutzerkonten der
Testbenutzer befinden sich ebenfalls in der Organisationseinheit Finanz.
Sie dürfen nur den Testbenutzern das Testen der Anwendung erlauben.
A
{
Sie weisen der Gruppe TestUser das Recht für die
Eigenschaft grouppolicyContainer erstellen der
Organisationseinheit Finanz zu.
B
{
Sie weisen der Gruppe TestUser Leserechte und das Recht
zum Anwenden von Gruppenrichtlinien für diese Richtlinie
zu. Sie entfernen das Recht zum Anwenden der
Gruppenrichtlinie für die Gruppe Authentifizierte Benutzer.
C
{
Sie geben der Gruppe TestUser das Recht zum Erstellen
eines Richtlinienergebnissatzes (Protokollmodus) für die
Organisationseinheit Finanz.
D
{
eines Richtlinienergebnissatzes (Planungsmodus) für die
- 165 -
Frage 115
Server 2003 und auf allen Clients Windows XP Professional.
Die Benutzerkonten haben lokale administrative Berechtigungen, sodass
jeder Benutzer Software installieren kann. Ein Supportteam unterstützt
die Endbenutzer dabei. Die Mitarbeiter des Supportteams sind alle
Mitglieder einer Gruppe mit der Bezeichnung Support. Sie erstellen eine
Gruppenrichtlinie, die den Benutzern das Ausführen des Registriereditors
mittels einer Hashregel in den Richtlinien für Softwareeinschränkung
verbietet.
Sie weisen diese Richtlinie allen Benutzerkonten der Domäne zu.
Mitglieder des Desktopsupportteams berichten, dass sie folgende
Fehlermeldung erhalten, wenn sie versuchen den Registriereditor
auszuführen:
Windows kann dieses Programm nicht öffnen, weil dies einer
Systemrichtlinie zufolge nicht zulässig ist. Öffnen Sie die
Ereignisanzeige oder wenden Sie sich an den
Systemadministrator, um weitere Informationen zu erhalten.
Sie sollen sicherstellen, dass nur das Supportteam den Registriereditor
ausführen kann.
A
{
Sie konfigurieren die Richtlinien für
Softwareeinschränkung so, dass sie für alle Benutzer
außer den lokalen Administratoren gilt.
B
{
Sie nehmen die Benutzer in die Gruppe der
Hauptbenutzer auf anstatt in die Gruppe der
Administratoren.
C
{
Sie benutzen ein Login-Skript, um den Registriereditor auf
Laufwerk C:\ zu kopieren. Danach weisen Sie den
Domänenadmins die Leseberechtigung zu.
D
{
Sie filtern die Richtlinien für Softwareeinschränkung,
sodass die Gruppe Support vom Ausführen der Richtlinie
ausgeschlossen ist.
- 166 -
Frage 116
der Bezeichnung MVSNET.DE. In der Domäne befinden sich zwei Windows
Server 2003 Domänencontroller mit den Bezeichnungen »MVSDC001« und
»MVSDC002«. Auf »MVSDC001« läuft DNS für die gesamte Domäne. Jede
Nacht werden Backups für die Systemstatusdateien auf jedem
Domänencontroller durchgeführt.
Eine Überspannung beschädigt beide Domänencontroller. Sie ersetzen
beide Domänencontroller durch zwei neue Rechner und spielen das
aktuellste Sicherungsband ein. Sie müssen die Active Directory-Domäne
wiederherstellen, indem Sie die Sicherungsbänder verwenden. Als erstes
sollen Sie den Namensauflösungsdienst wiederherstellen.
ausgeführt werden soll, in die Erste-Aktion-Box. Fahren Sie mit dem
Ziehen der Optionen fort, bis alle drei Aktionen zum wiederherstellen von
»MVSDC001« und alle drei Aktionen zum Wiederherstellen von
»MVSDC002« aufgelistet sind.)
- 167 -
Frage 117
Firmennetzwerk besteht aus einer einzelnen Windows 2003 Active
Directory-Domäne mit der Bezeichnung EISSNER-EDV.INTERN. Das
Netzwerk enthält 20 Server, auf denen Windows Server 2003 läuft, und
700 Clientrechner mit Windows XP Professional.
Alle Server befinden sich im Standardcomputercontainer. Alle
Clientrechner gehören zu einer Organisationseinheit (OU) mit der
Bezeichnung Clients. Alle Domänencontroller sind im Standardcontainer
für Domänencontroller organisiert. Die Namensauflösung und die IPAdressierung werden von DNS, WINS und DHCP kontrolliert.
Sie sollen sicher gehen, dass das DNS-Suffix in den Systemeigenschaften
aller Clients auf EISSNER-EDV.DE eingestellt ist.
A
{
Sie erstellen eine neue Gruppenrichtlinie und verknüpfen
diese mit der Organisationseinheit Clients. Danach stellen
Sie die Konfiguration des primären DNS-Suffixes auf
EISSNER-EDV.DE.
B
{
Sie modifizieren die Default Domain-Richtlinie. Danach
stellen Sie die Konfiguration des primären DNS-Suffixes
auf EISSNER-EDV.DE.
C
{
Sie definieren in den DHCP-Bereichsoptionen EISSNEREDV.INTERN als DNS-Domänennamen.
D
{
Sie definieren in den DHCP-Bereichsoptionen EISSNEREDV.INTERN als NIS-Domänennamen.
- 168 -
Frage 118
2003.
Michael arbeitet in der Verkaufsabteilung. Benutzerobjekte der Mitarbeiter
des Verkaufs werden in einer Organisationseinheit (OU) mit der
Bezeichnung Verkauf gespeichert. Als Michael in eine andere Abteilung
versetzt wurde, ist sein Benutzerkonto gelöscht worden. Einige Wochen
später wird Michael in die Verkaufsabteilung zurückversetzt.
Sie erstellen ein neues Benutzerkonto in der Organisationseinheit Verkauf
und gewähren dem Konto Zugriff auf die Verkaufsressourcen. Als Michael
versucht, auf eine der 1000 Dateien zuzugreifen, die er vor seiner
Versetzung erstellt hat, erhält er folgende Fehlermeldung: Zugriff
verweigert. Er berichtet, dass er diese Fehlermeldung bei allen 1000
Dateien in 150 unterschiedlichen Ordnern erhält.
Sie sollen Michael den Zugriff auf die Dateien, die er vor seiner ersten
Versetzung erstellt hat und die er nach seiner Rückversetzung erstellen
wird, ermöglichen. Diese Aufgabe sollen Sie ohne Beeinflussung anderer
Benutzer im Netzwerk lösen.
A
{
Sie verschieben Michaels existierendes Konto in eine neue
Organisationseinheit. Sie stellen die Organisationseinheit,
die Michaels vorheriges Konto enthielt, nicht autorisierend
wieder her.
B
{
Sie stellen Michaels altes Konto nicht autorisierend wieder
her. Sie erzwingen eine Active Directory-Replikation.
C
{
Sie stellen Michaels altes Konto autorisierend wieder her.
Sie erzwingen eine Active Directory-Replikation.
D
{
Sie benennen Michaels existierendes Konto um. Danach
stellen Sie Michaels altes Konto autorisierend wieder her.
- 169 -
Frage 119
Server 2003.
Die Firmenleitung legt fest, dass fünf Windows XP Professional Rechner in
einem öffentlichen Bereich für Besucher verfügbar sein sollen. Diese
Rechner sollen nur zum Surfen auf öffentlichen Webseiten verwendet
werden, sodass ein Webbrowser die einzige Anwendung auf den Rechnern
sein wird.
Sie nehmen die Rechner in die Active Directory-Domäne auf, erstellen eine
neue Organisationseinheit (OU) mit der Bezeichnung Eingeschränkte
Rechner und platzieren die fünf Computerkonten in dieser
Organisationseinheit. Sie konfigurieren die Rechner so, dass jedes Mal,
wenn ein Rechner hochgefahren wird, sich automatisch ein Benutzer mit
der Bezeichnung Eingeschränkter Benutzer anmeldet. Das Konto
Eingeschränkter Benutzer hat weder auf den Rechnern noch auf der
Domäne administrative Rechte.
Sie müssen die fünf Rechner so konfigurieren, dass auf öffentliche
Webseiten, jedoch nicht auf andere Anwendungen zugegriffen werden
kann. Diese Einschränkungen soll andere Benutzer oder Rechner im
Netzwerk nicht betreffen.
Was sind zwei mögliche Wege das Ziel zu erreichen? Was müssen Sie tun?
(Jede richtige Antwort stellt eine komplette Lösung dar. Wählen Sie zwei.)
- 170 -
A

Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen
diese mit der Domäne. Danach konfigurieren Sie die
Benutzerkonfiguration der Gruppenrichtlinie so, dass nur
der Internet Explorer ausgeführt werden kann.
Anschließend konfigurieren Sie die Computerkonfiguration
der Gruppenrichtlinie so, dass der
Loopbackverarbeitungsmodus aktiviert ist.
B

diese mit der Organisationseinheit Eingeschränkte
Rechner. Danach konfigurieren Sie die
Anschließend konfigurieren Sie die Gruppenrichtlinie so,
dass es nur auf das Konto Eingeschränkte Benutzer
angewendet wird.
C

Rechner. Sie konfigurieren die Gruppenrichtlinie so, dass
sie alle Benutzer der lokalen Gastgruppe der fünf
Windows XP Rechner enthält.
D

dass diese nur auf das Konto Eingeschränkter Benutzer
angewendet wird.
E

Sie erstellen eine Gruppenrichtlinie (GPO) und verbinden
- 171 -
Frage 120
2003.
Sie planen die Implementierung neuer Gruppenrichtlinien (GPOs).
Die Buchführungs- und die Forschungsabteilung haben jeweils eine eigene
Organisationseinheit (OU). Die Buchführungsabteilung unterteilt sich in die
Abteilungen Kreditoren und Debitoren. Die Organisationseinheit
Buchführung enthält somit die Organisationseinheiten Kreditoren und
Debitoren. Benutzerkonten befinden sich in den Organisationseinheiten
Buchführung, Kreditoren, Debitoren und Forschung.
Die Buchführungsabteilung besitzt eine Buchführungsanwendung, die auf
allen Rechnern, die von Benutzern der Buchführung verwendet werden,
installiert sein muss. Außerdem wollen Sie vermeiden, dass die
Buchführungsanwendung auf Rechner von anderen Benutzern installiert
wird. Sie planen die Erstellung einer Gruppenrichtlinie mit der
Bezeichnung Software, um die Buchführungsanwendung zu installieren.
Die Benutzerkonten der Forschungsabteilung müssen Passwörter mit
mindestens acht Zeichen Länge besitzen. Zudem müssen die Passwörter
alle 30 Tage geändert werden. Es gibt keine spezifischen
Passwortanforderungen für alle anderen Benutzer der Domäne
MVSNET.DE.
Sie planen die Erstellung einer Gruppenrichtlinie mit der Bezeichnung
Passwort, um das Minimum der Passwortlänge und das Passwortalter zu
konfigurieren. Sie müssen sich für die richtige Platzierung der
Gruppenrichtlinien Passwort und Software entscheiden, während die
Anmeldezeiten für die Benutzer an die Domäne minimiert werden.
Womit sollten Sie die Gruppenrichtlinien Passwort und Software
verknüpfen?
- 172 -
- 173 -
Frage 121
Server 2003. Alle Server, die nicht als Domänencontroller fungieren,
befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung
Server. Alle Benutzerkonten befinden sich in einer Organisationseinheit
mit der Bezeichnung Konten.
Die Abteilung Krankenversicherung besitzt Server, die medizinische
Einträge von Kunden speichern. Diese Server enthalten Informationen, die
ständig überwacht werden müssen. Ein Prüftool, das nicht von Microsoft
stammt, ist auf diesen Servern zur Überwachung der
Kundeninformationen installiert. Nur eine kleine Anzahl lokaler
Benutzerkonten hat auf jedem Server Zugriff auf die zu prüfenden
Informationen.
Aus rechtlichen Gründen muss die Krankenversicherungsabteilung ihre
Kontosperrungs- und Kennworteinstellungen für die lokalen
Benutzerkonten auf den Servern ändern. Sie müssen sicherstellen, dass
die Server die Sicherheitsanforderungen weiterhin erfüllen. Sie wollen
diese Aufgabe mit dem Minimum an administrativen Aufwand erfüllen.
- 174 -
A
{
Sie erstellen eine neue Domäne unterhalb der Domäne
EISSNER-EDV.DE. Anschließend nehmen Sie die Server
als Mitglieder der neuen Domäne auf. Sie erstellen eine
Gruppenrichtlinie (GPO), die die Kontosperrungs- und
Kennworteinstellungen enthält. Sie verbinden die
Gruppenrichtlinie mit der neuen Domäne.
B
{
EISSNER-EDV.DE. Anschließend nehmen Sie die
Benutzerkonten der Krankenversicherungsabteilung als
Mitglieder der neuen Domäne auf. Sie erstellen eine
C
{
Sie erstellen eine neue Organisationseinheit unterhalb der
Organisationseinheit Server. Anschließend nehmen Sie die
Server als Mitglieder der neuen Organisationseinheit auf.
Sie erstellen eine Gruppenrichtlinie (GPO), die die
Kontosperrungs- und Kennworteinstellungen enthält. Sie
verbinden die Gruppenrichtlinie mit der neuen
Organisationseinheit.
D
{
Sie erstellen eine neue Organisationseinheit unter der
Organisationseinheit Konten. Anschließend nehmen Sie
die Server als Mitglieder der neuen Organisationseinheit
auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die
- 175 -
Frage 122
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine einzelne Domäne mit der Bezeichnung
MVSNET.DE enthält. Es sind unter anderem die Organisationseinheiten
(OUs) Servicepersonal und Domänenadmins in der Domäne vorhanden.
Auf allen Clientrechnern läuft Windows XP Professional. Alle
Clientrechnerkonten befinden sich in der Organisationseinheit MVS
Rechner. Ihr Benutzerkonto ist Mitglied der Sicherheitsgruppe DomänenAdmins. Alle Benutzerkonten der Sicherheitsgruppe Domänen-Admins
befinden sich in der Organisationseinheit Domänenadmins.
Alle Benutzer des Servicepersonals besitzen Benutzerkonten, die Mitglied
in der Sicherheitsgruppe SrvDeskGrp sind. Alle Benutzerkonten dieser
Gruppe befinden sich in der Organisationseinheit Servicepersonal. Sie
verwenden die Gruppenrichtlinienmanagementkonsole, um eine
Gruppenrichtlinie mit der Bezeichnung Install Admin Tools, zu erstellen.
Sie konfigurieren die Gruppenrichtlinie wie folgt:
Sie erstellen ein Softwareinstallationspaket, das das Windows Server 2003
Administrationstool-Paket (adminpak.msi) den Benutzern zuweist.
Sie verknüpfen die Gruppenrichtlinie mit der Organisationseinheit IT
Benutzer.
Sie entfernen die vordefinierte Gruppe Authentifizierte Benutzer aus der
Liste der Benutzer und Gruppen, die für die Gruppenrichtlinie
Berechtigungen haben.
Sie geben der Sicherheitsgruppe SrvDeskGrp Berechtigung zum Lesen der
Gruppenrichtlinie.
Benutzer des Servicepersonals berichten, dass das administrative Tool,
das zum Arbeiten benötigt wird, nicht installiert ist. Sie verwenden die
Gruppenrichtlinienmanagementkonsole, um den Verlauf der
Gruppenrichtlinienanwendung von einem betroffenen Benutzer zu
untersuchen. Wenn Sie sich an einen Rechner anmelden, der
normalerweise von einem Servicepersonal-Benutzer verwendet wird, sind
automatisch alle administrativen Tools verfügbar.
Sie müssen sicherstellen, dass administrative Tools für alle Benutzer, die
Konten in der Organisationseinheit IT Benutzer haben, über
Gruppenrichtlinien installiert werden können, ohne dass die
administrativen Berechtigungen der Benutzer erhöht werden.
- 176 -
A
{
Sie verbinden die Gruppenrichtlinie Install Admin Tools
mit der Organisationseinheit Servicepersonal. Sie
verschieben die Computerkonten der Rechner, die von
den Benutzern des Servicepersonals verwendet werden,
in die Organisationseinheit Servicepersonal.
B
{
Sie ändern die Sicherheitsfilterung der Gruppenrichtlinie
Install Admin Tools so, dass die Sicherheitsgruppe
SrvDeskGrp die Richtlinie anwenden kann.
C
{
Sie verschieben die Sicherheitsgruppe SrvDeskGrp in die
Organisationseinheit Domänenadmins.
D
{
Sie modifizieren die Gruppenrichtlinie so, dass das
Administrationstoolpaket den Computern, und nicht den
Benutzern, zugewiesen wird.
- 177 -
Frage 123
implementieren eine neue Windows Server 2003-Netzwerkumgebung. Sie
installieren die Stammdomäne einer Active Directory-Gesamtstruktur mit
der Bezeichnung EISSNER-EDV.DE. Anschließend installieren Sie den
ersten Domänencontroller mit der Bezeichnung »FDEDC001«. Sie
konfigurieren »FDEDC001« als DHCP-Server und als einen Active
Directory-integrierten DNS-Server mit dynamischen Updates. Später
installieren Sie einen weiteren Domänencontroller mit der Bezeichnung
»FDEDC002«.
Sie können die Domänenfunktionsebene nicht auf Windows Server 2003
erhöhen. Sie stellen fest, dass die SRV-Einträge von »FDEDC001« in der
EISSNER-EDV.DE-Zone auf dem DNS-Server nicht vorhanden sind.
Sie führen das Tool dcdiag auf »FDEDC001« aus und erhalten folgendes
Ergebnis:
Sie müssen die Domänenfunktionsebene auf Windows Server 2003
erhöhen können.
- 178 -
A
{
Sie konfigurieren »FDEDC002« zu einem globalen
Katalogserver.
B
{
Sie verwenden das Utility DHCP-Server Lokator, um
herauszufinden, welche DHCP-Server in der EISSNEREDV.DE-Zone verfügbar sind.
C
{
Sie starten den Netlogon-Dienst auf »FDEDC001«.
D
{
Sie starten den DNS-Server-Dienst auf »FDEDC001« neu,
um den DNS-Clients das Auflösen der Hostnamen zu
ermöglichen, damit Namensabfragen und
Aktualisierungsanforderungen beantwortet werden.
- 179 -
Frage 124
Das Netzwerk enthält drei Windows Server 2003 Domänencontroller mit
den Bezeichnungen »FDEDC001«, »FDEDC002« und »FDEDC003«.
»FDEDC001« ist der Schemamaster und Domänennamenmaster.
»FDEDC002« ist RID-Master, »FDEDC003« fungiert als PDCEmulatormaster und Infrastrukturmaster.
»FDEDC002« fällt aus und lässt sich nicht mehr starten. Sie melden sich
als Administrator an »FDEDC003« an und übernehmen die RID-MasterFunktion. Später ist »FDEDC002« repariert und kann wieder online gehen.
Sie wollen, dass »FDEDC002« erneut die RID-Master-Funktion erhält.
A
{
Sie starten »FDEDC002« neu, während dieser mit dem
Netzwerk verbunden ist. Sie verwenden das Utility
ntdsutil und aktivieren die RID-Master-Funktion.
Anschließend verbinden Sie »FDEDC002« erneut mit dem
Netzwerk.
B
{
Sie starten »FDEDC002« neu, während dieser nicht mit
dem Netzwerk verbunden ist. Sie verwenden das Utility
Netzwerk.
C
{
Sie installieren Windows Server 2003 auf »FDEDC002«
neu. Anschließend stellen Sie den Systemstatus vom
aktuellsten Backup von »FDEDC002« wieder her. Danach
verbinden Sie »FDEDC002« erneut mit dem Netzwerk.
D
{
neu. Dann stufen Sie »FDEDC002« zum
Domänencontroller hoch. Anschließend übertragen Sie die
RID-Master-Funktion auf »FDEDC002«.
- 180 -
Simulationen
- 181 -
Simulation 1
Sie sind der Administrator der Firma MVS M. Völk Systems. Das Netzwerk
besteht aus der Active Directory-Domäne MVSNET.DE mit einer auf
Geschäftsfunktionen basierende OU-Struktur. OUs auf erster Ebene sind
Consulting, Geschäftsleitung und Verlag. Diese beinhalten weitere Objekte
wie Benutzer und Computerkonten, Gruppen, Anwendungen und weitere
Organisationseinheiten. Für die Abteilung Verlag befinden sich die
Computerkonten in der Organisationseinheit (OU)
mvsnet.de/Verlag/Computer, die Benutzerkonten entsprechend in der OU
mvsnet.de/Verlag/Users. Da die Mitarbeiter aus dem Bereich Consulting
und Verlag abteilungsübergreifend Tätig sind, verfügen diese über ein
servergespeichertes Benutzerprofil und sind in der Lage, sich von jedem
Computer aus an der Domäne anzumelden.
Ein Administrator erstellt eine Gruppenrichtlinie mit der Bezeichnung
Softwarebereitstellung und verteilt damit die Paketdatei deploy.msi, die
sich im lokalen Pfad C:\Software befindet, an alle Clientrechner der
gesamten Domäne MVSNET.DE.
Nun berichten Ihnen die Mitarbeiter, dass sie von den
Arbeitsplatzrechnern im Verlag aus das Installationspaket deploy.msi
nicht ausführen können. Sie müssen sicherstellen, dass in der gesamten
Domäne für diejenigen Verlagsmitarbeiter, die Mitglieder der Gruppe
Mitarbeiter Verlag sind, das Ausführen des .msi-Pakets unterbunden wird.
Dies muss selbst dann gewährleistet sein, wenn das Installationspaket
umbenannt wird. Alle anderen Mitarbeiter benötigen dieses .msi-SetupPaket, ungeachtet davon, von welchen Computern aus sie sich an der
Domäne anmelden.
Sie melden sich lokal am Server »MVSSRV001« an und erstellen eine neue
Gruppenrichtlinie mit der Bezeichnung Softwareeinschränkung, die der
geforderten Situation gerecht wird. Sie erstellen nur unbedingt nötige
Verknüpfungen mit GPOs und keine weiteren Verarbeitungsausnahmen.
Setzen Sie diese Anforderungen in der Simulation um!
- 182 -
Simulation 2
besteht aus einer Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Die Domäne beinhaltet die folgenden vier
Organisationseinheiten (OUs), aufgeteilt nach geografischen Gebieten, in
denen die Firma tätig ist:
•
•
•
•
Ost
OstConsulting
West
WestConsulting
Das Benutzerkonto für Michael Völk befindet sich momentan in der OU
OstConsulting.
Gegenwärtig sind einige Gruppenrichtlinienobjekte (GPOs) konfiguriert
und wie folgt mit den OUs verknüpft (GPO-Verarbeitungsausnahmen
wurden nicht konfiguriert):
Organisationseinheit
Name der verknüpften GPO
Ost
GPO1, GPO2
OstConsulting
West
GPO3, GPO4
WestConsulting
GPO5
Sie müssen gewährleisten, dass folgende Anforderungen erfüllt werden:
• GPO1 und GPO2 werden auf Objekte innerhalb der OU OstConsulting
angewendet,
• GPO3, GPO4 und GPO5 werden auf die Objekte innerhalb der OU
WestConsulting angewendet,
• GPO3, GPO4 und GPO5 werden nur auf das Benutzerkonto von
Michael Völk angewendet.
Sie verfügen nicht über die Berechtigung, GPO-Verknüpfungen zu
modifizieren, zu löschen oder neu zu erstellen. Sie müssen die Objekte im
Active Directory so organisieren, dass die Anforderungen erfüllt werden.
- 183 -
Simulation 3
Sie arbeiten als Enterpriseadministrator für die Firma MVS M. Völk
Systems. Das Unternehmen hat die Evaluierung einer Applikation beendet
und startet mit der neuen Active Directory-Applikation app2mvs. Diese
Applikation wird die bisherige Version app1mvs ablösen.
Folgende Anforderungen müssen erfüllt werden:
1. Die Active Directory-Klasse für app2mvs muss aktiviert werden und
für die Benutzung bereitstehen.
2. Die Active Directory-Klasse für app1mvs wird nicht länger benötigt.
3. Die Attribute der Applikation app2mvs müssen aktiviert und im
Verzeichnis platziert werden und im globalen Katalog vorhanden
sein. Die Suche nach Attributen muss sich sehr einfach gestalten.
4. Die Administration aller Attribute wird Michael Rauschert
(mvsnet.de/Consulting/Michael Rauschert), ein Mitarbeiter der
Consultingabteilung, übernehmen.
Als Antwort konfigurieren Sie in der Simulation die angemessenen
Optionen, damit die gestellten Anforderungen erfüllt werden.
- 184 -
LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294
Kapitel 2
Lösungen und Begründungen für Examen 70-294
- 185 -
Frage 1
Netz besteht aus einem Intranet und einem Grenznetzwerk. Das
Grenznetzwerk enthält folgende Server:
• einen Windows Server 2003 Web Edition-Server mit der Bezeichnung
»MVSWEB001«,
• einen Windows Server 2003 Standard EditionServer mit der
• einen Windows Server 2003 Enterprise Edition-Server mit der
• eine Webservergruppe, bestehend aus zwei Windows Server 2003
Web Edition Servern.
Alle Server im Grenznetzwerk sind Mitglieder derselben Arbeitsgruppe.
Das Planungsteam plant einen neuen Verzeichnisdienst zu erstellen, der
alle Server des Grenznetzwerkes enthält. In der neuen Domäne sollen alle
Webapplikationen des Grenznetzwerkes laufen. Das Planungsteam macht
zur Auflage, dass die Domäne für das Grenznetzwerk fehlertolerant sein
soll.
Sie müssen einen oder mehrere Server aus dem Grenznetzwerk
auswählen, die Sie zu einem Domänencontroller heraufstufen werden.
Welche/n Server wählen Sie aus?
A

»MVSWEB001«.
B

»MVSDCO002«.
C

»MVSDCO003«.
D

Webservergruppe.
Richtige Antworten:
B und C
Begründung
Für die Rolle als Domänencontroller wird Windows Server 2003 in der
Standard oder Enterprise Version vorausgesetzt. Um eine Fehlertoleranz
zu gewährleisten, werden mindestens zwei Domänencontroller benötigt.
Die Server mit den entsprechenden Betriebssystemen sind die Server
»MVSDCO002« und »MVSDCO003«.
Server, die als Betriebssystem Windows Server 2003 Web Edition
ausführen, wie in den Antworten A und D beschrieben, können nicht als
Domänencontroller fungieren.
Hilfe
- 186 -
• Übersicht über Windows Server 2003 Web Edition: Standardseite
MS Training
• 1. Auflage: Seite 3
- 187 -
Frage 2
Netzwerk besteht aus einem Verzeichnisdienst, wie in der folgenden Grafik
dargestellt:
Ihre Firma hat eine Sicherheitsrichtlinie erstellt, die definiert, dass alle
Domänencontroller in VERTRIEB.MVSPRESS.DE die NTLMv2 LAN-ManagerAuthentifizierung verwenden müssen. Sie möchten, dass nur die Mitglieder
der DOMÄNEN-ADMINS die Domänencontroller starten dürfen. Sie müssen
die Domänencontroller in VERTRIEB.MVSPRESS.DE so konfigurieren, dass
sie diesen Sicherheitsvorschriften entsprechen.
Mit welchen zwei Aktionen können Sie das durchführen?
(Jede richtige Antwort ist Teil der Lösung.)
- 188 -
A

B

C

D

E

wählen Sie die Option Kennwort für den
Systemstart aus.
F

wählen Sie die Option Systemstartschlüssel wird
lokal gespeichert aus.
Richtige Antworten:
C und E
Begründung
Die Sicherheitsvorlage securedc.inf konfiguriert die Domänencontroller
dahingehend, dass NTLMv2 LAN-Manager-Authentifizierung verwendet
wird.
Das Dienstprogramm für Systemschlüssel syskey.exe verwendet sichere
Verschlüsselungstechniken, um Informationen zu Kontokennwörtern auf
lokalen Computern, Mitgliedsservern oder Domänencontrollern zu
schützen. Das Dialogfeld Schlüssel für Systemstart enthält unter
anderem die Optionen Kennwort für den Systemstart. Diese Technik
verwendet einen zufälligen, computergenerierten Schlüssel als
Systemschlüssel und speichert eine verschlüsselte Version des Schlüssels
auf dem lokalen Computer. Der Schlüssel ist zudem durch ein vom
Administrator gewähltes Kennwort geschützt. Wenn der Computer die
Initialisierung durchläuft, wird ein Benutzer aufgefordert, das
Systemschlüsselkennwort, das nicht auf dem Computer gespeichert ist,
- 189 -
einzugeben. Nur mit diesem Systemschlüsselkennwort kann der jeweilige
Computer gestartet werden.
Das Importieren der standardmäßig vorhandenen Sicherheitsvorlage
rootsec.inf bewirkt, dass die Berechtigungen für den Stamm des
Systemlaufwerkes festgelegt werden. Mithilfe dieser Vorlage können die
Stammverzeichnisberechtigungen erneut übernommen werden, in dem
Fall, dass sie unbeabsichtigt geändert wurden. Diese Vorlage kann
geändert und auf die jeweiligen Bedürfnisse angepasst werden, um damit
dieselben Stammberechtigungen für andere Systemlaufwerke zu
übernehmen. Dabei werden keine expliziten Berechtigungen
überschrieben, die für untergeordnete Objekte definiert wurden; sie
überträgt die von untergeordneten Objekten geerbten Berechtigungen. Sie
konfiguriert weder, wie in der Antwort A und B beschrieben, die NTLMv2
LAN-Manager-Authentifizierung noch wird dabei geregelt, wer einen
Server neu booten darf und wer nicht.
Der Lösungsvorschlag D bewirkt, dass die NTLMv2 LAN-ManagerAuthentifizierung in der übergeordneten Domäne, nicht aber in
VERTRIEB.MVSPRESS.DE angewendet wird.
Die Antwort F bietet nur eine starke Verschlüsselung der Kennwortdaten in
der Registrierung. Sie ermöglicht jedem Benutzer den Neustart des
Computers, ohne dass ein Kennwort eingegeben oder eine Diskette
eingelegt werden muss.
Hilfe
• Vordefinierte Sicherheitsvorlagen \ Sicherheitsvorlagen
• Übersicht über Sicherheitsvorlagen \ Sicherheitsvorlagen
• Hilfe und Supportcenter, Suchbegriff: Dienstprogramm für
Systemschlüssel
MS Training
- 190 -
Frage 3
MVSNET.DE. Alle Domänencontroller führen Windows Server 2003 aus.
Sie erstellen einen Wiederherstellungsplan für den „Fall der Fälle“ in Ihrer
Firma. Die Domänencontroller werden jede Nacht mittels eines „normalen“
Backups gesichert. Die normale Sicherung umfasst die Sicherung des
Systemstatus eines jeden Domänencontrollers.
Ihr Notfallplan sollte folgende Definitionen berücksichtigen:
• Wiederherstellen von Verzeichnisobjekten, die zufällig oder
vorsätzlich gelöscht worden sind.
• Der Verzeichnisdienst muss so schnell wie möglich in seiner
aktuellsten Version wiederhergestellt werden können.
• Der Zeitaufwand muss reduziert werden.
Er sollte die Möglichkeit bieten, gelöschte Organisationseinheiten (OUs)
wiederherstellen zu können.
Welche zwei Aktionen sollte Ihr Notfallplan berücksichtigen?
(Jede richtige Antwort ist ein Teil der Lösung.)
A

Den Domänencontroller im Modus für
Verzeichniswiederherstellung starten.
B

Den Domänencontroller im abgesicherten Modus
starten.
C

Sie benutzen das Tool ntdsutil, um eine
autorisierende Wiederherstellung der Datenbank
durchzuführen.
D

Wiederherstellen des Systemstatus mit der Option
Alles Überschreiben.
E

Sie benutzen das Tool ntdsutil für eine
autorisierende Wiederherstellung des entsprechenden
Teilbereiches.
Richtige Antworten:
A und E
Begründung
Wenn eine Organisationseinheit im aktiven Verzeichnis gelöscht wird,
können wir diese über den gesicherten Systemstatus wiederherstellen. Die
Auswahl des Modus zur Verzeichnisdienstwiederherstellung startet den
Domänencontroller, ohne die Verzeichnisdienste zu laden. Dies ermöglicht
uns, die aktive Verzeichnisdatenbank ganz oder teilweise
- 191 -
wiederherzustellen. Um sicherzustellen, dass das gelöschte Objekt nicht
wieder von einer Replikation eines anderen Domänencontrollers gelöscht
wird, müssen wir ntdsutil verwenden, um das wiederhergestellte Objekt
als aktiv zu kennzeichnen.
Das Starten des Domänencontrollers im abgesicherten Modus ermöglicht
keine Verzeichniswiederherstellung. Deshalb ist Antwortmöglichkeit B
falsch.
Die Anwendung des Programms ntdsutil auf die gesamte
Verzeichnisdatenbank ist in der Aufgabenstellung nicht gefordert. Somit
kommt auch Antwort C nicht in Frage.
Ähnliches trifft auch auf Lösungsmöglichkeit D zu, wobei hier noch
vorhandene Objekte durch die Replikation mit anderen
Domänencontrollern wieder gelöscht werden können, da die
Wiederherstellung nicht autorisierend erfolgt.
Hilfe
• Verwenden von Ntdsutil \ Active Directory
• Autorisierende, primäre und normale Wiederherstellung \
Sicherungsdienstprogramm
MS Training
• 1. Auflage: Seiten 168f., 1008
- 192 -
Frage 4
MVSNET.DE. Alle Server im Netzwerk führen Windows Server 2003 und
alle Clientcomputer Windows XP Professional aus. In der Domäne befinden
sich zwei Domänencontroller, »MVSDCO001« und »MVSDCO002«.
»MVSDCO001« ist der erste Domänencontroller der Domäne und verfügt
über alle Betriebsmasterfunktionen.
Sie beabsichtigen, »MVSDCO001« wegen Wartungsarbeiten wenige
Stunden vom Netz zu nehmen. Ungeachtet davon, dass der Server
»MVSDCO001« offline ist, wird ein anderer Administrator während dieser
Zeit sehr viele neue Benutzerkonten erstellen.
Mit so wenig wie möglichen Konfigurationsschritten müssen Sie
sicherstellen, dass der Administrator seine Aufgaben durchführen kann.
Welche Maßnahmen sollten Sie ergreifen?
(Wählen Sie alle richtigen Antworten.)
A

die PDC-Emulatorrolle auf den Server »MVSDCO002«.
B

konfigurieren den Server »MVSDCO002« zum PDCEmulationsmaster.
C

die Infrastrukturmasterrollen auf den Server
»MVSDCO002«.
D

konfigurieren die Infrastrukturmasterrollen auf dem
Server »MVSDCO002«.
E

die RID-Masterrolle auf den Server »MVSDCO002«.
F

konfigurieren die RID-Masterrolle auf dem Server
»MVSDCO002«.
Richtige Antworten:
E
Begründung
Zur Erstellung der Benutzerkonten ist die Funktion des RID-Masters nötig.
Der RID-Master ordnet den verschiedenen Domänencontrollern seiner
Domäne Sequenzen relativer IDs (RIDs) zu. In den Domänen der
Gesamtstruktur kann immer nur ein Domänencontroller die RIDMasterfunktion übernehmen. Wenn ein Domänencontroller einen
- 193 -
Benutzer, eine Gruppe oder ein Computerobjekt erstellt, weist der
Domänencontroller diesem Objekt eine eindeutige Sicherheitskennung
(SID) zu. Die SID besteht aus einer Domänen-SID, die für alle in der
Domäne erstellten SIDs identisch, und einer RID, die für jede in der
Domäne erstellte SID eindeutig ist. Um die Rolle des RID-Betriebsmasters
zu übertragen, kann das Tool ntdsutil.exe verwendet werden, bzw. unter
der Windows-Oberfläche bewerkstelligen Sie dies in der Active
Directory-Benutzer und –Computer-Konsole.
Die Vorgehensweise wie in Antwort A beschrieben, ist für die wenigen
Stunden, die der Server offline ist, nicht notwendig. Nachdem alle
Computer in der Domäne mindestens Windows XP oder Windows Server
2003 ausführen, kann auf die Rolle des PDC-Emulators für kurze Zeit
verzichtet werden. Der PDC-Emulator übernimmt die Funktion eines
primären Windows NT-Domänencontrollers und empfängt bevorzugte
Replikationen von Kennwortänderungen, die von anderen
Domänencontrollern in der Domäne ausgeführt werden. Zudem ist der
PDC-Emulationsmaster auch für das Synchronisieren der Zeit auf allen
Domänencontrollern in der gesamten Domäne verantwortlich.
Die Antwort B beschreibt das Erstellen eines zweiten PDC-Emulators. Die
Funktion des PDC-Emulators darf in jeder Domäne aber nur einmal
vorhanden sein. Das bedeutet, dass es in jeder Domäne der
Gesamtstruktur nur einen PDC-Emulationsmaster geben kann.
Die temporäre Abwesenheit des Infrastrukturmasters kann toleriert
werden. Aus diesem Szenario geht nicht hervorgeht, dass relevante
Aktivitäten, die den Infrastrukturmaster betreffen, ausgeführt werden.
Dies wäre z. B. das Umbenennen bestehender Benutzerkonten oder das
Ändern von Gruppenmitgliedschaften. Zudem darf der Infrastrukturmaster
in einer Domäne der Gesamtstruktur nur einmal vorhanden sein, deshalb
sind die Antworten C und D nicht richtig.
Die Übernahme der RID-Masterfunktion, wie in der Lösung F beschrieben,
ist ein drastischer Schritt, der nur vollzogen wird, wenn ein neuerlicher
Betrieb des aktuellen RID-Masters vollständig ausgeschlossen ist. Wenn
dieser Schritt durchgeführt wird, muss zum einen der aktuelle RID-Master
dauerhaft vom Netzwerk getrennt und zum anderen nach der Übernahme
der RID-Masterfunktion das für den ursprünglichen RID-Master
verwendete Startlaufwerk vollständig neu formatiert und das
Betriebssystem neu installiert werden. Erst danach könnte der Server
»MVSDCO001« wieder an das Netzwerk angeschlossen werden.
Hilfe
- 194 -
•
•
•
•
•
Verwenden von Ntdsutil \ Active Directory
Ntdsutil \ Befehlszeilenreferenz
Übernahme der RID-Masterfunktion \ Active Directory
Übertragen der Betriebsmasterfunktionen \ Active Directory
Hilfe und Supportcenter, Suchbegriff: Betriebsmasterfunktion
MS Training
- 195 -
Frage 5
Sie sind ein Systemadministrator des Gästehauses Merk. Das Netzwerk
besteht aus einer Verzeichnisstruktur mit der Bezeichnung GAESTEHAUSMERK.DE. Alle Server führen das Betriebssystem Windows Server 2003
aus.
Ein Mitarbeiter des Helpdesks berichtet, dass ein Benutzerobjekt zufällig
gelöscht wurde. Der Benutzer ist nicht mehr in der Lage, sich an der
Domäne anzumelden und bekommt daher keinen Zugriff mehr auf seine
Ressourcen im Netzwerk. Sie überprüfen diesen Sachverhalt und stellen
fest, dass das Benutzerobjekt in der aktuellen
Systemstatusdatensicherung vorhanden ist.
Sie müssen dem Benutzer ermöglichen, sich an der Domäne anmelden zu
können. Sie müssen zudem sicherstellen, dass der Benutzer wieder Zugriff
auf alle benötigten Ressourcen bekommt.
A
{
Sie setzen einen neuen Domänencontroller auf. Sie
stellen den Verzeichnisdienst des aktuellen Backups
auf diesem Server wieder her. Sie initiieren eine
manuelle Replikation.
B
{
Sie vermindern das Garbage Collection Intervall. Sie
führen eine nichtautorisierende Wiederherstellung des
Verzeichnisdienstes unter Verwenden des aktuellsten
Backups durch.
C
{
Sie führen eine autorisierende Wiederherstellung des
Verzeichnisdienstes unter Verwendung des aktuellsten
Backups durch. Sie stellen das Benutzerobjekt, das
gelöscht wurde, wieder her.
D
{
Sie erstellen ein neues Benutzerobjekt mit demselben
Benutzerprinzipalnamen (UPN), den das
Benutzerobjekt hatte, das gelöscht wurde. Sie stellen
dieses Benutzerobjekt zuverlässig wieder her.
Richtige Antwort: C
Begründung
Um die Active Directory-Daten maßgebend wiederherzustellen, wird nach
dem Wiederherstellen der Systemstatusdaten das Befehlszeilenprogramm
ntdsutil ausgeführt. Mit diesem Befehlszeilenprogramm wird das Active
Directory-Objekt, in diesem Fall das Benutzerkonto, für die maßgebende
Wiederherstellung gekennzeichnet. Durch diese Kennzeichnung wird die
Sequenznummer für die Aktualisierung erhöht, bis die Nummer größer ist
als die andere Aktualisierungssequenznummer im Replikationssystem- 196 -
Active Directory. Auf diese Weise stellen Sie sicher, dass das
wiederhergestellte Benutzerkonto fehlerfrei im gesamten Unternehmen
repliziert bzw. verteilt wird.
Die Antwort A beschreibt eine nicht maßgebende Wiederherstellung, bei
der die Daten im Replikationssystem-Active Directory als veraltet
angezeigt und nicht auf die anderen Server repliziert werden. Stattdessen
aktualisiert das Replikationssystem die wiederhergestellten Daten mit
neueren Daten von anderen Domänencontrollern. Zum Replizieren der
wiederhergestellten Daten auf die anderen Server muss eine
autorisierende Wiederherstellung durchgeführt werden.
Wenn ein AD-Objekt gelöscht wird, wird das Objekt (mit wenigen
Ausnahmen) all seiner Attribute entkleidet und in dem Container Deleted
Objects abgelegt. In diesem Container wird es standardmäßig 60 Tage
lang aufbewahrt. Am Ende der 60 Tage – der voreingestellten TombstoneLebensdauer – wird das Objekt vom Garbage-Collection-Prozess endgültig
aus der Datenbank entfernt und auch aus dem Container Deleted
Objects gelöscht. Wird dieser Wert von 60 Tagen reduziert, wie in der
Antwort B beschrieben, löscht der Garbage-Collection-Prozess
dementsprechend die Objekte früher aus dem Container und der
Datenbank. Für dieses Szenario benötigen wir eine sofortige
Wiederherstellung des Benutzerkontos mithilfe einer autorisierenden
Wiederherstellung. Durch eine nichtautorisierende Wiederherstellung
werden alle Daten mithilfe des Replikationssystems von anderen
Domänencontrollern aktualisiert, und das Konto würde nach der
Replikation wieder gelöscht werden.
Ein neues Benutzerkonto mit demselben UPN manuell zu erstellen, wie in
der Antwort D beschrieben, würde bedeuten, dass alle Rechte und
Berechtigungen, Gruppenmitgliedschaften usw. neu konfiguriert werden
müssen. Diese Vorgehensweise ist fehleranfällig und zeitaufwändig.
Hilfe
• Datenträger und Daten / Sichern und Wiederherstellen von Daten /
Sichern und Wiederherstellen von Daten / Konzepte / Grundlegendes
zur Sicherung / Autorisierende, primäre und normale
Wiederherstellung
• Verwalten des Active Directory Verzeichnisdienstes \ Übersicht über
Verwaltungsstrategien und –programme \ Verwenden von
Befehlszeilenprogrammen
MS Training
- 197 -
Frage 6
Gesellschaft besteht aus einem Verzeichnisdienst mit der Bezeichnung
MVSPRESS.DE. Alle Clients in Ihrer Firma führen als Betriebssystem
Windows XP Professional aus.
Das Hauptbüro der Gesellschaft befindet sich in Nürnberg. Sie sind ein
Netzwerkadministrator in einer Zweigstelle der Gesellschaft in Kronach.
Sie erstellen eine Gruppenrichtlinie, die das Startmenü der Mitarbeiter in
Kronach auf einen freigegeben Ordner auf einem Dateiserver umleitet.
Mehrere Benutzer in Kronach berichten, dass viele der Programme, die sie
normalerweise verwenden, in ihrem Startmenü fehlen. Die Programme
waren im Startmenü am Vortag noch verfügbar, aber heute erschienen sie
nicht, wenn sich die Benutzer angemeldet haben.
Sie melden sich bei dem Computer eines Mitarbeiters an. Alle
erforderlichen Programme erscheinen im Startmenü. Sie stellen sicher,
dass die Mitarbeiter auf den gemeinsamen Ordner auf dem Dateiserver
zugreifen können. Sie müssen herausfinden, warum sich das Startmenü
für diese Mitarbeiter geändert hat.
Welche zwei Möglichkeiten haben Sie, um dieses Ziel zu erreichen?
(Jede richtige Antwort entspricht einer vollständigen Lösung. Wählen Sie
zwei.)
- 198 -
A

(GPMC) den Dateiserver, auf dem der gemeinsame
Ordner verwaltet wird, sowie ein Benutzerkonto, das
in der Gruppe der Domänenadministratoren ist, und
überprüfen dies mithilfe des
B

(GPMC) eines der betroffenen Benutzerkonten aus
und überprüfen dieses mithilfe des
C

gpresult.
D

gpupdate.
E

secedit.
Richtige Antworten: B und C
Begründung
Das Tool gpresult zeigt Gruppenrichtlinieneinstellungen und den
Richtlinienergebnissatz (Resultant Set of Policy, RSoP) für einen Benutzer
oder Computer an. Mithilfe des Snap-Ins für den Richtlinienergebnissatz
können Sie detaillierte Berichte über die angewendeten
Richtlinieneinstellungen erstellen.
In der möglichen Antwort A werden die Einstellungen der Gruppenrichtlinie
auf dem Dateiserver überprüft. Die Auswirkung der Richtlinie muss aber
auf dem Computer eines betroffenen Mitarbeiters überprüft werden.
gpupdate aktualisiert lokale und Active Directory–basierte
Gruppenrichtlinieneinstellungen, einschließlich Sicherheitseinstellungen.
Nachdem die angewendeten Richtlinien überprüft und nicht aktualisiert
werden müssen, ist die Antworten D nicht richtig.
Der Befehl secedit /refreshpolicy wurde in Windows Server 2003 und
Windows XP durch den Befehl gpupdate ersetzt und zum Automatisieren
von Aufgaben bei der Konfiguration der Sicherheitseinstellungen
verwendet. Nachdem es sich um Windows XP Clientcomputer handelt, ist
die Antwort E nicht richtig.
Hilfe
- 199 -
• Verwaltungs- und Skriptingprogramme \ Konfigurations- und
Verwaltungsprogramme \ Richtlinienergebnissatz \ Konzepte \
Verwendung von Richtlinienergebnissatz
MS Training
- 200 -
Frage 7
Netzwerk besteht aus einer Domäne mit der Bezeichnung MVSPRESS.DE.
Bevor Sie neue Gruppenrichtlinien implementieren, testen Sie diese auf
einer Organisationseinheit mit der Bezeichnung Test. Die
Organisationseinheit Test enthält einen Windows XP Professional
Clientcomputer, den Sie als Testcomputer benutzen.
Die Domäne enthält eine Gruppe mit der Bezeichnung Sicherheit. Sie
erstellen eine neue Gruppenrichtlinie und konfigurieren im Abschnitt
Computerkonfiguration die Option, damit die Gruppe Sicherheit eine
Änderung der Systemzeit durchführen kann.
Unmittelbar danach melden Sie sich am Testcomputer an und stellen fest,
dass die Gruppenrichtlinie nicht angewendet wurde. Sie müssen das
Gruppenrichtlinienobjekt sofort anwenden.
A
{
Sie melden sich von dem Testcomputer ab und dann
gleich wieder an.
B
{
Sie melden sich von dem Testcomputer ab. Sie
erstellen ein Benutzerkonto in der
Organisationseinheit Test und melden sich dann mit
diesem Konto wieder an.
C
{
gpresult aus.
D
{
gpupdate /force aus.
Richtige Antwort: D
Begründung
Mit Hilfe des Befehls gpupdate /force können Sie eine sofortige
Aktualisierung der Gruppenrichtlinie erwirken. Der Schalter /force
ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen
erneut an.
Sich vom Testcomputer ab- und anzumelden, wie in der Antwort A
beschrieben, bewirkt, dass die Gruppenrichtlinie für den Benutzer und
nicht für den Computer angewendet wird. In diesem Szenario wurden aber
Einstellungen für den Computer konfiguriert.
Standardmäßig werden Computerrichtlinien alle 90 Minuten im
Hintergrund (mit einer zufälligen Verzögerung zwischen 0 und 30 Minuten)
aktualisiert. Nachdem die Anmeldung an dem Clientcomputer unmittelbar
- 201 -
nach der Konfiguration der Gruppenrichtlinie erfolgte, kann davon
ausgegangen werden, dass die GPO noch nicht auf dem Clientcomputer
angewendet wurde. Durch das Anmelden am Computer mit einem neu
erstellten Benutzerkonto werden die Computerrichtlinien nicht aktualisiert.
Deshalb ist die Antwort B nicht richtig.
gpresult, wie in der Antwort C beschrieben, zeigt
Gruppenrichtlinieneinstellungen und den Richtlinienergebnissatz (Resultant
Set of Policy, RSoP) für einen Benutzer oder Computer an. Dieser Befehl
aktualisiert keine Richtlinien, weder für den Computer noch für den
Benutzer.
Hilfe
• Hilfe und Supportcenter: Suchbegriff: „ gpresult “ Æ Gpresult,
Befehlszeilenreferenz
MS Training
• 1. Auflage: Seiten 694, 1104
- 202 -
Frage 8
Gesellschaft hat ein Hauptbüro und sechs Zweigstellen. Jede Zweigstelle
beschäftigt weniger als 15 Mitarbeiter.
Das Netzwerk besteht aus einer aktiven Verzeichnisdomäne und ist mit
einem einzelnen Standort konfiguriert. Alle Server verwenden das
Betriebssystem Windows Server 2003. Die Domänencontroller befinden
sich im Hauptbüro. Alle Zweigstellen sind mit dem Hauptbüro durch WANVerbindungen verbunden.
Es ist erforderlich, dass alle Benutzer ihre Kennworte alle zehn Tage
ändern. Eine weitere Beschränkung ist eine Kennwortchronik, die die
letzten fünf Kennwörter aufzeichnet. Sie stellen fest, dass Benutzer in den
Zweigstellen, nach einem Ausfall der WAN-Verbindung für 24 Stunden
oder länger, durch Verwenden der vor kurzem erloschenen Kennworte sich
anmelden und auf lokale Ressourcen zugreifen können.
Sie müssen sicherstellen, dass Benutzer sich nur an der Domäne durch
Verwenden eines gegenwärtigen Kennworts anmelden können.
A
{
Sie aktivieren das Kontrollkästchen
Zwischenspeichern der universellen
Gruppenmitgliedschaft aktivieren.
B
{
Sie weisen alle Benutzer an, sich durch Verwenden
ihrer Benutzerprinzipalnamen (UPNs) anzumelden.
C
{
Sie aktivieren für alle Mitarbeiter die Option
Benutzer muss Kennwort bei der nächsten
Anmeldung ändern.
D
{
Sie konfigurieren die Domänengruppenrichtlinie, um
Anmeldungsversuche zu verhindern, die
zwischengespeicherte Informationen verwenden.
Richtige Antwort: D
Begründung
Alle vorherigen Anmeldeinformationen von Benutzern werden lokal
zwischengespeichert, damit sich die Benutzer anmelden können, falls ein
Domänencontroller bei nachfolgenden Anmeldeversuchen nicht verfügbar
ist. Dieses Verhalten kann mit einer Gruppenrichtlinie festgelegt und
gesteuert werden. Die Einstellung der Gruppenrichtlinie besagt, wie oft
sich ein Benutzer mithilfe zwischengespeicherter Kontoinformationen an
einer Windowsdomäne anmelden kann.
- 203 -
Das Zwischenspeichern der universellen Gruppenmitgliedschaft in
Zweigstellen hat unter anderem den Vorteil, dass kürzere Anmeldezeiten
entstehen und der Netzwerkverkehr reduziert wird. Die
authentifizierenden Domänencontroller müssen nicht mehr auf einen
globalen Katalog zugreifen, um Informationen zur universellen
Gruppenmitgliedschaft zu erhalten. Diese Funktion hat nichts mit der
Zwischenspeicherung der vorherigen Anmeldeinformationen zu tun,
deshalb ist die Antwort B nicht richtig.
Die Option, dass ein Benutzer das Kennwort bei der nächsten Anmeldung
ändern muss, befindet sich in den Eigenschaften eines Benutzerkontos.
Damit wird bezweckt, dass das Kennwort des jeweiligen Benutzerkontos
bei der nächsten Anmeldung an der Domäne geändert werden muss.
Diese Funktion, wie in der Antwort C beschrieben, hat nichts mit der
Zwischenspeicherung der vorherigen Anmeldeinformationen zu tun.
Hilfe
• Interaktive Anmeldung \ Anzahl zwischenzuspeichernder vorheriger
Anmeldungen (für den Fall, dass der Domänencontroller nicht
verfügbar ist) \ Beschreibung der Sicherheitseinstellung
MS Training
• 1. Auflage: Kein direkter Verweis
- 204 -
Frage 9
Windows Server 2003. Die meisten Clientcomputer befinden sich in den
Büros der einzelnen Mitarbeiter. Einige Clientcomputer befinden sich in
öffentlich zugänglichen Bereichen.
Die firmeninterne Sicherheitspolitik enthält folgende Vorgaben:
• Alle Mitarbeiter müssen Chipkarten benutzen, um sich bei einem
Clientcomputer anzumelden.
• Mitarbeiter, die einen öffentlich zugänglichen Clientcomputer
benutzen, müssen abgemeldet werden, wenn sie die Chipkarte aus
dem Kartenleser entfernen.
Sie konfigurieren alle Benutzerkonten so, dass sie Chipkarten für
interaktive Anmeldung anfordern. Sie schaffen eine Organisationseinheit
mit der Bezeichnung PUBLIC.
Sie müssen sicherstellen, dass das entsprechende Ereignis auf jedem
Clientcomputer auftritt, wenn eine Chipkarte entfernt wird.
Sie müssen dieses Ziel erreichen, ohne die anderen Computer zu
konfigurieren.
- 205 -
A
{
Sie verschieben alle Computer, die öffentlich
zugänglich sind, in die Organisationseinheit PUBLIC.
Sie erstellen eine neue Gruppenrichtlinie und
verknüpfen sie mit der Organisationseinheit PUBLIC.
Sie aktivieren Interaktive Anmeldung: Verhalten
beim Entfernen von Smartcards: Abmeldung
erzwingen.
B
{
Sie verschieben alle Mitarbeiter, die die öffentlich
zugänglichen Clientcomputer benutzen, in die
Organisationseinheit PUBLIC. Sie erstellen eine neue
Gruppenrichtlinie und verbinden diese Richtlinien mit
der Organisationseinheit PUBLIC. Sie aktivieren
erzwingen.
C
{
Sie aktivieren in der Standarddomänenrichtlinie
erzwingen.
D
{
Sie aktivieren in der
Standarddomänencontrollerrichtlinie Interaktive
Anmeldung: Verhalten beim Entfernen von
Smartcards: Abmeldung erzwingen.
Richtige Antwort: A
Begründung
Alle Clientcomputer müssen bei der Entfernung der Chipkarte den
Benutzer vom System abmelden. Dieses Verhalten betrifft alle Mitarbeiter,
die sich an einem beliebigen öffentlichen Computer anmelden. Daher ist
es sinnvoll, alle betroffenen Computer in einem Container
zusammenzufassen und mit einer Gruppenrichtlinie dementsprechend zu
konfigurieren.
Das automatische Abmelden vom System beim Entfernen der Chipkarte
muss nur auf öffentlichen Computern gewährleistet sein. Mit der Lösung B
würde dieses Verhalten für die jeweiligen Mitarbeiter im gesamten
Netzwerk zutreffen. Andere Mitarbeiter wiederum, die nicht Mitglieder der
OU PUBLIC sind, die sich an einem öffentlichen Computer anmelden und
ihre Chipkarte entfernen, würden demnach nicht abgemeldet werden. Aus
diesem Grund ist die Antwort B nicht richtig.
Auch die Antwort C ist falsch, denn alle authentifizierten Benutzer haben
standardmäßig das Recht, die Gruppenrichtlinie Default Domain Policy zu
lesen und die Gruppenrichtlinie zu übernehmen. Aus diesem Grund
würden alle Benutzerkonten in der gesamten Domäne mit diesen
Einstellungen konfiguriert werden.
- 206 -
Die Default Domain Controllers Policy beinhaltet Einstellungen für
Domänencontroller, üblicherweise in der Organisationseinheit DOMAIN
CONTROLLERS. Mit dieser GPO, wie in der Antwort D beschrieben, werden
keine Computer, die sich in der Organisationseinheit PUBLIC befinden,
konfiguriert.
Hilfe
• Interaktive Anmeldung \ Verhalten beim Entfernen von Smartcards \
Beschreibung der Sicherheitseinstellung
MS Training
- 207 -
Frage 10
Netzwerk besteht aus einer Gesamtstruktur mit der Bezeichnung
Server 2003 und alle Clientcomputer Windows XP Professional.
In einem Testlabor, das eine separate Verzeichnisstruktur enthält,
entwickeln und testen Sie Gruppenrichtlinien, die Sie auf alle Computer
und Benutzer in der Domäne anwenden möchten. Sie müssen eine neue
Gruppenrichtlinie im Netzwerk einsetzen. Sie wollen diese Aufgabe mit
minimalem administrativem Aufwand umsetzen.
A
{
Sie verwenden das verteilte Dateisystem, um die
Gruppenrichtlinien im freigegebenen Ordner SYSVOL
vom Testlabor zur Domäne zu replizieren.
B
{
Sie verwenden die
Gruppenrichtlinienverwaltungskonsole (GPMC), um
die Richtlinie aus dem Testlabor zu exportieren und
um sie anschließend in der Domäne zu importieren.
C
{
Sie kopieren die Gruppenrichtlinieschablone (GPT) aus
dem freigegebenen Ordner SYSVOL des Testlabors
zur Domäne.
D
{
Sie verwenden das Snap-In Active DirectoryBenutzer und -Computer, um in der Domäne eine
neue Gruppenrichtlinie zu erstellen. In der neuen
Gruppenrichtlinie übernehmen Sie alle Einstellungen
aus der Richtlinie des Testlabors.
Richtige Antwort: B
Begründung
Die Gruppenrichtlinienverwaltungskonsole ist ein Werkzeug, um
Gruppenrichtlinien in einer Windows Server 2003-Umgebung zu
verwalten. Einige der neuen Fähigkeiten der
Gruppenrichtlinienverwaltungskonsole sind das Sichern, Wiederherstellen,
Importieren und Kopieren von Gruppenrichtlinienobjekten, wenn nötig
auch über die Grenzen von verschiedene Gesamtstrukturen hinweg. Diese
Fähigkeit macht sich der richtige Lösungsvorschlag B zunutze.
Mit DFS, dem verteilten Dateisystem wie in der Antwort A beschrieben,
können Sie auf mehrere Server verteilte Dateien für Benutzer so anzeigen,
als ob diese sich im Netzwerk an einem Ort befinden würden. Diese
Replikation der Dateien hat mit der Replikation der Gruppenrichtlinien
nichts zu tun.
- 208 -
Standardmäßig werden die Gruppenrichtlinienobjekte nur auf dem
Domänencontroller erstellt oder bearbeitet, auf dem sich das
Betriebsmastertoken für die PDC(primärer Domänencontroller)-Emulation
befindet. Dieses Token wandert im Laufe der Zeit von einem
Domänencontroller zum nächsten, während die Active DirectoryInformationen repliziert werden, so dass die Synchronität der
Domänencontroller gewährleistet ist. Ein manuelles Kopieren der
Richtlinie, wie in der Antwort C beschrieben, funktioniert nicht.
Lösungsvorschlag D würde zwar funktionieren. Der Weg der hier
beschritten wird, ist aber sehr mühselig und fehleranfällig und entspricht
nicht den in der Frage gestellten Randbedingungen.
Hilfe
• Kein direkter Verweis
MS Training
- 209 -
Frage 11
Windows Server 2003 und alle Clientcomputer Windows XP.
Die Firma hat ihren Hauptsitz in Puchheim und eine Zweigniederlassung in
Küps. Diese zwei Geschäftsstellen wurden jeweils als ein Active DirectoryStandort konfiguriert und sind mit einer 10MBit Standleitung verbunden.
Das Puchheimer Büro beinhaltet alle Domänencontroller der Domäne
MVSNET.DE. Die Gruppenrichtlinienobjekte sind mit der Domäne und den
verschiedenen Organisationseinheiten verknüpft. Aufgrund der hohen
Bandbreite zwischen den Standorten existieren keinerlei Probleme
bezüglich der Verarbeitung der Gruppenrichtlinien. Sollte die 10MBit
Leitung ausfallen und nicht zur Verfügung stehen, werden die
Gruppenrichtlinien über eine eigens dafür gemietete 128Kbps ISDN
Leitung übertragen.
Sie aktivieren die Gruppenrichtlinie zur Erkennung von langsamen
Verbindungen und konfigurieren bestimmte GPOs dahingehend, dass diese
nicht verarbeitet werden, sobald die 10MBit Leitung ausgefallen ist und
nur die langsame Netzwerkverbindung zur Verfügung steht.
Sie müssen sicherstellen, dass die Gruppenrichtlinienobjekte fehlerfrei
abgearbeitet und angewendet werden. Um dieses Szenario zu testen,
simulieren Sie eine langsame Netzwerkverbindung.
A
{
Sie verwenden in der Befehlszeile secedit /analyze.
B
{
Planungsmodus.
C
{
Protokolliermodus.
D
{
Sie verwenden in der Befehlszeile gpupdate.
Richtige Antwort: B
Begründung
In der Richtlinienergebnissatzabfrage im Planungsmodus gibt es mehrere
Optionen. Eine dieser Optionen ist das Simulieren einer langsamen
Netzwerkverbindung. Eine Verbindung wird dann als langsam bezeichnet,
wenn die Rate, mit der Daten übertragen werden, langsamer ist, als die
von der GPO Gruppenrichtlinien zur Erkennung von langsamen
Verbindungen angegebenen Rate.
- 210 -
Die Antwort A ist nicht richtig, denn der Befehl secedit konfiguriert und
analysiert die Systemsicherheit durch Vergleichen der aktuellen
Konfiguration mit einer Vorlage. Mit dem Parameter analyze wird eine
Analyse der Sicherheitseinstellungen durch den Vergleich mit den
Grundeinstellungen in einer Datenbank durchgeführt.
Der Richtlinienergebnissatz-Protokolliermodus, wie in der Antwort C
beschrieben, ermöglicht die Überprüfung vorhandener GPO-Einstellungen
für ein Computer- oder Benutzerkonto.
Antwort D ist nicht richtig, denn der Befehl gpupdate aktualisiert die
lokalen und die in Active Directory gespeicherten
Gruppenrichtlinieneinstellungen, einschließlich der
Sicherheitseinstellungen.
Hilfe
• Übersicht über Richtlinienergebnissatz: Richtlinienergebnissatz
• Verwenden von Richtlinienergebnissatz: Richtlinienergebnissatz
MS Training
• 1. Auflage: Seiten 644f.
- 211 -
Frage 12
Bezeichnung EISSNER-EDV.DE. Alle Server verwenden das Betriebssystem
Die Gruppenrichtlinie Softwarebeschränkungen, in der auch Pfadregeln für
das Standardverzeichnis für Programme angewendet wurden, hindert die
Benutzer daran, nicht genehmigte Anwendungen auszuführen. Diese
Einschränkung gilt nicht für Benutzer, die lokale Administratoren auf ihren
Clientcomputern sind.
Der Entwickler in der Firma erstellt für einige der internen Benutzer eine
neue Applikation, die in regelmäßigen Abständen aktualisiert wird. Ein
Administrator installiert die Software unter C:\Programme\ auf einer
bestimmten Anzahl von Computern mit der gelieferten setup.exe. Wenn
Mitarbeiter jedoch versuchen, die neue Anwendung auszuführen,
berichten sie, dass sie dies nicht können.
Sie müssen langfristig und ohne weiteren Aufwand sicherstellen, dass alle
Mitarbeiter die neue Anwendung ausführen können. Nicht genehmigte
Software darf dagegen weiterhin nicht verwendet werden.
A
{
Sie erstellen einen WMI-Filter in der Gruppenrichtlinie
Softwarebeschränkung, der festlegt, wo die Software
installiert wird und wo die Gruppenrichtlinie die
Ausführung der Software verhindert.
B
{
Sie erstellen einen Hashwert für die ausführbare Datei
der Software und überarbeiten die Gruppenrichtlinie
Softwarebeschränkung, um zu erlauben, dass eine
ausführbare Datei, die zum Hashwert passt,
ausgeführt werden darf.
C
{
Sie erstellen eine Zertifikatregel für die ausführbare
Datei der Software und überarbeiten die
Gruppenrichtlinie Softwarebeschränkung, um zu
erlauben, dass die Applikation ausgeführt werden
darf.
D
{
Sie erstellen von der Software ein .msi-Paket und
erstellen eine neue Gruppenrichtlinie, um das Paket
den Computern zuzuteilen, die die Software
benötigen.
Richtige Antwort: C
Begründung
- 212 -
Sie erstellen eine Zertifikatregel, die Software über deren
Signaturzertifikat identifiziert und dann in Abhängigkeit von der
Sicherheitsstufe deren Ausführung zulässt. Zudem überschreibt eine
Zertifikatregel die existierenden Pfadregeln.
Die Regeln werden folgendermaßen angewendet (vom höchsten zum
niedrigsten Rang):
•
•
•
•
Hashregel,
Zertifikatregel,
Pfadregel,
Internetzonenregel.
Die Antwort A ist nicht richtig: Mithilfe von WMI-Filtern (die in WMI Query
Language geschrieben werden bzw. sind) kann ein Administrator eine
WMI-basierte Abfrage angeben, um z. B. die Auswirkung eines
Gruppenrichtlinienobjekts zu filtern. Es werden dabei Zielcomputer oder
Benutzer ausgewertet. Wenn der Filter als True ausgewertet wird, wird
das GPO angewendet, anderenfalls wird das GPO nicht angewendet.
Außerdem werden WMI-Filter für die Verwaltung von Ausnahmen
verwendet.
Nachdem die Applikation in regelmäßigen Abständen aktualisiert wird,
ändert sich die Datei selbst, der einst für die Richtlinie generierte
Hashwert wird ungültig und die Richtlinie nicht mehr angewendet. Durch
die bestehende Pfadregel auf dem Standardverzeichnis für Applikationen
C:\Programme wird das Ausführen der Applikation verhindert. Die
Administratoren müssten bei jeder Aktualisierung der Software die
Hashregel neu anpassen, aus diesem Grund ist die Antwort B nicht richtig.
Die Antwort D ist falschrichtig, denn mit Windows Installer und dem .msiPaketdateiformat kann Software installiert und entfernt werden. Einen
Schutz vor unberechtigter Ausführung installierter Software bietet weder
das .msi-Paket noch Windows Installer.
Hilfe
• Übersicht über Richtlinien für Softwareeinschränkung \ Richtlinien für
Softwareeinschränkung
MS Training
- 213 -
Frage 13
Sie sind der Netzwerkadministrator der Firma IT Consulting MERK. Das
Netzwerk besteht aus zwei Verzeichnisdiensten und jeweils einer einzelnen
Domäne. Die Domänenfunktionsebene bei beiden Verzeichnisstrukturen ist
Windows Server 2003. Eine Testumgebung bildet eine Verzeichnisstruktur,
die zweite ist die Produktionsumgebung. In der Testumgebung befindet
sich ein Domänencontroller.
Produktionsumgebung zu testen. Diese Tests schließen Änderungen an der
Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für
Domänencontroller mit ein. Zudem verwalten Sie in der Testumgebung
alle Gruppenrichtlinienobjekte für die gesamten Verzeichnisdienste.
Sie müssen in der Lage sein, die Sicherheitsrichtlinie für Domänen
und die Sicherheitsrichtlinie für Domänencontroller aus der Domäne
Test in der Produktionsumgebung implementieren und anwenden zu
können. Sie wollen diese Aufgabe mit dem geringsten möglichen
Verwaltungsaufwand erledigen.
- 214 -
A

Sie kopieren die Gruppenrichtlinie aus der
Testdomäne in die produktive Domäne. Sie führen
unter der Pfadangabe der Gruppenrichtlinie den
Befehl DcGPOFix [/ignoreschema] [/Target:
Domain | DC | BOTH] in der produktiven Domäne
aus.
B

Sie sichern die Sicherheitsrichtlinie für Domänen
und die Sicherheitsrichtlinie für
Domänencontroller der Produktionsdomäne durch
(GPMCs).
C

Sie importieren die Sicherheitsrichtlinie für
Domänen und die Sicherheitsrichtlinie für
Domänencontroller in die Testdomäne durch
(GPMCs) und einer Migrationstabelle.
D

Sie sichern und exportieren die angepassten Dateien
gpttmpl.inf, die die Einstellungen für die
Sicherheitsrichtlinie für Domänen und
Sicherheitsrichtlinie für Domänencontroller
beinhalten aus der Domäne Test und importieren sie
in die Domäne Produktion.
E

Sie erhöhen die Version der gpt.ini-Dateien für die
Sicherheitsrichtlinie für Domänen und die
Sicherheitsrichtlinie für Domänencontroller.
Richtige Antworten:
B und C
Begründung
Die Gruppenrichtlinienverwaltung (GPMC) ist in der Lage, die
Gruppenrichtlinien aus der Produktionsumgebung zu sichern, um sie
anschließend in die Testumgebung zu importieren. Das GPMC lässt
Administratoren-Gruppenrichtlinien für mehrere Domänen und Standorte
innerhalb einer oder mehrerer Verzeichnisstrukturen mittels einer
vereinfachten Benutzerschnittstelle (UI) per Drag-and-Drop-Unterstützung
bearbeiten. Neue Funktionen wie Unterstützung, Wiederherstellung,
Import, Kopie und Berichte von Gruppenrichtlinien lassen ein einfaches
Arbeiten zu. Diese Optionen sind vollständig über Skripte zu verwalten
und verhelfen zu einer automatisierten Verwaltung.
Die Antwort A ist nicht richtig, mit Dcgpofix werden die standardmäßigen
Gruppenrichtlinienobjekte auf ihren ursprünglichen Standardstatus nach
der Erstinstallation eines Domänencontrollers zurückgesetzt. Das Tool
Dcgpofix erstellt zwei neue standardmäßige Gruppenrichtlinienobjekte
und legt die Einstellungen basierend auf den Vorgängen fest, die nur im
Verlauf von Dcpromo durchgeführt werden. Es ist wichtig zu wissen, dass
- 215 -
Dcgpofix nicht die Sicherheitseinstellungen in dem Stadium
wiederherstellt, in dem sie sich vor der Ausführung von Dcpromo
befunden haben.
Beim Ausführen der Prozedur, wie in der Antwort D und E beschrieben,
müssen Sie äußerst sorgfältig vorgehen. Wird die GPO-Vorlage nicht
richtig konfiguriert, können die Domänencontroller möglicherweise nicht
mehr ordnungsgemäß ausgeführt werden. Zudem ist dieses Vorgehen mit
einem nicht geringen Arbeitsaufwand verbunden. Der Ablauf ist
folgendermaßen:
• Bearbeiten Sie die Datei gpttmpl.inf, um die Einstellungen
anzupassen. Der Standardpfad für den Ordner SYSVOL lautet
%SystemRoot%\sysvol, und die Datei gpttmpl.inf befindet sich in
dem Verzeichnis Sysvol-Pfad\Sysvol\Domänenname
\Policies\{31B2F340-016D-11D2-945F00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit.
• Geben Sie der Gruppenrichtlinie eine höhere Versionsnummer, um
sicherzustellen, dass die Änderungen an der Richtlinie beibehalten
werden. Die Datei gpt.ini steuert die Versionsnummern der
Gruppenrichtlinienvorlage. Diese Datei befindet sich in dem
Verzeichnis Sysvol-Pfad\sysvol\Domänenname \Policies\{31B2F340016D-11D2-945F-00C04FB984F9}.
• Übernehmen Sie die neue Gruppenrichtlinie, indem Sie mithilfe des
Tools secedit / Parameter die Gruppenrichtlinie manuell aktualisieren.
Hilfe
MS Training
- 216 -
Frage 14
Sie sind der Netzwerkadministrator der Firma Dynagroup IT GmbH. Ihre
Firma hat eine Tochtergesellschaft mit dem Namen MVS M. Völk Systems.
Die Firma Dynagroup IT GmbH verfügt über einen aktiven
Verzeichnisdienst mit der Bezeichnung DYNAGROUP.DE. Die
Domänenfunktionsebene Ihrer Firma ist Windows Server 2003. In Ihrer
Tochtergesellschaft MVS M. Völk Systems ist eine Windows NT 4 Domäne
mit der Bezeichnung MVSNET.DE vorhanden.
Ein Dateiserver mit der Bezeichnung »MVSNETFS04« ist Mitglied der
Domäne DYNAGROUP.DE. Alle Mitarbeiter in beiden Domänen müssen
jeden Tag Daten auf »MVSNETFS04« abspeichern. Sie möchten den
Mitarbeitern in der Domäne MVSNET.DE den Zugriff auf »MVSNETFS04«
erlauben.
Sie müssen sicherstellen, dass die Domänenadministratoren aus
DYNAGROUP.DE den Mitarbeitern von MVS M. Völk Systems keine
Berechtigungen auf den Servern in MVSNET.DE erteilen können.
Wie können Sie ihr Ziel erreichen?
A
{
zweiten Verzeichnisstruktur im vorhandenen
Verzeichnisdienst.
B
{
neuen Verzeichnisstruktur. Sie richten eine beidseitige
Vertrauensstellung ein.
C
{
DYNAGROUP.DE der Domäne MVSNET.DE vertraut.
D
{
MVSNET.DE der Domäne DYNAGROUP.DE vertraut.
Richtige Antwort: C
Begründung
Wir benötigen eine einseitige Vertrauensstellung, in der die Domäne
DYNAGROUP.DE der Domäne MVSNET.DE vertraut, denn Sie müssen
sicherstellen, dass Mitarbeiter, die sich in der Domäne MVSNET.DE
anmelden, Zugriff auf die Ressourcen von »MVSNETFS04« in der Domäne
DYNAGROUP.DE bekommen.
- 217 -
Es ist nicht notwendig, die Windows NT-Domäne upzugraden, wie in den
Antworten A und B vorgeschlagen wird. Es würde außerdem eine
beidseitige Vertrauensstellung eingerichtet werden. Das würde bedeuten,
dass die Domänenadminstratoren aus DYNAGROUP.DE den Mitarbeitern
der Domäne MVSNET.DE Rechte vergeben könnten. Damit widerspricht
Lösungsvorschlag B der Aufgabenstellung. In Antwort D hat die einseitige
Vertrauensstellung die falsche Richtung.
Hilfe
• Vertrauenstypen \ Active Directory
• Vertrauensrichtung \ Active Directory
• Vertrauensstellungen \ Active Directory
MS Training
• 1. Auflage: Seiten 28f., 236f.
- 218 -
Frage 15
MVSNET.DE. Alle Server verwenden als Betriebssystem Windows Server
2003 und alle Clientcomputer Windows XP Professional.
Der Verzeichnisdienst enthält die Organisationseinheiten Lohnbuchhaltung
Mitarbeiter, Lohnbuchhaltung Server und Finanz Server. Die Computer der
Mitarbeiter aus der Lohnbuchhaltung sind alle in der Organisationseinheit
Lohnbuchhaltung Mitarbeiter mit aufgenommen. Die Server der
Lohnbuchhaltung befinden sich alle in der Organisationseinheit
Lohnbuchhaltung Server, die Server der Finanzabteilung alle in der
Organisationseinheit Finanz Server.
Sie planen eine grundlegende Sicherheitsrichtlinie für die
Lohnbuchhaltung. Die Firmenrichtlinie gibt vor, dass die Kommunikation
mit den Servern der Lohnbuchhaltung nur mit IPSec stattfinden darf. Alle
anderen Server benötigen keine sichere Verbindung über IPSec. Sie
möchten die grundlegende Sicherheitsrichtlinie der Firmenrichtlinie
anpassen. Sie sollen sicherstellen, dass die Mitarbeiter der
Lohnbuchhaltung auf Ressourcen der Lohnbuchhaltung und der
Finanzabteilung zugreifen können.
Wie gehen Sie vor?
- 219 -
A
{
Lohnbuchhaltung Server. Sie erstellen eine zweite
B
{
Lohnbuchhaltung Server und Organisationseinheit
Finanz Server. Sie erstellen eine zweite
C
{
Organisationseinheit Lohnbuchhaltung Server. Sie
erstellen eine zweite Gruppenrichtlinie und fügen die
Richtlinie Client (nur Antwort) hinzu. Sie
verknüpfen die neue Gruppenrichtlinie mit der
Organisationseinheit Lohnbuchhaltung Mitarbeiter.
D
{
Organisationseinheit Lohnbuchhaltung Server und der
Organisationseinheit Finanz Server. Sie erstellen eine
zweite Gruppenrichtlinie und fügen die Richtlinie
Client (nur Antwort) hinzu. Sie verknüpfen die
neue Gruppenrichtlinie mit der Organisationseinheit
Richtige Antwort: A
Begründung
Durch Hinzufügen der IPSec Richtlinie Sicherer Server (Sicherheit
erforderlich) zu der Organisationseinheit Lohnbuchhaltung Server stellen
Sie sicher, dass nur eine sichere Kommunikation über IPSec stattfindet.
Durch Hinzufügen der IPSec-Richtlinie Client (nur Antwort) zur
Organisationseinheit Lohnbuchhaltung Mitarbeiter wird sichergestellt, dass
- 220 -
die Clientcomputer eine IPSec-Verbindung zu den Servern der
Lohnbuchhaltung herstellen.
Standardrichtlinien
Nachdem Sie die Arten des zu sichernden Datenverkehrs und die
erforderliche Sicherheitsebene identifiziert haben, können Sie mit der
Richtlinienkonfiguration beginnen. Die Windows XP- und Windows
Server 2003-IPSec-Richtlinienkonfiguration ist die Umsetzung Ihrer
Sicherheitserfordernisse in eine oder mehrere IPSec-Richtlinien, von
denen nur eine auf jeder der folgenden Ebenen zugewiesen werden kann:
Domäne, Standort, Organisationseinheit oder lokale Ebenen. Jede IPSecRichtlinie enthält eine oder mehrere IPSec-Regeln.
Client (nur Antwort)
Hierbei handelt es sich um eine Richtlinie für Computer, die
Kommunikation auf Anforderung eines Servers zu sichern. So ist
beispielsweise die Verwendung von IPSec auf Intranetclients nicht
erforderlich, es sei denn, dies wird von einem anderen Computer
angefordert. Diese Richtlinie ermöglicht dem betreffenden Computer, auf
Anforderungen auf eine gesicherte Datenübertragung zu antworten. Diese
Richtlinie enthält die Standardantwortregel, mit der auf der Basis des
angeforderten Protokolls und des Anschlussverkehrs für die zu sichernde
Kommunikation dynamische IPSec-Filter für eingehenden und
ausgehenden Datenverkehr erstellt werden.
Server (Sicherheit anfordern)
Hierbei handelt es sich um eine Richtlinie für Computer, die die
Kommunikation in der Regel sichern sollten, die jedoch auch ungesicherte
Kommunikation mit nicht IPSec-kompatiblen Computern zulässt. Bei
Anwendung dieser Richtlinie akzeptiert der Computer ungesicherten
Datenverkehr, versucht jedoch ständig, die weitere Kommunikation zu
sichern, indem er Sicherheitsanforderungen an den Sender richtet. Diese
Richtlinie ermöglicht die vollständige, ungesicherte Datenübertragung,
wenn der andere Computer nicht IPSec-aktiviert ist. Die Kommunikation
mit bestimmten Servern kann z. B. sicher sein, obwohl der Server generell
auch ungesichert kommunizieren kann, um einen Pool verschiedener
Clients zu bedienen, von denen nur einige IPSec unterstützen.
Diese Richtlinie verfügt über eine Regel für die Anforderung von Sicherheit
für den gesamten IP-Datenverkehr, eine Regel zum Zulassen von ICPMDatenverkehr und die Standardantwortregel, mit der auf
Sicherheitsanforderungen anderer Computer geantwortet wird.
Sicherer Server (Sicherheit erforderlich)
Hierbei handelt es sich um eine Richtlinie für Computer in einem Intranet,
für die eine sichere Kommunikation erforderlich ist, z. B. für Server, die
- 221 -
zur Übertragung hochsensibler Daten verwendet werden. Administratoren
können diese IPSec-Richtlinie als Vorlage verwenden, um eigene,
benutzerdefinierte IPSec-Richtlinien für Firmenzwecke zu erstellen. Durch
die in dieser Richtlinie verwendeten Filter wird die gesamte ausgehende
Kommunikation gesichert. Nur die anfänglich eingehende
Kommunikationsanforderung darf ungesichert sein. Diese Richtlinie
verfügt über eine Regel für die Anforderung von Sicherheit für den
gesamten IP-Datenverkehr, eine Regel zum Zulassen von ICPMDatenverkehr und die Standardantwortregel, mit der auf
Sicherheitsanforderungen anderer Computer geantwortet wird.
Hilfe
• Standardrichtlinien für die IP-Sicherheit
MS Training
- 222 -
Frage 16
Bezeichnung EISSNER-EDV.DE. Alle Server verwenden Windows Server
2003 als Betriebssystem.
Sie müssen die Benutzerdatenbank des Domänencontrollers vor
unberechtigten Zugriff schützen und möchten dieses Ziel mit möglichst
geringem Verwaltungsaufwand durchführen.
Mit welchen zwei Aktionen lässt sich dieses Ziel erreichen?
(Jede Antwort ist ein Teil der Lösung!)
A

Sie verwenden das Dienstprogramm für
Systemschlüssel (syskey.exe) und wenden die
sicherste Methode auf dem Domänencontroller an.
B

Sicherheitsvorlage securedc.inf und wenden diese
C

Sie erstellen eine Gruppenrichtlinie und konfigurieren
die Netzwerksicherheit LAN Manager
Authentifizierung-Option so, dass sie zum Senden
NTLMv2 verwendet wird.
D

Sicherheitsvorlage security.inf und wenden diese
Richtige Antworten:
A und B
Begründung
Wenn ein Domänencontroller leicht zugänglich ist, kann sich ein Benutzer
mit böswilligen Absichten Zugriff auf verschlüsselte Kennwörter
verschaffen. Aus diesem Grund empfiehlt es sich, alle Domänencontroller
in Ihrer Organisation in einem sicheren Raum zu verwahren, zu dem nur
bestimmte Personen Zugang haben. Weitere Sicherheitsmaßnahmen, wie
z. B. SYSKEY (Systemschlüssel), bieten zusätzlichen Schutz für
Domänencontroller.
Auszug aus Microsoft Hilfe
Die Kennwortdaten für Benutzerkonten werden auf Arbeitsstationen und
Mitgliedsservern in der Datenbank der Sicherheitskontenverwaltung
(Security Accounts Manager, SAM) der Registrierung gespeichert. Auf
Domänencontrollern werden die Kennwortdaten in Verzeichnisdiensten
gespeichert. Software zum Ermitteln von Kennwörtern hat häufig die SAMDatenbank oder Verzeichnisdienste zum Ziel, um auf Kennwörter für
- 223 -
Benutzerkonten Zugriff zu erlangen. Das Dienstprogramm für
Systemschlüssel (SYSKEY) bietet eine zusätzliche Verteidigungsinstanz
gegen Software zum Ermitteln von Kennwörtern. Es setzt Verfahren zur
starken Verschlüsselung ein, um in der SAM-Datenbank oder in
Verzeichnisdiensten gespeicherte Kontokennwortdaten zu schützen. Das
Ermitteln von verschlüsselten Kontokennwörtern ist schwieriger und
zeitaufwendiger als das Ermitteln unverschlüsselter Kontokennwörter.
Weitere Informationen zur Verschlüsselung finden Sie unter
Verschlüsselung.
Das Dialogfeld Schlüssel für Systemstart enthält drei Optionen für
Systemschlüssel, die auf die Anforderungen unterschiedlicher
Umgebungen ausgelegt sind (siehe dazu die folgende Tabelle).
- 224 -
Option für
Systemschlüssel
Relative
Sicherheitsstufe
Beschreibung
Vom System
generiertes Kennwort,
Systemstartschlüssel
wird lokal gespeichert
Sicher
Verwendet einen zufälligen
computergenerierten Schlüssel
als Systemschlüssel und
speichert eine verschlüsselte
Version des Schlüssels auf dem
lokalen Computer. Diese Option
bietet eine starke
Verschlüsselung der
Kennwortdaten in der
Registrierung und ermöglicht
dem Benutzer den Neustart des
Computers, ohne dass ein
Administrator ein Kennwort
eingeben oder eine Diskette
einlegen muss.
Vom Administrator
Kennwort für den
Systemstart
Sicherer
als Systemschlüssel und
speichert eine verschlüsselte
Version des Schlüssels auf dem
lokalen Computer. Der Schlüssel
ist auch durch ein vom
Administrator gewähltes
Kennwort geschützt. Benutzer
werden zur Eingabe des
Systemschlüsselkennworts
aufgefordert, wenn der Computer
die Initialisierung durchläuft. Das
Systemschlüsselkennwort wird
nicht auf dem Computer
gespeichert.
Vom System
Systemstartschlüssel
wird auf Diskette
gespeichert
Am sichersten
und speichert diesen auf einer
Diskette. Die Diskette mit dem
Systemschlüssel wird für den
Systemstart benötigt und muss
bei der entsprechenden
Aufforderung während des
Startvorgangs eingelegt werden.
Der Systemschlüssel wird nicht
auf dem Computer gespeichert.
Das Verwenden des Dienstprogramms für Systemschlüssel ist optional.
Wenn die Diskette mit dem Systemschlüssel verloren geht oder das
Kennwort vergessen wird, können Sie den Computer nur durch
Wiederherstellen der Registrierung wieder starten. Dabei muss die
- 225 -
Registrierung auf den Stand vor der Verwendung des Systemschlüssels
gebracht werden.
Wenn ein Domänencontroller mit securedc.inf konfiguriert ist, kann ein
Benutzer mit einem Konto in dieser Domäne von einem Clientcomputer,
auf dem ausschließlich LAN Manager ausgeführt wird und der das
Domänenkonto verwendet, keine Verbindung zu einem Mitgliedsserver
herstellen.
Auf folgenden Computern wird LAN Manager ausgeführt: Computer unter
Windows für Workgroups sowie Plattformen unter Windows 95 und
Windows 98, auf denen nicht Active Directory Client Extensions installiert
ist. Wenn Active Directory Client Extensions unter Windows 95 oder
Windows 98 installiert ist, kann auf den entsprechenden Clients NTLMv2
verwendet werden. Windows Millennium Edition unterstützt NTLMv2 ohne
zusätzliche Anpassung.
Hilfe
• Sicherheit / Authentifizierung / Kennwörter / Konzepte / Das
Dienstprogramm für Systemschlüssel
• Sicherheit / Sicherheitskonfigurationsmanager / Konzepte /
Verwenden des Sicherheitskonfigurationsmanagers / Vordefinierte
Sicherheitsvorlagen
MS Training
- 226 -
Frage 17
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Alle
Domänencontroller verwenden das Betriebssystem Windows Server 2003.
Das Netzwerk enthält 50 Windows 98 Computer, 300 Windows 2000
Professional Computer und 150 Windows XP Professional Computer.
Entsprechend der Netzentwurfsspezifikation muss das Kerberos Version 5
Bestätigungsprotokoll für alle Clientcomputer im internen Netz verwendet
werden.
Sie müssen sicherstellen, dass Kerberos Version 5 Bestätigung für alle
Clientcomputer im internen Netz verwendet wird.
A
{
Sie deaktivieren auf jedem Domänencontroller das
Server Message Block (SMB) Protokoll für die
Verschlüsselung einer sicheren Datenverbindung.
B
{
Windows XP Professional.
C
{
Sie installieren auf allen Windows 98 Clientcomputern
die Verzeichnisdienstkomponente.
D
{
Windows NT 4 Workstations.
Richtige Antwort: B
Begründung
Standardmäßig können in einer Windows Server 2003-Domäne nur
Windows 2000 Clientcomputer oder Windows XP Professional das
Kerberosprotokoll verwenden. Windows 98 hat keine Unterstützung für
dieses Protokoll, also bleibt nur ein Upgraden übrig.
Hilfe
• Active Directory-Clients \ Active Directory
MS Training
- 227 -
Frage 18
Bezeichnungen MVSNET.DE, DACHAU.MVSNET.DE und
AUGSBURG.MVSNET.DE. Die Domänenfunktionsebene ist Windows Server
2003.
Die Domänen DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE enthalten
Benutzerkonten, Computerkonten und Mitgliedsserver. Die Domäne
MVSNET.DE enthält nur die Administratoren und Computerkonten für zwei
Domänencontroller. Jeder Mitgliedsserver führt nur die Dienste
Dateiserver, Druckserver, WEB-Server oder Datenbankserver aus.
Ihre Firma plant die Verwendung eine Gruppenrichtlinie für eine zentrale
Verwaltung der Sicherheitseinstellungen der Mitgliedsserver. Einige der
Sicherheitseinstellungen müssen auf alle Mitgliedsserver angewandt und
dürfen nicht überschrieben werden. Andere Sicherheitseinstellungen sind
nur für die entsprechenden Serverdienste gedacht.
Sie müssen eine Struktur von Organisationseinheiten schaffen, um die
Gruppenrichtlinien zu unterstützen. Sie wollen so wenig wie möglich
Gruppenrichtlinien und Verbindungen erstellen.
- 228 -
A
{
MVSNET.DE. Sie erstellen eine Organisationseinheit
auf oberster Ebene mit der Bezeichnung Server
unterhalb der Domäne DACHAU.MVSNET.DE. Sie
erstellen eine Organisationseinheit auf oberster Ebene
mit der Bezeichnung Server unterhalb der Domäne
AUGSBURG.MVSNET.DE.
B
{
Domäne DACHAU.MVSNET.DE. Sie erstellen eine
der Organisationseinheit Server. Sie erstellen eine
Organisationseinheit auf oberster Ebene mit der
Bezeichnung Server unterhalb der Domäne
AUGSBURG.MVSNET.DE. Sie erstellen eine
C
{
Domäne MVSNET.DE. Sie erstellen eine
D
{
DACHAU.MVSNET.DE. Sie erstellen eine
Organisationseinheit auf oberster Ebene für jeden
Serverdienst unterhalb der Domäne
AUGSBURG.MVSNET.DE.
Richtige Antwort
B
Begründung
Mit einer Organisationseinheit auf oberster Ebene mit der Bezeichnung
Server können wir ein Gruppenrichtlinienobjekt einbinden, das Auswirkung
auf alle Mitgliedsserver hat. Mit einer untergeordneten
Organisationseinheit für die entsprechenden Serverdienste kann man
Gruppenrichtlinienobjekte entsprechend der Serverfunktion einbinden. Die
Mitgliedsserver befinden sich in den beiden untergeordneten Domäne und
somit müssen wir die Struktur in beiden Domänen erstellen.
In Lösung A fehlen die Organisationseinheiten für jeden Serverdienst in
den Domänen DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE, da jede
Domäne ihre eigenen Mitgliedsserver enthält. Außerdem wird für die
Domäne MVSNET.DE keine Organisationseinheit benötigt, da hier keine
Mitgliedserver existieren. Die Lösung C ist falsch, weil hier übersehen
- 229 -
wird, dass die Richtlinien nicht auf die Domänencontroller angewendet
werden sollen.
In Lösung C werden die Organisationseinheiten nur in der Domäne
MVSNET.DE erstellt. Die Server, für die die Gruppenrichtlinien bestimmt
sind, befinden sich aber in den Domänen DACHAU.MVSNET.DE und
AUGSBURG.MVSNET.DE, und können folglich nicht damit verwaltet
werden.
In Lösung D werden alle OUs auf oberster Ebene erstellt, dadurch werden
die Gruppenrichtlinien nicht Vererbt. Deshalb müssen GPOs mit
Einstellungen für alle Server mit der jeweiligen OU verknüpft werden. Es
entstehen dadurch unnötig fiele Verknüpfungen zwischen OUs und GPOs.
Das Ziel, so wenig wie möglich solcher Verknüpfungen zu erstellen wird
dadurch nicht erreicht.
Hilfe
MS Training
• 1. Auflage: Seiten 32, 379, 590f.
• 2. Auflage: Seiten 32, 387, 604f.
- 230 -
Frage 19
EISSNER-EDV.DE. Alle Server verwenden Windows Server 2003 als
Betriebssystem, alle Clientcomputer Windows XP Professional.
Die EDV-Beratung Eißner hat ein Büro in Veilsdorf und ein weiteres in
Hildburghausen. Jedes Büro ist als Standort im Verzeichnisdienst definiert.
Jedes Büro verfügt über zwei Domänencontroller.
Das Netzwerk ist so konfiguriert, dass eine Mitteilung auf dem Bildschirm
aller Benutzer angezeigt wird, bevor sie sich anmelden. Auf Anfrage der
Rechtsabteilung nehmen Sie eine Änderung an der Mitteilung vor, indem
Sie die Einstellungen in einer Gruppenrichtlinie ändern. Diese
Gruppenrichtlinie ist mit der Domäne verknüpft.
Die Rechtsabteilung berichtet, dass nicht alle Benutzer die neue Mitteilung
erhalten. Sie entdecken, dass Benutzer im Büro Veilsdorf die neue
Mitteilung erhalten, aber Benutzer im Büro Hildburghausen erhalten
weiterhin die alte Mitteilung. Das Problem besteht mehrere Tage.
Sie müssen sicherstellen, dass die neue Mitteilung auf allen Computern im
Netz richtig angezeigt wird.
Wie gehen Sie vor?
A
{
Sie erstellen eine neue Sicherheitsgruppe und fügen
alle Computerkonten aus Veilsdorf hinzu. Sie erlauben
der Sicherheitsgruppe die Anwendung der
Gruppenrichtlinie.
B
{
Sie fügen einen Domänencontroller aus dem Standort
Veilsdorf dem Standort Hildburghausen hinzu, warten
24 Stunden und bringen den Server in seinen
ursprünglichen Standort zurück.
C
{
Sie erzwingen eine Replikation des
Verzeichnisdienstes.
D
{
Sie melden sich an einem Domänencontroller in
Veilsdorf an und fügen ihm die
Betriebsmasterfunktion Infrastruktur hinzu.
Richtige Antwort: C
Begründung
Es sieht so aus, als wenn die Gruppenrichtlinie nicht nach Hildburghausen
repliziert worden ist, denn es werden immer noch die alten Informationen
- 231 -
angezeigt. Wir müssen die Replikation zwischen den beiden Standorten
erzwingen, um sicherzustellen, dass die Informationen repliziert werden.
Da die Gruppenrichtlinie mit der Domäne verknüpft ist, erübrigt sich die
Erstellung einer Gruppenrichtlinie für eine Sicherheitsgruppe. Deshalb ist
Antwort A falsch. Die Lösung B ist unpraktisch und funktioniert nicht, da
die Einstellungen des Domänencontrollers aus Veilsdorf nicht zum Subnetz
in Hildburghausen passen. Lösung D hat nichts mit der Replikation einer
Gruppenrichtlinie zwischen zwei Standorten zu tun.
Hilfe
• Grundlegendes zu Standorten und zur Replikation \ Active Directory
• Übersicht über die Replikation \ Active Directory
• Funktionsweise der Replikation \ Active Directory
MS Training
- 232 -
Frage 20
EISSNER-EDV.DE. Die Domäne enthält eine Organisationseinheit Verkauf.
Sie erstellen drei Gruppenrichtlinienobjekte, die über vier
Konfigurationseinstellungen (siehe Tabelle) verfügen:
Standort
GPO-Name
GPO-Konfiguration
Einstellungen
Domäne
Bildschirmschoner
Verstecken der
Registerkarte
Bildschirmschoner
Deaktiviert
OU
Verkauf
Anzeige und
Verstecken der
Registerkarte
Bildschirmschoner
Aktiviert
OU
Verkauf
Anzeige und
Pfad für aktuellen
r\bliss.jpg
Aktiviert
OU
Verkauf
Pfad für aktuellen
r\Fruehling.jpg
Aktiviert
Die Gruppenrichtlinie Bildschirmschoner hat die Einstellung nicht
Überschreiben aktiviert. Auf der Organisationseinheit Verkauf ist die
Vererbung der Gruppenrichtlinien aktiviert. Die Reihenfolge der
verknüpften Richtlinien für die Organisationseinheit Verkauf ist Anzeige
und Bildschirmhintergrund und als zweites Bildschirmhintergrund.
Für die Benutzer in der Organisationseinheit Verkauf soll die Registerkarte
Bildschirmschoner deaktiviert und der Bildschirmhintergrund
Fruehling.jpg sein. Sie melden sich an einem Testcomputer mit einem
Benutzerkonto aus der Organisationseinheit Verkauf an, aber Sie
bekommen nicht die geforderten Einstellungen.
Sie müssen sicherstellen, dass für die Benutzer aus der
Organisationseinheit Verkauf die Registerkarte Bildschirmschoner
deaktiviert wird und als Bildschirmhintergrund Fruehling.jpg eingesetzt
wird. Benutzer in anderen Organisationseinheiten dürfen von diesen
Einstellungen nicht betroffen werden.
Wie gehen Sie vor?
- 233 -
A
{
Sie aktivieren die Einstellung nicht Überschreiben
für die Gruppenrichtlinie Anzeige und
Bildschirmhintergrund.
B
{
Sie deaktivieren die Einstellung nicht Überschreiben
für die Gruppenrichtlinie Bildschirmhintergrund.
Verschieben Sie die Gruppenrichtlinie
Bildschirmhintergrund an die erste Stelle der
Reihenfolge.
C
{
Sie erstellen eine Gruppenrichtlinie und verknüpfen
sie mit dem Objekt Standardname-des-erstenStandorts. Sie konfigurieren die Gruppenrichtlinie so,
dass Verzeichnisdiensthintergrund auf
c:\WINNT\web\wallpaper\Fruehling.jpg verweist.
D
{
Sie deaktivieren die Vererbung der Richtlinien für die
Organisationseinheit Verkauf. Sie ändern die
Gruppenrichtlinie Anzeige und Bildschirmhintergrund
und verweisen für den Verzeichnisdiensthintergrund
auf c:\WINNT\web\wallpaper\Fruehling.jpg.
Richtige Antwort: B
Begründung
Die Option nicht Überschreiben in der Gruppenrichtlinie
Bildschirmschoner bewirkt, dass auf allen Computer in der Domäne die
Registerkarte Bildschirmschoner angezeigt wird. Sie möchten jedoch,
dass dies nur für Mitarbeiter der Organisationseinheit Verkauf Auswirkung
haben soll. Alle anderen Mitarbeiter sollen davon nicht betroffen werden.
Da diese Gruppenrichtlinie Auswirkung auf die gesamte Domäne hat,
müssen wir diese Einstellung in einer anderen Gruppenrichtlinie
anwenden.
Wir müssen die Gruppenrichtlinie Bildschirmhintergrund an die erste
Stelle der Reihenfolge verschieben. Dadurch hat sie eine höhere Priorität
als die Gruppenrichtlinie Anzeige und Bildschirmhintergrund. Damit
überschreibt die Gruppenrichtlinie Bildschirmhintergrund die
Einstellungen der Gruppenrichtlinie Anzeige und
Bildschirmhintergrund und deshalb wird der Bildschirmhintergrund
Fruehling.jpg angewendet.
Gruppenrichtlinieneinstellungen werden in der nachstehenden Reihenfolge
verarbeitet:
- 234 -
• Lokales Gruppenrichtlinienobjekt - auf jedem Computer ist genau ein
Gruppenrichtlinienobjekt lokal gespeichert. Für dieses werden
Computer- und Benutzergruppenrichtlinien verarbeitet.
• Standort - alle Gruppenrichtlinienobjekte, die mit dem Standort des
Computers verknüpft sind, werden im nächsten Schritt verarbeitet.
Die Verarbeitung erfolgt in der Reihenfolge, die der Administrator in
der Gruppenrichtlinienverwaltungskonsole auf der Registerkarte
verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben
hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für
Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den
Vorrang.
• Domäne - die Verarbeitung mehrerer, mit einer Domäne verknüpfter
Gruppenrichtlinienobjekte erfolgt in der Reihenfolge, die der
Administrator in der Gruppenrichtlinienverwaltungskonsole auf der
Registerkarte verknüpfte Gruppenrichtlinienobjekte für die Domäne
angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten
Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat
daher den Vorrang.
• Organisationseinheiten - zunächst werden die
Gruppenrichtlinienobjekte verarbeitet, die mit der
Organisationseinheit an der obersten Position in der Active DirectoryHierarchie verknüpft sind, dann die Gruppenrichtlinienobjekte, die mit
der untergeordneten Organisationseinheit dieser Einheit verknüpft
sind usw. Abschließend werden die Gruppenrichtlinienobjekte
verarbeitet, die mit der Organisationseinheit verknüpft sind, in der
sich der betreffende Benutzer oder Computer befindet.
Hilfe
MS Training
- 235 -
Frage 21
Server 2003, alle Clientcomputer Windows XP Professional. Die Benutzer
haben keine lokalen Administrationsrechte.
Ihre Firma bekommt eine neue Software für die Auftragsbearbeitung.
Diese Software muss auf jedem Clientcomputer installiert werden. Die
Applikation enthält eine .msi-Datei. Sie kopieren diese Datei in einen
freigegeben Ordner auf einem Dateiserver. Sie erteilen der Gruppe
Authentifizierte Benutzer das Leserecht für diesen Ordner.
Sie wollen diese Software einsetzen und weisen die Mitarbeiter an, dass
sie diese .msi-Datei mit einem Doppelklick im freigegeben Ordner starten
sollen. Als die Mitarbeiter jedoch versuchen, diese Software zu installieren,
erhalten sie eine Fehlermeldung.
Sie müssen das Netzwerk so konfigurieren, dass diese Software installiert
werden kann.
Welche zwei Optionen müssen Sie verwenden?
A

fügen die Software für alle Computer hinzu.
B

Sie erweitern die Rechte der Mitarbeiter soweit, dass die
Mitarbeiter während der Installation einen temporären
Ordner im freigegeben Ordner erstellen können.
C

deaktivieren die Option Windows Installer
deaktivieren im Bereich Computerkonfiguration.
D

aktivieren die Option immer mit erhöhten Rechten
installieren im Bereich Computerkonfiguration.
Richtige Antworten:
A und D
Begründung
Die Installation schlägt deshalb fehl, weil Ihnen die entsprechenden
Rechte dafür fehlen. Man kann dieses Problem mit Hilfe von
Gruppenrichtlinien lösen. Dazu muss man als Erstes die Software im
Bereich Computerkonfiguration/Softwareinstallation hinzufügen.
Anschließend müssen die Rechte für den Windows Installer erweitert
werden, sodass alle Benutzer ohne lokale Admin-Rechte die Software
installieren können.
- 236 -
Windows Installer ist ein integrierter Bestandteil von IntelliMirror und eine
der Kernkomponenten der gruppenrichtlinienbasierten Technologie zur
Änderungs- und Konfigurationsverwaltung. Mit den Technologien von
IntelliMirror, den Gruppenrichtlinien und der Änderungs- und
Konfigurationsverwaltung können Administratoren bestimmte
Anwendungen genehmigen. Hierbei wird festgelegt, dass alle
Konfigurationsvorgänge für die betreffenden Anwendungen (Installation,
Deinstallation und Reparatur) mit dem lokalen Systemkonto ausgeführt
werden. Der Administrator steuert und verwaltet das Dateisystem und die
Registrierung; Windows Installer wird bei der Installation von Software
durch die Benutzer eingesetzt.
Nur Anwendungen, die vom Administrator genehmigt sind, werden mit
erhöhten Rechten ausgeführt. Administratoren können Active Directory,
IntelliMirror und Gruppenrichtlinien nutzen, um Anwendungen für
Benutzer- oder Computergruppen im Unternehmen zuzuweisen oder zu
veröffentlichen. Active Directory ist ein sicherer, verteilter, partitionierter
und replizierter Verzeichnisdienst, mit dem Verwaltungsdienste zur
Verfügung gestellt werden. Diese Dienste umfassen ein standardisiertes
Verfahren zum Auffinden von Ressourcen im Unternehmen sowie zum
Zuweisen von Gruppenrichtlinien zu Objekten, die mit Active Directory
verwaltet werden.
Immer mit erhöhten Rechten installieren:
Veranlasst Windows Installer, Systemberechtigungen bei der Installation
von Programmen zu verwenden.
Diese Einstellung erweitert erhöhte Berechtigungen für alle Programme.
Die Berechtigungen gelten normalerweise nur für Programme, die dem
Benutzer (wie z. B. Programme auf dem Desktop) oder dem Computer
(diese werden automatisch installiert) zugewiesen wurden. Sie gilt aber
auch für Programme, die unter „Software“ in der Systemsteuerung
verfügbar sind. Diese Einstellung ermöglicht es Benutzern, Programme in
Verzeichnissen zu installieren, auf die sie normalerweise keinen Zugriff
haben, inklusive Verzeichnissen auf stark eingeschränkten Computern.
Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, werden die
aktuellen Benutzerberechtigungen für Installationen von Programmen, die
nicht vom Systemadministrator zugewiesen oder angeboten werden,
angewendet.
Hilfe
• IntelliMirror\Übersicht über Verwaltungsstrategien und –Programme
• Verwenden von Optionen für den Computer mit Hilfe von
Gruppenrichtlinien\Windows Installer
MS Training
- 237 -
- 238 -
Frage 22
2003, alle Clientcomputer Windows XP Professional.
Alle Server, die keine Domänencontroller sind, haben ein Computerkonto
in der Organisationseinheit ApplikationServers. Die Computerkonten der
Clientcomputer sind auf 15 verschiedene Organisationseinheiten innerhalb
des Verzeichnisdienstes verteilt, alle Benutzerkonten in der
Organisationseinheit FirmenMitarbeiter zusammengefasst.
Die Firma möchte, dass alle Mitarbeiter Microsoft Word auf ihren
Clientcomputer haben. Die Firma möchte jedoch nicht, dass Microsoft
Word auf den Domänencontrollern oder den anderen Servern installiert
wird.
Sie müssen das Netzwerk so konfigurieren, dass die Software ohne
Auswirkung auf bestehende Richtlinien oder sonstige Einstellungen
installiert werden kann.
Wie gehen Sie vor?
- 239 -
A
{
Word in der
Domänencontroller.
B
{
Word in der
ausführen können.
C
{
Word in der
Domänencontroller.
D
{
Word in der
lesen können.
Richtige Antwort: B
Begründung
Die Software soll auf allen Clientcomputern, aber nicht auf den
Domänencontrollern oder den Mitgliedsservern installiert werden. Weil die
Clientcomputer auf 15 Organisationseinheiten verteilt sind, wäre es
sinnvoll, das Gruppenrichtlinienobjekt auf Domänenebene zu verbinden.
Die Organisationseinheiten, die die Clientcomputer enthalten, würden
damit die Einstellungen der Gruppenrichtlinie erhalten. Um das
Gruppenrichtlinienobjekt daran zu hindern, sich auf die Domänencontroller
und Mitgliedsservern auszuwirken, können wir einfach das Lese-Rechte für
Domänencontroller und Mitgliedsservern verbieten.
Software Installation
- 240 -
Wenn Benutzern oder Computern Anwendungen zugewiesen sind, werden
diese automatisch bei der Anmeldung (bei Benutzern zugewiesenen
Anwendungen) oder beim Start (bei Computern zugewiesenen
Anwendungen) auf den entsprechenden Computern installiert. Eine den
Benutzern zugewiesene Anwendung wird standardmäßig auf dem
Computer angekündigt, wenn der Benutzer sich das nächste Mal
anmeldet. Dies bedeutet, dass eine Verknüpfung mit der Anwendung im
Startmenü angezeigt und die Registrierung mit Informationen zu der
Anwendung aktualisiert wird.
Dazu gehören der Pfad des Anwendungspaketes und der Pfad der
Quelldateien für die Installation. Anhand dieser Ankündigung auf dem
Computer des Benutzers wird die Anwendung installiert, wenn sie vom
Benutzer zum ersten Mal verwendet wird. Zusätzlich zu diesem
Standardverhalten unterstützen Windows XP Professional-Clients und
Windows Server 2003 eine Option zur vollständigen Installation des
Pakets bei der Anmeldung, alternativ zur Installation bei der ersten
Verwendung. Wenn diese Option festgelegt ist, wird sie auf Computern
unter Windows 2000 ignoriert, da den Benutzern zugewiesene
Anwendungen unter diesem Betriebssystem immer angekündigt werden.
Computern zugewiesene Anwendungen werden beim nächsten Start des
Computers installiert. Den Computern zugewiesene Anwendungen werden
nicht angekündigt, sondern mit den Standardfunktionen installiert, die für
das Paket konfiguriert sind. Anwendungen können nur dann mit
Gruppenrichtlinien zugewiesen werden, wenn die Anwendungsinstallation
als Windows Installer-Paket (msi-Datei) erstellt wurde.
Veröffentlichen von Anwendungen:
Anwendungen können für Benutzer auch veröffentlicht werden. Dies
bedeutet, dass die Anwendung für den Benutzer zur Installation
bereitgestellt wird. Zum Installieren einer veröffentlichten Anwendung
können Benutzer Software in der Systemsteuerung verwenden.
Software enthält eine Liste aller veröffentlichten Anwendungen, die zum
Installieren verfügbar sind. Alternativ kann der Benutzer eine
Dokumentdatei öffnen, die einer veröffentlichten Anwendung zugeordnet
ist, wenn der Administrator die Funktion automatisch installieren und
Dateierweiterung ausgewählt hat. So wird beispielsweise Microsoft Excel
installiert, wenn auf eine XLS-Datei doppelt geklickt wird und Excel noch
nicht installiert ist. Anwendungen können nur in Verbindung mit
Benutzerrichtlinien und nicht für Computer veröffentlicht werden.
Um alle Funktionen der Softwareinstallation mit Gruppenrichtlinien nutzen
zu können, sollten vorzugsweise Anwendungen verwendet werden, die ein
Windows Installer-Paket (msi-Datei) umfassen. Veröffentlichte msi-Pakete
können beispielsweise auch von Benutzern ohne administrative
Anmeldeinformationen installiert werden.
- 241 -
Legacyprogramme für die Installation können allerdings auch unter
Verwendung einer zap-Datei veröffentlicht werden. Diese Anwendungen
werden wie jede andere veröffentlichte Anwendung unter Software
angezeigt, können in der Regel jedoch nur von Benutzern mit
administrativen Anmeldeinformationen installiert werden. Eine zap-Datei
ist eine einfache Textdatei, die den Pfad zum Installationsprogramm sowie
alle Argumente enthält, die in der Befehlszeile übergeben werden sollen.
In den Lösungsvorschlägen A und C wirkt sich die Deaktivierung der
Vererbung auf alle untergeordneten Objekte aus. Deshalb wird es nicht
empfohlen, die Vererbung zu deaktivieren. Bei Lösung D ist nicht
sichergestellt, dass die Software tatsächlich auf allen Clientcomputern
installiert wird, da die Verteilung der Software an die Benutzer und nicht
die Computer gebunden ist.
Hilfe
• Bereitstellen und Aktualisieren von Software\Allgemeine
Verwaltungsaufgaben
MS Training
• 1. Auflage: Seite 32f., 616, 719f.
• 2. Auflage: Seite 32f., 631, 737f.
- 242 -
Frage 23
2003, alle Clientcomputer Windows 2000 Professional oder Windows XP
Professional. Die Clientcomputer sind in der Organisationseinheit
Arbeitsstationen zusammengefasst.
Die Firmenrichtlinie gibt vor, dass die Windows 2000 Professional
Computer keine Offlineordner verwenden dürfen. Sie erstellen eine neue
Gruppenrichtlinie, die diese Vorgabe enthält. Diese Einstellung in der
Gruppenrichtlinie gilt für Windows 2000 Professional und Windows XP
Professional Computer gleichermaßen.
Sie müssen eine Gruppenrichtlinie nur für die Windows 2000 Professional
Computer konfigurieren.
(Jede richtige Antwort ist eine vollständige Lösung.)
A

nur auf Windows 2000 Professional Computer anwendet.
B

nicht auf Windows XP Professional Computer anwendet.
C

Sie erstellen zwei Organisationseinheiten unterhalb der
Organisationseinheit Arbeitsstationen. Sie verschieben die
Computer mit Windows XP in die eine
Organisationseinheit und die Computer mit Windows
2000 in die zweite Organisationseinheit. Sie verknüpfen
diese Gruppenrichtlinie dann mit der Organisationseinheit
Arbeitsstationen.
D

Sie erstellen eine Gruppe, die alle Windows XP
Gruppe den Zugriff auf die Organisationseinheit.
E

Sie erstellen eine Gruppe, die alle Windows 2000
Gruppe den Zugriff auf Hinzufügen von
Gruppenrichtlinienberechtigungen.
Richtige Antworten:
A und B
Begründung
Dies ist eine schwierige Frage, weil WMI-Filter von Windows 2000 Clients
ignoriert werden. Die Windows XP Clients können die Filter auswerten,
und das ist in unserem Fall ausreichend.
- 243 -
In Antwort A erkennen die XP-Clientcomputer anhand des Filters, dass das
Gruppenrichtlinienobjekt nicht bei ihnen zur Ausführung kommen soll. Die
Windows 2000 Clientcomputer wenden das Gruppenrichtlinienobjekt an,
ohne den WMI-Filter zu auszuwerten. In Antwort B liegt der Fall ähnlich.
Die XP Clientcomputer werten den Filter aus und sehen, dass das
Gruppenrichtlinienobjekt nicht bei ihnen zur Ausführung kommen soll. Die
Windows 2000 Clientcomputer wenden das Gruppenrichtlinienobjekt an,
ohne den WMI Filter auszuwerten.
WMI-Filter können nur in einer Windows 2003 Server Umgebung
ausgeführt werden. Obwohl kein Domänencontroller Windows 2003 Server
ausführt, müssen wir den Verzeichnisdienst mit dem Tool ADPREP
/domainprep aktualisieren. Wichtig ist, dass die WMI-Filter nur von
Windows XP oder Windows 2003 und aktueller angewendet werden
können. Aus diesem Grund sind beide Antworten richtig.
Die Lösung C ist falsch weil eine Anwendung des
Gruppenrichtlinienobjektes auf die Organisationseinheit Arbeitsstationen
bewirkt, dass (durch Vererbung) die Gruppenrichtlinie auf die zwei
untergeordneten Organisationseinheiten angewendet wird. Bei Lösung D
wird die Ausführung der Gruppenrichtlinie nicht verhindert. Der in der
Lösung E beschriebene Lösungsansatz ist falsch, weil hier wird verhindert,
dass die Gruppenrichtlinie, bei Windows 2000 Clients Wirkung zu zeigen.
Wenn die Gruppe die Windows XP Clients enthielt, dann würde diese
Lösung funktionieren.
Hilfe
• Hinzufügen eines neuen WMI-Filters zu einem
Gruppenrichtlinienobjekt\Filter für WindowsVerwaltungsinstrumentation
MS Training
- 244 -
Frage 24
Netzwerk besteht aus einem einzelnen Verzeichnisdienst und drei
Standorten. Jeder Standort hat einen Domänencontroller. Alle Server
verwenden das Betriebssystem Windows Server 2003, die Clientcomputer
Windows 2000 Professional oder Windows XP Professional.
Die EDV-Abteilung ist in vier Gruppen aufgeteilt und arbeitet an allen drei
Standorten. Die Computer der EDV-Mitarbeiter müssen in der Lage sein,
Skripte auszuführen. Das Skript oder die Skripte müssen immer
ausgeführt werden können, egal an welchem Standort sich die EDVMitarbeiter anmelden möchten oder in welcher Gruppe sie Mitglied sind.
Sie müssen sicherstellen, dass die richtigen Anmeldeskripte für die
entsprechenden EDV-Mitarbeiter ausgeführt werden.
Wie gehen Sie vor?
A
{
Sie erstellen vier Gruppenrichtlinienobjekte und dann ein
Skript für jede Gruppenrichtlinie für die entsprechenden
Gruppen. Sie verknüpfen alle vier Gruppenrichtlinien mit
den drei Standorten und gewähren jeder Gruppe das
Recht dafür, nur die Gruppenrichtlinien anzuwenden, die
für ihre Gruppe erstellt wurden.
B
{
Sie erstellen ein Skript, das die entsprechenden
Eigenschaften, je nach Gruppenmitgliedschaft, ausführt.
Sie kopieren dieses Skript in den NETLOGON-Ordner auf
dem Domänencontroller.
C
{
Sie erstellen ein Gruppenrichtlinienobjekt mit einem
Startskript, das die Computer der EDV-Mitarbeiter
entsprechend ihrer Gruppenmitgliedschaft konfiguriert.
Sie verknüpfen dieses Gruppenrichtlinienobjekt mit den
drei Standorten.
D
{
Sie erstellen ein Skript, das die Computer der EDVMitarbeiter entsprechend ihrer Gruppenmitgliedschaft und
Standortzugehörigkeit konfiguriert. Sie erstellen ein
Gruppenrichtlinienobjekt für die Organisationseinheit
Domänencontroller, das das Skript ausführt.
Richtige Antwort: A
Begründung
Der einfachste Weg, um zu filtern, auf welchen Mitarbeiter oder Computer
das Gruppenrichtlinienobjekt Anwendung findet, ist die Vergabe von
Rechten. Ein Benutzer oder Computer, braucht das Recht zum Lesen, um
die Gruppenrichtlinie anwenden zu können. In dieser Frage haben wir vier
- 245 -
Gruppen mit unterschiedlichen Eigenschaften, deshalb benötigen wir vier
unterschiedliche Gruppenrichtlinienobjekte, die wir mit den Standorten
verknüpfen.
Bei Lösung B sollte das Script in einem aktiven Ordner im
Verzeichnisdienst abgelegt sein. Außerdem muss ein Script über eine
Gruppenrichtlinie bzw. die Profileinstellungen des Benutzerkontos bekannt
gemacht werden.
In Lösung C wird vorgeschlagen, ein Gruppenrichtlinienobjekt zu
verwenden das die Computer der EDV-Mitarbeiter entsprechend ihrer
Gruppenmitgliedschaft in den jeweiligen Standorten konfiguriert. Mit
dieser Lösung ist es nicht möglich, die unterschiedlichen
Scripteinstellungen vorzunehmen.
Lösung D ist nicht richtig, denn das Gruppenrichtlinienobjekt wird hier mit
der Organisationseinheit Domänencontroller verknüpft.
Hilfe
• Hilfe und Supportcenter, Suchbegriff: Gruppenrichtlinie
MS Training
- 246 -
Frage 25
Firma besteht nur aus einem Büro, das Netzwerk aus einem
Verzeichnisdienst mit einem Standort. Alle Server verwenden das
Alle Datei- und Druckserver sowie die Applikationsserver sind in einer
Organisationseinheit mit der Bezeichnung Server zusammengefasst. Ein
Serversupportteam führt die täglichen Arbeiten auf den Datei- und
Druckservern sowie den Applikationsservern durch. Alle Benutzerkonten
des Serversupportteams sind in der Organisationseinheit SST
zusammengefasst.
Sie sind verantwortlich für die Sicherheit aller Server. Sie erstellen eine
neue Gruppe ServerSupport, die alle Mitarbeiter des Serversupportteams
enthält.
Sie müssen sicherstellen, dass alle Mitarbeiter des Serversupportteams
sich an jedem Datei- und Druckserver sowie den Applikationsservern lokal
anmelden können.
Wie gehen Sie vor?
A
{
SST.
B
{
Server.
C
{
die Organisationseinheit Server.
D
{
die Organisationseinheit Computer.
Richtige Antwort: B
Begründung
Da alle Datei- und Druckserver sowie die Applikationsserver in einer
Organisationseinheit Server zusammengefasst sind, ist es einfach, die
Frage mithilfe einer Gruppenrichtlinie zu erledigen. Wir müssen nur in der
Gruppenrichtlinie der Gruppe ServerSupport das Recht zur lokalen
- 247 -
Anmeldung geben und diese mit der Organisationseinheit Server
verbinden.
Die Gruppenrichtlinie, wie in Lösungmöglichkeit A beschrieben, ist mit der
falschen Organisationseinheit verknüpft. In Lösungsvorschlägen C und D
würde die Gruppe ServerSupport die Berechtigung erhalten, Objekte in
der Organisationseinheit zu erstellen und die Eigenschaften vorhandener
Objekte zu modifizieren. Dies sind mehr Rechte als erforderlich.
Hilfe
• Zuweisung von Benutzerrechten\Beschreibung der
Sicherheitseinstellungen
MS Training
- 248 -
Frage 26
Netzwerk besteht aus einem Verzeichnisdienst. Die Verzeichnisstruktur
umfasst 19 Domänen. 15 Domänen verfügen über Windows Server 2003.
Die Domänenfunktionsebene aller Domänen ist Windows 2000 pur. Das
Netzwerk enthält eine Microsoft Exchange 2000 Server-Organisation.
Sie möchten Gruppen erstellen, die verwendet werden sollen, um E-Mails
an alle Mitarbeiter in der gesamten Firma zu versenden. Sie wollen dieses
Ziel mit minimalem Replikationsverkehr erreichen und die Größe der
Verzeichnisdatenbank möglichst klein halten.
Sie müssen einen Plan zur Erstellung der E-Mail-Gruppen für die Firma
MVS M. Völk Systems erstellen.
A
{
Sie erstellen eine globale Verteilergruppe in jeder
Domäne und fügen die entsprechenden Mitarbeiter in der
Domäne der globalen Verteilergruppe hinzu. Sie erstellen
dann eine universelle Verteilergruppe und machen die
globale Verteilergruppe zum Mitglied der universellen
Verteilergruppe.
B
{
Sie erstellen eine globale Sicherheitsgruppe in jeder
Domäne und fügen die entsprechenden Mitarbeiter der
Domäne der globalen Sicherheitsgruppe hinzu. Sie
erstellen dann eine universelle Sicherheitsgruppe und
machen die globale Sicherheitsgruppe zum Mitglied der
universellen Sicherheitsgruppe.
C
{
Sie erstellen universelle Verteilergruppen und fügen die
entsprechenden Mitarbeiter in der Domäne dieser
universellen Verteilergruppe hinzu.
D
{
Sie erstellen eine universelle Sicherheitsgruppe und fügen
die entsprechenden Mitarbeiter in der Domäne dieser
universellen Sicherheitsgruppe hinzu.
Richtige Antwort: A
Begründung
Wir müssen den Replikationsverkehr reduzieren. Wir können dies
erreichen indem wir die Mitarbeiter in globale Gruppen aufnehmen und die
globalen Gruppen zum Mitglied einer universellen Gruppe machen. Im
Verzeichnisdienst werden alle universellen Gruppen mit ihren Mitgliedern
aufgelistet. Wenn eine universelle Gruppe Benutzerkonten enthalten
würde und man dann ein Benutzerkonto hinzufügt oder entfernt, wird dies
im gesamten Verzeichnisdienst repliziert. Darum sollte man
- 249 -
Benutzerkonten nicht direkt in universelle Gruppen aufnehmen. Für das
Versenden von E-Mails werden Verteilergruppen benötigt.
Wenn alle Domänencontroller in ihrer Domäne oder Gesamtstruktur unter
Windows Server 2003 ausgeführt werden und als Funktionsebene
Windows Server 2003 festgelegt ist, sind alle domänen- und
gesamtstrukturweiten Funktionen verfügbar. Wenn in Ihrer Domäne oder
Gesamtstruktur Windows NT 4.0- oder Windows 2000-Domänencontroller
sowie Domänencontroller unter Windows Server 2003 vorhanden sind,
sind die Active Directory-Funktionen eingeschränkt.
Auszug aus Hilfe Windows 2003 Server
„Das Konzept des Aktivierens zusätzlicher Funktionen in Active Directory
gibt es in Windows 2000 im gemischten und im einheitlichen Modus.
Domänen im gemischten Modus können Windows NT 4.0Reservedomänencontroller enthalten, und universelle Sicherheitsgruppen,
die Gruppenschachtelung und der SID-Verlauf (Security ID,
Sicherheitskennung) können damit nicht verwendet werden. Bei Domänen
im einheitlichen Modus sind universelle Sicherheitsgruppen, die
Gruppenschachtelung und der SID-Verlauf verfügbar. Domänencontroller
unter Windows 2000 Server unterstützen die Domänen- und
Gesamtstrukturfunktionalität nicht.
Domänenfunktionalität
Die Domänenfunktionalität ermöglicht Funktionen, die die gesamte
Domäne, jedoch nur diese eine Domäne, betreffen. Die folgenden vier
Domänenfunktionsebenen sind verfügbar: Windows 2000 gemischt
(Standard), Windows 2000 pur, Windows Server 2003-interim und
Windows Server 2003. Standardmäßig verwenden Domänen Windows
2000 im gemischten Modus als Funktionsebene.
- 250 -
Domänenfunktionsebene
Unterstützte Domänencontroller
Windows 2000 gemischt (Standard)
Windows NT 4.0
Windows 2000
Windows Server 2003Produktfamilie
Windows 2000 pur
Windows 2000
Windows Server 2003-interim
Windows NT 4.0
Windows Server 2003
Jede Sicherheits- oder Verteilergruppe verfügt über einen Bereich, der
bestimmt, in welchem Umfang die Gruppe in der Domänenstruktur oder
der Gesamtstruktur verwendet wird. Es gibt drei Gruppenbereiche:
„universell“, „global“ und „lokale Domäne“.
Mitglieder von universellen Gruppen können Gruppen und Konten aus
beliebigen Domänen in der Domänenstruktur oder Gesamtstruktur sein.
Sie können diesen Gruppen in jeder Domäne der Domänen- oder
Gesamtstruktur Berechtigungen zuweisen.
Mitglieder von globalen Gruppen können ausschließlich Gruppen und
Konten aus der Domäne sein, in der die Gruppe definiert wurde. Sie
können diesen Gruppen in jeder Domäne der Gesamtstruktur
Berechtigungen zuweisen.
Mitglieder von lokalen Domänengruppen können Gruppen und Konten aus
Windows Server 2003- oder Windows 2000-Domänen sein. Diese Gruppen
können nur verwendet werden, um Berechtigungen innerhalb einer
Domäne zuzuweisen.
In der folgenden Tabelle sind die Eigenschaften der verschiedenen
Gruppenbereiche zusammengefasst:
- 251 -
Universell
Global
Lokale Domäne
Mit der
Windows 2000 im
einheitlichen Modus oder
Windows Server 2003
können universelle
Gruppenkonten, globale
Gruppen und universelle
Gruppen aus einer
beliebigen Domäne als
Mitglieder haben.
Mit der
Windows 2000 im
Windows Server 2003
können Gruppenkonten
und Gruppen aus
derselben Domäne als
Mitglieder haben.
Mit der
Windows 2000 im
Windows Server 2003
können lokale
Domänengruppenkonten,
Gruppen und universelle
Gruppen aus einer
beliebigen Domäne sowie
lokale Domänengruppen
aus derselben Domäne als
Mitglieder haben.
Mit der
Windows 2000 im
gemischten Modus können
keine universellen
Sicherheitsgruppen erstellt
werden.
Mit der
Windows 2000 im
gemischten Modus können
Gruppen Konten aus
derselben Domäne als
Mitglieder haben.
Mit der
Windows 2000 im
Windows Server 2003
können lokale
Domänengruppen Konten
und Gruppen aus einer
beliebigen Domäne als
Mitglieder haben.
Mit der
Windows 2000 im
Windows Server 2003
können Gruppen zu
anderen Gruppen
hinzugefügt werden, und
ihnen können in jeder
beliebigen Domäne
Berechtigungen
zugewiesen werden.
Gruppen können zu
anderen Gruppen
ihnen können in jeder
beliebigen Domäne
Berechtigungen
zugewiesen werden.
Gruppen können zu
anderen lokalen
Domänengruppen
ihnen können nur in
derselben Domäne
Berechtigungen
zugewiesen werden.
Gruppen können in den
Gruppenbereich „lokale
Domäne“ konvertiert
werden. Gruppen können
in den Gruppenbereich
„global“" konvertiert
werden, solange keine
anderen universellen
Gruppen Mitglieder sind.
Gruppenbereich
„universell“ konvertiert
werden, solange die
Gruppe kein Mitglied in
einer anderen Gruppe mit
dem Bereich „global“ ist.
Gruppenbereich
„universell“ konvertiert
werden, solange keine
andere Gruppe mit dem
Bereich „lokale
Domäne“Mitglied ist.
Hilfe
- 252 -
• Gruppentypen\Active Directory
MS Training
- 253 -
Frage 27
Ihre Firma kauft eine andere Firma mit der Bezeichnung IT Consulting
Merk auf. Das Netzwerk der Firma besteht aus einem Verzeichnisdienst
mit der Bezeichnung MERK.NET und einer zweiten Domäne
MITTENWALD.MERK.NET. Die Domänenfunktionsebene des
Verzeichnisdienstes ist Windows 2000. Die Domänenfunktionsebene von
MITTENWALD.MERK.NET ist Windows 2000 pur.
Eine Geschäftsentscheidung bestimmt, dass die Domäne
MITTENWALD.MERK.NET aufgelöst werden soll. Sie müssen alle Benutzer
von MITTENWALD.MERK.NET nach MVSNET.DE mit dem Verzeichnisdienst
Migration Tool verschieben. Sie müssen die Aufgabe so durchführen, dass
keine Anmelderechte oder sonstige Berechtigungen der Mitarbeiter
verloren gehen. Sie müssen sicherstellen, dass alle Mitarbeiter aus der
Domäne MITTENWALD.MERK.NET sich in der Domäne MVSNET.DE mit
ihrem Benutzernamen und Passwort anmelden können.
Wie gehen Sie vor?
A
{
Sie erstellen eine beidseitige Windows Server 2003
Domäne MERK.NET.
B
{
Sie erstellen eine einseitige Windows Server 2003
Vertrauensstellung, in der MVSNET.DE der Domäne
MERK.NET vertraut.
C
{
Domäne MITTENWALD.MERK.NET.
D
{
Domäne MERK.NET.
Richtige Antwort: C
Begründung:
Wenn wir das Tool ADMT (Active Directory Migrationstool) verwenden,
benötigen wir eine Zwei-Wege-Vertrauensstellung zwischen den beiden
Domänen. Wir können keine Windows 2003 Vertrauensstellung verwenden
wie in Lösung A vorgeschlagen, da die Domäne MITTENWALD.MERK.NET
eine Windows 2000 Domäne ist.
- 254 -
Lösung B bringt uns auch nicht weiter, da wir eine Zwei-WegeVertrauensstellung benötigen. In Lösung D ist zwar der Ansatz richtig,
aber es sind die falschen Domänen.
Hilfe
• Active Directory-Supporttools\Active Directory
MS Training
- 255 -
Frage 28
Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen. Die
übergeordnete Domäne hat die Bezeichnung MVSNET.DE. Es gibt noch
zwei untergeordnete Domänen mit der Bezeichnung
FRANKFURT.MVSNET.DE und BERLIN.MVSNET.DE. Die
Domänenfunktionsebene ist Windows Server 2003.
Jede Domäne verfügt über zwei Domänencontroller. Der
Domänencontroller »MVSDC001« in der Domäne MVSNET.DE führt die
Schemamaster- und Domänennamensmasterfunktionen aus. Der
Domänencontroller »MVSDC002« in den untergeordneten Domäne führt
folgende Betriebsmasterfunktionen aus: RID-Master, Infrastrukturmaster
und PDC-Emulator. Der Domänencontroller »MVSDC001« in der
übergeordneten Domäne verfügt außerdem noch über die Rolle des
globalen Katalogservers.
Der Mitarbeiter Thomas aus der Domäne BERLIN.MVSNET.DE ist ein
Mitglied der Sicherheitsgruppe Medizinstudenten. Wegen einer
Namensänderung soll der Domänenadministrator den Nachnamen im
Verzeichnisdienst von „Rauch“ auf „Müller“ ändern.
Der Domänenadministrator von FRANKFURT.MVSNET.DE stellt fest, dass
der Mitarbeiter immer noch mit „Thomas“ aufgelistet wird.
Sie müssen sicherstellen, dass der Benutzername richtig in der Gruppe
Medizinstudenten aufgelistet wird.
Wie gehen Sie vor?
A
{
Sie verschieben in jeder Domäne den PDC-Emulator von
B
{
Sie verschieben in jeder Domäne den Infrastrukturmaster
von »MVSDC001« auf »MVSDC002«.
C
{
Sie verschieben in jeder Domäne den RID-Master von
D
{
Sie verschieben in der Domäne MVSNET.DE den
Schemamaster von »MVSDC001« auf »MVSDC002«.
Richtige Antwort: B
Begründung
Probleme können immer dann auftreten, wenn der Infrastrukturmaster
sich auf dem gleichen Server wie der globale Katalog Server befindet. Es
gibt keinen Grund die anderen Betriebsmasterfunktionen zu verschieben.
- 256 -
Auszug aus Hilfe Windows 2003 Server
„Infrastrukturmaster
In jeder Domäne kann immer nur ein Domänencontroller die Funktion des
Infrastrukturmasters übernehmen. Der Infrastrukturmaster dient dazu,
Objektreferenzen in seiner Domäne auf Objekte in anderen Domänen zu
aktualisieren. Dabei vergleicht er seine Daten mit denen eines globalen
Katalogs. Im Zuge der Replikation empfangen globale Kataloge in
regelmäßigen Abständen Aktualisierungen zu Objekten in allen Domänen,
sodass die Daten des globalen Katalogs stets auf dem neuesten Stand
sind. Der Infrastrukturmaster sucht veraltete Daten und fordert die
aktualisierten Daten von einem globalen Katalog an. Anschließend werden
diese aktualisierten Daten vom Infrastrukturmaster auf die anderen
Domänencontroller in der Domäne repliziert.
Wenn eine Domäne mehrere Domänencontroller umfasst, sollte die
Funktion des Infrastrukturmasters nicht dem Domänencontroller
zugewiesen werden, der als Server für den globalen Katalog dient. Werden
Infrastrukturmaster und globaler Katalog auf demselben
Domänencontroller angelegt, ist der Infrastrukturmaster nicht
funktionsfähig. Da der Infrastrukturmaster in diesem Fall keine veralteten
Daten findet, werden niemals Änderungen auf die anderen
Domänencontroller in der Domäne repliziert.
Wenn alle Domänencontroller einer Domäne gleichzeitig als Server für den
globalen Katalog dienen, verfügen alle Domänencontroller über aktuelle
Daten, und es ist unerheblich, auf welchem Domänencontroller die
Funktion des Infrastrukturmasters angelegt ist.
Der Infrastrukturmaster aktualisiert außerdem die Zuordnung von
Benutzern zu Gruppen, wenn die Mitglieder einer Gruppe umbenannt oder
geändert werden. Wenn Sie ein Mitglied einer Gruppe umbenennen oder
verschieben (und dieses Mitglied einer anderen Domäne angehört als die
Gruppe), scheint dieses Mitglied u. U. zeitweise nicht in der Gruppe
enthalten zu sein. Die Gruppe muss vom Infrastrukturmaster der Domäne
dieser Gruppe aktualisiert werden, sodass der neue Name oder Standort
des Mitglieds angezeigt wird. Dadurch wird verhindert, dass
Gruppenmitgliedschaften, die einem Benutzerkonto zugeordnet sind,
verloren gehen, wenn das Benutzerkonto umbenannt oder verschoben
wird. Die vom Infrastrukturmaster ausgeführte Aktualisierung wird mittels
der Multimasterreplikation verteilt.“
Hilfe
• Betriebsmasterfunktionen\Active Directory
MS Training
- 257 -
- 258 -
Frage 29
Netzwerk besteht aus einem Verzeichnisdienst mit zwei Standorten. Jeder
der Standorte enthält zwei Domänencontroller. Einer der
Domänencontroller ist der globale Katalogserver.
Sie fügen jedem Standort einen weiteren Domänencontroller hinzu. Jeder
der neue Domänencontroller hat einen schnelleren Prozessor als die
existierenden Domänencontroller.
Die Firmenleitung möchte, dass die Verzeichnisreplikation mit dem
Domänencontroller durchgeführt wird, der den schnellsten Prozessor am
Standort hat.
Sie müssen eine Standortreplikation konfigurieren, um den Forderungen
einer schnellen Verzeichnisreplikation nachzukommen.
A
{
globale Katalogserver.
B
{
bevorzugte Brückenkopfserver für den IP-Transport.
C
{
bevorzugte Brückenkopfserver für den SMTP-Transport.
D
{
Sie konfigurieren eine zusätzliche IP-Standortverbindung
zwischen den zwei Standorten. Sie ordnen der
Originalstandortverbindung niedrigere
Standortverbindungskosten für diese Standortverbindung
zu.
Richtige Antwort: B
Begründung
Verzeichnisdaten müssen, außer bei kleinen Netzwerken, an mehreren
Stellen im Netzwerk vorhanden sein, um für alle Benutzer von gleichem
Nutzen zu sein. Mithilfe der Replikation verwaltet der Active DirectoryVerzeichnisdienstreplikate der Verzeichnisdaten auf mehreren
Domänencontrollern, um die Verfügbarkeit und die Leistung des
Verzeichnisses für alle Benutzer zu gewährleisten. Active Directory
verwendet ein Multimasterreplikationsmodell, mit dem Sie
Verzeichnisänderungen nicht nur auf den dafür vorgesehenen primären
Domänencontrollern, sondern auch auf jedem beliebigen
Domänencontroller ausführen können.
- 259 -
Active Directory verwendet ein Standortekonzept, um die Effizienz der
Replikation zu gewährleisten und die Konsistenzprüfung (Knowledge
Consistency Checker, KCC) und um automatisch die optimale
Replikationstopologie für das Netzwerk zu ermitteln.
Active Directory verwendet Standorte, um die Effizienz der Replikation zu
optimieren. Standorte, die als Gruppen gut verbundener Computer
definiert sind, bestimmen die Replikationsweise von Verzeichnisdaten.
Active Directory repliziert häufiger Verzeichnisdaten innerhalb eines
Standortes als zwischen Standorten. Auf diese Weise werden die Daten
zuerst auf die am besten verbundenen Domänencontroller repliziert, die
auch am dringendsten auf bestimmte Verzeichnisinformationen
angewiesen sind.
Die Änderungen werden auch auf die Domänencontroller an anderen
Standorten repliziert. Diese Replikation findet jedoch seltener statt und
führt so zu einer Entlastung der Netzwerkbandbreite.
Bei einer Gesamtstruktur mit Windows Server 2003 als Funktionsebene
zeigt der neue Windows Server 2003-Strukturalgorithmus noch größere
Verbesserungen hinsichtlich Effizienz und Skalierbarkeit. Beispielsweise
sind mit dem ursprünglichen Strukturalgorithmus von Windows 2000 für
eine Domäne bis zu 300 Standorte möglich. Mit dem neuen Windows
Server 2003-Strukturalgorithmus kann eine Domäne mindestens bis zu
3.000 Standorte enthalten.
Bei dem neuen Strukturalgorithmus verwendet der Ersteller der
standortübergreifenden Topologie an jedem Standort einen
Auswahlvorgang nach dem Zufallsprinzip, um die Brückenkopfserver
(Bridgeheadserver) für den Standort zu bestimmen. Mit diesem
Auswahlvorgang wird die Last der Bridgeheadreplikation gleichmäßiger auf
die Domänencontroller an einem Standort verteilt, was wiederum eine
wesentlich bessere Effizienz bedeutet (insbesondere bei Hubstandorten
mit vielen Domänencontrollern). Standardmäßig wird der Auswahlvorgang
nach dem Zufallsprinzip nur ausgeführt, wenn neue Verbindungsobjekte
zum Standort hinzugefügt werden. Mit einem neuen Windows Resource
Kit-Tool, adlb.exe, können Sie jedoch die Last jedes Mal neu verteilen,
wenn Änderungen an der Topologie oder an der Zahl der
Domänencontroller des Standortes vorgenommen werden.
Ein globaler Katalog ist ein Domänencontroller, der eine Kopie aller Active
Directory-Objekte in einer Gesamtstruktur speichert. Im globalen Katalog
wird eine vollständige Kopie aller Objekte in dem Verzeichnis der eigenen
Domäne und eine Teilkopie aller Objekte für alle anderen Domänen in der
Gesamtstruktur gespeichert. Ein weiterer GC wird nicht dazu beitragen,
dass eine schnelle Verzeichnisreplikation stattfindet. Deshalb ist die
Antwort A nicht richtig.
Hilfe
- 260 -
• Festlegen eines bevorzugten Bridgehadservers\Active Directory
• Verwalten der Replikation\Active Directory
• Übersicht über die Replikation\Active Directory
MS Training
- 261 -
Frage 30
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems, die
fünf regionale Büros und drei Branchenbüros besitzt.
Jedes Branchenbüro hat zehn Benutzer. Die Branchenbüros sind jeweils
mit dem regional nächsten Büro über eine 56-Kbps WAN-Verbindung
verbunden.
Das Netzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Domäne für jedes regionale Büro enthält. Auf
allen Servern läuft Windows Server 2003. Jedes Branchenbüro enthält
einen Domänencontroller, der als zusätzlicher Domänencontroller in der
regionalen Domäne für das Branchenbüro konfiguriert ist. Die
Standortverbindung zwischen jedem Branchenbüro und der
entsprechenden regionalen Domäne ist so konfiguriert, dass im Intervall
von 30 Minuten Replikationen durchgeführt werden.
Ressourcen im entsprechenden regionalen Büro zugreifen. Sie beobachten
die WAN-Verbindung, die mehrere Branchenbüros verbindet, und
entdecken, dass die Auslastung von 30% auf über 90% angestiegen ist.
Sie müssen die Reaktionszeit der Anwendungen verbessern, wenn sie auf
Ressourcen im regionalen Büro zugreifen. Außerdem müssen Sie
sicherstellen, dass sich die Benutzer ohne zwischengespeicherte
Informationen anmelden können, wenn die WAN-Verbindung ausfällt.
A
{
Sie entfernen Active Directory von jedem Datei- und
Druckserver in jedem Brachenbüro. Anschließend erhöhen
Sie das Replikationsintervall für jede Standortverknüpfung
regionalen Büro.
B
{
Gruppenmitgliedschaft in jedem Branchenbüro.
Anschließend konfigurieren Sie die Standortverknüpfungen
regionalen Büro so, dass sie nur in verkehrsarmen
Zeiträumen verfügbar sind.
C
{
Sie konfigurieren den Domänencontroller in jedem
Branchenbüro als einen globalen Katalogserver.
D
{
Sie vermindern das Replikationsintervall für jede
Standortverbindung zwischen jedem Branchenbüro und
dem entsprechenden regionalen Büro.
Richtige Antwort: B
- 262 -
Begründung
Ressourcen im entsprechenden regionalen Büro zugreifen. Der Grund für
die langen Reaktionszeiten ist der, dass die WAN-Verbindung mit geringer
Bandweite während des Replikationsvorgangs sehr stark ausgelastet ist.
Das lässt sich lösen, indem man die Standortverbindungen zwischen den
Branchenbüros und dem regionalen Büros so konfiguriert, dass sie nur in
verkehrsarmen Zeiten verfügbar sind. Dies verhindert die Durchführung
der Replikation während der Arbeitszeit.
Um sicherzustellen, dass sich die Benutzer ohne zwischengespeicherte
Informationen anmelden können (bei Ausfall der WAN-Verbindung), muss
man entweder die Zwischenspeicherung der universellen
Gruppenmitgliedschaft in jedem Branchenbüro konfigurieren oder die
Domänencontroller als globale Katalogserver einrichten.
Wenn man die Domänencontroller in jedem Branchenbüro nur als globale
Katalogserver konfiguriert, bleibt das Replikationsproblem bestehen.
Daher ist B die richtige Antwort und nicht C.
Das Entfernen der Active Directory von den Servern aus Lösungsvorschlag
A verschlimmert eher das Problem, da dann der gesamte Anmeldeverkehr
über die WAN-Verbindung erfolgt. Die Verminderung (Verkürzung) des
Replikationsintervalls hat ähnliche Folgen wie Antwort A. Der
Datendurchsatz der WAN-Verbindungen nimmt zu.
Anmerkung:
„Zwischengespeicherte Informationen“ sind Einstellungen, die bei der
Anmeldung eines Benutzers an einen Clientrechner auf diesem hinterlegt
werden. Ist bei der Anmeldung eines Benutzers kein Domänencontroller
erreichbar, wird der Benutzer anhand dieser Informationen angemeldet,
sofern er am jeweiligen Clientrechner schon einmal angemeldet war.
„Zwischengespeicherte Informationen“ sind nicht mit der
Zwischenspeicherung der universellen Gruppenmitgliedschaft zu
verwechseln. Das Eine hat mit dem Anderen nicht zu tun.
Hilfe
• Active Directory\Konzepte\Grundlegendes zu Active
Directory\Grundlegendes zu globalen Katalog\Globale Kataloge und
Standorte
• Active Directory\So wird es gemacht\Verwalten von
Standorten\Konfigurieren von
Standorteinstellungen\Zwischenspeichern der universellen
Gruppenmitgliedschaft
MS Training
- 263 -
• 1. Auflage: Seiten 309f., 331, 333
• 2. Auflage: Seiten 315f., 333, 337
- 264 -
Frage 31
Firma besteht aus dem Hauptbüro und fünf Niederlassungen. Das
Netzwerk besteht aus einem Verzeichnisdienst mit sechs Domänen. Alle
Server verwenden das Betriebssystem Windows Server 2003. Jede
Niederlassung ist als eigene Domäne und im Verzeichnisdienst als
Standort definiert.
Die Mitarbeiter der Firma und einige Applikationsserver benötigen
Benutzerinformationen vom globalen Katalogserver. Sie installieren einige
Applikationsserver im Hauptbüro und in den fünf Niederlassungen. Das
Netzwerk sieht wie folgt aus:
Sie überwachen die WAN-Verbindung zwischen dem Hauptbüro und den
Niederlassungen und stellen fest, dass die Auslastung zwischen 70 und
90% liegt. Mitarbeiter berichten über lange Antwortzeiten, wenn sie
Informationen von den Applikationsservern anfordern.
Sie müssen in jede Niederlassung, die über lange Antwortzeiten klagt,
einen globalen Katalogserver stellen. Sie möchten das mit einem Minimum
an Zeit und Netzwerkverkehr durchführen.
In welchen/r Niederlassung/en stellen Sie einen oder mehrere globale
Katalogserver auf?
(Wählen Sie alle benötigten Städte aus.)
- 265 -
A

Berlin.
B

Kaunas.
C

Moskau.
D

St. Petersburg.
E

London.
Richtige Antworten:
B, C und D
Begründung:
Weil die Applikationsserver Anfragen an den globalen Katalogserver
stellen, benötigen wir in jedem Standort, an dem sich ein
Applikationsserver befindet, einen globalen Katalogserver.
Hilfe
MS Training
- 266 -
Frage 32
Servern läuft Windows Server 2003. Die Firma hat Büros in Veilsdorf und
Riesa.
Beide Büros sind über eine 128-Kbps WAN-Verbindung miteinander
verbunden. Jedes Büro ist als eine einzelne Domäne und als Active
Directory Standort konfiguriert.
Die Standortinformationen der Drucker werden im Active Directory
gespeichert. Die Benutzer führen regelmäßig eine Suche im Active
Directory durch, um Informationen über Drucker zu finden, indem sie die
Entire Directory Option wählen. Die Benutzer im Büro Veilsdorf berichten,
dass die Antwortzeit inakzeptabel langsam ist, wenn sie nach Druckern
suchen.
Sie müssen die Antwortzeit für die Benutzer im Büro Veilsdorf verbessern.
A
{
Riesa im Büro Veilsdorf.
B
{
Veilsdorf im Büro Riesa.
C
{
Gruppenmitgliedschaft im Büro Veilsdorf.
D
{
Sie konfigurieren einen globalen Katalogserver im Büro
Veilsdorf.
Richtige Antwort: D
Begründung
Die Benutzer im Büro Veilsdorf berichten, dass die Antwortzeit
unakzeptabel langsam sei, wenn sie nach Druckern suchen. Der Grund für
die langen Wartezeiten ist, dass das Active Directory im Standort Riesa
durchsucht wird (über eine langsame WAN-Verbindung). Der globale
Katalogserver enthält eine Teilmenge der Attribute aller Active DirectoryObjekte der Gesamtstruktur.
Wenn man einen globalen Katalogserver im Büro Veilsdorf konfiguriert,
dann hat man eine lokale Liste, welche Details der Drucker (und anderer
Objekte) im Büro Riesa enthält. Die in Antwort A vorgeschlagene
Installation eines zusätzlichen Domänencontrollers für Riesa im Büro
Veilsdorf löst das Problem zwar, ist aber zu aufwändig, da unnötig. Ein
zusätzlicher globaler Katalogserver im Büro Veilsdorf reicht vollkommen
- 267 -
aus. Lösungsweg B würde das Problem nicht lösen, da die Schwierigkeiten
in Veilsdorf auftreten, nicht im Büro Riesa. Die Zwischenspeicherung
speichert Informationen zur universellen Gruppenmitgliedschaft. Dieses
Szenario betrifft das Suchen von Druckern, was in keinerlei Hinsicht mit
universellen Gruppen im Zusammenhang steht. Deshalb ist Antwort C
falsch.
Hilfe
Directory\Grundlegendes zum globalen Katalog\Globale Kataloge und
Standorte
MS Training
- 268 -
Frage 33
Sie sind der Netzwerkadministrator der Domäne MVSNET.DE. Das
Sie fügen acht neue Server für eine neue Software hinzu. Sie erstellen
eine Organisationseinheit SOFTWARE, die die neuen Server sowie
Ressourcen der Software enthält.
Benutzer und Gruppen in der Domäne benötigen unterschiedliche
Berechtigungen für die neuen Softwareserver. Die Mitglieder einer
globalen Gruppe ServerZugriffsTeam müssen in der Lage sein,
Zugriffsrechte erteilen zu können. Das ServerZugriffsTeam muss sonst
keine anderen Tätigkeiten auf den Servern auszuführen.
Sie müssen dem ServerZugriffsTeam die Möglichkeit geben,
Berechtigungen für diese Server zu vergeben und sicherstellen, dass nur
die benötigten Rechte zugewiesen werden.
Wie gehen Sie vor?
A
{
Sie erstellen ein neues Gruppenrichtlinienobjekt für
beschränkte Gruppen. Sie verändern die
Gruppenrichtlinie so, dass die Gruppe
ServerZugriffsTeam Mitglied der Hauptbenutzer auf
jedem neuen Server wird. Sie verknüpfen diese
SOFTWARE.
B
{
Sie gewähren der Gruppe ServerZugriffsTeam das Recht
zum Ändern von Computerobjekten in der
C
{
Sie verschieben die Gruppe ServerZugriffsTeam in die
D
{
Sie erstellen eine neue lokale Domänengruppe und
gewähren dieser den Zugriff auf die Softwareserver. Sie
gewähren der Gruppe ServerZugriffsTeam das Recht
zum Ändern der Mitgliedschaft für diese lokale
Domänengruppe.
Richtige Antwort: D
Begründung:
Der einfachste Weg ist das Erstellen einer neuer lokalen Domänengruppe.
Wir gewähren dieser Gruppe die entsprechenden Rechte für die neuen
Server. Wir können z.B. einer Gruppe nur die Lese-Berechtigung zuweisen
während eine andere Gruppe die Lese- und Schreib-Berechtigung erhält.
- 269 -
Auf diese Weise kann man kontrollieren, wer welchen Zugriff auf diesen
Server bekommt. Das ServerZugriffsTeam hat keine Berechtigung auf
diesen Server.
Die Gruppe der Hauptbenutzer, wie in Lösung A, hat die Möglichkeit,
einige administrative Tätigkeiten auf den Servern aufzuführen. Damit
haben Sie mehr Rechte als benötigt. In Lösung B bekommen sie das Recht
zum Ändern von Computerobjekten. Damit haben Sie mehr Rechte als
benötigt. In Lösung C bekommen sie nicht die erforderlichen
Berechtigungen.
Hilfe
• Empfehlungen zum Zuweisen von Berechtigungen für Active Directory
Objekte\Zugriffsteuerung
• Delegieren der Verwaltung\Active Directory
MS Training
- 270 -
Frage 34
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die mehrere Domänen enthält. Die
Die Gesamtstruktur enthält mehrere Active Directory-Standorte, die
Branchenbüros repräsentieren, und den Standort Puchheim, der das
zentrale Datencenter darstellt. Ein Standort mit der Bezeichnung Veilsdorf
enthält einen Domänencontroller mit der Bezeichnung »FDEDC002«, der
nicht als globaler Katalogserver fungiert. Der Standort Puchheim enthält
einen Domänencontroller mit der Bezeichnung »FDEDC001«, der als
globaler Katalogserver konfiguriert ist. Sie müssen die
Zwischenspeicherung der universellen Gruppenmitgliedschaft im Standort
Veilsdorf einsetzen.
Welche Komponente/n sollten Sie konfigurieren?
(Wählen Sie die passende/n Komponente/n im Arbeitsbereich, um zu
antworten.)
A
{
Veilsdorf im rechten Fenster.
B
{
Puchheim im rechten Fenster.
C
{
Sie wählen die NTDS Settings für das Büro Veilsdorf im
linken Fenster
D
{
Sie wählen die NTDS Settings für das Puchheim im
linken Fenster
Richtige Antwort: A
- 271 -
- 272 -
Begründung
Die Aufgabenstellung verlangt, dass für den Standort Veilsdorf die
Zwischenspeicherung der universellen Gruppenmitgliedschaft
aktiviert werden soll. Damit ist der Standort festgelegt. Stellt sich noch die
Frage, ob im linken Fenster „NTDS Settings“ oder im rechten Fenster
„NTDS Site Settings“ zur Einstellung der gewünschten Option geöffnet
werden muss. Aus dem Schaubild oben geht hervor, dass die Option
aktivieren nur unter NTDS Site Settings verfügbar ist.
Hilfe
MS Training
- 273 -
Frage 35
Netzwerk besteht aus einer einzelnen Active Directory-Domäne mit zwei
Standorten. Die Active Directory-Datenbank wird jede Nacht gesichert.
Ein Netzwerkadministrator im Standort Kronach löscht eine leere
Organisationseinheit mit der Bezeichnung PROJEKTE. Zur gleichen Zeit
verschiebt ein Administrator im Standort Puchheim 20 Benutzerkonten in
die Organisationseinheit PROJEKTE. Später stellt der Administrator im
Standort Puchheim fest, dass die Organisationseinheit PROJEKTE im Active
Directory gelöscht ist. Er kann die Benutzerkonten, die er in die
Organisationseinheit PROJEKTE verschoben hat, nicht mehr finden.
Sie müssen eine Organisationseinheit PROJEKTE bereitstellen, um die 20
Benutzerkonten hinzufügen zu können. Der Netzwerkzugriff dieser
Benutzer darf keinen Einfluss auf diesen Prozess haben.
Wie gehen Sie vor?
A
{
Sie verwenden eine autorisierende Wiederherstellung für
die Organisationseinheit PROJEKTE und für die
Benutzerkonten auf einem Domänencontroller im
Standort Puchheim.
B
{
Sie verwenden eine nicht autorisierende
Wiederherstellung für die Organisationseinheit
PROJEKTE und für die Benutzerkonten auf einem
Domänencontroller im Standort Puchheim.
C
{
Sie erstellen 20 neue Benutzerkonten mit den gleichen
Benutzerprinzipalnamen (User Principal Name, UPN). Sie
verschieben diese Benutzerkonten in die
Organisationseinheit PROJEKTE.
D
{
Sie verschieben die Benutzerkonten aus dem Ordner
LostAndFound in die neue Organisationseinheit
PROJEKTE.
Richtige Antwort: D
Begründung:
Sie haben Benutzerkonten in eine Organisationseinheit verschoben, die
aber auf einem anderen Server bereits gelöscht wurde. Wenn Sie Objekte
in ein anderes Objekt, das im Verzeichnisdienst nicht mehr vorhanden ist,
verschieben, werden die „heimatlosen“ Objekte in den Ordner
LostAndFound verschoben. Damit sind die Objekte nicht gelöscht. Durch
das Erstellen einer neuen Organisationseinheit können wir die
- 274 -
Benutzerkonten aus dem Ordner LostAndFound in die neue
Organisationseinheit verschieben.
Da wir keine Benutzerkonten gelöscht haben, brauchen wir sie auch nicht
wiederherstellen (siehe Lösungsvorschlag A und B). Beim
Lösungsvorschlag C wird durch das neu Erstellen der Benutzerkonten eine
neue SID (Security Identifiers) zugewiesen. Dadurch können Probleme bei
Netzwerkverbindungen auftreten.
Hilfe
• Active Directory\Konzepte\Verwalten von Active Directory\Verwalten
von Active Directory in MMC: Abschnitt Verwenden von Active
Directory-Benutzer und –Computer\LostandFound
MS Training
- 275 -
Frage 36
Bezeichnungen MVSPRESS.DE, NORD.MVSPRESS.DE und
SUED.MVSPRESS.DE. Die Domänenfunktionsebene ist Windows Server
2003.
Die Mitarbeiter im Helpdesk sind auch für das Zurücksetzen der
Benutzerkennwörter zuständig. Die dafür notwendigen Berechtigungen im
Verzeichnisdienst haben sie. Es gibt eine Organisationseinheit
FIRMENMITARBEITER in jeder Domäne, die alle Benutzerkonten der
Domäne enthält. Alle Mitarbeiter, die über administrative Berechtigungen
verfügen, haben das Benutzerkonto im Standardordner USER einer jeden
Domäne.
Es gibt eine universelle Gruppe HD_MITARBEITER in der Domäne
MVSPRESS.DE. Alle Mitarbeiter des Helpdesk sind Mitglieder dieser
Gruppe. Sie müssen die dafür erforderlichen Berechtigungen zuordnen,
damit das Helpdesk die Kennwörter zurücksetzen kann.
Für welche/s Objekt/e im Verzeichnisdienst sollten die Mitarbeiter des
Helpdesk die Berechtigung erhalten?
(Um zu antworten, wählen Sie den/die entsprechende/n Bestandteil/e in
der Grafik aus.)
- 276 -
Richtige Antwort:
- 277 -
Wählen Sie die Organisationseinheit FIRMENMITARBEITER in jeder
Domäne aus.
Begründung:
Wir müssen die erforderlichen Berechtigungen zum Zurücksetzen der
Kennwörter für Benutzer in der Organisationseinheit
FIRMENMITARBEITER, auf die Mitarbeiter des Helpdesk in der universelle
Gruppe HD_MITARBEITER übertragen. Die Organisationseinheit
FIRMENMITARBEITER in jeder Domäne enthält alle Benutzerkonten, für
die das Helpdesk zuständig sein soll. Die universelle Gruppe
HD_MITARBEITER enthält alle Mitarbeiter des Helpdesk und ist in allen
Domänen sichtbar.
Hilfe
- 278 -
• Delegieren der Verwaltung\Active Directory\So weisen Sie die
Objektverwaltung zu
• Delegieren der Verwaltung\Active Directory\Zugriffssteuerung in
Active Directory
MS Training
- 279 -
Frage 37
MVSNET.DE. Die Firma besteht aus der Zentrale und einer Außenstelle.
Die Domäne umfasst vier Domänencontroller. Zwei Domänencontroller
stehen in der Zentrale und die beiden anderen in der Außenstelle.
Sie erstellen ein Gruppenrichtlinienobjekt mit der Bezeichnung WORKSOFT
und verknüpfen dieses mit der Domäne. Sie konfigurieren die
Gruppenrichtlinie, um eine Textverarbeitungssoftware im Abschnitt
Benutzerkonfiguration einzubinden. Benutzer in der Außenstelle berichten,
dass diese Software nicht zur Verfügung steht. Mitarbeiter in der Zentrale
können jedoch diese Software benützen.
Sie müssen sicherstellen, dass den Mitarbeitern in der Außenstelle diese
Software zur Verfügung steht.
Wie gehen Sie vor?
A
{
Sie synchronisieren das Verzeichnis NETLOGON auf
beiden Domänencontroller in der Außenstelle.
B
{
Sie beschleunigen die Replikation zwischen den
Domänencontrollern in der Zentrale und der
Außenstelle.
C
{
Sie führen das Tool gpresult auf jedem Clientcomputer
D
{
Sie führen das Tool gpotool auf jedem Clientcomputer
Richtige Antwort: B
Begründung:
Wir haben eine Gruppenrichtlinie erstellt und diese mit der Domäne
verknüpft. Die Domänencontroller bekommen die neue Gruppenrichtlinie
bei der nächsten Replikation. Alternativ können wir diesen Vorgang
zwischen den Domänencontrollern der Zentrale und der Außenstelle
beschleunigen, indem wir das Tool gpupdate mit dem Schalter /force
verwenden.
In unserem Fall benötigen wir eine Replikation des Verzeichnisdienstes
zwischen der Zentrale und der Außenstelle. Lösung A schlägt eine
Synchronisation des NETLOGON-Verzeichnisses vor. Das funktioniert
nicht. Lösung C hat keine Auswirkung auf die Domänencontroller der
Zentrale und der Außenstelle. Durch Eingabe des Befehls gpresult in die
Befehlszeile erhalten Sie ähnlich ausführliche Informationen wie durch den
Richtlinienergebnissatz-Protokollierungsmodus. Sie können die
- 280 -
Abfrageergebnisse in eine Textdatei exportieren. Auch bei Lösung D hat es
keine Auswirkung auf die Domänencontroller der Zentrale und der
Außenstelle. Mit gpotool können Sie den Zustand der
Gruppenrichtlinienobjekte auf Domänencontrollern überwachen. Sie
können dieses Programm verwenden, um die Konsistenz und die
Replikation von Gruppenrichtlinienobjekten zu überprüfen und die
Eigenschaften von Gruppenrichtlinienobjekten anzuzeigen. gpotool ist nur
für Computer unter Windows 2000 verfügbar.
Hilfe
• Gpupdate\Befehlszeilenreferenz
• Replikation innerhalb eines Standortes\Active Directory
MS Training
• 1. Auflage: Seiten 620, 694, 1104
• 2. Auflage: Seiten 635, 712, 1124
- 281 -
Frage 38
MVSNET.DE und enthält zwei Domänencontroller. Beide
Domänencontroller verwenden Windows Server 2003 als Betriebssystem,
alle Clientcomputer Windows XP Professional.
Das einzige Benutzerkonto in der Domänenadministratoren-Gruppe ist das
Administratorkonto der Domäne. Jede Nacht wird ein komplettes Backup
der Festplatten auf jedem Domänencontroller durchgeführt.
Sie deaktivieren das lokale Administratorkonto im
Standarddomänengruppenrichtlinienobjekt. Sie stellen fest, dass Sie nicht
mehr in der Lage sind, sich als Domänenadministrator an einem der
Domänencontroller anzumelden. Sie müssen sicherstellen, dass Sie sich
als Administrator auf beiden Domänencontrollern anmelden können.
Wie gehen Sie vor?
A
{
Sie starten einen Domänencontroller im abgesicherten
Modus. Sie erstellen ein Benutzerkonto für einen
zweiten Administrator, starten den Domänencontroller
neu, verwenden zum Anmelden das neue Konto und
entfernen dann die Einschränkung für den
Administrator.
B
{
Sie stellen die gesamte Festplatte unter Verwendung der
letzten nächtlichen Sicherung auf einem
Domänencontroller wieder her, bevor Sie die Änderung
durchführen. Sie starten dann den Server neu und
geben dem Verzeichnisdienst an, sich zu replizieren.
C
{
Sie starten einen Domänencontroller mit der
Wiederherstellungskonsole unter Verwendung der
Windows Server 2003-CD neu. Sie stoppen den GPCDienst und starten den Domänencontroller neu.
D
{
Sie starten einen Domänencontroller im
Verzeichniswiederherstellungsmodus und führen eine
autorisierende Wiederherstellung des
Verzeichnisdienstes mit dem letzten nächtlichen Backup
auf dem Domänencontroller durch, bevor Sie die
Änderung machten. Sie starten den Server neu.
Richtige Antwort: A
Begründung:
Die Standarddomänenrichtlinie deaktiviert das Administratorkonto. Wenn
wir den Domänencontroller im abgesicherten Modus starten, wird die
- 282 -
Gruppenrichtlinie nicht ausgeführt, somit ist das Administratorkonto aktiv.
Starten Sie den Server im abgesicherten Modus mit Netzwerkverbindung.
Dann haben Sie Zugriff auf alle Benutzerkonten und Computerkonten im
Verzeichnisdienst. Jetzt können Sie Objekte verändern oder, wie in
unserem Fall, ein neues Benutzerkonto mit den entsprechenden Rechten
erstellen. Anschließend können Sie den Server neu starten und sich mit
dem neuen Benutzerkonto anmelden und die Änderungen rückgängig
machen.
Es ist nicht notwendig, wie in Lösung B beschrieben, die Festplatte wieder
herzustellen. Vielmehr werden durch eine Replikation des
Verzeichnisdienstes durch die aktiven Domänencontroller die „veralteten“
Eigenschaften überschrieben. Somit können wir von vorne anfangen!
Bei Lösung C wird davon ausgegangen, dass der GPC-Dienst installiert ist.
Eine Wiederherstellung vom Backup, wie in Lösung D, ist nicht sinnvoll, da
Antwort A eine weniger aufwendige Lösung bietet.
Hilfe
• Startoptionen\Wiederherstellung
MS Training
• 1. Auflage: Seiten 96, 588f.
- 283 -
Frage 39
EISSNER-EDV.DE. Alle Server verwenden das Betriebssystem Windows
Server 2003. Sie verwenden Gruppenrichtlinien für die Verteilung von
Software.
Die EDV-Beratung Eißner verwendet zwei unterschiedliche Programme
zum Anzeigen von Grafiken. Benutzer können auswählen, welches
Programm sie aufgrund der Grafikformate verwenden möchten. Die
Benutzer dürfen selbst entscheiden, welches dieser zwei Programmen sie
installieren möchten.
Sie müssen die Gruppenrichtlinien konfigurieren, um jede grafische
Software, basierend auf der Auswahl des Benutzers, zu installieren.
Wie gehen Sie vor?
A
{
Sie veröffentlichen beide Programme mit Aktivierung
B
{
Sie veröffentlichen beide Programme ohne Aktivierung
C
{
Sie fügen beide Programme hinzu und installieren sie
bei Bedarf.
D
{
Sie fügen beide Programme hinzu und installieren beide.
Richtige Antwort: B
Begründung:
Anwendungen können für Benutzer veröffentlicht werden. Dies bedeutet,
dass die Anwendung für den Benutzer zur Installation bereitgestellt wird.
Zum Installieren einer veröffentlichten Anwendung können Benutzer
Software in der Systemsteuerung verwenden. Software enthält eine
Liste aller veröffentlichten Anwendungen, die zum Installieren verfügbar
sind. Alternativ kann der Benutzer eine Dokumentdatei öffnen, die einer
veröffentlichten Anwendung zugeordnet ist, wenn der Administrator die
Funktion Automatisch installieren, wenn die Dateierweiterung
aktiviert wird (Lösung A) ausgewählt hat. So wird beispielsweise
Microsoft Excel installiert, wenn Sie auf eine XLS-Datei doppelklicken und
Excel noch nicht installiert ist.
In unserem Fall funktioniert das aber nicht, da beide Anwendungen
eventuell mit identischen Dateierweiterungen verknüpft werden müssten.
Anwendungen können nur in Verbindung mit Benutzerrichtlinien und nicht
für Computer veröffentlicht werden. Die Programme sollen veröffentlicht
- 284 -
und nicht zugeordnet werden, siehe Lösung C. Lösungsvorschlag D
widerspricht der Aufgabenstellung.
Hilfe
Verwaltungsaufgaben
MS Training
- 285 -
Frage 40
Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne, die
nur einen Domänencontroller enthält. Der Domänencontroller hat die
Bezeichnung »FDEDC001« und befindet sich in der Hauptniederlassung im
Standort Veilsdorf.
Sie fügen einen neuen Standort mit der Bezeichnung Puchheim hinzu. Sie
müssen dazu einen bereits existierenden Windows Server 2003
Mitgliedsserver mit der Bezeichnung »FDESRV01« zu einem weiteren
Domänencontroller der Domäne EISSNER-EDV.DE heraufstufen. Eine
56Kbps WAN-Verbindung verbindet die beiden Standorte Veilsdorf und
Puchheim.
Sie müssen »FDESRV01« als neuen Domänencontroller für den Standort
Puchheim installieren. Zudem soll die Belastung der WAN-Verbindung
während dieses Prozesses minimal gehalten werden.
A
{
Sie stellen die Kosten für Replikation zwischen den
Standorten Veilsdorf und Puchheim auf 50. Danach
stufen Sie »FDESRV01« zu einem zusätzlichen
Domänencontroller für den Standort Puchheim herauf.
B
{
Sie stellen die gesicherten Systemstatusdaten von
»FDEDC001« in einem neuen Ordner auf »FDESRV01«
wieder her und installieren Active Directory, indem Sie
den Befehl dcpromo /adv ausführen.
C
{
Domänencontroller auf, indem Sie den Befehl dcpromo
über das Netzwerk ausführen.
D
{
Domänencontroller auf, indem Sie eine Datei für eine
unbeaufsichtigte Installation benutzen.
Richtige Antwort: B
Begründung
Um den Transfer über die WAN-Verbindung zu umgehen, kann man den
neuen dcpromo /adv Befehl für die Installation eines zusätzlichen
Domänencontrollers aus dem Backup der Systemstatusdaten eines
existierenden Domänencontrollers nutzen.
Die Option /adv wird nur benötigt, wenn man einen Domänencontroller
von wiederhergestellten Systemtatusdaten erstellen will. Er wird nicht
benötigt, wenn man einen zusätzlichen Domänencontroller über das
- 286 -
Netzwerk installieren will. Diese Sicherung kann als CD, DVD oder auf
einer Festplatten-Partition vorliegen.
Die Installation von Medien reduziert die Zeit für die Integration der
Verzeichnisinformationen drastisch, weil die Größe der zu replizierenden
Datenmenge dadurch reduziert wird. Die Installation von Medien ist sehr
vorteilhaft in großen Domänen bzw. für das Einrichten von neuen
Domänencontrollern, die über eine langsame Netzwerkverbindung
verbunden sind.
Zuerst muss eine Sicherung der Systemstatusdaten eines existierenden
Domänencontrollers erstellt werden. Danach erfolgt die Wiederherstellung
dieser Daten auf dem neuen Domänencontroller, indem man die Option
„Dateien wiederherstellen in: Alternativer Bereich“ verwendet.
Auf diese Weise kann man die Systemstatusdateien auf einem beliebigen
Mitgliedsserver der Domäne wiederherstellen. Danach stuft man den
Mitgliedsserver unter Verwendung dieser Daten zu einem
Domänencontroller herauf.
Die in Lösungsvorschlag A empfohlene Änderung der Replikationskosten
hat keinen Einfluss auf die benötigte Bandbreite. Der Lösungsvorschlag C
erfordert ebenfalls eine Replikation der Verzeichnisinformationen über die
langsame WAN-Verbindung. Die Durchführung einer unbeaufsichtigten
Installation der Active Directory mittels einer Skriptdatei, wie im
Lösungsvorschlag D vorgeschlagen, schließt die Verwendung gesicherter
Systemstatusdateien aus.
Hilfe
Domänen\Verwalten von Domänencontrollern\Erstellen eines
zusätzlichen Domänencontrollers
MS Training
- 287 -
Frage 41
Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur, die
eine Stammdomäne und mehrere Subdomänen enthält. Die
Domänenfunktionsebene aller Subdomänen ist Windows Server 2003. Die
Domänenfunktionsebene der Hauptdomäne ist Windows 2000 pur.
Sie konfigurieren einen Windows Server 2003 mit der Bezeichnung
»FDEDC001« als Domänencontroller für eine existierende Subdomäne.
»FDEDC001« befindet sich in einer neuen Zweigstelle in Puchheim. Sie
verbinden »FDEDC001« mit der Zentrale in Veilsdorf über einen
permanenten VPN-Tunnel, basierend auf einer DSL-Verbindung.
»FDEDC001« hat eine einzelne Replikationsverbindung mit einem
Standortbrücken-Domänencontroller in der Zentrale in Veilsdorf.
Sie konfigurieren DNS auf »FDEDC001« und erstellen sekundäre Zonen für
jede Domäne in der Gesamtstruktur.
Sie müssen den Netzwerkverkehr, der durch Anmeldeaktivitäten über die
VPN-Verbindung verursacht wird, minimieren.
Auf welche Weise kann man die Aufgabe lösen?
(Jede richtige Antwort stellt eine komplette Lösung dar. Wählen Sie zwei
aus.)
A

Sie konfigurieren die DNS-Zonen so, dass sie Active
Directory-integrierte Zonen verwenden.
B

Sie konfigurieren »FDEDC001« so, dass er den PDCEmulator für die Domäne darstellt.
C

Sie konfigurieren »FDEDC001« so, dass er ein globaler
Katalogserver ist.
D

Sie konfigurieren die Zwischenspeicherung der
universellen Gruppenmitgliedschaft auf
»FDEDC001«.
Richtige Antworten:
C und D
Begründung
Die Belastung des Netzwerkes wird durch den Anmeldeverkehr über VPN
vom lokalen Domänencontroller verursacht, welcher universelle
Gruppeninformationen von einem globalen Katalogserver bezieht. Man
kann diesen Netzwerkverkehr dadurch reduzieren, indem man entweder
»FDEDC001« als einen globalen Katalogserver konfiguriert oder die
Zwischenspeicherung der universellen Gruppenmitgliedschaft auf
»FDEDC001« aktiviert.
- 288 -
Was macht ein globaler Katalogserver?
Ein globaler Katalogserver ist ein Domänencontroller, der Informationen
über alle Objekte der Gesamtstruktur speichert, nicht aber alle Attribute.
Anhand dieser Informationen können Anwendungen Active Directory
Objekte finden, ohne sich auf spezifische Domänencontroller zu beziehen,
welche die benötigten Daten enthalten.
Die Zwischenspeicherung der universellen Gruppenmitgliedschaft erlaubt
dem Domänencontroller, Informationen über die Mitgliedschaft in
universellen Gruppen für Benutzer zwischenzuspeichern. Man kann auf
Domänencontrollern, die mit Windows Server 2003 laufen, die
Zwischenspeicherung von universellen Gruppenmitgliedschaften
aktivieren, indem man das Snap-In „Active Directory Standorte und
Dienste“ verwendet. Durch das Aktivieren der Zwischenspeicherung von
universellen Gruppenmitgliedschaften benötigt man keinen globalen
Katalogserver mehr. Damit erreichen wir eine Reduzierung des
Netzwerkverkehrs über die WAN-Verbindung, da der Domänencontroller
nicht mehr alle Objekte der Gesamtstruktur replizieren muss. Ebenfalls
wird die Anmeldezeit reduziert, da der authentifizierende
Domänencontroller nicht immer erst auf einen globalen Katalog zugreifen
muss, um Informationen über die Mitgliedschaft in universellen Gruppen
zu erhalten.
Der Lösungsvorschlag A kann nicht richtig sein, da der Anmeldeverkehr
über VPN vom lokalen Domänencontroller verursacht wird, der universelle
Gruppeninformationen von einem globalen Katalogserver erhält. Er wird
nicht vom DNS verursacht. Der falsche Lösungsvorschlag B hat auch
nichts mit der Lösungsbehebung zu tun, weil der PDC Emulator nicht beim
Anmeldeprozess verwendet wird, außer es handelt sich um Windows NT
Clients.
Hilfe
Standorte
MS Training
- 289 -
Frage 42
der Bezeichnung EISSNER-EDV.DE. Die Informationen der Active
Directory-Datenbank haben einen Umfang von 500 MB.
Der Hauptsitz der EDV-Beratung Eißner befindet sich in Veilsdorf. Zudem
gibt es eine Zweigstelle in Puchheim. Die zwei Büros sind über eine 56Kbps WAN-Verbindung verbunden, die nur für Active DirectoryReplikationen benutzt wird. In dem Büro in Veilsdorf arbeiten 450
Mitarbeiter und 15 in Puchheim.
Die Zweigstelle in Puchheim betreibt einen einzelnen Windows Server
2003 Domänencontroller und zwei Windows Server 2003 Datei- und
Druckserver.
Die Festplatte des Domänencontrollers in Puchheim, auf der sich das
Betriebssystem befand, fällt aus, und lässt sich nicht wiederherstellen. Sie
bekommen den Auftrag, einen neuen Domänencontroller in Puchheim zu
installieren, der eine aktuelle Kopie des Active Directory enthalten soll.
Diese Aufgabe muss so schnell wie möglich erledigt werden.
A
{
Domänencontroller. Anschließend stellen Sie Active
Directory aus einer Sicherung wieder her.
B
{
Sie installieren Active Directory auf einem der Dateioder Druckserver. Danach erzwingen Sie eine
Replikation.
C
{
Sie installieren Active Directory auf einem der Dateioder Druckserver von wiederhergestellten, gesicherten
Dateien.
D
{
Domänencontroller und erzwingen eine Replikation.
Richtige Antwort: C
Begründung
Es wird verlangt, dass ein Domänencontroller so schnell wie möglich in der
Zweigstelle in Puchheim wieder zur Verfügung steht. Deshalb muss man
Active Directory unter Verwendung gesicherter Dateien installieren.
Lösungsweg A ist zwar der zu empfehlende Weg, jedoch ist der Weg wie
im Lösungsvorschlag C beschrieben, schneller zu realisieren. Man kann mit
- 290 -
dem neuen Befehl dcpromo /adv den Domänencontroller von einem
Backup der Systemstatusdaten eines existierenden Domänencontrollers
wiederherstellen.
Die Option /adv wird nur benötigt, wenn man einen Domänen-Controller
von wiederhergestellten Systemstatusdaten erstellen will. Er wird nicht
benötigt, wenn man einen zusätzlichen Domänencontroller über das
Netzwerk installieren will.
Die Installation von Medien reduziert die Zeit für die Integration der
Verzeichnisinformationen drastisch, weil die Größe der zu replizierenden
Datenmenge reduziert wird. Die Installation von Medien ist sehr vorteilhaft
in großen Domänen bzw. für das Einrichten von neuen
Domänencontrollern, die über eine langsame Netzwerkverbindung
verbunden sind.
Der im Lösungsvorschlag A beschriebene Weg ist nur dann zu favorisieren,
wenn genügend Zeit zur Verfügung steht.
Die Lösungsvorschläge B und D sind falsch, da eine Replikation der 500
MB großen Datenbank die WAN-Verbindung zu stark belasten würde.
Hilfe
Domänen\Verwalten von Domänencontrollern\Erstellen eines
zusätzlichen Domänencontrollers
MS Training
- 291 -
Frage 43
Firma arbeitet mit einem Partnerunternehmen, der EDV-Beratung Eißner,
zusammen. Das Firmennetzwerk enthält zwei Active DirectoryGesamtstrukturen mit den Bezeichnungen EISSNER-EDV.DE und
MVSNET.DE. Die Domänenfunktionsebene beider Gesamtstrukturen ist
Es besteht eine bidirektionale Gesamtstrukturvertrauensstellung zwischen
den beiden Gesamtstrukturen.
Sie müssen folgende Aufgaben erfüllen:
• Die Benutzer der EISSNER-EDV.DE-Gesamtstruktur müssen auf alle
Ressourcen der MVSNET.DE-Gesamtstruktur Zugriff haben.
• Die Benutzer der MVSNET.DE-Gesamtstruktur sollen nur auf
Ressourcen Zugriff haben, die auf einem Server mit der Bezeichnung
»FDESRV01.EISSNER-EDV.DE« gespeichert sind.
Sie müssen die Gesamtstrukturvertrauensstellung und die Ressourcen auf
»FDESRV01.EISSNER-EDV.DE« konfigurieren, um die Aufgabe zu erfüllen.
Welche drei Aktionen müssen Sie durchführen? (Jede richtige Antwort
stellt einen Teil der Lösung dar.)
- 292 -
A

B

wird.
C

D

Sie konfigurieren, auf einem Domänencontroller der
wird.
E

Sicherheitsgruppe MVSNET_Benutzer der Zugriff gewährt
wird.
F

Sicherheitsgruppe EISSNER-EDV_Benutzer der Zugriff
verweigert wird.
Richtige Antworten:
A, D und E
Begründung
Authentifizierung zwischen Gesamtstrukturen, basierend auf Windows
Server 2003
Wenn alle Domänen innerhalb zweier Gesamtstrukturen einander
vertrauen und Benutzer authentifizieren müssen, dann sollte man eine
Gesamtstrukturvertrauensstellung zwischen den beiden Gesamtstrukturen
einrichten. Wenn nur einige Domänen innerhalb der Gesamtstrukturen
einander vertrauen, ist es vorteilhafter, externe uni- oder bidirektionale
Vertrauensstellungen zwischen den Domänen einzurichten. Deshalb sind
die Antwortmöglichkeiten B und C falsch. Um den Zugriff für die Benutzer
der Domäne MVSNET.DE auf »FDESRV01.EISSNER-EDV.DE« zu
gewährleisten, muss Lösung E gewählt werden. Lösung F bewirkt eine
Zugriffsverweigerung für die Mitglieder der eigenen Domäne EISSNEREDV.DE.
- 293 -
Ausgewählte Authentifizierung zwischen den Gesamtstrukturen
Existiert zwischen zwei Gesamtstrukturen eine
Gesamtstrukturenvertrauensstellung, kann man den Bereich der
Authentifizierung festlegen. Sowohl für ein- als auch ausgehende
Vertrauensstellungen kann die Ausgewählte Authentifizierung festgelegt
werden. Diese ermöglicht Administratoren eine flexible Steuerung des
Zugriffs auf die Ressourcen der Gesamtstrukturen.
Bei der Verwendung der Gesamtstrukturweiten Authentifizierung für
eingehende Vertrauensstellungen haben Benutzer einer externen
Gesamtstruktur den gleichen Zugriff auf Ressourcen der lokalen
Gesamtstruktur, wie die Benutzer der lokalen Gesamtstruktur.
Zum Beispiel: Wenn GesamtstrukturA eine eingehende Vertrauensstellung
zu GesamtstrukturB hat, und Gesamtstrukturweite Authentifizierung
verwendet wird, dann können alle Benutzer von GesamtstrukturB auf die
Ressourcen von GesamtstrukturA zugreifen (vorausgesetzt sie haben die
benötigten Berechtigungen). Sollte man die Ausgewählte Authentifizierung
für eine eingehende Vertrauensstellung einsetzen, dann muss man auf
jeder Domäne und Ressource den Benutzern Berechtigungen erteilen um
Zugriff zu erlangen.
Wenn sich ein Benutzer, im Fall der Ausgewählten Authentifizierung, über
ein Vertrauensstellung authentifiziert, dann wird eine Andere Organisation
Security ID (SID) zu den Benutzer-Authentifizierungsdaten hinzugefügt.
Die Existenz dieser SID veranlasst eine Prüfung auf der RessourcenDomäne, damit sichergestellt wird, dass der Benutzer berechtigt ist, sich
für einen Zugriff zu authentifizieren. Wenn der Benutzer einmal
authentifiziert ist, fügt der Server, auf dem er sich authentifiziert hat, die
Diese Organisation SID hinzu, falls die Andere Organisation SID noch nicht
vorhanden ist. Es kann immer nur eine dieser speziellen SIDs im Kontext
eines authentifizierten Benutzers vorhanden sein.
Hilfe
Vertrauensstellungen\Verwalten von
Gesamtstrukturvertrauensstellungen\Erstellen einer
Gesamtstrukturvertrauensstellung\
MS Training
- 294 -
Frage 44
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, bestehend aus fünf Domänen und 30 Remotestandorten.
Diese befinden sich in Städten auf der ganzen Welt. Insgesamt existieren
40000 Benutzerkonten in den fünf Domänen. Alle Remotestandorte sind
über unzuverlässige 56Kbps WAN-Verbindungen mit dem Firmennetzwerk
verbunden.
Jeder Standort enthält mindestens einen Domänencontroller und einen
globalen Katalogserver. Auf allen Domänencontrollern in der
Gesamtstruktur ist Windows Server 2003 installiert. Die
Domänenfunktionsebene aller Domänen in der Gesamtstruktur ist
Windows 2000 pur.
Sie planen mehrere Active Directory-fähige Anwendungen in den nächsten
sechs Monaten zu verteilen. Jede dieser Anwendungen wird Attribute zum
globalen Katalog hinzufügen oder existierende Attribute modifizieren.
Sie müssen Modifikationen an der Active Directory-Infrastruktur
durchführen, um die Verteilung der Anwendungen vorzubereiten. Sie
wollen diese Aufgabe während der Abendstunden durchführen. Sie
müssen sicherstellen, dass Netzwerkunterbrechungen, die durch das
Verteilen der Anwendungen entstehen können, minimal gehalten werden.
Zudem muss sichergestellt sein, dass diese Modifikationen den Zugriff der
Benutzer auf Ressourcen nicht unterbrechen.
A
{
Sie verringern die Tombstone-Ablaufzeit im Active
Directory-Schema für die NIDS-Service-Objektklasse.
B
{
Sie entfernen die globale Katalogfunktion von den
globalen Katalogservern in jedem Remotestandort.
C
{
Sie erhöhen die Gesamtstrukturfunktionsebene auf
D
{
Sie konfigurieren die Zwischenspeicherung für
universelle Gruppenmitgliedschaft in jedem
Remotestandort.
Richtige Antwort: C
Begründung
Um sich auf die neuen Anwendungen vorzubereiten, ist die beste Variante
die Erhöhung der Gesamtstrukturfunktionsebene. Dies ermöglicht die
Desaktivierung falscher Schema-Klassen. Zudem ist beispielsweise eine
- 295 -
Domänenumbenennung möglich und eine Verbesserung der Replication
des globalen Katalogs zu verzeichnen.
Das Schema erweitern
Wenn die Einstellung der Objektklassen und Attribute des Standard Active
Directory Schemas nicht den Bedürfnissen entspricht, kann man das
Schema erweitern, indem man Objektklassen oder Attribute modifiziert
bzw. hinzufügt. Das Schema sollte man nur dann erweitern, wenn es
unbedingt notwendig ist. Der einfachste Weg das Schema zu erweitern, ist
die Microsoft Management Console (MMC). Man sollte SchemaErweiterungen sorgfältig entwickeln und vor allem ausführlich testen,
bevor man sie in das Firmennetzwerk integriert.
Einmal erstellte Schema-Erweiterungen können nicht wieder entfernt
werden. Attribute oder Klassen können nach ihrer Erstellung nicht
gelöscht, sondern bestenfalls modifiziert oder deaktiviert werden.
Deaktivieren einer Klasse oder eines Attributs
Windows Server 2003 Domänencontroller erlauben nicht das Löschen von
Objektklassen oder Attributen. Sie können lediglich deaktiviert werden,
wenn sie nicht mehr benötigt werden oder wenn ein Fehler in der
Originaldefinition aufgetreten ist. Eine deaktivierte Klasse bzw. ein
deaktiviertes Attribut ist nicht mehr nutzbar. Jedoch kann man sie
jederzeit reaktivieren.
Eine Reaktivierung ist allerdings nur dann möglich, wenn die
Gesamtstrukturfunktionsebene Windows Server 2003 ist, und die Werte
für LDAPDisplayname, attributeID, governsID, schemaIDGUI und mAPIID
keine Konflikte mit anderen Objektklassen bzw Attributen verursachen.
Hilfe
• Active Directory\So wird es gemacht\Verwalten einer
Gesamtstruktur\Verwalten des Schemas
MS Training
- 296 -
Frage 45
der Bezeichnung EISSNER-EDV.DE. Auf allen Mitgliedsserver läuft
Windows Server 2003, auf allen Clientrechnern Windows XP Professional.
Alle Computerkonten der Clientrechner der Domäne befinden sich in einer
Organisationseinheit (OU) mit der Bezeichnung Workstations.
Sie müssen auf allen Rechnern im Netzwerk eine neue Anwendung
aufspielen. Sie erstellen eine Gruppenrichtlinie, die das Anwendungspaket
unter Softwareeinstellungen\Softwareinstallation im Bereich
Computerkonfiguration des Gruppenrichtlinienobjektes bereitstellt. Sie
weisen das Gruppenrichtlinienobjekt der Organisationseinheit
Workstations zu. Einige Tage später berichten Benutzer, dass die
Anwendung noch immer nicht installiert ist.
Sie müssen sicherstellen, dass die Anwendung auf allen Clientrechner
installiert ist.
A
{
Sie instruieren die Benutzer, dass sie ihre Rechner neu
starten.
B
{
Sie instruieren die Benutzer, dass sie ein Windows
Update auf ihren Rechnern ausführen.
C
{
der Computerrichtlinieneinstellung auf ihren Rechnern
erzwingen sollen.
D
{
der Benutzerrichtlinieneinstellung auf ihren Rechnern
erzwingen sollen.
Richtige Antwort: A
Begründung
Wenn eine Anwendung einem Computer zugewiesen wurde, dann wird
diese Software erst installiert, wenn es sicher ist, also wenn die
Betriebssystemdateien geschlossen sind. Das bedeutet, dass die Software
beim Start des Rechners installiert wird, noch bevor sich ein Benutzer
anmelden kann. Deshalb muss den Benutzern mitgeteilt werden, dass sie
ihre Computer neu starten sollen.
Lösungsweg B bewirkt eine Aktualisierung des Betriebssystems mit den
aktuellsten Sicherheitspatches usw. Lösung C und D führen nur zu einer
Aktualisierung der Richtlinien auf dem Clientrechnern. Da der Benutzer
aber erst nach einigen Tagen das Fehlen der Anwendung bemängelt,
- 297 -
sollten zwischenzeitlich die aktuellen Richtlinien auf dem Clientrechner
vorhanden sein. Eine Installation der Anwendung kann nur durch einen
Neustart des Computers erfolgen.
Wenn man Programme Benutzern oder Computern zuweist, dann wird die
Anwendung automatisch bei der Anmeldung (bei benutzerbezogenen
Anwendungen) oder beim Rechnerstart (bei computerbezogenen
Anwendungen) installiert. Beim Zuweisen von Anwendungen auf Benutzer
wird standardmäßig die Anwendung bei der nächsten Benutzeranmeldung
installiert. Das bedeutet, dass das Anwendungssymbol im Startmenü
erscheint und die Registrierung mit Informationen der Anwendung
aktualisiert wird, inklusive des Speicherortes des Anwendungspaketes
sowie der Quelldatei für die Installation. Mit dieser
Veröffentlichungsinformation auf dem Rechner des Benutzers wird die
Anwendung installiert, wenn der Benutzer das erste Mal versucht, sie zu
starten. Zusätzlich zu diesem Standardverhalten unterstützen Windows XP
Professional und Windows Server 2003 Clients eine Option (zugewiesen),
um das Packet vollständig bei der Benutzeranmeldung zu installieren. Dies
ist eine gute Alternative zu der Installation nach dem ersten Start der
Anwendung.
Wenn man Anwendungen Computern zuweist, dann wird die Anwendung
beim nächsten Start des Rechners installiert. Anwendungen die
Computern zugewiesen wurden, werden nicht veröffentlicht, sondern mit
den Standardeinsstellungen für das Installationspaket installiert. Wenn
man Anwendungen via Gruppenrichtlinien zuweist, wird ein autorisiertes
Windows Installer (.msi) Packet benötigt.
Hilfe
MS Training
- 298 -
Frage 46
der Bezeichnung EISSNER-EDV.DE. Die Domänenfunktionsebene ist
Windows 2000 gemischt. Die Domäne enthält eine Organisationseinheit
(OU) mit der Bezeichnung Vertrieb. Die Computerkonten der Clientrechner
aus der Verkaufsabteilung befinden sich in der Organisationseinheit
Vertrieb. Auf jedem Clientrechner läuft entweder Windows NT Workstation
4.0, Windows 2000 Professional oder Windows XP Professional.
Sie müssen ein Softwarepaket automatisch auf alle Windows 2000
Professional Clientrechner in der Organisationseinheit Vertrieb verteilen.
Sie erstellen ein Gruppenrichtlinienobjekt (GPO) und verbinden dieses mit
der Organisationseinheit Vertrieb.
Wie gehen Sie vor?
A
{
Gruppenrichtlinie so, dass den authentifizierten
Benutzern das Leserecht gegeben und das Recht zum
Ausführen von Gruppenrichtlinien verwehrt wird.
B
{
konfigurieren Sie einen WMI-Filter, der Windows 2000
Professional enthält.
C
{
unter Softwareeinstellungen zugewiesen wird. Sie
deaktivieren die Computerkonfiguration in der
Gruppenrichtlinie.
D
{
Gruppenrichtlinie so, dass nur Windows 2000
Professional Computern das Leserecht und das Recht
zum Ausführen von Gruppenrichtlinien gegeben wird.
Richtige Antwort: B
- 299 -
Begründung
Die Frage ist raffiniert, da Windows 2000 Clients keine WMI-Filter
bearbeiten können. Sie werden den Filter ignorieren und die Software
installieren. Jedoch können die Windows XP Clients den Filter bearbeiten,
und werden die Anwendung nicht installieren. Die NT Clients werden die
Gruppenrichtlinie nicht ausführen und die Software ebenfalls nicht
installieren. Das erfüllt die Anforderungen der Frage.
WMI-Filterung
Die WMI-Filterung ist nur in Domänen verfügbar, die einen Windows
Server 2003 Domänencontroller haben. Ebenfalls muss man daran
denken, dass nur Windows XP, Windows Server 2003 und spätere
Betriebssysteme die WMI-Filterung unterstützen. Die WMI-Filterung in
Verbindung mit einer Gruppenrichtlinie wird von Windows 2000 Clients
ignoriert. Deshalb wird die Gruppenrichtlinie immer auf Windows 2000
Clients angewendet.
Lösungsweg A würde die Ausführung der Gruppenrichtlinie verweigern,
sodass diese auf keinem Computer zur Anwendung käme. Lösung C
deaktiviert den Teil des Gruppenrichtlinienobjekts mit den erforderlichen
Einstellungen. Deshalb würde die Software auf keinem Computer
installiert werden.
Lösung D ist im Ansatz richtig, würde aber der Forderung, die Installation
nur auf Windows 2000 Clients zu erlauben, nicht gerecht.
Hilfe
MS Training
- 300 -
Frage 47
der Bezeichnung EISSNER-EDV.DE. Alle Computer sind Mitglieder der
Domäne. Auf allen Servern läuft Windows Server 2003, auf allen
Clientrechnern Windows XP Professional.
Das Netzwerk enthält Desktopclientrechner und einige portable
Clientrechner. Zu den portablen Clientrechnern zählen Laptops sowie
Tablet-PCs. Die Computerkonten der Clientrechner befinden sich in
verschiedenen Organisationseinheiten (OUs), sortiert nach den einzelnen
Abteilungen.
Eine schriftliche Firmenrichtlinie verlangt, dass kein portabler Rechner
unbeaufsichtigt und am Netzwerk angemeldet verlassen werden darf,
wenn er nicht passwortgeschützt ist. Benutzer dürfen sich nicht über diese
Anordnung hinwegsetzen. Diese trifft jedoch nicht für die Desktoprechner
zu, da sich diese in gesicherten Büros befinden
Sie müssen das Netzwerk so konfigurieren, dass die portablen Rechner
diese Anforderung erfüllen.
- 301 -
A
{
konfigurieren das Logonskript so, dass es die
oeminfo.inf-Datei nach Hersteller- und
Modellinformationen ließt und die
Bildschirmschonereigenschaften aktiviert, falls die
Hersteller- und Modellnummer einen portablen Rechner
identifiziert.
B
{
konfigurieren das Logonskript so, dass es eine WMIAbfrage nach Herstellerinformation und ein Update der
Benutzerprofilinformationen in den Active Directorys
durchführt, insofern der Benutzer einen portablen
Rechner verwendet.
C
{
der Domäne. Anschließend verwenden Sie einen WMIFilter, der nach den Chassistypinformationen abfragt,
sodass die Gruppenrichtlinie nur auf portable Rechner
angewendet wird.
D
{
der Domäne. Anschließend verwenden Sie einen WMIFilter, der nach der spezifischen Edition der Windows XP
Professional Installation den Rechnern abfragt, sodass
die Gruppenrichtlinie nur auf portable Rechner
angewendet wird.
Richtige Antwort: C
Begründung
Man kann einen WMI-Filter verwenden, um hardwarespezifische
Informationen, z.B. Chassistypinformationen, abzufragen. So kann man
sicherstellen, dass die Gruppenrichtlinie nur auf portable Rechner
angewendet wird. Wichtig ist der Schutz des Bildschirmschoners durch ein
Passwort, um eine unberechtigte Deaktivierung des Bildschirmschoners zu
verhindern. Deshalb ist C die richtige Lösung.
Lösung A zeigt einen sehr aufwendigen und unpraktischen Weg, diese
Aufgabe zu lösen. Im Lösungsansatz B wird zwar die Verwendung eines
WMI-Filters vorgeschlagen, aber der Schutz der portablen Clientrechner
vor unberechtigtem Zugriff wurde hier nicht beachtet. Die Aktualisierung
- 302 -
der Benutzerrichtlinien ist in diesem Fall irrelevant. Lösungsweg D
beinhaltet zwar die Anwendung eines Passwortes für den
Bildschirmschoner, aber die Filterung nach der Betriebssystemversion von
Windows XP schließt nicht aus, dass auch Desktop-Rechner betroffen sind.
Hilfe
MS Training
- 303 -
Frage 48
der Bezeichnung MVSNET.DE mit fünf Standorten.
Sie konfigurieren fünf Active Directory-Standorte entsprechend den
Anforderungen des Standortdesignentwurfs der Firma. Die Netzwerksowie die Standortkonfiguration wird im folgenden Schaubild gezeigt:
Der Standortdesignentwurf verlangt ebenfalls, dass Sie die
Standortverknüpfungsbrücken konfigurieren. Das Design verlangt, dass
die Standortverknüpfungen für Standort 1, Standort 2 und Standort 3
transitiv und alle anderen Standortverknüpfungen non-transitiv sind.
Sie müssen die Standortverknüpfungsbrücken so konfigurieren, dass diese
den Anforderungen des Standortdesignentwurfes entsprechen.
Welche Aktion/en müssen Sie durchführen?
(Wählen Sie alle, die angewendet werden müssen.)
A

Sie deaktivieren Brücke zwischen allen Standorten
herstellen in den IP-Objekteigenschaften.
B

Sie erstellen eine neue Standortverknüpfung zwischen
jedem Active Directory-Standort.
C

Sie entfernen jeden Standort von den
Standardstandortverknüpfungen.
D

E

Richtige Antworten: A, C und D
- 304 -
Begründung
Standardmäßig wird eine Brücke zwischen allen Standorten einer Domäne
eingerichtet. Um der Aufgabenstellung gerecht zu werden, muss man
dieses Standardverhalten deaktivieren und anschließend eine
Standortverknüpfungsbrücke zwischen den Standorten 1-3 erstellen. Dazu
muss man in der MMC Active Directory-Standorte und –Dienste unter
Inter-Site-Transport das IP-Objekt bearbeiten – das entspricht
Lösungsvorschlag A.
Um das neue Design durchzusetzen, ist es sinnvoll, die alten
Verknüpfungen erst einmal zu löschen, um dann die neue
Standortverknüpfungsbrücke zu etablieren. Deshalb muss Lösung C
gewählt werden.
Außerdem verlangt das Design, dass die Standortverknüpfungen, die
Standort1, Standort2 und Standort3 verbinden, transitiv sein sollen.
Daher muss man eine neue Standortverknüpfungsbrücke erstellen, und
die Standortverknüpfungen, die Standort1, Standort2 und Standort3
verbinden, zu der Standortverbindungsbrücke hinzufügen, wie unter D
beschrieben.
Lösungsvorschlag B bewirkt eine Verknüpfung aller Standorte
untereinander. Antwort E hingegen erstellt eine Standortverknüpfung
zwischen den Standorten 3-5 und macht diese transitiv.
Hilfe
Standorten\Konfigurieren einer Replikation zwischen Standorten
MS Training
- 305 -
Frage 49
Sie sind der Netzwerkadministrator Ihrer Firma. Sie besteht aus zwei
Partnergesellschaften, der EDV-Beratung Eißner und der MVS M. Völk
Systems. Das Firmennetzwerk enthält zwei Active Directory-Domänen in
einer einzelnen Gesamtstruktur mit vier Standorten. Die
Netzwerkkonfiguration wird im folgenden Schaubild gezeigt:
Auf allen Clientrechnern läuft Windows XP Professional.
Benutzer, die ihre Benutzerkonten in der MVSNET.DE-Domäne haben,
greifen regelmäßig auf Ressourcen des Standorts 3 zu. Wenn sich die
Benutzer an das Netzwerk in Standort 3 anmelden, kann der
Anmeldeprozess bis zu zehn Minuten in Anspruch nehmen.
Sie entdecken, dass bei der Anmeldung von Benutzern an das Netzwerk
von Standort 3 die Benutzer über »MVSDC005.MVSNET.DE« in Standort 1
authentifiziert werden. Sie müssen sicherstellen, dass sich die Benutzer
von MVS schneller an das Netzwerk von Standort 3 anmelden können.
- 306 -
A
{
Sie erhöhen die Verbindungskosten für
Standortverbindung 1-3 auf 500.
B
{
Sie konfigurieren eine Standortverknüpfungsbrücke so,
dass sie die Standortverknüpfung 3-4 und die
Standortverknüpfung 2-4 überbrückt.
C
{
Sie modifizieren das Subnetzobjekt, das mit Standort 3
verbunden ist, sodass es mit Standort 1 verbunden ist.
D
{
Sie bewegen »MVSDC005.MVSNET.DE« von Standort 1
zu Standort 3.
Richtige Antwort: B
Begründung:
Die Aufgabenstellung fordert eine schnellere Anmeldung an die Domäne
MVSNET.DE. Da Standort 1 und 3 nur über eine 56 Kbps-Leitung
verfügen, wäre eine Authentifizierung über die Standortverknüpfungen 34 und 2-4 sinnvoll, da dort die Leitungen im Minimum mit 512 Kbps
Bandbreite arbeiten. Die Authentifizierung würde dann über den
Domänencontroller »MVSDC006« erfolgen. Damit das Ganze funktioniert,
müssen die Standortverknüpfungen transitiv gemacht werden. Dazu
erstellt man eine Standortverknüpfungsbrücke und fügt die
Standortverknüpfungen 3-4 und 2-4 hinzu. Dadurch wäre eine schnellere
Authentifizierung durch die größere Bandbreite der Leitungen möglich.
Diesen Weg beschreibt die Lösung B.
Antwort A hat keinen Einfluss auf die Bandbreite der verwendeten
Leitungen. Zwischen Standort1 und Standort3 existiert bereits eine
Verbindung, sodass Lösungsvorschlag C wenig Sinn macht. Eine Erhöhung
der Bandbreite für diese Verbindung wäre mit Sicherheit der bessere
Vorschlag gewesen. Das Verschieben von »MVSDC005« aus Vorschlag D
würde das Problem nur von einem Standort in den anderen verlagern.
Hilfe
MS Training
Frage 50
- 307 -
Die Sicherheitsvorschriften der Firma MVS M. Völk Systems benötigen
folgende Zugriffsrichtlinien:
• Benutzerkonten müssen nach drei Fehlversuchen der
Passworteingabe für 30 Minuten gesperrt sein.
• Die Freischaltung des Benutzerkontos muss manuell erfolgen.
Sie müssen eine Zugriffsrichtlinie für die Domäne erstellen, die diese
Sicherheitsregeln beinhaltet.
Wie gehen Sie vor?
(Um zu antworten, wählen Sie den entsprechenden Bestandteil oder die
Bestandteile in der Grafik aus.)
Richtige Antwort:
Begründung:
Kontosperrdauer
Diese Sicherheitseinstellung bestimmt, wie lange (in Minuten) ein Konto
gesperrt bleibt, bevor die Sperre automatisch aufgehoben wird. Dieser
Wert kann zwischen 0 und 99.999 Minuten liegen. Wenn Sie für die
Kontosperrdauer den Wert 0 festlegen, bleibt das Konto gesperrt, bis ein
Administrator die Sperre explizit aufhebt.
Wurde eine Kontensperrungsschwelle definiert, muss der Wert für die
Kontosperrdauer größer oder gleich dem Wert für die
Zurücksetzungsdauer des Kontosperrungszählers sein.
Kontensperrungsschwelle
- 308 -
Diese Sicherheitseinstellung bestimmt die Anzahl der fehlgeschlagenen
Anmeldeversuche, die zur Sperrung eines Benutzerkontos führen. Ein
gesperrtes Konto kann erst dann wieder verwendet werden, wenn es von
einem Administrator zurückgesetzt wurde oder die Sperrungsdauer für das
Konto abgelaufen ist. Sie können für fehlgeschlagene Anmeldeversuche
einen Wert zwischen 1 und 999 festlegen. Mit dem Wert 0 wird das Konto
nie gesperrt.
Fehlerhafte Kennworteingaben auf Arbeitsstationen oder Mitgliedsservern,
die mittels STRG+ALT+ENTF oder durch einen kennwortgeschützten
Bildschirmschoner gesperrt wurden, zählen als fehlgeschlagene
Anmeldeversuche.
Voreinstellung: 0.
Zurücksetzungsdauer des Kontosperrungszählers
Diese Sicherheitseinstellung bestimmt, wie viele Minuten nach einem
fehlgeschlagenen Anmeldeversuch verstreichen müssen, bevor der
Kontosperrungszähler wieder auf 0 zurückgesetzt wird. Der Wert kann
zwischen 1 und 99.999 Minuten liegen.
Wurde eine Kontensperrungsschwelle definiert, muss der Wert für die
Zurücksetzungsdauer kleiner oder gleich dem Wert für die
Kontosperrdauer sein.
Voreinstellung: Keine, da diese Richtlinie nur von Bedeutung ist, wenn
eine Kontensperrungsschwelle angegeben wurde.
Hilfe
• Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Verwendung
der Sicherheitskonfigurations-Manager\Beschreibung der
Sicherheitseinstellung\Kontorichtlinien\Kontosperrungsrichtlinien
MS Training
- 309 -
Frage 51
Netzwerk besteht aus einer Verzeichnisstruktur mit drei Domänen. Alle
Domänen laufen unter der Domänenfunktionsebene Windows 2000 pur.
Ihre Firma übernimmt die Firma Rauschert IT Consulting GmbH. Das
Netzwerk der Firma Rauschert beruht auf einer Verzeichnisstruktur mit
einer Domäne und der Bezeichnung RAUSCHERT.NET. Die
Domänenfunktionsebene von RAUSCHERT.NET ist Windows 2000 pur. Die
Strukturen beider Firmen sieht wie folgt aus:
Sie möchten, dass alle Mitarbeiter beider Firmen vollen Zugriff auf
Ressourcen der jeweils anderen Firma bekommen, außerdem müssen
Benutzer in der Lage sein, sich zwischen Domänen durch Verwenden der
Kerberos-Bestätigung anzumelden.
Sie müssen sicherstellen, dass Benutzer auf alle Ressourcen durch
Verwenden ihrer vorhandenen Benutzerkonten zuzugreifen können.
- 310 -
A
{
und binden diese in die Domäne MVSNET.DE ein.
B
{
und aktualisieren sie auf Windows Server 2003. Sie
fügen diese Server in einer neuen Domäne von
MVSNET.DE hinzu und stufen sie zu Domänencontroller
herauf.
C
{
Sie rüsten die Windows 2000 Domänencontroller in der
Domäne RAUSCHERT.NET auf Windows Server 2003
nach. Sie erstellen eine Vertrauensstellung zwischen den
beiden Hauptdomänen.
D
{
Sie rüsten alle Domänencontroller in beiden
Verzeichnisstrukturen auf Windows Server 2003 nach.
Sie heben die Domänenfunktionsebene in beiden
Verzeichnisstrukturen auf Windows Server 2003 an. Sie
erstellen eine Vertrauensstellung zwischen den beiden
Hauptdomänen.
Richtige Antwort: D
Begründung
Um Benutzern in jeder Verzeichnisstruktur den Zugriff auf Ressourcen der
jeweils anderen Struktur zu ermöglichen und die Anmeldung in jeder
Domäne mit Kerberos-Authentifizierung durchzuführen, müssen wir eine
Vertrauensstellung zwischen den Strukturen schaffen. Um eine
Vertrauensstellung zu schaffen, müssen die Bereiche den gleichen
Domänenfunktionslevel, Windows 2003, haben. Dies erfordert, dass alle
Domänencontroller in jeder Domäne mit Windows Server 2003 Server
laufen.
Hilfe
• Gesamtstrukturübergreifender Zugriff auf Ressourcen\Active
Directory
• Vertrauensstellungen\Active Directory
MS Training
- 311 -
Frage 52
Sie sind ein Systemadministrator Ihrer Firma. Die Gesellschaft besteht aus
den zwei Tochtergesellschaften MVSNET.DE und RAUSCHERT.NET. Das
Netzwerk besteht aus zwei aktiven Verzeichnisstrukturen. Alle Server
laufen mit Windows Server 2003.
Die Domänenkonfiguration ist wie in der Grafik dargestellt:
Sie benennen die Domäne KC.MVSNET.DE in TRAINING.MVSNET.DE, und
die Domäne PUC.MVSNET.DE in CONSULTING.MVSNET.DE um.
Nachdem die Domäne umbenannt ist, können Benutzer in der Domäne
CONSULTING.MVSNET.DE nicht mehr auf Ressourcen in RAUSCHERT.NET
zugreifen. Außerdem berichten Benutzer in der Domäne RAUSCHERT.NET,
dass sie nicht auf gemeinsam benutzte Ressourcen in der Domäne
MVSPRESS.DE zugreifen können.
Sie müssen den Zugriff auf Ressourcen zwischen der Domäne
MVSPRESS.DE und RAUSCHERT.NET wiederherstellen.
- 312 -
A
{
Sie ändern den NetBIOS-Namen für die
CONSULTING.MVSNET.DE-Domäne in
PUC.MVSPRESS.DE.
B
{
Sie löschen die zwei externen Vertrauensstellungen
zwischen CONSULTING.MVSNET.DE und
RAUSCHERT.NET und erstellen sie wieder neu.
C
{
Sie konfigurieren Bedingte Weiterleitung auf dem
DNS-Server in der Domäne RAUSCHERT.NET, um
Anfragen der Namensauflösung MVSNET.DE an die DNSServern in der Domäne CONSULTING.MVSNET.DE
weiterzuleiten.
D
{
Sie setzen alle Computerkontokennwörter auf allen
Domänencontroller in der Domäne MVSPRESS.DE
zurück.
Richtige Antwort: B
Begründung
Nach dem Umbenennen der Domäne müssen die externen
Vertrauensbeziehungen wieder hergestellt werden.
Das Erstellen von notwendigen Vertrauensbeziehungen: Sie können jede
Domäne innerhalb der Domänenstruktur eines Verzeichnisdiesntes mit
Ausnahme der Hauptdomäne repositionieren. Sie können eine
Hauptdomäne (ROOT-Domain) umbenennen (dadurch kann sich der DNSund NETBIOS Namen ändern), sie kann jedoch nicht auf diese Weise
verschoben werden, wie Sie eine andere Domäne in der
Verzeichnisstruktur verschieben können.
Dank der Möglichkeit der Umbenennung einer Domäne können Sie
wichtige Änderungen an der Gesamtstruktur und am Namespace
vornehmen, wenn sich die Anforderungen Ihrer Organisation ändern. Das
Umbenennen von Domänen kann durch Neuerwerbungen, Fusionen,
Namensänderungen oder Umstrukturierungen ausgelöst werden. Das
Umbenennen von Domänen ermöglicht Folgendes:
Ändern der DNS-Namen (Domain Name System) und NetBIOS-Namen
jeder Domäne in der Gesamtstruktur (einschließlich der
Gesamtstrukturstammdomäne). Umstrukturieren der Position jeder
Domäne in der Gesamtstruktur (außer der GesamtstrukturStammdomäne).
Es können nur Domänen in einer Gesamtstruktur umbenannt werden, bei
der alle Domänencontroller unter Windows Server 2003 ausgeführt
werden, und bei der die Gesamtstrukturfunktionsebene auf Windows
Server 2003 angehoben wurde. Weitere Informationen finden Sie unter
- 313 -
Domänen- und Gesamtstrukturfunktionalität.
Umstrukturierung einer Gesamtstruktur
Mithilfe der Umbenennung von Domänen können Sie außerdem die
Hierarchie von Domänen in Ihrer Gesamtstruktur umstrukturieren. Eine
Domäne in einer Domänenstruktur kann demnach in eine andere
Domänenstruktur verschoben werden. Durch das Umstrukturieren einer
Gesamtstruktur können Sie eine Domäne an eine beliebige Position
innerhalb der zugehörigen Gesamtstruktur (außer innerhalb der
Gesamtstrukturstammdomäne) verschieben. Dazu zählt die Möglichkeit,
eine Domäne so zu verschieben, dass sie zur Stammdomäne der eigenen
Domänenstruktur wird.
Zum Umbenennen oder Umstrukturieren einer Domäne können Sie das
Domänenumbenennungsprogramm (rendom.exe) verwenden. Das
Programm rendom.exe finden Sie im Verzeichnis
Valueadd\Msft\Mgmt\Domren auf der Installations-CD für das
Betriebssystem. Die Umbenennung einer Domäne betrifft jeden
Domänencontroller in seiner Gesamtstruktur und stellt einen aus
mehreren Schritten bestehenden Vorgang dar, für den entsprechende
gründliche Kenntnisse erforderlich sind. Weitere Informationen finden Sie
unter "Domain Rename Tool" auf der Microsoft-Website
(http://www.microsoft.com/).
Hilfe
• Umbenennen von Domänen\Active Directory
MS Training
- 314 -
Frage 53
Netzwerk besteht aus einer Verzeichnisstruktur mit der Bezeichnung
MVSNET.DE. Die Domänenfunktionsebene entspricht Windows Server
2003.
Die Domäne enthält ein Grenznetzwerk und einen Standort mit dem
Firmen-LAN, wie in der Grafik dargestellt.
Die Laufwerke aller Domänencontroller sind wie in der folgenden Tabelle
dargestellt, konfiguriert.
Laufwerk
Inhalt
C:
Bootpartition, Systempartition und Datenbank des
Verzeichnisdienstes
D:
Datenbank des Verzeichnisdienstes
E:
Dateien und Verzeichnisse
Das Motherboard auf »MVSDC002« fällt aus und wird vom Netz
genommen. Eine Woche später wird auf »MVSDC003« die Funktion des
Schemamasters übertragen. Sie benötigen die Daten von »MVSDC002«.
Sie ersetzen das Motherboard auf »MVSDC002« und starten »MVSDC002«
in einem isolierten Subnetz wieder. Sie müssen in der Lage sein,
»MVSDC002« im Grenznetzwerk so schnell wie möglich zurückzubringen,
um auf die Daten zugreifen zu können.
- 315 -
A
{
Sie formatieren das Laufwerk D: auf »MVSDC002«. Sie
B
{
Sie formatieren das Laufwerk C: auf »MVSDC002. Sie
installieren das Betriebssystem auf »MVSDC002«neu.
Sie entfernen die Verweise von »MVSDC002« aus dem
Active Directory durch Verwendung der Tools
ntdsutil.exe und adsiedit.exe auf »MVSDC001«.
C
{
führen den Befehl dcpromo auf »MVSDC002« aus. Sie
Domänencontroller im Firmen-LAN. Sie fügen
»MVSDC002« zur Domäne hinzu.
D
{
Richtige Antwort: B
Begründung
Wir haben die Schema Betriebsmasterfunktion von »MVSDC002« auf
»MVSDC003« verschoben. Deshalb sollten wir »MVSDC002« nicht wieder
online bringen. Zwei Schema Betriebsmasterfunktion im Verzeichnisdienst
zu haben, verursacht nur unnötige Probleme. Um »MVSDC002« wieder
online zu bringen, sollten wir das Laufwerk C: formatieren und das
Betriebssystem neu installieren. Des Weiteren sollten auch in der aktiven
Verzeichnisdatenbank die Verweise auf »MVSDC002« unter Verwenden
des Tools NTDSUTIL.EXE und ADSIEdit.EXE auf einem anderen
Domänencontroller entfernt werden.
Um das Betriebssystem neu zu installieren, sollten wir Laufwerk C:
formatieren und nicht Laufwerk D:. Wenn wir das Laufwerk E:
formatieren, löschen wir die Daten, auf die wir zugreifen wollen. Die
Schema Betriebsmasterfunktion ist schon übertragen worden. Wir müssen
das Betriebssystem neu installieren nachdem wir das Laufwerk C:
formatiert haben.
Hilfe
- 316 -
• Reagieren auf Betriebsmasterausfälle\Active Directory
• Übernehmen der Schemamasterfunktion\Active Directory
• Übertragen der Betriebsmasterfunktionen\Active Directory
MS Training
- 317 -
Frage 54
Sie sind der Netzwerkadministrator der Firma MVSNET.DE. Ihr Netzwerk
besteht aus einem Verzeichnisdienst mit einem Domänencontroller. Alle
Domänencontroller verwenden das Betriebssystem Windows Server 2003,
die Clientcomputer Windows XP Professional. Die Verzeichnisstruktur Ihrer
Firma ist wie in der Grafik dargestellt aufgebaut:
Die firmeninternen Richtlinien erlauben den Mitarbeitern der
Herstellungsabteilung nur beschränkte Zugriffsrechte und beschränkten
Zugriff auf Anwendungen auf den Computer. Diese Richtlinie mit ihren
Beschränkungen darf kein Auswirkungen auf Mitglieder der
Sicherheitsgruppe Manager haben.
Sie erstellen ein Gruppenrichtlinienobjekt mit der Bezeichnung Beschränke
Zugriffe und wenden die Gruppenrichtlinie auf die Domäne an. Diese
Richtlinie entspricht den Vorgaben der firmeninternen Richtlinie.
Sie stellen fest, dass die beschränkten Zugriffe für alle Benutzer gelten.
Sie überprüfen die Gruppenrichtlinie durch Verwenden der
Gruppenrichtlinienverwaltung (GPMCs). Sie überprüfen die Berechtigungen
für das Gruppenrichtlinienobjekt:
- 318 -
Sie müssen das Netzwerk so konfigurieren, so dass die firmeninternen
Richtlinien richtig angewendet werden.
(Jede richtige Antwort ist ein Teil der Lösung. Wählen Sie zwei.)
A

binden sie auf die Organisationseinheit Herstellung.
B

binden sie auf die Organisationseinheit USERS.
C

Sie ordnen der Gruppe Authentifizierte Benutzer das
Recht Verweigern auf Gruppenrichtlinien
übernehmen zu.
D

Sie ordnen der Gruppe Manager das Recht Verweigern
auf Gruppenrichtlinien übernehmen zu.
Richtige Antworten: A und D
Begründung
Die Frage gibt vor, dass die Richtlinie beschränkter Zugriff nur für
Benutzer in der Organisationseinheit Herstellung gelten sollte. Die
Richtlinie ist gegenwärtig mit der Domäne verbunden, dadurch wird sie
auf alle Benutzer in der Domäne angewandt. Wir sollten die Verbindung
der Gruppenrichtlinie von der Domäne aufheben und sie mit der
Organisationseinheit Herstellung verbinden. Die Gruppenrichtlinie darf
keine Auswirkung auf Mitglieder der Organisationseinheit Manager haben.
Wir können dieses Forderung dadurch erfüllen, dass wir der
Organisationseinheit Managern das Recht Verweigern auf
Gruppenrichtlinien Übernehmen zuordnen.
Der beschränkte Zugriff sollten nur auf Benutzer der Organisationseinheit
Herstellung, und nicht auf die Organisationseinheit USERS Anwendung
- 319 -
finden. Die würde sich auf alle Mitarbeiter in der Verzeichnisstruktur
auswirken. Die Gruppenrichtlinie sollte nur für Benutzer der
Organisationseinheit Herstellung gelten.
Hilfe
• Anwenden von Sicherheitseinstellungen über
Gruppenrichtlinien\Sicherheitseinstellungen
MS Training
- 320 -
Frage 55
Firma besteht aus zwei Tochtergesellschaften mit dem Namen MVS net
und MVS press. MVS net hat ein Büro in München. MVS press hat zwei
Büros, eines in Puchheim und das andere in Küps.
Das Netz besteht aus zwei aktiven Verzeichnisstrukturen. Eine
Vertrauensstellung existiert zwischen den zwei Verzeichnisstrukturen. Eine
Verzeichnisstruktur enthält eine Domäne mit dem Namen
MUENCHEN.MVSNET.DE. Die andere Verzeichnisstruktur enthält zwei
Domänen mit der Bezeichnung PUCHHEIM.MVSPRESS.DE und
KUEPS.MVSPRESS.DE. Alle drei Büros sind durch zwei 128-Kbps
Verbindungen miteinander verbunden. Alle Server verwenden das
Das Netz verwendet serverbasierende Mitarbeiterprofile und
Gruppenrichtlinien. Gelegentlich müssen Mitarbeiter in einem anderen als
ihrem üblichen Büro arbeiten. Benutzer müssen immer denselben Desktop
haben, ganz gleich wo sie sich im Netzwerk anmelden. Sie müssen
sicherstellen, dass das Profil des Mitarbeiters sowie die Gruppenrichtlinien
immer zur Verfügung stehen, egal von wo aus sich der Mitarbeiter
anmeldet.
(Um die Frage zu beantworten, verschieben Sie die entsprechende/n
Konfiguration/en zu der/n richtigen Richtlinie/n.)
Richtige Antwort:
- 321 -
Erlaubt verzeichnisübergreifende Gruppenrichtlinien und wandernde
Benutzerprofile.
Hilfe
MS Training
- 322 -
Frage 56
Sie sind der Netzwerkadministrator der Firma IT-Consulting MERK. Das
Netzwerk besteht aus zwei aktiven Verzeichnisdiensten und jeweils aus
einer einzelnen Domäne.
Die Domänenfunktionsebene bei beiden Verzeichnisstrukturen ist Windows
Server 2003. Eine Verzeichnisstruktur ist nur zum testen, die zweite ist
eine Produktionsumgebung. Die Testumgebung enthält einen
Domänencontroller.
Produktionsumgebung zu testen, und verwalten administrative Vorlagen,
bevor sie in der Produktionsumgebung eingeführt werden. Diese Tests
schließen Änderungen an der Sicherheitsrichtlinie für Domänen und
Sicherheitsrichtlinie für Domänencontroller mit ein.
Sie müssen in der Lage sein, Sicherheitsrichtlinie für Domänen und
Sicherheitsrichtlinie für Domänencontrollern aus der Domäne Test in der
Produktionsumgebung anwenden zu können. Sie wollen diese Aufgabe
durch Verwenden des Minimalmaßes an Verwaltungsaufwand erreichen.
A

Sie führen den Befehl dcgpofix /both in der Testdomäne
aus.
B

Sie sichern die Sicherheitsrichtlinie für Domänen und
Sicherheitsrichtlinie für Domänencontroller von der
Produktionsdomäne durch Verwenden der
Gruppenrichtlinineverwaltung (GPMCs).
C

Sie importieren die Sicherheitsrichtlinie für Domänen und
die für Domänencontroller in die Test-Domäne durch
Verwenden der Gruppenrichtlinineverwaltung (GPMCs)
und einer Migrationstabelle.
D

Sie sichern die ursprünglichen gptmpl.inf-Datei für die
für Domänencontroller von der Domäne Produktion.
E

Sie stellen die gesicherte gptmpl.inf Datei in der
Testdomäne wieder her.
F

Sie erhöhen die Version in der gpt.ini-Dateien für die
für Domänencontroller.
Richtige Antworten:
B und C
Begründung
- 323 -
Wir können die Gruppenrichtlinineverwaltung (GPMC) verwenden um die
Gruppenrichtlinien aus der Produktionsumgebung zu sichern, um sie
anschließend in die Testumgebung zu importieren.
Das GPMC lässt Administratoren Gruppenrichtlinie für mehrere Domänen
und Standorte innerhalb einen oder mehrerer Verzeichnisstrukturen
mittels einer vereinfachten Benutzerschnittstelle (UI) per drag-and-dropUnterstützung bearbeiten. Neue Funktionen wie Unterstützung,
Wiederherstellung, Import, Kopie und Berichte von
Gruppenrichtlinienobjekten (GPOs) lässt ein einfaches Arbeiten zu. Diese
Optionen sind vollständig über Scripte zu verwalten, die Scripte können
durch den Administrator angepasst werden und verhelfen zu einer
automatisierten Verwaltung.
Hilfe
MS Training
- 324 -
Frage 57
Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Die
Firma besteht aus der Hauptniederlassung und einer Zweigstelle. Das
EISSNER_EDV.DE. Das Netzwerk verfügt über drei Windows Server 2003
Domänencontroller, »EDVEDC01«, »EDVEDC02« und »EDVEDC03«. Sie
erstellen zwei Standorte im Verzeichnisdienst, einen für das Hauptbüro
und einen für die Niederlassung.
Das Netzwerk ist wie folgt aufgebaut:
Die Domänencontroller werden jede Nacht mittels eines normalen Backups
gesichert, ebenso wird der Systemstaus mitgesichert.
- 325 -
Sie sind verantwortlich für die Erstellung eines Notfallplanes, falls ein
Domänencontroller in einem der Standorte ausfällt. Das Team definiert,
dass der Netzwerkverkehr zwischen dem Hauptbüro und der
Niederlassung auf ein Minimum reduziert werden muss. Das
Wiederherstellen der Sicherung soll ebenfalls auf ein Minimum reduziert
werden.
Sie müssen in ihrem Plan das Wiederherstellen des Verzeichnisdienstes im
Fall das die Hardware eines Servers ausfällt berücksichtigen.
Welche zwei Aktionen sollte Ihr Plan beinhalten?
(Jede Antwort ist ein Teil der Lösung.)
A

Zurücksichern des Systemstaus eines jeden
Domänencontrollers auf irgendeinen Mitgliedsserver im
gleichen Netzwerk.
B

Sie führen eine autorisierte Wiederherstellung an einem
funktionierenden Domänencontroller durch.
C

Mitgliedsserver den Befehl dcpromo /adv und aktivieren
die Option Über das Netzwerk aus.
D

Mitgliedsserver den Befehl dcpromo /adv aus und
aktivieren die Option Von folgenden wieder
Richtige Antworten:
A und D
Begründung
Für einen weiteren Domänencontroller in einer vorhandenen Domäne
haben Sie die Möglichkeit, einen neuen Windows 2003 Server von einem
Sicherungsmedium zu installieren. Installieren Sie den Systemstatus eines
vorhandenen Domänencontrollers von verschiedenen Medien. Die
Sicherung kann auf einer lokalen Festplatte, CD oder einer DVD
vorhanden sein. Wenn Sie eines dieser Medien verwenden, reduziert es
die Zeit die erforderlich ist, um den Verzeichnisdienst wiederherzustellen.
Darum sollten Sie die Datenmenge reduzieren, die über das Netzwerk
übertragen wird. Von Medien in großen Domänen oder installieren eines
neuen Domänencontrollers, die über eine langsame WAN-Verbindung
miteinander verbunden sind ist diese die optimale Vorgehensweise.
In diesem Beispiel können wir einen Mitgliedsserver verwenden, indem wir
den Systemstatus auf ihn zurücksichern, um dann anschließend den
Mitgliedserver zu einem Domänencontroller zu erheben.
- 326 -
Wir müssen keine autorisierte Wiederherstellung durchführen, wir müssen
die komplette Funktion eines Domänencontrollers wieder herstellen. Bei
dieser Antwort fehlt ein Teil der Lösung. Die Option Über das Netzwerk
ist nur ein Teil. Es fehlt noch die Option Von folgenden wieder
Hilfe
• Erstellen eines zusätzlichen Domänencontrollers\Active Directory
• Installieren eines Domänencontrollers\Allgemeine
Verwaltungsaufgaben
MS Training
• 1. Auflage: Seiten 81f., 168f.,
- 327 -
Frage 58
Sie sind der Netzwerkadministrator der Firma IT-Consulting Merk. Ihr
MERK.NET. Die Domänenfunktionsebene ist Windows Server 2003. Ihre
Domäne besteht aus Windows Server 2003 Rechnern und Windows XP
Professional Computern. Die Domäne ist wie in der Grafik dargestellt
aufgebaut:
Alle produktiven Server sind in der organisatorischen Einheit Server
zusammengefasst, alle Clientcomputer in der organisatorischen Einheit
Desktop. Auf jede dieser beiden organisatorischen Einheiten ist eine
Gruppenrichtlinie verknüpft.
Ihre Firma möchte eine neue Sicherheitsrichtlinie einführen. Einige dieser
neuen Einstellungen sollen sich nur auf Clientcomputer der Domäne
auswirken, andere nur auf die Server. Sie sollen die neuen Einstellungen
in bereits vorhandene Richtlinien einbinden.
Sie konfigurieren zehn neue Windows XP Professional Computer und fünf
neue Windows Server 2003 Server, um den Einsatz der neuen
Sicherheitseinstellungen über die geänderten Gruppenrichtlinien zu testen.
Sie verwenden die Gruppenrichtlinienverwaltung, um die vorhandenen
Gruppenrichtlinien für den Test zu kopieren.
Sie müssen sich entscheiden, wo sie die Testcomputer in der Domäne
platzieren. Sie sollten den Verwaltungsaufwand so gering wie möglich
halten, und Ihre Tests dürfen keine Auswirkung auf die
Produktionsumgebung haben. Des Weitern sollen Sie vermeiden, dass
Gruppenrichtlinien mit mehreren organisatorischen Einheiten verbunden
sind.
Wie gehen Sie vor?
- 328 -
A
{
Einheit MERK.NET.
B
{
Einheit Computer.
C
{
Einheit Desktop und alle Testserver in die organisatorische
Einheit Server.
D
{
Sie erstellen eine untergeordnete organisatorische Einheit
unter der organisatorischen Einheit Desktop für die
Testcomputer. Sie erstellen eine untergeordnete
organisatorische Einheit unter der organisatorischen
Einheit Server für die Testserver.
E
{
Sie erstellen eine neue organisatorische Einheit Test in der
Domäne MERK.NET. Darunter erstellen Sie zwei
untergeordnete organisatorische Einheiten, eine für die
Testcomputer und eine für die Testserver.
Richtige Antwort: E
Begründung
Um eine Störung der Produktionsumgebung zu vermeiden, ist es sinnvoll
für die Testumgebung eine eigene organisatorische Einheit für die
Testcomputer und Testserver zu erstellen. Jetzt können wir die
Sicherheitseinstellungen für beide Bereiche testen und stören die
Produktionsumgebung in keiner Weise.
Sie können die Computer nicht direkt in die Domäne stellen. Sie müssen
immer eine organisatorische Einheit verwenden. Wir haben zwei
unterschiedliche Sicherheitseinstellungen zu testen. Deshalb müssen wir
die Testcomputer und Testserver in getrennte organisatorische Einheiten
verschieben.
Bei der Lösungsmöglichkeit (C) hat es Auswirkung auf die gesamte
Produktionsumgebung. Bei Lösungsvorschlag (D) können Einstellungen
der übergeordneten Gruppenrichtlinie sich störend auf die Testumgebung
auswirken.
Hilfe
• Erstellen einer neuen Organisationseinheit\Active Directory
MS Training
- 329 -
Frage 59
2003, alle Clientcomputer Windows NT 4.0 Workstation, Windows 2000
Professional und Windows XP Professional. Alle Computerkonten sind in
der Organisationseinheit Firmen Computer zusammengefasst, alle
Benutzerkonten in der Orgasnisationseinheit Firmen Mitarbeiter.
Ihre Firma erstellt eine Sicherheitsvorgabe, bei der alle Mitarbeiter, die
sich an einem Computer im Netzwerk anmelden, ein Mitteilungsfenster
bekommen. Diese Mitteilungsfenster soll eine Warnung vor unbefugter
Benutzung des Computers ausgeben.
Sie müssen sicherstellen dass alle Mitarbeiter dieses Mitteilungsfenster
bekommen, wenn Sie sich im Netzwerk anmelden möchten.
Welche zwei Optionen würden Sie verwenden?
A

Sie erstellen ein Gruppenrichtlinienobjekt, das die
geforderten Einstellungen in dem Bereich interaktive
Anmeldung enthält und verknüpfen dieses
Gruppenrichtlinienobjekt mit der Domäne.
B

Sie erstellen ein Skript, das diese Informationen
ausgibt. Sie erstellen ein Gruppenrichtlinienobjekt und
lassen dieses Skript beim Starten ausführen. Sie
verknüpfen dieses Gruppenrichtlinienobjekt mit der
Organisationseinheit Firmenmitarbeiter.
C

Sie erstellen eine Richtlinie mit dem Namen
ntconfig.pol, die die geforderten Einstellungen enthält.
Sie kopieren diese Datei in den dafür vorgesehenen
Ordner auf dem Domänenkontroller.
D

Sie erstellen eine Datei mit dem Namen autoexec.bat,
die die Warnungen enthält, und kopieren diese Datei auf
allen Clients auf das Laufwerk C:
Richtige Antworten:
A und C
Begründung
Wir benötigen ein Gruppenrichtlinienobjekt, das diese Informationen beim
Anmelden für alle Windows 2000 Professional und Windows XP
Professional Clients ausgibt. Für die Windows NT 4.0 Clients benötigen wir
eine Systemrichtlinie. Die Systemrichtlinie wird mit dem Tool POLEDIT
unter Windows NT 4.0 erstellt.
- 330 -
Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen.
Diese Sicherheitseinstellung bestimmt die Textnachricht, die Benutzern
beim Anmelden angezeigt wird.
Dieser Text wird häufig aus rechtlichen Gründen verwendet, z. B. um
Benutzer vor den Folgen des Missbrauchs von Firmeninformationen zu
warnen oder um sie darüber zu informieren, dass ihre Aktionen überwacht
werden.
Voreinstellung: keine Nachricht.
Sie können diese Sicherheitseinstellungen konfigurieren, indem Sie die
entsprechende Richtlinie öffnen und die Konsolenstruktur folgendermaßen
erweitern: Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale
Richtlinien\Sicherheitsoptionen\
Hilfe
• Interaktive Anmeldung\Nachricht für Benutzer, die sich anmelden
wollen\Beschreibung der Sicherheitseinstellungen
MS Training
- 331 -
Frage 60
Sie sind der Netzwerkadministrator Ihrer Firma. Das Netzwerk besteht aus
einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server
verwenden das Betriebssystem Windows Server 2003. Die Struktur der
Domänen und der Organisationseinheiten ist wie in der Grafik dargestellt:
Benutzer in der Forschungsabteilung haben ihre Benutzerkonten in der
Domäne FORSCHUNG.MVSNET.DE. Alle anderen Benutzerkonten und
Ressourcen sind in der Domäne MVSNET.DE. Alle Domänencontroller
befinden sich in den entsprechenden Organisationseinheiten
Domänencontroller in den eigenen Domänen. Keine Computer- oder
Benutzerkonten sind in der Organisationseinheit Domänencontroller
vorhanden.
Die Firmenpolitik schreibt vor, dass alle Benutzer in der
Forschungsabteilung komplexe Kennwörter mit mindestens neun Zeichen
verwenden müssen. Die Richtlinie gibt vor, dass alle anderen Mitarbeiter
von diesen Einstellungen nicht betroffen sind. Alle betroffenen Mitarbeiter
haben ihr Benutzerkonto in der der Organisationseinheit FORSCHUNG in
der Domäne FORSCHUNG.MVSNET.DE.
Sie erstellen ein Gruppenrichtlinienobjekt mit den erforderlichen
Einstellungen.
Sie müssen sicherstellen, dass von diesen Einstellungen nur Mitarbeiter
der Forschungsabteilung betroffen sind, auf alle anderen Mitarbeiter
dürfen diese Einstellungen keine Auswirkung haben.
- 332 -
Wo sollten Sie das Gruppenrichtlinienobjekt verknüpfen?
A
{
Mit der Domäne FORSCHUNG.MVSNET.DE.
B
{
Mit der Domäne MVSNET.DE.
C
{
Mit der Organisationseinheit Forschung in der Domäne
FORSCHUNG.MVSNET.DE.
D
{
Mit der Organisationseinheit Domänencontroller in der
der Domäne MVSNET.DE.
Richtige Antwort: A
Begründung
Kennwortbeschränkungen für Domänenbenutzerkonten müssen immer auf
Domänenebene gesetzt werden. Kennwortrichtlinien, die auf Ebene einer
Organisationseinheit angewandt werden, gelten nur für dort befindliche
Benutzerkonten.
Hilfe
• Kontorichtlinien und lokale Richtlinien\Sicherheitsvorlagen
MS Training
- 333 -
Frage 61
MVSNET.DE. Alle Server verwenden Windows Server 2003 als
Betriebssystem. Die Domänenfunktionsebene ist Windows Server 2003.
Die Struktur der Firma können Sie in der Grafik ersehen:
Ihre Firma verwendet eine Applikation für die Verkaufs- und
Marketingabteilung die auf dem X.500 Standard basiert. Diese Software
wird nur von Mitarbeitern der Verkaufs- und Marketingabteilung
verwendet. Die Software verwendet InetOrgPerson-Objekte für die
Benutzerkonten. Diese InetOrgPerson-Objekte sind im Verzeichnisdienst
für alle Mitarbeiter der Verkaufs- und Marketingabteilung vorhanden. Die
Mitarbeiter sind angewiesen, bei der Anmeldung die InetOrgPersonObjekte als ihr Benutzerkonto zu verwenden.
Der Microsoft Identity Integration Server ist so konfiguriert, dass er
Änderungen der InetOrgPerson-Objekte aus dem Verzeichnisdienst in die
X.500 Verzeichnisdienst-Software kopiert. Die Mitarbeiter der
Marketingabteilung sind in der Organisationseinheit MARKETING
zusammengefasst, die Mitarbeiter der Verkaufsabteilung in der
Organisationseinheit VERKAUF.
Daniel ist einer der Administratoren der Firma MVS M. Völk Systems.
Daniel ist dafür verantwortlich, die Objekte für Benutzer, die Zugang zum
X.500 Verzeichnisdienst benötigen, zu verwalten.
Sie müssen den Verzeichnisdienst konfigurieren, damit Daniel seinen
Aufgaben nachkommen kann.
Welche Aktion oder Aktionen würden Sie auswählen?
(Wählen Sie alle notwendigen Aktionen aus.)
- 334 -
A

Verwaltung von BenutzeroObjekten.
B

Verwaltung von InetOrgPerson-Objekten.
C

Sie blockieren auf der Organisationseinheit VERKAUF die
D

Sie blockieren auf der Organisationseinheit MARKETING
die Vererbung der Rechte.
E

Sie blockieren auf der Organisationseinheit DEV die
Richtige Antworten:
B und E
Begründung:
Active Directory unterstützt die InetOrgPerson-Objektklasse und die
zugehörigen Attribute, die in RFC 2798 definiert sind. Die InetOrgPersonObjektklasse wird in mehreren LDAP- und X.500-Verzeichnisdiensten, die
nicht von Microsoft stammen, zum Repräsentieren der Mitarbeiter in einer
Organisation verwendet.
Der Administrator Daniel muss die InetOrgPerson-Objekte verwalten. Wir
können ihm diese Aufgabe übertragen, wie in der Grafik dargestellt, ist
aber nicht als Option gegeben.
- 335 -
Stattdessen können wir das Recht auf Domänenebene setzen. Die Rechte
sollte nicht für die Organisationseinheit Entwicklung gelten, sodass wir die
Erbschaft Berechtigungen für die Organisationseinheit Entwicklung
blockieren müssen.
Hilfe
• Benutzer- und Computerkonten\Active Directory
MS Training
- 336 -
Frage 62
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems mit
sechs Büros. Das Netzwerk besteht aus einem Verzeichnisdienst mit der
Bezeichnung MVSNET.DE.
Jedes Büro verfügt über Mitarbeiter, die in den Abteilungen VERTRIEB,
MARKETING und PRODUKTION arbeiten. Die Verwaltung des
Verzeichnisdienstes unterliegt der EDV-Abteilung. Die EDV-Abteilung stellt
eine Helpdesk, 2nd Level Support und eine MIS-Gruppe zur Verfügung.
Jedes Büro verfügt über einen Mitarbeiter, der im Helpdesk arbeitet. Die
administrative Verantwortlichkeit ist wie in nachfolgender Tabelle verteilt:
Gruppe
Aufgabe
Helpdesk
Wartung der Benutzerkonten aller
Mitarbeiter, die nicht verwaltet werden.
2nd Level Support
Benutzerkonto für alle Mitglieder des
Helpdesks zur Verwaltung von
Benutzerkonten
MIS-Gruppe
Verwaltung der Servicekonten, Warten der
Domänenadministratorenkonten und
hinzufügen von Konten in den
Verzeichnisdienst.
Sie benötigen einen Plan der Organisationseinheiten zur Verteilung der
Verwaltungsaufgaben. Ihr Plan muss sicherstellen, dass die
Berechtigungen zur Wartung mit einem Minimum an Verwaltungsaufgaben
durchgeführt werden kann.
Welche Struktur würden Sie verwenden?
- 337 -
A
B
- 338 -
C
- 339 -
D
Richtige Antwort: C
Begründung
Wir müssen die Verwaltung an verschiede Gruppen von Mitarbeitern
übertragen. Wir haben die normalen Mitarbeiter die vom Help Desk
betreut werden sollen. Wir haben die Angestellten und die Mitarbeiter des
Help Desk die wiederum von der 2nd Level Support Gruppe betreut
werden, die MIS Gruppe muss alle anderen Konten verwalten.
Hilfe
• Organisationseinheiten\Active Directory
MS Training
- 340 -
Frage 63
Firma besteht aus zwei Gesellschaften mit den Bezeichnungen Merk und
MVSPress. Das Netzwerk besteht aus einem Verzeichnisdienst, der aus
drei Domänen besteht. Die Domänen- und Standortkonfiguration ersehen
Sie aus der Grafik:
Ein Computer mit der Bezeichnung »DC1.NORD.MERK.NET« und ist ein
Domänencontroller der Domäne NORD.MERK.NET.
»DC1.NORD.MERK.NET« ist der globale Katalogserver und der bevorzugte
Brückenkopfserver des Standortes NORD.
Die Verzeichnisdatenbank auf »DC1.NORD.MERK.NET« ist ca. 1GB groß.
Die Abteilung NORD implementiert eine Software, die den
Verzeichnisdienst aktiv verwendet. Sie erwarten, dass die Größe der
Datenbank auf »DC1.NORD.MERK.NET« um weitere 200 MB zunimmt.
Der Verzeichnisdienst auf »DC1.NORD.MERK.NET« beendet seine
Funktion. Nach einer Überprüfung stellen Sie fest, dass der verfügbare
Festplattenplatz kleiner als 5 MB ist.
Sie müssen den Verzeichnisdienst auf »DC1.NORD.MERK.NET« wieder
starten. Sie müssen den Server so konfigurieren, dass ausreichender
Festplattenplatz für weitere Daten, die dem Verzeichnisdienst hinzugefügt
werden, zur Verfügung steht.
- 341 -
A
{
Sie löschen Sie alle Protokolldateien aus dem SYSVOLVerzeichnis.
B
{
Sie installieren eine zusätzliche Festplatte auf
ntdsutil, um die Verzeichnisdatenbank auf die neue
Festplatte zu verschieben.
C
{
Sie installieren Sie eine zusätzliche Festplatte auf
ntdsutil, um die Protokolldateien auf die neue Festplatte
zu verschieben.
D
{
Sie konfigurieren einen anderen Server in dem Standort
als Brückenkopfserver. Sie konfigurieren
»DC1.NORD.MERK.NET« so, dass er nicht mehr als
bevorzugter Brückenkopfserver fungiert.
Richtige Antwort: B
Begründung
Ntdsutil.exe ist ein Befehlszeilenprogramm, das Verwaltungsfunktionen
für Active Directory bereitstellt. Verwenden Sie Ntdsutil.exe, um die
Datenbankwartung von Active Directory durchzuführen, einfache
Mastervorgänge zu verwalten und zu steuern sowie Metadaten zu löschen,
die von Domänencontrollern hinterlassen wurden, die ohne korrekte
Deinstallation aus dem Netzwerk entfernt wurden. Dieses Tool sollte nur
von erfahrenen Administratoren verwendet werden.
Stellt Befehle für die Verwaltung der Daten und Protokolldateien des
Verzeichnisdienstes bereit. Die Datendatei heißt Ntds.dit. Geben Sie an
der Eingabeaufforderung Dateien: einen oder mehrere der folgenden
unter Syntax aufgelisteten Parameter ein.
Syntax
{compact to %s|header | info | integrity|move DB to %s|move logs to
%s|recover|set path backup %s|set path db %s|set path logs %s|set
path working dir %s
Parameter
compact to %s (wobei %s ein leeres Zielverzeichnis angibt)
Ruft Esentutl.exe auf, um die vorhandene Datendatei zu komprimieren,
und schreibt die komprimierte Datei in das angegebene Verzeichnis. Dabei
kann es sich um ein Remoteverzeichnis handeln, das mit dem Befehl net
use oder auf ähnliche Weise zugeordnet wurde. Archivieren Sie nach
Abschluss der Komprimierung die alte Datendatei, und verschieben Sie die
neu komprimierte Datei an den ursprünglichen Speicherort der
- 342 -
Datendatei. ESENT unterstützt Online-Komprimierung, diese
Komprimierung ordnet jedoch nur Seiten in der Datendatei neu an und
gibt keinen Speicher an das Dateisystem frei. (Der Verzeichnisdienst ruft
die Onlinekomprimierung regelmäßig auf.)
header
Schreibt den Header der Datendatei Ntds.dit auf den Bildschirm. Dieser
Befehl kann die Mitarbeiter im Support bei der Analyse von
Datenbankproblemen unterstützen.
info
Analysiert den freien Speicherplatz für die im System installierten
Datenträger und gibt das Ergebnis an, liest die Registrierung und gibt
anschließend die Größe der Daten- und Protokolldateien an. (Der
Verzeichnisdienst verwaltet die Registrierung, die den Speicherort von
Datendateien, Protokolldateien und dem VerzeichnisdienstArbeitsverzeichnis identifiziert.)
integrity
Ruft Esentutl.exe auf, um eine Integritätsprüfung der Datendatei
durchzuführen, bei der jede Art von Low-Level-Datenbankbeschädigungen
erkannt wird. Esentutl.exe liest jedes Byte der Datendatei, daher kann
die Verarbeitung großer Datenbanken sehr lange dauern. Es empfiehlt
sich, vor dem Starten einer Integritätsprüfung immer Recover
auszuführen.
move DB to %s (wobei %s ein Zielverzeichnis angibt)
Verschiebt die Datendatei Ntds.dit in das neue durch %s angegebene
Verzeichnis und aktualisiert die Registrierung so, dass der
Verzeichnisdienst beim Systemneustart den neuen Speicherort verwendet.
move logs to %s (wobei %s ein Zielverzeichnis angibt)
Verschiebt die Protokolldateien des Verzeichnisdienstes in das neue durch
%s angegebene Verzeichnis und aktualisiert die Registrierung so, dass der
Verzeichnisdienst beim Systemneustart den neuen Speicherort verwendet.
recover
Ruft Esentutl.exe auf, um eine Wiederherstellung der Datenbank
durchzuführen. Bei einer Wiederherstellung wird anhand der
Protokolldateien überprüft, ob alle festgeschriebenen Transaktionen in die
Datendatei übernommen wurden. Das Windows 2000Sicherungsprogramm kürzt die Protokolldateien entsprechend. Protokolle
werden verwendet, um sicherzustellen, dass bei einem System- oder
plötzlichen Stromausfall keine festgeschriebenen Transaktionen verloren
gehen. Im Wesentlichen heißt dies, dass Transaktionsdaten zuerst in ein
- 343 -
Protokoll und dann in die Datendatei geschrieben werden. Wenn Sie das
System nach einem Ausfall neu starten, können Sie das Protokoll erneut
ausführen, um die festgeschriebenen aber noch nicht in die Datendatei
übernommenen Transaktionen zu reproduzieren.
set path backup %s (wobei %s ein Zielverzeichnis angibt)
Legt als Ziel für die Sicherung von einem Datenträger auf einen anderen
das mit %s angegebene Verzeichnis fest. Der Verzeichnisdienst kann so
konfiguriert werden, dass er in regelmäßigen Intervallen eine
Onlinesicherung von einem Datenträger auf einen anderen ausführt.
set path db %s (wobei %s ein Zielverzeichnis angibt)
Aktualisiert den Teil der Registrierung, der den Speicherort und den
Dateinamen der Datendatei identifiziert. Verwenden Sie diesen Befehl nur
zum Neuerstellen eines Domänencontrollers, dessen Datendatei verloren
gegangen ist und der nicht mithilfe der normalen
Wiederherstellungsverfahren wieder hergestellt werden kann.
set path logs %s (wobei %s ein Zielverzeichnis angibt)
Aktualisiert den Teil der Registrierung, der den Speicherort der
Protokolldateien identifiziert. Verwenden Sie diesen Befehl nur zum
Neuerstellen eines Domänencontrollers, dessen Protokolldateien verloren
gegangen sind und der nicht mithilfe der normalen
Wiederherstellungsverfahren wieder hergestellt werden kann.
set path working dir %s (wobei %s ein Zielverzeichnis angibt)
Stellt den Teil der Registrierung, der das Arbeitsverzeichnis des
Verzeichnisdienstes identifiziert, auf das mit %s angegebene Verzeichnis
ein.
%s
Eine alphanumerische Variable, z. B. ein Domänen- oder
Domänencontrollername.
quit
Wechselt zurück zum vorherigen Menü oder beendet das Dienstprogramm.
Hilfe
• Verwenden von Ntdsutil\Active Directory
• Ntdsutil\Befehlszeilenreferenz
MS Training
- 344 -
- 345 -
Frage 64
Netzwerk besteht aus einem Verzeichnisdienst mit einer Domäne und der
Bezeichnung MVSPRESS.DE. Die Domänenfunktionsebene ist Windows
Server 2003.
MVS M. Völk Systems kauft eine Firma mit dem Domänennamen EDVEISSNER.DE. Das Netzwerk von EDV-EISSNER.DE besteht aus einer
Windows NT4 Kontendomäne und zwei Windows NT4 Ressourcendomänen
(siehe Grafik):
Alle Dateien liegen auf dem Dateiserver in der Domäne EDVEissner1
Sie möchten folgende Ziele erreichen:
• Die Anzahl der Vertrauensstellungen auf ein Minimum reduzieren.
• Benutzer in jeder Firma benötigen Zugriff auf die Dateien, die in der
jeweils anderen Firma liegen.
Welche zwei Aktionen müssen Sie durchführen?
- 346 -
A

Domäne EDVEISSNER1 der Domäne MVSPRESS.DE
vertraut.
B

Domäne MVSPRESS.DE der Domäne EDVEISSNER1
vertraut.
C

Domäne MVSPRESS.DE der Domäne EDV-EISSNER.DE
vertraut.
D

Domäne EDV-EISSNER.DE der Domäne MVSPRESS.DE
vertraut.
Richtige Antworten:
A und C
Begründung
Die Benutzer in der Domäne MVSPRESS.DE benötigen Zugriff auf die
Ressourcen in der Domäne EDVEISSNER1 somit muss die Domäne
EDVEISSNER1 der Domäne MVSPRESS.DE vertrauen.
Da alle Mitarbeiter in der Firma EDVEISSNER1 ihr Konto in der
Kontendomäne EDV-EISSNER.DE haben und auf Ressourcen in der
Domäne MVSPRESS.DE zugreifen müssen, muss die Domäne
MVSPRESS.DE der Kontendomäne EDV-EISSNER.DE vertrauen.
Zwischen einer Windows Server 2003-Domäne und folgenden Domänen
kann eine unidirektionale oder bidirektionale Vertrauensstellung
eingerichtet werden:
• Windows Server 2003-Domänen innerhalb derselben Gesamtstruktur
• Windows Server 2000-Domänen innerhalb derselben Gesamtstruktur
• Windows NT 4.0-Domänen
Hilfe
• Vertrauenstypen\Active Directory
• Vertrauensrichtung\Active Directory
• Vertrauensstellungen: Active Directory
MS Training
- 347 -
Frage 65
Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Ihre
Firma besteht aus den zwei Geschäftsbereichen Wartung und ITDienstleitung. Das Netzwerk besteht aus einem Verzeichnisdienst. Die
Domänenfunktionsebene ist Windows Server 2003. Der Verzeichnisdienst
besteht aus der Hauptdomäne MERK.NET und einer zusätzlichen Domäne
mit der Bezeichnung WARTUNG.MERK.NET; diese Domäne enthält zwei
untergeordnete Domänen. Alle Server verwenden Windows Server 2003
als Betriebssystem.
Der Verzeichnisdienst ist mit den Standardeinstellungen konfiguriert. Der
Verzeichnisdienst enthält 250.000 Objekte, die häufig geändert werden.
Sie müssen einige Objekte in einer der untergeordneten Domänen von
WARTUNG.MERK.NET von einem drei Monate alten Backup
wiederherstellen. Sie müssen eine Änderung am Verzeichnisdienst auf
einem der Domänenkontroller in einer der Domänen vornehmen, um
dieses Ziel erreichen zu können.
(Jede einzelne richtige Antwort ist als vollständige Lösung zu betrachten.)
A

Sie führen das Tool netdom auf einem
Domänenkontroller der Domäne WARTUNG.MERK.NET
aus.
B

Sie verwenden das Tool ntdsutil auf einem
Domänenkontroller der Domäne MERK.NET.
C

Sie verwenden das Tool adsiedit auf einem
Domänenkontroller der Domäne WARTUNG.MERK.NET.
D

Sie führen das Tool ldp auf einem Domänenkontroller der
Domäne MERK.NET aus.
Richtige Antworten:
C und D
Begründung
Wir müssen die Eigenschaften des Verzeichnisdienstes verändern. Wir
benötigen einen Low-Level-Editor um dies auszuführen.
ADSIEdit
Ist ein Tool für die Microsoft Management Konsole (MMC) und ist ein LowLevel-Editor für den Verzeichnisdienst. Über eine Schnittstelle des
Verzeichnisdienstes ist man in der Lage Objekte im Verzeichnisdienst zu
ändern, löschen oder zu verschieben. Die Attribute eines Objektes können
gelesen, geändert oder gelöscht werden.
- 348 -
LDP.EXE ist ein Dienstprogramm, das im Windows 200x Resource-Kit
enthalten ist. Mithilfe von LDP.EXE können Sie LDAP-Suchvorgänge
(Lightweight Directory Access Protocol) im Active Directory durchführen
und dabei Suchkriterien verwenden, um spezifische Informationen zu
finden. Dies ermöglicht es Administratoren außerdem, Daten abzufragen,
die andernfalls in der im Produkt integrierten Verwaltung nicht sichtbar
wären. Alle Daten, die in LDP-Abfragen zurückgegeben werden,
unterliegen jedoch Sicherheitsbeschränkungen.
- 349 -
Hilfe
• Active Directory-Supporttools\Active Directory
MS Training
- 350 -
Frage 66
Netzwerk besteht aus einem Verzeichnisdienst, der aus einer
Hauptdomäne und einer untergeordneten Domäne besteht. Im
Verzeichnisdienst sind drei eigenständige Standorte vorhanden.
Standort
Server
Standort 1
SERVER1.MVSNET.DE
SERVER2.MVSNET.DE
Standort 2
SERVER3.MVSNET.DE
SERVER4.MVSNET.DE
Standort 3
SERVER5.MVSNET.DE
SERVER6.MVSNET.DE
Das Netzwerk wird nicht vollständig geroutet, es besteht keine
physikalische Verbindung zwischen Standort 1 und Standort 3.
Standortverbindungen werden nicht überbrückt.
Sie stellen fest, dass der Domänenkontroller für EUROPA.MVSNET.DE im
Standort 1 über Benutzerkonten verfügt, die nicht auf dem
Domänenkontroller im Standort 3 für die Domäne EUROPA.MVSNET.DE
vorhanden sind. Sie überprüfen das Protokoll Verzeichnisdienst in der
Ereignisanzeige auf einem Domänencontroller für EUROPA.MVSNET.DE
und finden mehrere Ereigniskennungen 1311.
Sie müssen das Problem lösen, das diesen Fehler verursacht.
Wie gehen Sie vor?
A
{
Sie fügen einen Domänencontroller für
EUROPA.MVSNET.DE im Standort 2 hinzu.
B
{
Sie erstellen eine Standortverknüpfungsbrücke zwischen
den Standortverbindungen von Standort 1 und Standort
3.
C
{
Sie konfigurieren mindestens einen Domänencontroller in
jedem Standort als globalen Katalogserver.
D
{
Sie erstellen eine Standortverknüpfung zwischen dem
Standort 1 und dem Standort 3.
Richtige Antwort: B
- 351 -
Begründung:
Wir haben keine Standortverbindung zwischen Standort 1 und Standort 3.
Wir haben eine Standortverbindung zwischen Standort 1 und Standort 2
und zwischen Standort 2 und Standort 3. Es besteht keine physische
Konnektivität zwischen Standort 1 und Standort 3, sodass wir deshalb
eine Standortverbindungsbrücke zwischen den Standortverbindungen für
Standort 1 und Standort 3 schaffen müssen. Jede Replikation zwischen
Standort 1 und Standort 3 muss dann über die zwei vorhandenen
Standortverbindungen laufen.
Ein Computer in jedem Standort besitzt die Funktion, eingehende
Replikationsobjekte zwischen den Brückenkopfservern aus anderen
Standorten anzunehmen.
Standardmäßig sind alle Standortverknüpfungen überbrückt bzw. transitiv.
Auf diese Weise können zwei beliebige Standorte, die nicht mittels einer
expliziten Standortverknüpfung miteinander verbunden sind, über eine
Abfolge von Zwischenstandortverknüpfungen und -standorten direkt
miteinander kommunizieren. Ein Vorteil der Überbrückung aller
Standortverknüpfungen ist, dass das Netzwerk einfacher zu verwalten ist,
weil Sie keine Standortverknüpfung erstellen müssen, um jeden
denkbaren Pfad zwischen Standortpaaren zu beschreiben.
Im Allgemeinen können Sie die automatischen
Standortverknüpfungsbrücken aktiviert lassen. In den folgenden Fällen
sollten Sie allerdings für bestimmte Standortverknüpfungen die
automatischen Standortverknüpfungsbrücken deaktivieren und
Standortverknüpfungsbrücken manuell erstellen:
Ihr Netzwerk ist nicht vollständig geroutet (nicht jeder Domänencontroller
kann direkt mit jedem anderen Domänencontroller kommunizieren).
Eine Netzwerkrouting- oder Sicherheitsrichtlinie ist vorhanden, die
verhindert, dass jeder Domänencontroller direkt mit jedem anderen
Domänencontroller kommunizieren kann.
Ihr Active Directory-Entwurf enthält eine Vielzahl von Standorten.
Hilfe
• Verwalten der Replikation\Active Directory
• Aktivieren oder Deaktivieren von
Standortverknüpfungsbrücken\Active Directory
MS Training
- 352 -
Frage 67
Sie sind Mitglied der Administratorengruppe des Windows Server 2003Netzwerkes der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus
einer einzelnen Domäne mit der Bezeichnung EISSNER-EDV.DE. Das Büro
in Veilsdorf hat eine eigene Organisationseinheit mit der Bezeichnung
Veilsdorf.
Sie engagieren eine Angestellte namens Karin als LAN-Administrator für
das Büro in Veilsdorf. Karin muss untergeordnete Organisationseinheiten
für das Büro Veilsdorf erstellen. Außerdem soll sie die eigens erstellten
Organisationseinheiten überprüfen können. Sie möchten Karin nur ein
Minimum an Berechtigungen für die Organisationseinheit Veilsdorf geben,
damit sie ihre Aufgaben ausführen kann.
Welche Berechtigungen sollten Sie ihr geben?
A
{
Alle Eigenschaften lesen, Organisationseinheit erstellen,
alle Eigenschaften schreiben.
B
{
Alle Eigenschaften lesen, Inhalt auflisten,
Organisationseinheit erstellen.
C
{
Inhalt auflisten, alle untergeordnete Objekte erstellen.
D
{
Alle Eigenschaften schreiben, alle erweiterten Rechte.
Richtige Antwort: B
Begründung
Die erforderliche Berechtigung zum Erstellen von Organisationseinheiten
ist die Berechtigung „Organisationseinheit erstellen“. Um
Organisationseinheiten zu überprüfen, benötigt man die Berechtigungen
„Alle Eigenschaften lesen“ und „Inhalte auflisten“, wie in Lösung B
vorgeschlagen wird. Die in Lösungsvorschlag A angegebenen
Berechtigungen erlauben das Ändern von Objekteigenschaften der
Organisationseinheit. Die Berechtigungen aus Antwortmöglichkeit C
gestatten sogar das Erstellen von Objekten innerhalb dieser
Organisationseinheit. In Lösungsweg D fehlt die Berechtigung zum
Erstellen einer Organisationseinheit und schlägt eine unsinnige
Berechtigungskombination vor.
Hilfe
• Sicherheit\Zugriffssteuerung\Empfehlungen\Empfehlungen für das
Zuweisen von Berechtigungen für Active Directory-Objekte
MS Training
- 353 -
- 354 -
Frage 68
Firmennetzwerk besteht aus einer einzelnen Domäne. Das Hauptbüro
befindet sich in Puchheim. Zudem existieren weitere Zweigbüros in
Kronach und Veilsdorf. Die Büros sind über dedizierte 256-Kbps-Leitungen
miteinander verbunden. Um die Anmeldezeiten über die langsamen
Leitungen zu verringern, erstellen Sie für jedes Büro in Active Directory
einen Standort und konfigurieren Standortverknüpfungen zwischen den
Standorten.
Benutzer der Zweigbüros berichten, dass es sehr lange dauert, sich an der
Domäne anzumelden. Sie beobachten das Netzwerk und entdecken, dass
jeglicher Authentifizierungsverkehr noch immer zu den
Domänencontrollern in Puchheim gesendet wird. Sie müssen die
Netzwerkperformance verbessern.
A
{
kürzeren Zeitintervall zwischen den Standorten
stattfindet.
B
{
längeren Zeitintervall zwischen den Standorten
stattfindet.
C
{
Subnetz und verbinden dieses mit dem Standort
Puchheim. Danach verschieben Sie die
Domänencontrollerobjekt in den Standort Puchheim.
D
{
Subnetz und verbinden jedes Subnetz mit seinem
Standort. Danach verschieben Sie die
Domänencontrollerobjekte in den jeweiligen Standort.
Richtige Antwort: D
Begründung
Sie haben in der MMC Active Directory-Standorte und -Dienste Standorte
erstellt und Standortverknüpfungen konfiguriert. Allerdings haben sie die
Standorte nicht korrekt konfiguriert. Um den Standort richtig zu
konfigurieren, muss man für jeden physikalischen Standort ein Subnetz
erstellen und dieses dann mit dem jeweiligen Standort verbinden. Danach
verschiebt man jedes Domänencontrollerobjekt in seinem Standort.
Dadurch wird Active Directory die Authentifizierungsanfragen bevorzugt
zum lokalen Domänencontroller senden, anstatt die WAN-Verbindung zu
verwenden. Die in Lösungsvorschlag A und B empfohlene Änderung des
- 355 -
Replikationsintervalls bleibt wirkungslos, da sich alle
Domänencontrollerobjekte in einem Standort befinden und deshalb keine
Replikation stattfinden wird. Antwort C schlägt vor, alle Subnetze mit dem
Standort Puchheim zu verbinden. Auch das ist keine besonders glückliche
Lösung, da sich dann ebenfalls alle Domänencontrollerobjekte in einem
Standort befinden und eine Replikation unmöglich machen.
Hilfe
Standorten\Konfigurieren von Standorteinstellungen
MS Training
- 356 -
Frage 69
Sie sind der Administrator des Windows Server 2003-Netzwerks der Firma
EDV-Beratung Eißner. Das Netzwerk besteht aus zwei Active DirectoryStandorten: Veilsdorf und Puchheim. Zudem enthält das Netzwerk zwei
Domänen: EISSNER-EDV.DE und MVS.EISSNER-EDV.DE. Die
Konfiguration des Netzwerks wird im folgenden Schaubild gezeigt:
Die Benutzer von Puchheim reisen oft mit ihren mobilen Rechnern nach
Veilsdorf. Wenn sich diese Benutzer an das Netzwerk in Veilsdorf
anmelden, erscheint sehr lange der Text Benutzereinstellungen
werden geladen.
Sie wollen sicherstellen, dass für die Benutzer von Puchheim diese
Verzögerung nicht mehr auftritt.
A
{
Sie verbinden das Subnetz von Veilsdorf mit dem
Standort Puchheim.
B
{
Sie erstellen eine Vertrauensstellung, sodass EISSNEREDV.DE der Domäne MVS.EISSNER-EDV.DE vertraut.
C
{
Sie installieren einen Domänencontroller für
MVS.EISSNER-EDV.DE im Subnetz von Veilsdorf.
D
{
Sie verwenden das Snap-In Active Directory-Standorte
und -Dienste, um »FDEDC003« in den Standort Veilsdorf
zu verschieben.
Richtige Antwort: C
Begründung:
Die Domäne MVS.EISSNER-EDV.DE befindet sich im Standort Puchheim.
Wenn sich die Benutzer aus Puchheim in Veilsdorf anmelden, dann
verbindet sich der Clientrechner zu einem Domänencontroller in
Puchheim, um sich zu authentifizieren und die Richtlinieneinstellungen zu
laden. Der Verkehr über die WAN-Verbindung verursacht diese
Verzögerung. Man kann dieses Problem nur lösen, indem man einen
- 357 -
Domänencontroller für die Domäne MVS.EISSNER-EDV.DE in Veilsdorf
installiert. Durch die in Vorschlag C beschriebene Lösung kann der
Anmeldeprozess für die Benutzer aus Puchheim in Veilsdorf lokal
stattfinden.
Lösungsansatz A schlägt eine Verbindung des Subnetzes Veilsdorf mit dem
Standort Puchheim vor. Da es sich hier um eine offensichtliche
Fehlkonfiguration handelt, sollte sich die Kommunikation zwischen den
beiden Standorten etwas schwierig gestalten.
Standardmäßig besteht zwischen den Domänen einer Gesamtstruktur eine
transitive Vertrauensstellung. Deshalb ist das Einrichten einer
Vertrauensstellung aus Lösungsvorschlag B überflüssig. Das logische
Verschieben von »FDEDC003« in den Standort Veilsdorf ist ebenfalls
falsch, da sich der Domänencontroller weiterhin physikalisch in Puchheim
befindet. Antwortmöglichkeit D wird also keine Verbesserung der
Anmeldezeiten bewirken.
Hilfe
Directory\Grundlegendes über Standorte und Replikation\Übersicht
über Standorte
MS Training
- 358 -
Frage 70
administrieren die Windows Server 2003-Domäne EISSNER-EDV.DE und
eine Subdomäne mit der Bezeichnung SUB1.EISSNER-EDV.DE.
SUB1.EISSNER-EDV.DE enthält alle Benutzerkonten des Netzwerkes.
Ihre Firma arbeitet mit der Firma MVS M. Völk Systems zusammen. Das
Netzwerk von MVS besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Stammdomäne mit der Bezeichnung MVSNET.DE
enthält. Zudem existiert eine Subdomäne mit der Bezeichnung
2003. Beide Domänen enthalten Benutzerkonten und Ressourcenserver.
Die Domänen und bereits existierenden Vertrauensstellungen werden im
folgenden Schaublid dargestellt:
Sie sollen so wenig wie möglich Vertrauensstellungen erstellen, um den
Benutzern von SUB1.EISSNER-EDV.DE Zugriff auf beide Domänen in der
Gesamtstruktur MVSNET.DE zu geben.
- 359 -
A
{
EISSNER-EDV.DE-Domäne der MVSNET.DE-Domäne
vertraut.
B
{
Sie erstellen eine Gesamtstrukturvertrauensstellung
zwischen MVSNET.DE und EISSNER-EDV.DE.
C
{
SUB1.EISSNER-EDV.DE-Domäne der MVSNET.DE-Domäne
Einwegvertrauensstellung, in der die SUB1.EISSNEREDV.DE-Domäne der SUB1.MVSNET.DE-Domäne vertraut.
D
{
MVSNET.DE-Domäne der SUB1.EISSNER-EDV.DE-Domäne
Einwegvertrauensstellung, in der die SUB1.MVSNET.DEDomäne der SUB1.EISSNER-EDV.DE-Domäne vertraut.
Richtige Antwort: B
Begründung
Benutzer in SUB1.EISSNER-EDV.DE benötigen Zugriff auf die Ressourcen
in MVSNET.DE und SUB1.MVSNET.DE. Daher müssen die Domänen
MVSNET.DE und SUB1.MVSNET.DE der SUB1.EISSNER-EDV.DE vertrauen.
Dieses Ziel kann man erreichen, indem man zwei EinwegVertrauensstellungen erstellt: eine, in der die MVSNET.DE Domäne der
SUB1.EISSNER-EDV.DE vertraut, und eine weitere, in der die
SUB1.MVSNET.DE Domäne der SUB1.EISSNER-EDV.DE Domäne vertraut.
Das trifft nur bei Lösungsweg D zu. Der einfachere Weg ist allerdings das
Erstellen einer Gesamtstrukturvertrauensstellung zwischen den beiden
Strukturen MVSNET.DE und EISSNER-EDV.DE. Dadurch sind alle
Vertrauensstellungen transitiv und das bei geringstem Aufwand. Damit
wäre Lösung B der bessere Weg. Bei Antwortmöglichkeit A vertraut die
Domäne EISSNER-EDV.DE der MVSNET.DE Domäne. Das ist genau die
falsche Richtung. In C ist zwar der Bezug auf die Subdomäne
SUB1.EISSNER-EDV.DE richtig, aber die Vertrauensstellungen haben
wieder die falsche Richtung.
Hilfe
Directory\Grundlegendes zu Vertrauensstellungen\Gründe für das
Erstellen einer externen Vertrauensstellung
MS Training
- 360 -
Frage 71
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die zwei Domänen enthält. Die Domänen haben die
Bezeichnungen EISSNER-EDV.DE und SUB1.EISSNER-EDV.DE. Die
Ihre Firma kooperiert mit der Firma MVS M. Völk Systems. Das
Firmennetzwerk von MVS besteht ebenfalls aus einer einzelnen Active
Directory-Gesamtstruktur. Die Gesamtstruktur enthält zwei Domänen mit
den Bezeichnungen MVSNET.DE und SUB1.MVSNET.DE. Die
Domänenfunktionsebene beider Domänen ist Windows 2000 pur. Auf allen
Domänencontrollern in der Gesamtstruktur läuft Windows 2000 Server.
Die Benutzer in den Domänen SUB1.EISSNER-EDV.DE und
SUB1.MVSNET.DE müssen auf einfachstem Weg auf gemeinsam genutzte
Informationen zugreifen können. Die Daten befinden sich auf Windows
Server 2003 Mitgliedsservern in beiden Domänen. Sie müssen die
Vertrauensstellungen zwischen den Domänen so konfigurieren, dass die
Benutzer gemeinsam auf die Informationen zugreifen können. Sie wollen
dieses Ziel mit einem Minimum an administrativem Aufwand erreichen.
- 361 -
A
{
EISSNER-EDV.DE und MVSNET.DE.
B
{
Vertrauensstellung, in der die Domäne SUB1.EISSNEREDV.DE der Domäne SUB1.MVSNET.DE vertraut. Danach
erstellen Sie eine weitere unidirektionale externe
Vertrauensstellung, in der die Domäne SUB1.MVSNET.DE
der Domäne SUB1.EISSNER-EDV.DE vertraut.
C
{
Vertrauensstellung, in der die Domäne EISSNER-EDV.DE
der Domäne MVSNET.DE vertraut. Danach erstellen Sie
in der die Domäne MVSNET.DE der Domäne EISSNEREDV.DE vertraut.
D
{
Vertrauensstellung, in der die Domäne MVSNET.DE der
Domäne SUB1.MVSNET.DE vertraut. Danach erstellen Sie
in der die Domäne EISSNER-EDV.DE der
SUB1.MVSNET.DE-Domäne vertraut.
Richtige Antwort: B
Begründung
Die Benutzer der Domäne SUB1.EISSNER-EDV.DE benötigen Zugriff auf
die Ressourcen der Domäne SUB1.MVSNET.DE und umgekehrt. Der
schnellste Weg wäre dafür die Gesamtstrukturvertrauensstellung aus
Antwortmöglichkeit A.
Da aber die Domänenfunktionsebene der beiden MVS-Domänen Windows
2000 pur ist, steht diese Möglichkeit nicht zur Verfügung. Deshalb
benötigt man eine unidirektionale externe Vertrauensstellung, in der die
Domäne SUB1.MVSNET.DE der SUB1.EISSNER-EDV.DE-Domäne vertraut,
und eine unidirektionale externe Vertrauensstellung, in der die Domäne
SUB1.EISSNER-EDV.DE der SUB1.MVSNET.DE-Domäne vertraut.
Effektiver wäre allerdings das Erstellen einer bidirektionalen
Vertrauensstellung zwischen den beiden Subdomänen.
Die in C vorgeschlagene Lösung führt nicht zum Ziel, da die
Vertrauensstellungen zwischen den Stamm- und nicht zwischen den SubDomänen erstellt werden sollen. Lösungsweg D beschreibt eine noch
schlechtere Variante. Die Vertrauensstellung zwischen MVSNET.DE und
SUB1.MVSNET.DE existiert normalerweise bereits, da standardmäßig alle
Vertrauensstellungen innerhalb einer Gesamtstruktur transitiv sind. Die
Vertrauensstellung zwischen den Domänen EISSNER-EDV.DE und
SUB1.MVSNET.DE entspricht ebenfalls nicht der Aufgabenstellung.
- 362 -
Hilfe
Directory\Grundlegendes zu Vertrauensstellungen\Gründe für das
Erstellen einer externen Vertrauensstellung
MS Training
- 363 -
Frage 72
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit den beiden Domänen MVSNET.DE und
2003. Die Gesamtstrukturfunktionsebene ist Windows Server 2003.
MVS fusioniert mit der Firma EDV-Beratung Eißner. Das Firmennetzwerk
der EDV-Beratung Eißner besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Domäne mit der Bezeichnung EISSNER-EDV.DE
enthält. Auf allen Domänencontrollern läuft Windows Server 2003. Die
Die Benutzer der Domäne MVSNET.DE benötigen Zugriff auf Datei- und
Druckressourcen des Rechner »FDESRV01.EISSNER-EDV.DE«. Die
Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf alle Rechner
in der Gesamtstruktur MVSNET.DE. Die Administratoren sollen die
Möglichkeit haben, den Benutzern Zugriff auf die benötigten Ressourcen
zu gewähren.
- 364 -
A
{
MVSNET.DE und EISSNER-EDV.DE. In der Domäne
MVSNET.DE aktivieren Sie die gesamtstrukturweite
Authentifizierung für die EISSNER-EDV.DE-Domäne. In
der Domäne EISSNER-EDV.DE aktivieren Sie die
ausgewählte Authentifizierung für die MVSNET.DEDomäne.
B
{
Sie erstellen eine bidirektionale externe
Vertrauensstellung zwischen der Domäne MVSNET.DE und
der EISSNER-EDV.DE-Domäne.
C
{
EISSNER-EDV.DE der MVSNET.DE-Domäne vertraut. In
der MVSNET.DE -Domäne aktivieren Sie die
gesamtstrukturweite Authentifizierung für die EISSNEREDV.DE-Domäne.
D
{
MVSNET.DE der EISSNER-EDV.DE-Domäne vertraut. Sie
erstellen eine zweite unidirektionale
EISSNER-EDV.DE der Domäne MVSNET.DE vertraut.
Richtige Antwort: A
Begründung
Beide Gesamtstrukturen arbeiten auf der Windows Server 2003
Gesamtstrukturfunktionsebene. Deshalb kann man eine bidirektionale
Gesamtstrukturvertrauensstellung zwischen den beiden Gesamtstrukturen
erstellen. Wenn man die Gesamtstrukturweite Authentifizierung für
eingehende Gesamtstrukturvertrauensstellungen verwendet, dann haben
Benutzer außerhalb der Gesamtstruktur den gleichen Zugriff auf
Ressourcen der lokalen Gesamtstruktur, wie die Benutzer, die Mitglieder
der lokalen Gesamtstruktur sind.
Beispiel:
Falls Gesamtstruktur A eine eingehende Gesamtstrukturvertrauensstellung
zu Gesamtstruktur B hat, und eine Gesamtstrukturweite
Authentifizierung verwendet, dann können die Benutzer von
Gesamtstruktur B auf alle Ressourcen in Gesamtstruktur A zugreifen,
sofern die entsprechenden Berechtigungen vorhanden sind. Wenn man
sich aber für die Ausgewählte Authentifizierung bei eingehenden
Gesamtstrukturvertrauensstellungen entscheidet, muss man die
Berechtigungen in jeder Domäne und für jede Ressource, auf die Benutzer
der zweiten Gesamtstruktur Zugriff haben sollen, manuell zuweisen. Dazu
- 365 -
muss man einem Benutzer- oder Gruppenkonto der zweiten
Gesamtstruktur die Berechtigungen für das jeweilige Objekt in der ersten
Gesamtstruktur erteilen. In der Regel nimmt man Benutzer bzw. globale
Gruppen der zweiten Gesamtstruktur als Mitglied in entsprechende lokale
Gruppen der ersten Gesamtstruktur auf und „erbt“ damit die
Berechtigungen.
Lösungsweg B erfüllt nur einen Teil der Aufgabenstellung. Der Zugriff auf
Rechner der Subdomäne SUB1.MVSNET.DE ist für die Benutzer der
Domäne EISSNER-EDV.DE nicht möglich, da externe Vertrauensstellungen
nicht transitiv sind. Lösungsvorschlag C bietet nur eine einseitige
Vertrauensstellung zwischen den Gesamtstrukturen. Antwortmöglichkeit D
liegt zwar am nächsten an der Aufgabenstellung, was die
Vertrauensstellungen betrifft, aber die Frage der Authentifizierung wird
ebenso wie in B und C vernachlässigt. Außerdem beschreibt Lösung A
einen effizienteren Weg als D.
Hilfe
Gesamtstrukturvertrauensstellung
MS Training
- 366 -
Frage 73
Servern läuft Windows Server 2003. Die Firma hat Büros in mehreren
Städten, wie folgendes Schaubild zeigt:
Jedes Büro ist als ein Active Directory-Standort konfiguriert. Es sind
globale Katalogserver in den Standorten Veilsdorf und Puchheim
vorhanden. Sie aktivieren Zwischenspeicherung für universelle
Gruppenmitgliedschaft für alle anderen Standorte.
Die Benutzer verwenden eine Active Directory-integrierte Anwendung. Die
Anwendung liest Daten vom globalen Katalog. Benutzer berichten, dass in
der Zeit der höchsten Netzwerkauslastung die Anwendung sehr langsam
reagiert. Sie sollen die Reaktionszeit der Anwendung verbessern.
A
{
Sie deaktivieren Zwischenspeicherung für universelle
Gruppenmitgliedschaft in den Standorten Erfurt, Riesa,
Kronach und München.
B
{
Sie verringern das Replikationszeitintervall für die
Standortverknüpfungen, die die Standorte Erfurt und
Riesa mit dem Standort Veilsdorf, und die Standorte
Kronach und München mit dem Standort Puchheim
verbinden.
C
{
Sie konfigurieren globale Katalogserver in den Standorten
Erfurt, Riesa, Kronach und München.
D
{
Sie führen eine Offline-Defragmentierung der Active
Directory-Datenbank auf den Domänencontrollern in den
Standorten Veilsdorf und Puchheim durch.
Richtige Antwort: C
Begründung
- 367 -
Die Anwendung muss Daten vom globalen Katalog lesen. Diese
Informationen befinden sich auf den globalen Katalogservern in den
Standorten Veilsdorf und Puchheim. Das bedeutet, dass die Anwendung
die globalen Katalogserver über WAN-Verbindungen kontaktieren muss.
Die Performance lässt sich wesentlich verbessern, indem man in jedem
Standort einen globalen Katalogserver einrichtet. Dadurch kann die
Anwendung den globalen Katalogserver über die schnelle LAN-Verbindung
erreichen. Somit ist Lösung C die richtige Antwort.
Die Zwischenspeicherung für universelle Gruppenmitgliedschaft
hat keinen Einfluss auf die Anwendung, da diese auf die Datenbank der
globalen Katalogserver zugreift. Selbst wenn Zwischenspeicherung für
universelle Gruppenmitgliedschaft aktiviert ist, läuft die Anwendung
langsam. Deshalb resultiert aus Antwort A keine bessere Performance.
Ebenso wenig bringt eine Verringerung des Replikationsintervalls aus
Lösungsvorschlag B. Der Engpass tritt laut Aufgabenstellung nicht
regelmäßig während der Replikation auf, sondern bei hohem
Auslastungsgrad durch die Anwendung.
Da der globale Katalog eine Teilmenge der Informationen zu den Active
Directory Objekten enthält, ist er nicht mit der Active Directory Datenbank
gleichzusetzen. Eine Defragmentierung der Active Directory Datenbank
wird ebenfalls keine Performancesteigerung bewirken, wie in
Lösungsvorschlag D erhofft wird.
Hilfe
Directory\Grundlegendes zum globalen Katalog
Standorte
MS Training
- 368 -
Frage 74
Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Zwei
Kunden dieser Firma sind das AHE Erfurt und die KIG Meiningen. Die
Domäneninfrastruktur wird im folgenden Schaubild gezeigt:
Alle Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf die
Ressourcen der Domäne AHE-ERFURT.DE. Einige Benutzer der EISSNEREDV.DE-Domäne benötigen Zugriff auf die Ressourcen der Domäne
VERKAUF.KIG-MGN.DE. Die Benutzer der Domäne EISSNER-EDV.DE
benötigen keinen Zugriff auf die Ressourcen der Domäne VERKAUF.AHEERFURT.DE.
Es besteht eine bidirektionale Vertrauensstellung zwischen den Domänen
EISSNER-EDV.DE und KIG-MGN.DE. Sie stellen fest, dass die Benutzer der
Domäne EISSNER-EDV.DE keinen Zugriff auf die Ressourcen der
VERKAUF.KIG-MGN.DE- Domäne haben.
Sie müssen sicherstellen, dass alle Benutzer der Domäne EISSNEREDV.DE Zugriff auf die benötigten Ressourcen in den anderen
Gesamtstrukturen haben.
- 369 -
A
{
deaktivieren Sie das Routing des VERKAUF.KIG-MGN.DENamenssuffixes in der Gesamtstrukturvertrauensstellung
B
{
auf AHE-ERFURT.DE. Danach aktivieren Sie das Routing
auf KIG-MGN.DE.
C
{
aktivieren Sie das Routing des VERKAUF.KIG-MGN.DENamenssuffixes in der Gesamtstrukturvertrauensstellung
D
{
auf AHE-ERFURT.DE. Danach deaktivieren Sie das Routing
auf KIG-MGN.DE.
Richtige Antwort: B
Begründung
Für eine ordnungsgemäße Authentifizierung der Benutzer zwischen zwei
Gesamtstrukturen, für die eine Gesamtstrukturvertrauensstellung
existiert, ist die Weiterleitung der Namenssuffixe der einzelnen Domänen
erforderlich. Um den Verwaltungsaufwand bei der Erstellung von
Vertrauensstellungen so gering wie möglich zu halten, werden bei einer
neu erstellten Gesamtstrukturvertrauensstellungen die Namenssuffixe
standardmäßig weitergeleitet.
Werden nachträglich neue Subdomänen erstellt, so ist das Routing für
deren Namenssuffix deaktiviert. Bei dem beschriebenen Szenario muss
man also davon ausgehen, dass das Routing für den Namenssuffix
VERKAUF.KIG-MGN.DE deaktiviert ist. Die Benutzer von EISSNER-EDV.DE
benötigen Zugriff auf AHE-ERFURT.DE, nicht aber auf die Subdomäne
VERKAUF.AHE-ERFURT.DE. Das Routing für den Namenssuffix
VERKAUF.AHE-ERFURT.DE kann also deaktiviert werden.
- 370 -
Im Falle der Domäne KIG-MGN.DE ist es genau umgekehrt. Die Benutzer
von EISSNER-EDV.DE benötigen Zugriff auf die Subdomäne
VERKAUF.KIG-MGN.DE. Um das zu gewährleisten, muss das Routing für
den Namenssuffix VERKAUF.KIG-MGN.DE aktiviert werden. Lösung B
beschreibt diese beiden Schritte.
Lösungsvorschläge A und D erfüllen die Anforderungen der
Aufgabenstellung nicht. Lösungsweg C kommt zwar der Aufgabenstellung
nahe, erfüllt aber nicht das Kriterium, dass Benutzer der Domäne
EISSNER-EDV.DE keinen Zugriff auf die Ressourcen der Domäne
VERKAUF.AHE-ERFURT.DE benötigen.
Hilfe
Directory\Grundlegendes zu
Vertrauensstellungen\Gesamtstrukturübergreifendes Routing von
Namenssuffixen
Gesamtstrukturvertrauensstellungen\Ändern des Routingstatus eines
Namenssuffixes bzw. Aktivieren oder Deaktivieren des Routings für
ein vorhandenes Namenssuffix
MS Training
- 371 -
Frage 75
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit zwei Domänen mit den Bezeichnungen MVSNET.DE
und PUCHHEIM.MVSNET.DE. Die Gesamtstrukturfunktionsebene ist
Windows Server 2003. Das Netzwerk enthält zwei Standorte mit den
Bezeichnungen Puchheim und Kronach. Eine 128 Kbps Standortverbindung
verbindet Puchheim mit Kronach.
In der Domäne MVSNET.DE befindet sich ein Domänencontroller mit der
Bezeichnung »MVSDC001« im Standort Kronach. Die Domäne
PUCHHEIM.MVSNET.DE verfügt über einen Domänencontroller mit der
Bezeichnung »MVSDC002« im Standort Puchheim. »MVSDC001« ist ein
Active Directory-integrierter DNS-Server und fungiert gleichzeitig als
globaler Katalogserver. Es existieren 1500 Benutzer im Standort Kronach
und 80 Benutzer im Standort Puchheim.
Benutzer im Standort Puchheim berichten, dass die Anmeldung am
Netzwerk sehr lange dauert. Sie müssen sicherstellen, dass sich die
Benutzer von Puchheim schneller anmelden können.
A
{
Sie vermindern den Wert der maximalen Gültigkeitsdauer
des Benutzertickets in den Kerberos-Richtlinien der
Standarddomänengruppenrichtlinie (GPO) der
PUCHHEIM.MVSNET.DE-Domäne.
B
{
Sie aktivieren Zwischenspeicherung der universellen
Gruppenmitgliedschaft für »MVSDC002« in den Active
Directory-Standorten und -Diensten.
C
{
Sie aktivieren die interaktive Anmeldung: Anzahl
zwischenzuspeichernder vorheriger Anmeldungen in der
Standarddomänengruppenrichtlinie (GPO) der Domäne
PUCHHEIM.MVSNET.DE.
D
{
Sie vermindern den Wert für das Replikationszeitintervall
für die Standortverbindung zwischen Puchheim und
Kronach.
Richtige Antwort: B
Begründung
Es dauert sehr lange sich an »MVSDC002« anzumelden. Da »MVSDC002«
kein globaler Katalogserver ist, muss er sich die benötigten Informationen
von »MVSDC001« über eine langsame WAN-Verbindung holen. Dies
geschieht bei jeder Anmeldung. Um dieses Problem zu beheben wird in
Antwort B die Zwischenspeicherung der universellen
- 372 -
Gruppenmitgliedschaft vorgeschlagen. Alternativ wäre es auch möglich,
»MVSDC002« als globalen Katalogserver zu konfigurieren. In manchen
Umgebungen ist aber das Verwenden der Zwischenspeicherung der
universellen Gruppenmitgliedschaft vorteilhafter.
Globaler Katalogserver
Ein globaler Katalogserver ist ein Domänencontroller der Informationen
über alle Objekte der Gesamtstruktur, aber nicht deren Attribute,
speichert. Dadurch können Anwendungen Active Directory durchsuchen,
ohne sich auf die jeweiligen Domänencontroller, die die benötigten Daten
speichern, zu beziehen. Wie alle Domänencontroller speichert ein globaler
Katalogserver vollständige Kopien des Schemas und die Konfiguration von
Directory Partitionen.
Die Zwischenspeicherung der universellen Gruppenmitgliedschaft
erlaubt dem Domänencontroller universelle
Gruppenmitgliedschaftsinformationen für Benutzer zwischenzuspeichern.
Man kann auf Domänencontrollern, die mit Windows Server 2003 laufen,
die Zwischenspeicherung der universellen Gruppenmitgliedschaft
aktivieren, indem man das Snap-in Active Directory Standorte und Dienste verwendet. Durch das Aktivieren der Zwischenspeicherung der
universellen Gruppenmitgliedschaft benötigt man keinen globalen
Katalogserver mehr, was die Auslastung der Netzwerkbandweite reduziert,
da ein Domänencontroller nicht mehr alle Objekte der Gesamtstruktur
replizieren muss. Ebenfalls wird die Anmeldezeit reduziert, da der
authentifizierende Domänencontroller nicht immer auf einen globalen
Katalog zugreifen muss, um universelle
Gruppenmitgliedschaftsinformationen zu erhalten.
Hilfe
Directory\Grundlegendes zu globalen Katalog\Globale Kataloge und
Standorte
• Active Directory\So wird es gemacht Verwalten von
MS Training
- 373 -
Frage 76
Sie sind der Netzwerkadministrator in Ihrer Firma. Die Firma besteht aus
drei Partnergesellschaften: MVS M. Völk Systems, EDV-Beratung Eißner
und IT-Consulting Merk. Das Firmennetzwerk enthält drei Active
Directory-Gesamtstrukturen, die externe Vertrauensstellungen enthalten,
wie folgendes Schaubild zeigt:
Die Gesamtstrukturfunktionsebene ist Windows 2000. Die
Domänenfunktionsebene aller Domänen ist Windows 2000 pur.
MVS verlangt, dass die Benutzer jeder Domäne Zugriff auf Ressourcen in
allen anderen Domänen aller Gesamtstrukturen haben. Es soll ein
Minimum an Vertrauensstellungen verwendet werden.
Sie müssen sicherstellen, dass die Benutzer kein weiteres Konto in einem
der anderen beiden Gesamtstrukturen haben. Sie sollen dieses Ziel mit
einem Minimum an administrativem Aufwand erfüllen. Sie aktualisieren
jeden Domänencontroller auf Windows Server 2003.
Welche zusätzliche/n Aktion/en müssen Sie durchführen?
(Wählen Sie alle, die angewendet werden sollen.)
- 374 -
A

Sie erhöhen die Domänenfunktionsebene jeder Domäne
auf Windows Server 2003.
B

Sie erstellen Shortcut-Vertrauensstellungen zwischen
jeder Subdomäne.
C

Sie ersetzen existierende externe Vertrauensstellungen
durch bidirektionale Gesamtstrukturvertrauensstellungen.
D

Gesamtstrukturvertrauensstellung zwischen MVSNET.DE
und EISSNER-EDV.DE.
Richtige Antworten:
A, C und D
Begründung
Es existiert eine Windows 2000 Gesamtstruktur, was bedeutet, dass man
nur unidirektionale Vertrauensstellungen zwischen den Gesamtstrukturen
erstellen kann. Wenn man die Funktionsebene jeder Gesamtstruktur auf
Windows Server 2003 erhöht, kann man bidirektionale
Vertrauensstellungen verwenden, wodurch die Anzahl an benötigten
Vertrauensstellungen reduziert wird.
Gesamtstrukturvertrauensstellungen sind nur zwischen zwei
Gesamtstrukturen transitiv. Dies bedeutet, dass obwohl MVSNET.DE
MERK.NET und MERK.NET EISSNER-EDV.DE vertraut, aber das Vertrauen
zwischen MVSNET.DE und EISSNER-EDV.DE nicht automatisch vorhanden
ist. Daher muss eine bidirektionale Gesamtstrukturvertrauensstellung
zwischen MVSNET.DE und EISSNER-EDV.DE erstellt werden.
Das Erstellen von Shortcut-Vertrauensstellungen zwischen jeder SubDomäne ist nicht notwendig und würde nur die Anzahl an
Vertrauensstellungen erhöhen.
Hilfe
Gesamtstrukturvertrauensstellung
MS Training
- 375 -
Frage 77
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Gesamtstrukturstammdomäne mit der
Bezeichnung EISSNER-EDV.DE und eine Sub-Domäne mit der
Bezeichnung SUB1.EISSNER-EDV.DE enthält.
Die Firma verwendet universelle Gruppen, um temporär angestellten
Mitarbeitern den Zugriff auf vertrauliche Informationen auf Rechnern der
Gesamtstruktur zu gewähren.
In der Domäne SUB1.EISSNER-EDV.DE befindet sich ein Windows 2000
Server mit der Bezeichnung »FDEDC001«. Auf »FDEDC001« läuft eine
Anwendung, die häufige LDAP-Abfragen an den globalen Katalog sendet.
»FDEDC001« befindet sich in einem Subnetz, das mit dem Active
Directory-Standort 2 verbunden ist, der keine globalen Katalogserver
enthält. Standort 2 ist über eine WAN-Verbindung mit dem Hauptstandort
verbunden.
Sie sollen für die Anwendung auf »FDEDC001« die Voraussetzung
schaffen, dass sie auf einem hohen Performancelevel ausgeführt wird und
zudem beim Ausfall der WAN-Verbindung fortgesetzt wird. Zudem müssen
Sie den Netzwerkverkehr über die WAN-Verbindung reduzieren.
A
{
Gruppenmitgliedschaft im Standort 2.
B
{
Sie konfigurieren mindestens einen globalen Katalog im
Standort 2.
C
{
Sie ergänzen den Schlüssel
Hkey_Local_Machine\System\CurrentControlset\Co
ntrol\Lsa\IgnoreGcFailures in der Registrierdatenbank
aller Domänencontroller im Standort 2.
D
{
Sie entfernen »FDEDC001« von der Domäne
SUB1.EISSNER-EDV.DE und fügen »FDEDC001« einer
Arbeitsgruppe hinzu.
Richtige Antwort: B
Begründung
Die Anwendung muss Daten vom globalen Katalog lesen. Diese
Informationen sind auf globalen Katalogservern im Hauptstandort
gespeichert. Das bedeutet, dass die Anwendung die globalen
Katalogserver über die WAN-Verbindung ansprechen muss. Die
Performance wird besser, wenn man einen globalen Katalogserver in
- 376 -
Standort2 konfiguriert. Dadurch kann die Anwendung über die schnelle
LAN-Verbindung auf einen globalen Katalogserver zugreifen. Das stellt
außerdem sicher, dass die Anwendung bei Ausfall der WAN-Verbindung
fortgesetzt wird.
Die Zwischenspeicherung der universellen Gruppenmitgliedschaft,
die in Lösungsvorschlag A beschrieben wurde, hat keine Auswirkung auf
die Anwendung, weil nur ein geringer Teil dieser Informationen davon im
globalen Katalog gespeichert ist. Die in Antwortmöglichkeit C empfohlene
Einstellung erlaubt Benutzern die Anmeldung an einer Domäne, falls der
globale Katalogserver nicht zu erreichen ist. Das hätte keine Auswirkung
auf die Anwendung.
Wenn man »FDEDC001« aus der Domäne entfernt, kann die Anwendung
keine Anfragen mehr an den globalen Katalog stellen. Somit ist der
Lösungsweg D ebenfalls falsch.
Hilfe
Standorte
MS Training
- 377 -
Frage 78
der Bezeichnung EISSNER-EDV.DE. Mehrere Windows 2000
Domänencontroller befinden sich in zwei Standorten mit den
Bezeichnungen Veilsdorf und Riesa. Die Domäne enthält eine
Organisationseinheit (OU) mit der Bezeichnung Buchhaltung.
Sie müssen eine Antivirensoftware auf alle Rechner im Netzwerk verteilen,
ohne dass Benutzer in diesen Vorgang eingreifen müssen. Zudem müssen
Sie eine spezielle Buchhaltungsanwendung an die Benutzerkonten der
Buchhaltung verteilen, ohne dass Benutzer in diesen Vorgang eingreifen
müssen. Die Buchhaltungssoftware muss für die Benutzer der
Buchhaltungsabteilung verfügbar sein, egal welchen Rechner sie
benutzen. Zudem sollen Sie die Anzahl der
Gruppenrichtlinienverknüpfungen minimieren.
Name
Gruppenrichtlinie
Richtlinieneinstellung
GPO1
GPO2
GPO3
GPO4
GPO5
Veröffentlichen der Antivirensoftware
GPO6
Veröffentlichen der
Buchhaltungsanwendung
Wie müssen Sie die Gruppenrichtlinien verknüpfen?
(Verschieben Sie das/die verwendete/n Anwendungsgruppenrichtlinie/n
zur richtigen Domänenkomponente bzw. zu den richtigen
Domänenkomponenten auf der Arbeitsfläche, um zu antworten.)
- 378 -
Richtige Antworten:
A und D
Begründung
- 379 -
Man muss die Antivirensoftware der Computerkonfiguration zuweisen und
die Gruppenrichtlinie mit der Domäne verbinden. Das stellt sicher, dass
die Antivirensoftware auf allen Rechner der Domäne beim nächsten
Neustart installiert wird. Hingegen muss man die Buchhaltungsanwendung
den Benutzern der Buchhaltung zuweisen. Der einfachste Weg ist das
Verbinden der Gruppenrichtlinie mit der Organisationseinheit Buchhaltung.
Diese enthält die entsprechenden Benutzerkonten.
Trägt man die Installation der Buchhaltungsanwendung im Bereich der
Benutzerkonfiguration ein, dann ist sichergestellt, dass die Benutzer der
Buchhaltung die Buchhaltungsanwendung an jedem Rechner erhalten, an
dem sie sich anmelden. Da auch hier als Bereitstellungsart „Zuweisen“
und nicht „Veröffentlichen“ gewählt wurde, installiert sich die Software
ohne Zutun des Benutzers.
Softwareinstallation
Man kann die Softwareinstallationserweiterung der Gruppenrichtlinie dazu
benutzen, um die Softwaredistribution in der Organisation zu
zentralisieren. Die Software kann Benutzern und Gruppen veröffentlicht
bzw. zugewiesen werden, indem man diese Erweiterung verwendet.
Anwendungen zuweisen
Wenn Programme Benutzern bzw. Computern zugewiesen werden, dann
installiert sich die Anwendung automatisch bei der Anmeldung (bei
benutzerbezogenen Anwendungen) oder beim Rechnerneustart (bei
computerbezogenen Anwendungen). Beim Zuweisen von Anwendungen
auf Benutzerebene wird standardmäßig die Anwendung bei der nächsten
Benutzeranmeldung installiert. Bei der Veröffentlichung einer Anwendung
erscheint das Anwendungs-Shortcut im Startmenü und die Registrierung
wird mit Informationen der Anwendung aktualisiert, inklusive des
Speicherortes des Anwendungspaketes sowie der Quelldatei für die
Installation.
Mit dieser Veröffentlichungsinformation auf dem Rechner des Benutzers
wird die Anwendung installiert, wenn der Benutzer das erste Mal versucht
sie zu starten. Wenn man Anwendungen Computern zuweist, dann wird
die Anwendung beim nächsten Start des Rechners installiert.
Anwendungen die Computern zugewiesen wurden werden nicht
angekündigt, sondern mit den Standardeinsstellungen der
Programmfeatures installiert. Wenn man Anwendungen via
Gruppenrichtlinie zuweist, wird ein autorisiertes Windows Installer (.msi)
Paket benötigt.
Hilfe
- 380 -
Verwaltungsaufgaben
• Remoteverwaltung von Anwendungen\Allgemeine
Verwaltungsaufgaben
MS Training
- 381 -
Frage 79
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit der Bezeichnung EISSNER-EDV.DE und einer
einzelnen Windows NT 4.0-Domäne. Die Gesamtstrukturfunktionsebene ist
Windows 2000.
Die Active Directory-Domäne enthält mehrere Computerkonten und zwei
Windows Server 2003 Domänencontroller. Zudem verwendet die Active
Directory-Domäne Gruppenrichtlinien (GPO). Die Windows NT 4.0-Domäne
enthält Benutzerkonten und verwendet Systemrichtlinien zur Konfiguration
der Rechner.
Sie wollen erreichen, dass Einstellungen, die mit den Systemrichtlinien
konfiguriert werden, nicht weiterhin auf diese Rechner angewendet
werden.
A
{
Sie erstellen eine neue Systemrichtlinie, die
Benutzerkonfigurationseinstellungen enthalten, die die
vorherige Systemrichtlinie umkehrt. Danach ersetzen Sie
die alte Systemrichtlinie durch die neue.
B
{
Sie erstellen eine Gruppenrichtlinie, die
Benutzerkonfigurationseinstellungen enthält, die die
vorherige Systemrichtlinie umkehrt. Sie wenden die neue
Gruppenrichtlinie auf die Active Directory-Domäne an.
C
{
Sie erhöhen die Funktionsebene der Active DirectoryDomäne auf Windows Server 2003 interim.
D
{
Sie erhöhen die Funktionsebene der Active DirectoryGesamtstruktur auf Windows Server 2003.
Richtige Antwort: A
Begründung
Im Gegensatz zu Gruppenrichtlinien von Windows 2000 oder höher,
bleiben die Einstellungen der Windows NT 4.0-Systemrichtlinien auch nach
ihrem Entfernen erhalten. Um die Einstellungen einer Systemrichtlinie zu
entfernen, muss man eine neue Systemrichtlinie erstellen, die die
Einstellungen der vorherigen Systemrichtlinie invertiert und somit außer
Kraft setzt.
In Antwort B wird die Verwendung von Gruppenrichtlinien vorgeschlagen.
Diese haben aber keinerlei Einfluss auf die Systemrichtlinien einer
Windows NT 4.0 Installation, da diese Funktion in Windows NT 4.0 noch
nicht existiert hat. Die Änderung der Funktionsebene, wie in C und D
- 382 -
vorgeschlagen, hat keinen Einfluss auf Rechner in einer Windows NT 4.0
Domäne
Hilfe
MS Training
- 383 -
Frage 80
2003. Die Benutzerkonten der Verkaufsabteilung befinden sich in einer
Organisationseinheit (OU) mit der Bezeichnung Verkauf.
Sie müssen eine Anwendung an alle Benutzer der Verkaufsabteilung
verteilen. Sie erstellen eine Gruppenrichtlinie (GPO) und verbinden diese
mit der Organisationseinheit Verkauf. Sie speichern die .msi-Datei der
Anwendung in einem freigegebenen Ordner im Netzwerk. Anschließend
konfigurieren sie im Bereich Benutzerkonfiguration der Gruppenrichtlinie
die Verteilung der Anwendung.
Es ist sicherzustellen, dass die Anwendung nach der Anmeldung eines
Benutzers an einem Clientrechner sofort betriebsbereit ist. Außerdem
müssen Sie verhindern, dass Benutzer, deren Benutzerkonto in eine
andere Organisationseinheit verschoben wird, die Anwendung weiterhin
nutzen können.
- 384 -
A

Zugewiesen.
B

Anwendung deinstallieren, wenn sie außerhalb des
Verwaltungsbereichs liegt.
C

Anwendung bei Anmeldung installieren.
D

Einfach.
E

Veröffentlicht.
F

Paket in der Systemsteuerung unter „Software“
nicht anzeigen.
G

Maximum.
Richtige Antworten:
A, B, C und D
Begründung
- 385 -
Man muss die Anwendung den Benutzern zuweisen und die Option
Anwendung bei Anmeldung installieren auswählen, um sicher zu
gehen, dass die Anwendung unverzüglich nach der nächsten
Benutzeranmeldung betriebsbereit ist.
Um zu verhindern, dass Benutzer, deren Benutzerkonto in eine andere
Organisationseinheit verschoben wurde, die Anwendung weiter benutzen,
muss man die Option Anwendung deinstallieren, wenn sie außerhalb
des Verwaltungsbereichs liegt auswählen. Die Option Einfach stellt
sicher, dass die Anwendung mit minimaler (oder keiner) Interaktion für
den Benutzer installiert wird.
Man kann die Softwareinstallationserweiterung der Gruppenrichtlinie dazu
benutzen, um die Softwaredistribution in der Organisation zu
zentralisieren. Sie ermöglicht es, Software für Benutzer und Gruppen zu
veröffentlichen oder zuweisen.
- 386 -
Wenn Anwendungen Benutzern bzw. Computern zugewiesen werden,
dann installiert sich die Anwendung automatisch bei der Anmeldung (bei
benutzerbezogenen Anwendungen) oder beim Rechnerneustart (bei
computerbezogenen Anwendungen). Beim Zuweisen von Anwendungen
auf Benutzerebene wird standardmäßig die Anwendung bei der nächsten
Benutzeranmeldung installiert. Bei der Veröffentlichung einer Anwendung
erscheint das Anwendungs-Shortcut im Start-Menü und die Registrierung
wird mit Informationen der Anwendung aktualisiert, inklusive des
Speicherortes des Anwendungspaketes sowie der Quelldatei für die
Installation.
Mit dieser Veröffentlichungsinformation auf dem Rechner des Benutzers,
wird die Anwendung installiert, wenn der Benutzer das erste Mal versucht,
sie zu starten. Wenn man Anwendungen Computern zuweist, dann wird
die Anwendung beim nächsten Start des Rechners installiert.
Anwendungen die Computern zugewiesen wurden werden nicht
angekündigt, sondern mit den Standardeinsstellungen der
Programmfeatures installiert. Wenn man Anwendungen via
Gruppenrichtlinie zuweist, wird ein autorisiertes Windows Installer (.msi)
Paket benötigt.
Hilfe
Verwaltungsaufgaben
• Remoteverwaltung von Anwendungen\Allgemeine
Verwaltungsaufgaben
MS Training
- 387 -
Frage 81
Firma hat Büros in Veilsdorf, Riesa und Puchheim. Die
Netzwerkverbindungen werden im folgenden Schaubild gezeigt:
Das Netzwerk besteht aus zwei Active Directory-Domänen.
Benutzerobjekte für Benutzer in Veilsdorf und Riesa werden in der
Domäne EISSNER-EDV.DE gespeichert, Benutzerobjekte für die Benutzer
in Puchheim in der Domäne PRODUKTION.EISSNER-EDV.DE. Active
Directory ist wie folgt konfiguriert:
Standort
Anzahl der
Benutzer
Anzahl der
Anzahl der
Domänencontroller Katalogserver
Veilsdorf
650
4
2
Riesa
15
1
0
Puchheim
500
3
2
Benutzer aus dem Büro Riesa berichten häufig, dass sie sich nicht an das
Netzwerk anmelden können bzw. die Anmeldung sehr lange dauert. Sie
stellen eine Erhöhung der Abfragen des globalen Katalogsservers in
Veilsdorf während der Spitzenanmeldezeiten fest.
- 388 -
A
{
Sie konfigurieren den Domänencontroller in Riesa als
einen globalen Katalogserver.
B
{
Gruppenmitgliedschaft für das Büro in Veilsdorf aktiviert
wird.
C
{
Sie installieren einen zusätzlichen Domänencontroller im
Büro in Riesa.
D
{
Gruppenmitgliedschaft für das Büro Riesa aktiviert wird.
Richtige Antwort: D
Begründung
Es dauert sehr lange, sich an das Netzwerk in Riesa anzumelden. Der
Domänencontroller in Riesa muss den globalen Katalogserver in Veilsdorf
über eine langsame WAN-Verbindung abfragen, um bei der Anmeldung
eines Benutzers, Informationen über die universelle
Gruppenmitgliedschaft zu erhalten. Deshalb ist die Einrichtung der
Zwischenspeicherung der universellen Gruppenmitgliedschaft im
Standort Riesa die beste Antwort. Lösung B schlägt dieselbe Aktion in
Veilsdorf vor. Damit wäre allerdings keine Wirkung zu erzielen, da die
Performanceprobleme im Büro Riesa auftreten. Antwortmöglichkeit A wäre
auch eine akzeptable Lösung, würde aber zu zusätzlichem
Replikationsverkehr führen. Der Einsatz eines weiteren
Domänencontrollers in Riesa hingegen würde keine Verbesserung bringen,
da nur ein globaler Katalogserver bzw. die Zwischenspeicherung der
universellen Gruppenmitgliedschaft eine Verbesserung der
Anmeldegeschwindigkeit bei WAN-Verbindungen bewirken kann.
Globaler Katalogserver
Ein globaler Katalogserver ist ein Domänencontroller, der Informationen
über alle Objekte der Gesamtstruktur, nicht aber deren Attribute
speichert. Dadurch können Anwendungen die Active Directory
durchsuchen, ohne sich auf einen speziellen Domänencontroller zu
beziehen, der die benötigten Daten enthält. Wie alle Domänencontroller
speichert ein globaler Katalogserver sowohl vollständige Kopien des
Schemas als auch die Konfiguration von Directory Partitionen.
Die Zwischenspeicherung der universellen Gruppenmitgliedschaft erlaubt
dem Domänencontroller Informationen über die universelle
Gruppenmitgliedschaft für Benutzer zwischenzuspeichern. Man kann auf
Domänencontrollern, die unter Windows Server 2003 laufen, die
- 389 -
aktivieren, indem man das Active Directory Standorte und -Dienste
Snap-Iin verwendet. Durch die Aktivierung der Zwischenspeicherung
der universellen Gruppenmitgliedschaft benötigt man keinen globalen
Katalogserver mehr, wodurch die Auslastung der Netzwerkbandweite
reduziert wird, da ein Domänencontroller nicht mehr alle Objekte der
Gesamtstruktur replizieren muss. Außerdem werden die Anmeldezeiten
reduziert, da der authentifizierende Domänencontroller nicht immer auf
einen globalen Katalog zugreifen muss, um Informationen über die
universelle Gruppenmitgliedschaft zu erhalten.
Hilfe
Standorte
MS Training
- 390 -
Frage 82
Das Netzwerk enthält zehn Server, auf denen Windows Server 2003 und
500 Clientrechner auf denen Windows XP Professional läuft.
Sie erstellen eine Gruppenrichtlinie (GPO), die das Startmenü für die
Benutzer zu einem freigegebenen Ordner auf einem Dateiserver umleitet.
Einige Benutzer berichten, dass viele Programme, die sich normalerweise
im Startmenü befinden, fehlen.
Sie melden sich an einem Clientrechner mit der Bezeichnung »FDECLI01«
an. Alle erforderlichen Programme erscheinen im Startmenü. Die Benutzer
können sich mit dem freigegebenen Ordner verbinden. Sie vermuten, dass
die Änderung der Gruppenrichtlinie an einigen Clients nicht übernommen
wurde.
Sie müssen herausfinden warum einige Startmenüeinträge für einige
Benutzer nicht erscheinen.
A
{
Sie führen auf dem Dateiserver, der den freigegebenen
Ordner enthält, den Befehl gpresult aus.
B
{
gpresult aus.
C
{
gpupdate aus.
D
{
secedit aus.
Richtige Antwort: B
Begründung
Da auf einem Rechner sich überlappende Ebenen von Richtlinien
angewendet werden können, generiert das Gruppenrichtlinienfeature bei
der Anmeldung einen Gruppenrichtlinienergebnissatz. Der Befehl gpresult
zeigt den Inhalt des Gruppenrichtlinienergebnissatzes an, der die Summe
der einzelnen Richtlinien eines speziellen Benutzers enthält.
Lösungsweg A schlägt die Verwendung des Befehls gpresult auf dem
Dateiserver vor. Das liefert ein falsches Resultat, da der Befehl auf dem
Rechner ausgeführt werden muss, an dem das Problem auftritt. Der Befehl
gpupdate aktualisiert die Gruppenrichtlinien, die auf den Rechner oder
Benutzer angewendet wurden. Man muss aber den Befehl gpresult
verwenden, um die Ergebnisse für alle Richtlinien, die auf den Rechner
- 391 -
angewendet wurden, zu ermitteln. Damit wäre Antwort C nur bedingt
richtig, da dieser Befehl für die Beseitigung des Problems angewendet
werden kann. Aus der Aufgabenstellung lässt sich aber schließen, dass
eine Analyse gewünscht wird.
Der Befehl secedit ist ab Windows Server 2003 nicht mehr für die
Aktualisierung der Gruppenrichtlinien verwendbar, da secedit
/refreshpolicy durch gpupdate ersetzt wurde. Ansonsten trifft auf
Lösungsvorschlag D dasselbe zu, wie auf Antwort C.
Hilfe
• Programme zum Verwalten von
Gruppenrichtlinien\Befehlszeilenreferenz
MS Training
- 392 -
Frage 83
Server 2003.
MVS hat ein Haupt- und vier Zweigbüros. Jedes Zweigbüro ist über eine
WAN-Verbindung mit dem Hauptbüro verbunden. Sie konfigurieren einen
Active Directory-Standort für jedes Büro. Die Standorte und WANVerbindungen werden im folgenden Schaubild dargestellt:
Sie müssen Standortverknüpfungen erstellen, um den Replikationsverkehr
über die WAN-Verbindungen zu minimieren.
Welche Standortverbindung/en müssen Sie erstellen?
(Verschieben Sie die verwendete/n Standortverbindung/en zur richtigen
Position auf der Arbeitsfläche, um zu antworten.)
- 393 -
Richtige Antwort:
Begründung
Die WAN-Verbindungen bestehen jeweils zwischen dem Hauptbüro in
Standort0 und dem jeweiligen Zweigbüro in den Standorten 1-4.
Dementsprechend müssen auch die Standortverknüpfungen aufgebaut
werden, damit eine ordnungsgemäße Standortreplikation stattfindet. Es
muss von Standort0 je eine Standortverknüpfung zu den Standorten 1-4
eingerichtet werden.
Hilfe
- 394 -
MS Training
- 395 -
Frage 84
der Bezeichnung MVSNET.DE. Die Domäne beinhaltet drei Standorte mit
den Bezeichnungen Standort 1, Standort 2 und Standort 3.
Die Standortverknüpfungen zwischen den Standorten sind so konfiguriert,
dass Standort 1 mit Standort 3 über Standort 2 verbunden ist. Die
Konfiguration der Standortverknüpfungen wird in der folgenden Tabelle
gezeigt:
Standortverknüpfung
Replikationsplan
Replikationsintervall
Kosten
01:00 – 06:00 Uhr
60 Minuten
200
20:00 – 01:00 Uhr
30 Minuten
500
Alle Benutzer- und Gruppenkonten werden von den
Netzwerkadministratoren in Standort 1 verwaltet.
Benutzer von Standort 3 berichten, dass es länger als einen Tag dauert,
bis Änderungen in der Active Directory-Datenbank von Standort 1 auf dem
Domänencontroller von Standort 3 angezeigt werden. Sie sollen
sicherstellen, dass Änderungen in der Active Directory-Datenbank von
Standort 1 zwischen 08:00 und 18:00 Uhr am nächsten Tag um 08:00 Uhr
in Standort 3 sichtbar sind.
A
{
Sie modifizieren das Replikationsintervall für die
auf 30 Minuten.
B
{
so, dass zwischen 18:00 und 01:00 Uhr repliziert wird.
C
{
Sie modifizieren die Standortverbindungskosten zwischen
Standort 2 und Standort 3 auf 200.
D
{
Standortverbindungen zwischen Standort 1 und Standort
2 so, dass zwischen 19:00 und 02:30 Uhr repliziert wird.
Richtige Antwort: D
Begründung
Beispiel: Ein Administrator nimmt montagmorgens 10:00 Uhr in Standort1
Änderungen an der Active Directory vor. Die Information wird zu
- 396 -
Standort2 zwischen 01:00 und 06:00 Uhr dienstagmorgens repliziert.
Dann wird die Information zu Standort3 zwischen 20:00 Uhr und 01:00
Uhr dienstagabends repliziert. Benutzer in Standort3 sehen die
Änderungen, wenn sie mit der Arbeit am Mittwochmorgen beginnen.
Wenn man den Replikationszeitplan für die Standortverbindung von
Standort1 und Standort2 so ändert, dass zwischen 19:00 und 02:30 Uhr
repliziert wird, dann sieht das Beispiel wie folgt aus: Ein Administrator
nimmt montagmorgens 10:00 Uhr in Standort1 Änderungen an der Active
Directory vor. Die Information wird zu Standort2 zwischen 19:00 und
02:30 Uhr montagabends repliziert. Dann wird die Information zu
Standort3 zwischen 20:00 Uhr und 01:00 Uhr montagabends repliziert.
Benutzer in Standort3 sehen die Änderungen wenn sie mit der Arbeit am
Dienstagmorgen beginnen.
Antworten A und C haben nichts mit dem Replikationszeitpunkt zu tun. Die
Replikationszeiten der beiden Standortverknüpfungen müssen sich aber
überschneiden, damit die Forderung aus der Aufgabenstellung erfüllt wird.
Deshalb ist auch Lösungsvorschlag B falsch.
Hilfe
• Häufige administrative Aufgaben\Verwalten der Verzeichnisreplikation
MS Training
- 397 -
Frage 85
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit einer Domäne. Die Firma unterhält ein Hauptbüro und
ein Zweigbüro in Veilsdorf. Außerdem existieren weitere Zweigbüros in
Puchheim, Riesa und Erfurt.
der Domäne verantwortlich. Die Administratoren der Zweigbüros
verwalten nur die Benutzer- und Computerkonten der Angestellten in
ihrem jeweiligen Büro. Im Zweigbüro Veilsdorf sind die Administratoren
zusätzlich für die Benutzer- und Computerkonten der Angestellten des
Hauptbüros verantwortlich.
Diese Benutzer sollen als eine Einheit verwaltet werden. Sie legen fest,
dass die Administratoren nur Änderungen an den Objekten vorzunehmen
dürfen, für die sie auch verantwortlich sind. Sie müssen einen
Strukturplan für den Einsatz von Organisationseinheiten erstellen, der die
Delegierung der benötigten Berechtigungen erlaubt. Dieses Ziel soll mit
einem Minimum an administrativem Aufwand erreicht werden.
Welche Struktur für den Einsatz der Organisationseinheiten müssen Sie
wählen?
- 398 -
A
{
B
{
C
{
- 399 -
D
{
Richtige Antwort: A
Begründung
Die Administratoren in jedem Zweigbüro sind für das Verwalten von
Benutzer- und Computerkonten in ihrem jeweiligen Büro verantwortlich.
Eine separate Organisationseinheit für jedes Büro erfüllt die Zielvorgabe.
Die Administratoren im Zweigbüro Veilsdorf sind zusätzlich noch für die
Benutzer- und Computerkonten der Angestellten im Hauptbüro
verantwortlich. Verschiebt man die Benutzer- und Computerkonten des
Zweigbüros in die entsprechende Organisationseinheit im Hauptbüro
Veilsdorf und delegiert den Administratoren des Zweigbüros Veilsdorf das
Verwaltungsrecht für diese Organisationseinheit, ist das Problem am
effektivsten gelöst (siehe Abbildung A).
in der Domäne verantwortlich. Sie erhalten die Berechtigungen auf
Domänenebene, die an die Organisationseinheiten weiter vererbt werden.
Das Einrichten einer separaten Organisationseinheit für das Hauptbüro ist
somit nicht notwendig (Abbildung B). Der Lösungsweg C wird der
Aufgabenstellung nicht gerecht, da ja die Administratoren der Zweigbüros
nur ihre eigenen Konten verwalten sollen. In Abbildung D fehlt eine
Organisationseinheit für den Standort Veilsdorf.
Hilfe
• Active Directory\Konzepte\Verwalten von Active Directory\Delegieren
der Verwaltung
MS Training
- 400 -
Frage 86
Sie sind Netzwerkadministrator der MVS M. Völk Systems. Die Firma hat
eine Partnergesellschaft mit dem Namen EDV-Beratung Eissner. Das
Firmennetzwerk von MVS besteht aus einer einzelnen Active DirectoryGesamtstruktur. Die Gesamtstruktur enthält eine Domäne mit der
Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows
Server 2003.
Das Firmennetzwerk der EDV-Beratung Eißner besteht aus einer Windows
NT 4.0-Domäne mit der Bezeichnung EISSNER-EDV.DE.
Ein Dateiserver mit der Bezeichnung »MVSDC001« ist Mitglied der
Domäne MVSNET.DE. Alle Benutzer beider Domänen müssen täglich
Dateien auf »MVSDC001« speichern.
Sie müssen den Benutzern der Domäne EISSNER-EDV.DE den Zugriff auf
die Dateien von »MVSDC001« gewähren. Sie müssen sicherstellen, dass
die Domänenadministratoren der Domäne EISSNER-EDV.DE den
Benutzern der Domäne MVSNET.DE keine Berechtigungen auf Server der
Domäne EISSNER-EDV.DE geben können.
A
{
zur Stammdomäne eines zweiten Zweiges in der
existierenden Gesamtstruktur.
B
{
zur Stammdomäne einer neuen Gesamtstruktur. Sie
erstellen eine Zweiwegvertrauensstellung.
C
{
der die Domäne MVSNET.DE der Domäne EISSNEREDV.DE vertraut.
D
{
der die Domäne EISSNER-EDV.DE der Domäne
MVSNET.DE vertraut.
Richtige Antwort: C
Begründung
Die Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf
Ressourcen von »MVSDC001« (in der Domäne MVSNET.DE). Die Benutzer
der Domäne MVSNET.DE hingegen benötigen keinen Zugriff auf
Ressourcen in der Domäne EISSNER-EDV.DE. Deshalb benötigt man eine
- 401 -
externe Einwegvertrauensstellung, in der die Domäne MVSNET.DE der
Domäne EISSNER-EDV.DE vertraut, wie in Lösung C beschrieben.
In Antwortmöglichkeit A soll die Domäne EISSNER-EDV.DE in die
Gesamtstruktur von MVS integriert werden. Wegen der damit
verbundenen transitiven Vertrauensstellung zwischen den Domänen wäre
die Aufgabenstellung nicht erfüllt. Diese Lösung würde den Benutzern der
Domäne MVSNET.DE den Zugriff auf Ressourcen der Domäne EISSNEREDV.DE ermöglichen. Außerdem erfordert das Upgrade auf Windows
Server 2003 einen nicht unerheblichen Kosten- und Zeitaufwand. Diese
Argumente treffen auch auf Lösungsvorschlag B zu. Antwort D ähnelt zwar
der Lösung C, nur ist hier die Richtung der Vertrauensstellung falsch.
Hilfe
Vertrauensstellungen\Erstellen einer externen Vertrauensstellung
Directory\Grundlegendes zu Vertrauensstellungen\
MS Training
- 402 -
Frage 87
der Bezeichnung EISSNER-EDV.DE. Die Firma hat ein Hauptbüro in
Veilsdorf und Zweigbüros in Puchheim und Riesa. Im Hauptbüro befinden
sich die Verkaufsabteilung und die Marketingabteilung. Der Bereich ITMaster der Firma ist für die ganze Domäne verantwortlich. Jedes Büro hat
eine IT-Abteilung, die für die Administration der Benutzerkonten
verantwortlich ist. Zusätzlich hat der Bereich IT-Master des Hauptbüros
einen Administrator für das Verwalten der Verkaufsabteilung und einen
Administrator für das Verwalten der Marketingabteilung.
Sie müssen eine Organisationseinheitenstruktur planen. Dabei sollen
Administratoren nur Verwaltungszugriff auf Objekte erhalten, für die sie
auch verantwortlich sind. Außerdem muss der Plan sicherstellen, dass
Berechtigungen mit minimalem administrativem Aufwand eingerichtet
werden können.
Welche Organisationseinheitenstruktur müssen Sie wählen?
- 403 -
A
{
B
{
C
{
- 404 -
D
{
Richtige Antwort: A
Begründung
Der Bereich IT-Master der Firma ist verantwortlich für die Administration
der gesamten Domäne. Sie können Berechtigungen auf Domänenebene
einstellen. Diese Berechtigungen werden auf alle Organisationseinheiten in
der Domäne angewendet.
Jedes Büro hat eine IT-Abteilung, die für die Administration der eigenen
Benutzerkonten verantwortlich ist. Eine separate Organisationseinheit für
jedes Büro gestattet die notwendige Zuweisung der Berechtigungen.
Der Bereich IT-Master des Hauptbüros hat je einen Administrator für das
Verwalten der Verkaufsabteilung und der Marketingabteilung.
Untergeordnete Organisationseinheiten der Organisationseinheit Veilsdorf
im Hauptbüro erben die Berechtigungen der übergeordneten
Organisationseinheit. Außerdem kann die Berechtigung für die Verwaltung
der Verkaufsabteilung und der Marketingabteilung an die jeweiligen
Administratoren delegiert werden.
Lösungsvorschläge B und C sind falsch, da entweder
Organisationseinheiten für die Verkaufs- und Marketingabteilung fehlen,
oder eine Organisationseinheit für den Standort Veilsdorf vergessen
wurde. Antwortmöglichkeit D kommt der Aufgabenstellung schon sehr
nah, aber es ist taktisch unklug, die Zweigbüros den Hauptbüro
unterzuordnen.
Hilfe
- 405 -
• Active Directory\Konzepte\Verwalten von Active Directory\Delegieren
der Verwaltung
MS Training
- 406 -
Frage 88
Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne. Auf
allen Servern läuft Windows Server 2003.
Sie erstellen eine Gruppenrichtlinie (GPO), um eine Grafikanwendung
mittels einer .msi Datei zu veröffentlichen. Die neue Grafikanwendung soll
die alte Software ersetzen. Die derzeitigen Benutzer können die alte
Anwendung weiterhin benutzen oder mit der neuen Anwendung arbeiten,
wann immer sie wollen.
Um Inkompatibilitäten zu vermeiden, dürfen nicht beide Versionen zur
gleichen Zeit installiert sein. Sie müssen die Benutzerkonten so
konfigurieren, dass die Benutzer bei Bedarf zu der neuen Anwendung
wechseln können.
A
{
Anwendung zu veröffentlichen. Danach konfigurieren Sie
die neue Gruppenrichtlinie so, dass sie eine höhere
Priorität hat, als die Gruppenrichtlinie für die alte
Anwendung.
B
{
Anwendung zuzuweisen. Danach deaktivieren Sie die
Gruppenrichtlinie, die die alte Anwendung installiert.
C
{
Anwendung zu veröffentlichen. Sie konfigurieren die
Gruppenrichtlinie so, dass die existierende Anwendung
aktualisiert und durch die neue Anwendung ersetzt wird.
Sie legen dies jedoch nicht als Bedingung fest.
D
{
Sie kopieren die .msi-Datei für die neue Anwendung in
den gleichen Ordner, in der sich die .msi-Datei der alten
Anwendung befindet.
Richtige Antwort: C
Begründung
Man muss die Anwendung veröffentlichen, nicht zuweisen. Wenn man sie
zuweist, dann würde die neue Anwendung bei der nächsten Anmeldung
des Benutzers bzw. beim Neustart des Rechners installiert werden, je
nachdem, ob man die Benutzer- oder Computerkonfiguration für die
Softwareverteilung verwendet. Den Benutzern soll jedoch ermöglicht
werden, die alte Anwendung weiterhin zu verwenden.
- 407 -
Das Veröffentlichen der Anwendung stellt die Benutzer vor die Wahl: Sie
können die neue Software installieren, wann immer sie wollen, indem sie
in der Softwarekonsole „Neue Programme hinzufügen“ verwenden. Um zu
verhindern, dass beide Versionen zur gleichen Zeit laufen, kann man die
veröffentlichte Anwendung so konfigurieren, dass die alte Version ersetzt
wird.
Antwort A ist, so wie in der Formulierung dargestellt wurde, nicht zu
realisieren. Das Zuweisen der Anwendung aus Lösungsvorschlag B würde
wie oben beschrieben, zu eine Installation bei Neuanmeldung bzw.
Neustart des Rechners führen und somit dem Benutzer keine Wahl lassen,
ob er die alte oder die neue Anwendung verwenden möchte. Antwort D
schlägt das Kopieren der .msi-Datei der neuen Anwendung in den
Softwareverteilungspunkt vor. Dort liegt die Datei zwar gut, bringt aber
nur einen Nutzen, wenn eine Gruppenrichtlinie zur Verteilung dieser
Software erstellt wird. Das ist bei D aber nicht der Fall.
Hilfe
• Häufige Administrative Aufgaben\Bereitstellen und Aktualisieren von
Software
MS Training
- 408 -
Frage 89
sind für Verteilung und Konfiguration von Anwendungen unter
Verwendung von Gruppenrichtlinien (GPO) verantwortlich. Das
der Bezeichnung EISSNER-EDV.DE. Auf jedem Server läuft Windows
Server 2003. Alle Benutzerkonten befinden sich in einer
Organisationseinheit (OU) mit der Bezeichnung Konten. Die Clientrechnern
verwenden als Betriebssystem Windows XP Professional und befinden sich
in einer Organisationseinheit mit der Bezeichnung Workstations.
Alle Manager der Firma müssen eine Managementsoftware verwenden. Die
Anwendung wird als Link via E-Mail an die Personen versendet, die sie
benötigen. Die Manager benötigen diese Anwendung unabhängig vom
jeweiligen Rechner, an dem sie arbeiten.
Ein aktuelles Softwareupdate für diese Anwendung ist eingetroffen. Sie
müssen das Update auf jedem Rechner einsetzen, auf dem die Anwendung
bereits installiert ist.
A
{
Softwareupdate unter Verwendung der WMI-Filterung
installiert wird. Sie verbinden die Gruppenrichtlinie mit
der Organisationseinheit Konten.
B
{
Workstations.
C
{
Sie erstellen eine .zap-Datei für das Softwareupdate und
konfigurieren eine Gruppenrichtlinie, um die .zap-Datei zu
installieren. Sie verbinden die Gruppenrichtlinie mit der
Organisationseinheit Konten.
D
{
Sie konfigurieren eine Gruppenrichtlinie so, dass
Automatische Updates aktiviert sind und das
Workstations.
Richtige Antwort: B
Begründung
Die Aufgabenstellung fordert, dass die Anwendung, und damit natürlich
auch das Update, auf allen Clientcomputern zu Verfügung stehen sollen.
Deshalb ist die Gruppenrichtlinie mit der Organisationseinheit
- 409 -
Workstations zu verbinden. Damit kommen die Lösungmöglichkeiten B
und D in die engere Wahl. Da es aber die Option Automatische Updates in
dieser Gruppenrichtlinie nicht gibt, ist Lösung B die richtige Wahl. Die
WMI-Filterung aus Antwort A ist in diesem Fall nicht erforderlich, da alle
relevanten Rechner in einer Organisationseinheit enthalten sind. Allerdings
ist die Gruppenrichtlinie hier mit der falschen Organisationseinheit
verbunden. Die Verwendung einer .zap-Datei ist nur in Ausnahmefällen
erforderlich. Sinnvoller ist stets die Softwareverteilung mittels einer .msiDatei, da die Anwendung als gepacktes Paket vorliegt und die Funktionen
des Windows Installer voll genutzt werden. Eine .zap-Datei hingegen ist
eher als eine Skriptdatei zu verstehen, die Anweisungen des
Setupprogrammes der zu verteilenden Anwendung verwendet.
Hilfe
• Häufige administrative Aufgaben\Bereitstellen und Aktualisieren von
Software
MS Training
- 410 -
Frage 90
2003. Alle Clientrechner arbeiten mit Windows XP Professional.
Angestellte verwenden Software auf ihren Clientrechnern und außerdem
die Remotedesktopverbindung, um sich mit einem Terminalserver mit der
Bezeichnung »MVSTK001« zu verbinden. Alle Benutzer von MVS haben
Benutzerkonten, die sich in einer Organisationseinheit mit der
Bezeichnung Firmenbenutzer befinden. Sie bekommen Anwendungen über
eine Gruppenrichtlinie (GPO) zugewiesen, die mit der Organisationseinheit
Firmenbenutzer verbunden ist. Die Gruppenrichtlinie verwendet
Sicherheitsfilterung, um festzulegen, welche Sicherheitsgruppe welche
Anwendung erhält.
Benutzer berichten, dass, wenn sie auf »MVSTK001« zugreifen, ihre
zugewiesenen Anwendungen nicht verfügbar sind. Sie müssen das
Netzwerk so konfigurieren, dass alle Anwendungen für die Benutzer
verfügbar sind, wenn sie sich mit »MVSTK001« verbinden. Außerdem ist
sicherzustellen, dass die Benutzer keine Anwendung ausführen können,
die momentan nicht auf sie zugewiesen ist.
A
{
Softwareinstallationspakete enthält, so, dass diese an die
Benutzer veröffentlicht werden.
B
{
Softwareinstallationspakete enthält, so, dass zugewiesene
Softwareinstallationspakete automatische bei der
Anmeldung installiert werden.
C
{
Sie installieren jegliche benötigte Software auf
»MVSTK001«. Danach verwenden Sie NTFSBerechtigungen, um festzulegen, welche
Sicherheitsgruppe Zugriff auf welche Anwendungen hat.
D
{
Sie verbinden die Gruppenrichtlinie, die die
Softwareinstallationspakete enthält, mit der Domäne,
nicht mit der Organisationseinheit.
Richtige Antwort: C
Begründung
Wenn eine Anwendung einem Benutzer zugewiesen wird, dann ist diese
nicht verfügbar, wenn man sich mit einem Terminalserver, unter
Verwendung der Remotedesktopverbindung, verbindet. Der einzige Weg,
- 411 -
die Anwendung auf dem Terminalserver verfügbar zu machen, ist die
manuelle Installation der Anwendung auf dem Server. Über NTFSBerechtigungen kann man sicherstellen, dass nur berechtigte Benutzer die
Anwendung verwenden können. Es spielt also auch keine Rolle, ob die
Anwendung zugewiesen oder veröffentlicht wird, wenn die Bereitstellung
über die Benutzerkonfiguration erfolgt. Deshalb ist Antwort A falsch.
Ähnliches trifft auf Lösungsvorschlag B zu, da auch hier die Art der
Bereitstellung der Software modifiziert wird, dies aber keinen Einfluss auf
das Verhalten eines Terminalservers hat. Auch das Verschieben der
Gruppenrichtlinie von der Organisationseinheit zur Domäne kann dieses
Problem nicht beheben, sodass Lösungsvariante D erfolglos bleibt.
Hilfe
• Softwarebereitstellung\Terminaldienste\Terminalserver\Empfehlunge
n
MS Training
- 412 -
Frage 91
Sie sind für die Konfiguration der Active Directory-Sicherheit zuständig.
Alle Gruppen der Domäne befinden sich in einer Organisationseinheit (OU)
mit Bezeichnung Gruppen. Es sollen Ressourcengruppen verwendet
werden, um Benutzern, die Mitglieder in Kontengruppen sind,
Berechtigungen zuzuweisen.
Die Abteilung Ressourcen soll nur die Mitgliedschaften der Kontengruppen
verwalten können. Der Abteilung Serversupport muss es möglich sein, nur
die Mitgliedschaften der Ressourcengruppen zu verwalten. Die Gruppe der
Domänenadmins soll alle Gruppen verwalten können.
Sie müssen die Organisationseinheitenstruktur so konfigurieren, dass die
entsprechenden Berechtigungen zur Verfügung stehen. Außerdem wollen
Sie das Ergebnis mit einem Minimum an administrativem Aufwand
erreichen.
(Verschieben Sie die entsprechende/n Organisationseinheit/en zu derden
richtigen Stelle/n im Arbeitsbereich.)
Richtige Antwort:
- 413 -
Begründung
Es ist sinnvoll, zwei Organisationseinheiten auf gleicher Ebene zu
erstellen, die der Organisationseinheit Gruppen untergeordnet sind.
Dadurch kann man den Abteilungen die benötigten Berechtigungen
zuweisen. Wenn sich die Organisationseinheiten auf der gleichen Ebene
befinden, bedeutet dies, dass jede Abteilung keine Kontrolle über die
andere Organisationseinheit hat.
Die Abteilung Ressourcen muss die Möglichkeit haben, nur die
Mitgliedschaften der Kontengruppen zu verwalten. Eine
Organisationseinheit für die Kontengruppen ermöglicht die Vergabe von
Berechtigungen für die Abteilung Ressourcen.
Der Abteilung Server-Support soll nur die Mitgliedschaften der
Ressourcegruppen verwalten dürfen. Eine Organisationseinheit für die
Ressourcengruppe schafft für die Abteilung Server-Support die
Voraussetzung, die entsprechenden Berechtigungen zu vergeben.
Die Gruppe der Domänen-Admins muss alle Gruppen verwalten können.
Für jede neu erstellte Organisationseinheit erhält die Gruppe der
Domänen-Admins standardmäßig alle Berechtigungen zugewiesen und
kann damit in allen Organisationseinheiten Verwaltungsaufgaben tätigen.
Hilfe
- 414 -
• Sicherheit\Zugriffssteuerung\Konzepte\Verwenden der
Zugriffssteuerung\Active Directory Objektberechtigungen; und
darauffolgende Einträge
MS Training
- 415 -
Frage 92
der Bezeichnung MVSNET.DE.
Die firmeninterne Administrationsrichtlinie verlangt, dass den
Supportangestellten das Zurücksetzen des Passwortes möglich sein muss.
Die Supportangestellten müssen die Passwörter aller Benutzerkonten,
ausgenommen der Mitglieder der globalen Gruppe Einkäufer, zurücksetzen
können. Die Supportangestellten dürfen jedoch keine weiteren
administrativen Rechte in der Domäne haben.
Alle Mitglieder der Gruppe der Domänenadmins befinden sich in einer
Organisationseinheit (OU) mit der Bezeichnung AdminsOU.
Alle Mitglieder der Gruppe Einkäufer befinden sich einer
Organisationseinheit mit der Bezeichnung EinkaufOU. Alle anderen
Benutzerkonten befinden sich in einer Organisationseinheit mit der
Bezeichnung AngestellteOU. Der relevante Teil des
Organisationseinheitendesigns der Domäne wird im folgenden Schaubild
gezeigt:
Sie müssen die Berechtigungen für die Supportangestellten entsprechend
der Administrationsrichtlinien konfigurieren.
- 416 -
A
{
AngestellteOU zu.
B
{
Verwalten von Benutzerkonten in der Organisationseinheit
AllUsersOU zu. Danach blocken Sie die Vererbung von
Berechtigungen für die Organisationseinheiten AdminsOU
und EinkaufOU.
C
{
AllUsersOU zu.
D
{
Verwalten von Benutzerkonten auf Domänenebene zu.
Danach nehmen Sie den Supportangestellten das Recht,
Passwörter in den Organisationseinheiten AdminsOU und
EinkaufOU zurückzusetzen.
Richtige Antwort: A
Begründung
Die Benutzerkonten, deren Passwörter die Gruppe Support
(Supportangestellte) zurücksetzen soll, befinden sich in der
Organisationseinheit AngestellteOU. Man muss einfach der
Organisationseinheit AngestellteOU die Berechtigung Passwörter
zurücksetzen für diese Gruppe geben.
Antwort B würde der Gruppe Support zuviel Rechte innerhalb der
Organisationseinheiten AllUsersOU und AngestellteOU einräumen. Sie soll
nur die Berechtigung zum Rücksetzen der Passwörter erhalten. Wird der
Gruppe Support diese Berechtung innerhalb der Organisationseinheit
AllUsersOU erteilt, wie in C vorgeschlagen, betrifft das dann auch die
Organisationseinheiten AdminsOU und EinkaufOU, da diese der AllUsersOU
untergeordnet sind. Die Aufgabenstellung wird nicht erfüllt. Auch
Lösungsvorschlag D stattet die Gruppe Support wieder mit zu vielen
Rechten aus. Berechtigungen auf Domänenebene sollten auch stets den
Administratoren vorbehalten bleiben.
Insgesamt gesehen ist die Formulierung der Aufgabe etwas unklar, da die
globale Gruppe Support erst in den Antwortmöglichkeiten auftaucht. Hier
kann man nur auf Verdacht die Supportangestellten dieser Gruppe
zuordnen, wobei Mr. Spock behaupten würde: „Das ist logisch“.
Hilfe
- 417 -
Directory\Organisationseinheiten
MS Training
- 418 -
Frage 93
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Es
existieren zwei Standorte in Puchheim und in Kronach. Die Firma installiert
eine Active Directory-Gesamtstruktur, die eine einzelne Domäne enthält.
Die Organisationsstruktur der Firma beinhaltet zwei Hauptabteilungen, mit
den Bezeichnungen Operatoren und Support. Die lokalen IT-Angestellten
eines jeden Standortes sind jeweils für den Benutzersupport ihres eigenen
Standortes verantwortlich, unabhängig davon, in welcher Abteilung sich
die Benutzer befinden. Der Forschungs- und Entwicklungsabteilung (F&E)
hat ihren eigenen IT-Support-Angestellten. Die F&E-Abteilung führt die
Supportaufgaben unabhängig vom Standort aus.
Sie müssen eine Organisationseinheitenstruktur planen, die die
Übertragung von administrativen Verwaltungsrechten erleichtert.
Welche Top-Level-Organisationseinheit/en sollten Sie erstellen?
(Verschieben Sie die verwendete/n Top-Level-Organisationseinheit/en zu
dem/den korrekten Standort/en im Arbeitsbereich, um zu antworten.)
Richtige Antwort:
- 419 -
Begründung
Die lokalen IT-Angestellten sind jeweils für den Benutzersupport ihres
eigenen Standortes verantwortlich, ungeachtet dessen, in welcher
Abteilung sich der Benutzer befindet. Eine Organisationseinheit für jeden
Standort ermöglicht den lokalen IT-Angestellten, Ressourcen, die sich im
jeweiligen Standort befinden, zu verwalten (ausgeschlossen der F&E
Ressourcen).
Die Forschungs- und Entwicklungsabteilung (F&E) hat ihre eigenen ITSupport-Angestellten. Die F&E-Abteilung verwaltet ihre Ressourcen,
unabhängig vom Standort. Deshalb ist es erforderlich, eine
Organisationseinheit zu erstellen, um die Ressourcen dieser Abteilung zu
managen.
Hilfe
Directory\Organisationseinheiten
MS Training
- 420 -
Frage 94
Server 2003. Auf allen Domänencontrollern läuft Windows Server 2003.
Alle Domänencontroller werden jeden Freitagnachmittag 17:00 Uhr
komplett gesichert.
Das Active Directory-Objekt ist mit folgenden Eigenschaften konfiguriert:
Active Directory-Objekt Eigenschaft
Einstellung
garbageCollPeriod
15 Stunden
Tombstone-Ablaufzeit
5 Tage
An einem Montagmorgen löscht ein Netzwerkadministrator mehrere
Benutzerkonten der Domäne. Am Mittwochnachmittag um 17:00 Uhr fällt
ein Domänencontroller aus. Sie planen, die Active Directory-Datenbank
von einem Backup wiederherzustellen. Sie müssen sicherstellen, dass die
Verzeichnisdatenbank durch den Wiederherstellungsprozess nicht
beschädigt wird.
A
{
Sie erhöhen die Einstellung garbageCollPeriod um 5.
B
{
Sie vermindern die Einstellung garbageCollPeriod um 5.
C
{
Sie erhöhen die Einstellung Tombstone-Ablaufzeit um
5.
D
{
Sie vermindern die Einstellung Tombstone-Ablaufzeit
um 5.
Richtige Antwort: C
Begründung
Die Tombstone-Ablaufzeit definiert die Zeitdauer, die zwischen dem
Löschen eines Active-Directory-Objektes und dessen endgültigen
Entfernen aus der Active-Directory-Verzeichnisdatenbank liegt. Damit
keine Inkonsistenzen in der Verzeichnisdatenbank entstehen, muss die
Tombstone-Ablaufdauer größer sein, als die Zeit zwischen dem Löschen
der Objekte und der Wiederherstellung des ausgefallenen
Domänencontrollers. Da vom Zeitpunkt der Datensicherung bis zum
Ausfall des Domänencontrollers exakt 5 Tage vergangen sind, ist die
Ablaufdauer zu erhöhen (in diesem Fall um weitere 5 Tage).
Hilfe
- 421 -
• Active Directory\Konzepte\Bereitstellen von Active Directory\Erstellen
zusätzlicher Domänencontroller
MS Training
- 422 -
Frage 95
der Bezeichnung EISSNER-EDV.DE. Die Domäne umfasst drei Standorte
mit den Bezeichnungen Veilsdorf, Puchheim und Riesa. Jeder Standort
enthält vier Domänencontroller und 100 Clientrechner. Ein Server im
Standort Puchheim hat die Bezeichnung »FDEDC001«. Alle DNS-Server
enthalten Active Directory-integrierte Zonen.
Andere Administratoren berichten, dass sie sich bei dem Versuch, die
Active Directorys zu administrieren, nicht mit »FDEDC001« verbinden
können. Außerdem berichten sie, dass es lokal an »FDEDC001« möglich
ist, diese Aufgaben durchzuführen.
Sie stellen fest, dass »FDEDC001« betriebsbereit ist und die Datei- und
Druckressourcen unter Verwendung von Hostnamen erreichbar sind.
Sie müssen sicherstellen, dass Administratoren die Active DirectoryAdministration auf »FDEDC001« durchführen können, ohne dafür lokalen
Zugriff zu diesem Server zu benötigen.
A
{
Sie erzwingen auf Server1 eine Registrierung der DNS–
Hosteinträge (A-Einträge).
B
{
Sie starten auf Server1 den netlogon-Dienst neu.
C
{
Sie installieren DNS auf »FDEDC001«.
D
{
Sie konfigurieren »FDEDC001« als einen lokalen
Brückenkopfserver für den Standort Puchheim.
Richtige Antwort: B
Begründung
Bei dieser Frage kommt man am besten mit dem Ausschlussverfahren
zum Ziel, wenn man sich mit der richtigen Antwort nicht sicher ist.
»FDEDC001« ist ein Domänen-Controller. Das weiß man daher, weil die
Administratoren die Administration der Active Directory auf »FDEDC001«
durchführen wollen. Datei- und Druckressourcen auf »FDEDC001« sind
unter Verwendung des Hostnamen erreichbar. Dies bedeutet, dass der AEintrag im DNS vorhanden sein muss. Somit ist Lösungsvorschlag A nicht
erforderlich.
Aus der Aufgabenstellung geht hervor, dass mehrere DNS-Server bereits
existieren. Man kann daraus schlussfolgern, dass in jedem Standort
zumindest ein DNS-Server vorhanden ist. Deshalb ist die Installation eines
- 423 -
weiteren DNS-Servers auf »FDEDC001« nicht erforderlich, wie in Antwort
C empfohlen wird.
Antwort D schlägt die Einrichtung eines Bridgeheadservers vor. Im
Allgemeinen wird diese Aufgabe automatisch von der Konsistenzprüfung
der Active Directory übernommen. Eine fehlerhafte Replikation würde zu
Inkonsistenzen der ActiveDirectory-Datenbanken in den einzelnen
Standorten führen, nicht aber Verbindungsprobleme bei der
Remoteadministration der Active Directory bewirken.
Das eigentliche Problem ist der fehlende SRV-Eintrag. Dieser Eintrag muss
in der DNS-Datenbank wiederhergestellt werden.
Der netlogon-Dienst auf einem Domänencontroller erneuert die
Registrierung der DNS-Ressourcen aller 24 Stunden. Um die Registrierung
zu erzwingen, reicht es aus, den netlogon-Dienst neu zu starten. Deshalb
ist B die richtige Antwort.
Hilfe
MS Training
- 424 -
Frage 96
einer einzelnen Domäne, mit der Bezeichnung EISSNER-EDV.DE. Das
Netzwerk enthält vier Windows Server 2003 Domänencontroller. Auf zwei
Windows Server 2003 Mitgliedsservern ist der DNS-Dienst installiert.
Sie entscheiden sich, eine neue Subdomäne SUB1.EISSNER-EDV.DE in der
Gesamtstruktur zu erstellen. Sie installieren Windows Server 2003 auf
einem neuen Rechner. Sie verbinden den Server mit der Domäne
EISSNER-EDV.DE. Der erste Domänencontroller, der in der Domäne
EISSNER-EDV.DE installiert wurde, fällt wegen eines Hardwarefehlers aus.
Sie prognostizieren die Dauer der Reparatur auf mehrere Tage. Sie
entscheiden sich, die Erstellung der neuen Subdomäne fortzusetzen. Sie
versuchen, den Mitgliedsserver zu einem Domänencontroller der Domäne
SUB1.EISSNER-EDV.DE hochzustufen.
Die Einrichtung des Domänencontrollers schlägt fehl. Sie erhalten folgende
Fehlermeldung:
Sie müssen den Fehler beheben, um die neue Domäne zu erstellen.
- 425 -
A
{
Sie konfigurieren die DNS-Clienteinstellungen auf dem
neuen Server so, dass er den DNS-Server der Domäne
EISSNER-EDV.DE verwendet.
B
{
Sie konfigurieren auf dem DNS-Server der Domäne
EISSNER-EDV.DE eine Zone mit der Bezeichnung
SUB1.EISSNER-EDV.DE.
C
{
Sie konfigurieren einen der anderen EISSNER-EDV.DEDomänencontroller so, dass er alle
Betriebsmasterfunktionen ausführt.
D
{
Sie konfigurieren einen der existierenden
Domänencontroller als einen globalen Katalogserver.
Richtige Antwort: C
Begründung
Der zuerst installierte Domänencontroller in der Gesamtstruktur hat
standardmäßig die Funktion des Domänennamenmasters. Die Frage sagt
aus, dass der zuerst installierte Domänencontroller wegen eines
Hardwarefehlers ausfällt. Dies bedeutet, dass die Gesamtstruktur keinen
Domänennamenmaster besitzt. Ein Domänennamenmaster wird zur
Erstellung zusätzlicher Domänen in der Gesamtstruktur benötigt. Um eine
weitere Domäne hinzuzufügen, muss man einen der anderen
Domänencontroller der Domäne EISSNER-EDV.DE so konfigurieren, dass
er die Funktion des Domänennamenmasters übernimmt (oder wie die
Antwort ausdrückt, alle Betriebsmasterfunktionen).
Es liegt hier offensichtlich kein DNS-Problem vor, da aus der Fragestellung
das Fehlen des Domänennamenmasters hervorgeht. Deshalb fallen die
Antworten A und B nicht in die engere Wahl. Die Einrichtung eines der
anderen Domänencontroller als globalen Katalogservers klingt zwar
plausibel, reicht aber für die Erstellung neuer Domänen nicht aus. Somit
ist Lösungsvorschlag D unvollständig.
Hilfe
Directory\Grundlegendes zu Domänen und
Gesamtstrukturen\Reagieren auf Betriebsmasterausfälle
MS Training
- 426 -
Frage 97
Firma hat Büros in Puchheim und Kronach. Das Firmennetzwerk besteht
aus einer einzelnen Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Die Domäne enthält sechs Domänencontroller, wie folgendes
Schaubild zeigt:
Die Büros in Puchheim und Kronach sind über eine IP-Standortverbindung
miteinander verbunden. Die sechs Domänencontroller sind wie folgt
konfiguriert:
Servername
Funktion
»MVSDC001«
»MVSDC002«
Applikationsserver
»MVSDC003«
»MVSDC004«
»MVSDC005«
»MVSDC006«
Applikationsserver
Sie bemerken, dass in regelmäßigen Intervallen die CPU-Auslastung
einiger Datei- und Druckserver für eine gewisse Zeitspanne auf 100%
ansteigt. In dieser Zeit können die Server nicht auf Benutzeranfragen
reagieren. Sie bemerken, dass dieses Problem während der Active
Directory-Replikation auftritt. Sie müssen sicherstellen, dass die Dateiund Druckserver auch während der Active Directory-Replikation für
Benutzeranfragen verfügbar sind.
- 427 -
A
{
Sie erhöhen das Replikationsintervall der
B
{
Sie verringern das Replikationsintervall der
C
{
D
{
Richtige Antwort: D
Begründung
Die schlechte Performance der Datei- und Druckserver resultiert aus der
Active Directory-Replikation. Die Replikation findet zwischen den Dateiund Druckservern statt, die als bevorzugte Bridgehead-Server konfiguriert
sind. Man kann ihre Performance verbessern, indem man die Replikation
zwischen anderen Servern stattfinden lässt (in diesem Fall, die RRASServer »MVSDC003« und »MVSDC004«). Deshalb sollte man Lösung D
wählen und »MVSDC003« und »MVSDC004« als Bridgehead-Server
konfigurieren.
Die Änderung des Replikationsintervalls aus den Antworten A und B
schafft keine Abhilfe, da die Performanceprobleme während der
Replikationsphasen auftreten.
»MVSDC001« und »MVSDC005« sind bereits bevorzugte BridgeheadServer. Da diese Konstellation Ursache für die auftretenden Probleme ist,
wäre Lösungsweg C nicht besonders sinnvoll.
Hilfe
Directory\Grundlegendes zu Standorten und Replikationen\Verwalten
der Replikation – Konfigurieren bevorzugter Bridgeheadserver
MS Training
- 428 -
Frage 98
einer einzelnen Domäne mit der Bezeichnung EISSNER-EDV.DE. Sie haben
ein Benutzerkonto mit der Bezeichnung EISSNER-EDV\admin erstellt, das
Mitglied der globalen Gruppe der Domänenadmins ist. Sie müssen eine
neue Subdomäne mit der Bezeichnung SUB1.EISSNER-EDV.DE in der
Gesamtstruktur erstellen. Sie installieren einen allein stehenden Windows
Server 2003 Rechner mit der Bezeichnung »FDEDC002«.
Sie verwenden den Active Directory-Installationsassistenten, um
»FDEDC002« zu einem Domänencontroller der neuen Domäne
heraufzustufen. Sie entscheiden sich, einen Domänencontroller für die
neue Subdomäne in einer existierenden Domäne zu erstellen. Sie geben
den Benutzernamen und das Passwort für EISSNER-EDV\admin ein. Sie
wählen EISSNER-EDV.DE als übergeordnete Domäne, und geben SUB1 als
den Namen für die Subdomäne ein.
Sie erhalten folgende Fehlermeldung:
- 429 -
Stellen Sie sicher, dass die neue Subdomäne erstellt werden kann.
A
{
lokalen Administratorengruppe.
B
{
Sie fügen »FDEDC002« zur Domäne EISSNER-EDV.DE
hinzu und führen den Active DirectoryInstallationsassistenten aus.
C
{
Gruppe Organisations-Admins für die EISSNER-EDV.DEGesamtstruktur.
D
{
Gruppe Schema-Admins für die Gesamtstruktur von
MVSNET.DE
Richtige Antwort: C
Begründung
Aus den Antwortmöglichkeiten lässt sich ableiten, dass es sich um ein
Berechtigungsproblem handelt. Um eine Domäne einer Gesamtstruktur
hinzufügen zu können, muss man Mitglied der Organisations-Admins sein.
Damit scheiden die Antworten A und D aus.
Man muss bei der Ausführung von dcpromo einen Benutzer verwenden,
der Mitglied der Gruppe Organisations-Admins der Gesamtstruktur
EISSNER-EDV.DE ist. Es ist nicht erforderlich, »FDEDC002« vorher in die
Domäne aufzunehmen, wie in Lösungsvorschlag B beschrieben wurde. Das
geschieht automatisch bei der Ausführung von dcpromo.
Hilfe
Domänen\Erstellen einer neuen untergeordneten Domäne
MS Training
- 430 -
Frage 99
Server 2003. Alle Benutzerkonten der Forschungs- und
Entwicklungsbteilung befinden sich in der Organisationseinheit (OU) FEBenutzer.
Eine Gruppenrichtlinie (GPO) mit der Bezeichnung Benutzerrechte ist mit
der Domäne verbunden. Folgende Benutzereinstellungen sind in dieser
Gruppenrichtlinie aktiviert:
• Benutzerkonfiguration von Offlinedateien nicht zulassen
• Option Programme ändern und entfernen ausblenden
• Symbol Anzeige aus der Systemsteuerung entfernen
Sie müssen allen Benutzern der Organisationseinheit FE-Benutzer das
Entfernen von Programmen unter Verwendung des Tools Software in der
Systemsteuerung, erlauben. Die anderen Richtlinieneinstellungen sollen
weiterhin angewendet werden.
A
{
Sie aktivieren die Einstellung Richtlinienvererbung
deaktivieren in der Organisationseinheit FE-Benutzer.
B
{
Sie erstellen eine neue Gruppenrichtlinie, die die
Einstellung Option Programme ändern und entfernen
ausblenden deaktiviert.
C
{
Eintrag Gruppenrichtlinie übernehmen unter
Gruppenrichtlinie-Sicherheit zu.
D
{
Eintrag groupPolicyContainer erstellen unter
Organisationseinheit-Sicherheit zu.
Richtige Antwort: B
Begründung
Gruppenrichtlinien, die mit der Organisationseinheit verbunden sind,
haben Vorrang gegenüber einer Gruppenrichtlinie, die mit der Domäne
verbunden ist. Daher kann man eine Gruppenrichtlinie erstellen, die die
Einstellung Option Programme ändern und entfernen ausblenden
- 431 -
deaktiviert, und sie anschließend mit der Organisationseinheit FE-Benutzer
verbinden.
Richtlinienvererbung deaktivieren in der Organisationseinheit FEBenutzer hat nur Einfluss auf untergeordnete Gruppenrichtlinien dieser
Organisationseinheit. Deshalb hat Antwort A keinerlei Einfluss auf die
Gruppenrichtlinien der Domäne.
Lösungsweg C hat zu Folge, dass für die jeweiligen Benutzer die
Gruppenrichtlinie nicht mehr angewendet wird. Damit werden auch alle
anderen Richtlinien deaktiviert, was aber nicht der Aufgabenstellung
entspricht. Der in Anwort D vorgeschlagene Parameter verhindert das
Erstellen neuer Gruppenrichtliniencontainer in der Organisationseinheit FEBenutzer und hat keinen Einfluss auf die vorhandenen Gruppenrichtlinien.
Hilfe
• Verwaltungs- und Skriptingprogramme\Konfigurations- und
Verwaltungsprogramme\Gruppenrichtlinien – rechtes Fenster Link
„Gruppenrichtlinien“ anklicken,
• Neues Fenster: Gruppenrichtlinien\Konzepte\Grundlegendes zu
Gruppenrichtlinien\Richtlinienvererbung
MS Training
- 432 -
Frage 100
2003 und auf allen Clientrechner Windows XP Professional.
Alle Dateiserver haben Computerkonten in einer Organisationseinheit (OU)
mit der Bezeichnung FirmenServer. Die Benutzerkonten aller Mitarbeiter
befinden sich in der Organisationseinheit FirmenBenutzer. Für alle
Benutzer und Administratoren wird der Ordner Eigene Dateien zu einem
freigegebenen Ordner auf einem Dateiserver mit der Bezeichnung
»MVSSRV01« weitergeleitet.
Die Firma möchte die Größe des Speicherplatzes, der von jedem Benutzer
verwendet werden darf, einschränken. Jeder Benutzer soll maximal 2
GByte Speicherplatz auf »MVSSRV01« bereitgestellt bekommen.
Sie müssen die Bereitstellung von Speicherplatz auf »MVSSRV01« für
jeden Benutzer auf 2 GByte begrenzen. Für Administratoren gilt diese
Begrenzung nicht.
A
{
B
{
aktivieren sie in der Gruppenrichtlinie Profilgröße
beschränken für Benutzerprofile.
C
{
D
{
aktivieren sie in der Gruppenrichtlinie eine
Standardzwischenspeichergröße für Offline-Dateien.
Richtige Antwort: C
Begründung
Für Mitglieder der lokalen Gruppe der Administratoren ist der
Standardeintrag für Datenträgerkontingente auf „unbegrenzt“ eingestellt.
Damit ist ein Teil der Aufgabenstellung schon erfüllt. Eine Begrenzung des
- 433 -
zur Verfügung stehenden Speicherplatzes kann man nur mittels der
Datenträgerkontingente einstellen. Die Profilgröße eines Benutzers bzw.
die Standardgröße des Zwischenspeichers für Offline-Dateien (Antworten
A und D) spielen dabei keine Rolle.
Datenträgerkontingente kann man entweder direkt über die
Datenträgereigenschaften konfigurieren oder unter Verwendung der
Gruppenrichtlinien zuweisen. Die entsprechenden Richtlinien befinden sich
im Bereich der Computerkonfiguration, werden also einem Computer und
nicht einem Benutzer zugewiesen. Der freigegebene Ordner befindet sich
auf einem Dateiserver. Darum sollte man die Gruppenrichtlinie mit der
Organisationseinheit FirmenServer verbinden, da dort alle Dateiserver
eingetragen sind. Somit gilt die Einschränkung für alle Dateiserver, die in
der Organisationseinheit FirmenServer sind.
Hilfe
• Datenträger und Daten\Verwalten von Datenträgern und
Volumes\Datenträgerkontingente\Konzepte\Grundlegendes zu
Datenträgerkontingenten
MS Training
- 434 -
Frage 101
Firma betreibt ein Callcenter. Das Firmennetzwerk besteht aus einer
einzelnen Active Directory-Domäne mit der Bezeichnung EISSNEREDV.DE. Auf allen Servern läuft Windows Server 2003. Alle Clientrechner
sind Mitglieder der Domäne.
Die Rechner des Callcenters sind über eine Gruppenrichtlinie (GPO)
konfiguriert, sodass sie einen gemeinsamen, eingeschränkten Desktop
haben. Alle Computerkonten der Rechner im Callcenter befinden sich in
einer Organisationseinheit (OU) mit der Bezeichnung CallCenterRechner.
Callcenter-Benutzer besitzen Benutzerkonten in der Organisationseinheit
CallCenterAngestellte. Manager besitzen Benutzerkonten in der
Organisationseinheit ManagementBenutzer.
Sie verbinden eine Gruppenrichtlinie mit der Organisationseinheit
CallCenterRechner. Die derzeitigen Einstellungen werden im
Arbeitsbereich gezeigt. Alle Benutzer, die sich an diese Rechner anmelden,
erhalten den eingeschränkten Desktop. Als sich ein Manager anmeldet,
erhält dieser ebenfalls den eingeschränkten Desktop. Der eingeschränkte
Desktop hindert die Manager daran, Managementaufgaben durchzuführen.
Sie sollen sicherstellen, dass jeder Manager, der sich an einem Rechner im
Callcenter anmeldet, einen normalen, uneingeschränkten Desktop erhält.
Arbeitsbereich:
- 435 -
servergespeicherte Benutzerprofile zulassen
Deaktiviert
Gruppenrichtlinien zu Erkennung langsamer Verbindungen
Aktiviert
Protokollierung des Richtlinienergebnissatzes deaktivieren
Deaktiviert
Aktualisierung der Gruppenrichtlinien durch Benutzer
entfernen
Aktiviert
interaktive Benutzer nicht zulassen
Aktiviert
Registrierungsrichtlinienverarbeitung
Deaktiviert
Verarbeitung von Richtlinien zur Internet-Explorer-Wartung
Deaktiviert
Softwareinstallations-Richtlinienverarbeitung
Deaktiviert
Ordnerumleitungs-Richtlinienverarbeitung
Deaktiviert
Skriptrichtlinienverarbeitung
Deaktiviert
Sicherheitsrichtlinienverarbeitung
Deaktiviert
IP-Sicherheitsrichtlinienverarbeitung
Deaktiviert
Verarbeitung von Richtlinien für Drahtlosnetzwerke
Deaktiviert
Richtlinienverarbeitung der EFS-Wiederherstellung
Deaktiviert
Datenträgerkontingent- Richtlinienverarbeitung
Deaktiviert
Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor
verwenden
Aktiviert
Welche Gruppenrichtlinieneinstellung sollten Sie ändern?
(Wählen Sie die passende Einstellung im Arbeitsbereich, um zu
antworten.)
A
{
servergespeicherte Benutzerprofile zulassen –
Deaktiviert.
B
{
Gruppenrichtlinien zu Erkennung langsamer
Verbindungen - Aktiviert.
C
{
Protokollierung des Richtlinienergebnissatzes
deaktivieren - Deaktiviert.
D
{
Aktualisierung der Gruppenrichtlinien durch
Benutzer entfernen - Aktiviert.
E
{
interactive Benutzer nicht zulassen – Aktiviert.
F
{
Registrierungsrichtlinienverarbeitung – Deaktiviert.
Richtige Antwort: A
- 436 -
Begründung
Die Aufgabenstellung ist in sich gesehen wieder einmal nicht schlüssig. Im
Zweifelsfall sollte man hier wieder nach dem Ausschlussverfahren
vorgehen, denn einige Antwortmöglichkeiten haben offensichtlich nichts
mit dem Problem zu tun. Die Lösung A setzt voraus, dass die Manager
einer anderen Gesamtstruktur angehören (widerspricht allerdings etwas
der Aufgabenstellung). Dann wird durch Aktivieren dieser
Gruppenrichtlinie erreicht, dass Benutzerrichtlinien der Manager auf die
Rechner des Call-Centers angewendet werden. Die Gruppenrichtlinie
Gesamtstrukturübergreifende Benutzerprofile und servergespeicherte
Benutzerprofile zulassen ermöglicht die Verarbeitung von Richtlinien und
servergespeicherten Profilen sowie die Ausführung von Anmeldeskripten
bei einer gesamtstrukturübergreifenden interaktiven Anmeldung. Wenn
ein Benutzer sich also in einer anderen Gesamtstruktur anmeldet, und die
obige Gruppenrichtlinie aktiviert ist, werden seine individuellen
Einstellungen wirksam. Voraussetzung ist eine Vertrauensstellung
zwischen den Gesamtstrukturen.
Hilfe
• Beschreibung zu den einzelnen Gruppenrichtlinien im
Gruppenrichtlinieneditor unter Computerkonfiguration\Administrative
Vorlagen\System\Gruppenrichtlinien
MS Training
- 437 -
Frage 102
der Bezeichnung MVSNET.DE. Auf allen Servern ist Windows Server 2003
installiert. Die Domäne enthält insgesamt 300 Benutzer- und 325
Computerkonten.
Verschiedene Benutzer im Netzwerk benötigen unterschiedliche
Anwendungen, die aufgrund der jeweiligen Tätigkeit, bereitgestellt
werden. Jede Applikation liegt als .msi-Paket vor. Viele dieser
Anwendungen werden des öfteren aktualisiert.
Sie erhalten viele Supportanrufe von Benutzern, bei denen die Anwendung
erneut installiert werden muss, da die derzeitige Installation beschädigt
ist. Die Firma entscheidet, dass die Kosten für den Installationsvorgang
und die Bereitstellung dieser Applikationen zu hoch sind.
Sie müssen eine Technologie implementieren, die die Kosten für die
Verteilung der Benutzeranwendungen reduziert und zudem die Ausfallzeit
der Benutzer minimiert.
A
{
Sie konfigurieren Gruppenrichtlinien, um die
Anwendungen den jeweiligen Benutzerkonten zuzuweisen.
B
{
Sie installieren zusätzliche Server auf denen die
Installationsdienste im Netzwerk bereitgestellt werden.
C
{
Sie platzieren einen Server im Netzwerk, auf dem der
Software Update Service (SUS) läuft. Zudem
konfigurieren Sie eine Gruppenrichtlinie, um die Updates
für alle Clientrechner zu verteilen.
D
{
Sie installieren den Microsoft-Operations-Manager und
aktivieren SNMP auf den Clientrechnern.
Richtige Antwort: A
Begründung
Die einzig sinnvolle Möglichkeit, Software mit geringem Aufwand im
Netzwerk zu verteilen, ist die Anwendung von Gruppenrichtlinien, sofern
ein .msi-Installationspaket zur Verfügung steht. Dieser Weg wird in
Lösung A vorgeschlagen.
Die Einrichtung zusätzlicher Server aus Antwortmöglichkeit B löst das
Problem nicht. Auch die Installation des SUS hat mit dem eigentlichen
Thema nichts zu tun, da dieser Dienst für eine zentralisierte Bereitstellung
der Windows-Updates im eigenen Netzwerk verantwortlich ist. Deshalb ist
- 438 -
Lösungsweg C falsch, auch wenn hier von Gruppenrichtlinien gesprochen
wird. Lösungsmöglichkeit D schlägt die Verwendung von SNMP vor, was
ebenfalls mit der Softwareverteilung nicht zu tun hat.
Man kann die Softwareinstallationserweiterung von Gruppenrichtlinien
nutzen, um die Softwareverteilung in der Firma zentral zu verwalten. Die
Software kann für Gruppen von Benutzern oder Computern zuweisen bzw.
veröffentlichen.
Wenn man Programme Benutzern oder Computern zuweist, dann wird die
Anwendung automatisch bei der Anmeldung (bei benutzerbezogenen
Anwendungen) oder beim Rechnerstart (bei rechnerbezogenen
Anwendungen) installiert. Beim Zuweisen von Anwendungen auf Benutzer
wird standardmäßig die Anwendung bei der nächsten Benutzeranmeldung
installiert.
Wird eine Anwendung veröffentlicht, erscheint das Anwendungssymbol im
Startmenü und die Anwendungsinformationen werden in die Registrierung
eingetragen, inklusive des Speicherortes des Anwendungspaketes sowie
der Quelldatei für die Installation. Mit dieser Veröffentlichungsinformation
auf dem Rechner des Benutzers, wird die Anwendung installiert, wenn der
Benutzer das erste Mal versucht, sie zu starten.
Wenn man Anwendungen Computern zuweist, dann wird die Anwendung
beim nächsten Start des Rechners installiert. Anwendungen die
Computern zugewiesen wurden, werden nicht angekündigt, sondern mit
den Standardeinsstellungen für das Installationspacket installiert. Wenn
Windows Installer (.msi) Paket benötigt.
Hilfe
MS Training
- 439 -
Frage 103
der Bezeichnung MVSNET.DE. Das Netzwerk enthält zehn Server, auf
denen Windows Server 2003 läuft, und 500 Clientrechner, auf denen
Windows XP Professional, Windows 2000 Professional oder Windows NT4.0
läuft.
Die Rechtsabteilung verlangt, dass Sie alle Rechner im Netzwerk so
konfigurieren, dass bei der Anmeldung eines Benutzers eine
Anmeldenachricht angezeigt wird.
(Wählen Sie zwei Antworten.)
A

Sie benutzen gpedit.msc, um eine Gruppenrichtlinie zu
erstellen, die die geforderte Einstellung im Bereich
interaktive Anmeldung enthält. Sie verknüpfen die
Gruppenrichtlinie mit der Domäne.
B

Sie erstellen ein Anmeldeskript, um die Anmeldenachricht
anzuzeigen. Sie benutzen gpedit.msc, um eine
Gruppenrichtlinie zu erstellen, die mit der
Benutzerkonfiguration verknüpft ist, um das Skript bei der
Benutzeranmeldung zu starten.
C

Sie benutzen poledit.exe, um eine Systemrichtliniendatei
mit der Bezeichnung ntconfig.pol zu erstellen, die die
geforderte Einstellung enthält. Sie platzieren eine Kopie
dieser Datei in dem vorgesehenen Ordner auf dem
Domänencontroller.
D

Sie benutzen den Texteditor, um eine
Stapelverarbeitungsdatei mit der Bezeichnung
autoexec.bat zu erstellen, die die Anmeldenachricht
enthält. Diese Datei kopieren Sie in das Verzeichnis C:\
auf allen Rechnern.
Richtige Antworten:
A und C
Begründung
Man muss eine Gruppenrichtlinie erstellen, um die Anmeldenachricht
anzuzeigen. Diese Gruppenrichtlinie wird auf allen Windows 2000 und
Windows XP Clients angewendet. Außerdem muss man eine
Systemrichtlinie erstellen, um die Anmeldenachricht auf den Windows
NT4.0 Rechnern anzuzeigen.
Diese Systemrichtlinie wird mit dem Systemrichtlinieneditor von Windows
NT erstellt. Systemrichtlinien werden von Netzwerkadministratoren
- 440 -
verwendet, um Einstellungen für die Benutzer und ihre Computer
individuell zu konfigurieren und zu steuern. Administratoren verwenden
poledit.exe um Windows NT Profile zu erstellen, die entweder computeroder benutzerbasiert sind. Mit dieser Anwendung können Sie Richtlinien
erstellen, die entweder lokal oder netzwerkweit gültig sind, was die
Registrierungseinstellung für Hardware sowie Benutzer beeinflussen kann.
Die zur Durchsetzung der Systemrichtlinie erstellte Datei hat die
Bezeichnung ntconfig.pol. Für Windows 2000 und Windows XP-Clients
befindet sich die Gruppenrichtlinieneinstellung im Bereich der
Computerkonfiguration – Sicherheitsoptionen:
Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden
wollen.
Beschreibung:
Diese Sicherheitseinstellung spezifiziert eine Textnachricht, die Benutzern
bei der Anmeldung angezeigt wird. Dieser Text wird oft aus rechtlichen
Gründen genutzt, um Benutzer beispielsweise vor der Herausgabe
vertraulicher Firmeninformationen zu warnen oder sie zu informieren, dass
ihre Aktionen am Computer protokolliert werden. Die Standardeinstellung
ist nicht definiert.
Man kann diese Sicherheitseinstellung konfigurieren, indem man die
verwendete Gruppenrichtlinie öffnet und wie folgt erweitert:
Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen
\ Lokale Richtlinien \ Sicherheitsoptionen
Die Antwortmöglichkeiten B und D sind falsch, da zwar eine Nachricht
ausgegeben wird (wenn auch die Variante D eher in die Zeiten von MSDOS und Co gehört), aber diese erst nach der Anmeldung erscheint. Die
Nachricht soll aber bei der Anmeldung des Benutzers angezeigt werden.
Hilfe
• Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Verwenden
des Sicherheitskonfigurations-Managers\Beschreibung der
Sicherheitseinstellung\Lokale
Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Nachricht für
Benutzer, die sich anmelden wollen
MS Training
- 441 -
Frage 104
Netzwerkstruktur wird im Schaubild gezeigt. Die Domänenfunktionsebene
beider Gesamtstrukturen ist Windows Server 2003. Alle drei Domänen
sind Windows Server 2003-Domänen.
Die Domäne EISSNER-EDV.DE enthält einen Computer mit der
Bezeichnung »FDESRV01«. Ein freigegebener Ordner auf »FDESRV01« hat
die Bezeichnung Freigabe1. Benutzer in einer Organisationseinheit (OU)
mit der Bezeichnung Konten in der SUB1.MVSNET.DE benötigen Zugriff
auf Freigabe1. Wenn jedoch die Benutzer der Organisationseinheit
Konten versuchen auf Freigabe1 zuzugreifen, erhalten Sie eine
Fehlermeldung, die aussagt, dass der Zugriff verweigert wurde.
Sie sollen sicherstellen, dass die Benutzer der Organisationseinheit Konten
Zugriff auf Freigabe1 haben.
- 442 -
A
{
universelle Verteilungsgruppe, die alle Benutzer der
\\FDESRV01\Freigabe1. Sie nehmen die universelle
Verteilungsgruppe als Mitglied in die lokale
B
{
globale Sicherheitsgruppe, die alle Benutzer der
\\FDESRV01\Freigabe1. Sie nehmen die globale
Sicherheitsgruppe als Mitglied in die lokale
C
{
Sie erstellen einen freigegebenen Ordner in der
Organisationseinheit Konten für
\\FDESRV01\Freigabe1.
D
{
Sie erstellen eine einseitige externe Vertrauensstellung, in
der SUB1.MVSNET.DE der Domäne EISSNER-EDV.DE
vertraut.
Richtige Antwort: B
Begründung
Es besteht eine Gesamtstrukturvertrauensstellung zwischen den zwei
Gesamtstrukturen. Wenn die Benutzer der Organisationseinheit Konten
versuchen, auf Freigabe1 auf »FDESRV01« zuzugreifen, bekommen sie
eine Fehlermeldung, die aussagt, dass der Zugriff verweigert wurde. Das
ist ein einfaches Berechtigungsproblem. Alles was man tun muss, ist die
entsprechende Berechtigung den Benutzern der Organisationseinheit
Konten zuzuweisen, um Zugriff auf Freigabe1 zu erhalten.
Der empfohlene Weg, um Berechtigungen zuzuweisen, ist die Erstellung
lokaler Sicherheitsgruppen in der Domäne und die Zuweisung von
Berechtigungen für die erforderlichen Ressourcen (in diesem Falle
\\FDESRV01\Freigabe1). Danach muss man die Benutzer zu einer globalen
Sicherheitsgruppe der Domäne hinzufügen.
Anschließend fügt man die globale Sicherheitsgruppe der lokalen Gruppe
als Mitglied hinzu. Die Berechtigungen der lokalen Gruppe werden dadurch
auf die Benutzer weitergeleitet.
- 443 -
Lösungsvorschlag A ist falsch, weil man Verteilungsgruppen nicht für die
Zuweisung von Berechtigungen verwenden kann. Das Erstellen eines
freigegebenen Ordners in der Organisationseinheit Konten in Antwort C,
löst nicht das Berechtigungsproblem. Auch die Einrichtung einer weiteren
Vertrauensstellung ist überflüssig, da bereits eine bidirektionale
Gesamtstrukturvertrauensstellung existiert. Deshalb ist
Antwortmöglichkeit D falsch.
Hilfe
Directory\Grundlegendes zu Gruppen\Gruppenbereich
• Häufige administrative Aufgaben\Ändern von
Gruppenmitgliedschaften
MS Training
- 444 -
Frage 105
der Bezeichnung EISSNER-EDV.DE. Drei Sicherheitsgruppen mit der
Bezeichnung Verwaltung, Planung und Management befinden sich in einer
Organisationseinheit mit der Bezeichnung Buchführung. Alle
Benutzerkonten dieser drei Gruppen befinden sich ebenfalls in der
Organisationseinheit Buchführung.
Sie erstellen eine Gruppenrichtlinie und verknüpfen diese mit der
Organisationseinheit Buchführung. Sie konfigurieren die Gruppenrichtlinie
im Bereich Benutzerkonfiguration so, dass die Option Anzeige
deaktiviert ist. Sie sollen folgende Ziele erreichen: Sie müssen
sichergehen, dass die Gruppenrichtlinie auf alle Benutzerkonten der
Gruppe Planung angewendet wird. Außerdem müssen Sie verhindern, dass
die Gruppenrichtlinie auf die Benutzerkonten der Gruppe Verwaltung
angewendet wird. Weiterhin sollen Sie verhindern, dass die
Gruppenrichtlinie auf die Benutzerkonten der Gruppe Management
angewendet wird, egal ob das Benutzerkonto ebenfalls Mitglied der
Gruppe Planung ist oder nicht.
- 445 -
A
{
Verwaltung und Management Lese- und Ausführrechte der
Gruppenrichtlinien. Sie modifizieren die DACLEinstellungen der Gruppenrichtlinie so, dass den
Benutzern beider Sicherheitsgruppen die Berechtigung
zum Lesen und Ausführen der Gruppenrichtlinien gegeben
wird.
B
{
Verwaltung und Management die Lese- und Ausführrechte
der Gruppenrichtlinien. Danach erstellen Sie eine neue
Sicherheitsgruppe mit der Bezeichnung Gemischt, in der
alle Benutzerkonten der Gruppe Verwaltung und die
spezifischen Benutzerkonten der Gruppe Management
enthalten sind. Sie modifizieren die DACL-Einstellungen
der Gruppenrichtlinie so, dass der Sicherheitsgruppe
Gemischt die Berechtigung zum Lesen und Ausführen der
Gruppenrichtlinien gegeben wird.
C
{
Gruppenrichtlinie und verweigern der Sicherheitsgruppe
Verwaltung das Lese- und Ausführrecht der
Gruppenrichtlinien. Außerdem modifizieren Sie die DACLEinstellungen der Gruppenrichtlinie so, dass die Gruppe
Authentifizierte Benutzer entfernt wird. Danach
modifizieren Sie die DACL-Einstellungen der
Gruppenrichtlinie so, dass die Gruppe Planung
hinzugefügt und ihr die Rechte zum Lesen und Ausführen
der Gruppenrichtlinien gegeben wird.
D
{
Gruppenrichtlinie, um der Sicherheitsgruppe Planung die
Leserechte zu verweigern und die Rechte zum Ausführen
der Gruppenrichtlinien zu geben. Danach modifizieren Sie
die DACL-Einstellungen der Gruppenrichtlinie so, dass der
Sicherheitsgruppe Management die Rechte zum Lesen und
Ausführen der Gruppenrichtlinien verweigert wird.
Richtige Antwort: C
Begründung
Es soll verhindert werden, dass die Gruppenrichtlinie auf die
Benutzerkonten der Gruppe Verwaltung angewendet wird. Das kann man
- 446 -
erreichen, indem man in den Freigegebenen Zugriffssteuerungslisten
(DACL) Einstellungen der Gruppenrichtlinie der Gruppe Verwaltung die
Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien verweigert.
Man muss die Gruppe Authentifizierte Benutzer entfernen, damit die
Richtlinie nicht auf Benutzer außerhalb der drei Sicherheitsgruppen
angewendet wird.
Weiterhin sollen Sie sichergehen, dass die Richtlinie auf alle Benutzer der
Gruppe Planung angewendet wird. Dies kann man erreichen, indem man
in den DACL-Einstellungen der Gruppenrichtlinie der Gruppe Planung die
Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien gibt.
Außerdem soll man verhindern, dass die Gruppenrichtlinie auf einen
Benutzer der Management-Gruppe angewendet wird, unabhängig davon
ob das Benutzerkonto ebenfalls ein Mitglied der Gruppe Planung ist. Die
Management-Gruppe wird nicht in den DACL aufgeführt. Deshalb wird kein
Benutzer der Gruppe Management die Gruppenrichtlinie erhalten. Ein
Management-Benutzer würde die Gruppenrichtlinie nur erhalten, wenn er
Mitglied der Gruppe Planung wäre, da die Gruppe Planung die
Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien hat.
Die Formulierung der Aufgabe ist an dieser Stelle etwas zweideutig. Man
kann die Forderung auch so auslegen, dass den Mitgliedern der Gruppe
Management in jedem Fall die Ausführung der Gruppenrichtlinie zu
verbieten ist, unabhängig davon, ob sie ebenfalls Mitglied der Gruppe
Planung sind. Betrachtet man allerdings die anderen Lösungsvorschläge,
wird klar, dass nur C sinnvoll ist.
Hilfe
Directory\Zugriffsteuerung in Active Directory
MS Training
- 447 -
Frage 106
2003.
Eine firmeninterne Richtlinie von MVS verlangt, dass die administrativen
Passwörter alle 30 Tage geändert werden. Sie konfigurieren die
Sicherheitsrichtlinie der Domäne so, dass die Firmenrichtlinie durchgesetzt
wird. Eine Sicherheitsprüfung zeigt, dass das Passwort zur Anmeldung an
Domänencontrollern im Verzeichnisdienstewiederherstellungsmodus zehn
Monate alt ist.
Sie sollen sichergehen, dass alle Passwörter entsprechend der
firmeninternen Richtlinien geändert werden. Sie sollen diese Aufgabe ohne
Unterbrechung des Benutzerzugriffs lösen.
A
{
Sie starten jeden Domänencontroller im
Verzeichnisdienstewiederherstellungsmodus neu. Danach
benutzen Sie das Snap-In Computerverwaltung, um
das Kennwort für das Administratorenkonto
zurückzusetzen.
B
{
Sie benutzen das ntdsutil-Utility, um auf jedem
Domänencontroller das Administratorenpasswort für den
Verzeichnisdienstewiederherstellungsmodus
zurückzusetzen.
C
{
Sie konfigurieren die Sicherheitsrichtlinie der
Domänencontroller so, dass die firmeninternen Richtlinien
geltend gemacht werden.
D
{
Sie setzen das Administratorenpasswort zurück, indem Sie
Active Directory-Benutzer und -Computer benutzen.
Richtige Antwort: B
Begründung
Bei Windows Server 2003 kann man das Administratorenpasswort für den
Verzeichnisdienste-Wiederherstellungsmodus ändern, indem man das
ntdsutil-Utility benutzt.
Antwortmöglichkeit A führt zwar auch zum Ergebnis, ist aber wesentlich
zeitaufwändiger. Die Änderung des Kennwortes für die
Verzeichniswiederherstellung kann nur manuell erfolgen, um den
Firmenrichtlinien gerecht zu werden. Eine Steuerung über
Gruppenrichtlinien, wie in Lösungsvorschlag C, ist deshalb nicht möglich.
- 448 -
Active Directory Benutzer und Computer bietet keine Möglichkeit, das
Administratorenkennwort für die Verzeichniswiederherstellung zu ändern.
Damit ist Antwort D ebenfalls falsch.
Hilfe
• Suchbegriff „Wiederherstellungsmodus“ eingeben; Hilfethema 3 –
ntdsutil.exe: Befehlszeilenreferenz; im rechten Fenster Unterpunkt
„Festlegen des DSRM-Kennwortes“ auswählen
MS Training
- 449 -
Frage 107
Sie sind der Administrator der Domäne MVSNET.DE. Das Netzwerk ist wie
im folgenden Diagramm dargestellt konfiguriert:
Nachdem die Gesamtstrukturvertrauensstellung gelöscht wurde, stellen
Sie fest, dass die Mitgliedschaftslisten für einige der lokalen Gruppen der
Domäne nicht mehr stimmen. Als Sie sich die Mitgliedschaftslisten
anschauen, sehen Sie, dass sie Einträge enthalten, die nicht zuzuordnen
sind.
Sie sollen alle unbekannten Gruppen aus der Mitgliedschaftsliste für die
lokale Gruppe der Domäne löschen. Dieses Ziel soll mit einem Minimum an
administrativem Aufwand und ohne die Modifikation der
Zugriffsberechtigungen auf die Ressourcen in der MVSNET.DEGesamtstruktur erreicht werden.
- 450 -
A
{
Sie erstellen eine neue lokale Gruppe für Domänen.
Danach fügen Sie die benötigten globalen Gruppen der
MVSNET.DE-Gesamtstruktur in die lokale Gruppe der
Domäne hinzu. Sie geben der lokalen Gruppe der Domäne
die benötigten Berechtigungen. Anschließend löschen Sie
die originale lokale Gruppe der Domäne.
B
{
Sie erstellen erneut die Vertrauensstellung zwischen den
Gesamtstrukturen MVSNET.DE und EISSNER-EDV.DE.
Danach löschen Sie alle globalen Konten von EISSNEREDV.DE von der Mitgliedschaftsliste der lokalen Gruppe
der Domäne. Anschließend löschen Sie die
Vertrauensstellung zwischen beiden Gesamtstrukturen.
C
{
Sie prüfen alle verbleibenden Vertrauensstellungen.
Anschließend löschen Sie alle unbekannten Konten von
den lokalen Gruppen der Domäne.
D
{
Sie löschen alle betroffenen lokalen Gruppen der
Domäne. Anschließend erstellen Sie die Gruppen erneut.
Sie fügen die verwendeten globalen Gruppen der
MVSNET.DE-Gesamtstruktur zu den Gruppen hinzu. Sie
gewähren der lokalen Gruppe der Domäne die
notwendigen Berechtigungen.
Richtige Antwort: C
Begründung
Als Erstes muss man alle verbliebenen Vertrauensstellungen prüfen. Wenn
eine Vertrauensstellung nicht funktioniert, dann werden Konten als
unbekannt angezeigt. Dies verhindert, dass man versehentlich noch
benötigte Mitgliedschaften löscht. Sollten alle Vertrauensstellungen
funktionieren, dann werden alle betreffenden Konten mit den exakten
Benutzer- bzw. Gruppennamen angezeigt. Nun kann man alle Konten aus
den lokalen Gruppen löschen, die als Konto unbekannt angezeigt
werden. Antwortmöglichkeit A schlägt ein erneutes Erstellen der Gruppen
vor.
Das würde einen übermäßigen administrativen Aufwand darstellen. Der
Lösungsweg B würde funktionieren, ist aber nicht empfehlenswert. Ein
erneutes Erstellen der Vertrauensstellung würde zwar die Namen der
Konten wieder herstellen. Aber der beschriebene Weg zum Löschen der
Gruppen wäre sehr umständlich. Auch der Vorschlag aus
Lösungsmöglichkeit D ist umständlich und unnötig, da das Problem nicht
bei den lokalen Gruppen liegt. Es reicht aus, die unbekannten Konten zu
löschen, wie in C beschrieben.
Hilfe
- 451 -
Directory\Grundlegendes zu Gruppen\Gruppenbereich
• Häufige administrative Aufgaben\Ändern von
Gruppenmitgliedschaften
MS Training
- 452 -
Frage 108
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die zwei Domänen in vier Standorten enthält. Auf allen
Servern läuft Windows Server 2003.
Sie sind verantwortlich für die Administration der Domänencontroller in
einem der Standorte. Ihr Standort enthält vier Domänencontroller. Die
Festplatte, auf der die Active Directory-Datenbank liegt, ist auf dem
Domänencontroller »MVSDC002« ausgefallen. Sie ersetzen die Festplatte.
Sie müssen »MVSDC002« wiederherstellen. Dieses Ziel müssen Sie ohne
Beeinflussung existierender Active Directory-Datenbanken erreichen.
A
{
Sie führen eine nicht autorisierende Wiederherstellung
der Active Directory-Datenbank durch.
B
{
Sie führen eine autorisierende Wiederherstellung der
Active Directory-Datenbank durch.
C
{
Sie benutzen ntdsutil, um eine semantische
Datenbankanalye durchzuführen.
D
{
Sie benutzen ntdsutil, um den Befehl restore subtree
durchzuführen.
Richtige Antwort: A
Begründung
Sie haben vier Domänencontroller in Ihrem Standort. Sie können ganz
einfach eine nicht autorisierende (normale) Wiederherstellung der ActiveDirectory-Datenbank durchführen. Alle Änderungen der Active DirectoryDatenbank seit der letzten Datensicherung, werden von einem anderen
Domänencontroller repliziert.
Lösungsweg B schlägt eine autorisierende Wiederherstellung vor. Dabei
wird die wiederhergestellte Datenbank autorisiert, bei der Replikation die
bestehenden Active-Directory-Datenbanken zu überschreiben. Die
semantische Datenbankanalyse aus Antwort C dient nur zur Fehleranalyse
und –beseitigung einer bestehenden Active Directory-Datenbank, kann
aber nicht zur Wiederherstellung benutzt werden. Der Befehl aus Lösung D
würde nur eine Teilstruktur der Active Directory wiederherstellen.
Hilfe
- 453 -
• Datenträger und Daten\Sichern und Wiederherstellen von
Daten\Sichern und Wiederherstellen von
Daten\Konzepte\Grundlegendes zu Sicherung\Authorisierende,
primäre und normale Wiederherstellung
MS Training
- 454 -
Frage 109
der Bezeichnung MVSNET.DE. Es existiert eine Organisationseinheit (OU)
mit der Bezeichnung DokVerwaltung. Die Organisationseinheit
DokVerwaltung enthält Benutzerkonten für Benutzer der Abteilung
Dokumentenverwaltung.
Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der
Organisationseinheit DokVerwaltung. Sie konfigurieren die
Gruppenrichtlinie so, dass eine Grafikanwendung veröffentlicht wird.
Einige Benutzer der Abteilung Dokumentenverwaltung berichten, dass die
Anwendung nicht im Startmenü verfügbar ist. Andere berichten, dass die
Anwendung erfolgreich installiert wurde, nachdem man auf ein Dokument
der Anwendung doppelt geklickt hat. Sie sollen sicherstellen, dass jeder
Benutzer der Organisationseinheit DokVerwaltung die Grafikanwendung
ausführen kann.
A
{
auftreten, dass diese den gpupdate-Befehl ausführen
sollen.
B
{
auftreten, dass diese das Programm installieren sollen,
indem sie in der Systemsteuerung die Option Neue
Software hinzufügen benutzen.
C
{
Sie führen das Tool Richtlinienergebnissatz auf den
Domänencontrollern im Netzwerk aus.
D
{
Sie führen den Befehl gpresult auf jedem Clientrechner
und Domänencontroller im Netzwerk aus.
Richtige Antwort: B
Begründung
Sie haben die Anwendung für die Benutzer veröffentlicht. Durch diese
Einstellung können nun die Benutzer die Anwendung installieren. Um das
Programm zu installieren, müssen die Benutzer die Option Neue
Software hinzufügen
in der Systemsteuerung benutzen. Dabei werden alle veröffentlichten
Programme angezeigt, die installiert werden können. Alternativ wird die
Installation gestartet, wenn man einen Doppelklick auf eine Datei, die mit
dieser Anwendung verknüpft ist, ausführt.
- 455 -
Die Benutzer der Abteilung Dokumentenverwaltung berichten, dass sich
die Anwendung nicht im Start-Menü befindet. Das Anwendungssymbol
erscheint weder im Startmenü noch auf dem Desktop, da sie veröffentlicht
und nicht zugewiesen wurde.
Antwortmöglichkeiten C und D sind falsch, da hier lediglich die
resultierenden Gruppenrichtlinien angezeigt werden und somit bestenfalls
eine Kontrolle über die vom Administrator eingerichteten Richtlinien
existiert. Lösungsweg A zielt in die richtige Richtung: Immerhin besteht
die Möglichkeit, dass zur Verzögerungen durch die Replikation zwischen
mehreren Domänencontrollern, bei einigen Benutzern die Richtlinie noch
nicht aktiv ist. Aber auch in diesem Fall muss man sich die
Aufgabenstellung genau durchlesen. Es wird darauf hingewiesen, dass die
Anwendung nicht im Startmenü erscheint, bei anderen Benutzern aber die
Anwendung durch einen Doppelklick auf eine Datei, die mit dieser
Anwendung verknüft ist, installiert wird.
Gruppenrichtlinien Management
Man kann die Softwareinstallationserweiterung der Gruppenrichtlinien
dazu benutzen, um Softwaredistributionen in der Organisation zentral zu
verteilen. Die Software kann für Benutzer und Gruppen veröffentlicht oder
zugewiesen werden, indem man diese Erweiterung verwendet.
Wenn man Programme Benutzern oder Computern zuweist, dann werden
die Anwendungen automatisch bei der Anmeldung (bei
benutzerbezogenen Anwendungen) oder beim Rechnerstart (bei
rechnerbezogenen Anwendungen) installiert. Beim Zuweisen von
Anwendungen auf Benutzer wird die Anwendung standardmäßig bei der
nächsten Benutzeranmeldung installiert. Das bedeutet, dass das
Anwendungssymbol im Startmenü erscheint und die Registrierung mit den
Informationen der Anwendung aktualisiert wird. Außerdem werden der
Speicherort der Anwendung sowie der Standort der Quelldatei für die
Installation bekannt gemacht.
Mit diesen Veröffentlichungsinformationen auf dem Rechner des Benutzers
wird die Anwendung installiert, sobald der Benutzer die Anwendung das
erste Mal starten möchte. Zusätzlich zu diesem Standardverhalten,
unterstützen Windows XP Professional und Windows Server 2003 Clients
eine Option, um das Paket vollständig beim Anmelden installiert. Dies ist
eine gute Alternative zu der Installation nach dem ersten Start der
Anwendung. Wenn man Anwendungen Computern zuweist, dann wird die
Anwendung beim nächsten Start des Rechners installiert. Anwendungen,
die Computern zugewiesen wurden, werden nicht angekündigt, sondern
mit den Standardeinsstellungen für das Installationspaket installiert. Wenn
Windows Installer (.msi) Paket benötigt.
- 456 -
Anwendungen veröffentlichen
Man kann Anwendungen für Benutzer auch veröffentlichen, indem man für
die Benutzer die Anwendung zur Installation verfügbar macht. Um eine
veröffentlichte Anwendung zu installieren, muss der Benutzer die Option
Neue Software hinzufügen in der Systemsteuerung benutzen, welche
eine Liste aller veröffentlichten Anwendungen enthält. Alternativ können
Administratoren die Option Auto-Installation der Anwendung, wenn
Dateierweiterung aktiviert wurde nutzen. Dabei wird die Installation
der Software gestartet, wenn ein Benutzer eine Datei mit der
entsprechenden Dateierweiterung startet. Wenn man z.B. auf eine Datei
mit der Erweiterung .xls doppelt klickt wird die Installation von Microsoft
Excel gestartet, wenn es nicht schon installiert ist. Anwendungen können
nur für Benutzerrichtlinien veröffentlicht werden. Es ist nicht möglich
Anwendungen für Computer zu veröffentlichen.
Hilfe
MS Training
- 457 -
Frage 110
Die EDV-Beratung Eißner fusioniert mit der Firma MVS. Sie müssen neue
Benutzerkonten für alle Angestellten von MVS erstellen. Das Format für
die E-Mail-Adressen aller Benutzer von MVS ist [email protected]. Die
Benutzer müssen ihre E-Mail-Adressen nach der Fusion weiter benutzen
können.
Um weniger Verwirrung zu erzeugen, sollen sich die Benutzer mit ihren EMail-Adressen an das Firmennetzwerk anmelden.
Sie sollen sicherstellen, dass sich die neuen Benutzer mit ihren E-MailAdressen anmelden können. Sie sollen diese Aufgabe mit dem geringsten
Kostenaufwand sowie mit einem Minimum an administrativem Aufwand
erreichen.
A
{
Sie erstellen in der Gesamtstruktur EISSNER-EDV.DE eine
neue Domäne mit der Bezeichnung MVSNET.DE. Danach
erstellen Sie für alle Benutzer der Domäne MVSNET.DE
Benutzerkonten.
B
{
Sie erstellen eine neue Gesamtstruktur mit der
Bezeichnung MVSNET.DE. Danach erstellen Sie für alle
Benutzer der Domäne MVSNET.DE Benutzerkonten.
Zudem erstellen Sie eine
Gesamtstrukturvertrauensstellung zwischen den beiden
Gesamtstrukturen.
C
{
Sie erstellen für jeden neuen Benutzer der Domäne
EISSNER-EDV.DE Benutzerkonten. Danach konfigurieren
Sie die E-Mail-Adressen der MVS-Benutzer als
[email protected].
D
{
Sie konfigurieren MVSNET.DE als ein zusätzliches UPNSuffix für die EISSNER-EDV.DE-Gesamtstruktur. Danach
konfigurieren Sie jedes Benutzerkonto so, dass es das
MVSNET.DE-Suffix benutzt.
Richtige Antwort: D
Begründung
UPN Anmeldung aktivieren
- 458 -
Man kann das Anmelden der Benutzer vereinfachen indem man die UPNAnmeldung aktiviert. Wenn die UPN-Anmeldung aktiviert ist, dann
verwendet jeder Benutzer das gleiche UPN-Suffix um sich an die Domäne
anzumelden. Dies könnte beispielsweise die E-Mail-Adresse des Benutzers
sein.
Beispiel: Der Benutzer Frank in der EISSNER-EDV.DE Domäne gibt
[email protected] als Anmeldename an. Auf diesem Weg braucht er
keine Domäne auswählen. UPN-Namen umfassen den Anmeldenamen des
Benutzers und den DNS-Namen der Domäne. Wenn man die UPNAnmeldung aktiviert, dann bleiben die Anmeldenamen des Benutzers
immer gleich, selbst wenn ihre Domäne geändert wird.
Sie sollten die UPN-Anmeldung aktivieren, wenn Ihr System folgende
Voraussetzungen erfüllt:
• Der Domänenname des Unternehmens ist komplex und schwer zu
merken.
• Die Domänen des Unternehmens können sich aufgrund von
Domänenzusammenschlüssen oder anderer organisatorischer
Aktionen ändern.
• Die Anmeldenamen der Benutzer sind innerhalb der Gesamtstruktur
eindeutig.
• Ein globaler Katalogserver ist verfügbar, um die UPN-Namen den
richtigen Domänenkonten zuzuordnen.
• Man kann ein UPN-Suffix für alle Benutzer in der Gesamtstruktur
benutzen.
Beispiel: [email protected] ist ein Mitglied der Domäne MVSNET.DE, die
eine Subdomäne der Domäne EISSNER-EDV.DE ist. Wenn Tina sich
anmeldet, muss sie nicht den Domänenamen kennen, da ein globaler
Katalog die Domäne, die ihr Benutzerkonto enthält, findet. Wenn Tina in
eine andere Domäne wechselt, meldet sie sich immer noch mit dem
gleichen UPN-Suffix an. Um die UPN-Anmeldung für alle Konten zu
aktivieren, verwendet man Active Directory Benutzer und Computer. Hier
kann man die Benutzerkonten verwalten und einen UPN-Suffix zuordnen.
UPN-Anmeldung aktivieren:
In Active Directory Benutzer und Computer, Rechtsklick auf das
Benutzerkonto.
Auf Eigenschaften klicken und das Register „Konto“ wählen.
Einen UPN-Suffix aus der Drop Down Combobox „Benutzeranmeldename“
auswählen.
Die Antworten A und B sind falsch, da aus der Aufgabenstellung
hervorgeht, dass neue Benutzerkonten (innerhalb von EISSNER-EDV.DE)
- 459 -
erstellt werden sollen. Es ist nicht die Rede davon, dass MVSNET.DE in
irgendeiner Weise in die Gesamtstruktur EISSNER-EDV.DE integriert
werden soll. Lösungsweg C geht zwar in die richtige Richtung, aber es
fehlt die Erstellung eines zusätzlichen UPN-Suffixes.
Hilfe
• Active Directory\Konzepte\Grundlegendes zu Active Directory\Active
Directory-Namen
Domänen\Hinzufügen von Benutzerprinzipalnamen-Suffixen
MS Training
- 460 -
Frage 111
der Bezeichnung MVSNET.DE. Für alle Benutzerkonten auf jedem Server
wird täglich eine Passwortrücksetzung durchgeführt. Die Windows Server
2003 Rechner »MVSDC001«, »MVSDC002« und »MVSDC003« sind wie
folgt konfiguriert:
An einem Mittwochmorgen verbindet sich ein anderer Administrator in
Kronach mit dem Server »MVSDC003« und löscht eine
Organisationseinheit (OU) mit der Bezeichnung KronachBenutzer. Die
Änderung wird auf alle Standorte der Gesamtstruktur repliziert. Benutzer
in Kronach berichten, dass sie sich nicht länger an das Netzwerk anmelden
können.
Sie sollen den Benutzern in Kronach die Anmeldung an das Netzwerk so
schnell wie möglich ermöglichen. Außerdem sollen Sie sicherstellen, dass
die Unterbrechung für die Benutzer in Puchheim und Veilsdorf auf ein
Minimum reduziert wird.
- 461 -
A
{
»MVSDC001« aus einem Backup wieder her. Sie benutzen
das ntdsutil-Utility um die Organisationseinheit als
autorisierend zu kennzeichnen. Danach führen Sie eine
Replikation durch.
B
{
»MVSDC002« aus einem Backup wieder her. Danach
führen Sie eine Replikation durch.
C
{
Sie stellen ntdsutil wieder her, um sich mit »MVSDC001«
zu verbinden. Sie verwenden den
Metadatenbereinigungsbefehl um »MVSDC003« von
Active Directory zu entfernen. Danach erzwingen Sie eine
Replikation.
D
{
Sie verwenden das ntdsutil-Utility auf »MVSDC003«, um
den Domänennamenkontext als autorisierend zu
kennzeichnen. Danach erzwingen Sie eine Replikation.
Richtige Antwort: A
Begründung
Man muss die Organisationseinheit KronachBenutzer wiederherstellen.
Dies sollte man auf »MVSDC001« machen, da auf diesem
Domänencontroller das aktuellste Backup vorhanden ist. Danach muss
man die Organisationseinheit KronachBenutzer als autorisierend
kennzeichnen, damit sie zu den anderen Domänencontrollern repliziert
wird.
Würde man die Organisationseinheit nicht als autorisierend kennzeichnen,
dann würde sie bei der nächsten Active Directory Replikation gelöscht
werden. Durch die Autorisierung wird der Datenstand auf »MVSDC001«
als aktuellster gekennzeichnet.
Antwort B ist falsch, da die Organisationseinheit auf »MVSDC002« nicht
als autorisierend gekennzeichnet wurde. Die wiederhergestellten Daten
werden bei der nächsten Replikation gelöscht. Die Verwendung der
Befehlsoption Metadatenbereinigung aus Lösungsvorschlag C kann
nicht für die Wiederherstellung von Daten verwendet werden. Dieser
Befehl wird beispielsweise für das Löschen von Metadaten nicht
ordnungsgemäß herabgestufter Domänencontroller verwendet. Ebenso
kann mit der Vorgehensweise in Antwort D keine Wiederherstellung der
Organisationseinheit erreicht werden. Außerdem kann man den
Domänennamenkontext nicht als autorisierend kennzeichnen, sondern nur
die NTDS-Datenbank oder Unterzweige des Active Directory.
Hilfe
- 462 -
Daten\Konzepte\Grundlegendes zur Sicherung\Autorisierende,
• Ntdsutil: Befehlszeilenreferenz
MS Training
- 463 -
Frage 112
der Bezeichnung EISSNER-EDV.DE. In der Domäne ist eine
Organisationseinheit mit der Bezeichnung Buchführung vorhanden.
Der Benutzer Steffen arbeitet in der Buchhaltung. Das Benutzerkonto für
Steffen befindet sich in der Organisationseinheit Buchhaltung.
Sie erstellen drei Gruppenrichtlinien und verknüpfen diese mit der
Organisationseinheit Buchhaltung. Die drei Gruppenrichtlinien werden im
folgenden Schaubild gezeigt:
- 464 -
Sie starten das Tool Richtlinienergebnissatz im Protokollierungmodus
für das Benutzerkonto von Steffen. Das Ergebnis der Richtlinien, die sich
auf das Benutzerkonto Steffen beziehen, wird im folgenden Schaubild
gezeigt:
Sie sollen sicher gehen, dass das Desktopregister und das
Bildschirmschonerregister in der Anzeige deaktiviert sind.
A
{
Gruppenrichtliniendialogbox nach oben.
B
{
Gruppenrichtliniendialogbox nach unten.
C
{
Sie deaktivieren die Einstellung Richtlinienvererbung
deaktivieren der Organisationseinheit Buchführung.
D
{
Sie klicken auf die Schaltfläche Optionen in der
Buchführungseigenschaftendialogbox und aktivieren die
Einstellung Kein Vorrang… für die Gruppenrichtlinie
Desktopregister ausblenden.
Richtige Antwort: B
Begründung
Das Desktopregister ist nicht sichtbar. Deshalb braucht man nur noch das
Bildschirmschonerregister verschwinden zu lassen. Mit der ursprünglichen
Einstellung steht die Richtlinie Bildschirmschonerregister einblenden
an erster Stelle. Sie überschreibt die Richtlinie
Bildschirmschonerregister ausblenden überschrieben. Das Ergebnis
- 465 -
ist, dass das Bildschirmschonerregister noch immer zu sehen ist. Das kann
man aber leicht ändern, indem man die Richtlinie
Bildschirmschonerregister einblenden in der Prioritätsliste der
Gruppenrichtliniendialogbox der Organisationseinheit Buchführung
niedriger einstuft. Dadurch wird die Richtlinie
Bildschirmschonerregister einblenden zuerst angewendet und
anschließend von der Richtlinie Bildschirmschonerregister ausblenden
überschrieben.
Antwort A schlägt ein Erhöhen der Priorität für die Richtlinie
Bildschirmschonerregister einblenden vor. Dadurch ändert sich aber
an dem aktuellen Gruppenrichtlinienergebnis nichts. Nur wenn die Priorität
dieser Richtlinie niedriger eingestellt wird, erreicht man das gewünschte
Ergebnis.
In Lösungsweg C wird die Richtlinienvererbung deaktiviert. Das hat keinen
Einfluss auf die Richtlinien der Organisationseinheit Buchführung, da diese
so oder so Vorrang vor den geerbten Gruppenrichtlinieneinstellungen
haben. Die Option Kein Vorrang… in Lösungsvorschlag D für die
Richtlinie Desktopregister ausblenden würde bewirken, dass eine
Gruppenrichtlinie einer niedrigeren Ebene durch die Einstellungen dieser
Richtlinie überschrieben würde. Das hat aber keinen Einfluss auf die
aktuellen Gruppenrichtlinien.
Hilfe
Verwaltungsprogramme\Richtlinienergebnissatz\So wird es
gemacht\Ausführen von Richtlinienergebnissatz
Verwaltungsprogramme\Gruppenrichtlinien –
• Weitere Information zu Gruppenrichtlinien, dann im neuen Fenster:
Gruppenrichtlinien\Konzepte\Grundlegendes zu
• Gruppenrichtlinien\Konzepte\Grundlegendes zu
Gruppenrichtlinien\Reihenfolge der Gruppenrichtlinien
MS Training
- 466 -
Frage 113
der Bezeichnung MVSNET.DE. Im Netzwerk befinden sich zehn Dateiserver
auf denen Windows Server 2003 läuft. Alle Dateiserver befinden sich in
einer Organisationseinheit (OU) mit der Bezeichnung Server.
Sie stellen fest, dass ein Virus die Dateien auf den Dateiservern infiziert
hat. Sie verwenden eine Antivirusanwendung, die den Virus entfernt und
ein Patch installiert, damit der Virus keine Dateien wieder infizieren kann.
Das Programm sowie zugehörige Updates sind als .msi-Dateien verfügbar.
Die Dateiserver müssen online bleiben, da zurzeit Benutzer an
vertraulichen Projekten arbeiten.
Sie sollen sicherstellen, dass die Dateiserver vor Virenangriffen geschützt
sind. Diese Aufgabe soll mit einem Minimum an administrativem Aufwand
erfüllt werden.
Welche Option/en müssen Sie wählen, um das Ziel zu erreichen?
ausgeführt werden soll, in das erste Aktionsfeld. Fahren Sie
dementsprechend mit den anderen Optionen fort, bis alle benötigten
Optionen in der richtigen Reihenfolge sind. Es kann sein, dass nicht alle
nummerierten Felder benutzt werden müssen.)
Richtige Antwort: C
- 467 -
Begründung
Wenn man Anwendungen Computern zuweist, werden diese beim
nächsten Start des Rechners installiert. Anwendungen die zugewiesen
sind, werden nicht bekannt gemacht, sondern mit den
Standardeinstellungen installiert, die für dieses Packet konfiguriert sind.
Die Aufgabe verlangt, dass die Dateiserver verfügbar bleiben, da zurzeit
Benutzer an vertraulichen Projekten arbeiten. Deswegen kann man keine
Gruppenrichtlinien benutzen, um die Anwendung zuzuweisen (ein
Rechnerneustart ist momentan nicht möglich). Deshalb muss man die
Software manuell auf den Rechnern installieren.
Hilfe
MS Training
- 468 -
Frage 114
2003. Benutzerkonten der Finanzabteilung befinden sich in der
Organisationseinheit (OU) Finanz. Sie verwenden Gruppenrichtlinien, um
die Benutzerkonten zu verwalten.
Die Benutzer der Finanzabteilung benötigen eine neue Anwendung auf
ihren Rechnern. Einige Benutzer melden sich freiwillig, um die Anwendung
zu testen, bevor sie in der ganzen Abteilung installiert wird. Sie
konfigurieren eine Gruppenrichtlinie, um das Programm zu installieren. Sie
erstellen eine Gruppe mit der Bezeichnung TestUser in der
Organisationseinheit Finanz. Danach nehmen Sie die Benutzerkonten der
Testbenutzer in die Gruppe TestUser auf. Die Benutzerkonten der
Testbenutzer befinden sich ebenfalls in der Organisationseinheit Finanz.
Sie dürfen nur den Testbenutzern das Testen der Anwendung erlauben.
A
{
Sie weisen der Gruppe TestUser das Recht für die
Eigenschaft grouppolicyContainer erstellen der
Organisationseinheit Finanz zu.
B
{
Sie weisen der Gruppe TestUser Leserechte und das Recht
zum Anwenden von Gruppenrichtlinien für diese Richtlinie
zu. Sie entfernen das Recht zum Anwenden der
Gruppenrichtlinie für die Gruppe Authentifizierte Benutzer.
C
{
eines Richtlinienergebnissatzes (Protokollmodus) für die
D
{
eines Richtlinienergebnissatzes (Planungsmodus) für die
Richtige Antwort: B
Begründung
Die Anwendung soll nur für die Testbenutzer installiert werden. Das kann
man erreichen, indem man der Gruppe TestUser Leserechte und das Recht
zum Anwenden einer Gruppenrichtlinie gibt. Um zu verhindern, dass die
Gruppenrichtlinie auf andere Benutzer der Organisationseinheit Finanz
angewendet wird, muss man das Recht zum Anwenden einer
Gruppenrichtlinie der Gruppe Authentifizierte Benutzer entziehen.
In Antwort A soll die Gruppe TestUser das Recht zum Erstellen von
Gruppenrichtliniencontainern erhalten. Dieses Recht hat keinen Einfluss
- 469 -
auf die Anwendung von Gruppenrichtlinien und entspricht somit nicht der
Aufgabenstellung. Die Lösungsmöglichkeiten C und D beziehen sich auf
Berechtigungen zum Erstellen von Richtlinienergebnissätzen. Auch das hat
mit der Aufgabenstellung nichts zu tun. Wichtig ist, zwischen den
normalen Benutzern und den Testbenutzern zu differenzieren. Dies geht
nur, indem man, wie in Lösung B, das Recht für das Anwenden einer
Gruppenrichtlinie (Gruppenrichtlinie übernehmen) modifiziert.
Hilfe
MS Training
- 470 -
Frage 115
Server 2003 und auf allen Clients Windows XP Professional.
Die Benutzerkonten haben lokale administrative Berechtigungen, sodass
jeder Benutzer Software installieren kann. Ein Supportteam unterstützt
die Endbenutzer dabei. Die Mitarbeiter des Supportteams sind alle
Mitglieder einer Gruppe mit der Bezeichnung Support. Sie erstellen eine
Gruppenrichtlinie, die den Benutzern das Ausführen des Registriereditors
mittels einer Hashregel in den Richtlinien für Softwareeinschränkung
verbietet.
Sie weisen diese Richtlinie allen Benutzerkonten der Domäne zu.
Mitglieder des Desktopsupportteams berichten, dass sie folgende
Fehlermeldung erhalten, wenn sie versuchen den Registriereditor
auszuführen:
Windows kann dieses Programm nicht öffnen, weil dies einer
Systemrichtlinie zufolge nicht zulässig ist. Öffnen Sie die
Ereignisanzeige oder wenden Sie sich an den
Systemadministrator, um weitere Informationen zu erhalten.
Sie sollen sicherstellen, dass nur das Supportteam den Registriereditor
ausführen kann.
A
{
Sie konfigurieren die Richtlinien für
Softwareeinschränkung so, dass sie für alle Benutzer
außer den lokalen Administratoren gilt.
B
{
Sie nehmen die Benutzer in die Gruppe der
Hauptbenutzer auf anstatt in die Gruppe der
Administratoren.
C
{
Sie benutzen ein Login-Skript, um den Registriereditor auf
Laufwerk C:\ zu kopieren. Danach weisen Sie den
Domänenadmins die Leseberechtigung zu.
D
{
Sie filtern die Richtlinien für Softwareeinschränkung,
sodass die Gruppe Support vom Ausführen der Richtlinie
ausgeschlossen ist.
Richtige Antwort: D
Begründung
- 471 -
Man kann das Anwenden der Richtlinien für Softwareeinschränkung auf die
Gruppe Support verhindern, indem man die Berechtigungen für die
Anwendung der Gruppenrichtlinie modifiziert. Da die Benutzer Mitglied der
lokalen Gruppe der Administratoren sind, kann man die Gültigkeit der
Richtlinien für Softwareeinschränkung nicht für die lokalen
Administratoren verbieten. Der Lösungsvorschlag A ist damit nicht
akzeptabel.
Antwort B zeigt einen möglichen Weg, ist aber unvollständig. Man müsste
zusätzlich die Gültigkeit der Richtlinien für Softwareeinschränkung für die
lokalen Administratoren verbieten, damit diese weiterhin den
Registriereditor benutzen können. Durch die Hashregel wird grundsätzlich
die Ausführung des Registriereditors verhindert, ganz gleich, wo sich die
ausführbare Datei befindet. Das Kopieren des Registriereditors auf C:/,
wie in Antwort D vorgeschlagen, bringt somit keine Änderung.
Hilfe
• Sicherheit\Richtlinien für Softwareeinschränkung\Konzepte
MS Training
- 472 -
Frage 116
der Bezeichnung MVSNET.DE. In der Domäne befinden sich zwei Windows
Server 2003 Domänencontroller mit den Bezeichnungen »MVSDC001« und
»MVSDC002«. Auf »MVSDC001« läuft DNS für die gesamte Domäne. Jede
Nacht werden Backups für die Systemstatusdateien auf jedem
Domänencontroller durchgeführt.
Eine Überspannung beschädigt beide Domänencontroller. Sie ersetzen
beide Domänencontroller durch zwei neue Rechner und spielen das
aktuellste Sicherungsband ein. Sie müssen die Active Directory-Domäne
wiederherstellen, indem Sie die Sicherungsbänder verwenden. Als erstes
sollen Sie den Namensauflösungsdienst wiederherstellen.
ausgeführt werden soll, in die Erste-Aktion-Box. Fahren Sie mit dem
Ziehen der Optionen fort, bis alle drei Aktionen zum wiederherstellen von
»MVSDC001« und alle drei Aktionen zum Wiederherstellen von
»MVSDC002« aufgelistet sind.)
Richtige Antwort:
- 473 -
Begründung
Beide Domänencontroller müssen wiederhergestellt werden. Die erste
Aktion ist die Installation von Windows Server 2003 auf beiden. Um auf
einem Domänencontroller den Systemstatus wiederherzustellen, muss der
Rechner mit einer speziellen Option gestartet werden, die
Verzeichniswiederherstellung genannt wird. Dadurch werden der SYSVOLOrdner und die Active Directory Service Datenbank wiederhergestellt. Um
im Verzeichniswiederherstellungsmodus starten zu können, muss man
während des Rechnerstarts F8 drücken und die
Verzeichniswiederherstellung aus der Liste der Startoptionen wählen.
Auf dem ersten Domänencontroller muss man eine primäre
Wiederherstellung der Systemstatusdateien durchführen. Das gilt immer
nur für den ersten Domänencontroller im Netzwerk. Auf dem zweiten
Domänencontroller (und allen weiteren) führt man eine normale
Wiederherstellung der Systemstatusdateien durch. Die Daten werden
dabei als veraltet gekennzeichnet. Auf diesem Weg werden alle
Änderungen in der Active Directory vom ersten Domänencontroller auf
den zweiten Domänencontroller (und alle weiteren) repliziert.
Hilfe
MS Training
- 474 -
Frage 117
Firmennetzwerk besteht aus einer einzelnen Windows 2003 Active
Directory-Domäne mit der Bezeichnung EISSNER-EDV.INTERN. Das
Netzwerk enthält 20 Server, auf denen Windows Server 2003 läuft, und
700 Clientrechner mit Windows XP Professional.
Alle Server befinden sich im Standardcomputercontainer. Alle
Clientrechner gehören zu einer Organisationseinheit (OU) mit der
Bezeichnung Clients. Alle Domänencontroller sind im Standardcontainer
für Domänencontroller organisiert. Die Namensauflösung und die IPAdressierung werden von DNS, WINS und DHCP kontrolliert.
Sie sollen sicher gehen, dass das DNS-Suffix in den Systemeigenschaften
aller Clients auf EISSNER-EDV.DE eingestellt ist.
A
{
Sie erstellen eine neue Gruppenrichtlinie und verknüpfen
diese mit der Organisationseinheit Clients. Danach stellen
Sie die Konfiguration des primären DNS-Suffixes auf
EISSNER-EDV.DE.
B
{
Sie modifizieren die Default Domain-Richtlinie. Danach
stellen Sie die Konfiguration des primären DNS-Suffixes
auf EISSNER-EDV.DE.
C
{
Sie definieren in den DHCP-Bereichsoptionen EISSNEREDV.INTERN als DNS-Domänennamen.
D
{
Sie definieren in den DHCP-Bereichsoptionen EISSNEREDV.INTERN als NIS-Domänennamen.
Richtige Antwort: A
Begründung
Man soll sicherstellen, dass der DNS-Suffix jedes Clients auf EISSNEREDV.DE eingestellt ist. Die Clientrechner sind in einer Organisationseinheit
mit der Bezeichnung Clients organisiert. Der beste Weg dies zu realisieren,
ist die Erstellung eine Gruppenrichtlinie, die das primäre DNS-Suffix auf
EISSNER-EDV.DE einstellt. Diese Richtlinie muss dann mit der
Organisationseinheit Clients verknüpft werden.
Antwort B klingt zwar auch recht plausibel, aber die Verknüpfung mit der
Default Domain-Richtlinie ist falsch, da die Richtlinie auch auf die Server
und Domänencontroller angewendet würde. Diese befinden sich in
Objekten die sich innerhalb des Gültigkeitsbereiches der Default DomainRichtlinie befinden. Sofern die Vererbung nicht deaktiviert ist,
übernehmen sie deren Einstellungen. Aus der Aufgabenstellung geht nicht
- 475 -
hervor, ob die Server mit statischen IP-Adressen konfiguriert sind, oder
ihre Adressen dynamisch per DHCP beziehen. Deshalb ist die Zuweisung
des DNS-Suffixes über DHCP aus Antwort C keine exakte Lösung.
Lösungsvorschlag D konfiguriert einen Domänennamen für eine NISDomäne unter UNIX bzw. Linux und ist damit falsch.
Hilfe
MS Training
- 476 -
Frage 118
2003.
Michael arbeitet in der Verkaufsabteilung. Benutzerobjekte der Mitarbeiter
des Verkaufs werden in einer Organisationseinheit (OU) mit der
Bezeichnung Verkauf gespeichert. Als Michael in eine andere Abteilung
versetzt wurde, ist sein Benutzerkonto gelöscht worden. Einige Wochen
später wird Michael in die Verkaufsabteilung zurückversetzt.
Sie erstellen ein neues Benutzerkonto in der Organisationseinheit Verkauf
und gewähren dem Konto Zugriff auf die Verkaufsressourcen. Als Michael
versucht, auf eine der 1000 Dateien zuzugreifen, die er vor seiner
Versetzung erstellt hat, erhält er folgende Fehlermeldung: Zugriff
verweigert. Er berichtet, dass er diese Fehlermeldung bei allen 1000
Dateien in 150 unterschiedlichen Ordnern erhält.
Sie sollen Michael den Zugriff auf die Dateien, die er vor seiner ersten
Versetzung erstellt hat und die er nach seiner Rückversetzung erstellen
wird, ermöglichen. Diese Aufgabe sollen Sie ohne Beeinflussung anderer
Benutzer im Netzwerk lösen.
A
{
Sie verschieben Michaels existierendes Konto in eine neue
Organisationseinheit. Sie stellen die Organisationseinheit,
die Michaels vorheriges Konto enthielt, nicht autorisierend
wieder her.
B
{
Sie stellen Michaels altes Konto nicht autorisierend wieder
her. Sie erzwingen eine Active Directory-Replikation.
C
{
Sie stellen Michaels altes Konto autorisierend wieder her.
Sie erzwingen eine Active Directory-Replikation.
D
{
Sie benennen Michaels existierendes Konto um. Danach
stellen Sie Michaels altes Konto autorisierend wieder her.
Richtige Antwort: D
Begründung
Obwohl Sie ein weiteres Konto mit der Bezeichnung „Michael“ erstellt
haben, kann Michael auf keine seiner Dateien zugreifen. Das liegt daran,
dass Michaels neues Konto einen anderen Security Identifier (SID) als das
alte Konto erhalten hat. Es wird daher als ein anderes Konto betrachtet.
Man könnte dem neuen Konto die notwendigen Berechtigungen zuteilen.
Dies würde jedoch viel Zeit in Anspruch nehmen, da es sich um 150
- 477 -
Ordner handelt. Es ist daher einfacher das alte Konto von Michael aus
einem Backup wiederherzustellen. Um nicht zwei Konten mit der gleichen
Bezeichnung zu erhalten, sollte man das existierende Konto vor dem
Backup umbenennen oder noch besser löschen.
Antwortmöglichkeit A schießt über das Ziel hinaus, denn es reicht aus, das
Benutzerkonto zu restaurieren und nicht die komplette
Organisationseinheit. Außerdem ist eine nicht autorisierende
Wiederherstellung in diesem Fall falsch, da die Daten bei der nächsten
Replikation überschrieben bzw. gelöscht würden. Das gleiche gilt auch für
Lösungsweg B.
Antwort C hingegen scheint auf den ersten Blick zu stimmen. Aber
Vorsicht! Es handelt sich hier wieder einmal um eine typische Fangfrage.
Man muss davon ausgehen, dass das neue Konto dieselbe Bezeichnung
bekommt, wie das alte Konto. Das könnte bei der Wiederherstellung des
alten Kontos zu Problemen führen, da Benutzerkonten mit gleichen
Anmeldenamen nicht existieren können.
Hilfe
• Häufige administrative Aufgaben\Erstellen von Benutzer- und
Gruppenkonten
MS Training
- 478 -
Frage 119
Server 2003.
Die Firmenleitung legt fest, dass fünf Windows XP Professional Rechner in
einem öffentlichen Bereich für Besucher verfügbar sein sollen. Diese
Rechner sollen nur zum Surfen auf öffentlichen Webseiten verwendet
werden, sodass ein Webbrowser die einzige Anwendung auf den Rechnern
sein wird.
Sie nehmen die Rechner in die Active Directory-Domäne auf, erstellen eine
neue Organisationseinheit (OU) mit der Bezeichnung Eingeschränkte
Rechner und platzieren die fünf Computerkonten in dieser
Organisationseinheit. Sie konfigurieren die Rechner so, dass jedes Mal,
wenn ein Rechner hochgefahren wird, sich automatisch ein Benutzer mit
der Bezeichnung Eingeschränkter Benutzer anmeldet. Das Konto
Eingeschränkter Benutzer hat weder auf den Rechnern noch auf der
Domäne administrative Rechte.
Sie müssen die fünf Rechner so konfigurieren, dass auf öffentliche
Webseiten, jedoch nicht auf andere Anwendungen zugegriffen werden
kann. Diese Einschränkungen soll andere Benutzer oder Rechner im
Netzwerk nicht betreffen.
Was sind zwei mögliche Wege das Ziel zu erreichen? Was müssen Sie tun?
(Jede richtige Antwort stellt eine komplette Lösung dar. Wählen Sie zwei.)
- 479 -
A

B

dass es nur auf das Konto Eingeschränkte Benutzer
angewendet wird.
C

Rechner. Sie konfigurieren die Gruppenrichtlinie so, dass
sie alle Benutzer der lokalen Gastgruppe der fünf
Windows XP Rechner enthält.
D

dass diese nur auf das Konto Eingeschränkter Benutzer
angewendet wird.
E

Sie erstellen eine Gruppenrichtlinie (GPO) und verbinden
Richtige Antworten:
D und E
Begründung
Die Computer sind so konfiguriert, dass beim Hochfahren das Konto
Eingeschränkter Benutzer automatisch angemeldet wird. Man muss eine
Gruppenrichtlinie so konfigurieren, dass nur der Internet Explorer
ausgeführt werden kann. Zum einen kann man diese Gruppenrichtlinie mit
der Domäne verbinden und unter Verwendung von
Sicherheitsberechtigungen sicherstellen, dass die Richtlinie nur auf das
Konto Eingeschränkter Benutzer angewendet wird (Lösung D). Dadurch
- 480 -
wird erreicht, dass die Gruppenrichtlinie auf den eingeschränkten
Rechnern wirksam wird.
Diese Computer befinden sich in der Organisationseinheit Eingeschränkte
Rechner. Deshalb wäre die andere Lösung die Verknüpfung der
Gruppenrichtlinie mit dieser Organisationseinheit. Das stellt sicher, dass
die Gruppenrichtlinie auf keinem anderen Computer angewendet wird. Da
es sich um Computerkonten handelt, wird normalerweise nur die
Computerkonfiguration wirksam. Die Internet Explorer Einstellungen
befinden sich aber im Benutzerteil der Gruppenrichtlinie. Man kann die
Benutzerkonfiguration unter Verwendung des
Loopbackverarbeitungsmodus auf das Konto Eingeschränkter Benutzer
anwenden.
Im Loopbackverarbeitungsmodus kann man sich zwischen Ersetzen oder
Zusammenführen von benutzerspezifischen Richtlinien entscheiden. Der
Modus Ersetzen ersetzt alle normalen Richtlinieneinstellungen eines
Benutzers mit den Richtlinieneinstellungen, die in der
Benutzerkonfiguration der Gruppenrichtlinie, die auf den Computer
angewendet wird, definiert sind. Der Modus Zusammenführen verbindet
alle normalen Richtlinieneinstellungen des Benutzers mit den
Loopbackeinstellungen. Bei einem Konflikt zwischen einem
Richtliniengegenstand der normalen Richtlinieneinstellungen des
Benutzers und den Loopbackeinstellungen wird die Loopbackeinstellung
angewendet.
Die Aufgabe ist wieder einmal sehr raffiniert formuliert: Man muss hier
genau nachdenken, um alle Fallen zu erkennen. In Antwort A wird die
Gruppenrichtlinie mit der Domäne verknüpft. Dieser Fall ist ziemlich
eindeutig, das heißt, die Benutzerkonfiguration würde auf alle
Benutzerkonten innerhalb der Domäne angewendet. Der
Loopbackverarbeitungsmodus ist hier überflüssig.
In Antwort B, die auf den ersten Blick richtig erscheint, wird die
Gruppenrichtlinie mit der Organisationseinheit Eingeschränkte Rechner
verknüpft. Wie oben beschrieben, wird in diesem Fall nur die
Computerkonfiguration wirksam. Die Einschränkung auf den Internet
Explorer hätte keine Wirkung.
Lösungsmöglichkeit C geht auch von einer Verknüpfung der
Gruppenrichtlinie mit der Organisationseinheit Eingeschränkte Rechner
aus. Hier trifft praktisch dasselbe zu wie bei Antwort B. Die Einschränkung
auf die lokale Gruppe Gast der fünf eingeschränkten Rechner ist natürlich
Unsinn.
Man kann sich fragen, warum in Antwort E keine Einschränkung der
Berechtigungen auf das Benutzerkonto Eingeschränkter Benutzer
vorgesehen ist. Der Grund ist aus der Aufgabenstellung ersichtlich. Die
Gruppenrichtlinie wird auf die fünf eingeschränkten Rechner angewendet.
Die Anmeldung erfolgt automatisch beim Rechnerstart mit dem Konto
- 481 -
Eingeschränkter Benutzer. Damit funktioniert die ganze Geschichte
scheinbar. Sollte sich allerdings der Administrator an einem dieser
Rechner anmelden, so wird diese Einschränkung auch für ihn wirksam. Die
Lösung ist also nicht besonders raffiniert! Man sollte die Anmeldung für
andere Benutzer an diesen Rechnern sperren und die Anwendung der
Richtlinie für den Administrator verbieten.
Hilfe
Verwaltungsprogramme\Gruppenrichtlinien – Weitere Information zu
Gruppenrichtlinien,
Gruppenrichtlinien\Reihenfolge der Gruppenrichtlinien\Reihenfolge bei
der Verarbeitung
MS Training
- 482 -
Frage 120
2003.
Sie planen die Implementierung neuer Gruppenrichtlinien (GPOs).
Die Buchführungs- und die Forschungsabteilung haben jeweils eine eigene
Organisationseinheit (OU). Die Buchführungsabteilung unterteilt sich in die
Abteilungen Kreditoren und Debitoren. Die Organisationseinheit
Buchführung enthält somit die Organisationseinheiten Kreditoren und
Debitoren. Benutzerkonten befinden sich in den Organisationseinheiten
Buchführung, Kreditoren, Debitoren und Forschung.
MVSNET.DE.
Sie planen die Erstellung einer Gruppenrichtlinie mit der Bezeichnung
Passwort, um das Minimum der Passwortlänge und das Passwortalter zu
konfigurieren. Sie müssen sich für die richtige Platzierung der
Gruppenrichtlinien Passwort und Software entscheiden, während die
Anmeldezeiten für die Benutzer an die Domäne minimiert werden.
Womit sollten Sie die Gruppenrichtlinien Passwort und Software
verknüpfen?
- 483 -
Richtige Antwort
Begründung
- 484 -
Die Gruppenrichtlinie Software muss auf die Organisationseinheit
Buchführung angewendet werden. Diese Richtlinie wird dann auch in den
Organisationseinheiten Kreditoren und Debitoren (die ebenfalls
Benutzerkonten enthalten) angewendet.
MVSNET.DE. Sie planen die Erstellung einer Gruppenrichtlinie mit der
Bezeichnung Passwort, um das Minimum der Passwortlänge und das
Passwortalter zu konfigurieren. Da aus der Aufgabenstellung nicht
hervorgeht, ob sich auch das Computerkonto des Domänencontrollers in
einer der Organisationseinheiten befindet, müssen die Kennwortrichtlinien
für Benutzerkonten auf Domänenebene angewendet werden. Die
Kennwortrichtlinien befinden sich in der Computerkonfiguration der
Gruppenrichtlinien. Die Richtlinien haben keinen Einfluss auf die
Computerkonten der Domäne, wenn sie auf irgendeiner anderen Ebene
angewendet werden.
Hilfe
• Sicherheit\Authentifizierung\Kennwörter\So wir es
gemacht\Anwenden und Ändern von Kennwortrichtlinien
MS Training
- 485 -
Frage 121
Server 2003. Alle Server, die nicht als Domänencontroller fungieren,
befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung
Server. Alle Benutzerkonten befinden sich in einer Organisationseinheit
mit der Bezeichnung Konten.
Die Abteilung Krankenversicherung besitzt Server, die medizinische
Einträge von Kunden speichern. Diese Server enthalten Informationen, die
ständig überwacht werden müssen. Ein Prüftool, das nicht von Microsoft
stammt, ist auf diesen Servern zur Überwachung der
Kundeninformationen installiert. Nur eine kleine Anzahl lokaler
Benutzerkonten hat auf jedem Server Zugriff auf die zu prüfenden
Informationen.
Aus rechtlichen Gründen muss die Krankenversicherungsabteilung ihre
Kontosperrungs- und Kennworteinstellungen für die lokalen
Benutzerkonten auf den Servern ändern. Sie müssen sicherstellen, dass
die Server die Sicherheitsanforderungen weiterhin erfüllen. Sie wollen
diese Aufgabe mit dem Minimum an administrativen Aufwand erfüllen.
- 486 -
A
{
EISSNER-EDV.DE. Anschließend nehmen Sie die Server
als Mitglieder der neuen Domäne auf. Sie erstellen eine
B
{
EISSNER-EDV.DE. Anschließend nehmen Sie die
Benutzerkonten der Krankenversicherungsabteilung als
Mitglieder der neuen Domäne auf. Sie erstellen eine
C
{
Sie erstellen eine neue Organisationseinheit unterhalb der
Organisationseinheit Server. Anschließend nehmen Sie die
Server als Mitglieder der neuen Organisationseinheit auf.
Sie erstellen eine Gruppenrichtlinie (GPO), die die
D
{
Sie erstellen eine neue Organisationseinheit unter der
Organisationseinheit Konten. Anschließend nehmen Sie
die Server als Mitglieder der neuen Organisationseinheit
auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die
Richtige Antwort: C
Begründung
Es muss eine neue Organisationseinheit für die Server erstellt und die
Server anschließend in diese Organisationseinheit verschoben werden.
Dann kann man ganz einfach die neuen Einstellungen, unter Verwendung
einer Gruppenrichtlinie, auf sie anwenden kann. Normalerweise werden
die Kontosperrungs- und Kennworteinstellungen für
Domänenbenutzerkonten auf Domänenebene angewendet (für globale
Benutzeranmeldung). In diesem Fall erfolgt die Anmeldung jedoch über
lokale Benutzerkonten der Server. Bei dieser Aufgabe müssen die
Kontosperrungs- und Kennworteinstellungen für lokale Benutzerkonten
konfiguriert werden. Das erreicht man, indem man eine Gruppenrichtlinie
mit der Organisationseinheit verbindet, welche die Server enthält.
Das Einrichten einer zusätzlichen Domäne, wie in Antwort A und B, ist
überflüssig. Eine zusätzliche Organisationseinheit ist voll ausreichend.
Verknüpft man die Gruppenrichtlinie mit der Organisationseinheit Konten,
dann ist das Ergebnis = NULL. Die Einstellungen befinden sich im Bereich
- 487 -
der Computerkonfiguration der Richtlinie. Da der Domänencontroller sich
aber standardmäßig im Container Domain Controllers befindet, hätte die
Richtlinie keine Wirkung. Die Gruppenrichtlinie müsste auf die Domäne
angewendet werden. Aber auch dann wäre Antwort D falsch, da in
unserem Fall die lokalen Benutzerkonten der Server eingestellt werden
sollen.
Hilfe
• Sicherheit\Authentifizierung\Kennwörter\So wir es
gemacht\Anwenden und Ändern von Kennwortrichtlinien
MS Training
- 488 -
Frage 122
Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine einzelne Domäne mit der Bezeichnung
MVSNET.DE enthält. Es sind unter anderem die Organisationseinheiten
(OUs) Servicepersonal und Domänenadmins in der Domäne vorhanden.
Auf allen Clientrechnern läuft Windows XP Professional. Alle
Clientrechnerkonten befinden sich in der Organisationseinheit MVS
Rechner. Ihr Benutzerkonto ist Mitglied der Sicherheitsgruppe DomänenAdmins. Alle Benutzerkonten der Sicherheitsgruppe Domänen-Admins
befinden sich in der Organisationseinheit Domänenadmins.
Alle Benutzer des Servicepersonals besitzen Benutzerkonten, die Mitglied
in der Sicherheitsgruppe SrvDeskGrp sind. Alle Benutzerkonten dieser
Gruppe befinden sich in der Organisationseinheit Servicepersonal. Sie
verwenden die Gruppenrichtlinienmanagementkonsole, um eine
Gruppenrichtlinie mit der Bezeichnung Install Admin Tools, zu erstellen.
Sie konfigurieren die Gruppenrichtlinie wie folgt:
Sie erstellen ein Softwareinstallationspaket, das das Windows Server 2003
Administrationstool-Paket (adminpak.msi) den Benutzern zuweist.
Sie verknüpfen die Gruppenrichtlinie mit der Organisationseinheit IT
Benutzer.
Sie entfernen die vordefinierte Gruppe Authentifizierte Benutzer aus der
Liste der Benutzer und Gruppen, die für die Gruppenrichtlinie
Berechtigungen haben.
Sie geben der Sicherheitsgruppe SrvDeskGrp Berechtigung zum Lesen der
Gruppenrichtlinie.
Benutzer des Servicepersonals berichten, dass das administrative Tool,
das zum Arbeiten benötigt wird, nicht installiert ist. Sie verwenden die
Gruppenrichtlinienmanagementkonsole, um den Verlauf der
Gruppenrichtlinienanwendung von einem betroffenen Benutzer zu
untersuchen. Wenn Sie sich an einen Rechner anmelden, der
normalerweise von einem Servicepersonal-Benutzer verwendet wird, sind
automatisch alle administrativen Tools verfügbar.
Sie müssen sicherstellen, dass administrative Tools für alle Benutzer, die
Konten in der Organisationseinheit IT Benutzer haben, über
Gruppenrichtlinien installiert werden können, ohne dass die
administrativen Berechtigungen der Benutzer erhöht werden.
- 489 -
A
{
Sie verbinden die Gruppenrichtlinie Install Admin Tools
mit der Organisationseinheit Servicepersonal. Sie
verschieben die Computerkonten der Rechner, die von
den Benutzern des Servicepersonals verwendet werden,
in die Organisationseinheit Servicepersonal.
B
{
Sie ändern die Sicherheitsfilterung der Gruppenrichtlinie
Install Admin Tools so, dass die Sicherheitsgruppe
SrvDeskGrp die Richtlinie anwenden kann.
C
{
Sie verschieben die Sicherheitsgruppe SrvDeskGrp in die
Organisationseinheit Domänenadmins.
D
{
Sie modifizieren die Gruppenrichtlinie so, dass das
Administrationstoolpaket den Computern, und nicht den
Benutzern, zugewiesen wird.
Richtige Antwort: B
Begründung
Um eine Gruppenrichtlinie einem Benutzer bzw. einer Gruppe zuzuweisen,
muss der Benutzer bzw. die Gruppe die Berechtigung zum Lesen und
Anwenden dieser Gruppenrichtlinie besitzen. In dieser Aufgabe besitzt die
Sicherheitsgruppe SrvDeskGrp, die die Servicepersonal-Benutzerkonten
beinhaltet, keine Berechtigung zum Anwenden der Gruppenrichtlinie (das
Recht Lesen reicht nicht aus). Um die Anwendung der Gruppenrichtlinie zu
ermöglichen, muss man die Berechtigungen so modifizieren, dass die
Gruppe SrvDeskGrp die Berechtigung zum Anwenden der
Gruppenrichtlinie (Gruppenrichtlinie übernehmen) erhält.
Das Verknüpfen der Gruppenrichtlinie mit der Organisationseinheit
Servicepersonal aus Antwort A ist nicht nötig, da diese der
Organisationseinheit IT Benutzer untergeordnet ist und damit die
Richtlinieneinstellungen von der übergeordneten Organisationseinheit
erbt. Hier liegt nicht die Ursache des Problems.
Auch das Verschieben der Gruppe SrvDeskGrp in die Organisationseinheit
Domänenadmins beschert keinen Erfolg. Da die Gruppenrichtlinie auf
beide untergeordnete Organisationseinheiten vererbt wird, ist es in diesem
Fall unerheblich, in welcher Organisationseinheit sich die Gruppe
SrvDeskGrp befindet. Deshalb ist C falsch. Die Clientrechner befinden sich
alle in der Organisationseinheit MVS Rechner. Deshalb würde es nichts
bewirken, wenn man das Administrationstoolpaket den Computern, und
nicht den Benutzern zuweist und anschließend die Gruppenrichtlinie mit
der Organisationseinheit IT Benutzer verbindet. Damit scheidet auch
Lösungsweg D aus.
Hilfe
- 490 -
Verwaltungsprogramme\Gruppenrichtlinien
MS Training
- 491 -
Frage 123
implementieren eine neue Windows Server 2003-Netzwerkumgebung. Sie
installieren die Stammdomäne einer Active Directory-Gesamtstruktur mit
der Bezeichnung EISSNER-EDV.DE. Anschließend installieren Sie den
ersten Domänencontroller mit der Bezeichnung »FDEDC001«. Sie
konfigurieren »FDEDC001« als DHCP-Server und als einen Active
Directory-integrierten DNS-Server mit dynamischen Updates. Später
installieren Sie einen weiteren Domänencontroller mit der Bezeichnung
»FDEDC002«.
Sie können die Domänenfunktionsebene nicht auf Windows Server 2003
erhöhen. Sie stellen fest, dass die SRV-Einträge von »FDEDC001« in der
EISSNER-EDV.DE-Zone auf dem DNS-Server nicht vorhanden sind.
Sie führen das Tool dcdiag auf »FDEDC001« aus und erhalten folgendes
Ergebnis:
Sie müssen die Domänenfunktionsebene auf Windows Server 2003
erhöhen können.
- 492 -
A
{
Sie konfigurieren »FDEDC002« zu einem globalen
Katalogserver.
B
{
Sie verwenden das Utility DHCP-Server Lokator, um
herauszufinden, welche DHCP-Server in der EISSNEREDV.DE-Zone verfügbar sind.
C
{
Sie starten den Netlogon-Dienst auf »FDEDC001«.
D
{
Sie starten den DNS-Server-Dienst auf »FDEDC001« neu,
um den DNS-Clients das Auflösen der Hostnamen zu
ermöglichen, damit Namensabfragen und
Aktualisierungsanforderungen beantwortet werden.
Richtige Antwort: C
Begründung
Der Versuch, die Funktionsebene zu erhöhen, schlug fehl, da der
Domänencontroller nicht im Netzwerk gefunden werden konnte. Die Frage
sagt aus, dass die SRV-Einträge von »FDEDC001« in der EISSNEREDV.DE-Zone auf dem DNS-Server nicht vorhanden sind. Der NetlogonDienst auf einem Domänencontroller registriert die DNS-SRV-Einträge, die
für die Dienste des Domänencontrollers benötigt werden, um 24 Stunden
im Netzwerk präsent zu sein.
Das Schaubild zeigt, dass der Netlogon-Dienst auf »FDEDC001« nicht
ausgeführt wird. Um die Registrierung der SRV-Einträge, die vom
Netlogon-Dienst durchgeführt wird, zu initiieren, kann man den NetlogonDienst neu starten.
Der Domänencontroller »FDEDC002« muss kein globaler Katalogserver
sein, damit ein Hochstufen der Funktionsebene möglich ist. Ebenso wenig
hat das Problem mit dem DHCP-Server zu tun. Damit fallen die Antworten
A und B nicht in die engere Wahl. Auch am DNS-Server kann es nicht
liegen, da ja der Name des Servers (»FDEDC001«) aufgelöst wird.
Anderenfalls würde das Schaubild andere Fehlermeldungen bringen.
Außerdem ist aus dem Schaubild ziemlich genau die Fehlerursache zu
erkennen.
Hilfe
• Netzwerkdienst\Verwalten der
Hauptnetzwerkdienste\DNS\Konzepte\Verwalten von DNS\Verwalten
von Zonen\Verwalten von Ressourceneinträgen
MS Training
- 493 -
- 494 -
Frage 124
Das Netzwerk enthält drei Windows Server 2003 Domänencontroller mit
den Bezeichnungen »FDEDC001«, »FDEDC002« und »FDEDC003«.
»FDEDC001« ist der Schemamaster und Domänennamenmaster.
»FDEDC002« ist RID-Master, »FDEDC003« fungiert als PDCEmulatormaster und Infrastrukturmaster.
»FDEDC002« fällt aus und lässt sich nicht mehr starten. Sie melden sich
als Administrator an »FDEDC003« an und übernehmen die RID-MasterFunktion. Später ist »FDEDC002« repariert und kann wieder online gehen.
Sie wollen, dass »FDEDC002« erneut die RID-Master-Funktion erhält.
A
{
Sie starten »FDEDC002« neu, während dieser mit dem
Netzwerk verbunden ist. Sie verwenden das Utility
Netzwerk.
B
{
Sie starten »FDEDC002« neu, während dieser nicht mit
dem Netzwerk verbunden ist. Sie verwenden das Utility
Netzwerk.
C
{
neu. Anschließend stellen Sie den Systemstatus vom
aktuellsten Backup von »FDEDC002« wieder her. Danach
verbinden Sie »FDEDC002« erneut mit dem Netzwerk.
D
{
neu. Dann stufen Sie »FDEDC002« zum
Domänencontroller hoch. Anschließend übertragen Sie die
RID-Master-Funktion auf »FDEDC002«.
Richtige Antwort: D
Begründung
Ein Domänencontroller, dessen RID-Master-Funktion übernommen wurde,
darf nie wieder online gehen. Man kann keine zwei RID-Master in einer
Domäne betreiben. In diesem Szenario wurde die RID-Master-Funktion
durch »FDEDC003« übernommen. Um »FDEDC002« wieder online zu
bringen, muss man ihn als Domänencontroller ohne Betriebmasterfunktion
reaktivieren. Der einzige Weg, um dies zu tun, ist die Neuinstallation des
Betriebssystems und die Heraufstufung des Servers zu einem
- 495 -
Domänencontroller. Wenn der Domänencontroller wieder online ist (ohne
Betriebsmasterfunktion, auch FSMO genannt), kann man
Betriebsmasterfunktionen zu ihm übertragen.
Der in Antwort A und B beschriebene Weg würde dazu führen, dass zwei
RID-Master in der Domäne existieren. Da aber nur ein RID-Master in einer
Gesamtstruktur zulässig ist, würde das nicht funktionieren. Das
Zurückspielen des Systemstatus aus dem letzten Backup würde die RIDMasterfunktion auf »FDEDC002« zwar wiederherstellen, aber wären dann
auch zwei RID-Master in der Domäne vorhanden. Deshalb ist Antwort C
falsch.
Hilfe
Gesamtstrukturen\Reagieren auf Betriebsmasterausfälle
Gesamtstrukturen\Übertragen von Betriebsmasterfunktionen
Betriebsmasterfunktionen\Übernehmen der
Betriebsmasterfunktionen\Übernehmen der RID-Masterfunktion
MS Training
- 496 -
Simulationen
- 497 -
Simulation 1
besteht aus der Active Directory-Domäne MVSNET.DE mit einer auf
Geschäftsfunktionen basierende OU-Struktur. OUs auf erster Ebene sind
Consulting, Geschäftsleitung und Verlag. Diese beinhalten weitere Objekte
wie Benutzer und Computerkonten, Gruppen, Anwendungen und weitere
Organisationseinheiten. Für die Abteilung Verlag befinden sich die
Computerkonten in der Organisationseinheit (OU)
mvsnet.de/Verlag/Computer, die Benutzerkonten entsprechend in der OU
mvsnet.de/Verlag/Users. Da die Mitarbeiter aus dem Bereich Consulting
und Verlag abteilungsübergreifend Tätig sind, verfügen diese über ein
servergespeichertes Benutzerprofil und sind in der Lage, sich von jedem
Computer aus an der Domäne anzumelden.
Ein Administrator erstellt eine Gruppenrichtlinie mit der Bezeichnung
Softwarebereitstellung und verteilt damit die Paketdatei deploy.msi, die
sich im lokalen Pfad C:\Software befindet, an alle Clientrechner der
gesamten Domäne MVSNET.DE.
Nun berichten Ihnen die Mitarbeiter, dass sie von den
Arbeitsplatzrechnern im Verlag aus das Installationspaket deploy.msi
nicht ausführen können. Sie müssen sicherstellen, dass in der gesamten
Domäne für diejenigen Verlagsmitarbeiter, die Mitglieder der Gruppe
Mitarbeiter Verlag sind, das Ausführen des .msi-Pakets unterbunden wird.
Dies muss selbst dann gewährleistet sein, wenn das Installationspaket
umbenannt wird. Alle anderen Mitarbeiter benötigen dieses .msi-SetupPaket, ungeachtet davon, von welchen Computern aus sie sich an der
Domäne anmelden.
Sie melden sich lokal am Server »MVSSRV001« an und erstellen eine neue
Gruppenrichtlinie mit der Bezeichnung Softwareeinschränkung, die der
geforderten Situation gerecht wird. Sie erstellen nur unbedingt nötige
Verknüpfungen mit GPOs und keine weiteren Verarbeitungsausnahmen.
- 498 -
Richtige Antwort:
In dieser Simulation geht es im Wesentlichen um die folgenden Punkte:
Das Erstellen einer Zertifikatsregel für Mitglieder der Gruppe Mitarbeiter
Verlag, das Filtern des GPO-Bereichs mithilfe von Sicherheitsgruppen und
das Festlegen der Prioritäten.
Über das Menü Start - Verwaltung oder Start - Alle Programme Verwaltung öffnen Sie das SnapIn Gruppenrichtlinienverwaltung.
Im SnapIn Gruppenrichtlinienverwaltung erweitern Sie die Domäne
MVSNET.DE. Mit einem Maus-Rechtsklick auf MVSNET.DE erscheint ein
Menü, dort klicken Sie auf Gruppenrichtlinienobjekt hier erstellen
und verknüpfen. Im Dialogfeld Neues Gruppenrichtlinienobjekt
geben Sie den Namen Softwareeinschränkung ein und klicken auf OK.
Sie klicken auf die Schaltflächen Nach oben und verschieben damit das
GPO Softwareeinschränkung in der Verknüpfungsreihenfolge vor das GPO
Softwarebereitstellung. Windows Server 2003 verarbeitet GPOs in der
Liste von unten nach oben, wobei das oberste GPO die endgültige
Autorität besitzt.
Mit einem Maus-Rechtsklick auf das GPO Softwareeinschränkung, gefolgt
von einem Klick auf Bearbeiten, öffnen Sie den GruppenrichtlinienobjektEditor.
Zum Konfigurieren der Gruppenrichtlinieneinstellungen erweitern Sie in
der Konsolenstruktur die Knoten Benutzereinstellungen, WindowsEinstellungen und Sicherheitsrichtlinien und klicken mit der rechten
Maustaste auf Richtlinien für Softwareeinschränkungen. Nach dem
Klick auf Neue Richtlinien für Softwareeinschränkungen erstellen
klicken Sie mit der rechten Maustaste auf Zusätzliche Regeln und
wählen Neue Zertifikatregel.
Darauffolgend erscheint das Eigenschaftendialogfeld Neue
Zertifikatregel mit der Standardeinstellung Nicht erlaubt. Das
bedeutet, dass ungeachtet der Zugriffsrechte des Benutzers, der am
Computer angemeldet ist, die Ausführung der Software verhindert wird.
Diese Einstellung wird für die Gruppe Mitarbeiter Verlag benötigt, deshalb
übernehmen Sie die Einstellung.
Sie klicken auf Durchsuchen, navigieren im Dialogfeld Öffnen zum
lokalen Pfad C:\Software\ und wählen die digitale Signatur der Paketdatei
deploy.msi aus. Dazu ist es notwendig, um das Installationspaket
sichtbar zu machen, die Standarddateitypen *.cer und *.crt auf
Signierte Dateien oder Alle Dateien abzuändern. Öffnen Sie das Paket
deploy.msi mit einem Doppelklick oder durch das Markieren mit der
linken Maustaste und einem Klick auf die Schaltfläche Öffnen.
Übernehmen Sie die Änderungen im Dialogfeld Neue Zertifikatregel mit
- 499 -
einem Klick auf Übernehmen und auf OK. Schließen Sie den
Gruppenrichtlinienobjekt-Editor.
Wenn noch nicht geschehen, ändern Sie nun die Verknüpfungsreihenfolge
der GPOs. Mit den Schaltflächen Nach oben oder Nach unten
verschieben Sie das GPO Softwareeinschränkung in der
Verknüpfungsreihenfolge vor das GPO Softwarebereitstellung. Wie schon
erwähnt, verarbeitet Windows Server 2003 GPOs in der Liste von unten
nach oben, wobei das oberste GPO die endgültige Autorität besitzt.
Zum Filtern des GPO-Bereichs mithilfe von Sicherheitsgruppen klicken Sie
in der linken Hälfte des SnapIns Gruppenrichtlinienverwaltung auf das
GPO Softwareeinschränkung. In der rechten Hälfte unter
Sicherheitsfilterung markieren Sie mit der linken Maustaste die
Authentifizierten Benutzer und klicken auf Entfernen. Bestätigen Sie
den Dialog der Gruppenrichtlinienverwaltung mit einem Klick auf OK.
Im Abschnitt Sicherheitsfilterung klicken Sie auf Hinzufügen und
geben den Namen der Sicherheitsgruppe Mitarbeiter Verlag in das
Dialogfeld Benutzer, Computer oder Gruppe wählen ein. Sie klicken
auf Namen überprüfen, bestätigen Ihre Eingabe mit einem Klick auf OK
und befinden sich wieder im SnapIn Gruppenrichtlinienverwaltung.
Vererbung von Gruppenrichtlinien aktivieren
Um die Gruppenrichtlinien auf die OU Verlag anzuwenden und ohne
weitere Verknüpfungen zu erstellen, ist es notwendig, die
Gruppenrichtlinienvererbung zu aktivieren. Dazu klicken Sie mit der
rechten Maustaste auf die OU Verlag und entfernen die Markierung bei
Vererbung deaktivieren. Unter der Registerkarte Gruppenrichtlinie
sehen Sie die geerbten Gruppenrichtlinien. Über das Menü Datei Beenden schließen Sie das SnapIn Gruppenrichtlinienverwaltung.
Nachdem Sie diese Konfigurationsschritte ausgeführt haben, sind alle
Anforderungen erfüllt, und die Simulation ist erfolgreich beendet.
Hilfe
• Aktivieren von Zertifikatregeln: Richtlinien für Softwareeinschränkung
• Übersicht über Richtlinien für Softwareeinschränkung: Richtlinien für
Softwareeinschränkung
• Erstellen einer Zertifikatregel: Richtlinien für Softwareeinschränkung
• Empfehlungen: Richtlinien für Softwareeinschränkung
MS Training
- 500 -
Simulation 2
besteht aus einer Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Die Domäne beinhaltet die folgenden vier
Organisationseinheiten (OUs), aufgeteilt nach geografischen Gebieten, in
denen die Firma tätig ist:
•
•
•
•
Ost
OstConsulting
West
WestConsulting
Das Benutzerkonto für Michael Völk befindet sich momentan in der OU
OstConsulting.
Gegenwärtig sind einige Gruppenrichtlinienobjekte (GPOs) konfiguriert
und wie folgt mit den OUs verknüpft (GPO-Verarbeitungsausnahmen
wurden nicht konfiguriert):
Organisationseinheit
Name der verknüpften GPO
Ost
GPO1, GPO2
OstConsulting
West
GPO3, GPO4
WestConsulting
GPO5
Sie müssen gewährleisten, dass folgende Anforderungen erfüllt werden:
• GPO1 und GPO2 werden auf Objekte innerhalb der OU OstConsulting
angewendet,
• GPO3, GPO4 und GPO5 werden auf die Objekte innerhalb der OU
WestConsulting angewendet,
• GPO3, GPO4 und GPO5 werden nur auf das Benutzerkonto von
Michael Völk angewendet.
Sie verfügen nicht über die Berechtigung, GPO-Verknüpfungen zu
modifizieren, zu löschen oder neu zu erstellen. Sie müssen die Objekte im
Active Directory so organisieren, dass die Anforderungen erfüllt werden.
- 501 -
Richtige Antwort:
Nachdem die standardmäßige Reihenfolge der Verarbeitung von
Gruppenrichtlinien nicht geändert wurde, zum Beispiel durch
• Richtlinienvererbung deaktivieren
• kein Vorrang
• Loopback
o ersetzen oder
o zusammenführen,
werden die GPOs gemäß der Active Directory-Hierarchie angewendet:
•
•
•
•
Lokales GPO
Standort-GPO
Domänen-GPO
OU-GPOs.
Gruppenrichtlinien werden von übergeordneten an untergeordnete
Container weitergegeben, deshalb können die Anforderungen durch
Verschieben der OUs bzw. des Benutzerkontos erfüllt werden.
Um dies zu bewerkstelligen, starten Sie das SnapIn Active DirectoryBenutzer und -Computer über das Menü Start - Alle Programme Verwaltung oder Start - Verwaltung. Im SnapIn verschieben Sie die
Objekte, indem Sie in der Domänenstruktur mit einem Maus-Rechtsklick
auf die jeweilige OU oder das Benutzerkonto klicken.
In dem darauf folgenden Menü wählen Sie Verschieben und markieren
im nun erscheinenden Dialogfeld mit der rechten Maustaste den
entsprechenden Zielcontainer, in den das Objekt verschoben wird.
Eine weitere Möglichkeit, Objekte im SnapIn Active Directory-Benutzer
und -Computer zu verschieben, ist per Drag&Drop. Sie klicken dazu mit
der linken Maustaste auf das zu verschiebende Objekt, halten die
Maustaste gedrückt und ziehen das Objekt an die gewünschte Stelle.
Sobald der Zielcontainer blau hinterlegt ist, lassen Sie die Maustaste los.
Sie bestätigen das Active Directory-Dialogfeld, das Sie auf die
Konsequenzen des Verschiebens von Objekten hinweist, mit einem Klick
auf Ja.
Diese Vorgehensweise wiederholen Sie für die nachfolgend aufgeführten
Punkte, eine bestimmte Reihenfolge ist dabei nicht zu beachten:
- 502 -
• Um GPO1 und GPO2 auf Objekte innerhalb der OU OstConsulting
anzuwenden, verschieben Sie die OU OstConsulting in die OU Ost.
• Um GPO3, GPO4 und GPO5 auf die Objekte innerhalb der OU
WestConsulting anzuwenden, verschieben Sie die OU WestConsulting
in die OU West.
• Um GPO3, GPO4 und GPO5 nur auf das Benutzerkonto von Michael
Völk anzuwenden, verschieben Sie das Benutzerkonto in die OU
WestConsulting.
Mit dem Verschieben der Objekte sind die Anforderungen erfüllt, und die
Aufgabe ist gelöst.
Hilfe
• Organisationseinheiten: Active Directory
• Verschieben einer Organisationseinheit: Active Directory
MS Training
- 503 -
Simulation 3
Sie arbeiten als Enterpriseadministrator für die Firma MVS M. Völk
Systems. Das Unternehmen hat die Evaluierung einer Applikation beendet
und startet mit der neuen Active Directory-Applikation app2mvs. Diese
Applikation wird die bisherige Version app1mvs ablösen.
Folgende Anforderungen müssen erfüllt werden:
5. Die Active Directory-Klasse für app2mvs muss aktiviert werden und
für die Benutzung bereitstehen.
6. Die Active Directory-Klasse für app1mvs wird nicht länger benötigt.
7. Die Attribute der Applikation app2mvs müssen aktiviert und im
Verzeichnis platziert werden und im globalen Katalog vorhanden
sein. Die Suche nach Attributen muss sich sehr einfach gestalten.
8. Die Administration aller Attribute wird Michael Rauschert
(mvsnet.de/Consulting/Michael Rauschert), ein Mitarbeiter der
Consultingabteilung, übernehmen.
Als Antwort konfigurieren Sie in der Simulation die angemessenen
Optionen, damit die gestellten Anforderungen erfüllt werden.
- 504 -
Richtige Antwort:
In dieser Simulation geht es um das Erstellen und Konfigurieren einer
versteckten Freigabe.
Mit den folgenden Schritten werden die Anforderungen erfüllt:
1.
2.
3.
4.
5.
6.
Aktivieren des SnapIns Active Directory-Schema.
Öffnen des SnapIns Active Directory-Schema.
Aktivieren der Objektklassen von app2mvs.
Deaktivieren der Objektklassen von app1mvs.
Aktivieren der Attribute für app2mvs.
Mitarbeiter zur Gruppe der Schema-Administratoren hinzufügen.
Zum Aktivieren des SnapIns Active Directory-Schema geben Sie unter
Start - Ausführen regsvr32 schmmgmt.dll ein, um die .dll-Datei als
Befehlskomponente in der Registrierung für das Active Directory-Schema
zu registrieren.
Zum Öffnen des SnapIns Active Directory-Schema klicken Sie auf Start
- Ausführen, dann geben Sie mmc ein und klicken auf OK. Im
Konsolenstamm klicken Sie auf Datei-Snap-In hinzufügen/entfernen.
Im darauf erscheinenden Dialogfeld Eigenständiges Snap-In
hinzufügen markieren Sie unter Verfügbare eigenständige Snap-Ins
das SnapIn Active Directory-Schema. Klicken Sie auf Hinzufügen und
auf OK.
Zum Aktivieren der Objekt-Klassen von app2mvs erweitern Sie im
Konsolenstamm den Knoten Active Directory-Schema und Klassen. In
der rechten oder linken Hälfte des SnapIns klicken Sie mit der rechten
Maustaste auf den Anzeigenamen app2mvs. Damit rufen Sie ein Menü
auf, in dem Sie auf Eigenschaften klicken. Den Hinweis, dass
Änderungen erst vorgenommen werden dürfen, sobald das Objekt
aktiviert wird, bestätigen Sie mit einem Klick auf OK. Im Dialogfeld
Eigenschaften von app2mvs markieren Sie die Checkbox Klasse ist
aktiv, klicken auf Übernehmen und OK.
Zum Deaktivieren der Klassen von app1mvs erweitern Sie im
Konsolenstamm den Knoten Active Directory-Schema und Klassen. In
der rechten oder linken Hälfte des SnapIns klicken Sie mit der rechten
Maustaste auf den Anzeigenamen app1mvs. Daraufhin erscheint ein
Menü, dort klicken Sie auf Eigenschaften. Im Dialogfeld Eigenschaften
von app1mvs entfernen Sie die Markierung bei Klasse ist aktiv,
bestätigen den Warnhinweis mit einem Klick auf Ja und klicken auf
Übernehmen und OK.
Zum Aktivieren der Attribute für app2mvs erweitern Sie im
Konsolenstamm den Knoten Active Directory-Schema und Attribute.
Nachdem die Attribute für das Objekt erst aktiviert werden müssen, sind
sie in der normalen Ansicht ausgeblendet. In der Standardansicht werden
- 505 -
solche Objekte nicht angezeigt. Zum Sichtbarmachen der Objekte klicken
Sie auf Ansicht und Außer Kraft gesetzte Objekte. Nun sehen Sie das
Objekt app2mvs-attribute in der rechten SnapIn-Hälfte. Sie markieren
es mit der rechten Maustaste und klicken auf Eigenschaften. Es
erscheint ein Hinweis, den Sie mit einem Klick auf OK bestätigen.
In den Eigenschaften von app2mvs-attribute aktivieren Sie Attribut
ist aktiv, Attribut in Active Directory indizieren, Attribut in den
globalen Katalog replizieren und Attribut für Containersuche in
Active Directory indizieren. Mit einem Klick auf Übernehmen und OK
schließen Sie das Dialogfeld Eigenschaften.
Um den Mitarbeiter Michael Rauschert zur Gruppe der Schema-Admins
hinzuzufügen, öffnen Sie über Start - Alle Programme oder Start Verwaltung das SnapIn Active Directory-Benutzer und -Computer.
Navigieren Sie in der Domänenstruktur zu
mvsnet.de/Consulting/Michael Rauschert. Klicken Sie mit der
rechten Maustaste auf das Konto und im erscheinenden Menü auf
Eigenschaften. In den Eigenschaften des Benutzerkontos klicken Sie auf
die Registerkarte Mitglied von und dann auf Hinzufügen. Im Dialogfeld
Gruppe wählen klicken Sie auf Erweitert und im nächsten Fenster auf
Jetzt suchen. Im Feld Suchergebnisse scrollen Sie soweit nach unten,
bis der Eintrag Schema-Admins erscheint. Diesen markieren Sie mit
einem Mausklick und klicken auf OK. Im Fenster Gruppe wählen haben
Sie eine Übersicht; überprüfen Sie den Eintrag und bestätigen Sie ihn mit
einem weiteren Klick auf OK. Damit haben Sie der Sicherheitsgruppe das
weitere Mitglied hinzugefügt und sind zurück in den Eigenschaften von
Michael Rauschert. Schließen Sie mit einem Klick auf Übernehmen und
OK das Fenster und das SnapIn Active Directory-Benutzer und Computer.
Anmerkung zu Gruppen im Container Benutzer im Active Directory
Gruppe
Beschreibung
Standardbenutzerrechte
Schema-Admins
(wird nur in der
GesamtstrukturStammdomäne
angezeigt)
Mitglieder dieser
Gruppe können das
Active DirectorySchema ändern. Das
Konto Administrator
ist standardmäßig
Mitglied dieser
Gruppe
Keine Standardbenutzerrechte
Hilfe
- 506 -
• Ändern von Gruppenmitgliedschaften: Allgemeine
Verwaltungsaufgaben
• Empfehlungen für Active Directory-Schema: Active Directory
• Erweitern des Schemas: Active Directory
• Standardgruppen: Active Directory
MS Training
• 2. Auflage: Seiten 479f., 496, 1009
- 507 -