Der Völk für Windows Server 2003
Transcription
Der Völk für Windows Server 2003
����� ��� �� � ������ ���� �� ��� � � � � � �� �� ������� ���� ��� ����� ������ � DER VÖLK ����� ����� � � � ��� ����� ���� ����� � � � � � � �� �� ��� �� � �� � ��� � ���� ���� ��� �� �� ����� �� ��� � � � �� � ��� ��������� ������ ������ Planen, Implementieren und Warten einer Active Directory-Infrastruktur unter Microsoft Windows Server 2003 �� ���� ������� IMPRESSUM Impressum Bibliografische Information der Deutschen Bibliothek - CIP Einheitsaufnahme Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.ddb.de abrufbar. ISBN (10stellig) 3-938077-05-0 ISBN (13stellig) 978-3-938077-05-4 Version 1.0 1. Auflage 2006 © 2006 MVS Press Michael Völk Systems, Puchheim Text: Michael Völk, Dr. David Street Grafiken: Michael Völk, Dr. David Street, Kerstin Völk Fachlektorat: Andreas Hengge, München Sprachlektorat: Dr. Bernd Wollner, Küps, [email protected] Geschützte Warennamen (Warenzeichen) werden nicht immer kenntlich gemacht. Aus dem Fehlen eines solchen Hinweises kann nicht geschlossen werden, dass es sich um einen freien Warennamen handelt. Alle Rechte, insbesondere das Recht zur Vervielfältigung und Verbreitung sowie der Übersetzung, vorbehalten. Kein Teil des Werkes darf in irgendeiner Form (durch Fotokopie, Mikrofilm oder ein anderes Verfahren) ohne schriftliche Genehmigung des Verlages reproduziert werden. Der Verlag übernimmt keine Gewähr für die Funktion einzelner beschriebener Vorgänge oder von Teilen derselben. Insbesondere übernimmt er keinerlei Haftung für eventuelle, aus dem Gebrauch resultierende Folgeschäden. INHALTSVERZEICHNIS Inhaltsverzeichnis Impressum................................................................................. - 1 Vorwort ..................................................................................... - 3 Liebe Leserin, lieber Leser, ........................................................ - 3 Wie ist dieses Buch aufgebaut? .................................................. - 4 Wie sollten Sie dieses Buch nutzen?............................................ - 5 Danksagung ............................................................................ - 6 Kapitel 1 .................................................................................... - 7 Prüfungsfragen Examen 70-294 ................................................. - 7 Simulationen ........................................................................- 181 Kapitel 2 .................................................................................- 185 Lösungen und Begründungen für Examen 70-294 ......................- 185 Simulationen ........................................................................- 497 zur Onlinetestdatenbank - klick hier! VORWORT Vorwort Liebe Leserin, lieber Leser, willkommen beim E-Book von MVSPress „Der Völk für Windows Server 2003 – Prüfungsvorbereitung für das Examen 70-294“. Dieses E-Book wird ständig erweitert und angepasst. Aufgrund der Tatsache, dass wir das Buch als E-Book anbieten, können wir deutlich schneller auf Veränderungen und Modifizierungen reagieren. Sie als Käufer erhalten einen zeitlich unbegrenzten Zugriff auf die aktuelle Version. Einmal kaufen und immer wieder die neueste Version im Zugriff haben! Sobald eine neue Version bereitsteht, werden Sie hierüber per E-Mail informiert. In dieses Buch haben wir deshalb die Erfahrungen aller im Rahmen dieser Prüfungsvorbereitungen Beteiligten einfließen lassen. Damit erreichen wir einen direkten Bezug zur Prüfung, der sich allein schon in der Fragestellung widerspiegelt. Zudem haben wir uns um eine größtmögliche Aktualität bemüht. Sie finden daher in diesem Buch Fragen zum Examen, die Sie vermutlich in ähnlicher Form erst wieder in der Prüfung zu Gesicht bekommen. „Der Völk für Windows Server 2003“ kann die Praxis und Erfahrung rund um Windows Server 2003 nicht ersetzen. Auch wenn in der Vergangenheit manche Leser unsere Bücher auswendig gelernt und dadurch die einzelnen Examen bestanden haben, so ist dies nicht der richtige Weg. Setzen Sie sich mit der Thematik ausführlich auseinander und bringen Sie dieses erworbene Wissen in die Lektüre dieses Buchs mit ein. Dieses Buch ist ausschließlich zur Prüfungsvorbereitung gedacht und ersetzt kein Fachbuch, keine Schulung oder gar die Erfahrung mit dem Produkt. -3- VORWORT Wie ist dieses Buch aufgebaut? Die Kapitel 1 und 2 dienen der individuellen Vorbereitung auf die Prüfung. Das Kapitel 1 dient der Vorbereitung auf das Examen und enthält nur die Fragen und Lösungsvorschläge. Im Kapitel 2 finden Sie die gleichen Fragen und Lösungsvorschläge wieder. Neben der bloßen Angabe der richtigen Lösung/en erhalten Sie darüber hinaus eine Begründung, weshalb diese angegebene/n Lösung/en die richtige/re/n ist/sind, sowie Verweise auf die Original-Microsoft-Trainings („grüne Bücher“) und auf die Hilfe. Diese Hilfe wird oft unterschätzt; sie stellt jedoch eine Informationsquelle dar, die nicht nur kostenlos ist, sondern auch wirklich als Nachschlagewerk dienen kann. Wir geben im Kapitel 2 immer nur „MS-Training“ als Verweis an. Dieser Verweis bezieht sich auf das folgende Buch: Herausgeber: Microsoft Press Deutschland Titel: Verwalten und Warten einer Microsoft Windows Server 2003Umgebung – Original Microsoft Training 1. Auflage ISBN: 3-86063-932-3 2. Auflage ISBN: 3-86645-909-2 Wir geben hier jeweils (nach Verfügbarkeit) die Verweise auf die erste und die zweite Auflage der MS Trainings an. An dieser Stelle ein herzliches Dankeschön an Microsoft Press für die kostenlose Überlassung des MCSE Core Schubers für die Examen 70-290, 70-291, 70-293 und 70-294. Wir stellen Ihnen auf unserer Homepage http://www.mvspress.de zusätzliche Informationen bereit. Neben einer Übersicht der unterschiedlichen Fragentypen finden Sie dort Informationen rund um die Microsoft Zertifizierungen. Dort können Sie auch online Ihr Wissen testen und, fast wie bei der richtigen Prüfung, Ihr Wissen unter Beweis stellen. -4- VORWORT Wie sollten Sie dieses Buch nutzen? Arbeiten Sie bitte zuerst das Kapitel 1 durch und nutzen Sie alle Ihnen zugänglichen Informationsmedien, um die Fragen zu beantworten. Versuchen Sie bei jeder Frage, sich selbst zu erklären, warum z. B. der Lösungsvorschlag C besser ist als der Lösungsvorschlag A. Es heißt nicht umsonst: Wer lehrt, der lernt! Uns bleibt zu guter Letzt nur, Ihnen viel Erfolg und auch ein wenig Spaß beim erfolgreichen Durcharbeiten dieses Buches und viel Glück beim Examen 70-294, »Planen, Implementieren und Warten einer Active Directory-Infrastruktur unter Microsoft Windows Server 2003« zu wünschen. Weiteren Support (per Mail oder auch per Telefon) zu diesem Buch stellen wir nicht bereit, da in der Vergangenheit diese Möglichkeit von manchen Lesern zum persönlichen Training missbraucht wurde. Lassen Sie andere von Ihren Erfahrungen mit profitieren und mailen Sie Anregungen an [email protected]. Vielen Dank schon jetzt für Ihren Beitrag. -5- VORWORT Danksagung Wir möchten an dieser Stelle all denjenigen ein herzliches Dankeschön aussprechen, die an der Entwicklung dieses Buches mitgewirkt haben, insbesondere unseren Mitarbeitern, Freunden und Kollegen und natürlich auch unseren Teilnehmern. Ohne ihr Engagement und auch die konstruktive Kritik wäre dieses Buch nicht entstanden. Besonderen Dank möchten wir folgenden Freunden und Mitarbeitern für ihre konstruktive Mitarbeit aussprechen: Daniela Pelg und Kerstin Völk. Auch unsere Familien mussten Ihren Tribut für das Entstehen dieses Buches zollen, ein Dankeschön an unsere Ehefrauen und Kinder, die ihre Männer und Väter oft entbehren mussten. Zu guter Letzt möchten wir noch einen Hinweis auf das Cover geben. Wir haben als Hintergrund Detailaufnahmen von versteinertem Holz gewählt, weil ja im Englischen immer wieder vom „Forest(s)“ oder „Tree(s)“ gesprochen wird. Puchheim, im Dezember 2006 Michael Völk und Dr. David Street -6- PRÜFUNGSFRAGEN EXAMEN 70-294 Kapitel 1 Prüfungsfragen Examen 70-294 zur Onlinetestdatenbank - klick hier! -7- PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 1 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netz besteht aus einem Intranet und einem Grenznetzwerk. Das Grenznetzwerk enthält folgende Server: • einen Windows Server 2003 Web Edition-Server mit der Bezeichnung »MVSWEB001«, • einen Windows Server 2003 Standard EditionServer mit der Bezeichnung »MVSDCO002«, • einen Windows Server 2003 Enterprise Edition-Server mit der Bezeichnung »MVSDCO003«, • eine Webservergruppe, bestehend aus zwei Windows Server 2003 Web Edition Servern. Alle Server im Grenznetzwerk sind Mitglieder derselben Arbeitsgruppe. Das Planungsteam plant einen neuen Verzeichnisdienst zu erstellen, der alle Server des Grenznetzwerkes enthält. In der neuen Domäne sollen alle Webapplikationen des Grenznetzwerkes laufen. Das Planungsteam macht zur Auflage, dass die Domäne für das Grenznetzwerk fehlertolerant sein soll. Sie müssen einen oder mehrere Server aus dem Grenznetzwerk auswählen, die Sie zu einem Domänencontroller heraufstufen werden. Welche/n Server wählen Sie aus? A »MVSWEB001«. B »MVSDCO002«. C »MVSDCO003«. D Webservergruppe. -8- PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 2 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einem Verzeichnisdienst, wie in der folgenden Grafik dargestellt: Ihre Firma hat eine Sicherheitsrichtlinie erstellt, die definiert, dass alle Domänencontroller in VERTRIEB.MVSPRESS.DE die NTLMv2 LAN-ManagerAuthentifizierung verwenden müssen. Sie möchten, dass nur die Mitglieder der DOMÄNEN-ADMINS die Domänencontroller starten dürfen. Sie müssen die Domänencontroller in VERTRIEB.MVSPRESS.DE so konfigurieren, dass sie diesen Sicherheitsvorschriften entsprechen. Mit welchen zwei Aktionen können Sie das durchführen? (Jede richtige Antwort ist Teil der Lösung.) -9- PRÜFUNGSFRAGEN EXAMEN 70-294 A Sie importieren die standardmäßig vorhandene Sicherheitsvorlage rootsec.inf in die Gruppenrichtlinien für Domänencontroller in VERTRIEB.MVSPRESS.DE. B Sie importieren die standardmäßig vorhandene Sicherheitsvorlage rootsec.inf in die Gruppenrichtlinien für Domänen von VERTRIEB.MVSPRESS.DE. C Sie importieren die standardmäßig vorhandene Sicherheitsvorlage securedc.inf in die Gruppenrichtlinien für Domänencontroller in VERTRIEB.MVSPRESS.DE. D Sie importieren die standardmäßig vorhandene Sicherheitsvorlage securedc.inf in die Gruppenrichtlinien für Domänen von VERTRIEB.MVSPRESS.DE. E Sie führen das Tool syskey.exe auf jedem Domänencontroller in der Domäne VERTRIEB.MVSPRESS.DE aus. Im Auswahlfenster wählen Sie die Option Kennwort für den Systemstart aus. F Sie führen das Tool syskey.exe auf jedem Domänencontroller in der Domäne VERTRIEB.MVSPRESS.DE aus. Im Auswahlfenster wählen Sie die Option Systemstartschlüssel wird lokal gespeichert aus. - 10 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 3 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Domänencontroller führen Windows Server 2003 aus. Sie erstellen einen Wiederherstellungsplan für den „Fall der Fälle“ in Ihrer Firma. Die Domänencontroller werden jede Nacht mittels eines „normalen“ Backups gesichert. Die normale Sicherung umfasst die Sicherung des Systemstatus eines jeden Domänencontrollers. Ihr Notfallplan sollte folgende Definitionen berücksichtigen: • Wiederherstellen von Verzeichnisobjekten, die zufällig oder vorsätzlich gelöscht worden sind. • Der Verzeichnisdienst muss so schnell wie möglich in seiner aktuellsten Version wiederhergestellt werden können. • Der Zeitaufwand muss reduziert werden. Er sollte die Möglichkeit bieten, gelöschte Organisationseinheiten (OUs) wiederherstellen zu können. Welche zwei Aktionen sollte Ihr Notfallplan berücksichtigen? (Jede richtige Antwort ist ein Teil der Lösung.) A Den Domänencontroller im Modus für Verzeichniswiederherstellung starten. B Den Domänencontroller im abgesicherten Modus starten. C Sie benutzen das Tool ntdsutil, um eine autorisierende Wiederherstellung der Datenbank durchzuführen. D Wiederherstellen des Systemstatus mit der Option Alles Überschreiben. E Sie benutzen das Tool ntdsutil für eine autorisierende Wiederherstellung des entsprechenden Teilbereiches. - 11 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 4 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Alle Server im Netzwerk führen Windows Server 2003 und alle Clientcomputer Windows XP Professional aus. In der Domäne befinden sich zwei Domänencontroller, »MVSDCO001« und »MVSDCO002«. »MVSDCO001« ist der erste Domänencontroller der Domäne und verfügt über alle Betriebsmasterfunktionen. Sie beabsichtigen, »MVSDCO001« wegen Wartungsarbeiten wenige Stunden vom Netz zu nehmen. Ungeachtet davon, dass der Server »MVSDCO001« offline ist, wird ein anderer Administrator während dieser Zeit sehr viele neue Benutzerkonten erstellen. Mit so wenig wie möglichen Konfigurationsschritten müssen Sie sicherstellen, dass der Administrator seine Aufgaben durchführen kann. Welche Maßnahmen sollten Sie ergreifen? (Wählen Sie alle richtigen Antworten.) A Sie verbinden sich mit »MVSDCO002« und übertragen die PDC-Emulatorrolle auf den Server »MVSDCO002«. B Sie verbinden sich mit »MVSDCO002« und konfigurieren den Server »MVSDCO002« zum PDCEmulationsmaster. C Sie verbinden sich mit »MVSDCO002« und übertragen die Infrastrukturmasterrollen auf den Server »MVSDCO002«. D Sie verbinden sich mit »MVSDCO002« und konfigurieren die Infrastrukturmasterrollen auf dem Server »MVSDCO002«. E Sie verbinden sich mit »MVSDCO002« und übertragen die RID-Masterrolle auf den Server »MVSDCO002«. F Sie verbinden sich mit »MVSDCO002« und konfigurieren die RID-Masterrolle auf dem Server »MVSDCO002«. - 12 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 5 Sie sind ein Systemadministrator des Gästehauses Merk. Das Netzwerk besteht aus einer Verzeichnisstruktur mit der Bezeichnung GAESTEHAUSMERK.DE. Alle Server führen das Betriebssystem Windows Server 2003 aus. Ein Mitarbeiter des Helpdesks berichtet, dass ein Benutzerobjekt zufällig gelöscht wurde. Der Benutzer ist nicht mehr in der Lage, sich an der Domäne anzumelden und bekommt daher keinen Zugriff mehr auf seine Ressourcen im Netzwerk. Sie überprüfen diesen Sachverhalt und stellen fest, dass das Benutzerobjekt in der aktuellen Systemstatusdatensicherung vorhanden ist. Sie müssen dem Benutzer ermöglichen, sich an der Domäne anmelden zu können. Sie müssen zudem sicherstellen, dass der Benutzer wieder Zugriff auf alle benötigten Ressourcen bekommt. Was sollten Sie tun? A { Sie setzen einen neuen Domänencontroller auf. Sie stellen den Verzeichnisdienst des aktuellen Backups auf diesem Server wieder her. Sie initiieren eine manuelle Replikation. B { Sie vermindern das Garbage Collection Intervall. Sie führen eine nichtautorisierende Wiederherstellung des Verzeichnisdienstes unter Verwenden des aktuellsten Backups durch. C { Sie führen eine autorisierende Wiederherstellung des Verzeichnisdienstes unter Verwendung des aktuellsten Backups durch. Sie stellen das Benutzerobjekt, das gelöscht wurde, wieder her. D { Sie erstellen ein neues Benutzerobjekt mit demselben Benutzerprinzipalnamen (UPN), den das Benutzerobjekt hatte, das gelöscht wurde. Sie stellen dieses Benutzerobjekt zuverlässig wieder her. - 13 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 6 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihre Gesellschaft besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSPRESS.DE. Alle Clients in Ihrer Firma führen als Betriebssystem Windows XP Professional aus. Das Hauptbüro der Gesellschaft befindet sich in Nürnberg. Sie sind ein Netzwerkadministrator in einer Zweigstelle der Gesellschaft in Kronach. Sie erstellen eine Gruppenrichtlinie, die das Startmenü der Mitarbeiter in Kronach auf einen freigegeben Ordner auf einem Dateiserver umleitet. Mehrere Benutzer in Kronach berichten, dass viele der Programme, die sie normalerweise verwenden, in ihrem Startmenü fehlen. Die Programme waren im Startmenü am Vortag noch verfügbar, aber heute erschienen sie nicht, wenn sich die Benutzer angemeldet haben. Sie melden sich bei dem Computer eines Mitarbeiters an. Alle erforderlichen Programme erscheinen im Startmenü. Sie stellen sicher, dass die Mitarbeiter auf den gemeinsamen Ordner auf dem Dateiserver zugreifen können. Sie müssen herausfinden, warum sich das Startmenü für diese Mitarbeiter geändert hat. Welche zwei Möglichkeiten haben Sie, um dieses Ziel zu erreichen? (Jede richtige Antwort entspricht einer vollständigen Lösung. Wählen Sie zwei.) A Sie wählen in der Gruppenrichtlinienverwaltung (GPMC) den Dateiserver, auf dem der gemeinsame Ordner verwaltet wird, sowie ein Benutzerkonto, das in der Gruppe der Domänenadministratoren ist, und überprüfen dies mithilfe des Richtlinienergebnissatzes. B Sie wählen in der Gruppenrichtlinienverwaltung (GPMC) eines der betroffenen Benutzerkonten aus und überprüfen dieses mithilfe des Richtlinienergebnissatzes. C Sie überprüfen auf einem der betroffenen Clientcomputer die Einstellungen mithilfe des Tools gpresult. D Sie überprüfen auf einem der betroffenen Clientcomputer die Einstellungen mithilfe des Tools gpupdate. E Sie überprüfen auf einem der betroffenen Clientcomputer die Einstellungen mithilfe des Tools secedit. - 14 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 7 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einer Domäne mit der Bezeichnung MVSPRESS.DE. Bevor Sie neue Gruppenrichtlinien implementieren, testen Sie diese auf einer Organisationseinheit mit der Bezeichnung Test. Die Organisationseinheit Test enthält einen Windows XP Professional Clientcomputer, den Sie als Testcomputer benutzen. Die Domäne enthält eine Gruppe mit der Bezeichnung Sicherheit. Sie erstellen eine neue Gruppenrichtlinie und konfigurieren im Abschnitt Computerkonfiguration die Option, damit die Gruppe Sicherheit eine Änderung der Systemzeit durchführen kann. Unmittelbar danach melden Sie sich am Testcomputer an und stellen fest, dass die Gruppenrichtlinie nicht angewendet wurde. Sie müssen das Gruppenrichtlinienobjekt sofort anwenden. Was sollten Sie tun? A { Sie melden sich von dem Testcomputer ab und dann gleich wieder an. B { Sie melden sich von dem Testcomputer ab. Sie erstellen ein Benutzerkonto in der Organisationseinheit Test und melden sich dann mit diesem Konto wieder an. C { Sie führen auf dem Testcomputer den Befehl gpresult aus. D { Sie führen auf dem Testcomputer den Befehl gpupdate /force aus. - 15 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 8 Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Die Gesellschaft hat ein Hauptbüro und sechs Zweigstellen. Jede Zweigstelle beschäftigt weniger als 15 Mitarbeiter. Das Netzwerk besteht aus einer aktiven Verzeichnisdomäne und ist mit einem einzelnen Standort konfiguriert. Alle Server verwenden das Betriebssystem Windows Server 2003. Die Domänencontroller befinden sich im Hauptbüro. Alle Zweigstellen sind mit dem Hauptbüro durch WANVerbindungen verbunden. Es ist erforderlich, dass alle Benutzer ihre Kennworte alle zehn Tage ändern. Eine weitere Beschränkung ist eine Kennwortchronik, die die letzten fünf Kennwörter aufzeichnet. Sie stellen fest, dass Benutzer in den Zweigstellen, nach einem Ausfall der WAN-Verbindung für 24 Stunden oder länger, durch Verwenden der vor kurzem erloschenen Kennworte sich anmelden und auf lokale Ressourcen zugreifen können. Sie müssen sicherstellen, dass Benutzer sich nur an der Domäne durch Verwenden eines gegenwärtigen Kennworts anmelden können. Was sollten Sie tun? A { Sie aktivieren das Kontrollkästchen Zwischenspeichern der universellen Gruppenmitgliedschaft aktivieren. B { Sie weisen alle Benutzer an, sich durch Verwenden ihrer Benutzerprinzipalnamen (UPNs) anzumelden. C { Sie aktivieren für alle Mitarbeiter die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern. D { Sie konfigurieren die Domänengruppenrichtlinie, um Anmeldungsversuche zu verhindern, die zwischengespeicherte Informationen verwenden. - 16 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 9 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003. Die meisten Clientcomputer befinden sich in den Büros der einzelnen Mitarbeiter. Einige Clientcomputer befinden sich in öffentlich zugänglichen Bereichen. Die firmeninterne Sicherheitspolitik enthält folgende Vorgaben: • Alle Mitarbeiter müssen Chipkarten benutzen, um sich bei einem Clientcomputer anzumelden. • Mitarbeiter, die einen öffentlich zugänglichen Clientcomputer benutzen, müssen abgemeldet werden, wenn sie die Chipkarte aus dem Kartenleser entfernen. Sie konfigurieren alle Benutzerkonten so, dass sie Chipkarten für interaktive Anmeldung anfordern. Sie schaffen eine Organisationseinheit mit der Bezeichnung PUBLIC. Sie müssen sicherstellen, dass das entsprechende Ereignis auf jedem Clientcomputer auftritt, wenn eine Chipkarte entfernt wird. Sie müssen dieses Ziel erreichen, ohne die anderen Computer zu konfigurieren. Was sollten Sie tun? - 17 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie verschieben alle Computer, die öffentlich zugänglich sind, in die Organisationseinheit PUBLIC. Sie erstellen eine neue Gruppenrichtlinie und verknüpfen sie mit der Organisationseinheit PUBLIC. Sie aktivieren Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards: Abmeldung erzwingen. B { Sie verschieben alle Mitarbeiter, die die öffentlich zugänglichen Clientcomputer benutzen, in die Organisationseinheit PUBLIC. Sie erstellen eine neue Gruppenrichtlinie und verbinden diese Richtlinien mit der Organisationseinheit PUBLIC. Sie aktivieren Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards: Abmeldung erzwingen. C { Sie aktivieren in der Standarddomänenrichtlinie Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards: Abmeldung erzwingen. D { Sie aktivieren in der Standarddomänencontrollerrichtlinie Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards: Abmeldung erzwingen. - 18 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 10 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Gesamtstruktur mit der Bezeichnung MVSPRESS.DE. Alle Server verwenden das Betriebssystem Windows Server 2003 und alle Clientcomputer Windows XP Professional. In einem Testlabor, das eine separate Verzeichnisstruktur enthält, entwickeln und testen Sie Gruppenrichtlinien, die Sie auf alle Computer und Benutzer in der Domäne anwenden möchten. Sie müssen eine neue Gruppenrichtlinie im Netzwerk einsetzen. Sie wollen diese Aufgabe mit minimalem administrativem Aufwand umsetzen. Was sollten Sie tun? A { Sie verwenden das verteilte Dateisystem, um die Gruppenrichtlinien im freigegebenen Ordner SYSVOL vom Testlabor zur Domäne zu replizieren. B { Sie verwenden die Gruppenrichtlinienverwaltungskonsole (GPMC), um die Richtlinie aus dem Testlabor zu exportieren und um sie anschließend in der Domäne zu importieren. C { Sie kopieren die Gruppenrichtlinieschablone (GPT) aus dem freigegebenen Ordner SYSVOL des Testlabors zur Domäne. D { Sie verwenden das Snap-In Active DirectoryBenutzer und -Computer, um in der Domäne eine neue Gruppenrichtlinie zu erstellen. In der neuen Gruppenrichtlinie übernehmen Sie alle Einstellungen aus der Richtlinie des Testlabors. - 19 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 11 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003 und alle Clientcomputer Windows XP. Die Firma hat ihren Hauptsitz in Puchheim und eine Zweigniederlassung in Küps. Diese zwei Geschäftsstellen wurden jeweils als ein Active DirectoryStandort konfiguriert und sind mit einer 10MBit Standleitung verbunden. Das Puchheimer Büro beinhaltet alle Domänencontroller der Domäne MVSNET.DE. Die Gruppenrichtlinienobjekte sind mit der Domäne und den verschiedenen Organisationseinheiten verknüpft. Aufgrund der hohen Bandbreite zwischen den Standorten existieren keinerlei Probleme bezüglich der Verarbeitung der Gruppenrichtlinien. Sollte die 10MBit Leitung ausfallen und nicht zur Verfügung stehen, werden die Gruppenrichtlinien über eine eigens dafür gemietete 128Kbps ISDN Leitung übertragen. Sie aktivieren die Gruppenrichtlinie zur Erkennung von langsamen Verbindungen und konfigurieren bestimmte GPOs dahingehend, dass diese nicht verarbeitet werden, sobald die 10MBit Leitung ausgefallen ist und nur die langsame Netzwerkverbindung zur Verfügung steht. Sie müssen sicherstellen, dass die Gruppenrichtlinienobjekte fehlerfrei abgearbeitet und angewendet werden. Um dieses Szenario zu testen, simulieren Sie eine langsame Netzwerkverbindung. Was sollten Sie tun? A { Sie verwenden in der Befehlszeile secedit /analyze. B { Sie verwenden den Richtlinienergebnissatz (RSoP) im Planungsmodus. C { Sie verwenden den Richtlinienergebnissatz (RSoP) im Protokolliermodus. D { Sie verwenden in der Befehlszeile gpupdate. - 20 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 12 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Alle Server verwenden das Betriebssystem Windows Server 2003. Die Gruppenrichtlinie Softwarebeschränkungen, in der auch Pfadregeln für das Standardverzeichnis für Programme angewendet wurden, hindert die Benutzer daran, nicht genehmigte Anwendungen auszuführen. Diese Einschränkung gilt nicht für Benutzer, die lokale Administratoren auf ihren Clientcomputern sind. Der Entwickler in der Firma erstellt für einige der internen Benutzer eine neue Applikation, die in regelmäßigen Abständen aktualisiert wird. Ein Administrator installiert die Software unter C:\Programme\ auf einer bestimmten Anzahl von Computern mit der gelieferten setup.exe. Wenn Mitarbeiter jedoch versuchen, die neue Anwendung auszuführen, berichten sie, dass sie dies nicht können. Sie müssen langfristig und ohne weiteren Aufwand sicherstellen, dass alle Mitarbeiter die neue Anwendung ausführen können. Nicht genehmigte Software darf dagegen weiterhin nicht verwendet werden. Was sollten Sie tun? A { Sie erstellen einen WMI-Filter in der Gruppenrichtlinie Softwarebeschränkung, der festlegt, wo die Software installiert wird und wo die Gruppenrichtlinie die Ausführung der Software verhindert. B { Sie erstellen einen Hashwert für die ausführbare Datei der Software und überarbeiten die Gruppenrichtlinie Softwarebeschränkung, um zu erlauben, dass eine ausführbare Datei, die zum Hashwert passt, ausgeführt werden darf. C { Sie erstellen eine Zertifikatregel für die ausführbare Datei der Software und überarbeiten die Gruppenrichtlinie Softwarebeschränkung, um zu erlauben, dass die Applikation ausgeführt werden darf. D { Sie erstellen von der Software ein .msi-Paket und erstellen eine neue Gruppenrichtlinie, um das Paket den Computern zuzuteilen, die die Software benötigen. - 21 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 13 Sie sind der Netzwerkadministrator der Firma IT Consulting MERK. Das Netzwerk besteht aus zwei Verzeichnisdiensten und jeweils einer einzelnen Domäne. Die Domänenfunktionsebene bei beiden Verzeichnisstrukturen ist Windows Server 2003. Eine Testumgebung bildet eine Verzeichnisstruktur, die zweite ist die Produktionsumgebung. In der Testumgebung befindet sich ein Domänencontroller. Sie verwenden die Testumgebung, um Gruppenrichtlinien für die Produktionsumgebung zu testen. Diese Tests schließen Änderungen an der Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller mit ein. Zudem verwalten Sie in der Testumgebung alle Gruppenrichtlinienobjekte für die gesamten Verzeichnisdienste. Sie müssen in der Lage sein, die Sicherheitsrichtlinie für Domänen und die Sicherheitsrichtlinie für Domänencontroller aus der Domäne Test in der Produktionsumgebung implementieren und anwenden zu können. Sie wollen diese Aufgabe mit dem geringsten möglichen Verwaltungsaufwand erledigen. Welche zwei Maßnahmen sollten Sie ergreifen? (Jede richtige Antwort ist Teil der Lösung. Wählen Sie zwei.) - 22 - PRÜFUNGSFRAGEN EXAMEN 70-294 A Sie kopieren die Gruppenrichtlinie aus der Testdomäne in die produktive Domäne. Sie führen unter der Pfadangabe der Gruppenrichtlinie den Befehl DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH] in der produktiven Domäne aus. B Sie sichern die Sicherheitsrichtlinie für Domänen und die Sicherheitsrichtlinie für Domänencontroller der Produktionsdomäne durch Verwenden der Gruppenrichtlinienverwaltung (GPMCs). C Sie importieren die Sicherheitsrichtlinie für Domänen und die Sicherheitsrichtlinie für Domänencontroller in die Testdomäne durch Verwenden der Gruppenrichtlinienverwaltung (GPMCs) und einer Migrationstabelle. D Sie sichern und exportieren die angepassten Dateien gpttmpl.inf, die die Einstellungen für die Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller beinhalten aus der Domäne Test und importieren sie in die Domäne Produktion. E Sie erhöhen die Version der gpt.ini-Dateien für die Sicherheitsrichtlinie für Domänen und die Sicherheitsrichtlinie für Domänencontroller. - 23 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 14 Sie sind der Netzwerkadministrator der Firma Dynagroup IT GmbH. Ihre Firma hat eine Tochtergesellschaft mit dem Namen MVS M. Völk Systems. Die Firma Dynagroup IT GmbH verfügt über einen aktiven Verzeichnisdienst mit der Bezeichnung DYNAGROUP.DE. Die Domänenfunktionsebene Ihrer Firma ist Windows Server 2003. In Ihrer Tochtergesellschaft MVS M. Völk Systems ist eine Windows NT 4 Domäne mit der Bezeichnung MVSNET.DE vorhanden. Ein Dateiserver mit der Bezeichnung »MVSNETFS04« ist Mitglied der Domäne DYNAGROUP.DE. Alle Mitarbeiter in beiden Domänen müssen jeden Tag Daten auf »MVSNETFS04« abspeichern. Sie möchten den Mitarbeitern in der Domäne MVSNET.DE den Zugriff auf »MVSNETFS04« erlauben. Sie müssen sicherstellen, dass die Domänenadministratoren aus DYNAGROUP.DE den Mitarbeitern von MVS M. Völk Systems keine Berechtigungen auf den Servern in MVSNET.DE erteilen können. Wie können Sie ihr Ziel erreichen? A { Sie führen ein Upgrade aller Server in der Domäne MVSNET.DE zu Windows Server 2003 durch und machen diese Domäne zur Stammdomäne einer zweiten Verzeichnisstruktur im vorhandenen Verzeichnisdienst. B { Sie führen ein Upgrade aller Server in der Domäne MVSNET.DE zu Windows Server 2003 durch und machen diese Domäne zur Stammdomäne einer neuen Verzeichnisstruktur. Sie richten eine beidseitige Vertrauensstellung ein. C { Sie richten eine einseitige Vertrauensstellung zwischen den beiden Domänen ein, wobei die Domäne DYNAGROUP.DE der Domäne MVSNET.DE vertraut. D { Sie richten eine einseitige Vertrauensstellung zwischen den beiden Domänen ein, wobei die Domäne MVSNET.DE der Domäne DYNAGROUP.DE vertraut. - 24 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 15 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden als Betriebssystem Windows Server 2003 und alle Clientcomputer Windows XP Professional. Der Verzeichnisdienst enthält die Organisationseinheiten Lohnbuchhaltung Mitarbeiter, Lohnbuchhaltung Server und Finanz Server. Die Computer der Mitarbeiter aus der Lohnbuchhaltung sind alle in der Organisationseinheit Lohnbuchhaltung Mitarbeiter mit aufgenommen. Die Server der Lohnbuchhaltung befinden sich alle in der Organisationseinheit Lohnbuchhaltung Server, die Server der Finanzabteilung alle in der Organisationseinheit Finanz Server. Sie planen eine grundlegende Sicherheitsrichtlinie für die Lohnbuchhaltung. Die Firmenrichtlinie gibt vor, dass die Kommunikation mit den Servern der Lohnbuchhaltung nur mit IPSec stattfinden darf. Alle anderen Server benötigen keine sichere Verbindung über IPSec. Sie möchten die grundlegende Sicherheitsrichtlinie der Firmenrichtlinie anpassen. Sie sollen sicherstellen, dass die Mitarbeiter der Lohnbuchhaltung auf Ressourcen der Lohnbuchhaltung und der Finanzabteilung zugreifen können. Wie gehen Sie vor? - 25 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erstellen eine neue Gruppenrichtlinie und fügen die Richtlinie Sicherer Server (Sicherheit erforderlich) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Server. Sie erstellen eine zweite Gruppenrichtlinie und fügen die Richtlinie Client (nur Antwort) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Mitarbeiter. B { Sie erstellen eine neue Gruppenrichtlinie und fügen die Richtlinie Sicherer Server (Sicherheit erforderlich) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Server und Organisationseinheit Finanz Server. Sie erstellen eine zweite Gruppenrichtlinie und fügen die Richtlinie Client (nur Antwort) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Mitarbeiter. C { Sie erstellen eine neue Gruppenrichtlinie und fügen die Richtlinie Server (Sicherheit anfordern) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Server. Sie erstellen eine zweite Gruppenrichtlinie und fügen die Richtlinie Client (nur Antwort) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Mitarbeiter. D { Sie erstellen eine neue Gruppenrichtlinie und fügen die Richtlinie Server (Sicherheit anfordern) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Server und der Organisationseinheit Finanz Server. Sie erstellen eine zweite Gruppenrichtlinie und fügen die Richtlinie Client (nur Antwort) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Mitarbeiter. - 26 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 16 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Alle Server verwenden Windows Server 2003 als Betriebssystem. Sie müssen die Benutzerdatenbank des Domänencontrollers vor unberechtigten Zugriff schützen und möchten dieses Ziel mit möglichst geringem Verwaltungsaufwand durchführen. Mit welchen zwei Aktionen lässt sich dieses Ziel erreichen? (Jede Antwort ist ein Teil der Lösung!) A Sie verwenden das Dienstprogramm für Systemschlüssel (syskey.exe) und wenden die sicherste Methode auf dem Domänencontroller an. B Sie erstellen eine Gruppenrichtlinie, importieren die Sicherheitsvorlage securedc.inf und wenden diese GPO auf dem Domänencontroller an. C Sie erstellen eine Gruppenrichtlinie und konfigurieren die Netzwerksicherheit LAN Manager Authentifizierung-Option so, dass sie zum Senden NTLMv2 verwendet wird. D Sie erstellen eine Gruppenrichtlinie, importieren die Sicherheitsvorlage security.inf und wenden diese GPO auf dem Domänencontroller an. - 27 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 17 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Alle Domänencontroller verwenden das Betriebssystem Windows Server 2003. Das Netzwerk enthält 50 Windows 98 Computer, 300 Windows 2000 Professional Computer und 150 Windows XP Professional Computer. Entsprechend der Netzentwurfsspezifikation muss das Kerberos Version 5 Bestätigungsprotokoll für alle Clientcomputer im internen Netz verwendet werden. Sie müssen sicherstellen, dass Kerberos Version 5 Bestätigung für alle Clientcomputer im internen Netz verwendet wird. Was sollten Sie tun? A { Sie deaktivieren auf jedem Domänencontroller das Server Message Block (SMB) Protokoll für die Verschlüsselung einer sicheren Datenverbindung. B { Sie ersetzen alle Windows 98 Clientcomputer durch Windows XP Professional. C { Sie installieren auf allen Windows 98 Clientcomputern die Verzeichnisdienstkomponente. D { Sie ersetzen alle Windows 98 Clientcomputer durch Windows NT 4 Workstations. - 28 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 18 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen mit den Bezeichnungen MVSNET.DE, DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Die Domänen DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE enthalten Benutzerkonten, Computerkonten und Mitgliedsserver. Die Domäne MVSNET.DE enthält nur die Administratoren und Computerkonten für zwei Domänencontroller. Jeder Mitgliedsserver führt nur die Dienste Dateiserver, Druckserver, WEB-Server oder Datenbankserver aus. Ihre Firma plant die Verwendung eine Gruppenrichtlinie für eine zentrale Verwaltung der Sicherheitseinstellungen der Mitgliedsserver. Einige der Sicherheitseinstellungen müssen auf alle Mitgliedsserver angewandt und dürfen nicht überschrieben werden. Andere Sicherheitseinstellungen sind nur für die entsprechenden Serverdienste gedacht. Sie müssen eine Struktur von Organisationseinheiten schaffen, um die Gruppenrichtlinien zu unterstützen. Sie wollen so wenig wie möglich Gruppenrichtlinien und Verbindungen erstellen. Was sollten Sie tun? - 29 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erstellen eine Organisationseinheit auf oberster Ebene für jeden Serverdienst unterhalb der Domäne MVSNET.DE. Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne DACHAU.MVSNET.DE. Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne AUGSBURG.MVSNET.DE. B { Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne DACHAU.MVSNET.DE. Sie erstellen eine Organisationseinheit für jeden Serverdienst unterhalb der Organisationseinheit Server. Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne AUGSBURG.MVSNET.DE. Sie erstellen eine Organisationseinheit für jeden Serverdienst unterhalb der Organisationseinheit Server. C { Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne MVSNET.DE. Sie erstellen eine Organisationseinheit für jeden Serverdienst unterhalb der Organisationseinheit Server. D { Sie erstellen eine Organisationseinheit auf oberster Ebene für jeden Serverdienst unterhalb der Domäne DACHAU.MVSNET.DE. Sie erstellen eine Organisationseinheit auf oberster Ebene für jeden Serverdienst unterhalb der Domäne AUGSBURG.MVSNET.DE. - 30 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 19 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Alle Server verwenden Windows Server 2003 als Betriebssystem, alle Clientcomputer Windows XP Professional. Die EDV-Beratung Eißner hat ein Büro in Veilsdorf und ein weiteres in Hildburghausen. Jedes Büro ist als Standort im Verzeichnisdienst definiert. Jedes Büro verfügt über zwei Domänencontroller. Das Netzwerk ist so konfiguriert, dass eine Mitteilung auf dem Bildschirm aller Benutzer angezeigt wird, bevor sie sich anmelden. Auf Anfrage der Rechtsabteilung nehmen Sie eine Änderung an der Mitteilung vor, indem Sie die Einstellungen in einer Gruppenrichtlinie ändern. Diese Gruppenrichtlinie ist mit der Domäne verknüpft. Die Rechtsabteilung berichtet, dass nicht alle Benutzer die neue Mitteilung erhalten. Sie entdecken, dass Benutzer im Büro Veilsdorf die neue Mitteilung erhalten, aber Benutzer im Büro Hildburghausen erhalten weiterhin die alte Mitteilung. Das Problem besteht mehrere Tage. Sie müssen sicherstellen, dass die neue Mitteilung auf allen Computern im Netz richtig angezeigt wird. Wie gehen Sie vor? A { Sie erstellen eine neue Sicherheitsgruppe und fügen alle Computerkonten aus Veilsdorf hinzu. Sie erlauben der Sicherheitsgruppe die Anwendung der Gruppenrichtlinie. B { Sie fügen einen Domänencontroller aus dem Standort Veilsdorf dem Standort Hildburghausen hinzu, warten 24 Stunden und bringen den Server in seinen ursprünglichen Standort zurück. C { Sie erzwingen eine Replikation des Verzeichnisdienstes. D { Sie melden sich an einem Domänencontroller in Veilsdorf an und fügen ihm die Betriebsmasterfunktion Infrastruktur hinzu. - 31 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 20 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Die Domäne enthält eine Organisationseinheit Verkauf. Sie erstellen drei Gruppenrichtlinienobjekte, die über vier Konfigurationseinstellungen (siehe Tabelle) verfügen: Standort GPO-Name GPO-Konfiguration Einstellungen Domäne Bildschirmschoner Verstecken der Registerkarte Bildschirmschoner Deaktiviert OU Verkauf Anzeige und Bildschirmhintergrund Verstecken der Registerkarte Bildschirmschoner Aktiviert OU Verkauf Anzeige und Bildschirmhintergrund Pfad für aktuellen Bildschirmhintergrund: c:\WINNT\web\wallpape r\bliss.jpg Aktiviert OU Verkauf Bildschirmhintergrund Pfad für aktuellen Bildschirmhintergrund: c:\WINNT\web\wallpape r\Fruehling.jpg Aktiviert Die Gruppenrichtlinie Bildschirmschoner hat die Einstellung nicht Überschreiben aktiviert. Auf der Organisationseinheit Verkauf ist die Vererbung der Gruppenrichtlinien aktiviert. Die Reihenfolge der verknüpften Richtlinien für die Organisationseinheit Verkauf ist Anzeige und Bildschirmhintergrund und als zweites Bildschirmhintergrund. Für die Benutzer in der Organisationseinheit Verkauf soll die Registerkarte Bildschirmschoner deaktiviert und der Bildschirmhintergrund Fruehling.jpg sein. Sie melden sich an einem Testcomputer mit einem Benutzerkonto aus der Organisationseinheit Verkauf an, aber Sie bekommen nicht die geforderten Einstellungen. Sie müssen sicherstellen, dass für die Benutzer aus der Organisationseinheit Verkauf die Registerkarte Bildschirmschoner deaktiviert wird und als Bildschirmhintergrund Fruehling.jpg eingesetzt wird. Benutzer in anderen Organisationseinheiten dürfen von diesen Einstellungen nicht betroffen werden. Wie gehen Sie vor? - 32 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie aktivieren die Einstellung nicht Überschreiben für die Gruppenrichtlinie Anzeige und Bildschirmhintergrund. B { Sie deaktivieren die Einstellung nicht Überschreiben für die Gruppenrichtlinie Bildschirmhintergrund. Verschieben Sie die Gruppenrichtlinie Bildschirmhintergrund an die erste Stelle der Reihenfolge. C { Sie erstellen eine Gruppenrichtlinie und verknüpfen sie mit dem Objekt Standardname-des-erstenStandorts. Sie konfigurieren die Gruppenrichtlinie so, dass Verzeichnisdiensthintergrund auf c:\WINNT\web\wallpaper\Fruehling.jpg verweist. D { Sie deaktivieren die Vererbung der Richtlinien für die Organisationseinheit Verkauf. Sie ändern die Gruppenrichtlinie Anzeige und Bildschirmhintergrund und verweisen für den Verzeichnisdiensthintergrund auf c:\WINNT\web\wallpaper\Fruehling.jpg. - 33 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 21 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSPRESS.DE. Alle Server verwenden das Betriebssystem Windows Server 2003, alle Clientcomputer Windows XP Professional. Die Benutzer haben keine lokalen Administrationsrechte. Ihre Firma bekommt eine neue Software für die Auftragsbearbeitung. Diese Software muss auf jedem Clientcomputer installiert werden. Die Applikation enthält eine .msi-Datei. Sie kopieren diese Datei in einen freigegeben Ordner auf einem Dateiserver. Sie erteilen der Gruppe Authentifizierte Benutzer das Leserecht für diesen Ordner. Sie wollen diese Software einsetzen und weisen die Mitarbeiter an, dass sie diese .msi-Datei mit einem Doppelklick im freigegeben Ordner starten sollen. Als die Mitarbeiter jedoch versuchen, diese Software zu installieren, erhalten sie eine Fehlermeldung. Sie müssen das Netzwerk so konfigurieren, dass diese Software installiert werden kann. Welche zwei Optionen müssen Sie verwenden? (Jede richtige Antwort ist ein Teil der gesamten Lösung.) A Sie ändern die Standarddomänengruppenrichtlinie und fügen die Software für alle Computer hinzu. B Sie erweitern die Rechte der Mitarbeiter soweit, dass die Mitarbeiter während der Installation einen temporären Ordner im freigegeben Ordner erstellen können. C Sie ändern die Standarddomänengruppenrichtlinie und deaktivieren die Option Windows Installer deaktivieren im Bereich Computerkonfiguration. D Sie ändern die Standarddomänengruppenrichtlinie und aktivieren die Option immer mit erhöhten Rechten installieren im Bereich Computerkonfiguration. - 34 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 22 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003, alle Clientcomputer Windows XP Professional. Alle Server, die keine Domänencontroller sind, haben ein Computerkonto in der Organisationseinheit ApplikationServers. Die Computerkonten der Clientcomputer sind auf 15 verschiedene Organisationseinheiten innerhalb des Verzeichnisdienstes verteilt, alle Benutzerkonten in der Organisationseinheit FirmenMitarbeiter zusammengefasst. Die Firma möchte, dass alle Mitarbeiter Microsoft Word auf ihren Clientcomputer haben. Die Firma möchte jedoch nicht, dass Microsoft Word auf den Domänencontrollern oder den anderen Servern installiert wird. Sie müssen das Netzwerk so konfigurieren, dass die Software ohne Auswirkung auf bestehende Richtlinien oder sonstige Einstellungen installiert werden kann. Wie gehen Sie vor? - 35 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft Word in der Computerkonfiguration/Softwareinstallation hinzu und verknüpfen diese Gruppenrichtlinie mit der Domäne. Dann deaktivieren Sie die Vererbung der Richtlinie für die Organisationseinheiten ApplikationServers und Domänencontroller. B { Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft Word in der Computerkonfiguration/Softwareinstallation hinzu und verknüpfen diese Gruppenrichtlinie mit der Domäne. Dann konfigurieren Sie die Berechtigungen für das Gruppenrichtlinienobjekt so, dass die Organisationseinheiten ApplikationServers und Domänencontroller dieses Gruppenrichtlinienobjekt nicht ausführen können. C { Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft Word in der Benutzerkonfiguration/Softwareinstallation hinzu und verknüpfen diese Gruppenrichtlinie mit der Domäne. Dann deaktivieren Sie die Vererbung der Richtlinie für die Organisationseinheiten ApplikationServers und Domänencontroller. D { Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft Word in der Benutzerkonfiguration/Softwareinstallation hinzu und verknüpfen diese Gruppenrichtlinie mit der Domäne. Dann konfigurieren Sie die Berechtigungen für das Gruppenrichtlinienobjekt so, dass die Organisationseinheiten ApplikationServers und Domänencontroller dieses Gruppenrichtlinienobjekt nicht lesen können. - 36 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 23 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003, alle Clientcomputer Windows 2000 Professional oder Windows XP Professional. Die Clientcomputer sind in der Organisationseinheit Arbeitsstationen zusammengefasst. Die Firmenrichtlinie gibt vor, dass die Windows 2000 Professional Computer keine Offlineordner verwenden dürfen. Sie erstellen eine neue Gruppenrichtlinie, die diese Vorgabe enthält. Diese Einstellung in der Gruppenrichtlinie gilt für Windows 2000 Professional und Windows XP Professional Computer gleichermaßen. Sie müssen eine Gruppenrichtlinie nur für die Windows 2000 Professional Computer konfigurieren. Welche zwei Aktionen führen Sie zum Ziel? (Jede richtige Antwort ist eine vollständige Lösung.) A Sie erstellen einen WMI-Filter, der die Gruppenrichtlinie nur auf Windows 2000 Professional Computer anwendet. B Sie erstellen einen WMI-Filter, der die Gruppenrichtlinie nicht auf Windows XP Professional Computer anwendet. C Sie erstellen zwei Organisationseinheiten unterhalb der Organisationseinheit Arbeitsstationen. Sie verschieben die Computer mit Windows XP in die eine Organisationseinheit und die Computer mit Windows 2000 in die zweite Organisationseinheit. Sie verknüpfen diese Gruppenrichtlinie dann mit der Organisationseinheit Arbeitsstationen. D Sie erstellen eine Gruppe, die alle Windows XP Professional Computer beinhaltet und verweigern dieser Gruppe den Zugriff auf die Organisationseinheit. E Sie erstellen eine Gruppe, die alle Windows 2000 Professional Computer beinhaltet und verweigern dieser Gruppe den Zugriff auf Hinzufügen von Gruppenrichtlinienberechtigungen. - 37 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 24 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst und drei Standorten. Jeder Standort hat einen Domänencontroller. Alle Server verwenden das Betriebssystem Windows Server 2003, die Clientcomputer Windows 2000 Professional oder Windows XP Professional. Die EDV-Abteilung ist in vier Gruppen aufgeteilt und arbeitet an allen drei Standorten. Die Computer der EDV-Mitarbeiter müssen in der Lage sein, Skripte auszuführen. Das Skript oder die Skripte müssen immer ausgeführt werden können, egal an welchem Standort sich die EDVMitarbeiter anmelden möchten oder in welcher Gruppe sie Mitglied sind. Sie müssen sicherstellen, dass die richtigen Anmeldeskripte für die entsprechenden EDV-Mitarbeiter ausgeführt werden. Wie gehen Sie vor? A { Sie erstellen vier Gruppenrichtlinienobjekte und dann ein Skript für jede Gruppenrichtlinie für die entsprechenden Gruppen. Sie verknüpfen alle vier Gruppenrichtlinien mit den drei Standorten und gewähren jeder Gruppe das Recht dafür, nur die Gruppenrichtlinien anzuwenden, die für ihre Gruppe erstellt wurden. B { Sie erstellen ein Skript, das die entsprechenden Eigenschaften, je nach Gruppenmitgliedschaft, ausführt. Sie kopieren dieses Skript in den NETLOGON-Ordner auf dem Domänencontroller. C { Sie erstellen ein Gruppenrichtlinienobjekt mit einem Startskript, das die Computer der EDV-Mitarbeiter entsprechend ihrer Gruppenmitgliedschaft konfiguriert. Sie verknüpfen dieses Gruppenrichtlinienobjekt mit den drei Standorten. D { Sie erstellen ein Skript, das die Computer der EDVMitarbeiter entsprechend ihrer Gruppenmitgliedschaft und Standortzugehörigkeit konfiguriert. Sie erstellen ein Gruppenrichtlinienobjekt für die Organisationseinheit Domänencontroller, das das Skript ausführt. - 38 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 25 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihre Firma besteht nur aus einem Büro, das Netzwerk aus einem Verzeichnisdienst mit einem Standort. Alle Server verwenden das Betriebssystem Windows Server 2003. Alle Datei- und Druckserver sowie die Applikationsserver sind in einer Organisationseinheit mit der Bezeichnung Server zusammengefasst. Ein Serversupportteam führt die täglichen Arbeiten auf den Datei- und Druckservern sowie den Applikationsservern durch. Alle Benutzerkonten des Serversupportteams sind in der Organisationseinheit SST zusammengefasst. Sie sind verantwortlich für die Sicherheit aller Server. Sie erstellen eine neue Gruppe ServerSupport, die alle Mitarbeiter des Serversupportteams enthält. Sie müssen sicherstellen, dass alle Mitarbeiter des Serversupportteams sich an jedem Datei- und Druckserver sowie den Applikationsservern lokal anmelden können. Wie gehen Sie vor? A { Sie erstellen ein Gruppenrichtlinienobjekt und erlauben der Gruppe ServerSupport das Recht zur lokalen Anmeldung. Sie verbinden dieses Gruppenrichtlinienobjekt mit der Organisationseinheit SST. B { Sie erstellen ein Gruppenrichtlinienobjekt und erlauben der Gruppe ServerSupport das Recht zur lokalen Anmeldung. Sie verbinden dieses Gruppenrichtlinienobjekt mit der Organisationseinheit Server. C { Sie erteilen der Gruppe ServerSupport den Vollzugriff auf die Organisationseinheit Server. D { Sie erteilen der Gruppe ServerSupport den Vollzugriff auf die Organisationseinheit Computer. - 39 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 26 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einem Verzeichnisdienst. Die Verzeichnisstruktur umfasst 19 Domänen. 15 Domänen verfügen über Windows Server 2003. Die Domänenfunktionsebene aller Domänen ist Windows 2000 pur. Das Netzwerk enthält eine Microsoft Exchange 2000 Server-Organisation. Sie möchten Gruppen erstellen, die verwendet werden sollen, um E-Mails an alle Mitarbeiter in der gesamten Firma zu versenden. Sie wollen dieses Ziel mit minimalem Replikationsverkehr erreichen und die Größe der Verzeichnisdatenbank möglichst klein halten. Sie müssen einen Plan zur Erstellung der E-Mail-Gruppen für die Firma MVS M. Völk Systems erstellen. Was sollten Sie tun? A { Sie erstellen eine globale Verteilergruppe in jeder Domäne und fügen die entsprechenden Mitarbeiter in der Domäne der globalen Verteilergruppe hinzu. Sie erstellen dann eine universelle Verteilergruppe und machen die globale Verteilergruppe zum Mitglied der universellen Verteilergruppe. B { Sie erstellen eine globale Sicherheitsgruppe in jeder Domäne und fügen die entsprechenden Mitarbeiter der Domäne der globalen Sicherheitsgruppe hinzu. Sie erstellen dann eine universelle Sicherheitsgruppe und machen die globale Sicherheitsgruppe zum Mitglied der universellen Sicherheitsgruppe. C { Sie erstellen universelle Verteilergruppen und fügen die entsprechenden Mitarbeiter in der Domäne dieser universellen Verteilergruppe hinzu. D { Sie erstellen eine universelle Sicherheitsgruppe und fügen die entsprechenden Mitarbeiter in der Domäne dieser universellen Sicherheitsgruppe hinzu. - 40 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 27 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Ihre Firma kauft eine andere Firma mit der Bezeichnung IT Consulting Merk auf. Das Netzwerk der Firma besteht aus einem Verzeichnisdienst mit der Bezeichnung MERK.NET und einer zweiten Domäne MITTENWALD.MERK.NET. Die Domänenfunktionsebene des Verzeichnisdienstes ist Windows 2000. Die Domänenfunktionsebene von MITTENWALD.MERK.NET ist Windows 2000 pur. Eine Geschäftsentscheidung bestimmt, dass die Domäne MITTENWALD.MERK.NET aufgelöst werden soll. Sie müssen alle Benutzer von MITTENWALD.MERK.NET nach MVSNET.DE mit dem Verzeichnisdienst Migration Tool verschieben. Sie müssen die Aufgabe so durchführen, dass keine Anmelderechte oder sonstige Berechtigungen der Mitarbeiter verloren gehen. Sie müssen sicherstellen, dass alle Mitarbeiter aus der Domäne MITTENWALD.MERK.NET sich in der Domäne MVSNET.DE mit ihrem Benutzernamen und Passwort anmelden können. Wie gehen Sie vor? A { Sie erstellen eine beidseitige Windows Server 2003 Vertrauensstellung zwischen MVSNET.DE und der Domäne MERK.NET. B { Sie erstellen eine einseitige Windows Server 2003 Vertrauensstellung, in der MVSNET.DE der Domäne MERK.NET vertraut. C { Sie erstellen eine vorübergehende beidseitige Vertrauensstellung zwischen MVSNET.DE und der Domäne MITTENWALD.MERK.NET. D { Sie erstellen eine vorübergehende beidseitige Vertrauensstellung zwischen MVSNET.DE und der Domäne MERK.NET. - 41 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 28 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen. Die übergeordnete Domäne hat die Bezeichnung MVSNET.DE. Es gibt noch zwei untergeordnete Domänen mit der Bezeichnung FRANKFURT.MVSNET.DE und BERLIN.MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Jede Domäne verfügt über zwei Domänencontroller. Der Domänencontroller »MVSDC001« in der Domäne MVSNET.DE führt die Schemamaster- und Domänennamensmasterfunktionen aus. Der Domänencontroller »MVSDC002« in den untergeordneten Domäne führt folgende Betriebsmasterfunktionen aus: RID-Master, Infrastrukturmaster und PDC-Emulator. Der Domänencontroller »MVSDC001« in der übergeordneten Domäne verfügt außerdem noch über die Rolle des globalen Katalogservers. Der Mitarbeiter Thomas aus der Domäne BERLIN.MVSNET.DE ist ein Mitglied der Sicherheitsgruppe Medizinstudenten. Wegen einer Namensänderung soll der Domänenadministrator den Nachnamen im Verzeichnisdienst von „Rauch“ auf „Müller“ ändern. Der Domänenadministrator von FRANKFURT.MVSNET.DE stellt fest, dass der Mitarbeiter immer noch mit „Thomas“ aufgelistet wird. Sie müssen sicherstellen, dass der Benutzername richtig in der Gruppe Medizinstudenten aufgelistet wird. Wie gehen Sie vor? A { Sie verschieben in jeder Domäne den PDC-Emulator von »MVSDC001« auf »MVSDC002«. B { Sie verschieben in jeder Domäne den Infrastrukturmaster von »MVSDC001« auf »MVSDC002«. C { Sie verschieben in jeder Domäne den RID-Master von »MVSDC001« auf »MVSDC002«. D { Sie verschieben in der Domäne MVSNET.DE den Schemamaster von »MVSDC001« auf »MVSDC002«. - 42 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 29 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit zwei Standorten. Jeder der Standorte enthält zwei Domänencontroller. Einer der Domänencontroller ist der globale Katalogserver. Sie fügen jedem Standort einen weiteren Domänencontroller hinzu. Jeder der neue Domänencontroller hat einen schnelleren Prozessor als die existierenden Domänencontroller. Die Firmenleitung möchte, dass die Verzeichnisreplikation mit dem Domänencontroller durchgeführt wird, der den schnellsten Prozessor am Standort hat. Sie müssen eine Standortreplikation konfigurieren, um den Forderungen einer schnellen Verzeichnisreplikation nachzukommen. Was sollten Sie tun? A { Sie konfigurieren die neuen Domänencontroller als globale Katalogserver. B { Sie konfigurieren die neuen Domänencontroller als bevorzugte Brückenkopfserver für den IP-Transport. C { Sie konfigurieren die neuen Domänencontroller als bevorzugte Brückenkopfserver für den SMTP-Transport. D { Sie konfigurieren eine zusätzliche IP-Standortverbindung zwischen den zwei Standorten. Sie ordnen der Originalstandortverbindung niedrigere Standortverbindungskosten für diese Standortverbindung zu. - 43 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 30 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems, die fünf regionale Büros und drei Branchenbüros besitzt. Jedes Branchenbüro hat zehn Benutzer. Die Branchenbüros sind jeweils mit dem regional nächsten Büro über eine 56-Kbps WAN-Verbindung verbunden. Das Netzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Domäne für jedes regionale Büro enthält. Auf allen Servern läuft Windows Server 2003. Jedes Branchenbüro enthält einen Domänencontroller, der als zusätzlicher Domänencontroller in der regionalen Domäne für das Branchenbüro konfiguriert ist. Die Standortverbindung zwischen jedem Branchenbüro und der entsprechenden regionalen Domäne ist so konfiguriert, dass im Intervall von 30 Minuten Replikationen durchgeführt werden. Benutzer berichten, dass Anwendungen langsam reagieren, wenn sie auf Ressourcen im entsprechenden regionalen Büro zugreifen. Sie beobachten die WAN-Verbindung, die mehrere Branchenbüros verbindet, und entdecken, dass die Auslastung von 30% auf über 90% angestiegen ist. Sie müssen die Reaktionszeit der Anwendungen verbessern, wenn sie auf Ressourcen im regionalen Büro zugreifen. Außerdem müssen Sie sicherstellen, dass sich die Benutzer ohne zwischengespeicherte Informationen anmelden können, wenn die WAN-Verbindung ausfällt. Was müssen Sie tun? A { Sie entfernen Active Directory von jedem Datei- und Druckserver in jedem Brachenbüro. Anschließend erhöhen Sie das Replikationsintervall für jede Standortverknüpfung zwischen den Branchenbüros und dem entsprechenden regionalen Büro. B { Sie aktivieren die Zwischenspeicherung der universellen Gruppenmitgliedschaft in jedem Branchenbüro. Anschließend konfigurieren Sie die Standortverknüpfungen zwischen den Branchenbüros und dem entsprechenden regionalen Büro so, dass sie nur in verkehrsarmen Zeiträumen verfügbar sind. C { Sie konfigurieren den Domänencontroller in jedem Branchenbüro als einen globalen Katalogserver. D { Sie vermindern das Replikationsintervall für jede Standortverbindung zwischen jedem Branchenbüro und dem entsprechenden regionalen Büro. - 44 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 31 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Die Firma besteht aus dem Hauptbüro und fünf Niederlassungen. Das Netzwerk besteht aus einem Verzeichnisdienst mit sechs Domänen. Alle Server verwenden das Betriebssystem Windows Server 2003. Jede Niederlassung ist als eigene Domäne und im Verzeichnisdienst als Standort definiert. Die Mitarbeiter der Firma und einige Applikationsserver benötigen Benutzerinformationen vom globalen Katalogserver. Sie installieren einige Applikationsserver im Hauptbüro und in den fünf Niederlassungen. Das Netzwerk sieht wie folgt aus: Sie überwachen die WAN-Verbindung zwischen dem Hauptbüro und den Niederlassungen und stellen fest, dass die Auslastung zwischen 70 und 90% liegt. Mitarbeiter berichten über lange Antwortzeiten, wenn sie Informationen von den Applikationsservern anfordern. Sie müssen in jede Niederlassung, die über lange Antwortzeiten klagt, einen globalen Katalogserver stellen. Sie möchten das mit einem Minimum an Zeit und Netzwerkverkehr durchführen. In welchen/r Niederlassung/en stellen Sie einen oder mehrere globale Katalogserver auf? (Wählen Sie alle benötigten Städte aus.) - 45 - PRÜFUNGSFRAGEN EXAMEN 70-294 A Berlin. B Kaunas. C Moskau. D St. Petersburg. E London. - 46 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 32 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus zwei Active Directory-Domänen. Auf allen Servern läuft Windows Server 2003. Die Firma hat Büros in Veilsdorf und Riesa. Beide Büros sind über eine 128-Kbps WAN-Verbindung miteinander verbunden. Jedes Büro ist als eine einzelne Domäne und als Active Directory Standort konfiguriert. Die Standortinformationen der Drucker werden im Active Directory gespeichert. Die Benutzer führen regelmäßig eine Suche im Active Directory durch, um Informationen über Drucker zu finden, indem sie die Entire Directory Option wählen. Die Benutzer im Büro Veilsdorf berichten, dass die Antwortzeit inakzeptabel langsam ist, wenn sie nach Druckern suchen. Sie müssen die Antwortzeit für die Benutzer im Büro Veilsdorf verbessern. Was müssen Sie tun? A { Sie platzieren ein Domänencontroller für die Domäne Riesa im Büro Veilsdorf. B { Sie platzieren ein Domänencontroller für die Domäne Veilsdorf im Büro Riesa. C { Sie aktivieren die Zwischenspeicherung der universellen Gruppenmitgliedschaft im Büro Veilsdorf. D { Sie konfigurieren einen globalen Katalogserver im Büro Veilsdorf. - 47 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 33 Sie sind der Netzwerkadministrator der Domäne MVSNET.DE. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Sie fügen acht neue Server für eine neue Software hinzu. Sie erstellen eine Organisationseinheit SOFTWARE, die die neuen Server sowie Ressourcen der Software enthält. Benutzer und Gruppen in der Domäne benötigen unterschiedliche Berechtigungen für die neuen Softwareserver. Die Mitglieder einer globalen Gruppe ServerZugriffsTeam müssen in der Lage sein, Zugriffsrechte erteilen zu können. Das ServerZugriffsTeam muss sonst keine anderen Tätigkeiten auf den Servern auszuführen. Sie müssen dem ServerZugriffsTeam die Möglichkeit geben, Berechtigungen für diese Server zu vergeben und sicherstellen, dass nur die benötigten Rechte zugewiesen werden. Wie gehen Sie vor? A { Sie erstellen ein neues Gruppenrichtlinienobjekt für beschränkte Gruppen. Sie verändern die Gruppenrichtlinie so, dass die Gruppe ServerZugriffsTeam Mitglied der Hauptbenutzer auf jedem neuen Server wird. Sie verknüpfen diese Gruppenrichtlinie mit der Organisationseinheit SOFTWARE. B { Sie gewähren der Gruppe ServerZugriffsTeam das Recht zum Ändern von Computerobjekten in der Organisationseinheit SOFTWARE. C { Sie verschieben die Gruppe ServerZugriffsTeam in die Organisationseinheit SOFTWARE. D { Sie erstellen eine neue lokale Domänengruppe und gewähren dieser den Zugriff auf die Softwareserver. Sie gewähren der Gruppe ServerZugriffsTeam das Recht zum Ändern der Mitgliedschaft für diese lokale Domänengruppe. - 48 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 34 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die mehrere Domänen enthält. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. Die Gesamtstruktur enthält mehrere Active Directory-Standorte, die Branchenbüros repräsentieren, und den Standort Puchheim, der das zentrale Datencenter darstellt. Ein Standort mit der Bezeichnung Veilsdorf enthält einen Domänencontroller mit der Bezeichnung »FDEDC002«, der nicht als globaler Katalogserver fungiert. Der Standort Puchheim enthält einen Domänencontroller mit der Bezeichnung »FDEDC001«, der als globaler Katalogserver konfiguriert ist. Sie müssen die Zwischenspeicherung der universellen Gruppenmitgliedschaft im Standort Veilsdorf einsetzen. Welche Komponente/n sollten Sie konfigurieren? (Wählen Sie die passende/n Komponente/n im Arbeitsbereich, um zu antworten.) A { Sie wählen die NTDS Site Settings für das Büro Veilsdorf im rechten Fenster. B { Sie wählen die NTDS Site Settings für das Büro Puchheim im rechten Fenster. C { Sie wählen die NTDS Settings für das Büro Veilsdorf im linken Fenster D { Sie wählen die NTDS Settings für das Puchheim im linken Fenster - 49 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 35 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer einzelnen Active Directory-Domäne mit zwei Standorten. Die Active Directory-Datenbank wird jede Nacht gesichert. Ein Netzwerkadministrator im Standort Kronach löscht eine leere Organisationseinheit mit der Bezeichnung PROJEKTE. Zur gleichen Zeit verschiebt ein Administrator im Standort Puchheim 20 Benutzerkonten in die Organisationseinheit PROJEKTE. Später stellt der Administrator im Standort Puchheim fest, dass die Organisationseinheit PROJEKTE im Active Directory gelöscht ist. Er kann die Benutzerkonten, die er in die Organisationseinheit PROJEKTE verschoben hat, nicht mehr finden. Sie müssen eine Organisationseinheit PROJEKTE bereitstellen, um die 20 Benutzerkonten hinzufügen zu können. Der Netzwerkzugriff dieser Benutzer darf keinen Einfluss auf diesen Prozess haben. Wie gehen Sie vor? A { Sie verwenden eine autorisierende Wiederherstellung für die Organisationseinheit PROJEKTE und für die Benutzerkonten auf einem Domänencontroller im Standort Puchheim. B { Sie verwenden eine nicht autorisierende Wiederherstellung für die Organisationseinheit PROJEKTE und für die Benutzerkonten auf einem Domänencontroller im Standort Puchheim. C { Sie erstellen eine neue Organisationseinheit PROJEKTE. Sie erstellen 20 neue Benutzerkonten mit den gleichen Benutzerprinzipalnamen (User Principal Name, UPN). Sie verschieben diese Benutzerkonten in die Organisationseinheit PROJEKTE. D { Sie erstellen eine neue Organisationseinheit PROJEKTE. Sie verschieben die Benutzerkonten aus dem Ordner LostAndFound in die neue Organisationseinheit PROJEKTE. - 50 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 36 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen mit den Bezeichnungen MVSPRESS.DE, NORD.MVSPRESS.DE und SUED.MVSPRESS.DE. Die Domänenfunktionsebene ist Windows Server 2003. Die Mitarbeiter im Helpdesk sind auch für das Zurücksetzen der Benutzerkennwörter zuständig. Die dafür notwendigen Berechtigungen im Verzeichnisdienst haben sie. Es gibt eine Organisationseinheit FIRMENMITARBEITER in jeder Domäne, die alle Benutzerkonten der Domäne enthält. Alle Mitarbeiter, die über administrative Berechtigungen verfügen, haben das Benutzerkonto im Standardordner USER einer jeden Domäne. Es gibt eine universelle Gruppe HD_MITARBEITER in der Domäne MVSPRESS.DE. Alle Mitarbeiter des Helpdesk sind Mitglieder dieser Gruppe. Sie müssen die dafür erforderlichen Berechtigungen zuordnen, damit das Helpdesk die Kennwörter zurücksetzen kann. Für welche/s Objekt/e im Verzeichnisdienst sollten die Mitarbeiter des Helpdesk die Berechtigung erhalten? (Um zu antworten, wählen Sie den/die entsprechende/n Bestandteil/e in der Grafik aus.) - 51 - PRÜFUNGSFRAGEN EXAMEN 70-294 - 52 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 37 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Die Firma besteht aus der Zentrale und einer Außenstelle. Die Domäne umfasst vier Domänencontroller. Zwei Domänencontroller stehen in der Zentrale und die beiden anderen in der Außenstelle. Sie erstellen ein Gruppenrichtlinienobjekt mit der Bezeichnung WORKSOFT und verknüpfen dieses mit der Domäne. Sie konfigurieren die Gruppenrichtlinie, um eine Textverarbeitungssoftware im Abschnitt Benutzerkonfiguration einzubinden. Benutzer in der Außenstelle berichten, dass diese Software nicht zur Verfügung steht. Mitarbeiter in der Zentrale können jedoch diese Software benützen. Sie müssen sicherstellen, dass den Mitarbeitern in der Außenstelle diese Software zur Verfügung steht. Wie gehen Sie vor? A { Sie synchronisieren das Verzeichnis NETLOGON auf beiden Domänencontroller in der Außenstelle. B { Sie beschleunigen die Replikation zwischen den Domänencontrollern in der Zentrale und der Außenstelle. C { Sie führen das Tool gpresult auf jedem Clientcomputer in der Außenstelle aus. D { Sie führen das Tool gpotool auf jedem Clientcomputer in der Außenstelle aus. - 53 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 38 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE und enthält zwei Domänencontroller. Beide Domänencontroller verwenden Windows Server 2003 als Betriebssystem, alle Clientcomputer Windows XP Professional. Das einzige Benutzerkonto in der Domänenadministratoren-Gruppe ist das Administratorkonto der Domäne. Jede Nacht wird ein komplettes Backup der Festplatten auf jedem Domänencontroller durchgeführt. Sie deaktivieren das lokale Administratorkonto im Standarddomänengruppenrichtlinienobjekt. Sie stellen fest, dass Sie nicht mehr in der Lage sind, sich als Domänenadministrator an einem der Domänencontroller anzumelden. Sie müssen sicherstellen, dass Sie sich als Administrator auf beiden Domänencontrollern anmelden können. Wie gehen Sie vor? A { Sie starten einen Domänencontroller im abgesicherten Modus. Sie erstellen ein Benutzerkonto für einen zweiten Administrator, starten den Domänencontroller neu, verwenden zum Anmelden das neue Konto und entfernen dann die Einschränkung für den Administrator. B { Sie stellen die gesamte Festplatte unter Verwendung der letzten nächtlichen Sicherung auf einem Domänencontroller wieder her, bevor Sie die Änderung durchführen. Sie starten dann den Server neu und geben dem Verzeichnisdienst an, sich zu replizieren. C { Sie starten einen Domänencontroller mit der Wiederherstellungskonsole unter Verwendung der Windows Server 2003-CD neu. Sie stoppen den GPCDienst und starten den Domänencontroller neu. D { Sie starten einen Domänencontroller im Verzeichniswiederherstellungsmodus und führen eine autorisierende Wiederherstellung des Verzeichnisdienstes mit dem letzten nächtlichen Backup auf dem Domänencontroller durch, bevor Sie die Änderung machten. Sie starten den Server neu. - 54 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 39 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Alle Server verwenden das Betriebssystem Windows Server 2003. Sie verwenden Gruppenrichtlinien für die Verteilung von Software. Die EDV-Beratung Eißner verwendet zwei unterschiedliche Programme zum Anzeigen von Grafiken. Benutzer können auswählen, welches Programm sie aufgrund der Grafikformate verwenden möchten. Die Benutzer dürfen selbst entscheiden, welches dieser zwei Programmen sie installieren möchten. Sie müssen die Gruppenrichtlinien konfigurieren, um jede grafische Software, basierend auf der Auswahl des Benutzers, zu installieren. Wie gehen Sie vor? A { Sie veröffentlichen beide Programme mit Aktivierung über die Dateierweiterung. B { Sie veröffentlichen beide Programme ohne Aktivierung über die Dateierweiterung. C { Sie fügen beide Programme hinzu und installieren sie bei Bedarf. D { Sie fügen beide Programme hinzu und installieren beide. - 55 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 40 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne, die nur einen Domänencontroller enthält. Der Domänencontroller hat die Bezeichnung »FDEDC001« und befindet sich in der Hauptniederlassung im Standort Veilsdorf. Sie fügen einen neuen Standort mit der Bezeichnung Puchheim hinzu. Sie müssen dazu einen bereits existierenden Windows Server 2003 Mitgliedsserver mit der Bezeichnung »FDESRV01« zu einem weiteren Domänencontroller der Domäne EISSNER-EDV.DE heraufstufen. Eine 56Kbps WAN-Verbindung verbindet die beiden Standorte Veilsdorf und Puchheim. Sie müssen »FDESRV01« als neuen Domänencontroller für den Standort Puchheim installieren. Zudem soll die Belastung der WAN-Verbindung während dieses Prozesses minimal gehalten werden. Was müssen Sie tun? A { Sie stellen die Kosten für Replikation zwischen den Standorten Veilsdorf und Puchheim auf 50. Danach stufen Sie »FDESRV01« zu einem zusätzlichen Domänencontroller für den Standort Puchheim herauf. B { Sie stellen die gesicherten Systemstatusdaten von »FDEDC001« in einem neuen Ordner auf »FDESRV01« wieder her und installieren Active Directory, indem Sie den Befehl dcpromo /adv ausführen. C { Sie stufen »FDESRV01« zu einem zusätzlichen Domänencontroller auf, indem Sie den Befehl dcpromo über das Netzwerk ausführen. D { Sie stufen »FDESRV01« zu einem zusätzlichen Domänencontroller auf, indem Sie eine Datei für eine unbeaufsichtigte Installation benutzen. - 56 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 41 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur, die eine Stammdomäne und mehrere Subdomänen enthält. Die Domänenfunktionsebene aller Subdomänen ist Windows Server 2003. Die Domänenfunktionsebene der Hauptdomäne ist Windows 2000 pur. Sie konfigurieren einen Windows Server 2003 mit der Bezeichnung »FDEDC001« als Domänencontroller für eine existierende Subdomäne. »FDEDC001« befindet sich in einer neuen Zweigstelle in Puchheim. Sie verbinden »FDEDC001« mit der Zentrale in Veilsdorf über einen permanenten VPN-Tunnel, basierend auf einer DSL-Verbindung. »FDEDC001« hat eine einzelne Replikationsverbindung mit einem Standortbrücken-Domänencontroller in der Zentrale in Veilsdorf. Sie konfigurieren DNS auf »FDEDC001« und erstellen sekundäre Zonen für jede Domäne in der Gesamtstruktur. Sie müssen den Netzwerkverkehr, der durch Anmeldeaktivitäten über die VPN-Verbindung verursacht wird, minimieren. Auf welche Weise kann man die Aufgabe lösen? (Jede richtige Antwort stellt eine komplette Lösung dar. Wählen Sie zwei aus.) A Sie konfigurieren die DNS-Zonen so, dass sie Active Directory-integrierte Zonen verwenden. B Sie konfigurieren »FDEDC001« so, dass er den PDCEmulator für die Domäne darstellt. C Sie konfigurieren »FDEDC001« so, dass er ein globaler Katalogserver ist. D Sie konfigurieren die Zwischenspeicherung der universellen Gruppenmitgliedschaft auf »FDEDC001«. - 57 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 42 Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die Informationen der Active Directory-Datenbank haben einen Umfang von 500 MB. Der Hauptsitz der EDV-Beratung Eißner befindet sich in Veilsdorf. Zudem gibt es eine Zweigstelle in Puchheim. Die zwei Büros sind über eine 56Kbps WAN-Verbindung verbunden, die nur für Active DirectoryReplikationen benutzt wird. In dem Büro in Veilsdorf arbeiten 450 Mitarbeiter und 15 in Puchheim. Die Zweigstelle in Puchheim betreibt einen einzelnen Windows Server 2003 Domänencontroller und zwei Windows Server 2003 Datei- und Druckserver. Die Festplatte des Domänencontrollers in Puchheim, auf der sich das Betriebssystem befand, fällt aus, und lässt sich nicht wiederherstellen. Sie bekommen den Auftrag, einen neuen Domänencontroller in Puchheim zu installieren, der eine aktuelle Kopie des Active Directory enthalten soll. Diese Aufgabe muss so schnell wie möglich erledigt werden. Was müssen Sie tun? A { Sie tauschen die Festplatte im Domänencontroller aus. Danach installieren Sie Windows Server 2003 auf dem Domänencontroller. Anschließend stellen Sie Active Directory aus einer Sicherung wieder her. B { Sie installieren Active Directory auf einem der Dateioder Druckserver. Danach erzwingen Sie eine Replikation. C { Sie installieren Active Directory auf einem der Dateioder Druckserver von wiederhergestellten, gesicherten Dateien. D { Sie tauschen die Festplatte im Domänencontroller aus. Danach installieren Sie Windows Server 2003 auf dem Domänencontroller und erzwingen eine Replikation. - 58 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 43 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Die Firma arbeitet mit einem Partnerunternehmen, der EDV-Beratung Eißner, zusammen. Das Firmennetzwerk enthält zwei Active DirectoryGesamtstrukturen mit den Bezeichnungen EISSNER-EDV.DE und MVSNET.DE. Die Domänenfunktionsebene beider Gesamtstrukturen ist Windows Server 2003. Es besteht eine bidirektionale Gesamtstrukturvertrauensstellung zwischen den beiden Gesamtstrukturen. Sie müssen folgende Aufgaben erfüllen: • Die Benutzer der EISSNER-EDV.DE-Gesamtstruktur müssen auf alle Ressourcen der MVSNET.DE-Gesamtstruktur Zugriff haben. • Die Benutzer der MVSNET.DE-Gesamtstruktur sollen nur auf Ressourcen Zugriff haben, die auf einem Server mit der Bezeichnung »FDESRV01.EISSNER-EDV.DE« gespeichert sind. Sie müssen die Gesamtstrukturvertrauensstellung und die Ressourcen auf »FDESRV01.EISSNER-EDV.DE« konfigurieren, um die Aufgabe zu erfüllen. Welche drei Aktionen müssen Sie durchführen? (Jede richtige Antwort stellt einen Teil der Lösung dar.) - 59 - PRÜFUNGSFRAGEN EXAMEN 70-294 A Sie konfigurieren auf einem Domänencontroller der EISSNER-EDV.DE-Gesamtstruktur die Eigenschaften der eingehenden Gesamtstrukturvertrauensstellung so, dass die Ausgewählte Authentifizierung benutzt wird. B Sie konfigurieren auf einem Domänencontroller der EISSNER-EDV.DE-Gesamtstruktur die Eigenschaften der eingehenden Gesamtstrukturvertrauensstellung so, dass die Gesamtstrukturweite Authentifizierung benutzt wird. C Sie konfigurieren auf einem Domänencontroller der MVSNET.DE-Gesamtstruktur die Eigenschaften der eingehenden Gesamtstrukturvertrauensstellung so, dass die Ausgewählte Authentifizierung benutzt wird. D Sie konfigurieren, auf einem Domänencontroller der MVSNET.DE-Gesamtstruktur die Eigenschaften der eingehenden Gesamtstrukturvertrauensstellung so, dass die Gesamtstrukturweite Authentifizierung benutzt wird. E Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACLs) auf »FDESRV01.EISSNER-EDV.DE« so, dass der Sicherheitsgruppe MVSNET_Benutzer der Zugriff gewährt wird. F Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACLs) auf »FDESRV01.EISSNER-EDV.DE« so, dass der Sicherheitsgruppe EISSNER-EDV_Benutzer der Zugriff verweigert wird. - 60 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 44 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, bestehend aus fünf Domänen und 30 Remotestandorten. Diese befinden sich in Städten auf der ganzen Welt. Insgesamt existieren 40000 Benutzerkonten in den fünf Domänen. Alle Remotestandorte sind über unzuverlässige 56Kbps WAN-Verbindungen mit dem Firmennetzwerk verbunden. Jeder Standort enthält mindestens einen Domänencontroller und einen globalen Katalogserver. Auf allen Domänencontrollern in der Gesamtstruktur ist Windows Server 2003 installiert. Die Domänenfunktionsebene aller Domänen in der Gesamtstruktur ist Windows 2000 pur. Sie planen mehrere Active Directory-fähige Anwendungen in den nächsten sechs Monaten zu verteilen. Jede dieser Anwendungen wird Attribute zum globalen Katalog hinzufügen oder existierende Attribute modifizieren. Sie müssen Modifikationen an der Active Directory-Infrastruktur durchführen, um die Verteilung der Anwendungen vorzubereiten. Sie wollen diese Aufgabe während der Abendstunden durchführen. Sie müssen sicherstellen, dass Netzwerkunterbrechungen, die durch das Verteilen der Anwendungen entstehen können, minimal gehalten werden. Zudem muss sichergestellt sein, dass diese Modifikationen den Zugriff der Benutzer auf Ressourcen nicht unterbrechen. Was müssen Sie tun? A { Sie verringern die Tombstone-Ablaufzeit im Active Directory-Schema für die NIDS-Service-Objektklasse. B { Sie entfernen die globale Katalogfunktion von den globalen Katalogservern in jedem Remotestandort. C { Sie erhöhen die Gesamtstrukturfunktionsebene auf Windows Server 2003. D { Sie konfigurieren die Zwischenspeicherung für universelle Gruppenmitgliedschaft in jedem Remotestandort. - 61 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 45 Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Mitgliedsserver läuft Windows Server 2003, auf allen Clientrechnern Windows XP Professional. Alle Computerkonten der Clientrechner der Domäne befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Workstations. Sie müssen auf allen Rechnern im Netzwerk eine neue Anwendung aufspielen. Sie erstellen eine Gruppenrichtlinie, die das Anwendungspaket unter Softwareeinstellungen\Softwareinstallation im Bereich Computerkonfiguration des Gruppenrichtlinienobjektes bereitstellt. Sie weisen das Gruppenrichtlinienobjekt der Organisationseinheit Workstations zu. Einige Tage später berichten Benutzer, dass die Anwendung noch immer nicht installiert ist. Sie müssen sicherstellen, dass die Anwendung auf allen Clientrechner installiert ist. Was müssen Sie tun? A { Sie instruieren die Benutzer, dass sie ihre Rechner neu starten. B { Sie instruieren die Benutzer, dass sie ein Windows Update auf ihren Rechnern ausführen. C { Sie instruieren die Benutzer, dass sie eine Aktualisierung der Computerrichtlinieneinstellung auf ihren Rechnern erzwingen sollen. D { Sie instruieren die Benutzer, dass sie eine Aktualisierung der Benutzerrichtlinieneinstellung auf ihren Rechnern erzwingen sollen. - 62 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 46 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die Domänenfunktionsebene ist Windows 2000 gemischt. Die Domäne enthält eine Organisationseinheit (OU) mit der Bezeichnung Vertrieb. Die Computerkonten der Clientrechner aus der Verkaufsabteilung befinden sich in der Organisationseinheit Vertrieb. Auf jedem Clientrechner läuft entweder Windows NT Workstation 4.0, Windows 2000 Professional oder Windows XP Professional. Sie müssen ein Softwarepaket automatisch auf alle Windows 2000 Professional Clientrechner in der Organisationseinheit Vertrieb verteilen. Sie erstellen ein Gruppenrichtlinienobjekt (GPO) und verbinden dieses mit der Organisationseinheit Vertrieb. Wie gehen Sie vor? A { Sie konfigurieren die Gruppenrichtlinie so, dass das Softwarepaket dem Bereich Computerkonfiguration unter Softwareeinstellungen zugewiesen wird. Danach modifizieren Sie die Freigegebenen Zugriffssteuerungslisten (DACLs) der Gruppenrichtlinie so, dass den authentifizierten Benutzern das Leserecht gegeben und das Recht zum Ausführen von Gruppenrichtlinien verwehrt wird. B { Sie konfigurieren die Gruppenrichtlinie so, dass das Softwarepaket dem Bereich Computerkonfiguration unter Softwareeinstellungen zugewiesen wird. Danach konfigurieren Sie einen WMI-Filter, der Windows 2000 Professional enthält. C { Sie konfigurieren die Gruppenrichtlinie so, dass das Softwarepaket dem Bereich Computerkonfiguration unter Softwareeinstellungen zugewiesen wird. Sie deaktivieren die Computerkonfiguration in der Gruppenrichtlinie. D { Sie konfigurieren die Gruppenrichtlinie so, dass das Softwarepaket dem Bereich Computerkonfiguration unter Softwareeinstellungen zugewiesen wird. Danach modifizieren Sie die Freigegebenen Zugriffssteuerungslisten (DACLs) der Gruppenrichtlinie so, dass nur Windows 2000 Professional Computern das Leserecht und das Recht zum Ausführen von Gruppenrichtlinien gegeben wird. - 63 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 47 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Alle Computer sind Mitglieder der Domäne. Auf allen Servern läuft Windows Server 2003, auf allen Clientrechnern Windows XP Professional. Das Netzwerk enthält Desktopclientrechner und einige portable Clientrechner. Zu den portablen Clientrechnern zählen Laptops sowie Tablet-PCs. Die Computerkonten der Clientrechner befinden sich in verschiedenen Organisationseinheiten (OUs), sortiert nach den einzelnen Abteilungen. Eine schriftliche Firmenrichtlinie verlangt, dass kein portabler Rechner unbeaufsichtigt und am Netzwerk angemeldet verlassen werden darf, wenn er nicht passwortgeschützt ist. Benutzer dürfen sich nicht über diese Anordnung hinwegsetzen. Diese trifft jedoch nicht für die Desktoprechner zu, da sich diese in gesicherten Büros befinden Sie müssen das Netzwerk so konfigurieren, dass die portablen Rechner diese Anforderung erfüllen. Was müssen Sie tun? - 64 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erstellen eine Gruppenrichtlinie, die ein Logonskript spezifiziert. Danach verbinden Sie das Gruppenrichtlinienobjekt mit der Domäne. Sie konfigurieren das Logonskript so, dass es die oeminfo.inf-Datei nach Hersteller- und Modellinformationen ließt und die Bildschirmschonereigenschaften aktiviert, falls die Hersteller- und Modellnummer einen portablen Rechner identifiziert. B { Sie erstellen eine Gruppenrichtlinie, die ein Logonskript spezifiziert. Danach verbinden Sie das Gruppenrichtlinienobjekt mit der Domäne. Sie konfigurieren das Logonskript so, dass es eine WMIAbfrage nach Herstellerinformation und ein Update der Benutzerprofilinformationen in den Active Directorys durchführt, insofern der Benutzer einen portablen Rechner verwendet. C { Sie erstellen eine Gruppenrichtlinie, die einen passwortgeschützten Bildschirmschoner spezifiziert. Danach verbinden Sie das Gruppenrichtlinienobjekt mit der Domäne. Anschließend verwenden Sie einen WMIFilter, der nach den Chassistypinformationen abfragt, sodass die Gruppenrichtlinie nur auf portable Rechner angewendet wird. D { Sie erstellen eine Gruppenrichtlinie, die einen passwortgeschützten Bildschirmschoner spezifiziert. Danach verbinden Sie das Gruppenrichtlinienobjekt mit der Domäne. Anschließend verwenden Sie einen WMIFilter, der nach der spezifischen Edition der Windows XP Professional Installation den Rechnern abfragt, sodass die Gruppenrichtlinie nur auf portable Rechner angewendet wird. - 65 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 48 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE mit fünf Standorten. Sie konfigurieren fünf Active Directory-Standorte entsprechend den Anforderungen des Standortdesignentwurfs der Firma. Die Netzwerksowie die Standortkonfiguration wird im folgenden Schaubild gezeigt: Der Standortdesignentwurf verlangt ebenfalls, dass Sie die Standortverknüpfungsbrücken konfigurieren. Das Design verlangt, dass die Standortverknüpfungen für Standort 1, Standort 2 und Standort 3 transitiv und alle anderen Standortverknüpfungen non-transitiv sind. Sie müssen die Standortverknüpfungsbrücken so konfigurieren, dass diese den Anforderungen des Standortdesignentwurfes entsprechen. Welche Aktion/en müssen Sie durchführen? (Wählen Sie alle, die angewendet werden müssen.) A Sie deaktivieren Brücke zwischen allen Standorten herstellen in den IP-Objekteigenschaften. B Sie erstellen eine neue Standortverknüpfung zwischen jedem Active Directory-Standort. C Sie entfernen jeden Standort von den Standardstandortverknüpfungen. D Sie erstellen eine neue Standortverknüpfungsbrücke. Danach fügen Sie die Standortverknüpfungen, die Standort 1, Standort 2 und Standort 3 verbinden, zu der Standortverknüpfungsbrücke hinzu. E Sie erstellen eine neue Standortverknüpfungsbrücke. Danach fügen Sie die Standortverknüpfungen, die Standort 3, Standort 4 und Standort 5 verbinden, zu der Standortverknüpfungsbrücke hinzu. - 66 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 49 Sie sind der Netzwerkadministrator Ihrer Firma. Sie besteht aus zwei Partnergesellschaften, der EDV-Beratung Eißner und der MVS M. Völk Systems. Das Firmennetzwerk enthält zwei Active Directory-Domänen in einer einzelnen Gesamtstruktur mit vier Standorten. Die Netzwerkkonfiguration wird im folgenden Schaubild gezeigt: Auf allen Clientrechnern läuft Windows XP Professional. Benutzer, die ihre Benutzerkonten in der MVSNET.DE-Domäne haben, greifen regelmäßig auf Ressourcen des Standorts 3 zu. Wenn sich die Benutzer an das Netzwerk in Standort 3 anmelden, kann der Anmeldeprozess bis zu zehn Minuten in Anspruch nehmen. Sie entdecken, dass bei der Anmeldung von Benutzern an das Netzwerk von Standort 3 die Benutzer über »MVSDC005.MVSNET.DE« in Standort 1 authentifiziert werden. Sie müssen sicherstellen, dass sich die Benutzer von MVS schneller an das Netzwerk von Standort 3 anmelden können. Was müssen Sie tun? A { Sie erhöhen die Verbindungskosten für Standortverbindung 1-3 auf 500. B { Sie konfigurieren eine Standortverknüpfungsbrücke so, dass sie die Standortverknüpfung 3-4 und die Standortverknüpfung 2-4 überbrückt. C { Sie modifizieren das Subnetzobjekt, das mit Standort 3 verbunden ist, sodass es mit Standort 1 verbunden ist. D { Sie bewegen »MVSDC005.MVSNET.DE« von Standort 1 zu Standort 3. - 67 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 50 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Die Sicherheitsvorschriften der Firma MVS M. Völk Systems benötigen folgende Zugriffsrichtlinien: • Benutzerkonten müssen nach drei Fehlversuchen der Passworteingabe für 30 Minuten gesperrt sein. • Die Freischaltung des Benutzerkontos muss manuell erfolgen. Sie müssen eine Zugriffsrichtlinie für die Domäne erstellen, die diese Sicherheitsregeln beinhaltet. Wie gehen Sie vor? (Um zu antworten, wählen Sie den entsprechenden Bestandteil oder die Bestandteile in der Grafik aus.) - 68 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 51 Sie sind ein Systemadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Verzeichnisstruktur mit drei Domänen. Alle Domänen laufen unter der Domänenfunktionsebene Windows 2000 pur. Ihre Firma übernimmt die Firma Rauschert IT Consulting GmbH. Das Netzwerk der Firma Rauschert beruht auf einer Verzeichnisstruktur mit einer Domäne und der Bezeichnung RAUSCHERT.NET. Die Domänenfunktionsebene von RAUSCHERT.NET ist Windows 2000 pur. Die Strukturen beider Firmen sieht wie folgt aus: Sie möchten, dass alle Mitarbeiter beider Firmen vollen Zugriff auf Ressourcen der jeweils anderen Firma bekommen, außerdem müssen Benutzer in der Lage sein, sich zwischen Domänen durch Verwenden der Kerberos-Bestätigung anzumelden. Sie müssen sicherstellen, dass Benutzer auf alle Ressourcen durch Verwenden ihrer vorhandenen Benutzerkonten zuzugreifen können. Was sollten Sie tun? - 69 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie stufen die Windows 2000 Domänencontroller in der Domäne RAUSCHERT.NET auf Mitgliedsserver herunter und binden diese in die Domäne MVSNET.DE ein. B { Sie stufen die Windows 2000 Domänencontroller in der Domäne RAUSCHERT.NET auf Mitgliedsserver herunter und aktualisieren sie auf Windows Server 2003. Sie fügen diese Server in einer neuen Domäne von MVSNET.DE hinzu und stufen sie zu Domänencontroller herauf. C { Sie rüsten die Windows 2000 Domänencontroller in der Domäne RAUSCHERT.NET auf Windows Server 2003 nach. Sie erstellen eine Vertrauensstellung zwischen den beiden Hauptdomänen. D { Sie rüsten alle Domänencontroller in beiden Verzeichnisstrukturen auf Windows Server 2003 nach. Sie heben die Domänenfunktionsebene in beiden Verzeichnisstrukturen auf Windows Server 2003 an. Sie erstellen eine Vertrauensstellung zwischen den beiden Hauptdomänen. - 70 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 52 Sie sind ein Systemadministrator Ihrer Firma. Die Gesellschaft besteht aus den zwei Tochtergesellschaften MVSNET.DE und RAUSCHERT.NET. Das Netzwerk besteht aus zwei aktiven Verzeichnisstrukturen. Alle Server laufen mit Windows Server 2003. Die Domänenkonfiguration ist wie in der Grafik dargestellt: Sie benennen die Domäne KC.MVSNET.DE in TRAINING.MVSNET.DE, und die Domäne PUC.MVSNET.DE in CONSULTING.MVSNET.DE um. Nachdem die Domäne umbenannt ist, können Benutzer in der Domäne CONSULTING.MVSNET.DE nicht mehr auf Ressourcen in RAUSCHERT.NET zugreifen. Außerdem berichten Benutzer in der Domäne RAUSCHERT.NET, dass sie nicht auf gemeinsam benutzte Ressourcen in der Domäne MVSPRESS.DE zugreifen können. Sie müssen den Zugriff auf Ressourcen zwischen der Domäne MVSPRESS.DE und RAUSCHERT.NET wiederherstellen. Was sollten Sie tun? - 71 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie ändern den NetBIOS-Namen für die CONSULTING.MVSNET.DE-Domäne in PUC.MVSPRESS.DE. B { Sie löschen die zwei externen Vertrauensstellungen zwischen CONSULTING.MVSNET.DE und RAUSCHERT.NET und erstellen sie wieder neu. C { Sie konfigurieren Bedingte Weiterleitung auf dem DNS-Server in der Domäne RAUSCHERT.NET, um Anfragen der Namensauflösung MVSNET.DE an die DNSServern in der Domäne CONSULTING.MVSNET.DE weiterzuleiten. D { Sie setzen alle Computerkontokennwörter auf allen Domänencontroller in der Domäne MVSPRESS.DE zurück. - 72 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 53 Sie sind ein Systemadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Verzeichnisstruktur mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene entspricht Windows Server 2003. Die Domäne enthält ein Grenznetzwerk und einen Standort mit dem Firmen-LAN, wie in der Grafik dargestellt. Die Laufwerke aller Domänencontroller sind wie in der folgenden Tabelle dargestellt, konfiguriert. Laufwerk Inhalt C: Bootpartition, Systempartition und Datenbank des Verzeichnisdienstes D: Datenbank des Verzeichnisdienstes E: Dateien und Verzeichnisse Das Motherboard auf »MVSDC002« fällt aus und wird vom Netz genommen. Eine Woche später wird auf »MVSDC003« die Funktion des Schemamasters übertragen. Sie benötigen die Daten von »MVSDC002«. Sie ersetzen das Motherboard auf »MVSDC002« und starten »MVSDC002« in einem isolierten Subnetz wieder. Sie müssen in der Lage sein, »MVSDC002« im Grenznetzwerk so schnell wie möglich zurückzubringen, um auf die Daten zugreifen zu können. Was sollten Sie tun? - 73 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie formatieren das Laufwerk D: auf »MVSDC002«. Sie übertragen die Schemabetriebsmasterfunktion auf einen Domänencontroller im Firmen-LAN. Sie entfernen die Verweise von »MVSDC002« aus dem Active Directory durch Verwendung der Tools ntdsutil.exe und adsiedit.exe auf »MVSDC001«. B { Sie formatieren das Laufwerk C: auf »MVSDC002. Sie installieren das Betriebssystem auf »MVSDC002«neu. Sie entfernen die Verweise von »MVSDC002« aus dem Active Directory durch Verwendung der Tools ntdsutil.exe und adsiedit.exe auf »MVSDC001«. C { Sie formatieren das Laufwerk C: auf »MVSDC002«. Sie führen den Befehl dcpromo auf »MVSDC002« aus. Sie übertragen die Schemabetriebsmasterfunktion auf einen Domänencontroller im Firmen-LAN. Sie fügen »MVSDC002« zur Domäne hinzu. D { Sie formatieren das Laufwerk C: auf »MVSDC002«. Sie übertragen die Schemabetriebsmasterfunktion auf einen Domänencontroller im Firmen-LAN. Sie entfernen die Verweise von »MVSDC002« aus dem Active Directory durch Verwendung der Tools ntdsutil.exe und adsiedit.exe auf »MVSDC001«. - 74 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 54 Sie sind der Netzwerkadministrator der Firma MVSNET.DE. Ihr Netzwerk besteht aus einem Verzeichnisdienst mit einem Domänencontroller. Alle Domänencontroller verwenden das Betriebssystem Windows Server 2003, die Clientcomputer Windows XP Professional. Die Verzeichnisstruktur Ihrer Firma ist wie in der Grafik dargestellt aufgebaut: Die firmeninternen Richtlinien erlauben den Mitarbeitern der Herstellungsabteilung nur beschränkte Zugriffsrechte und beschränkten Zugriff auf Anwendungen auf den Computer. Diese Richtlinie mit ihren Beschränkungen darf kein Auswirkungen auf Mitglieder der Sicherheitsgruppe Manager haben. Sie erstellen ein Gruppenrichtlinienobjekt mit der Bezeichnung Beschränke Zugriffe und wenden die Gruppenrichtlinie auf die Domäne an. Diese Richtlinie entspricht den Vorgaben der firmeninternen Richtlinie. Sie stellen fest, dass die beschränkten Zugriffe für alle Benutzer gelten. Sie überprüfen die Gruppenrichtlinie durch Verwenden der Gruppenrichtlinienverwaltung (GPMCs). Sie überprüfen die Berechtigungen für das Gruppenrichtlinienobjekt: - 75 - PRÜFUNGSFRAGEN EXAMEN 70-294 Sie müssen das Netzwerk so konfigurieren, so dass die firmeninternen Richtlinien richtig angewendet werden. Welche zwei Maßnahmen sollten Sie ergreifen? (Jede richtige Antwort ist ein Teil der Lösung. Wählen Sie zwei.) A Sie lösen die Gruppenrichtlinie von der Domäne und binden sie auf die Organisationseinheit Herstellung. B Sie lösen die Gruppenrichtlinie von der Domäne und binden sie auf die Organisationseinheit USERS. C Sie ordnen der Gruppe Authentifizierte Benutzer das Recht Verweigern auf Gruppenrichtlinien übernehmen zu. D Sie ordnen der Gruppe Manager das Recht Verweigern auf Gruppenrichtlinien übernehmen zu. - 76 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 55 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihre Firma besteht aus zwei Tochtergesellschaften mit dem Namen MVS net und MVS press. MVS net hat ein Büro in München. MVS press hat zwei Büros, eines in Puchheim und das andere in Küps. Das Netz besteht aus zwei aktiven Verzeichnisstrukturen. Eine Vertrauensstellung existiert zwischen den zwei Verzeichnisstrukturen. Eine Verzeichnisstruktur enthält eine Domäne mit dem Namen MUENCHEN.MVSNET.DE. Die andere Verzeichnisstruktur enthält zwei Domänen mit der Bezeichnung PUCHHEIM.MVSPRESS.DE und KUEPS.MVSPRESS.DE. Alle drei Büros sind durch zwei 128-Kbps Verbindungen miteinander verbunden. Alle Server verwenden das Betriebssystem Windows Server 2003. Das Netz verwendet serverbasierende Mitarbeiterprofile und Gruppenrichtlinien. Gelegentlich müssen Mitarbeiter in einem anderen als ihrem üblichen Büro arbeiten. Benutzer müssen immer denselben Desktop haben, ganz gleich wo sie sich im Netzwerk anmelden. Sie müssen sicherstellen, dass das Profil des Mitarbeiters sowie die Gruppenrichtlinien immer zur Verfügung stehen, egal von wo aus sich der Mitarbeiter anmeldet. Was sollten Sie tun? (Um die Frage zu beantworten, verschieben Sie die entsprechende/n Konfiguration/en zu der/n richtigen Richtlinie/n.) - 77 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 56 Sie sind der Netzwerkadministrator der Firma IT-Consulting MERK. Das Netzwerk besteht aus zwei aktiven Verzeichnisdiensten und jeweils aus einer einzelnen Domäne. Die Domänenfunktionsebene bei beiden Verzeichnisstrukturen ist Windows Server 2003. Eine Verzeichnisstruktur ist nur zum testen, die zweite ist eine Produktionsumgebung. Die Testumgebung enthält einen Domänencontroller. Sie verwenden die Testumgebung, um Gruppenrichtlinien für die Produktionsumgebung zu testen, und verwalten administrative Vorlagen, bevor sie in der Produktionsumgebung eingeführt werden. Diese Tests schließen Änderungen an der Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller mit ein. Sie müssen in der Lage sein, Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontrollern aus der Domäne Test in der Produktionsumgebung anwenden zu können. Sie wollen diese Aufgabe durch Verwenden des Minimalmaßes an Verwaltungsaufwand erreichen. Welche zwei Maßnahmen sollten Sie ergreifen? (Jede richtige Antwort ist Teil der Lösung. Wählen Sie zwei.) A Sie führen den Befehl dcgpofix /both in der Testdomäne aus. B Sie sichern die Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller von der Produktionsdomäne durch Verwenden der Gruppenrichtlinineverwaltung (GPMCs). C Sie importieren die Sicherheitsrichtlinie für Domänen und die für Domänencontroller in die Test-Domäne durch Verwenden der Gruppenrichtlinineverwaltung (GPMCs) und einer Migrationstabelle. D Sie sichern die ursprünglichen gptmpl.inf-Datei für die Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller von der Domäne Produktion. E Sie stellen die gesicherte gptmpl.inf Datei in der Testdomäne wieder her. F Sie erhöhen die Version in der gpt.ini-Dateien für die Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller. - 78 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 57 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Die Firma besteht aus der Hauptniederlassung und einer Zweigstelle. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung EISSNER_EDV.DE. Das Netzwerk verfügt über drei Windows Server 2003 Domänencontroller, »EDVEDC01«, »EDVEDC02« und »EDVEDC03«. Sie erstellen zwei Standorte im Verzeichnisdienst, einen für das Hauptbüro und einen für die Niederlassung. Das Netzwerk ist wie folgt aufgebaut: Die Domänencontroller werden jede Nacht mittels eines normalen Backups gesichert, ebenso wird der Systemstaus mitgesichert. - 79 - PRÜFUNGSFRAGEN EXAMEN 70-294 Sie sind verantwortlich für die Erstellung eines Notfallplanes, falls ein Domänencontroller in einem der Standorte ausfällt. Das Team definiert, dass der Netzwerkverkehr zwischen dem Hauptbüro und der Niederlassung auf ein Minimum reduziert werden muss. Das Wiederherstellen der Sicherung soll ebenfalls auf ein Minimum reduziert werden. Sie müssen in ihrem Plan das Wiederherstellen des Verzeichnisdienstes im Fall das die Hardware eines Servers ausfällt berücksichtigen. Welche zwei Aktionen sollte Ihr Plan beinhalten? (Jede Antwort ist ein Teil der Lösung.) A Zurücksichern des Systemstaus eines jeden Domänencontrollers auf irgendeinen Mitgliedsserver im gleichen Netzwerk. B Sie führen eine autorisierte Wiederherstellung an einem funktionierenden Domänencontroller durch. C Sie führen auf einem im gleichen Netzwerk wie der ausgefallenen Domänencontroller verfügbaren Mitgliedsserver den Befehl dcpromo /adv und aktivieren die Option Über das Netzwerk aus. D Sie führen auf einem im gleichen Netzwerk wie der ausgefallenen Domänencontroller verfügbaren Mitgliedsserver den Befehl dcpromo /adv aus und aktivieren die Option Von folgenden wieder hergestellten Sicherungsdateien kopieren. - 80 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 58 Sie sind der Netzwerkadministrator der Firma IT-Consulting Merk. Ihr Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MERK.NET. Die Domänenfunktionsebene ist Windows Server 2003. Ihre Domäne besteht aus Windows Server 2003 Rechnern und Windows XP Professional Computern. Die Domäne ist wie in der Grafik dargestellt aufgebaut: Alle produktiven Server sind in der organisatorischen Einheit Server zusammengefasst, alle Clientcomputer in der organisatorischen Einheit Desktop. Auf jede dieser beiden organisatorischen Einheiten ist eine Gruppenrichtlinie verknüpft. Ihre Firma möchte eine neue Sicherheitsrichtlinie einführen. Einige dieser neuen Einstellungen sollen sich nur auf Clientcomputer der Domäne auswirken, andere nur auf die Server. Sie sollen die neuen Einstellungen in bereits vorhandene Richtlinien einbinden. Sie konfigurieren zehn neue Windows XP Professional Computer und fünf neue Windows Server 2003 Server, um den Einsatz der neuen Sicherheitseinstellungen über die geänderten Gruppenrichtlinien zu testen. Sie verwenden die Gruppenrichtlinienverwaltung, um die vorhandenen Gruppenrichtlinien für den Test zu kopieren. Sie müssen sich entscheiden, wo sie die Testcomputer in der Domäne platzieren. Sie sollten den Verwaltungsaufwand so gering wie möglich halten, und Ihre Tests dürfen keine Auswirkung auf die Produktionsumgebung haben. Des Weitern sollen Sie vermeiden, dass Gruppenrichtlinien mit mehreren organisatorischen Einheiten verbunden sind. Wie gehen Sie vor? - 81 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie verschieben alle Testcomputer in die organisatorische Einheit MERK.NET. B { Sie verschieben alle Testcomputer in die organisatorische Einheit Computer. C { Sie verschieben alle Testcomputer in die organisatorische Einheit Desktop und alle Testserver in die organisatorische Einheit Server. D { Sie erstellen eine untergeordnete organisatorische Einheit unter der organisatorischen Einheit Desktop für die Testcomputer. Sie erstellen eine untergeordnete organisatorische Einheit unter der organisatorischen Einheit Server für die Testserver. E { Sie erstellen eine neue organisatorische Einheit Test in der Domäne MERK.NET. Darunter erstellen Sie zwei untergeordnete organisatorische Einheiten, eine für die Testcomputer und eine für die Testserver. - 82 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 59 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003, alle Clientcomputer Windows NT 4.0 Workstation, Windows 2000 Professional und Windows XP Professional. Alle Computerkonten sind in der Organisationseinheit Firmen Computer zusammengefasst, alle Benutzerkonten in der Orgasnisationseinheit Firmen Mitarbeiter. Ihre Firma erstellt eine Sicherheitsvorgabe, bei der alle Mitarbeiter, die sich an einem Computer im Netzwerk anmelden, ein Mitteilungsfenster bekommen. Diese Mitteilungsfenster soll eine Warnung vor unbefugter Benutzung des Computers ausgeben. Sie müssen sicherstellen dass alle Mitarbeiter dieses Mitteilungsfenster bekommen, wenn Sie sich im Netzwerk anmelden möchten. Welche zwei Optionen würden Sie verwenden? (Jede richtige Antwort ist ein Teil der gesamten Lösung.) A Sie erstellen ein Gruppenrichtlinienobjekt, das die geforderten Einstellungen in dem Bereich interaktive Anmeldung enthält und verknüpfen dieses Gruppenrichtlinienobjekt mit der Domäne. B Sie erstellen ein Skript, das diese Informationen ausgibt. Sie erstellen ein Gruppenrichtlinienobjekt und lassen dieses Skript beim Starten ausführen. Sie verknüpfen dieses Gruppenrichtlinienobjekt mit der Organisationseinheit Firmenmitarbeiter. C Sie erstellen eine Richtlinie mit dem Namen ntconfig.pol, die die geforderten Einstellungen enthält. Sie kopieren diese Datei in den dafür vorgesehenen Ordner auf dem Domänenkontroller. D Sie erstellen eine Datei mit dem Namen autoexec.bat, die die Warnungen enthält, und kopieren diese Datei auf allen Clients auf das Laufwerk C: - 83 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 60 Sie sind der Netzwerkadministrator Ihrer Firma. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003. Die Struktur der Domänen und der Organisationseinheiten ist wie in der Grafik dargestellt: Benutzer in der Forschungsabteilung haben ihre Benutzerkonten in der Domäne FORSCHUNG.MVSNET.DE. Alle anderen Benutzerkonten und Ressourcen sind in der Domäne MVSNET.DE. Alle Domänencontroller befinden sich in den entsprechenden Organisationseinheiten Domänencontroller in den eigenen Domänen. Keine Computer- oder Benutzerkonten sind in der Organisationseinheit Domänencontroller vorhanden. Die Firmenpolitik schreibt vor, dass alle Benutzer in der Forschungsabteilung komplexe Kennwörter mit mindestens neun Zeichen verwenden müssen. Die Richtlinie gibt vor, dass alle anderen Mitarbeiter von diesen Einstellungen nicht betroffen sind. Alle betroffenen Mitarbeiter haben ihr Benutzerkonto in der der Organisationseinheit FORSCHUNG in der Domäne FORSCHUNG.MVSNET.DE. Sie erstellen ein Gruppenrichtlinienobjekt mit den erforderlichen Einstellungen. Sie müssen sicherstellen, dass von diesen Einstellungen nur Mitarbeiter der Forschungsabteilung betroffen sind, auf alle anderen Mitarbeiter dürfen diese Einstellungen keine Auswirkung haben. - 84 - PRÜFUNGSFRAGEN EXAMEN 70-294 Wo sollten Sie das Gruppenrichtlinienobjekt verknüpfen? A { Mit der Domäne FORSCHUNG.MVSNET.DE. B { Mit der Domäne MVSNET.DE. C { Mit der Organisationseinheit Forschung in der Domäne FORSCHUNG.MVSNET.DE. D { Mit der Organisationseinheit Domänencontroller in der der Domäne MVSNET.DE. - 85 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 61 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden Windows Server 2003 als Betriebssystem. Die Domänenfunktionsebene ist Windows Server 2003. Die Struktur der Firma können Sie in der Grafik ersehen: Ihre Firma verwendet eine Applikation für die Verkaufs- und Marketingabteilung die auf dem X.500 Standard basiert. Diese Software wird nur von Mitarbeitern der Verkaufs- und Marketingabteilung verwendet. Die Software verwendet InetOrgPerson-Objekte für die Benutzerkonten. Diese InetOrgPerson-Objekte sind im Verzeichnisdienst für alle Mitarbeiter der Verkaufs- und Marketingabteilung vorhanden. Die Mitarbeiter sind angewiesen, bei der Anmeldung die InetOrgPersonObjekte als ihr Benutzerkonto zu verwenden. Der Microsoft Identity Integration Server ist so konfiguriert, dass er Änderungen der InetOrgPerson-Objekte aus dem Verzeichnisdienst in die X.500 Verzeichnisdienst-Software kopiert. Die Mitarbeiter der Marketingabteilung sind in der Organisationseinheit MARKETING zusammengefasst, die Mitarbeiter der Verkaufsabteilung in der Organisationseinheit VERKAUF. Daniel ist einer der Administratoren der Firma MVS M. Völk Systems. Daniel ist dafür verantwortlich, die Objekte für Benutzer, die Zugang zum X.500 Verzeichnisdienst benötigen, zu verwalten. Sie müssen den Verzeichnisdienst konfigurieren, damit Daniel seinen Aufgaben nachkommen kann. Welche Aktion oder Aktionen würden Sie auswählen? (Wählen Sie alle notwendigen Aktionen aus.) - 86 - PRÜFUNGSFRAGEN EXAMEN 70-294 A Sie erteilen auf der Domäne Daniel das Recht zur Verwaltung von BenutzeroObjekten. B Sie erteilen auf der Domäne Daniel das Recht zur Verwaltung von InetOrgPerson-Objekten. C Sie blockieren auf der Organisationseinheit VERKAUF die Vererbung der Rechte. D Sie blockieren auf der Organisationseinheit MARKETING die Vererbung der Rechte. E Sie blockieren auf der Organisationseinheit DEV die Vererbung der Rechte. - 87 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 62 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems mit sechs Büros. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Jedes Büro verfügt über Mitarbeiter, die in den Abteilungen VERTRIEB, MARKETING und PRODUKTION arbeiten. Die Verwaltung des Verzeichnisdienstes unterliegt der EDV-Abteilung. Die EDV-Abteilung stellt eine Helpdesk, 2nd Level Support und eine MIS-Gruppe zur Verfügung. Jedes Büro verfügt über einen Mitarbeiter, der im Helpdesk arbeitet. Die administrative Verantwortlichkeit ist wie in nachfolgender Tabelle verteilt: Gruppe Aufgabe Helpdesk Wartung der Benutzerkonten aller Mitarbeiter, die nicht verwaltet werden. 2nd Level Support Benutzerkonto für alle Mitglieder des Helpdesks zur Verwaltung von Benutzerkonten MIS-Gruppe Verwaltung der Servicekonten, Warten der Domänenadministratorenkonten und hinzufügen von Konten in den Verzeichnisdienst. Sie benötigen einen Plan der Organisationseinheiten zur Verteilung der Verwaltungsaufgaben. Ihr Plan muss sicherstellen, dass die Berechtigungen zur Wartung mit einem Minimum an Verwaltungsaufgaben durchgeführt werden kann. Welche Struktur würden Sie verwenden? - 88 - PRÜFUNGSFRAGEN EXAMEN 70-294 A B - 89 - PRÜFUNGSFRAGEN EXAMEN 70-294 C - 90 - PRÜFUNGSFRAGEN EXAMEN 70-294 D - 91 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 63 Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Die Firma besteht aus zwei Gesellschaften mit den Bezeichnungen Merk und MVSPress. Das Netzwerk besteht aus einem Verzeichnisdienst, der aus drei Domänen besteht. Die Domänen- und Standortkonfiguration ersehen Sie aus der Grafik: Ein Computer mit der Bezeichnung »DC1.NORD.MERK.NET« und ist ein Domänencontroller der Domäne NORD.MERK.NET. »DC1.NORD.MERK.NET« ist der globale Katalogserver und der bevorzugte Brückenkopfserver des Standortes NORD. Die Verzeichnisdatenbank auf »DC1.NORD.MERK.NET« ist ca. 1GB groß. Die Abteilung NORD implementiert eine Software, die den Verzeichnisdienst aktiv verwendet. Sie erwarten, dass die Größe der Datenbank auf »DC1.NORD.MERK.NET« um weitere 200 MB zunimmt. Der Verzeichnisdienst auf »DC1.NORD.MERK.NET« beendet seine Funktion. Nach einer Überprüfung stellen Sie fest, dass der verfügbare Festplattenplatz kleiner als 5 MB ist. Sie müssen den Verzeichnisdienst auf »DC1.NORD.MERK.NET« wieder starten. Sie müssen den Server so konfigurieren, dass ausreichender Festplattenplatz für weitere Daten, die dem Verzeichnisdienst hinzugefügt werden, zur Verfügung steht. Was sollten Sie tun? - 92 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie löschen Sie alle Protokolldateien aus dem SYSVOLVerzeichnis. B { Sie installieren eine zusätzliche Festplatte auf »DC1.NORD.MERK.NET«. Sie verwenden das Tool ntdsutil, um die Verzeichnisdatenbank auf die neue Festplatte zu verschieben. C { Sie installieren Sie eine zusätzliche Festplatte auf »DC1.NORD.MERK.NET«. Sie verwenden das Tool ntdsutil, um die Protokolldateien auf die neue Festplatte zu verschieben. D { Sie konfigurieren einen anderen Server in dem Standort als Brückenkopfserver. Sie konfigurieren »DC1.NORD.MERK.NET« so, dass er nicht mehr als bevorzugter Brückenkopfserver fungiert. - 93 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 64 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit einer Domäne und der Bezeichnung MVSPRESS.DE. Die Domänenfunktionsebene ist Windows Server 2003. MVS M. Völk Systems kauft eine Firma mit dem Domänennamen EDVEISSNER.DE. Das Netzwerk von EDV-EISSNER.DE besteht aus einer Windows NT4 Kontendomäne und zwei Windows NT4 Ressourcendomänen (siehe Grafik): Alle Dateien liegen auf dem Dateiserver in der Domäne EDVEissner1 Sie möchten folgende Ziele erreichen: • Die Anzahl der Vertrauensstellungen auf ein Minimum reduzieren. • Benutzer in jeder Firma benötigen Zugriff auf die Dateien, die in der jeweils anderen Firma liegen. Welche zwei Aktionen müssen Sie durchführen? (Jede richtige Antwort ist ein Teil der gesamten Lösung.) - 94 - PRÜFUNGSFRAGEN EXAMEN 70-294 A Sie erstellen eine Einweg-Vertrauensstellung, in der die Domäne EDVEISSNER1 der Domäne MVSPRESS.DE vertraut. B Sie erstellen eine Einweg-Vertrauensstellung, in der die Domäne MVSPRESS.DE der Domäne EDVEISSNER1 vertraut. C Sie erstellen eine Einweg-Vertrauensstellung, in der die Domäne MVSPRESS.DE der Domäne EDV-EISSNER.DE vertraut. D Sie erstellen eine Einweg-Vertrauensstellung, in der die Domäne EDV-EISSNER.DE der Domäne MVSPRESS.DE vertraut. - 95 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 65 Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Ihre Firma besteht aus den zwei Geschäftsbereichen Wartung und ITDienstleitung. Das Netzwerk besteht aus einem Verzeichnisdienst. Die Domänenfunktionsebene ist Windows Server 2003. Der Verzeichnisdienst besteht aus der Hauptdomäne MERK.NET und einer zusätzlichen Domäne mit der Bezeichnung WARTUNG.MERK.NET; diese Domäne enthält zwei untergeordnete Domänen. Alle Server verwenden Windows Server 2003 als Betriebssystem. Der Verzeichnisdienst ist mit den Standardeinstellungen konfiguriert. Der Verzeichnisdienst enthält 250.000 Objekte, die häufig geändert werden. Sie müssen einige Objekte in einer der untergeordneten Domänen von WARTUNG.MERK.NET von einem drei Monate alten Backup wiederherstellen. Sie müssen eine Änderung am Verzeichnisdienst auf einem der Domänenkontroller in einer der Domänen vornehmen, um dieses Ziel erreichen zu können. Welche zwei Aktionen führen Sie zum Ziel? (Jede einzelne richtige Antwort ist als vollständige Lösung zu betrachten.) A Sie führen das Tool netdom auf einem Domänenkontroller der Domäne WARTUNG.MERK.NET aus. B Sie verwenden das Tool ntdsutil auf einem Domänenkontroller der Domäne MERK.NET. C Sie verwenden das Tool adsiedit auf einem Domänenkontroller der Domäne WARTUNG.MERK.NET. D Sie führen das Tool ldp auf einem Domänenkontroller der Domäne MERK.NET aus. - 96 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 66 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst, der aus einer Hauptdomäne und einer untergeordneten Domäne besteht. Im Verzeichnisdienst sind drei eigenständige Standorte vorhanden. Standort Server Standort 1 SERVER1.MVSNET.DE SERVER2.MVSNET.DE SERVER1.EUROPA.MVSNET.DE SERVER2.EUROPA.MVSNET.DE Standort 2 SERVER3.MVSNET.DE SERVER4.MVSNET.DE Standort 3 SERVER3.EUROPA.MVSNET.DE SERVER4.EUROPA.MVSNET.DE SERVER5.MVSNET.DE SERVER6.MVSNET.DE Das Netzwerk wird nicht vollständig geroutet, es besteht keine physikalische Verbindung zwischen Standort 1 und Standort 3. Standortverbindungen werden nicht überbrückt. Sie stellen fest, dass der Domänenkontroller für EUROPA.MVSNET.DE im Standort 1 über Benutzerkonten verfügt, die nicht auf dem Domänenkontroller im Standort 3 für die Domäne EUROPA.MVSNET.DE vorhanden sind. Sie überprüfen das Protokoll Verzeichnisdienst in der Ereignisanzeige auf einem Domänencontroller für EUROPA.MVSNET.DE und finden mehrere Ereigniskennungen 1311. Sie müssen das Problem lösen, das diesen Fehler verursacht. Wie gehen Sie vor? A { Sie fügen einen Domänencontroller für EUROPA.MVSNET.DE im Standort 2 hinzu. B { Sie erstellen eine Standortverknüpfungsbrücke zwischen den Standortverbindungen von Standort 1 und Standort 3. C { Sie konfigurieren mindestens einen Domänencontroller in jedem Standort als globalen Katalogserver. D { Sie erstellen eine Standortverknüpfung zwischen dem Standort 1 und dem Standort 3. - 97 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 67 Sie sind Mitglied der Administratorengruppe des Windows Server 2003Netzwerkes der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Domäne mit der Bezeichnung EISSNER-EDV.DE. Das Büro in Veilsdorf hat eine eigene Organisationseinheit mit der Bezeichnung Veilsdorf. Sie engagieren eine Angestellte namens Karin als LAN-Administrator für das Büro in Veilsdorf. Karin muss untergeordnete Organisationseinheiten für das Büro Veilsdorf erstellen. Außerdem soll sie die eigens erstellten Organisationseinheiten überprüfen können. Sie möchten Karin nur ein Minimum an Berechtigungen für die Organisationseinheit Veilsdorf geben, damit sie ihre Aufgaben ausführen kann. Welche Berechtigungen sollten Sie ihr geben? A { Alle Eigenschaften lesen, Organisationseinheit erstellen, alle Eigenschaften schreiben. B { Alle Eigenschaften lesen, Inhalt auflisten, Organisationseinheit erstellen. C { Inhalt auflisten, alle untergeordnete Objekte erstellen. D { Alle Eigenschaften schreiben, alle erweiterten Rechte. - 98 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 68 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Domäne. Das Hauptbüro befindet sich in Puchheim. Zudem existieren weitere Zweigbüros in Kronach und Veilsdorf. Die Büros sind über dedizierte 256-Kbps-Leitungen miteinander verbunden. Um die Anmeldezeiten über die langsamen Leitungen zu verringern, erstellen Sie für jedes Büro in Active Directory einen Standort und konfigurieren Standortverknüpfungen zwischen den Standorten. Benutzer der Zweigbüros berichten, dass es sehr lange dauert, sich an der Domäne anzumelden. Sie beobachten das Netzwerk und entdecken, dass jeglicher Authentifizierungsverkehr noch immer zu den Domänencontrollern in Puchheim gesendet wird. Sie müssen die Netzwerkperformance verbessern. Was müssen Sie tun? A { Sie richten die Replikation so ein, dass sie in einem kürzeren Zeitintervall zwischen den Standorten stattfindet. B { Sie richten die Replikation so ein, dass sie in einem längeren Zeitintervall zwischen den Standorten stattfindet. C { Sie erstellen für jeden physikalischen Standort ein Subnetz und verbinden dieses mit dem Standort Puchheim. Danach verschieben Sie die Domänencontrollerobjekt in den Standort Puchheim. D { Sie erstellen für jeden physikalischen Standort ein Subnetz und verbinden jedes Subnetz mit seinem Standort. Danach verschieben Sie die Domänencontrollerobjekte in den jeweiligen Standort. - 99 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 69 Sie sind der Administrator des Windows Server 2003-Netzwerks der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus zwei Active DirectoryStandorten: Veilsdorf und Puchheim. Zudem enthält das Netzwerk zwei Domänen: EISSNER-EDV.DE und MVS.EISSNER-EDV.DE. Die Konfiguration des Netzwerks wird im folgenden Schaubild gezeigt: Die Benutzer von Puchheim reisen oft mit ihren mobilen Rechnern nach Veilsdorf. Wenn sich diese Benutzer an das Netzwerk in Veilsdorf anmelden, erscheint sehr lange der Text Benutzereinstellungen werden geladen. Sie wollen sicherstellen, dass für die Benutzer von Puchheim diese Verzögerung nicht mehr auftritt. Was müssen Sie tun? A { Sie verbinden das Subnetz von Veilsdorf mit dem Standort Puchheim. B { Sie erstellen eine Vertrauensstellung, sodass EISSNEREDV.DE der Domäne MVS.EISSNER-EDV.DE vertraut. C { Sie installieren einen Domänencontroller für MVS.EISSNER-EDV.DE im Subnetz von Veilsdorf. D { Sie verwenden das Snap-In Active Directory-Standorte und -Dienste, um »FDEDC003« in den Standort Veilsdorf zu verschieben. - 100 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 70 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Sie administrieren die Windows Server 2003-Domäne EISSNER-EDV.DE und eine Subdomäne mit der Bezeichnung SUB1.EISSNER-EDV.DE. SUB1.EISSNER-EDV.DE enthält alle Benutzerkonten des Netzwerkes. Ihre Firma arbeitet mit der Firma MVS M. Völk Systems zusammen. Das Netzwerk von MVS besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Stammdomäne mit der Bezeichnung MVSNET.DE enthält. Zudem existiert eine Subdomäne mit der Bezeichnung SUB1.MVSNET.DE. Auf allen Domänencontrollern läuft Windows Server 2003. Beide Domänen enthalten Benutzerkonten und Ressourcenserver. Die Domänen und bereits existierenden Vertrauensstellungen werden im folgenden Schaublid dargestellt: Sie sollen so wenig wie möglich Vertrauensstellungen erstellen, um den Benutzern von SUB1.EISSNER-EDV.DE Zugriff auf beide Domänen in der Gesamtstruktur MVSNET.DE zu geben. Was müssen Sie tun? - 101 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erstellen eine Einwegvertrauensstellung, in der die EISSNER-EDV.DE-Domäne der MVSNET.DE-Domäne vertraut. B { Sie erstellen eine Gesamtstrukturvertrauensstellung zwischen MVSNET.DE und EISSNER-EDV.DE. C { Sie erstellen eine Einwegvertrauensstellung, in der die SUB1.EISSNER-EDV.DE-Domäne der MVSNET.DE-Domäne vertraut. Danach erstellen Sie eine Einwegvertrauensstellung, in der die SUB1.EISSNEREDV.DE-Domäne der SUB1.MVSNET.DE-Domäne vertraut. D { Sie erstellen eine Einwegvertrauensstellung, in der die MVSNET.DE-Domäne der SUB1.EISSNER-EDV.DE-Domäne vertraut. Danach erstellen Sie eine Einwegvertrauensstellung, in der die SUB1.MVSNET.DEDomäne der SUB1.EISSNER-EDV.DE-Domäne vertraut. - 102 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 71 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die zwei Domänen enthält. Die Domänen haben die Bezeichnungen EISSNER-EDV.DE und SUB1.EISSNER-EDV.DE. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. Ihre Firma kooperiert mit der Firma MVS M. Völk Systems. Das Firmennetzwerk von MVS besteht ebenfalls aus einer einzelnen Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält zwei Domänen mit den Bezeichnungen MVSNET.DE und SUB1.MVSNET.DE. Die Domänenfunktionsebene beider Domänen ist Windows 2000 pur. Auf allen Domänencontrollern in der Gesamtstruktur läuft Windows 2000 Server. Die Benutzer in den Domänen SUB1.EISSNER-EDV.DE und SUB1.MVSNET.DE müssen auf einfachstem Weg auf gemeinsam genutzte Informationen zugreifen können. Die Daten befinden sich auf Windows Server 2003 Mitgliedsservern in beiden Domänen. Sie müssen die Vertrauensstellungen zwischen den Domänen so konfigurieren, dass die Benutzer gemeinsam auf die Informationen zugreifen können. Sie wollen dieses Ziel mit einem Minimum an administrativem Aufwand erreichen. Was müssen Sie tun? A { Sie erstellen eine bidirektionale Gesamtstrukturvertrauensstellung zwischen den Domänen EISSNER-EDV.DE und MVSNET.DE. B { Sie erstellen eine unidirektionale externe Vertrauensstellung, in der die Domäne SUB1.EISSNEREDV.DE der Domäne SUB1.MVSNET.DE vertraut. Danach erstellen Sie eine weitere unidirektionale externe Vertrauensstellung, in der die Domäne SUB1.MVSNET.DE der Domäne SUB1.EISSNER-EDV.DE vertraut. C { Sie erstellen eine unidirektionale externe Vertrauensstellung, in der die Domäne EISSNER-EDV.DE der Domäne MVSNET.DE vertraut. Danach erstellen Sie eine weitere unidirektionale externe Vertrauensstellung, in der die Domäne MVSNET.DE der Domäne EISSNEREDV.DE vertraut. D { Sie erstellen eine unidirektionale externe Vertrauensstellung, in der die Domäne MVSNET.DE der Domäne SUB1.MVSNET.DE vertraut. Danach erstellen Sie eine weitere unidirektionale externe Vertrauensstellung, in der die Domäne EISSNER-EDV.DE der SUB1.MVSNET.DE-Domäne vertraut. - 103 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 72 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit den beiden Domänen MVSNET.DE und SUB1.MVSNET.DE. Auf allen Domänencontrollern läuft Windows Server 2003. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. MVS fusioniert mit der Firma EDV-Beratung Eißner. Das Firmennetzwerk der EDV-Beratung Eißner besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Domäne mit der Bezeichnung EISSNER-EDV.DE enthält. Auf allen Domänencontrollern läuft Windows Server 2003. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. Die Benutzer der Domäne MVSNET.DE benötigen Zugriff auf Datei- und Druckressourcen des Rechner »FDESRV01.EISSNER-EDV.DE«. Die Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf alle Rechner in der Gesamtstruktur MVSNET.DE. Die Administratoren sollen die Möglichkeit haben, den Benutzern Zugriff auf die benötigten Ressourcen zu gewähren. Was müssen Sie tun? A { Sie erstellen eine bidirektionale Gesamtstrukturvertrauensstellung zwischen den Domänen MVSNET.DE und EISSNER-EDV.DE. In der Domäne MVSNET.DE aktivieren Sie die gesamtstrukturweite Authentifizierung für die EISSNER-EDV.DE-Domäne. In der Domäne EISSNER-EDV.DE aktivieren Sie die ausgewählte Authentifizierung für die MVSNET.DEDomäne. B { Sie erstellen eine bidirektionale externe Vertrauensstellung zwischen der Domäne MVSNET.DE und der EISSNER-EDV.DE-Domäne. C { Sie erstellen eine unidirektionale Gesamtstrukturvertrauensstellung, in der die Domäne EISSNER-EDV.DE der MVSNET.DE-Domäne vertraut. In der MVSNET.DE -Domäne aktivieren Sie die gesamtstrukturweite Authentifizierung für die EISSNEREDV.DE-Domäne. D { Sie erstellen eine unidirektionale Gesamtstrukturvertrauensstellung, in der die Domäne MVSNET.DE der EISSNER-EDV.DE-Domäne vertraut. Sie erstellen eine zweite unidirektionale Gesamtstrukturvertrauensstellung, in der die Domäne EISSNER-EDV.DE der Domäne MVSNET.DE vertraut. - 104 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 73 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus zwei Active Directory-Domänen. Auf allen Servern läuft Windows Server 2003. Die Firma hat Büros in mehreren Städten, wie folgendes Schaubild zeigt: Jedes Büro ist als ein Active Directory-Standort konfiguriert. Es sind globale Katalogserver in den Standorten Veilsdorf und Puchheim vorhanden. Sie aktivieren Zwischenspeicherung für universelle Gruppenmitgliedschaft für alle anderen Standorte. Die Benutzer verwenden eine Active Directory-integrierte Anwendung. Die Anwendung liest Daten vom globalen Katalog. Benutzer berichten, dass in der Zeit der höchsten Netzwerkauslastung die Anwendung sehr langsam reagiert. Sie sollen die Reaktionszeit der Anwendung verbessern. Was müssen Sie tun? A { Sie deaktivieren Zwischenspeicherung für universelle Gruppenmitgliedschaft in den Standorten Erfurt, Riesa, Kronach und München. B { Sie verringern das Replikationszeitintervall für die Standortverknüpfungen, die die Standorte Erfurt und Riesa mit dem Standort Veilsdorf, und die Standorte Kronach und München mit dem Standort Puchheim verbinden. C { Sie konfigurieren globale Katalogserver in den Standorten Erfurt, Riesa, Kronach und München. D { Sie führen eine Offline-Defragmentierung der Active Directory-Datenbank auf den Domänencontrollern in den Standorten Veilsdorf und Puchheim durch. - 105 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 74 Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Zwei Kunden dieser Firma sind das AHE Erfurt und die KIG Meiningen. Die Domäneninfrastruktur wird im folgenden Schaubild gezeigt: Alle Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf die Ressourcen der Domäne AHE-ERFURT.DE. Einige Benutzer der EISSNEREDV.DE-Domäne benötigen Zugriff auf die Ressourcen der Domäne VERKAUF.KIG-MGN.DE. Die Benutzer der Domäne EISSNER-EDV.DE benötigen keinen Zugriff auf die Ressourcen der Domäne VERKAUF.AHEERFURT.DE. Es besteht eine bidirektionale Vertrauensstellung zwischen den Domänen EISSNER-EDV.DE und KIG-MGN.DE. Sie stellen fest, dass die Benutzer der Domäne EISSNER-EDV.DE keinen Zugriff auf die Ressourcen der VERKAUF.KIG-MGN.DE- Domäne haben. Sie müssen sicherstellen, dass alle Benutzer der Domäne EISSNEREDV.DE Zugriff auf die benötigten Ressourcen in den anderen Gesamtstrukturen haben. Was müssen Sie tun? - 106 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie aktivieren das Routing des VERKAUF.AHE-ERFURT.DENamenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach deaktivieren Sie das Routing des VERKAUF.KIG-MGN.DENamenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf KIG-MGN.DE. B { Sie deaktivieren das Routing des VERKAUF.AHEERFURT.DE-Namenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach aktivieren Sie das Routing des VERKAUF.KIG-MGN.DE-Namenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf KIG-MGN.DE. C { Sie aktivieren das Routing des VERKAUF.AHE-ERFURT.DENamenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach aktivieren Sie das Routing des VERKAUF.KIG-MGN.DENamenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf KIG-MGN.DE. D { Sie deaktivieren das Routing des VERKAUF.AHEERFURT.DE-Namenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach deaktivieren Sie das Routing des VERKAUF.KIG-MGN.DE-Namenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf KIG-MGN.DE. - 107 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 75 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit zwei Domänen mit den Bezeichnungen MVSNET.DE und PUCHHEIM.MVSNET.DE. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. Das Netzwerk enthält zwei Standorte mit den Bezeichnungen Puchheim und Kronach. Eine 128 Kbps Standortverbindung verbindet Puchheim mit Kronach. In der Domäne MVSNET.DE befindet sich ein Domänencontroller mit der Bezeichnung »MVSDC001« im Standort Kronach. Die Domäne PUCHHEIM.MVSNET.DE verfügt über einen Domänencontroller mit der Bezeichnung »MVSDC002« im Standort Puchheim. »MVSDC001« ist ein Active Directory-integrierter DNS-Server und fungiert gleichzeitig als globaler Katalogserver. Es existieren 1500 Benutzer im Standort Kronach und 80 Benutzer im Standort Puchheim. Benutzer im Standort Puchheim berichten, dass die Anmeldung am Netzwerk sehr lange dauert. Sie müssen sicherstellen, dass sich die Benutzer von Puchheim schneller anmelden können. Was müssen Sie tun? A { Sie vermindern den Wert der maximalen Gültigkeitsdauer des Benutzertickets in den Kerberos-Richtlinien der Standarddomänengruppenrichtlinie (GPO) der PUCHHEIM.MVSNET.DE-Domäne. B { Sie aktivieren Zwischenspeicherung der universellen Gruppenmitgliedschaft für »MVSDC002« in den Active Directory-Standorten und -Diensten. C { Sie aktivieren die interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen in der Standarddomänengruppenrichtlinie (GPO) der Domäne PUCHHEIM.MVSNET.DE. D { Sie vermindern den Wert für das Replikationszeitintervall für die Standortverbindung zwischen Puchheim und Kronach. - 108 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 76 Sie sind der Netzwerkadministrator in Ihrer Firma. Die Firma besteht aus drei Partnergesellschaften: MVS M. Völk Systems, EDV-Beratung Eißner und IT-Consulting Merk. Das Firmennetzwerk enthält drei Active Directory-Gesamtstrukturen, die externe Vertrauensstellungen enthalten, wie folgendes Schaubild zeigt: Die Gesamtstrukturfunktionsebene ist Windows 2000. Die Domänenfunktionsebene aller Domänen ist Windows 2000 pur. MVS verlangt, dass die Benutzer jeder Domäne Zugriff auf Ressourcen in allen anderen Domänen aller Gesamtstrukturen haben. Es soll ein Minimum an Vertrauensstellungen verwendet werden. Sie müssen sicherstellen, dass die Benutzer kein weiteres Konto in einem der anderen beiden Gesamtstrukturen haben. Sie sollen dieses Ziel mit einem Minimum an administrativem Aufwand erfüllen. Sie aktualisieren jeden Domänencontroller auf Windows Server 2003. Welche zusätzliche/n Aktion/en müssen Sie durchführen? (Wählen Sie alle, die angewendet werden sollen.) - 109 - PRÜFUNGSFRAGEN EXAMEN 70-294 A Sie erhöhen die Domänenfunktionsebene jeder Domäne auf Windows Server 2003. B Sie erstellen Shortcut-Vertrauensstellungen zwischen jeder Subdomäne. C Sie ersetzen existierende externe Vertrauensstellungen durch bidirektionale Gesamtstrukturvertrauensstellungen. D Sie erstellen eine bidirektionale Gesamtstrukturvertrauensstellung zwischen MVSNET.DE und EISSNER-EDV.DE. - 110 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 77 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Gesamtstrukturstammdomäne mit der Bezeichnung EISSNER-EDV.DE und eine Sub-Domäne mit der Bezeichnung SUB1.EISSNER-EDV.DE enthält. Die Firma verwendet universelle Gruppen, um temporär angestellten Mitarbeitern den Zugriff auf vertrauliche Informationen auf Rechnern der Gesamtstruktur zu gewähren. In der Domäne SUB1.EISSNER-EDV.DE befindet sich ein Windows 2000 Server mit der Bezeichnung »FDEDC001«. Auf »FDEDC001« läuft eine Anwendung, die häufige LDAP-Abfragen an den globalen Katalog sendet. »FDEDC001« befindet sich in einem Subnetz, das mit dem Active Directory-Standort 2 verbunden ist, der keine globalen Katalogserver enthält. Standort 2 ist über eine WAN-Verbindung mit dem Hauptstandort verbunden. Sie sollen für die Anwendung auf »FDEDC001« die Voraussetzung schaffen, dass sie auf einem hohen Performancelevel ausgeführt wird und zudem beim Ausfall der WAN-Verbindung fortgesetzt wird. Zudem müssen Sie den Netzwerkverkehr über die WAN-Verbindung reduzieren. Was müssen Sie tun? A { Sie aktivieren die Zwischenspeicherung der universellen Gruppenmitgliedschaft im Standort 2. B { Sie konfigurieren mindestens einen globalen Katalog im Standort 2. C { Sie ergänzen den Schlüssel Hkey_Local_Machine\System\CurrentControlset\Co ntrol\Lsa\IgnoreGcFailures in der Registrierdatenbank aller Domänencontroller im Standort 2. D { Sie entfernen »FDEDC001« von der Domäne SUB1.EISSNER-EDV.DE und fügen »FDEDC001« einer Arbeitsgruppe hinzu. - 111 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 78 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Mehrere Windows 2000 Domänencontroller befinden sich in zwei Standorten mit den Bezeichnungen Veilsdorf und Riesa. Die Domäne enthält eine Organisationseinheit (OU) mit der Bezeichnung Buchhaltung. Sie müssen eine Antivirensoftware auf alle Rechner im Netzwerk verteilen, ohne dass Benutzer in diesen Vorgang eingreifen müssen. Zudem müssen Sie eine spezielle Buchhaltungsanwendung an die Benutzerkonten der Buchhaltung verteilen, ohne dass Benutzer in diesen Vorgang eingreifen müssen. Die Buchhaltungssoftware muss für die Benutzer der Buchhaltungsabteilung verfügbar sein, egal welchen Rechner sie benutzen. Zudem sollen Sie die Anzahl der Gruppenrichtlinienverknüpfungen minimieren. Name Gruppenrichtlinie Richtlinieneinstellung GPO1 Computerkonfiguration Zuweisen der Antivirensoftware GPO2 Benutzerkonfiguration Zuweisen der Antivirensoftware GPO3 Computerkonfiguration Zuweisen der Buchhaltungsanwendung GPO4 Benutzerkonfiguration Zuweisen der Buchhaltungsanwendung GPO5 Benutzerkonfiguration Veröffentlichen der Antivirensoftware GPO6 Benutzerkonfiguration Veröffentlichen der Buchhaltungsanwendung Wie müssen Sie die Gruppenrichtlinien verknüpfen? (Verschieben Sie das/die verwendete/n Anwendungsgruppenrichtlinie/n zur richtigen Domänenkomponente bzw. zu den richtigen Domänenkomponenten auf der Arbeitsfläche, um zu antworten.) - 112 - PRÜFUNGSFRAGEN EXAMEN 70-294 - 113 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 79 Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit der Bezeichnung EISSNER-EDV.DE und einer einzelnen Windows NT 4.0-Domäne. Die Gesamtstrukturfunktionsebene ist Windows 2000. Die Active Directory-Domäne enthält mehrere Computerkonten und zwei Windows Server 2003 Domänencontroller. Zudem verwendet die Active Directory-Domäne Gruppenrichtlinien (GPO). Die Windows NT 4.0-Domäne enthält Benutzerkonten und verwendet Systemrichtlinien zur Konfiguration der Rechner. Sie wollen erreichen, dass Einstellungen, die mit den Systemrichtlinien konfiguriert werden, nicht weiterhin auf diese Rechner angewendet werden. Was müssen Sie tun? A { Sie erstellen eine neue Systemrichtlinie, die Benutzerkonfigurationseinstellungen enthalten, die die vorherige Systemrichtlinie umkehrt. Danach ersetzen Sie die alte Systemrichtlinie durch die neue. B { Sie erstellen eine Gruppenrichtlinie, die Benutzerkonfigurationseinstellungen enthält, die die vorherige Systemrichtlinie umkehrt. Sie wenden die neue Gruppenrichtlinie auf die Active Directory-Domäne an. C { Sie erhöhen die Funktionsebene der Active DirectoryDomäne auf Windows Server 2003 interim. D { Sie erhöhen die Funktionsebene der Active DirectoryGesamtstruktur auf Windows Server 2003. - 114 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 80 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Die Benutzerkonten der Verkaufsabteilung befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Verkauf. Sie müssen eine Anwendung an alle Benutzer der Verkaufsabteilung verteilen. Sie erstellen eine Gruppenrichtlinie (GPO) und verbinden diese mit der Organisationseinheit Verkauf. Sie speichern die .msi-Datei der Anwendung in einem freigegebenen Ordner im Netzwerk. Anschließend konfigurieren sie im Bereich Benutzerkonfiguration der Gruppenrichtlinie die Verteilung der Anwendung. Es ist sicherzustellen, dass die Anwendung nach der Anmeldung eines Benutzers an einem Clientrechner sofort betriebsbereit ist. Außerdem müssen Sie verhindern, dass Benutzer, deren Benutzerkonto in eine andere Organisationseinheit verschoben wird, die Anwendung weiterhin nutzen können. Was müssen Sie tun? - 115 - PRÜFUNGSFRAGEN EXAMEN 70-294 A Zugewiesen. B Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt. C Anwendung bei Anmeldung installieren. D Einfach. E Veröffentlicht. F Paket in der Systemsteuerung unter „Software“ nicht anzeigen. G Maximum. - 116 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 81 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Die Firma hat Büros in Veilsdorf, Riesa und Puchheim. Die Netzwerkverbindungen werden im folgenden Schaubild gezeigt: Das Netzwerk besteht aus zwei Active Directory-Domänen. Benutzerobjekte für Benutzer in Veilsdorf und Riesa werden in der Domäne EISSNER-EDV.DE gespeichert, Benutzerobjekte für die Benutzer in Puchheim in der Domäne PRODUKTION.EISSNER-EDV.DE. Active Directory ist wie folgt konfiguriert: Standort Anzahl der Benutzer Anzahl der Anzahl der Domänencontroller Katalogserver Veilsdorf 650 4 2 Riesa 15 1 0 Puchheim 500 3 2 Benutzer aus dem Büro Riesa berichten häufig, dass sie sich nicht an das Netzwerk anmelden können bzw. die Anmeldung sehr lange dauert. Sie stellen eine Erhöhung der Abfragen des globalen Katalogsservers in Veilsdorf während der Spitzenanmeldezeiten fest. Was müssen Sie tun? - 117 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie konfigurieren den Domänencontroller in Riesa als einen globalen Katalogserver. B { Sie konfigurieren Active Directory so, dass die Zwischenspeicherung der universellen Gruppenmitgliedschaft für das Büro in Veilsdorf aktiviert wird. C { Sie installieren einen zusätzlichen Domänencontroller im Büro in Riesa. D { Sie konfigurieren Active Directory so, dass die Zwischenspeicherung der universellen Gruppenmitgliedschaft für das Büro Riesa aktiviert wird. - 118 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 82 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne. Das Netzwerk enthält zehn Server, auf denen Windows Server 2003 und 500 Clientrechner auf denen Windows XP Professional läuft. Sie erstellen eine Gruppenrichtlinie (GPO), die das Startmenü für die Benutzer zu einem freigegebenen Ordner auf einem Dateiserver umleitet. Einige Benutzer berichten, dass viele Programme, die sich normalerweise im Startmenü befinden, fehlen. Sie melden sich an einem Clientrechner mit der Bezeichnung »FDECLI01« an. Alle erforderlichen Programme erscheinen im Startmenü. Die Benutzer können sich mit dem freigegebenen Ordner verbinden. Sie vermuten, dass die Änderung der Gruppenrichtlinie an einigen Clients nicht übernommen wurde. Sie müssen herausfinden warum einige Startmenüeinträge für einige Benutzer nicht erscheinen. Was müssen Sie tun? A { Sie führen auf dem Dateiserver, der den freigegebenen Ordner enthält, den Befehl gpresult aus. B { Sie führen auf einem der betreffenden Clients den Befehl gpresult aus. C { Sie führen auf einem der betreffenden Clients den Befehl gpupdate aus. D { Sie führen auf einem der betreffenden Clients den Befehl secedit aus. - 119 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 83 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. MVS hat ein Haupt- und vier Zweigbüros. Jedes Zweigbüro ist über eine WAN-Verbindung mit dem Hauptbüro verbunden. Sie konfigurieren einen Active Directory-Standort für jedes Büro. Die Standorte und WANVerbindungen werden im folgenden Schaubild dargestellt: Sie müssen Standortverknüpfungen erstellen, um den Replikationsverkehr über die WAN-Verbindungen zu minimieren. Welche Standortverbindung/en müssen Sie erstellen? (Verschieben Sie die verwendete/n Standortverbindung/en zur richtigen Position auf der Arbeitsfläche, um zu antworten.) - 120 - PRÜFUNGSFRAGEN EXAMEN 70-294 - 121 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 84 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domäne beinhaltet drei Standorte mit den Bezeichnungen Standort 1, Standort 2 und Standort 3. Die Standortverknüpfungen zwischen den Standorten sind so konfiguriert, dass Standort 1 mit Standort 3 über Standort 2 verbunden ist. Die Konfiguration der Standortverknüpfungen wird in der folgenden Tabelle gezeigt: Standortverknüpfung Replikationsplan Replikationsintervall Kosten Standort 1 – Standort 2 01:00 – 06:00 Uhr 60 Minuten 200 Standort 2 – Standort 3 20:00 – 01:00 Uhr 30 Minuten 500 Alle Benutzer- und Gruppenkonten werden von den Netzwerkadministratoren in Standort 1 verwaltet. Benutzer von Standort 3 berichten, dass es länger als einen Tag dauert, bis Änderungen in der Active Directory-Datenbank von Standort 1 auf dem Domänencontroller von Standort 3 angezeigt werden. Sie sollen sicherstellen, dass Änderungen in der Active Directory-Datenbank von Standort 1 zwischen 08:00 und 18:00 Uhr am nächsten Tag um 08:00 Uhr in Standort 3 sichtbar sind. Was müssen Sie tun? A { Sie modifizieren das Replikationsintervall für die Standortverbindung zwischen Standort 1 und Standort 2 auf 30 Minuten. B { Sie modifizieren den Replikationszeitplan für die Standortverbindung zwischen Standort 2 und Standort 3 so, dass zwischen 18:00 und 01:00 Uhr repliziert wird. C { Sie modifizieren die Standortverbindungskosten zwischen Standort 2 und Standort 3 auf 200. D { Sie modifizieren den Replikationszeitplan für die Standortverbindungen zwischen Standort 1 und Standort 2 so, dass zwischen 19:00 und 02:30 Uhr repliziert wird. - 122 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 85 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit einer Domäne. Die Firma unterhält ein Hauptbüro und ein Zweigbüro in Veilsdorf. Außerdem existieren weitere Zweigbüros in Puchheim, Riesa und Erfurt. Die Administratoren des Hauptbüros sind für das Verwalten aller Objekte der Domäne verantwortlich. Die Administratoren der Zweigbüros verwalten nur die Benutzer- und Computerkonten der Angestellten in ihrem jeweiligen Büro. Im Zweigbüro Veilsdorf sind die Administratoren zusätzlich für die Benutzer- und Computerkonten der Angestellten des Hauptbüros verantwortlich. Diese Benutzer sollen als eine Einheit verwaltet werden. Sie legen fest, dass die Administratoren nur Änderungen an den Objekten vorzunehmen dürfen, für die sie auch verantwortlich sind. Sie müssen einen Strukturplan für den Einsatz von Organisationseinheiten erstellen, der die Delegierung der benötigten Berechtigungen erlaubt. Dieses Ziel soll mit einem Minimum an administrativem Aufwand erreicht werden. Welche Struktur für den Einsatz der Organisationseinheiten müssen Sie wählen? - 123 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { B { C { - 124 - PRÜFUNGSFRAGEN EXAMEN 70-294 D { - 125 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 86 Sie sind Netzwerkadministrator der MVS M. Völk Systems. Die Firma hat eine Partnergesellschaft mit dem Namen EDV-Beratung Eissner. Das Firmennetzwerk von MVS besteht aus einer einzelnen Active DirectoryGesamtstruktur. Die Gesamtstruktur enthält eine Domäne mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Das Firmennetzwerk der EDV-Beratung Eißner besteht aus einer Windows NT 4.0-Domäne mit der Bezeichnung EISSNER-EDV.DE. Ein Dateiserver mit der Bezeichnung »MVSDC001« ist Mitglied der Domäne MVSNET.DE. Alle Benutzer beider Domänen müssen täglich Dateien auf »MVSDC001« speichern. Sie müssen den Benutzern der Domäne EISSNER-EDV.DE den Zugriff auf die Dateien von »MVSDC001« gewähren. Sie müssen sicherstellen, dass die Domänenadministratoren der Domäne EISSNER-EDV.DE den Benutzern der Domäne MVSNET.DE keine Berechtigungen auf Server der Domäne EISSNER-EDV.DE geben können. Was müssen Sie tun? A { Sie führen ein Upgrade der Domäne EISSNER-EDV.DE auf Windows Server 2003 durch und machen diese Domäne zur Stammdomäne eines zweiten Zweiges in der existierenden Gesamtstruktur. B { Sie führen ein Upgrade der Domäne EISSNER-EDV.DE auf Windows Server 2003 durch und machen diese Domäne zur Stammdomäne einer neuen Gesamtstruktur. Sie erstellen eine Zweiwegvertrauensstellung. C { Sie erstellen eine externe Einwegvertrauensstellung, in der die Domäne MVSNET.DE der Domäne EISSNEREDV.DE vertraut. D { Sie erstellen eine externe Einwegvertrauensstellung, in der die Domäne EISSNER-EDV.DE der Domäne MVSNET.DE vertraut. - 126 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 87 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die Firma hat ein Hauptbüro in Veilsdorf und Zweigbüros in Puchheim und Riesa. Im Hauptbüro befinden sich die Verkaufsabteilung und die Marketingabteilung. Der Bereich ITMaster der Firma ist für die ganze Domäne verantwortlich. Jedes Büro hat eine IT-Abteilung, die für die Administration der Benutzerkonten verantwortlich ist. Zusätzlich hat der Bereich IT-Master des Hauptbüros einen Administrator für das Verwalten der Verkaufsabteilung und einen Administrator für das Verwalten der Marketingabteilung. Sie müssen eine Organisationseinheitenstruktur planen. Dabei sollen Administratoren nur Verwaltungszugriff auf Objekte erhalten, für die sie auch verantwortlich sind. Außerdem muss der Plan sicherstellen, dass Berechtigungen mit minimalem administrativem Aufwand eingerichtet werden können. Welche Organisationseinheitenstruktur müssen Sie wählen? - 127 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { B { C { - 128 - PRÜFUNGSFRAGEN EXAMEN 70-294 D { - 129 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 88 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne. Auf allen Servern läuft Windows Server 2003. Sie erstellen eine Gruppenrichtlinie (GPO), um eine Grafikanwendung mittels einer .msi Datei zu veröffentlichen. Die neue Grafikanwendung soll die alte Software ersetzen. Die derzeitigen Benutzer können die alte Anwendung weiterhin benutzen oder mit der neuen Anwendung arbeiten, wann immer sie wollen. Um Inkompatibilitäten zu vermeiden, dürfen nicht beide Versionen zur gleichen Zeit installiert sein. Sie müssen die Benutzerkonten so konfigurieren, dass die Benutzer bei Bedarf zu der neuen Anwendung wechseln können. Was müssen Sie tun? A { Sie erstellen eine neue Gruppenrichtlinie, um die neue Anwendung zu veröffentlichen. Danach konfigurieren Sie die neue Gruppenrichtlinie so, dass sie eine höhere Priorität hat, als die Gruppenrichtlinie für die alte Anwendung. B { Sie erstellen eine neue Gruppenrichtlinie, um die neue Anwendung zuzuweisen. Danach deaktivieren Sie die Gruppenrichtlinie, die die alte Anwendung installiert. C { Sie erstellen eine neue Gruppenrichtlinie, um die neue Anwendung zu veröffentlichen. Sie konfigurieren die Gruppenrichtlinie so, dass die existierende Anwendung aktualisiert und durch die neue Anwendung ersetzt wird. Sie legen dies jedoch nicht als Bedingung fest. D { Sie kopieren die .msi-Datei für die neue Anwendung in den gleichen Ordner, in der sich die .msi-Datei der alten Anwendung befindet. - 130 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 89 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Sie sind für Verteilung und Konfiguration von Anwendungen unter Verwendung von Gruppenrichtlinien (GPO) verantwortlich. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf jedem Server läuft Windows Server 2003. Alle Benutzerkonten befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Konten. Die Clientrechnern verwenden als Betriebssystem Windows XP Professional und befinden sich in einer Organisationseinheit mit der Bezeichnung Workstations. Alle Manager der Firma müssen eine Managementsoftware verwenden. Die Anwendung wird als Link via E-Mail an die Personen versendet, die sie benötigen. Die Manager benötigen diese Anwendung unabhängig vom jeweiligen Rechner, an dem sie arbeiten. Ein aktuelles Softwareupdate für diese Anwendung ist eingetroffen. Sie müssen das Update auf jedem Rechner einsetzen, auf dem die Anwendung bereits installiert ist. Was müssen Sie tun? A { Sie konfigurieren eine Gruppenrichtlinie so, dass das Softwareupdate unter Verwendung der WMI-Filterung installiert wird. Sie verbinden die Gruppenrichtlinie mit der Organisationseinheit Konten. B { Sie konfigurieren eine Gruppenrichtlinie so, dass das Softwareupdate installiert wird. Sie verbinden die Gruppenrichtlinie mit der Organisationseinheit Workstations. C { Sie erstellen eine .zap-Datei für das Softwareupdate und konfigurieren eine Gruppenrichtlinie, um die .zap-Datei zu installieren. Sie verbinden die Gruppenrichtlinie mit der Organisationseinheit Konten. D { Sie konfigurieren eine Gruppenrichtlinie so, dass Automatische Updates aktiviert sind und das Softwareupdate installiert wird. Sie verbinden die Gruppenrichtlinie mit der Organisationseinheit Workstations. - 131 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 90 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Alle Clientrechner arbeiten mit Windows XP Professional. Angestellte verwenden Software auf ihren Clientrechnern und außerdem die Remotedesktopverbindung, um sich mit einem Terminalserver mit der Bezeichnung »MVSTK001« zu verbinden. Alle Benutzer von MVS haben Benutzerkonten, die sich in einer Organisationseinheit mit der Bezeichnung Firmenbenutzer befinden. Sie bekommen Anwendungen über eine Gruppenrichtlinie (GPO) zugewiesen, die mit der Organisationseinheit Firmenbenutzer verbunden ist. Die Gruppenrichtlinie verwendet Sicherheitsfilterung, um festzulegen, welche Sicherheitsgruppe welche Anwendung erhält. Benutzer berichten, dass, wenn sie auf »MVSTK001« zugreifen, ihre zugewiesenen Anwendungen nicht verfügbar sind. Sie müssen das Netzwerk so konfigurieren, dass alle Anwendungen für die Benutzer verfügbar sind, wenn sie sich mit »MVSTK001« verbinden. Außerdem ist sicherzustellen, dass die Benutzer keine Anwendung ausführen können, die momentan nicht auf sie zugewiesen ist. Was müssen Sie tun? A { Sie ändern die Gruppenrichtlinie, die die Softwareinstallationspakete enthält, so, dass diese an die Benutzer veröffentlicht werden. B { Sie ändern die Gruppenrichtlinie, die die Softwareinstallationspakete enthält, so, dass zugewiesene Softwareinstallationspakete automatische bei der Anmeldung installiert werden. C { Sie installieren jegliche benötigte Software auf »MVSTK001«. Danach verwenden Sie NTFSBerechtigungen, um festzulegen, welche Sicherheitsgruppe Zugriff auf welche Anwendungen hat. D { Sie verbinden die Gruppenrichtlinie, die die Softwareinstallationspakete enthält, mit der Domäne, nicht mit der Organisationseinheit. - 132 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 91 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Sie sind für die Konfiguration der Active Directory-Sicherheit zuständig. Alle Gruppen der Domäne befinden sich in einer Organisationseinheit (OU) mit Bezeichnung Gruppen. Es sollen Ressourcengruppen verwendet werden, um Benutzern, die Mitglieder in Kontengruppen sind, Berechtigungen zuzuweisen. Die Abteilung Ressourcen soll nur die Mitgliedschaften der Kontengruppen verwalten können. Der Abteilung Serversupport muss es möglich sein, nur die Mitgliedschaften der Ressourcengruppen zu verwalten. Die Gruppe der Domänenadmins soll alle Gruppen verwalten können. Sie müssen die Organisationseinheitenstruktur so konfigurieren, dass die entsprechenden Berechtigungen zur Verfügung stehen. Außerdem wollen Sie das Ergebnis mit einem Minimum an administrativem Aufwand erreichen. Was müssen Sie tun? (Verschieben Sie die entsprechende/n Organisationseinheit/en zu derden richtigen Stelle/n im Arbeitsbereich.) - 133 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 92 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die firmeninterne Administrationsrichtlinie verlangt, dass den Supportangestellten das Zurücksetzen des Passwortes möglich sein muss. Die Supportangestellten müssen die Passwörter aller Benutzerkonten, ausgenommen der Mitglieder der globalen Gruppe Einkäufer, zurücksetzen können. Die Supportangestellten dürfen jedoch keine weiteren administrativen Rechte in der Domäne haben. Alle Mitglieder der Gruppe der Domänenadmins befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung AdminsOU. Alle Mitglieder der Gruppe Einkäufer befinden sich einer Organisationseinheit mit der Bezeichnung EinkaufOU. Alle anderen Benutzerkonten befinden sich in einer Organisationseinheit mit der Bezeichnung AngestellteOU. Der relevante Teil des Organisationseinheitendesigns der Domäne wird im folgenden Schaubild gezeigt: Sie müssen die Berechtigungen für die Supportangestellten entsprechend der Administrationsrichtlinien konfigurieren. Was müssen Sie tun? - 134 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie weisen der globalen Gruppe Support das Recht zum Zurücksetzen von Passwörtern in der Organisationseinheit AngestellteOU zu. B { Sie weisen der globalen Gruppe Support das Recht zum Verwalten von Benutzerkonten in der Organisationseinheit AllUsersOU zu. Danach blocken Sie die Vererbung von Berechtigungen für die Organisationseinheiten AdminsOU und EinkaufOU. C { Sie weisen der globalen Gruppe Support das Recht zum Zurücksetzen von Passwörtern in der Organisationseinheit AllUsersOU zu. D { Sie weisen der globalen Gruppe Support das Recht zum Verwalten von Benutzerkonten auf Domänenebene zu. Danach nehmen Sie den Supportangestellten das Recht, Passwörter in den Organisationseinheiten AdminsOU und EinkaufOU zurückzusetzen. - 135 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 93 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Es existieren zwei Standorte in Puchheim und in Kronach. Die Firma installiert eine Active Directory-Gesamtstruktur, die eine einzelne Domäne enthält. Die Organisationsstruktur der Firma beinhaltet zwei Hauptabteilungen, mit den Bezeichnungen Operatoren und Support. Die lokalen IT-Angestellten eines jeden Standortes sind jeweils für den Benutzersupport ihres eigenen Standortes verantwortlich, unabhängig davon, in welcher Abteilung sich die Benutzer befinden. Der Forschungs- und Entwicklungsabteilung (F&E) hat ihren eigenen IT-Support-Angestellten. Die F&E-Abteilung führt die Supportaufgaben unabhängig vom Standort aus. Sie müssen eine Organisationseinheitenstruktur planen, die die Übertragung von administrativen Verwaltungsrechten erleichtert. Welche Top-Level-Organisationseinheit/en sollten Sie erstellen? (Verschieben Sie die verwendete/n Top-Level-Organisationseinheit/en zu dem/den korrekten Standort/en im Arbeitsbereich, um zu antworten.) - 136 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 94 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Auf allen Domänencontrollern läuft Windows Server 2003. Alle Domänencontroller werden jeden Freitagnachmittag 17:00 Uhr komplett gesichert. Das Active Directory-Objekt ist mit folgenden Eigenschaften konfiguriert: Active Directory-Objekt Eigenschaft Einstellung garbageCollPeriod 15 Stunden Tombstone-Ablaufzeit 5 Tage An einem Montagmorgen löscht ein Netzwerkadministrator mehrere Benutzerkonten der Domäne. Am Mittwochnachmittag um 17:00 Uhr fällt ein Domänencontroller aus. Sie planen, die Active Directory-Datenbank von einem Backup wiederherzustellen. Sie müssen sicherstellen, dass die Verzeichnisdatenbank durch den Wiederherstellungsprozess nicht beschädigt wird. Was müssen Sie tun? A { Sie erhöhen die Einstellung garbageCollPeriod um 5. B { Sie vermindern die Einstellung garbageCollPeriod um 5. C { Sie erhöhen die Einstellung Tombstone-Ablaufzeit um 5. D { Sie vermindern die Einstellung Tombstone-Ablaufzeit um 5. - 137 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 95 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die Domäne umfasst drei Standorte mit den Bezeichnungen Veilsdorf, Puchheim und Riesa. Jeder Standort enthält vier Domänencontroller und 100 Clientrechner. Ein Server im Standort Puchheim hat die Bezeichnung »FDEDC001«. Alle DNS-Server enthalten Active Directory-integrierte Zonen. Andere Administratoren berichten, dass sie sich bei dem Versuch, die Active Directorys zu administrieren, nicht mit »FDEDC001« verbinden können. Außerdem berichten sie, dass es lokal an »FDEDC001« möglich ist, diese Aufgaben durchzuführen. Sie stellen fest, dass »FDEDC001« betriebsbereit ist und die Datei- und Druckressourcen unter Verwendung von Hostnamen erreichbar sind. Sie müssen sicherstellen, dass Administratoren die Active DirectoryAdministration auf »FDEDC001« durchführen können, ohne dafür lokalen Zugriff zu diesem Server zu benötigen. Was müssen Sie tun? A { Sie erzwingen auf Server1 eine Registrierung der DNS– Hosteinträge (A-Einträge). B { Sie starten auf Server1 den netlogon-Dienst neu. C { Sie installieren DNS auf »FDEDC001«. D { Sie konfigurieren »FDEDC001« als einen lokalen Brückenkopfserver für den Standort Puchheim. - 138 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 96 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur mit einer einzelnen Domäne, mit der Bezeichnung EISSNER-EDV.DE. Das Netzwerk enthält vier Windows Server 2003 Domänencontroller. Auf zwei Windows Server 2003 Mitgliedsservern ist der DNS-Dienst installiert. Sie entscheiden sich, eine neue Subdomäne SUB1.EISSNER-EDV.DE in der Gesamtstruktur zu erstellen. Sie installieren Windows Server 2003 auf einem neuen Rechner. Sie verbinden den Server mit der Domäne EISSNER-EDV.DE. Der erste Domänencontroller, der in der Domäne EISSNER-EDV.DE installiert wurde, fällt wegen eines Hardwarefehlers aus. Sie prognostizieren die Dauer der Reparatur auf mehrere Tage. Sie entscheiden sich, die Erstellung der neuen Subdomäne fortzusetzen. Sie versuchen, den Mitgliedsserver zu einem Domänencontroller der Domäne SUB1.EISSNER-EDV.DE hochzustufen. Die Einrichtung des Domänencontrollers schlägt fehl. Sie erhalten folgende Fehlermeldung: Sie müssen den Fehler beheben, um die neue Domäne zu erstellen. Was müssen Sie tun? A { Sie konfigurieren die DNS-Clienteinstellungen auf dem neuen Server so, dass er den DNS-Server der Domäne EISSNER-EDV.DE verwendet. B { Sie konfigurieren auf dem DNS-Server der Domäne EISSNER-EDV.DE eine Zone mit der Bezeichnung SUB1.EISSNER-EDV.DE. C { Sie konfigurieren einen der anderen EISSNER-EDV.DEDomänencontroller so, dass er alle Betriebsmasterfunktionen ausführt. D { Sie konfigurieren einen der existierenden Domänencontroller als einen globalen Katalogserver. - 139 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 97 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Die Firma hat Büros in Puchheim und Kronach. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domäne enthält sechs Domänencontroller, wie folgendes Schaubild zeigt: Die Büros in Puchheim und Kronach sind über eine IP-Standortverbindung miteinander verbunden. Die sechs Domänencontroller sind wie folgt konfiguriert: Servername Funktion »MVSDC001« Datei- und Druckserver »MVSDC002« Applikationsserver »MVSDC003« Routing- und RAS-Server »MVSDC004« Routing- und RAS-Server »MVSDC005« Datei- und Druckserver »MVSDC006« Applikationsserver Sie bemerken, dass in regelmäßigen Intervallen die CPU-Auslastung einiger Datei- und Druckserver für eine gewisse Zeitspanne auf 100% ansteigt. In dieser Zeit können die Server nicht auf Benutzeranfragen reagieren. Sie bemerken, dass dieses Problem während der Active Directory-Replikation auftritt. Sie müssen sicherstellen, dass die Dateiund Druckserver auch während der Active Directory-Replikation für Benutzeranfragen verfügbar sind. Was müssen Sie tun? - 140 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erhöhen das Replikationsintervall der Standortverbindung, die die zwei Büros verbindet. B { Sie verringern das Replikationsintervall der Standortverbindung, die die zwei Büros verbindet. C { Sie konfigurieren »MVSDC001« und »MVSDC005« als bevorzugte Brückenkopfserver. D { Sie konfigurieren »MVSDC003« und »MVSDC004« als bevorzugte Brückenkopfserver. - 141 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 98 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur mit einer einzelnen Domäne mit der Bezeichnung EISSNER-EDV.DE. Sie haben ein Benutzerkonto mit der Bezeichnung EISSNER-EDV\admin erstellt, das Mitglied der globalen Gruppe der Domänenadmins ist. Sie müssen eine neue Subdomäne mit der Bezeichnung SUB1.EISSNER-EDV.DE in der Gesamtstruktur erstellen. Sie installieren einen allein stehenden Windows Server 2003 Rechner mit der Bezeichnung »FDEDC002«. Sie verwenden den Active Directory-Installationsassistenten, um »FDEDC002« zu einem Domänencontroller der neuen Domäne heraufzustufen. Sie entscheiden sich, einen Domänencontroller für die neue Subdomäne in einer existierenden Domäne zu erstellen. Sie geben den Benutzernamen und das Passwort für EISSNER-EDV\admin ein. Sie wählen EISSNER-EDV.DE als übergeordnete Domäne, und geben SUB1 als den Namen für die Subdomäne ein. Sie erhalten folgende Fehlermeldung: - 142 - PRÜFUNGSFRAGEN EXAMEN 70-294 Stellen Sie sicher, dass die neue Subdomäne erstellt werden kann. Was müssen Sie tun? A { Sie verwenden die Netzwerkreferenz eines Mitgliedes der lokalen Administratorengruppe. B { Sie fügen »FDEDC002« zur Domäne EISSNER-EDV.DE hinzu und führen den Active DirectoryInstallationsassistenten aus. C { Sie verwenden die Netzwerkreferenz eines Mitgliedes der Gruppe Organisations-Admins für die EISSNER-EDV.DEGesamtstruktur. D { Sie verwenden die Netzwerkreferenz eines Mitgliedes der Gruppe Schema-Admins für die Gesamtstruktur von MVSNET.DE - 143 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 99 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows Server 2003. Alle Benutzerkonten der Forschungs- und Entwicklungsbteilung befinden sich in der Organisationseinheit (OU) FEBenutzer. Eine Gruppenrichtlinie (GPO) mit der Bezeichnung Benutzerrechte ist mit der Domäne verbunden. Folgende Benutzereinstellungen sind in dieser Gruppenrichtlinie aktiviert: • Benutzerkonfiguration von Offlinedateien nicht zulassen • Option Programme ändern und entfernen ausblenden • Symbol Anzeige aus der Systemsteuerung entfernen Sie müssen allen Benutzern der Organisationseinheit FE-Benutzer das Entfernen von Programmen unter Verwendung des Tools Software in der Systemsteuerung, erlauben. Die anderen Richtlinieneinstellungen sollen weiterhin angewendet werden. Was müssen Sie tun? A { Sie aktivieren die Einstellung Richtlinienvererbung deaktivieren in der Organisationseinheit FE-Benutzer. B { Sie erstellen eine neue Gruppenrichtlinie, die die Einstellung Option Programme ändern und entfernen ausblenden deaktiviert. C { Sie weisen den Benutzerkonten der Organisationseinheit FE-Benutzer die Berechtigung Verweigern für den Eintrag Gruppenrichtlinie übernehmen unter Gruppenrichtlinie-Sicherheit zu. D { Sie weisen den Benutzerkonten der Organisationseinheit FE-Benutzer die Berechtigung Verweigern für den Eintrag groupPolicyContainer erstellen unter Organisationseinheit-Sicherheit zu. - 144 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 100 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003 und auf allen Clientrechner Windows XP Professional. Alle Dateiserver haben Computerkonten in einer Organisationseinheit (OU) mit der Bezeichnung FirmenServer. Die Benutzerkonten aller Mitarbeiter befinden sich in der Organisationseinheit FirmenBenutzer. Für alle Benutzer und Administratoren wird der Ordner Eigene Dateien zu einem freigegebenen Ordner auf einem Dateiserver mit der Bezeichnung »MVSSRV01« weitergeleitet. Die Firma möchte die Größe des Speicherplatzes, der von jedem Benutzer verwendet werden darf, einschränken. Jeder Benutzer soll maximal 2 GByte Speicherplatz auf »MVSSRV01« bereitgestellt bekommen. Sie müssen die Bereitstellung von Speicherplatz auf »MVSSRV01« für jeden Benutzer auf 2 GByte begrenzen. Für Administratoren gilt diese Begrenzung nicht. Was müssen Sie tun? A { Sie erstellen eine Gruppenrichtlinie (GPO), die mit der Organisationseinheit FirmenBenutzer verbunden ist. Dann aktivieren sie in der Gruppenrichtlinie Datenträgerkontingente. B { Sie erstellen eine Gruppenrichtlinie (GPO), die mit der Organisationseinheit FirmenBenutzer verbunden ist. Dann aktivieren sie in der Gruppenrichtlinie Profilgröße beschränken für Benutzerprofile. C { Sie erstellen eine Gruppenrichtlinie (GPO), die mit der Organisationseinheit FirmenServer verbunden ist. Dann aktivieren sie in der Gruppenrichtlinie Datenträgerkontingente. D { Sie erstellen eine Gruppenrichtlinie (GPO), die mit der Organisationseinheit FirmenServer verbunden ist. Dann aktivieren sie in der Gruppenrichtlinie eine Standardzwischenspeichergröße für Offline-Dateien. - 145 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 101 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Die Firma betreibt ein Callcenter. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNEREDV.DE. Auf allen Servern läuft Windows Server 2003. Alle Clientrechner sind Mitglieder der Domäne. Die Rechner des Callcenters sind über eine Gruppenrichtlinie (GPO) konfiguriert, sodass sie einen gemeinsamen, eingeschränkten Desktop haben. Alle Computerkonten der Rechner im Callcenter befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung CallCenterRechner. Callcenter-Benutzer besitzen Benutzerkonten in der Organisationseinheit CallCenterAngestellte. Manager besitzen Benutzerkonten in der Organisationseinheit ManagementBenutzer. Sie verbinden eine Gruppenrichtlinie mit der Organisationseinheit CallCenterRechner. Die derzeitigen Einstellungen werden im Arbeitsbereich gezeigt. Alle Benutzer, die sich an diese Rechner anmelden, erhalten den eingeschränkten Desktop. Als sich ein Manager anmeldet, erhält dieser ebenfalls den eingeschränkten Desktop. Der eingeschränkte Desktop hindert die Manager daran, Managementaufgaben durchzuführen. Sie sollen sicherstellen, dass jeder Manager, der sich an einem Rechner im Callcenter anmeldet, einen normalen, uneingeschränkten Desktop erhält. Arbeitsbereich: - 146 - PRÜFUNGSFRAGEN EXAMEN 70-294 Gesamtstrukturübergreifende Benutzerprofile und servergespeicherte Benutzerprofile zulassen Deaktiviert Gruppenrichtlinien zu Erkennung langsamer Verbindungen Aktiviert Protokollierung des Richtlinienergebnissatzes deaktivieren Deaktiviert Aktualisierung der Gruppenrichtlinien durch Benutzer entfernen Aktiviert Generieren von Richtlinienergebnissatzdaten durch interaktive Benutzer nicht zulassen Aktiviert Registrierungsrichtlinienverarbeitung Deaktiviert Verarbeitung von Richtlinien zur Internet-Explorer-Wartung Deaktiviert Softwareinstallations-Richtlinienverarbeitung Deaktiviert Ordnerumleitungs-Richtlinienverarbeitung Deaktiviert Skriptrichtlinienverarbeitung Deaktiviert Sicherheitsrichtlinienverarbeitung Deaktiviert IP-Sicherheitsrichtlinienverarbeitung Deaktiviert Verarbeitung von Richtlinien für Drahtlosnetzwerke Deaktiviert Richtlinienverarbeitung der EFS-Wiederherstellung Deaktiviert Datenträgerkontingent- Richtlinienverarbeitung Deaktiviert Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden Aktiviert Welche Gruppenrichtlinieneinstellung sollten Sie ändern? (Wählen Sie die passende Einstellung im Arbeitsbereich, um zu antworten.) A { Gesamtstrukturübergreifende Benutzerprofile und servergespeicherte Benutzerprofile zulassen – Deaktiviert. B { Gruppenrichtlinien zu Erkennung langsamer Verbindungen - Aktiviert. C { Protokollierung des Richtlinienergebnissatzes deaktivieren - Deaktiviert. D { Aktualisierung der Gruppenrichtlinien durch Benutzer entfernen - Aktiviert. E { Generieren von Richtlinienergebnissatzdaten durch interactive Benutzer nicht zulassen – Aktiviert. F { Registrierungsrichtlinienverarbeitung – Deaktiviert. - 147 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 102 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern ist Windows Server 2003 installiert. Die Domäne enthält insgesamt 300 Benutzer- und 325 Computerkonten. Verschiedene Benutzer im Netzwerk benötigen unterschiedliche Anwendungen, die aufgrund der jeweiligen Tätigkeit, bereitgestellt werden. Jede Applikation liegt als .msi-Paket vor. Viele dieser Anwendungen werden des öfteren aktualisiert. Sie erhalten viele Supportanrufe von Benutzern, bei denen die Anwendung erneut installiert werden muss, da die derzeitige Installation beschädigt ist. Die Firma entscheidet, dass die Kosten für den Installationsvorgang und die Bereitstellung dieser Applikationen zu hoch sind. Sie müssen eine Technologie implementieren, die die Kosten für die Verteilung der Benutzeranwendungen reduziert und zudem die Ausfallzeit der Benutzer minimiert. Was müssen Sie tun? A { Sie konfigurieren Gruppenrichtlinien, um die Anwendungen den jeweiligen Benutzerkonten zuzuweisen. B { Sie installieren zusätzliche Server auf denen die Installationsdienste im Netzwerk bereitgestellt werden. C { Sie platzieren einen Server im Netzwerk, auf dem der Software Update Service (SUS) läuft. Zudem konfigurieren Sie eine Gruppenrichtlinie, um die Updates für alle Clientrechner zu verteilen. D { Sie installieren den Microsoft-Operations-Manager und aktivieren SNMP auf den Clientrechnern. - 148 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 103 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Das Netzwerk enthält zehn Server, auf denen Windows Server 2003 läuft, und 500 Clientrechner, auf denen Windows XP Professional, Windows 2000 Professional oder Windows NT4.0 läuft. Die Rechtsabteilung verlangt, dass Sie alle Rechner im Netzwerk so konfigurieren, dass bei der Anmeldung eines Benutzers eine Anmeldenachricht angezeigt wird. Was müssen Sie tun? (Wählen Sie zwei Antworten.) A Sie benutzen gpedit.msc, um eine Gruppenrichtlinie zu erstellen, die die geforderte Einstellung im Bereich interaktive Anmeldung enthält. Sie verknüpfen die Gruppenrichtlinie mit der Domäne. B Sie erstellen ein Anmeldeskript, um die Anmeldenachricht anzuzeigen. Sie benutzen gpedit.msc, um eine Gruppenrichtlinie zu erstellen, die mit der Benutzerkonfiguration verknüpft ist, um das Skript bei der Benutzeranmeldung zu starten. C Sie benutzen poledit.exe, um eine Systemrichtliniendatei mit der Bezeichnung ntconfig.pol zu erstellen, die die geforderte Einstellung enthält. Sie platzieren eine Kopie dieser Datei in dem vorgesehenen Ordner auf dem Domänencontroller. D Sie benutzen den Texteditor, um eine Stapelverarbeitungsdatei mit der Bezeichnung autoexec.bat zu erstellen, die die Anmeldenachricht enthält. Diese Datei kopieren Sie in das Verzeichnis C:\ auf allen Rechnern. - 149 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 104 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Die Netzwerkstruktur wird im Schaubild gezeigt. Die Domänenfunktionsebene beider Gesamtstrukturen ist Windows Server 2003. Alle drei Domänen sind Windows Server 2003-Domänen. Die Domäne EISSNER-EDV.DE enthält einen Computer mit der Bezeichnung »FDESRV01«. Ein freigegebener Ordner auf »FDESRV01« hat die Bezeichnung Freigabe1. Benutzer in einer Organisationseinheit (OU) mit der Bezeichnung Konten in der SUB1.MVSNET.DE benötigen Zugriff auf Freigabe1. Wenn jedoch die Benutzer der Organisationseinheit Konten versuchen auf Freigabe1 zuzugreifen, erhalten Sie eine Fehlermeldung, die aussagt, dass der Zugriff verweigert wurde. Sie sollen sicherstellen, dass die Benutzer der Organisationseinheit Konten Zugriff auf Freigabe1 haben. Was müssen Sie tun? - 150 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erstellen in der Domäne SUB1.MVSNET.DE eine universelle Verteilungsgruppe, die alle Benutzer der Organisationseinheit Konten enthält. Danach erstellen Sie eine lokale Sicherheitsgruppe für Domänen in der Domäne EISSNER-EDV.DE und erteilen dieser lokalen Gruppe Zugriffsberechtigung auf die Freigabe \\FDESRV01\Freigabe1. Sie nehmen die universelle Verteilungsgruppe als Mitglied in die lokale Sicherheitsgruppe für Domänen auf. B { Sie erstellen in der Domäne SUB1.MVSNET.DE eine globale Sicherheitsgruppe, die alle Benutzer der Organisationseinheit Konten enthält. Danach erstellen Sie eine lokale Sicherheitsgruppe für Domänen in der Domäne EISSNER-EDV.DE und erteilen dieser lokalen Gruppe Zugriffsberechtigung auf die Freigabe \\FDESRV01\Freigabe1. Sie nehmen die globale Sicherheitsgruppe als Mitglied in die lokale Sicherheitsgruppe für Domänen auf. C { Sie erstellen einen freigegebenen Ordner in der Organisationseinheit Konten für \\FDESRV01\Freigabe1. D { Sie erstellen eine einseitige externe Vertrauensstellung, in der SUB1.MVSNET.DE der Domäne EISSNER-EDV.DE vertraut. - 151 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 105 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Drei Sicherheitsgruppen mit der Bezeichnung Verwaltung, Planung und Management befinden sich in einer Organisationseinheit mit der Bezeichnung Buchführung. Alle Benutzerkonten dieser drei Gruppen befinden sich ebenfalls in der Organisationseinheit Buchführung. Sie erstellen eine Gruppenrichtlinie und verknüpfen diese mit der Organisationseinheit Buchführung. Sie konfigurieren die Gruppenrichtlinie im Bereich Benutzerkonfiguration so, dass die Option Anzeige deaktiviert ist. Sie sollen folgende Ziele erreichen: Sie müssen sichergehen, dass die Gruppenrichtlinie auf alle Benutzerkonten der Gruppe Planung angewendet wird. Außerdem müssen Sie verhindern, dass die Gruppenrichtlinie auf die Benutzerkonten der Gruppe Verwaltung angewendet wird. Weiterhin sollen Sie verhindern, dass die Gruppenrichtlinie auf die Benutzerkonten der Gruppe Management angewendet wird, egal ob das Benutzerkonto ebenfalls Mitglied der Gruppe Planung ist oder nicht. Was müssen Sie tun? - 152 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACL)-Einstellungen der Gruppenrichtlinie und verweigern den Sicherheitsgruppen Verwaltung und Management Lese- und Ausführrechte der Gruppenrichtlinien. Sie modifizieren die DACLEinstellungen der Gruppenrichtlinie so, dass den Benutzern beider Sicherheitsgruppen die Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien gegeben wird. B { Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACL)-Einstellungen der Gruppenrichtlinie und verweigern den Sicherheitsgruppen Verwaltung und Management die Lese- und Ausführrechte der Gruppenrichtlinien. Danach erstellen Sie eine neue Sicherheitsgruppe mit der Bezeichnung Gemischt, in der alle Benutzerkonten der Gruppe Verwaltung und die spezifischen Benutzerkonten der Gruppe Management enthalten sind. Sie modifizieren die DACL-Einstellungen der Gruppenrichtlinie so, dass der Sicherheitsgruppe Gemischt die Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien gegeben wird. C { Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACL)-Einstellungen der Gruppenrichtlinie und verweigern der Sicherheitsgruppe Verwaltung das Lese- und Ausführrecht der Gruppenrichtlinien. Außerdem modifizieren Sie die DACLEinstellungen der Gruppenrichtlinie so, dass die Gruppe Authentifizierte Benutzer entfernt wird. Danach modifizieren Sie die DACL-Einstellungen der Gruppenrichtlinie so, dass die Gruppe Planung hinzugefügt und ihr die Rechte zum Lesen und Ausführen der Gruppenrichtlinien gegeben wird. D { Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACL)-Einstellungen der Gruppenrichtlinie, um der Sicherheitsgruppe Planung die Leserechte zu verweigern und die Rechte zum Ausführen der Gruppenrichtlinien zu geben. Danach modifizieren Sie die DACL-Einstellungen der Gruppenrichtlinie so, dass der Sicherheitsgruppe Management die Rechte zum Lesen und Ausführen der Gruppenrichtlinien verweigert wird. - 153 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 106 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Eine firmeninterne Richtlinie von MVS verlangt, dass die administrativen Passwörter alle 30 Tage geändert werden. Sie konfigurieren die Sicherheitsrichtlinie der Domäne so, dass die Firmenrichtlinie durchgesetzt wird. Eine Sicherheitsprüfung zeigt, dass das Passwort zur Anmeldung an Domänencontrollern im Verzeichnisdienstewiederherstellungsmodus zehn Monate alt ist. Sie sollen sichergehen, dass alle Passwörter entsprechend der firmeninternen Richtlinien geändert werden. Sie sollen diese Aufgabe ohne Unterbrechung des Benutzerzugriffs lösen. Was müssen Sie tun? A { Sie starten jeden Domänencontroller im Verzeichnisdienstewiederherstellungsmodus neu. Danach benutzen Sie das Snap-In Computerverwaltung, um das Kennwort für das Administratorenkonto zurückzusetzen. B { Sie benutzen das ntdsutil-Utility, um auf jedem Domänencontroller das Administratorenpasswort für den Verzeichnisdienstewiederherstellungsmodus zurückzusetzen. C { Sie konfigurieren die Sicherheitsrichtlinie der Domänencontroller so, dass die firmeninternen Richtlinien geltend gemacht werden. D { Sie setzen das Administratorenpasswort zurück, indem Sie Active Directory-Benutzer und -Computer benutzen. - 154 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 107 Sie sind der Administrator der Domäne MVSNET.DE. Das Netzwerk ist wie im folgenden Diagramm dargestellt konfiguriert: Nachdem die Gesamtstrukturvertrauensstellung gelöscht wurde, stellen Sie fest, dass die Mitgliedschaftslisten für einige der lokalen Gruppen der Domäne nicht mehr stimmen. Als Sie sich die Mitgliedschaftslisten anschauen, sehen Sie, dass sie Einträge enthalten, die nicht zuzuordnen sind. Sie sollen alle unbekannten Gruppen aus der Mitgliedschaftsliste für die lokale Gruppe der Domäne löschen. Dieses Ziel soll mit einem Minimum an administrativem Aufwand und ohne die Modifikation der Zugriffsberechtigungen auf die Ressourcen in der MVSNET.DEGesamtstruktur erreicht werden. Was müssen Sie tun? - 155 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erstellen eine neue lokale Gruppe für Domänen. Danach fügen Sie die benötigten globalen Gruppen der MVSNET.DE-Gesamtstruktur in die lokale Gruppe der Domäne hinzu. Sie geben der lokalen Gruppe der Domäne die benötigten Berechtigungen. Anschließend löschen Sie die originale lokale Gruppe der Domäne. B { Sie erstellen erneut die Vertrauensstellung zwischen den Gesamtstrukturen MVSNET.DE und EISSNER-EDV.DE. Danach löschen Sie alle globalen Konten von EISSNEREDV.DE von der Mitgliedschaftsliste der lokalen Gruppe der Domäne. Anschließend löschen Sie die Vertrauensstellung zwischen beiden Gesamtstrukturen. C { Sie prüfen alle verbleibenden Vertrauensstellungen. Anschließend löschen Sie alle unbekannten Konten von den lokalen Gruppen der Domäne. D { Sie löschen alle betroffenen lokalen Gruppen der Domäne. Anschließend erstellen Sie die Gruppen erneut. Sie fügen die verwendeten globalen Gruppen der MVSNET.DE-Gesamtstruktur zu den Gruppen hinzu. Sie gewähren der lokalen Gruppe der Domäne die notwendigen Berechtigungen. - 156 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 108 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die zwei Domänen in vier Standorten enthält. Auf allen Servern läuft Windows Server 2003. Sie sind verantwortlich für die Administration der Domänencontroller in einem der Standorte. Ihr Standort enthält vier Domänencontroller. Die Festplatte, auf der die Active Directory-Datenbank liegt, ist auf dem Domänencontroller »MVSDC002« ausgefallen. Sie ersetzen die Festplatte. Sie müssen »MVSDC002« wiederherstellen. Dieses Ziel müssen Sie ohne Beeinflussung existierender Active Directory-Datenbanken erreichen. Was müssen Sie tun? A { Sie führen eine nicht autorisierende Wiederherstellung der Active Directory-Datenbank durch. B { Sie führen eine autorisierende Wiederherstellung der Active Directory-Datenbank durch. C { Sie benutzen ntdsutil, um eine semantische Datenbankanalye durchzuführen. D { Sie benutzen ntdsutil, um den Befehl restore subtree durchzuführen. - 157 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 109 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Es existiert eine Organisationseinheit (OU) mit der Bezeichnung DokVerwaltung. Die Organisationseinheit DokVerwaltung enthält Benutzerkonten für Benutzer der Abteilung Dokumentenverwaltung. Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Organisationseinheit DokVerwaltung. Sie konfigurieren die Gruppenrichtlinie so, dass eine Grafikanwendung veröffentlicht wird. Einige Benutzer der Abteilung Dokumentenverwaltung berichten, dass die Anwendung nicht im Startmenü verfügbar ist. Andere berichten, dass die Anwendung erfolgreich installiert wurde, nachdem man auf ein Dokument der Anwendung doppelt geklickt hat. Sie sollen sicherstellen, dass jeder Benutzer der Organisationseinheit DokVerwaltung die Grafikanwendung ausführen kann. Was müssen Sie tun? A { Sie unterweisen die Benutzer, bei denen Probleme auftreten, dass diese den gpupdate-Befehl ausführen sollen. B { Sie unterweisen die Benutzer, bei denen Probleme auftreten, dass diese das Programm installieren sollen, indem sie in der Systemsteuerung die Option Neue Software hinzufügen benutzen. C { Sie führen das Tool Richtlinienergebnissatz auf den Domänencontrollern im Netzwerk aus. D { Sie führen den Befehl gpresult auf jedem Clientrechner und Domänencontroller im Netzwerk aus. - 158 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 110 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die EDV-Beratung Eißner fusioniert mit der Firma MVS. Sie müssen neue Benutzerkonten für alle Angestellten von MVS erstellen. Das Format für die E-Mail-Adressen aller Benutzer von MVS ist [email protected]. Die Benutzer müssen ihre E-Mail-Adressen nach der Fusion weiter benutzen können. Um weniger Verwirrung zu erzeugen, sollen sich die Benutzer mit ihren EMail-Adressen an das Firmennetzwerk anmelden. Sie sollen sicherstellen, dass sich die neuen Benutzer mit ihren E-MailAdressen anmelden können. Sie sollen diese Aufgabe mit dem geringsten Kostenaufwand sowie mit einem Minimum an administrativem Aufwand erreichen. Was müssen Sie tun? A { Sie erstellen in der Gesamtstruktur EISSNER-EDV.DE eine neue Domäne mit der Bezeichnung MVSNET.DE. Danach erstellen Sie für alle Benutzer der Domäne MVSNET.DE Benutzerkonten. B { Sie erstellen eine neue Gesamtstruktur mit der Bezeichnung MVSNET.DE. Danach erstellen Sie für alle Benutzer der Domäne MVSNET.DE Benutzerkonten. Zudem erstellen Sie eine Gesamtstrukturvertrauensstellung zwischen den beiden Gesamtstrukturen. C { Sie erstellen für jeden neuen Benutzer der Domäne EISSNER-EDV.DE Benutzerkonten. Danach konfigurieren Sie die E-Mail-Adressen der MVS-Benutzer als [email protected]. D { Sie konfigurieren MVSNET.DE als ein zusätzliches UPNSuffix für die EISSNER-EDV.DE-Gesamtstruktur. Danach konfigurieren Sie jedes Benutzerkonto so, dass es das MVSNET.DE-Suffix benutzt. - 159 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 111 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Für alle Benutzerkonten auf jedem Server wird täglich eine Passwortrücksetzung durchgeführt. Die Windows Server 2003 Rechner »MVSDC001«, »MVSDC002« und »MVSDC003« sind wie folgt konfiguriert: An einem Mittwochmorgen verbindet sich ein anderer Administrator in Kronach mit dem Server »MVSDC003« und löscht eine Organisationseinheit (OU) mit der Bezeichnung KronachBenutzer. Die Änderung wird auf alle Standorte der Gesamtstruktur repliziert. Benutzer in Kronach berichten, dass sie sich nicht länger an das Netzwerk anmelden können. Sie sollen den Benutzern in Kronach die Anmeldung an das Netzwerk so schnell wie möglich ermöglichen. Außerdem sollen Sie sicherstellen, dass die Unterbrechung für die Benutzer in Puchheim und Veilsdorf auf ein Minimum reduziert wird. Was müssen Sie tun? - 160 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie stellen die Organisationseinheit KronachBenutzer auf »MVSDC001« aus einem Backup wieder her. Sie benutzen das ntdsutil-Utility um die Organisationseinheit als autorisierend zu kennzeichnen. Danach führen Sie eine Replikation durch. B { Sie stellen die Organisationseinheit KronachBenutzer auf »MVSDC002« aus einem Backup wieder her. Danach führen Sie eine Replikation durch. C { Sie stellen ntdsutil wieder her, um sich mit »MVSDC001« zu verbinden. Sie verwenden den Metadatenbereinigungsbefehl um »MVSDC003« von Active Directory zu entfernen. Danach erzwingen Sie eine Replikation. D { Sie verwenden das ntdsutil-Utility auf »MVSDC003«, um den Domänennamenkontext als autorisierend zu kennzeichnen. Danach erzwingen Sie eine Replikation. - 161 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 112 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. In der Domäne ist eine Organisationseinheit mit der Bezeichnung Buchführung vorhanden. Der Benutzer Steffen arbeitet in der Buchhaltung. Das Benutzerkonto für Steffen befindet sich in der Organisationseinheit Buchhaltung. Sie erstellen drei Gruppenrichtlinien und verknüpfen diese mit der Organisationseinheit Buchhaltung. Die drei Gruppenrichtlinien werden im folgenden Schaubild gezeigt: - 162 - PRÜFUNGSFRAGEN EXAMEN 70-294 Sie starten das Tool Richtlinienergebnissatz im Protokollierungmodus für das Benutzerkonto von Steffen. Das Ergebnis der Richtlinien, die sich auf das Benutzerkonto Steffen beziehen, wird im folgenden Schaubild gezeigt: Sie sollen sicher gehen, dass das Desktopregister und das Bildschirmschonerregister in der Anzeige deaktiviert sind. Was müssen Sie tun? A { Sie setzen die Gruppenrichtlinie Bildschirmschonerregister einblenden in der Prioritätsliste der Gruppenrichtliniendialogbox nach oben. B { Sie setzen die Gruppenrichtlinie Bildschirmschonerregister einblenden in der Prioritätsliste der Gruppenrichtliniendialogbox nach unten. C { Sie deaktivieren die Einstellung Richtlinienvererbung deaktivieren der Organisationseinheit Buchführung. D { Sie klicken auf die Schaltfläche Optionen in der Buchführungseigenschaftendialogbox und aktivieren die Einstellung Kein Vorrang… für die Gruppenrichtlinie Desktopregister ausblenden. - 163 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 113 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Im Netzwerk befinden sich zehn Dateiserver auf denen Windows Server 2003 läuft. Alle Dateiserver befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Server. Sie stellen fest, dass ein Virus die Dateien auf den Dateiservern infiziert hat. Sie verwenden eine Antivirusanwendung, die den Virus entfernt und ein Patch installiert, damit der Virus keine Dateien wieder infizieren kann. Das Programm sowie zugehörige Updates sind als .msi-Dateien verfügbar. Die Dateiserver müssen online bleiben, da zurzeit Benutzer an vertraulichen Projekten arbeiten. Sie sollen sicherstellen, dass die Dateiserver vor Virenangriffen geschützt sind. Diese Aufgabe soll mit einem Minimum an administrativem Aufwand erfüllt werden. Welche Option/en müssen Sie wählen, um das Ziel zu erreichen? (Um die Frage zu beantworten, ziehen Sie die Option, die zuerst ausgeführt werden soll, in das erste Aktionsfeld. Fahren Sie dementsprechend mit den anderen Optionen fort, bis alle benötigten Optionen in der richtigen Reihenfolge sind. Es kann sein, dass nicht alle nummerierten Felder benutzt werden müssen.) - 164 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 114 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Benutzerkonten der Finanzabteilung befinden sich in der Organisationseinheit (OU) Finanz. Sie verwenden Gruppenrichtlinien, um die Benutzerkonten zu verwalten. Die Benutzer der Finanzabteilung benötigen eine neue Anwendung auf ihren Rechnern. Einige Benutzer melden sich freiwillig, um die Anwendung zu testen, bevor sie in der ganzen Abteilung installiert wird. Sie konfigurieren eine Gruppenrichtlinie, um das Programm zu installieren. Sie erstellen eine Gruppe mit der Bezeichnung TestUser in der Organisationseinheit Finanz. Danach nehmen Sie die Benutzerkonten der Testbenutzer in die Gruppe TestUser auf. Die Benutzerkonten der Testbenutzer befinden sich ebenfalls in der Organisationseinheit Finanz. Sie dürfen nur den Testbenutzern das Testen der Anwendung erlauben. Was müssen Sie tun? A { Sie weisen der Gruppe TestUser das Recht für die Eigenschaft grouppolicyContainer erstellen der Organisationseinheit Finanz zu. B { Sie weisen der Gruppe TestUser Leserechte und das Recht zum Anwenden von Gruppenrichtlinien für diese Richtlinie zu. Sie entfernen das Recht zum Anwenden der Gruppenrichtlinie für die Gruppe Authentifizierte Benutzer. C { Sie geben der Gruppe TestUser das Recht zum Erstellen eines Richtlinienergebnissatzes (Protokollmodus) für die Organisationseinheit Finanz. D { Sie geben der Gruppe TestUser das Recht zum Erstellen eines Richtlinienergebnissatzes (Planungsmodus) für die Organisationseinheit Finanz. - 165 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 115 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows Server 2003 und auf allen Clients Windows XP Professional. Die Benutzerkonten haben lokale administrative Berechtigungen, sodass jeder Benutzer Software installieren kann. Ein Supportteam unterstützt die Endbenutzer dabei. Die Mitarbeiter des Supportteams sind alle Mitglieder einer Gruppe mit der Bezeichnung Support. Sie erstellen eine Gruppenrichtlinie, die den Benutzern das Ausführen des Registriereditors mittels einer Hashregel in den Richtlinien für Softwareeinschränkung verbietet. Sie weisen diese Richtlinie allen Benutzerkonten der Domäne zu. Mitglieder des Desktopsupportteams berichten, dass sie folgende Fehlermeldung erhalten, wenn sie versuchen den Registriereditor auszuführen: Windows kann dieses Programm nicht öffnen, weil dies einer Systemrichtlinie zufolge nicht zulässig ist. Öffnen Sie die Ereignisanzeige oder wenden Sie sich an den Systemadministrator, um weitere Informationen zu erhalten. Sie sollen sicherstellen, dass nur das Supportteam den Registriereditor ausführen kann. Was müssen Sie tun? A { Sie konfigurieren die Richtlinien für Softwareeinschränkung so, dass sie für alle Benutzer außer den lokalen Administratoren gilt. B { Sie nehmen die Benutzer in die Gruppe der Hauptbenutzer auf anstatt in die Gruppe der Administratoren. C { Sie benutzen ein Login-Skript, um den Registriereditor auf Laufwerk C:\ zu kopieren. Danach weisen Sie den Domänenadmins die Leseberechtigung zu. D { Sie filtern die Richtlinien für Softwareeinschränkung, sodass die Gruppe Support vom Ausführen der Richtlinie ausgeschlossen ist. - 166 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 116 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. In der Domäne befinden sich zwei Windows Server 2003 Domänencontroller mit den Bezeichnungen »MVSDC001« und »MVSDC002«. Auf »MVSDC001« läuft DNS für die gesamte Domäne. Jede Nacht werden Backups für die Systemstatusdateien auf jedem Domänencontroller durchgeführt. Eine Überspannung beschädigt beide Domänencontroller. Sie ersetzen beide Domänencontroller durch zwei neue Rechner und spielen das aktuellste Sicherungsband ein. Sie müssen die Active Directory-Domäne wiederherstellen, indem Sie die Sicherungsbänder verwenden. Als erstes sollen Sie den Namensauflösungsdienst wiederherstellen. Was müssen Sie tun? (Um die Frage zu beantworten, ziehen Sie die Option, die zuerst ausgeführt werden soll, in die Erste-Aktion-Box. Fahren Sie mit dem Ziehen der Optionen fort, bis alle drei Aktionen zum wiederherstellen von »MVSDC001« und alle drei Aktionen zum Wiederherstellen von »MVSDC002« aufgelistet sind.) - 167 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 117 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Windows 2003 Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.INTERN. Das Netzwerk enthält 20 Server, auf denen Windows Server 2003 läuft, und 700 Clientrechner mit Windows XP Professional. Alle Server befinden sich im Standardcomputercontainer. Alle Clientrechner gehören zu einer Organisationseinheit (OU) mit der Bezeichnung Clients. Alle Domänencontroller sind im Standardcontainer für Domänencontroller organisiert. Die Namensauflösung und die IPAdressierung werden von DNS, WINS und DHCP kontrolliert. Sie sollen sicher gehen, dass das DNS-Suffix in den Systemeigenschaften aller Clients auf EISSNER-EDV.DE eingestellt ist. Was müssen Sie tun? A { Sie erstellen eine neue Gruppenrichtlinie und verknüpfen diese mit der Organisationseinheit Clients. Danach stellen Sie die Konfiguration des primären DNS-Suffixes auf EISSNER-EDV.DE. B { Sie modifizieren die Default Domain-Richtlinie. Danach stellen Sie die Konfiguration des primären DNS-Suffixes auf EISSNER-EDV.DE. C { Sie definieren in den DHCP-Bereichsoptionen EISSNEREDV.INTERN als DNS-Domänennamen. D { Sie definieren in den DHCP-Bereichsoptionen EISSNEREDV.INTERN als NIS-Domänennamen. - 168 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 118 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Michael arbeitet in der Verkaufsabteilung. Benutzerobjekte der Mitarbeiter des Verkaufs werden in einer Organisationseinheit (OU) mit der Bezeichnung Verkauf gespeichert. Als Michael in eine andere Abteilung versetzt wurde, ist sein Benutzerkonto gelöscht worden. Einige Wochen später wird Michael in die Verkaufsabteilung zurückversetzt. Sie erstellen ein neues Benutzerkonto in der Organisationseinheit Verkauf und gewähren dem Konto Zugriff auf die Verkaufsressourcen. Als Michael versucht, auf eine der 1000 Dateien zuzugreifen, die er vor seiner Versetzung erstellt hat, erhält er folgende Fehlermeldung: Zugriff verweigert. Er berichtet, dass er diese Fehlermeldung bei allen 1000 Dateien in 150 unterschiedlichen Ordnern erhält. Sie sollen Michael den Zugriff auf die Dateien, die er vor seiner ersten Versetzung erstellt hat und die er nach seiner Rückversetzung erstellen wird, ermöglichen. Diese Aufgabe sollen Sie ohne Beeinflussung anderer Benutzer im Netzwerk lösen. Was müssen Sie tun? A { Sie verschieben Michaels existierendes Konto in eine neue Organisationseinheit. Sie stellen die Organisationseinheit, die Michaels vorheriges Konto enthielt, nicht autorisierend wieder her. B { Sie stellen Michaels altes Konto nicht autorisierend wieder her. Sie erzwingen eine Active Directory-Replikation. C { Sie stellen Michaels altes Konto autorisierend wieder her. Sie erzwingen eine Active Directory-Replikation. D { Sie benennen Michaels existierendes Konto um. Danach stellen Sie Michaels altes Konto autorisierend wieder her. - 169 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 119 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows Server 2003. Die Firmenleitung legt fest, dass fünf Windows XP Professional Rechner in einem öffentlichen Bereich für Besucher verfügbar sein sollen. Diese Rechner sollen nur zum Surfen auf öffentlichen Webseiten verwendet werden, sodass ein Webbrowser die einzige Anwendung auf den Rechnern sein wird. Sie nehmen die Rechner in die Active Directory-Domäne auf, erstellen eine neue Organisationseinheit (OU) mit der Bezeichnung Eingeschränkte Rechner und platzieren die fünf Computerkonten in dieser Organisationseinheit. Sie konfigurieren die Rechner so, dass jedes Mal, wenn ein Rechner hochgefahren wird, sich automatisch ein Benutzer mit der Bezeichnung Eingeschränkter Benutzer anmeldet. Das Konto Eingeschränkter Benutzer hat weder auf den Rechnern noch auf der Domäne administrative Rechte. Sie müssen die fünf Rechner so konfigurieren, dass auf öffentliche Webseiten, jedoch nicht auf andere Anwendungen zugegriffen werden kann. Diese Einschränkungen soll andere Benutzer oder Rechner im Netzwerk nicht betreffen. Was sind zwei mögliche Wege das Ziel zu erreichen? Was müssen Sie tun? (Jede richtige Antwort stellt eine komplette Lösung dar. Wählen Sie zwei.) - 170 - PRÜFUNGSFRAGEN EXAMEN 70-294 A Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Domäne. Danach konfigurieren Sie die Benutzerkonfiguration der Gruppenrichtlinie so, dass nur der Internet Explorer ausgeführt werden kann. Anschließend konfigurieren Sie die Computerkonfiguration der Gruppenrichtlinie so, dass der Loopbackverarbeitungsmodus aktiviert ist. B Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Organisationseinheit Eingeschränkte Rechner. Danach konfigurieren Sie die Benutzerkonfiguration der Gruppenrichtlinie so, dass nur der Internet Explorer ausgeführt werden kann. Anschließend konfigurieren Sie die Gruppenrichtlinie so, dass es nur auf das Konto Eingeschränkte Benutzer angewendet wird. C Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Organisationseinheit Eingeschränkte Rechner. Sie konfigurieren die Gruppenrichtlinie so, dass sie alle Benutzer der lokalen Gastgruppe der fünf Windows XP Rechner enthält. D Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Domäne. Danach konfigurieren Sie die Benutzerkonfiguration der Gruppenrichtlinie so, dass nur der Internet Explorer ausgeführt werden kann. Anschließend konfigurieren Sie die Gruppenrichtlinie so, dass diese nur auf das Konto Eingeschränkter Benutzer angewendet wird. E Sie erstellen eine Gruppenrichtlinie (GPO) und verbinden diese mit der Organisationseinheit Eingeschränkte Rechner. Danach konfigurieren Sie die Benutzerkonfiguration der Gruppenrichtlinie so, dass nur der Internet Explorer ausgeführt werden kann. Anschließend konfigurieren Sie die Computerkonfiguration der Gruppenrichtlinie so, dass der Loopbackverarbeitungsmodus aktiviert ist. - 171 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 120 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Sie planen die Implementierung neuer Gruppenrichtlinien (GPOs). Die Buchführungs- und die Forschungsabteilung haben jeweils eine eigene Organisationseinheit (OU). Die Buchführungsabteilung unterteilt sich in die Abteilungen Kreditoren und Debitoren. Die Organisationseinheit Buchführung enthält somit die Organisationseinheiten Kreditoren und Debitoren. Benutzerkonten befinden sich in den Organisationseinheiten Buchführung, Kreditoren, Debitoren und Forschung. Die Buchführungsabteilung besitzt eine Buchführungsanwendung, die auf allen Rechnern, die von Benutzern der Buchführung verwendet werden, installiert sein muss. Außerdem wollen Sie vermeiden, dass die Buchführungsanwendung auf Rechner von anderen Benutzern installiert wird. Sie planen die Erstellung einer Gruppenrichtlinie mit der Bezeichnung Software, um die Buchführungsanwendung zu installieren. Die Benutzerkonten der Forschungsabteilung müssen Passwörter mit mindestens acht Zeichen Länge besitzen. Zudem müssen die Passwörter alle 30 Tage geändert werden. Es gibt keine spezifischen Passwortanforderungen für alle anderen Benutzer der Domäne MVSNET.DE. Sie planen die Erstellung einer Gruppenrichtlinie mit der Bezeichnung Passwort, um das Minimum der Passwortlänge und das Passwortalter zu konfigurieren. Sie müssen sich für die richtige Platzierung der Gruppenrichtlinien Passwort und Software entscheiden, während die Anmeldezeiten für die Benutzer an die Domäne minimiert werden. Womit sollten Sie die Gruppenrichtlinien Passwort und Software verknüpfen? - 172 - PRÜFUNGSFRAGEN EXAMEN 70-294 - 173 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 121 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows Server 2003. Alle Server, die nicht als Domänencontroller fungieren, befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Server. Alle Benutzerkonten befinden sich in einer Organisationseinheit mit der Bezeichnung Konten. Die Abteilung Krankenversicherung besitzt Server, die medizinische Einträge von Kunden speichern. Diese Server enthalten Informationen, die ständig überwacht werden müssen. Ein Prüftool, das nicht von Microsoft stammt, ist auf diesen Servern zur Überwachung der Kundeninformationen installiert. Nur eine kleine Anzahl lokaler Benutzerkonten hat auf jedem Server Zugriff auf die zu prüfenden Informationen. Aus rechtlichen Gründen muss die Krankenversicherungsabteilung ihre Kontosperrungs- und Kennworteinstellungen für die lokalen Benutzerkonten auf den Servern ändern. Sie müssen sicherstellen, dass die Server die Sicherheitsanforderungen weiterhin erfüllen. Sie wollen diese Aufgabe mit dem Minimum an administrativen Aufwand erfüllen. Was müssen Sie tun? - 174 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie erstellen eine neue Domäne unterhalb der Domäne EISSNER-EDV.DE. Anschließend nehmen Sie die Server als Mitglieder der neuen Domäne auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die Kontosperrungs- und Kennworteinstellungen enthält. Sie verbinden die Gruppenrichtlinie mit der neuen Domäne. B { Sie erstellen eine neue Domäne unterhalb der Domäne EISSNER-EDV.DE. Anschließend nehmen Sie die Benutzerkonten der Krankenversicherungsabteilung als Mitglieder der neuen Domäne auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die Kontosperrungs- und Kennworteinstellungen enthält. Sie verbinden die Gruppenrichtlinie mit der neuen Domäne. C { Sie erstellen eine neue Organisationseinheit unterhalb der Organisationseinheit Server. Anschließend nehmen Sie die Server als Mitglieder der neuen Organisationseinheit auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die Kontosperrungs- und Kennworteinstellungen enthält. Sie verbinden die Gruppenrichtlinie mit der neuen Organisationseinheit. D { Sie erstellen eine neue Organisationseinheit unter der Organisationseinheit Konten. Anschließend nehmen Sie die Server als Mitglieder der neuen Organisationseinheit auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die Kontosperrungs- und Kennworteinstellungen enthält. Sie verbinden die Gruppenrichtlinie mit der neuen Organisationseinheit. - 175 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 122 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine einzelne Domäne mit der Bezeichnung MVSNET.DE enthält. Es sind unter anderem die Organisationseinheiten (OUs) Servicepersonal und Domänenadmins in der Domäne vorhanden. Auf allen Clientrechnern läuft Windows XP Professional. Alle Clientrechnerkonten befinden sich in der Organisationseinheit MVS Rechner. Ihr Benutzerkonto ist Mitglied der Sicherheitsgruppe DomänenAdmins. Alle Benutzerkonten der Sicherheitsgruppe Domänen-Admins befinden sich in der Organisationseinheit Domänenadmins. Alle Benutzer des Servicepersonals besitzen Benutzerkonten, die Mitglied in der Sicherheitsgruppe SrvDeskGrp sind. Alle Benutzerkonten dieser Gruppe befinden sich in der Organisationseinheit Servicepersonal. Sie verwenden die Gruppenrichtlinienmanagementkonsole, um eine Gruppenrichtlinie mit der Bezeichnung Install Admin Tools, zu erstellen. Sie konfigurieren die Gruppenrichtlinie wie folgt: Sie erstellen ein Softwareinstallationspaket, das das Windows Server 2003 Administrationstool-Paket (adminpak.msi) den Benutzern zuweist. Sie verknüpfen die Gruppenrichtlinie mit der Organisationseinheit IT Benutzer. Sie entfernen die vordefinierte Gruppe Authentifizierte Benutzer aus der Liste der Benutzer und Gruppen, die für die Gruppenrichtlinie Berechtigungen haben. Sie geben der Sicherheitsgruppe SrvDeskGrp Berechtigung zum Lesen der Gruppenrichtlinie. Benutzer des Servicepersonals berichten, dass das administrative Tool, das zum Arbeiten benötigt wird, nicht installiert ist. Sie verwenden die Gruppenrichtlinienmanagementkonsole, um den Verlauf der Gruppenrichtlinienanwendung von einem betroffenen Benutzer zu untersuchen. Wenn Sie sich an einen Rechner anmelden, der normalerweise von einem Servicepersonal-Benutzer verwendet wird, sind automatisch alle administrativen Tools verfügbar. Sie müssen sicherstellen, dass administrative Tools für alle Benutzer, die Konten in der Organisationseinheit IT Benutzer haben, über Gruppenrichtlinien installiert werden können, ohne dass die administrativen Berechtigungen der Benutzer erhöht werden. Was müssen Sie tun? - 176 - PRÜFUNGSFRAGEN EXAMEN 70-294 A { Sie verbinden die Gruppenrichtlinie Install Admin Tools mit der Organisationseinheit Servicepersonal. Sie verschieben die Computerkonten der Rechner, die von den Benutzern des Servicepersonals verwendet werden, in die Organisationseinheit Servicepersonal. B { Sie ändern die Sicherheitsfilterung der Gruppenrichtlinie Install Admin Tools so, dass die Sicherheitsgruppe SrvDeskGrp die Richtlinie anwenden kann. C { Sie verschieben die Sicherheitsgruppe SrvDeskGrp in die Organisationseinheit Domänenadmins. D { Sie modifizieren die Gruppenrichtlinie so, dass das Administrationstoolpaket den Computern, und nicht den Benutzern, zugewiesen wird. - 177 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 123 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Sie implementieren eine neue Windows Server 2003-Netzwerkumgebung. Sie installieren die Stammdomäne einer Active Directory-Gesamtstruktur mit der Bezeichnung EISSNER-EDV.DE. Anschließend installieren Sie den ersten Domänencontroller mit der Bezeichnung »FDEDC001«. Sie konfigurieren »FDEDC001« als DHCP-Server und als einen Active Directory-integrierten DNS-Server mit dynamischen Updates. Später installieren Sie einen weiteren Domänencontroller mit der Bezeichnung »FDEDC002«. Sie können die Domänenfunktionsebene nicht auf Windows Server 2003 erhöhen. Sie stellen fest, dass die SRV-Einträge von »FDEDC001« in der EISSNER-EDV.DE-Zone auf dem DNS-Server nicht vorhanden sind. Sie führen das Tool dcdiag auf »FDEDC001« aus und erhalten folgendes Ergebnis: Sie müssen die Domänenfunktionsebene auf Windows Server 2003 erhöhen können. - 178 - PRÜFUNGSFRAGEN EXAMEN 70-294 Was müssen Sie tun? A { Sie konfigurieren »FDEDC002« zu einem globalen Katalogserver. B { Sie verwenden das Utility DHCP-Server Lokator, um herauszufinden, welche DHCP-Server in der EISSNEREDV.DE-Zone verfügbar sind. C { Sie starten den Netlogon-Dienst auf »FDEDC001«. D { Sie starten den DNS-Server-Dienst auf »FDEDC001« neu, um den DNS-Clients das Auflösen der Hostnamen zu ermöglichen, damit Namensabfragen und Aktualisierungsanforderungen beantwortet werden. - 179 - PRÜFUNGSFRAGEN EXAMEN 70-294 Frage 124 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne. Das Netzwerk enthält drei Windows Server 2003 Domänencontroller mit den Bezeichnungen »FDEDC001«, »FDEDC002« und »FDEDC003«. »FDEDC001« ist der Schemamaster und Domänennamenmaster. »FDEDC002« ist RID-Master, »FDEDC003« fungiert als PDCEmulatormaster und Infrastrukturmaster. »FDEDC002« fällt aus und lässt sich nicht mehr starten. Sie melden sich als Administrator an »FDEDC003« an und übernehmen die RID-MasterFunktion. Später ist »FDEDC002« repariert und kann wieder online gehen. Sie wollen, dass »FDEDC002« erneut die RID-Master-Funktion erhält. Was müssen Sie tun? A { Sie starten »FDEDC002« neu, während dieser mit dem Netzwerk verbunden ist. Sie verwenden das Utility ntdsutil und aktivieren die RID-Master-Funktion. Anschließend verbinden Sie »FDEDC002« erneut mit dem Netzwerk. B { Sie starten »FDEDC002« neu, während dieser nicht mit dem Netzwerk verbunden ist. Sie verwenden das Utility ntdsutil und aktivieren die RID-Master-Funktion. Anschließend verbinden Sie »FDEDC002« erneut mit dem Netzwerk. C { Sie installieren Windows Server 2003 auf »FDEDC002« neu. Anschließend stellen Sie den Systemstatus vom aktuellsten Backup von »FDEDC002« wieder her. Danach verbinden Sie »FDEDC002« erneut mit dem Netzwerk. D { Sie installieren Windows Server 2003 auf »FDEDC002« neu. Dann stufen Sie »FDEDC002« zum Domänencontroller hoch. Anschließend übertragen Sie die RID-Master-Funktion auf »FDEDC002«. - 180 - PRÜFUNGSFRAGEN EXAMEN 70-294 Simulationen - 181 - PRÜFUNGSFRAGEN EXAMEN 70-294 Simulation 1 Sie sind der Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus der Active Directory-Domäne MVSNET.DE mit einer auf Geschäftsfunktionen basierende OU-Struktur. OUs auf erster Ebene sind Consulting, Geschäftsleitung und Verlag. Diese beinhalten weitere Objekte wie Benutzer und Computerkonten, Gruppen, Anwendungen und weitere Organisationseinheiten. Für die Abteilung Verlag befinden sich die Computerkonten in der Organisationseinheit (OU) mvsnet.de/Verlag/Computer, die Benutzerkonten entsprechend in der OU mvsnet.de/Verlag/Users. Da die Mitarbeiter aus dem Bereich Consulting und Verlag abteilungsübergreifend Tätig sind, verfügen diese über ein servergespeichertes Benutzerprofil und sind in der Lage, sich von jedem Computer aus an der Domäne anzumelden. Ein Administrator erstellt eine Gruppenrichtlinie mit der Bezeichnung Softwarebereitstellung und verteilt damit die Paketdatei deploy.msi, die sich im lokalen Pfad C:\Software befindet, an alle Clientrechner der gesamten Domäne MVSNET.DE. Nun berichten Ihnen die Mitarbeiter, dass sie von den Arbeitsplatzrechnern im Verlag aus das Installationspaket deploy.msi nicht ausführen können. Sie müssen sicherstellen, dass in der gesamten Domäne für diejenigen Verlagsmitarbeiter, die Mitglieder der Gruppe Mitarbeiter Verlag sind, das Ausführen des .msi-Pakets unterbunden wird. Dies muss selbst dann gewährleistet sein, wenn das Installationspaket umbenannt wird. Alle anderen Mitarbeiter benötigen dieses .msi-SetupPaket, ungeachtet davon, von welchen Computern aus sie sich an der Domäne anmelden. Sie melden sich lokal am Server »MVSSRV001« an und erstellen eine neue Gruppenrichtlinie mit der Bezeichnung Softwareeinschränkung, die der geforderten Situation gerecht wird. Sie erstellen nur unbedingt nötige Verknüpfungen mit GPOs und keine weiteren Verarbeitungsausnahmen. Was sollten Sie tun? Setzen Sie diese Anforderungen in der Simulation um! zur Onlinetestdatenbank - klick hier! - 182 - PRÜFUNGSFRAGEN EXAMEN 70-294 Simulation 2 Sie sind der Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domäne beinhaltet die folgenden vier Organisationseinheiten (OUs), aufgeteilt nach geografischen Gebieten, in denen die Firma tätig ist: • • • • Ost OstConsulting West WestConsulting Das Benutzerkonto für Michael Völk befindet sich momentan in der OU OstConsulting. Gegenwärtig sind einige Gruppenrichtlinienobjekte (GPOs) konfiguriert und wie folgt mit den OUs verknüpft (GPO-Verarbeitungsausnahmen wurden nicht konfiguriert): Organisationseinheit Name der verknüpften GPO Ost GPO1, GPO2 OstConsulting West GPO3, GPO4 WestConsulting GPO5 Sie müssen gewährleisten, dass folgende Anforderungen erfüllt werden: • GPO1 und GPO2 werden auf Objekte innerhalb der OU OstConsulting angewendet, • GPO3, GPO4 und GPO5 werden auf die Objekte innerhalb der OU WestConsulting angewendet, • GPO3, GPO4 und GPO5 werden nur auf das Benutzerkonto von Michael Völk angewendet. Sie verfügen nicht über die Berechtigung, GPO-Verknüpfungen zu modifizieren, zu löschen oder neu zu erstellen. Sie müssen die Objekte im Active Directory so organisieren, dass die Anforderungen erfüllt werden. Was sollten Sie tun? Setzen Sie diese Anforderungen in der Simulation um! zur Onlinetestdatenbank - klick hier! - 183 - PRÜFUNGSFRAGEN EXAMEN 70-294 Simulation 3 Sie arbeiten als Enterpriseadministrator für die Firma MVS M. Völk Systems. Das Unternehmen hat die Evaluierung einer Applikation beendet und startet mit der neuen Active Directory-Applikation app2mvs. Diese Applikation wird die bisherige Version app1mvs ablösen. Folgende Anforderungen müssen erfüllt werden: 1. Die Active Directory-Klasse für app2mvs muss aktiviert werden und für die Benutzung bereitstehen. 2. Die Active Directory-Klasse für app1mvs wird nicht länger benötigt. 3. Die Attribute der Applikation app2mvs müssen aktiviert und im Verzeichnis platziert werden und im globalen Katalog vorhanden sein. Die Suche nach Attributen muss sich sehr einfach gestalten. 4. Die Administration aller Attribute wird Michael Rauschert (mvsnet.de/Consulting/Michael Rauschert), ein Mitarbeiter der Consultingabteilung, übernehmen. Was müssen Sie tun? Als Antwort konfigurieren Sie in der Simulation die angemessenen Optionen, damit die gestellten Anforderungen erfüllt werden. zur Onlinetestdatenbank - klick hier! - 184 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Kapitel 2 Lösungen und Begründungen für Examen 70-294 - 185 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 1 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netz besteht aus einem Intranet und einem Grenznetzwerk. Das Grenznetzwerk enthält folgende Server: • einen Windows Server 2003 Web Edition-Server mit der Bezeichnung »MVSWEB001«, • einen Windows Server 2003 Standard EditionServer mit der Bezeichnung »MVSDCO002«, • einen Windows Server 2003 Enterprise Edition-Server mit der Bezeichnung »MVSDCO003«, • eine Webservergruppe, bestehend aus zwei Windows Server 2003 Web Edition Servern. Alle Server im Grenznetzwerk sind Mitglieder derselben Arbeitsgruppe. Das Planungsteam plant einen neuen Verzeichnisdienst zu erstellen, der alle Server des Grenznetzwerkes enthält. In der neuen Domäne sollen alle Webapplikationen des Grenznetzwerkes laufen. Das Planungsteam macht zur Auflage, dass die Domäne für das Grenznetzwerk fehlertolerant sein soll. Sie müssen einen oder mehrere Server aus dem Grenznetzwerk auswählen, die Sie zu einem Domänencontroller heraufstufen werden. Welche/n Server wählen Sie aus? A »MVSWEB001«. B »MVSDCO002«. C »MVSDCO003«. D Webservergruppe. Richtige Antworten: B und C Begründung Für die Rolle als Domänencontroller wird Windows Server 2003 in der Standard oder Enterprise Version vorausgesetzt. Um eine Fehlertoleranz zu gewährleisten, werden mindestens zwei Domänencontroller benötigt. Die Server mit den entsprechenden Betriebssystemen sind die Server »MVSDCO002« und »MVSDCO003«. Server, die als Betriebssystem Windows Server 2003 Web Edition ausführen, wie in den Antworten A und D beschrieben, können nicht als Domänencontroller fungieren. Hilfe - 186 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Übersicht über Windows Server 2003 Web Edition: Standardseite MS Training • 1. Auflage: Seite 3 • 2. Auflage: Seite 3 - 187 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 2 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einem Verzeichnisdienst, wie in der folgenden Grafik dargestellt: Ihre Firma hat eine Sicherheitsrichtlinie erstellt, die definiert, dass alle Domänencontroller in VERTRIEB.MVSPRESS.DE die NTLMv2 LAN-ManagerAuthentifizierung verwenden müssen. Sie möchten, dass nur die Mitglieder der DOMÄNEN-ADMINS die Domänencontroller starten dürfen. Sie müssen die Domänencontroller in VERTRIEB.MVSPRESS.DE so konfigurieren, dass sie diesen Sicherheitsvorschriften entsprechen. Mit welchen zwei Aktionen können Sie das durchführen? (Jede richtige Antwort ist Teil der Lösung.) - 188 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Sie importieren die standardmäßig vorhandene Sicherheitsvorlage rootsec.inf in die Gruppenrichtlinien für Domänencontroller in VERTRIEB.MVSPRESS.DE. B Sie importieren die standardmäßig vorhandene Sicherheitsvorlage rootsec.inf in die Gruppenrichtlinien für Domänen von VERTRIEB.MVSPRESS.DE. C Sie importieren die standardmäßig vorhandene Sicherheitsvorlage securedc.inf in die Gruppenrichtlinien für Domänencontroller in VERTRIEB.MVSPRESS.DE. D Sie importieren die standardmäßig vorhandene Sicherheitsvorlage securedc.inf in die Gruppenrichtlinien für Domänen von VERTRIEB.MVSPRESS.DE. E Sie führen das Tool syskey.exe auf jedem Domänencontroller in der Domäne VERTRIEB.MVSPRESS.DE aus. Im Auswahlfenster wählen Sie die Option Kennwort für den Systemstart aus. F Sie führen das Tool syskey.exe auf jedem Domänencontroller in der Domäne VERTRIEB.MVSPRESS.DE aus. Im Auswahlfenster wählen Sie die Option Systemstartschlüssel wird lokal gespeichert aus. Richtige Antworten: C und E Begründung Die Sicherheitsvorlage securedc.inf konfiguriert die Domänencontroller dahingehend, dass NTLMv2 LAN-Manager-Authentifizierung verwendet wird. Das Dienstprogramm für Systemschlüssel syskey.exe verwendet sichere Verschlüsselungstechniken, um Informationen zu Kontokennwörtern auf lokalen Computern, Mitgliedsservern oder Domänencontrollern zu schützen. Das Dialogfeld Schlüssel für Systemstart enthält unter anderem die Optionen Kennwort für den Systemstart. Diese Technik verwendet einen zufälligen, computergenerierten Schlüssel als Systemschlüssel und speichert eine verschlüsselte Version des Schlüssels auf dem lokalen Computer. Der Schlüssel ist zudem durch ein vom Administrator gewähltes Kennwort geschützt. Wenn der Computer die Initialisierung durchläuft, wird ein Benutzer aufgefordert, das Systemschlüsselkennwort, das nicht auf dem Computer gespeichert ist, - 189 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 einzugeben. Nur mit diesem Systemschlüsselkennwort kann der jeweilige Computer gestartet werden. Das Importieren der standardmäßig vorhandenen Sicherheitsvorlage rootsec.inf bewirkt, dass die Berechtigungen für den Stamm des Systemlaufwerkes festgelegt werden. Mithilfe dieser Vorlage können die Stammverzeichnisberechtigungen erneut übernommen werden, in dem Fall, dass sie unbeabsichtigt geändert wurden. Diese Vorlage kann geändert und auf die jeweiligen Bedürfnisse angepasst werden, um damit dieselben Stammberechtigungen für andere Systemlaufwerke zu übernehmen. Dabei werden keine expliziten Berechtigungen überschrieben, die für untergeordnete Objekte definiert wurden; sie überträgt die von untergeordneten Objekten geerbten Berechtigungen. Sie konfiguriert weder, wie in der Antwort A und B beschrieben, die NTLMv2 LAN-Manager-Authentifizierung noch wird dabei geregelt, wer einen Server neu booten darf und wer nicht. Der Lösungsvorschlag D bewirkt, dass die NTLMv2 LAN-ManagerAuthentifizierung in der übergeordneten Domäne, nicht aber in VERTRIEB.MVSPRESS.DE angewendet wird. Die Antwort F bietet nur eine starke Verschlüsselung der Kennwortdaten in der Registrierung. Sie ermöglicht jedem Benutzer den Neustart des Computers, ohne dass ein Kennwort eingegeben oder eine Diskette eingelegt werden muss. Hilfe • Vordefinierte Sicherheitsvorlagen \ Sicherheitsvorlagen • Übersicht über Sicherheitsvorlagen \ Sicherheitsvorlagen • Hilfe und Supportcenter, Suchbegriff: Dienstprogramm für Systemschlüssel MS Training • 1. Auflage: Seite 850 • 2. Auflage: Seite 869 - 190 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 3 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Domänencontroller führen Windows Server 2003 aus. Sie erstellen einen Wiederherstellungsplan für den „Fall der Fälle“ in Ihrer Firma. Die Domänencontroller werden jede Nacht mittels eines „normalen“ Backups gesichert. Die normale Sicherung umfasst die Sicherung des Systemstatus eines jeden Domänencontrollers. Ihr Notfallplan sollte folgende Definitionen berücksichtigen: • Wiederherstellen von Verzeichnisobjekten, die zufällig oder vorsätzlich gelöscht worden sind. • Der Verzeichnisdienst muss so schnell wie möglich in seiner aktuellsten Version wiederhergestellt werden können. • Der Zeitaufwand muss reduziert werden. Er sollte die Möglichkeit bieten, gelöschte Organisationseinheiten (OUs) wiederherstellen zu können. Welche zwei Aktionen sollte Ihr Notfallplan berücksichtigen? (Jede richtige Antwort ist ein Teil der Lösung.) A Den Domänencontroller im Modus für Verzeichniswiederherstellung starten. B Den Domänencontroller im abgesicherten Modus starten. C Sie benutzen das Tool ntdsutil, um eine autorisierende Wiederherstellung der Datenbank durchzuführen. D Wiederherstellen des Systemstatus mit der Option Alles Überschreiben. E Sie benutzen das Tool ntdsutil für eine autorisierende Wiederherstellung des entsprechenden Teilbereiches. Richtige Antworten: A und E Begründung Wenn eine Organisationseinheit im aktiven Verzeichnis gelöscht wird, können wir diese über den gesicherten Systemstatus wiederherstellen. Die Auswahl des Modus zur Verzeichnisdienstwiederherstellung startet den Domänencontroller, ohne die Verzeichnisdienste zu laden. Dies ermöglicht uns, die aktive Verzeichnisdatenbank ganz oder teilweise - 191 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 wiederherzustellen. Um sicherzustellen, dass das gelöschte Objekt nicht wieder von einer Replikation eines anderen Domänencontrollers gelöscht wird, müssen wir ntdsutil verwenden, um das wiederhergestellte Objekt als aktiv zu kennzeichnen. Das Starten des Domänencontrollers im abgesicherten Modus ermöglicht keine Verzeichniswiederherstellung. Deshalb ist Antwortmöglichkeit B falsch. Die Anwendung des Programms ntdsutil auf die gesamte Verzeichnisdatenbank ist in der Aufgabenstellung nicht gefordert. Somit kommt auch Antwort C nicht in Frage. Ähnliches trifft auch auf Lösungsmöglichkeit D zu, wobei hier noch vorhandene Objekte durch die Replikation mit anderen Domänencontrollern wieder gelöscht werden können, da die Wiederherstellung nicht autorisierend erfolgt. Hilfe • Verwenden von Ntdsutil \ Active Directory • Autorisierende, primäre und normale Wiederherstellung \ Sicherungsdienstprogramm MS Training • 1. Auflage: Seiten 168f., 1008 • 2. Auflage: Seiten 171f., 1028 - 192 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 4 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Alle Server im Netzwerk führen Windows Server 2003 und alle Clientcomputer Windows XP Professional aus. In der Domäne befinden sich zwei Domänencontroller, »MVSDCO001« und »MVSDCO002«. »MVSDCO001« ist der erste Domänencontroller der Domäne und verfügt über alle Betriebsmasterfunktionen. Sie beabsichtigen, »MVSDCO001« wegen Wartungsarbeiten wenige Stunden vom Netz zu nehmen. Ungeachtet davon, dass der Server »MVSDCO001« offline ist, wird ein anderer Administrator während dieser Zeit sehr viele neue Benutzerkonten erstellen. Mit so wenig wie möglichen Konfigurationsschritten müssen Sie sicherstellen, dass der Administrator seine Aufgaben durchführen kann. Welche Maßnahmen sollten Sie ergreifen? (Wählen Sie alle richtigen Antworten.) A Sie verbinden sich mit »MVSDCO002« und übertragen die PDC-Emulatorrolle auf den Server »MVSDCO002«. B Sie verbinden sich mit »MVSDCO002« und konfigurieren den Server »MVSDCO002« zum PDCEmulationsmaster. C Sie verbinden sich mit »MVSDCO002« und übertragen die Infrastrukturmasterrollen auf den Server »MVSDCO002«. D Sie verbinden sich mit »MVSDCO002« und konfigurieren die Infrastrukturmasterrollen auf dem Server »MVSDCO002«. E Sie verbinden sich mit »MVSDCO002« und übertragen die RID-Masterrolle auf den Server »MVSDCO002«. F Sie verbinden sich mit »MVSDCO002« und konfigurieren die RID-Masterrolle auf dem Server »MVSDCO002«. Richtige Antworten: E Begründung Zur Erstellung der Benutzerkonten ist die Funktion des RID-Masters nötig. Der RID-Master ordnet den verschiedenen Domänencontrollern seiner Domäne Sequenzen relativer IDs (RIDs) zu. In den Domänen der Gesamtstruktur kann immer nur ein Domänencontroller die RIDMasterfunktion übernehmen. Wenn ein Domänencontroller einen - 193 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Benutzer, eine Gruppe oder ein Computerobjekt erstellt, weist der Domänencontroller diesem Objekt eine eindeutige Sicherheitskennung (SID) zu. Die SID besteht aus einer Domänen-SID, die für alle in der Domäne erstellten SIDs identisch, und einer RID, die für jede in der Domäne erstellte SID eindeutig ist. Um die Rolle des RID-Betriebsmasters zu übertragen, kann das Tool ntdsutil.exe verwendet werden, bzw. unter der Windows-Oberfläche bewerkstelligen Sie dies in der Active Directory-Benutzer und –Computer-Konsole. Die Vorgehensweise wie in Antwort A beschrieben, ist für die wenigen Stunden, die der Server offline ist, nicht notwendig. Nachdem alle Computer in der Domäne mindestens Windows XP oder Windows Server 2003 ausführen, kann auf die Rolle des PDC-Emulators für kurze Zeit verzichtet werden. Der PDC-Emulator übernimmt die Funktion eines primären Windows NT-Domänencontrollers und empfängt bevorzugte Replikationen von Kennwortänderungen, die von anderen Domänencontrollern in der Domäne ausgeführt werden. Zudem ist der PDC-Emulationsmaster auch für das Synchronisieren der Zeit auf allen Domänencontrollern in der gesamten Domäne verantwortlich. Die Antwort B beschreibt das Erstellen eines zweiten PDC-Emulators. Die Funktion des PDC-Emulators darf in jeder Domäne aber nur einmal vorhanden sein. Das bedeutet, dass es in jeder Domäne der Gesamtstruktur nur einen PDC-Emulationsmaster geben kann. Die temporäre Abwesenheit des Infrastrukturmasters kann toleriert werden. Aus diesem Szenario geht nicht hervorgeht, dass relevante Aktivitäten, die den Infrastrukturmaster betreffen, ausgeführt werden. Dies wäre z. B. das Umbenennen bestehender Benutzerkonten oder das Ändern von Gruppenmitgliedschaften. Zudem darf der Infrastrukturmaster in einer Domäne der Gesamtstruktur nur einmal vorhanden sein, deshalb sind die Antworten C und D nicht richtig. Die Übernahme der RID-Masterfunktion, wie in der Lösung F beschrieben, ist ein drastischer Schritt, der nur vollzogen wird, wenn ein neuerlicher Betrieb des aktuellen RID-Masters vollständig ausgeschlossen ist. Wenn dieser Schritt durchgeführt wird, muss zum einen der aktuelle RID-Master dauerhaft vom Netzwerk getrennt und zum anderen nach der Übernahme der RID-Masterfunktion das für den ursprünglichen RID-Master verwendete Startlaufwerk vollständig neu formatiert und das Betriebssystem neu installiert werden. Erst danach könnte der Server »MVSDCO001« wieder an das Netzwerk angeschlossen werden. Hilfe - 194 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • • • • • Verwenden von Ntdsutil \ Active Directory Ntdsutil \ Befehlszeilenreferenz Übernahme der RID-Masterfunktion \ Active Directory Übertragen der Betriebsmasterfunktionen \ Active Directory Hilfe und Supportcenter, Suchbegriff: Betriebsmasterfunktion MS Training • 1. Auflage: Seite 230 • 2. Auflage: Seite 236 - 195 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 5 Sie sind ein Systemadministrator des Gästehauses Merk. Das Netzwerk besteht aus einer Verzeichnisstruktur mit der Bezeichnung GAESTEHAUSMERK.DE. Alle Server führen das Betriebssystem Windows Server 2003 aus. Ein Mitarbeiter des Helpdesks berichtet, dass ein Benutzerobjekt zufällig gelöscht wurde. Der Benutzer ist nicht mehr in der Lage, sich an der Domäne anzumelden und bekommt daher keinen Zugriff mehr auf seine Ressourcen im Netzwerk. Sie überprüfen diesen Sachverhalt und stellen fest, dass das Benutzerobjekt in der aktuellen Systemstatusdatensicherung vorhanden ist. Sie müssen dem Benutzer ermöglichen, sich an der Domäne anmelden zu können. Sie müssen zudem sicherstellen, dass der Benutzer wieder Zugriff auf alle benötigten Ressourcen bekommt. Was sollten Sie tun? A { Sie setzen einen neuen Domänencontroller auf. Sie stellen den Verzeichnisdienst des aktuellen Backups auf diesem Server wieder her. Sie initiieren eine manuelle Replikation. B { Sie vermindern das Garbage Collection Intervall. Sie führen eine nichtautorisierende Wiederherstellung des Verzeichnisdienstes unter Verwenden des aktuellsten Backups durch. C { Sie führen eine autorisierende Wiederherstellung des Verzeichnisdienstes unter Verwendung des aktuellsten Backups durch. Sie stellen das Benutzerobjekt, das gelöscht wurde, wieder her. D { Sie erstellen ein neues Benutzerobjekt mit demselben Benutzerprinzipalnamen (UPN), den das Benutzerobjekt hatte, das gelöscht wurde. Sie stellen dieses Benutzerobjekt zuverlässig wieder her. Richtige Antwort: C Begründung Um die Active Directory-Daten maßgebend wiederherzustellen, wird nach dem Wiederherstellen der Systemstatusdaten das Befehlszeilenprogramm ntdsutil ausgeführt. Mit diesem Befehlszeilenprogramm wird das Active Directory-Objekt, in diesem Fall das Benutzerkonto, für die maßgebende Wiederherstellung gekennzeichnet. Durch diese Kennzeichnung wird die Sequenznummer für die Aktualisierung erhöht, bis die Nummer größer ist als die andere Aktualisierungssequenznummer im Replikationssystem- 196 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Active Directory. Auf diese Weise stellen Sie sicher, dass das wiederhergestellte Benutzerkonto fehlerfrei im gesamten Unternehmen repliziert bzw. verteilt wird. Die Antwort A beschreibt eine nicht maßgebende Wiederherstellung, bei der die Daten im Replikationssystem-Active Directory als veraltet angezeigt und nicht auf die anderen Server repliziert werden. Stattdessen aktualisiert das Replikationssystem die wiederhergestellten Daten mit neueren Daten von anderen Domänencontrollern. Zum Replizieren der wiederhergestellten Daten auf die anderen Server muss eine autorisierende Wiederherstellung durchgeführt werden. Wenn ein AD-Objekt gelöscht wird, wird das Objekt (mit wenigen Ausnahmen) all seiner Attribute entkleidet und in dem Container Deleted Objects abgelegt. In diesem Container wird es standardmäßig 60 Tage lang aufbewahrt. Am Ende der 60 Tage – der voreingestellten TombstoneLebensdauer – wird das Objekt vom Garbage-Collection-Prozess endgültig aus der Datenbank entfernt und auch aus dem Container Deleted Objects gelöscht. Wird dieser Wert von 60 Tagen reduziert, wie in der Antwort B beschrieben, löscht der Garbage-Collection-Prozess dementsprechend die Objekte früher aus dem Container und der Datenbank. Für dieses Szenario benötigen wir eine sofortige Wiederherstellung des Benutzerkontos mithilfe einer autorisierenden Wiederherstellung. Durch eine nichtautorisierende Wiederherstellung werden alle Daten mithilfe des Replikationssystems von anderen Domänencontrollern aktualisiert, und das Konto würde nach der Replikation wieder gelöscht werden. Ein neues Benutzerkonto mit demselben UPN manuell zu erstellen, wie in der Antwort D beschrieben, würde bedeuten, dass alle Rechte und Berechtigungen, Gruppenmitgliedschaften usw. neu konfiguriert werden müssen. Diese Vorgehensweise ist fehleranfällig und zeitaufwändig. Hilfe • Datenträger und Daten / Sichern und Wiederherstellen von Daten / Sichern und Wiederherstellen von Daten / Konzepte / Grundlegendes zur Sicherung / Autorisierende, primäre und normale Wiederherstellung • Verwalten des Active Directory Verzeichnisdienstes \ Übersicht über Verwaltungsstrategien und –programme \ Verwenden von Befehlszeilenprogrammen MS Training • 1. Auflage: Seiten 168f., 1008 • 2. Auflage: Seiten 171f., 1028 - 197 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 6 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihre Gesellschaft besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSPRESS.DE. Alle Clients in Ihrer Firma führen als Betriebssystem Windows XP Professional aus. Das Hauptbüro der Gesellschaft befindet sich in Nürnberg. Sie sind ein Netzwerkadministrator in einer Zweigstelle der Gesellschaft in Kronach. Sie erstellen eine Gruppenrichtlinie, die das Startmenü der Mitarbeiter in Kronach auf einen freigegeben Ordner auf einem Dateiserver umleitet. Mehrere Benutzer in Kronach berichten, dass viele der Programme, die sie normalerweise verwenden, in ihrem Startmenü fehlen. Die Programme waren im Startmenü am Vortag noch verfügbar, aber heute erschienen sie nicht, wenn sich die Benutzer angemeldet haben. Sie melden sich bei dem Computer eines Mitarbeiters an. Alle erforderlichen Programme erscheinen im Startmenü. Sie stellen sicher, dass die Mitarbeiter auf den gemeinsamen Ordner auf dem Dateiserver zugreifen können. Sie müssen herausfinden, warum sich das Startmenü für diese Mitarbeiter geändert hat. Welche zwei Möglichkeiten haben Sie, um dieses Ziel zu erreichen? (Jede richtige Antwort entspricht einer vollständigen Lösung. Wählen Sie zwei.) - 198 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Sie wählen in der Gruppenrichtlinienverwaltung (GPMC) den Dateiserver, auf dem der gemeinsame Ordner verwaltet wird, sowie ein Benutzerkonto, das in der Gruppe der Domänenadministratoren ist, und überprüfen dies mithilfe des Richtlinienergebnissatzes. B Sie wählen in der Gruppenrichtlinienverwaltung (GPMC) eines der betroffenen Benutzerkonten aus und überprüfen dieses mithilfe des Richtlinienergebnissatzes. C Sie überprüfen auf einem der betroffenen Clientcomputer die Einstellungen mithilfe des Tools gpresult. D Sie überprüfen auf einem der betroffenen Clientcomputer die Einstellungen mithilfe des Tools gpupdate. E Sie überprüfen auf einem der betroffenen Clientcomputer die Einstellungen mithilfe des Tools secedit. Richtige Antworten: B und C Begründung Das Tool gpresult zeigt Gruppenrichtlinieneinstellungen und den Richtlinienergebnissatz (Resultant Set of Policy, RSoP) für einen Benutzer oder Computer an. Mithilfe des Snap-Ins für den Richtlinienergebnissatz können Sie detaillierte Berichte über die angewendeten Richtlinieneinstellungen erstellen. In der möglichen Antwort A werden die Einstellungen der Gruppenrichtlinie auf dem Dateiserver überprüft. Die Auswirkung der Richtlinie muss aber auf dem Computer eines betroffenen Mitarbeiters überprüft werden. gpupdate aktualisiert lokale und Active Directory–basierte Gruppenrichtlinieneinstellungen, einschließlich Sicherheitseinstellungen. Nachdem die angewendeten Richtlinien überprüft und nicht aktualisiert werden müssen, ist die Antworten D nicht richtig. Der Befehl secedit /refreshpolicy wurde in Windows Server 2003 und Windows XP durch den Befehl gpupdate ersetzt und zum Automatisieren von Aufgaben bei der Konfiguration der Sicherheitseinstellungen verwendet. Nachdem es sich um Windows XP Clientcomputer handelt, ist die Antwort E nicht richtig. Hilfe - 199 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Verwaltungs- und Skriptingprogramme \ Konfigurations- und Verwaltungsprogramme \ Richtlinienergebnissatz \ Konzepte \ Verwendung von Richtlinienergebnissatz MS Training • 1. Auflage: Seiten 643f., 1083 • 2. Auflage: Seiten 659f., 1103 - 200 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 7 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einer Domäne mit der Bezeichnung MVSPRESS.DE. Bevor Sie neue Gruppenrichtlinien implementieren, testen Sie diese auf einer Organisationseinheit mit der Bezeichnung Test. Die Organisationseinheit Test enthält einen Windows XP Professional Clientcomputer, den Sie als Testcomputer benutzen. Die Domäne enthält eine Gruppe mit der Bezeichnung Sicherheit. Sie erstellen eine neue Gruppenrichtlinie und konfigurieren im Abschnitt Computerkonfiguration die Option, damit die Gruppe Sicherheit eine Änderung der Systemzeit durchführen kann. Unmittelbar danach melden Sie sich am Testcomputer an und stellen fest, dass die Gruppenrichtlinie nicht angewendet wurde. Sie müssen das Gruppenrichtlinienobjekt sofort anwenden. Was sollten Sie tun? A { Sie melden sich von dem Testcomputer ab und dann gleich wieder an. B { Sie melden sich von dem Testcomputer ab. Sie erstellen ein Benutzerkonto in der Organisationseinheit Test und melden sich dann mit diesem Konto wieder an. C { Sie führen auf dem Testcomputer den Befehl gpresult aus. D { Sie führen auf dem Testcomputer den Befehl gpupdate /force aus. Richtige Antwort: D Begründung Mit Hilfe des Befehls gpupdate /force können Sie eine sofortige Aktualisierung der Gruppenrichtlinie erwirken. Der Schalter /force ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen erneut an. Sich vom Testcomputer ab- und anzumelden, wie in der Antwort A beschrieben, bewirkt, dass die Gruppenrichtlinie für den Benutzer und nicht für den Computer angewendet wird. In diesem Szenario wurden aber Einstellungen für den Computer konfiguriert. Standardmäßig werden Computerrichtlinien alle 90 Minuten im Hintergrund (mit einer zufälligen Verzögerung zwischen 0 und 30 Minuten) aktualisiert. Nachdem die Anmeldung an dem Clientcomputer unmittelbar - 201 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 nach der Konfiguration der Gruppenrichtlinie erfolgte, kann davon ausgegangen werden, dass die GPO noch nicht auf dem Clientcomputer angewendet wurde. Durch das Anmelden am Computer mit einem neu erstellten Benutzerkonto werden die Computerrichtlinien nicht aktualisiert. Deshalb ist die Antwort B nicht richtig. gpresult, wie in der Antwort C beschrieben, zeigt Gruppenrichtlinieneinstellungen und den Richtlinienergebnissatz (Resultant Set of Policy, RSoP) für einen Benutzer oder Computer an. Dieser Befehl aktualisiert keine Richtlinien, weder für den Computer noch für den Benutzer. Hilfe • Hilfe und Supportcenter: Suchbegriff: „ gpresult “ Æ Gpresult, Befehlszeilenreferenz MS Training • 1. Auflage: Seiten 694, 1104 • 2. Auflage: Seiten 712, 1124 - 202 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 8 Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Die Gesellschaft hat ein Hauptbüro und sechs Zweigstellen. Jede Zweigstelle beschäftigt weniger als 15 Mitarbeiter. Das Netzwerk besteht aus einer aktiven Verzeichnisdomäne und ist mit einem einzelnen Standort konfiguriert. Alle Server verwenden das Betriebssystem Windows Server 2003. Die Domänencontroller befinden sich im Hauptbüro. Alle Zweigstellen sind mit dem Hauptbüro durch WANVerbindungen verbunden. Es ist erforderlich, dass alle Benutzer ihre Kennworte alle zehn Tage ändern. Eine weitere Beschränkung ist eine Kennwortchronik, die die letzten fünf Kennwörter aufzeichnet. Sie stellen fest, dass Benutzer in den Zweigstellen, nach einem Ausfall der WAN-Verbindung für 24 Stunden oder länger, durch Verwenden der vor kurzem erloschenen Kennworte sich anmelden und auf lokale Ressourcen zugreifen können. Sie müssen sicherstellen, dass Benutzer sich nur an der Domäne durch Verwenden eines gegenwärtigen Kennworts anmelden können. Was sollten Sie tun? A { Sie aktivieren das Kontrollkästchen Zwischenspeichern der universellen Gruppenmitgliedschaft aktivieren. B { Sie weisen alle Benutzer an, sich durch Verwenden ihrer Benutzerprinzipalnamen (UPNs) anzumelden. C { Sie aktivieren für alle Mitarbeiter die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern. D { Sie konfigurieren die Domänengruppenrichtlinie, um Anmeldungsversuche zu verhindern, die zwischengespeicherte Informationen verwenden. Richtige Antwort: D Begründung Alle vorherigen Anmeldeinformationen von Benutzern werden lokal zwischengespeichert, damit sich die Benutzer anmelden können, falls ein Domänencontroller bei nachfolgenden Anmeldeversuchen nicht verfügbar ist. Dieses Verhalten kann mit einer Gruppenrichtlinie festgelegt und gesteuert werden. Die Einstellung der Gruppenrichtlinie besagt, wie oft sich ein Benutzer mithilfe zwischengespeicherter Kontoinformationen an einer Windowsdomäne anmelden kann. - 203 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Das Zwischenspeichern der universellen Gruppenmitgliedschaft in Zweigstellen hat unter anderem den Vorteil, dass kürzere Anmeldezeiten entstehen und der Netzwerkverkehr reduziert wird. Die authentifizierenden Domänencontroller müssen nicht mehr auf einen globalen Katalog zugreifen, um Informationen zur universellen Gruppenmitgliedschaft zu erhalten. Diese Funktion hat nichts mit der Zwischenspeicherung der vorherigen Anmeldeinformationen zu tun, deshalb ist die Antwort B nicht richtig. Die Option, dass ein Benutzer das Kennwort bei der nächsten Anmeldung ändern muss, befindet sich in den Eigenschaften eines Benutzerkontos. Damit wird bezweckt, dass das Kennwort des jeweiligen Benutzerkontos bei der nächsten Anmeldung an der Domäne geändert werden muss. Diese Funktion, wie in der Antwort C beschrieben, hat nichts mit der Zwischenspeicherung der vorherigen Anmeldeinformationen zu tun. Hilfe • Interaktive Anmeldung \ Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) \ Beschreibung der Sicherheitseinstellung MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 204 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 9 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003. Die meisten Clientcomputer befinden sich in den Büros der einzelnen Mitarbeiter. Einige Clientcomputer befinden sich in öffentlich zugänglichen Bereichen. Die firmeninterne Sicherheitspolitik enthält folgende Vorgaben: • Alle Mitarbeiter müssen Chipkarten benutzen, um sich bei einem Clientcomputer anzumelden. • Mitarbeiter, die einen öffentlich zugänglichen Clientcomputer benutzen, müssen abgemeldet werden, wenn sie die Chipkarte aus dem Kartenleser entfernen. Sie konfigurieren alle Benutzerkonten so, dass sie Chipkarten für interaktive Anmeldung anfordern. Sie schaffen eine Organisationseinheit mit der Bezeichnung PUBLIC. Sie müssen sicherstellen, dass das entsprechende Ereignis auf jedem Clientcomputer auftritt, wenn eine Chipkarte entfernt wird. Sie müssen dieses Ziel erreichen, ohne die anderen Computer zu konfigurieren. Was sollten Sie tun? - 205 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie verschieben alle Computer, die öffentlich zugänglich sind, in die Organisationseinheit PUBLIC. Sie erstellen eine neue Gruppenrichtlinie und verknüpfen sie mit der Organisationseinheit PUBLIC. Sie aktivieren Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards: Abmeldung erzwingen. B { Sie verschieben alle Mitarbeiter, die die öffentlich zugänglichen Clientcomputer benutzen, in die Organisationseinheit PUBLIC. Sie erstellen eine neue Gruppenrichtlinie und verbinden diese Richtlinien mit der Organisationseinheit PUBLIC. Sie aktivieren Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards: Abmeldung erzwingen. C { Sie aktivieren in der Standarddomänenrichtlinie Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards: Abmeldung erzwingen. D { Sie aktivieren in der Standarddomänencontrollerrichtlinie Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards: Abmeldung erzwingen. Richtige Antwort: A Begründung Alle Clientcomputer müssen bei der Entfernung der Chipkarte den Benutzer vom System abmelden. Dieses Verhalten betrifft alle Mitarbeiter, die sich an einem beliebigen öffentlichen Computer anmelden. Daher ist es sinnvoll, alle betroffenen Computer in einem Container zusammenzufassen und mit einer Gruppenrichtlinie dementsprechend zu konfigurieren. Das automatische Abmelden vom System beim Entfernen der Chipkarte muss nur auf öffentlichen Computern gewährleistet sein. Mit der Lösung B würde dieses Verhalten für die jeweiligen Mitarbeiter im gesamten Netzwerk zutreffen. Andere Mitarbeiter wiederum, die nicht Mitglieder der OU PUBLIC sind, die sich an einem öffentlichen Computer anmelden und ihre Chipkarte entfernen, würden demnach nicht abgemeldet werden. Aus diesem Grund ist die Antwort B nicht richtig. Auch die Antwort C ist falsch, denn alle authentifizierten Benutzer haben standardmäßig das Recht, die Gruppenrichtlinie Default Domain Policy zu lesen und die Gruppenrichtlinie zu übernehmen. Aus diesem Grund würden alle Benutzerkonten in der gesamten Domäne mit diesen Einstellungen konfiguriert werden. - 206 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Die Default Domain Controllers Policy beinhaltet Einstellungen für Domänencontroller, üblicherweise in der Organisationseinheit DOMAIN CONTROLLERS. Mit dieser GPO, wie in der Antwort D beschrieben, werden keine Computer, die sich in der Organisationseinheit PUBLIC befinden, konfiguriert. Hilfe • Interaktive Anmeldung \ Verhalten beim Entfernen von Smartcards \ Beschreibung der Sicherheitseinstellung MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 207 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 10 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Gesamtstruktur mit der Bezeichnung MVSPRESS.DE. Alle Server verwenden das Betriebssystem Windows Server 2003 und alle Clientcomputer Windows XP Professional. In einem Testlabor, das eine separate Verzeichnisstruktur enthält, entwickeln und testen Sie Gruppenrichtlinien, die Sie auf alle Computer und Benutzer in der Domäne anwenden möchten. Sie müssen eine neue Gruppenrichtlinie im Netzwerk einsetzen. Sie wollen diese Aufgabe mit minimalem administrativem Aufwand umsetzen. Was sollten Sie tun? A { Sie verwenden das verteilte Dateisystem, um die Gruppenrichtlinien im freigegebenen Ordner SYSVOL vom Testlabor zur Domäne zu replizieren. B { Sie verwenden die Gruppenrichtlinienverwaltungskonsole (GPMC), um die Richtlinie aus dem Testlabor zu exportieren und um sie anschließend in der Domäne zu importieren. C { Sie kopieren die Gruppenrichtlinieschablone (GPT) aus dem freigegebenen Ordner SYSVOL des Testlabors zur Domäne. D { Sie verwenden das Snap-In Active DirectoryBenutzer und -Computer, um in der Domäne eine neue Gruppenrichtlinie zu erstellen. In der neuen Gruppenrichtlinie übernehmen Sie alle Einstellungen aus der Richtlinie des Testlabors. Richtige Antwort: B Begründung Die Gruppenrichtlinienverwaltungskonsole ist ein Werkzeug, um Gruppenrichtlinien in einer Windows Server 2003-Umgebung zu verwalten. Einige der neuen Fähigkeiten der Gruppenrichtlinienverwaltungskonsole sind das Sichern, Wiederherstellen, Importieren und Kopieren von Gruppenrichtlinienobjekten, wenn nötig auch über die Grenzen von verschiedene Gesamtstrukturen hinweg. Diese Fähigkeit macht sich der richtige Lösungsvorschlag B zunutze. Mit DFS, dem verteilten Dateisystem wie in der Antwort A beschrieben, können Sie auf mehrere Server verteilte Dateien für Benutzer so anzeigen, als ob diese sich im Netzwerk an einem Ort befinden würden. Diese Replikation der Dateien hat mit der Replikation der Gruppenrichtlinien nichts zu tun. - 208 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Standardmäßig werden die Gruppenrichtlinienobjekte nur auf dem Domänencontroller erstellt oder bearbeitet, auf dem sich das Betriebsmastertoken für die PDC(primärer Domänencontroller)-Emulation befindet. Dieses Token wandert im Laufe der Zeit von einem Domänencontroller zum nächsten, während die Active DirectoryInformationen repliziert werden, so dass die Synchronität der Domänencontroller gewährleistet ist. Ein manuelles Kopieren der Richtlinie, wie in der Antwort C beschrieben, funktioniert nicht. Lösungsvorschlag D würde zwar funktionieren. Der Weg der hier beschritten wird, ist aber sehr mühselig und fehleranfällig und entspricht nicht den in der Frage gestellten Randbedingungen. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 209 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 11 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003 und alle Clientcomputer Windows XP. Die Firma hat ihren Hauptsitz in Puchheim und eine Zweigniederlassung in Küps. Diese zwei Geschäftsstellen wurden jeweils als ein Active DirectoryStandort konfiguriert und sind mit einer 10MBit Standleitung verbunden. Das Puchheimer Büro beinhaltet alle Domänencontroller der Domäne MVSNET.DE. Die Gruppenrichtlinienobjekte sind mit der Domäne und den verschiedenen Organisationseinheiten verknüpft. Aufgrund der hohen Bandbreite zwischen den Standorten existieren keinerlei Probleme bezüglich der Verarbeitung der Gruppenrichtlinien. Sollte die 10MBit Leitung ausfallen und nicht zur Verfügung stehen, werden die Gruppenrichtlinien über eine eigens dafür gemietete 128Kbps ISDN Leitung übertragen. Sie aktivieren die Gruppenrichtlinie zur Erkennung von langsamen Verbindungen und konfigurieren bestimmte GPOs dahingehend, dass diese nicht verarbeitet werden, sobald die 10MBit Leitung ausgefallen ist und nur die langsame Netzwerkverbindung zur Verfügung steht. Sie müssen sicherstellen, dass die Gruppenrichtlinienobjekte fehlerfrei abgearbeitet und angewendet werden. Um dieses Szenario zu testen, simulieren Sie eine langsame Netzwerkverbindung. Was sollten Sie tun? A { Sie verwenden in der Befehlszeile secedit /analyze. B { Sie verwenden den Richtlinienergebnissatz (RSoP) im Planungsmodus. C { Sie verwenden den Richtlinienergebnissatz (RSoP) im Protokolliermodus. D { Sie verwenden in der Befehlszeile gpupdate. Richtige Antwort: B Begründung In der Richtlinienergebnissatzabfrage im Planungsmodus gibt es mehrere Optionen. Eine dieser Optionen ist das Simulieren einer langsamen Netzwerkverbindung. Eine Verbindung wird dann als langsam bezeichnet, wenn die Rate, mit der Daten übertragen werden, langsamer ist, als die von der GPO Gruppenrichtlinien zur Erkennung von langsamen Verbindungen angegebenen Rate. - 210 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Die Antwort A ist nicht richtig, denn der Befehl secedit konfiguriert und analysiert die Systemsicherheit durch Vergleichen der aktuellen Konfiguration mit einer Vorlage. Mit dem Parameter analyze wird eine Analyse der Sicherheitseinstellungen durch den Vergleich mit den Grundeinstellungen in einer Datenbank durchgeführt. Der Richtlinienergebnissatz-Protokolliermodus, wie in der Antwort C beschrieben, ermöglicht die Überprüfung vorhandener GPO-Einstellungen für ein Computer- oder Benutzerkonto. Antwort D ist nicht richtig, denn der Befehl gpupdate aktualisiert die lokalen und die in Active Directory gespeicherten Gruppenrichtlinieneinstellungen, einschließlich der Sicherheitseinstellungen. Hilfe • Übersicht über Richtlinienergebnissatz: Richtlinienergebnissatz • Verwenden von Richtlinienergebnissatz: Richtlinienergebnissatz MS Training • 1. Auflage: Seiten 644f. • 2. Auflage: Seiten 661f. - 211 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 12 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Alle Server verwenden das Betriebssystem Windows Server 2003. Die Gruppenrichtlinie Softwarebeschränkungen, in der auch Pfadregeln für das Standardverzeichnis für Programme angewendet wurden, hindert die Benutzer daran, nicht genehmigte Anwendungen auszuführen. Diese Einschränkung gilt nicht für Benutzer, die lokale Administratoren auf ihren Clientcomputern sind. Der Entwickler in der Firma erstellt für einige der internen Benutzer eine neue Applikation, die in regelmäßigen Abständen aktualisiert wird. Ein Administrator installiert die Software unter C:\Programme\ auf einer bestimmten Anzahl von Computern mit der gelieferten setup.exe. Wenn Mitarbeiter jedoch versuchen, die neue Anwendung auszuführen, berichten sie, dass sie dies nicht können. Sie müssen langfristig und ohne weiteren Aufwand sicherstellen, dass alle Mitarbeiter die neue Anwendung ausführen können. Nicht genehmigte Software darf dagegen weiterhin nicht verwendet werden. Was sollten Sie tun? A { Sie erstellen einen WMI-Filter in der Gruppenrichtlinie Softwarebeschränkung, der festlegt, wo die Software installiert wird und wo die Gruppenrichtlinie die Ausführung der Software verhindert. B { Sie erstellen einen Hashwert für die ausführbare Datei der Software und überarbeiten die Gruppenrichtlinie Softwarebeschränkung, um zu erlauben, dass eine ausführbare Datei, die zum Hashwert passt, ausgeführt werden darf. C { Sie erstellen eine Zertifikatregel für die ausführbare Datei der Software und überarbeiten die Gruppenrichtlinie Softwarebeschränkung, um zu erlauben, dass die Applikation ausgeführt werden darf. D { Sie erstellen von der Software ein .msi-Paket und erstellen eine neue Gruppenrichtlinie, um das Paket den Computern zuzuteilen, die die Software benötigen. Richtige Antwort: C Begründung - 212 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Sie erstellen eine Zertifikatregel, die Software über deren Signaturzertifikat identifiziert und dann in Abhängigkeit von der Sicherheitsstufe deren Ausführung zulässt. Zudem überschreibt eine Zertifikatregel die existierenden Pfadregeln. Die Regeln werden folgendermaßen angewendet (vom höchsten zum niedrigsten Rang): • • • • Hashregel, Zertifikatregel, Pfadregel, Internetzonenregel. Die Antwort A ist nicht richtig: Mithilfe von WMI-Filtern (die in WMI Query Language geschrieben werden bzw. sind) kann ein Administrator eine WMI-basierte Abfrage angeben, um z. B. die Auswirkung eines Gruppenrichtlinienobjekts zu filtern. Es werden dabei Zielcomputer oder Benutzer ausgewertet. Wenn der Filter als True ausgewertet wird, wird das GPO angewendet, anderenfalls wird das GPO nicht angewendet. Außerdem werden WMI-Filter für die Verwaltung von Ausnahmen verwendet. Nachdem die Applikation in regelmäßigen Abständen aktualisiert wird, ändert sich die Datei selbst, der einst für die Richtlinie generierte Hashwert wird ungültig und die Richtlinie nicht mehr angewendet. Durch die bestehende Pfadregel auf dem Standardverzeichnis für Applikationen C:\Programme wird das Ausführen der Applikation verhindert. Die Administratoren müssten bei jeder Aktualisierung der Software die Hashregel neu anpassen, aus diesem Grund ist die Antwort B nicht richtig. Die Antwort D ist falschrichtig, denn mit Windows Installer und dem .msiPaketdateiformat kann Software installiert und entfernt werden. Einen Schutz vor unberechtigter Ausführung installierter Software bietet weder das .msi-Paket noch Windows Installer. Hilfe • Übersicht über Richtlinien für Softwareeinschränkung \ Richtlinien für Softwareeinschränkung MS Training • 1. Auflage: Seiten 798f. • 2. Auflage: Seiten 817f. - 213 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 13 Sie sind der Netzwerkadministrator der Firma IT Consulting MERK. Das Netzwerk besteht aus zwei Verzeichnisdiensten und jeweils einer einzelnen Domäne. Die Domänenfunktionsebene bei beiden Verzeichnisstrukturen ist Windows Server 2003. Eine Testumgebung bildet eine Verzeichnisstruktur, die zweite ist die Produktionsumgebung. In der Testumgebung befindet sich ein Domänencontroller. Sie verwenden die Testumgebung, um Gruppenrichtlinien für die Produktionsumgebung zu testen. Diese Tests schließen Änderungen an der Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller mit ein. Zudem verwalten Sie in der Testumgebung alle Gruppenrichtlinienobjekte für die gesamten Verzeichnisdienste. Sie müssen in der Lage sein, die Sicherheitsrichtlinie für Domänen und die Sicherheitsrichtlinie für Domänencontroller aus der Domäne Test in der Produktionsumgebung implementieren und anwenden zu können. Sie wollen diese Aufgabe mit dem geringsten möglichen Verwaltungsaufwand erledigen. Welche zwei Maßnahmen sollten Sie ergreifen? (Jede richtige Antwort ist Teil der Lösung. Wählen Sie zwei.) - 214 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Sie kopieren die Gruppenrichtlinie aus der Testdomäne in die produktive Domäne. Sie führen unter der Pfadangabe der Gruppenrichtlinie den Befehl DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH] in der produktiven Domäne aus. B Sie sichern die Sicherheitsrichtlinie für Domänen und die Sicherheitsrichtlinie für Domänencontroller der Produktionsdomäne durch Verwenden der Gruppenrichtlinienverwaltung (GPMCs). C Sie importieren die Sicherheitsrichtlinie für Domänen und die Sicherheitsrichtlinie für Domänencontroller in die Testdomäne durch Verwenden der Gruppenrichtlinienverwaltung (GPMCs) und einer Migrationstabelle. D Sie sichern und exportieren die angepassten Dateien gpttmpl.inf, die die Einstellungen für die Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller beinhalten aus der Domäne Test und importieren sie in die Domäne Produktion. E Sie erhöhen die Version der gpt.ini-Dateien für die Sicherheitsrichtlinie für Domänen und die Sicherheitsrichtlinie für Domänencontroller. Richtige Antworten: B und C Begründung Die Gruppenrichtlinienverwaltung (GPMC) ist in der Lage, die Gruppenrichtlinien aus der Produktionsumgebung zu sichern, um sie anschließend in die Testumgebung zu importieren. Das GPMC lässt Administratoren-Gruppenrichtlinien für mehrere Domänen und Standorte innerhalb einer oder mehrerer Verzeichnisstrukturen mittels einer vereinfachten Benutzerschnittstelle (UI) per Drag-and-Drop-Unterstützung bearbeiten. Neue Funktionen wie Unterstützung, Wiederherstellung, Import, Kopie und Berichte von Gruppenrichtlinien lassen ein einfaches Arbeiten zu. Diese Optionen sind vollständig über Skripte zu verwalten und verhelfen zu einer automatisierten Verwaltung. Die Antwort A ist nicht richtig, mit Dcgpofix werden die standardmäßigen Gruppenrichtlinienobjekte auf ihren ursprünglichen Standardstatus nach der Erstinstallation eines Domänencontrollers zurückgesetzt. Das Tool Dcgpofix erstellt zwei neue standardmäßige Gruppenrichtlinienobjekte und legt die Einstellungen basierend auf den Vorgängen fest, die nur im Verlauf von Dcpromo durchgeführt werden. Es ist wichtig zu wissen, dass - 215 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Dcgpofix nicht die Sicherheitseinstellungen in dem Stadium wiederherstellt, in dem sie sich vor der Ausführung von Dcpromo befunden haben. Beim Ausführen der Prozedur, wie in der Antwort D und E beschrieben, müssen Sie äußerst sorgfältig vorgehen. Wird die GPO-Vorlage nicht richtig konfiguriert, können die Domänencontroller möglicherweise nicht mehr ordnungsgemäß ausgeführt werden. Zudem ist dieses Vorgehen mit einem nicht geringen Arbeitsaufwand verbunden. Der Ablauf ist folgendermaßen: • Bearbeiten Sie die Datei gpttmpl.inf, um die Einstellungen anzupassen. Der Standardpfad für den Ordner SYSVOL lautet %SystemRoot%\sysvol, und die Datei gpttmpl.inf befindet sich in dem Verzeichnis Sysvol-Pfad\Sysvol\Domänenname \Policies\{31B2F340-016D-11D2-945F00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit. • Geben Sie der Gruppenrichtlinie eine höhere Versionsnummer, um sicherzustellen, dass die Änderungen an der Richtlinie beibehalten werden. Die Datei gpt.ini steuert die Versionsnummern der Gruppenrichtlinienvorlage. Diese Datei befindet sich in dem Verzeichnis Sysvol-Pfad\sysvol\Domänenname \Policies\{31B2F340016D-11D2-945F-00C04FB984F9}. • Übernehmen Sie die neue Gruppenrichtlinie, indem Sie mithilfe des Tools secedit / Parameter die Gruppenrichtlinie manuell aktualisieren. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 216 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 14 Sie sind der Netzwerkadministrator der Firma Dynagroup IT GmbH. Ihre Firma hat eine Tochtergesellschaft mit dem Namen MVS M. Völk Systems. Die Firma Dynagroup IT GmbH verfügt über einen aktiven Verzeichnisdienst mit der Bezeichnung DYNAGROUP.DE. Die Domänenfunktionsebene Ihrer Firma ist Windows Server 2003. In Ihrer Tochtergesellschaft MVS M. Völk Systems ist eine Windows NT 4 Domäne mit der Bezeichnung MVSNET.DE vorhanden. Ein Dateiserver mit der Bezeichnung »MVSNETFS04« ist Mitglied der Domäne DYNAGROUP.DE. Alle Mitarbeiter in beiden Domänen müssen jeden Tag Daten auf »MVSNETFS04« abspeichern. Sie möchten den Mitarbeitern in der Domäne MVSNET.DE den Zugriff auf »MVSNETFS04« erlauben. Sie müssen sicherstellen, dass die Domänenadministratoren aus DYNAGROUP.DE den Mitarbeitern von MVS M. Völk Systems keine Berechtigungen auf den Servern in MVSNET.DE erteilen können. Wie können Sie ihr Ziel erreichen? A { Sie führen ein Upgrade aller Server in der Domäne MVSNET.DE zu Windows Server 2003 durch und machen diese Domäne zur Stammdomäne einer zweiten Verzeichnisstruktur im vorhandenen Verzeichnisdienst. B { Sie führen ein Upgrade aller Server in der Domäne MVSNET.DE zu Windows Server 2003 durch und machen diese Domäne zur Stammdomäne einer neuen Verzeichnisstruktur. Sie richten eine beidseitige Vertrauensstellung ein. C { Sie richten eine einseitige Vertrauensstellung zwischen den beiden Domänen ein, wobei die Domäne DYNAGROUP.DE der Domäne MVSNET.DE vertraut. D { Sie richten eine einseitige Vertrauensstellung zwischen den beiden Domänen ein, wobei die Domäne MVSNET.DE der Domäne DYNAGROUP.DE vertraut. Richtige Antwort: C Begründung Wir benötigen eine einseitige Vertrauensstellung, in der die Domäne DYNAGROUP.DE der Domäne MVSNET.DE vertraut, denn Sie müssen sicherstellen, dass Mitarbeiter, die sich in der Domäne MVSNET.DE anmelden, Zugriff auf die Ressourcen von »MVSNETFS04« in der Domäne DYNAGROUP.DE bekommen. - 217 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Es ist nicht notwendig, die Windows NT-Domäne upzugraden, wie in den Antworten A und B vorgeschlagen wird. Es würde außerdem eine beidseitige Vertrauensstellung eingerichtet werden. Das würde bedeuten, dass die Domänenadminstratoren aus DYNAGROUP.DE den Mitarbeitern der Domäne MVSNET.DE Rechte vergeben könnten. Damit widerspricht Lösungsvorschlag B der Aufgabenstellung. In Antwort D hat die einseitige Vertrauensstellung die falsche Richtung. Hilfe • Vertrauenstypen \ Active Directory • Vertrauensrichtung \ Active Directory • Vertrauensstellungen \ Active Directory MS Training • 1. Auflage: Seiten 28f., 236f. • 2. Auflage: Seiten 28f., 242f. - 218 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 15 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden als Betriebssystem Windows Server 2003 und alle Clientcomputer Windows XP Professional. Der Verzeichnisdienst enthält die Organisationseinheiten Lohnbuchhaltung Mitarbeiter, Lohnbuchhaltung Server und Finanz Server. Die Computer der Mitarbeiter aus der Lohnbuchhaltung sind alle in der Organisationseinheit Lohnbuchhaltung Mitarbeiter mit aufgenommen. Die Server der Lohnbuchhaltung befinden sich alle in der Organisationseinheit Lohnbuchhaltung Server, die Server der Finanzabteilung alle in der Organisationseinheit Finanz Server. Sie planen eine grundlegende Sicherheitsrichtlinie für die Lohnbuchhaltung. Die Firmenrichtlinie gibt vor, dass die Kommunikation mit den Servern der Lohnbuchhaltung nur mit IPSec stattfinden darf. Alle anderen Server benötigen keine sichere Verbindung über IPSec. Sie möchten die grundlegende Sicherheitsrichtlinie der Firmenrichtlinie anpassen. Sie sollen sicherstellen, dass die Mitarbeiter der Lohnbuchhaltung auf Ressourcen der Lohnbuchhaltung und der Finanzabteilung zugreifen können. Wie gehen Sie vor? - 219 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine neue Gruppenrichtlinie und fügen die Richtlinie Sicherer Server (Sicherheit erforderlich) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Server. Sie erstellen eine zweite Gruppenrichtlinie und fügen die Richtlinie Client (nur Antwort) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Mitarbeiter. B { Sie erstellen eine neue Gruppenrichtlinie und fügen die Richtlinie Sicherer Server (Sicherheit erforderlich) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Server und Organisationseinheit Finanz Server. Sie erstellen eine zweite Gruppenrichtlinie und fügen die Richtlinie Client (nur Antwort) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Mitarbeiter. C { Sie erstellen eine neue Gruppenrichtlinie und fügen die Richtlinie Server (Sicherheit anfordern) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Server. Sie erstellen eine zweite Gruppenrichtlinie und fügen die Richtlinie Client (nur Antwort) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Mitarbeiter. D { Sie erstellen eine neue Gruppenrichtlinie und fügen die Richtlinie Server (Sicherheit anfordern) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Server und der Organisationseinheit Finanz Server. Sie erstellen eine zweite Gruppenrichtlinie und fügen die Richtlinie Client (nur Antwort) hinzu. Sie verknüpfen die neue Gruppenrichtlinie mit der Organisationseinheit Lohnbuchhaltung Mitarbeiter. Richtige Antwort: A Begründung Durch Hinzufügen der IPSec Richtlinie Sicherer Server (Sicherheit erforderlich) zu der Organisationseinheit Lohnbuchhaltung Server stellen Sie sicher, dass nur eine sichere Kommunikation über IPSec stattfindet. Durch Hinzufügen der IPSec-Richtlinie Client (nur Antwort) zur Organisationseinheit Lohnbuchhaltung Mitarbeiter wird sichergestellt, dass - 220 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 die Clientcomputer eine IPSec-Verbindung zu den Servern der Lohnbuchhaltung herstellen. Standardrichtlinien Nachdem Sie die Arten des zu sichernden Datenverkehrs und die erforderliche Sicherheitsebene identifiziert haben, können Sie mit der Richtlinienkonfiguration beginnen. Die Windows XP- und Windows Server 2003-IPSec-Richtlinienkonfiguration ist die Umsetzung Ihrer Sicherheitserfordernisse in eine oder mehrere IPSec-Richtlinien, von denen nur eine auf jeder der folgenden Ebenen zugewiesen werden kann: Domäne, Standort, Organisationseinheit oder lokale Ebenen. Jede IPSecRichtlinie enthält eine oder mehrere IPSec-Regeln. Client (nur Antwort) Hierbei handelt es sich um eine Richtlinie für Computer, die Kommunikation auf Anforderung eines Servers zu sichern. So ist beispielsweise die Verwendung von IPSec auf Intranetclients nicht erforderlich, es sei denn, dies wird von einem anderen Computer angefordert. Diese Richtlinie ermöglicht dem betreffenden Computer, auf Anforderungen auf eine gesicherte Datenübertragung zu antworten. Diese Richtlinie enthält die Standardantwortregel, mit der auf der Basis des angeforderten Protokolls und des Anschlussverkehrs für die zu sichernde Kommunikation dynamische IPSec-Filter für eingehenden und ausgehenden Datenverkehr erstellt werden. Server (Sicherheit anfordern) Hierbei handelt es sich um eine Richtlinie für Computer, die die Kommunikation in der Regel sichern sollten, die jedoch auch ungesicherte Kommunikation mit nicht IPSec-kompatiblen Computern zulässt. Bei Anwendung dieser Richtlinie akzeptiert der Computer ungesicherten Datenverkehr, versucht jedoch ständig, die weitere Kommunikation zu sichern, indem er Sicherheitsanforderungen an den Sender richtet. Diese Richtlinie ermöglicht die vollständige, ungesicherte Datenübertragung, wenn der andere Computer nicht IPSec-aktiviert ist. Die Kommunikation mit bestimmten Servern kann z. B. sicher sein, obwohl der Server generell auch ungesichert kommunizieren kann, um einen Pool verschiedener Clients zu bedienen, von denen nur einige IPSec unterstützen. Diese Richtlinie verfügt über eine Regel für die Anforderung von Sicherheit für den gesamten IP-Datenverkehr, eine Regel zum Zulassen von ICPMDatenverkehr und die Standardantwortregel, mit der auf Sicherheitsanforderungen anderer Computer geantwortet wird. Sicherer Server (Sicherheit erforderlich) Hierbei handelt es sich um eine Richtlinie für Computer in einem Intranet, für die eine sichere Kommunikation erforderlich ist, z. B. für Server, die - 221 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 zur Übertragung hochsensibler Daten verwendet werden. Administratoren können diese IPSec-Richtlinie als Vorlage verwenden, um eigene, benutzerdefinierte IPSec-Richtlinien für Firmenzwecke zu erstellen. Durch die in dieser Richtlinie verwendeten Filter wird die gesamte ausgehende Kommunikation gesichert. Nur die anfänglich eingehende Kommunikationsanforderung darf ungesichert sein. Diese Richtlinie verfügt über eine Regel für die Anforderung von Sicherheit für den gesamten IP-Datenverkehr, eine Regel zum Zulassen von ICPMDatenverkehr und die Standardantwortregel, mit der auf Sicherheitsanforderungen anderer Computer geantwortet wird. Hilfe • Standardrichtlinien für die IP-Sicherheit MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 222 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 16 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Alle Server verwenden Windows Server 2003 als Betriebssystem. Sie müssen die Benutzerdatenbank des Domänencontrollers vor unberechtigten Zugriff schützen und möchten dieses Ziel mit möglichst geringem Verwaltungsaufwand durchführen. Mit welchen zwei Aktionen lässt sich dieses Ziel erreichen? (Jede Antwort ist ein Teil der Lösung!) A Sie verwenden das Dienstprogramm für Systemschlüssel (syskey.exe) und wenden die sicherste Methode auf dem Domänencontroller an. B Sie erstellen eine Gruppenrichtlinie, importieren die Sicherheitsvorlage securedc.inf und wenden diese GPO auf dem Domänencontroller an. C Sie erstellen eine Gruppenrichtlinie und konfigurieren die Netzwerksicherheit LAN Manager Authentifizierung-Option so, dass sie zum Senden NTLMv2 verwendet wird. D Sie erstellen eine Gruppenrichtlinie, importieren die Sicherheitsvorlage security.inf und wenden diese GPO auf dem Domänencontroller an. Richtige Antworten: A und B Begründung Wenn ein Domänencontroller leicht zugänglich ist, kann sich ein Benutzer mit böswilligen Absichten Zugriff auf verschlüsselte Kennwörter verschaffen. Aus diesem Grund empfiehlt es sich, alle Domänencontroller in Ihrer Organisation in einem sicheren Raum zu verwahren, zu dem nur bestimmte Personen Zugang haben. Weitere Sicherheitsmaßnahmen, wie z. B. SYSKEY (Systemschlüssel), bieten zusätzlichen Schutz für Domänencontroller. Auszug aus Microsoft Hilfe Die Kennwortdaten für Benutzerkonten werden auf Arbeitsstationen und Mitgliedsservern in der Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) der Registrierung gespeichert. Auf Domänencontrollern werden die Kennwortdaten in Verzeichnisdiensten gespeichert. Software zum Ermitteln von Kennwörtern hat häufig die SAMDatenbank oder Verzeichnisdienste zum Ziel, um auf Kennwörter für - 223 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Benutzerkonten Zugriff zu erlangen. Das Dienstprogramm für Systemschlüssel (SYSKEY) bietet eine zusätzliche Verteidigungsinstanz gegen Software zum Ermitteln von Kennwörtern. Es setzt Verfahren zur starken Verschlüsselung ein, um in der SAM-Datenbank oder in Verzeichnisdiensten gespeicherte Kontokennwortdaten zu schützen. Das Ermitteln von verschlüsselten Kontokennwörtern ist schwieriger und zeitaufwendiger als das Ermitteln unverschlüsselter Kontokennwörter. Weitere Informationen zur Verschlüsselung finden Sie unter Verschlüsselung. Das Dialogfeld Schlüssel für Systemstart enthält drei Optionen für Systemschlüssel, die auf die Anforderungen unterschiedlicher Umgebungen ausgelegt sind (siehe dazu die folgende Tabelle). - 224 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Option für Systemschlüssel Relative Sicherheitsstufe Beschreibung Vom System generiertes Kennwort, Systemstartschlüssel wird lokal gespeichert Sicher Verwendet einen zufälligen computergenerierten Schlüssel als Systemschlüssel und speichert eine verschlüsselte Version des Schlüssels auf dem lokalen Computer. Diese Option bietet eine starke Verschlüsselung der Kennwortdaten in der Registrierung und ermöglicht dem Benutzer den Neustart des Computers, ohne dass ein Administrator ein Kennwort eingeben oder eine Diskette einlegen muss. Vom Administrator generiertes Kennwort, Kennwort für den Systemstart Sicherer Verwendet einen zufälligen computergenerierten Schlüssel als Systemschlüssel und speichert eine verschlüsselte Version des Schlüssels auf dem lokalen Computer. Der Schlüssel ist auch durch ein vom Administrator gewähltes Kennwort geschützt. Benutzer werden zur Eingabe des Systemschlüsselkennworts aufgefordert, wenn der Computer die Initialisierung durchläuft. Das Systemschlüsselkennwort wird nicht auf dem Computer gespeichert. Vom System generiertes Kennwort, Systemstartschlüssel wird auf Diskette gespeichert Am sichersten Verwendet einen zufälligen computergenerierten Schlüssel und speichert diesen auf einer Diskette. Die Diskette mit dem Systemschlüssel wird für den Systemstart benötigt und muss bei der entsprechenden Aufforderung während des Startvorgangs eingelegt werden. Der Systemschlüssel wird nicht auf dem Computer gespeichert. Das Verwenden des Dienstprogramms für Systemschlüssel ist optional. Wenn die Diskette mit dem Systemschlüssel verloren geht oder das Kennwort vergessen wird, können Sie den Computer nur durch Wiederherstellen der Registrierung wieder starten. Dabei muss die - 225 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Registrierung auf den Stand vor der Verwendung des Systemschlüssels gebracht werden. Wenn ein Domänencontroller mit securedc.inf konfiguriert ist, kann ein Benutzer mit einem Konto in dieser Domäne von einem Clientcomputer, auf dem ausschließlich LAN Manager ausgeführt wird und der das Domänenkonto verwendet, keine Verbindung zu einem Mitgliedsserver herstellen. Auf folgenden Computern wird LAN Manager ausgeführt: Computer unter Windows für Workgroups sowie Plattformen unter Windows 95 und Windows 98, auf denen nicht Active Directory Client Extensions installiert ist. Wenn Active Directory Client Extensions unter Windows 95 oder Windows 98 installiert ist, kann auf den entsprechenden Clients NTLMv2 verwendet werden. Windows Millennium Edition unterstützt NTLMv2 ohne zusätzliche Anpassung. Hilfe • Sicherheit / Authentifizierung / Kennwörter / Konzepte / Das Dienstprogramm für Systemschlüssel • Sicherheit / Sicherheitskonfigurationsmanager / Konzepte / Verwenden des Sicherheitskonfigurationsmanagers / Vordefinierte Sicherheitsvorlagen MS Training • 1. Auflage: Seite 850 • 2. Auflage: Seite 869 - 226 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 17 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Alle Domänencontroller verwenden das Betriebssystem Windows Server 2003. Das Netzwerk enthält 50 Windows 98 Computer, 300 Windows 2000 Professional Computer und 150 Windows XP Professional Computer. Entsprechend der Netzentwurfsspezifikation muss das Kerberos Version 5 Bestätigungsprotokoll für alle Clientcomputer im internen Netz verwendet werden. Sie müssen sicherstellen, dass Kerberos Version 5 Bestätigung für alle Clientcomputer im internen Netz verwendet wird. Was sollten Sie tun? A { Sie deaktivieren auf jedem Domänencontroller das Server Message Block (SMB) Protokoll für die Verschlüsselung einer sicheren Datenverbindung. B { Sie ersetzen alle Windows 98 Clientcomputer durch Windows XP Professional. C { Sie installieren auf allen Windows 98 Clientcomputern die Verzeichnisdienstkomponente. D { Sie ersetzen alle Windows 98 Clientcomputer durch Windows NT 4 Workstations. Richtige Antwort: B Begründung Standardmäßig können in einer Windows Server 2003-Domäne nur Windows 2000 Clientcomputer oder Windows XP Professional das Kerberosprotokoll verwenden. Windows 98 hat keine Unterstützung für dieses Protokoll, also bleibt nur ein Upgraden übrig. Hilfe • Active Directory-Clients \ Active Directory MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 227 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 18 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen mit den Bezeichnungen MVSNET.DE, DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Die Domänen DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE enthalten Benutzerkonten, Computerkonten und Mitgliedsserver. Die Domäne MVSNET.DE enthält nur die Administratoren und Computerkonten für zwei Domänencontroller. Jeder Mitgliedsserver führt nur die Dienste Dateiserver, Druckserver, WEB-Server oder Datenbankserver aus. Ihre Firma plant die Verwendung eine Gruppenrichtlinie für eine zentrale Verwaltung der Sicherheitseinstellungen der Mitgliedsserver. Einige der Sicherheitseinstellungen müssen auf alle Mitgliedsserver angewandt und dürfen nicht überschrieben werden. Andere Sicherheitseinstellungen sind nur für die entsprechenden Serverdienste gedacht. Sie müssen eine Struktur von Organisationseinheiten schaffen, um die Gruppenrichtlinien zu unterstützen. Sie wollen so wenig wie möglich Gruppenrichtlinien und Verbindungen erstellen. Was sollten Sie tun? - 228 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine Organisationseinheit auf oberster Ebene für jeden Serverdienst unterhalb der Domäne MVSNET.DE. Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne DACHAU.MVSNET.DE. Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne AUGSBURG.MVSNET.DE. B { Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne DACHAU.MVSNET.DE. Sie erstellen eine Organisationseinheit für jeden Serverdienst unterhalb der Organisationseinheit Server. Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne AUGSBURG.MVSNET.DE. Sie erstellen eine Organisationseinheit für jeden Serverdienst unterhalb der Organisationseinheit Server. C { Sie erstellen eine Organisationseinheit auf oberster Ebene mit der Bezeichnung Server unterhalb der Domäne MVSNET.DE. Sie erstellen eine Organisationseinheit für jeden Serverdienst unterhalb der Organisationseinheit Server. D { Sie erstellen eine Organisationseinheit auf oberster Ebene für jeden Serverdienst unterhalb der Domäne DACHAU.MVSNET.DE. Sie erstellen eine Organisationseinheit auf oberster Ebene für jeden Serverdienst unterhalb der Domäne AUGSBURG.MVSNET.DE. Richtige Antwort B Begründung Mit einer Organisationseinheit auf oberster Ebene mit der Bezeichnung Server können wir ein Gruppenrichtlinienobjekt einbinden, das Auswirkung auf alle Mitgliedsserver hat. Mit einer untergeordneten Organisationseinheit für die entsprechenden Serverdienste kann man Gruppenrichtlinienobjekte entsprechend der Serverfunktion einbinden. Die Mitgliedsserver befinden sich in den beiden untergeordneten Domäne und somit müssen wir die Struktur in beiden Domänen erstellen. In Lösung A fehlen die Organisationseinheiten für jeden Serverdienst in den Domänen DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE, da jede Domäne ihre eigenen Mitgliedsserver enthält. Außerdem wird für die Domäne MVSNET.DE keine Organisationseinheit benötigt, da hier keine Mitgliedserver existieren. Die Lösung C ist falsch, weil hier übersehen - 229 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 wird, dass die Richtlinien nicht auf die Domänencontroller angewendet werden sollen. In Lösung C werden die Organisationseinheiten nur in der Domäne MVSNET.DE erstellt. Die Server, für die die Gruppenrichtlinien bestimmt sind, befinden sich aber in den Domänen DACHAU.MVSNET.DE und AUGSBURG.MVSNET.DE, und können folglich nicht damit verwaltet werden. In Lösung D werden alle OUs auf oberster Ebene erstellt, dadurch werden die Gruppenrichtlinien nicht Vererbt. Deshalb müssen GPOs mit Einstellungen für alle Server mit der jeweiligen OU verknüpft werden. Es entstehen dadurch unnötig fiele Verknüpfungen zwischen OUs und GPOs. Das Ziel, so wenig wie möglich solcher Verknüpfungen zu erstellen wird dadurch nicht erreicht. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seiten 32, 379, 590f. • 2. Auflage: Seiten 32, 387, 604f. - 230 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 19 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Alle Server verwenden Windows Server 2003 als Betriebssystem, alle Clientcomputer Windows XP Professional. Die EDV-Beratung Eißner hat ein Büro in Veilsdorf und ein weiteres in Hildburghausen. Jedes Büro ist als Standort im Verzeichnisdienst definiert. Jedes Büro verfügt über zwei Domänencontroller. Das Netzwerk ist so konfiguriert, dass eine Mitteilung auf dem Bildschirm aller Benutzer angezeigt wird, bevor sie sich anmelden. Auf Anfrage der Rechtsabteilung nehmen Sie eine Änderung an der Mitteilung vor, indem Sie die Einstellungen in einer Gruppenrichtlinie ändern. Diese Gruppenrichtlinie ist mit der Domäne verknüpft. Die Rechtsabteilung berichtet, dass nicht alle Benutzer die neue Mitteilung erhalten. Sie entdecken, dass Benutzer im Büro Veilsdorf die neue Mitteilung erhalten, aber Benutzer im Büro Hildburghausen erhalten weiterhin die alte Mitteilung. Das Problem besteht mehrere Tage. Sie müssen sicherstellen, dass die neue Mitteilung auf allen Computern im Netz richtig angezeigt wird. Wie gehen Sie vor? A { Sie erstellen eine neue Sicherheitsgruppe und fügen alle Computerkonten aus Veilsdorf hinzu. Sie erlauben der Sicherheitsgruppe die Anwendung der Gruppenrichtlinie. B { Sie fügen einen Domänencontroller aus dem Standort Veilsdorf dem Standort Hildburghausen hinzu, warten 24 Stunden und bringen den Server in seinen ursprünglichen Standort zurück. C { Sie erzwingen eine Replikation des Verzeichnisdienstes. D { Sie melden sich an einem Domänencontroller in Veilsdorf an und fügen ihm die Betriebsmasterfunktion Infrastruktur hinzu. Richtige Antwort: C Begründung Es sieht so aus, als wenn die Gruppenrichtlinie nicht nach Hildburghausen repliziert worden ist, denn es werden immer noch die alten Informationen - 231 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 angezeigt. Wir müssen die Replikation zwischen den beiden Standorten erzwingen, um sicherzustellen, dass die Informationen repliziert werden. Da die Gruppenrichtlinie mit der Domäne verknüpft ist, erübrigt sich die Erstellung einer Gruppenrichtlinie für eine Sicherheitsgruppe. Deshalb ist Antwort A falsch. Die Lösung B ist unpraktisch und funktioniert nicht, da die Einstellungen des Domänencontrollers aus Veilsdorf nicht zum Subnetz in Hildburghausen passen. Lösung D hat nichts mit der Replikation einer Gruppenrichtlinie zwischen zwei Standorten zu tun. Hilfe • Grundlegendes zu Standorten und zur Replikation \ Active Directory • Übersicht über die Replikation \ Active Directory • Funktionsweise der Replikation \ Active Directory MS Training • 1. Auflage: Seiten 23f., 1003 • 2. Auflage: Seiten 23f., 1023 - 232 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 20 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Die Domäne enthält eine Organisationseinheit Verkauf. Sie erstellen drei Gruppenrichtlinienobjekte, die über vier Konfigurationseinstellungen (siehe Tabelle) verfügen: Standort GPO-Name GPO-Konfiguration Einstellungen Domäne Bildschirmschoner Verstecken der Registerkarte Bildschirmschoner Deaktiviert OU Verkauf Anzeige und Bildschirmhintergrund Verstecken der Registerkarte Bildschirmschoner Aktiviert OU Verkauf Anzeige und Bildschirmhintergrund Pfad für aktuellen Bildschirmhintergrund: c:\WINNT\web\wallpape r\bliss.jpg Aktiviert OU Verkauf Bildschirmhintergrund Pfad für aktuellen Bildschirmhintergrund: c:\WINNT\web\wallpape r\Fruehling.jpg Aktiviert Die Gruppenrichtlinie Bildschirmschoner hat die Einstellung nicht Überschreiben aktiviert. Auf der Organisationseinheit Verkauf ist die Vererbung der Gruppenrichtlinien aktiviert. Die Reihenfolge der verknüpften Richtlinien für die Organisationseinheit Verkauf ist Anzeige und Bildschirmhintergrund und als zweites Bildschirmhintergrund. Für die Benutzer in der Organisationseinheit Verkauf soll die Registerkarte Bildschirmschoner deaktiviert und der Bildschirmhintergrund Fruehling.jpg sein. Sie melden sich an einem Testcomputer mit einem Benutzerkonto aus der Organisationseinheit Verkauf an, aber Sie bekommen nicht die geforderten Einstellungen. Sie müssen sicherstellen, dass für die Benutzer aus der Organisationseinheit Verkauf die Registerkarte Bildschirmschoner deaktiviert wird und als Bildschirmhintergrund Fruehling.jpg eingesetzt wird. Benutzer in anderen Organisationseinheiten dürfen von diesen Einstellungen nicht betroffen werden. Wie gehen Sie vor? - 233 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie aktivieren die Einstellung nicht Überschreiben für die Gruppenrichtlinie Anzeige und Bildschirmhintergrund. B { Sie deaktivieren die Einstellung nicht Überschreiben für die Gruppenrichtlinie Bildschirmhintergrund. Verschieben Sie die Gruppenrichtlinie Bildschirmhintergrund an die erste Stelle der Reihenfolge. C { Sie erstellen eine Gruppenrichtlinie und verknüpfen sie mit dem Objekt Standardname-des-erstenStandorts. Sie konfigurieren die Gruppenrichtlinie so, dass Verzeichnisdiensthintergrund auf c:\WINNT\web\wallpaper\Fruehling.jpg verweist. D { Sie deaktivieren die Vererbung der Richtlinien für die Organisationseinheit Verkauf. Sie ändern die Gruppenrichtlinie Anzeige und Bildschirmhintergrund und verweisen für den Verzeichnisdiensthintergrund auf c:\WINNT\web\wallpaper\Fruehling.jpg. Richtige Antwort: B Begründung Die Option nicht Überschreiben in der Gruppenrichtlinie Bildschirmschoner bewirkt, dass auf allen Computer in der Domäne die Registerkarte Bildschirmschoner angezeigt wird. Sie möchten jedoch, dass dies nur für Mitarbeiter der Organisationseinheit Verkauf Auswirkung haben soll. Alle anderen Mitarbeiter sollen davon nicht betroffen werden. Da diese Gruppenrichtlinie Auswirkung auf die gesamte Domäne hat, müssen wir diese Einstellung in einer anderen Gruppenrichtlinie anwenden. Wir müssen die Gruppenrichtlinie Bildschirmhintergrund an die erste Stelle der Reihenfolge verschieben. Dadurch hat sie eine höhere Priorität als die Gruppenrichtlinie Anzeige und Bildschirmhintergrund. Damit überschreibt die Gruppenrichtlinie Bildschirmhintergrund die Einstellungen der Gruppenrichtlinie Anzeige und Bildschirmhintergrund und deshalb wird der Bildschirmhintergrund Fruehling.jpg angewendet. Gruppenrichtlinieneinstellungen werden in der nachstehenden Reihenfolge verarbeitet: - 234 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Lokales Gruppenrichtlinienobjekt - auf jedem Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. Für dieses werden Computer- und Benutzergruppenrichtlinien verarbeitet. • Standort - alle Gruppenrichtlinienobjekte, die mit dem Standort des Computers verknüpft sind, werden im nächsten Schritt verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinienverwaltungskonsole auf der Registerkarte verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang. • Domäne - die Verarbeitung mehrerer, mit einer Domäne verknüpfter Gruppenrichtlinienobjekte erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinienverwaltungskonsole auf der Registerkarte verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang. • Organisationseinheiten - zunächst werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit an der obersten Position in der Active DirectoryHierarchie verknüpft sind, dann die Gruppenrichtlinienobjekte, die mit der untergeordneten Organisationseinheit dieser Einheit verknüpft sind usw. Abschließend werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, in der sich der betreffende Benutzer oder Computer befindet. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seiten 598f., 613 • 2. Auflage: Seiten 604f., 628 - 235 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 21 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSPRESS.DE. Alle Server verwenden das Betriebssystem Windows Server 2003, alle Clientcomputer Windows XP Professional. Die Benutzer haben keine lokalen Administrationsrechte. Ihre Firma bekommt eine neue Software für die Auftragsbearbeitung. Diese Software muss auf jedem Clientcomputer installiert werden. Die Applikation enthält eine .msi-Datei. Sie kopieren diese Datei in einen freigegeben Ordner auf einem Dateiserver. Sie erteilen der Gruppe Authentifizierte Benutzer das Leserecht für diesen Ordner. Sie wollen diese Software einsetzen und weisen die Mitarbeiter an, dass sie diese .msi-Datei mit einem Doppelklick im freigegeben Ordner starten sollen. Als die Mitarbeiter jedoch versuchen, diese Software zu installieren, erhalten sie eine Fehlermeldung. Sie müssen das Netzwerk so konfigurieren, dass diese Software installiert werden kann. Welche zwei Optionen müssen Sie verwenden? (Jede richtige Antwort ist ein Teil der gesamten Lösung.) A Sie ändern die Standarddomänengruppenrichtlinie und fügen die Software für alle Computer hinzu. B Sie erweitern die Rechte der Mitarbeiter soweit, dass die Mitarbeiter während der Installation einen temporären Ordner im freigegeben Ordner erstellen können. C Sie ändern die Standarddomänengruppenrichtlinie und deaktivieren die Option Windows Installer deaktivieren im Bereich Computerkonfiguration. D Sie ändern die Standarddomänengruppenrichtlinie und aktivieren die Option immer mit erhöhten Rechten installieren im Bereich Computerkonfiguration. Richtige Antworten: A und D Begründung Die Installation schlägt deshalb fehl, weil Ihnen die entsprechenden Rechte dafür fehlen. Man kann dieses Problem mit Hilfe von Gruppenrichtlinien lösen. Dazu muss man als Erstes die Software im Bereich Computerkonfiguration/Softwareinstallation hinzufügen. Anschließend müssen die Rechte für den Windows Installer erweitert werden, sodass alle Benutzer ohne lokale Admin-Rechte die Software installieren können. - 236 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Windows Installer ist ein integrierter Bestandteil von IntelliMirror und eine der Kernkomponenten der gruppenrichtlinienbasierten Technologie zur Änderungs- und Konfigurationsverwaltung. Mit den Technologien von IntelliMirror, den Gruppenrichtlinien und der Änderungs- und Konfigurationsverwaltung können Administratoren bestimmte Anwendungen genehmigen. Hierbei wird festgelegt, dass alle Konfigurationsvorgänge für die betreffenden Anwendungen (Installation, Deinstallation und Reparatur) mit dem lokalen Systemkonto ausgeführt werden. Der Administrator steuert und verwaltet das Dateisystem und die Registrierung; Windows Installer wird bei der Installation von Software durch die Benutzer eingesetzt. Nur Anwendungen, die vom Administrator genehmigt sind, werden mit erhöhten Rechten ausgeführt. Administratoren können Active Directory, IntelliMirror und Gruppenrichtlinien nutzen, um Anwendungen für Benutzer- oder Computergruppen im Unternehmen zuzuweisen oder zu veröffentlichen. Active Directory ist ein sicherer, verteilter, partitionierter und replizierter Verzeichnisdienst, mit dem Verwaltungsdienste zur Verfügung gestellt werden. Diese Dienste umfassen ein standardisiertes Verfahren zum Auffinden von Ressourcen im Unternehmen sowie zum Zuweisen von Gruppenrichtlinien zu Objekten, die mit Active Directory verwaltet werden. Immer mit erhöhten Rechten installieren: Veranlasst Windows Installer, Systemberechtigungen bei der Installation von Programmen zu verwenden. Diese Einstellung erweitert erhöhte Berechtigungen für alle Programme. Die Berechtigungen gelten normalerweise nur für Programme, die dem Benutzer (wie z. B. Programme auf dem Desktop) oder dem Computer (diese werden automatisch installiert) zugewiesen wurden. Sie gilt aber auch für Programme, die unter „Software“ in der Systemsteuerung verfügbar sind. Diese Einstellung ermöglicht es Benutzern, Programme in Verzeichnissen zu installieren, auf die sie normalerweise keinen Zugriff haben, inklusive Verzeichnissen auf stark eingeschränkten Computern. Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, werden die aktuellen Benutzerberechtigungen für Installationen von Programmen, die nicht vom Systemadministrator zugewiesen oder angeboten werden, angewendet. Hilfe • IntelliMirror\Übersicht über Verwaltungsstrategien und –Programme • Verwenden von Optionen für den Computer mit Hilfe von Gruppenrichtlinien\Windows Installer MS Training - 237 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 238 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 22 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003, alle Clientcomputer Windows XP Professional. Alle Server, die keine Domänencontroller sind, haben ein Computerkonto in der Organisationseinheit ApplikationServers. Die Computerkonten der Clientcomputer sind auf 15 verschiedene Organisationseinheiten innerhalb des Verzeichnisdienstes verteilt, alle Benutzerkonten in der Organisationseinheit FirmenMitarbeiter zusammengefasst. Die Firma möchte, dass alle Mitarbeiter Microsoft Word auf ihren Clientcomputer haben. Die Firma möchte jedoch nicht, dass Microsoft Word auf den Domänencontrollern oder den anderen Servern installiert wird. Sie müssen das Netzwerk so konfigurieren, dass die Software ohne Auswirkung auf bestehende Richtlinien oder sonstige Einstellungen installiert werden kann. Wie gehen Sie vor? - 239 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft Word in der Computerkonfiguration/Softwareinstallation hinzu und verknüpfen diese Gruppenrichtlinie mit der Domäne. Dann deaktivieren Sie die Vererbung der Richtlinie für die Organisationseinheiten ApplikationServers und Domänencontroller. B { Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft Word in der Computerkonfiguration/Softwareinstallation hinzu und verknüpfen diese Gruppenrichtlinie mit der Domäne. Dann konfigurieren Sie die Berechtigungen für das Gruppenrichtlinienobjekt so, dass die Organisationseinheiten ApplikationServers und Domänencontroller dieses Gruppenrichtlinienobjekt nicht ausführen können. C { Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft Word in der Benutzerkonfiguration/Softwareinstallation hinzu und verknüpfen diese Gruppenrichtlinie mit der Domäne. Dann deaktivieren Sie die Vererbung der Richtlinie für die Organisationseinheiten ApplikationServers und Domänencontroller. D { Sie erstellen eine neue Gruppenrichtlinie, fügen Microsoft Word in der Benutzerkonfiguration/Softwareinstallation hinzu und verknüpfen diese Gruppenrichtlinie mit der Domäne. Dann konfigurieren Sie die Berechtigungen für das Gruppenrichtlinienobjekt so, dass die Organisationseinheiten ApplikationServers und Domänencontroller dieses Gruppenrichtlinienobjekt nicht lesen können. Richtige Antwort: B Begründung Die Software soll auf allen Clientcomputern, aber nicht auf den Domänencontrollern oder den Mitgliedsservern installiert werden. Weil die Clientcomputer auf 15 Organisationseinheiten verteilt sind, wäre es sinnvoll, das Gruppenrichtlinienobjekt auf Domänenebene zu verbinden. Die Organisationseinheiten, die die Clientcomputer enthalten, würden damit die Einstellungen der Gruppenrichtlinie erhalten. Um das Gruppenrichtlinienobjekt daran zu hindern, sich auf die Domänencontroller und Mitgliedsservern auszuwirken, können wir einfach das Lese-Rechte für Domänencontroller und Mitgliedsservern verbieten. Software Installation - 240 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Wenn Benutzern oder Computern Anwendungen zugewiesen sind, werden diese automatisch bei der Anmeldung (bei Benutzern zugewiesenen Anwendungen) oder beim Start (bei Computern zugewiesenen Anwendungen) auf den entsprechenden Computern installiert. Eine den Benutzern zugewiesene Anwendung wird standardmäßig auf dem Computer angekündigt, wenn der Benutzer sich das nächste Mal anmeldet. Dies bedeutet, dass eine Verknüpfung mit der Anwendung im Startmenü angezeigt und die Registrierung mit Informationen zu der Anwendung aktualisiert wird. Dazu gehören der Pfad des Anwendungspaketes und der Pfad der Quelldateien für die Installation. Anhand dieser Ankündigung auf dem Computer des Benutzers wird die Anwendung installiert, wenn sie vom Benutzer zum ersten Mal verwendet wird. Zusätzlich zu diesem Standardverhalten unterstützen Windows XP Professional-Clients und Windows Server 2003 eine Option zur vollständigen Installation des Pakets bei der Anmeldung, alternativ zur Installation bei der ersten Verwendung. Wenn diese Option festgelegt ist, wird sie auf Computern unter Windows 2000 ignoriert, da den Benutzern zugewiesene Anwendungen unter diesem Betriebssystem immer angekündigt werden. Computern zugewiesene Anwendungen werden beim nächsten Start des Computers installiert. Den Computern zugewiesene Anwendungen werden nicht angekündigt, sondern mit den Standardfunktionen installiert, die für das Paket konfiguriert sind. Anwendungen können nur dann mit Gruppenrichtlinien zugewiesen werden, wenn die Anwendungsinstallation als Windows Installer-Paket (msi-Datei) erstellt wurde. Veröffentlichen von Anwendungen: Anwendungen können für Benutzer auch veröffentlicht werden. Dies bedeutet, dass die Anwendung für den Benutzer zur Installation bereitgestellt wird. Zum Installieren einer veröffentlichten Anwendung können Benutzer Software in der Systemsteuerung verwenden. Software enthält eine Liste aller veröffentlichten Anwendungen, die zum Installieren verfügbar sind. Alternativ kann der Benutzer eine Dokumentdatei öffnen, die einer veröffentlichten Anwendung zugeordnet ist, wenn der Administrator die Funktion automatisch installieren und Dateierweiterung ausgewählt hat. So wird beispielsweise Microsoft Excel installiert, wenn auf eine XLS-Datei doppelt geklickt wird und Excel noch nicht installiert ist. Anwendungen können nur in Verbindung mit Benutzerrichtlinien und nicht für Computer veröffentlicht werden. Um alle Funktionen der Softwareinstallation mit Gruppenrichtlinien nutzen zu können, sollten vorzugsweise Anwendungen verwendet werden, die ein Windows Installer-Paket (msi-Datei) umfassen. Veröffentlichte msi-Pakete können beispielsweise auch von Benutzern ohne administrative Anmeldeinformationen installiert werden. - 241 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Legacyprogramme für die Installation können allerdings auch unter Verwendung einer zap-Datei veröffentlicht werden. Diese Anwendungen werden wie jede andere veröffentlichte Anwendung unter Software angezeigt, können in der Regel jedoch nur von Benutzern mit administrativen Anmeldeinformationen installiert werden. Eine zap-Datei ist eine einfache Textdatei, die den Pfad zum Installationsprogramm sowie alle Argumente enthält, die in der Befehlszeile übergeben werden sollen. In den Lösungsvorschlägen A und C wirkt sich die Deaktivierung der Vererbung auf alle untergeordneten Objekte aus. Deshalb wird es nicht empfohlen, die Vererbung zu deaktivieren. Bei Lösung D ist nicht sichergestellt, dass die Software tatsächlich auf allen Clientcomputern installiert wird, da die Verteilung der Software an die Benutzer und nicht die Computer gebunden ist. Hilfe • Bereitstellen und Aktualisieren von Software\Allgemeine Verwaltungsaufgaben MS Training • 1. Auflage: Seite 32f., 616, 719f. • 2. Auflage: Seite 32f., 631, 737f. - 242 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 23 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003, alle Clientcomputer Windows 2000 Professional oder Windows XP Professional. Die Clientcomputer sind in der Organisationseinheit Arbeitsstationen zusammengefasst. Die Firmenrichtlinie gibt vor, dass die Windows 2000 Professional Computer keine Offlineordner verwenden dürfen. Sie erstellen eine neue Gruppenrichtlinie, die diese Vorgabe enthält. Diese Einstellung in der Gruppenrichtlinie gilt für Windows 2000 Professional und Windows XP Professional Computer gleichermaßen. Sie müssen eine Gruppenrichtlinie nur für die Windows 2000 Professional Computer konfigurieren. Welche zwei Aktionen führen Sie zum Ziel? (Jede richtige Antwort ist eine vollständige Lösung.) A Sie erstellen einen WMI-Filter, der die Gruppenrichtlinie nur auf Windows 2000 Professional Computer anwendet. B Sie erstellen einen WMI-Filter, der die Gruppenrichtlinie nicht auf Windows XP Professional Computer anwendet. C Sie erstellen zwei Organisationseinheiten unterhalb der Organisationseinheit Arbeitsstationen. Sie verschieben die Computer mit Windows XP in die eine Organisationseinheit und die Computer mit Windows 2000 in die zweite Organisationseinheit. Sie verknüpfen diese Gruppenrichtlinie dann mit der Organisationseinheit Arbeitsstationen. D Sie erstellen eine Gruppe, die alle Windows XP Professional Computer beinhaltet und verweigern dieser Gruppe den Zugriff auf die Organisationseinheit. E Sie erstellen eine Gruppe, die alle Windows 2000 Professional Computer beinhaltet und verweigern dieser Gruppe den Zugriff auf Hinzufügen von Gruppenrichtlinienberechtigungen. Richtige Antworten: A und B Begründung Dies ist eine schwierige Frage, weil WMI-Filter von Windows 2000 Clients ignoriert werden. Die Windows XP Clients können die Filter auswerten, und das ist in unserem Fall ausreichend. - 243 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 In Antwort A erkennen die XP-Clientcomputer anhand des Filters, dass das Gruppenrichtlinienobjekt nicht bei ihnen zur Ausführung kommen soll. Die Windows 2000 Clientcomputer wenden das Gruppenrichtlinienobjekt an, ohne den WMI-Filter zu auszuwerten. In Antwort B liegt der Fall ähnlich. Die XP Clientcomputer werten den Filter aus und sehen, dass das Gruppenrichtlinienobjekt nicht bei ihnen zur Ausführung kommen soll. Die Windows 2000 Clientcomputer wenden das Gruppenrichtlinienobjekt an, ohne den WMI Filter auszuwerten. WMI-Filter können nur in einer Windows 2003 Server Umgebung ausgeführt werden. Obwohl kein Domänencontroller Windows 2003 Server ausführt, müssen wir den Verzeichnisdienst mit dem Tool ADPREP /domainprep aktualisieren. Wichtig ist, dass die WMI-Filter nur von Windows XP oder Windows 2003 und aktueller angewendet werden können. Aus diesem Grund sind beide Antworten richtig. Die Lösung C ist falsch weil eine Anwendung des Gruppenrichtlinienobjektes auf die Organisationseinheit Arbeitsstationen bewirkt, dass (durch Vererbung) die Gruppenrichtlinie auf die zwei untergeordneten Organisationseinheiten angewendet wird. Bei Lösung D wird die Ausführung der Gruppenrichtlinie nicht verhindert. Der in der Lösung E beschriebene Lösungsansatz ist falsch, weil hier wird verhindert, dass die Gruppenrichtlinie, bei Windows 2000 Clients Wirkung zu zeigen. Wenn die Gruppe die Windows XP Clients enthielt, dann würde diese Lösung funktionieren. Hilfe • Hinzufügen eines neuen WMI-Filters zu einem Gruppenrichtlinienobjekt\Filter für WindowsVerwaltungsinstrumentation MS Training • 1. Auflage: Seite 594 • 2. Auflage: Seite 609 - 244 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 24 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem einzelnen Verzeichnisdienst und drei Standorten. Jeder Standort hat einen Domänencontroller. Alle Server verwenden das Betriebssystem Windows Server 2003, die Clientcomputer Windows 2000 Professional oder Windows XP Professional. Die EDV-Abteilung ist in vier Gruppen aufgeteilt und arbeitet an allen drei Standorten. Die Computer der EDV-Mitarbeiter müssen in der Lage sein, Skripte auszuführen. Das Skript oder die Skripte müssen immer ausgeführt werden können, egal an welchem Standort sich die EDVMitarbeiter anmelden möchten oder in welcher Gruppe sie Mitglied sind. Sie müssen sicherstellen, dass die richtigen Anmeldeskripte für die entsprechenden EDV-Mitarbeiter ausgeführt werden. Wie gehen Sie vor? A { Sie erstellen vier Gruppenrichtlinienobjekte und dann ein Skript für jede Gruppenrichtlinie für die entsprechenden Gruppen. Sie verknüpfen alle vier Gruppenrichtlinien mit den drei Standorten und gewähren jeder Gruppe das Recht dafür, nur die Gruppenrichtlinien anzuwenden, die für ihre Gruppe erstellt wurden. B { Sie erstellen ein Skript, das die entsprechenden Eigenschaften, je nach Gruppenmitgliedschaft, ausführt. Sie kopieren dieses Skript in den NETLOGON-Ordner auf dem Domänencontroller. C { Sie erstellen ein Gruppenrichtlinienobjekt mit einem Startskript, das die Computer der EDV-Mitarbeiter entsprechend ihrer Gruppenmitgliedschaft konfiguriert. Sie verknüpfen dieses Gruppenrichtlinienobjekt mit den drei Standorten. D { Sie erstellen ein Skript, das die Computer der EDVMitarbeiter entsprechend ihrer Gruppenmitgliedschaft und Standortzugehörigkeit konfiguriert. Sie erstellen ein Gruppenrichtlinienobjekt für die Organisationseinheit Domänencontroller, das das Skript ausführt. Richtige Antwort: A Begründung Der einfachste Weg, um zu filtern, auf welchen Mitarbeiter oder Computer das Gruppenrichtlinienobjekt Anwendung findet, ist die Vergabe von Rechten. Ein Benutzer oder Computer, braucht das Recht zum Lesen, um die Gruppenrichtlinie anwenden zu können. In dieser Frage haben wir vier - 245 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Gruppen mit unterschiedlichen Eigenschaften, deshalb benötigen wir vier unterschiedliche Gruppenrichtlinienobjekte, die wir mit den Standorten verknüpfen. Bei Lösung B sollte das Script in einem aktiven Ordner im Verzeichnisdienst abgelegt sein. Außerdem muss ein Script über eine Gruppenrichtlinie bzw. die Profileinstellungen des Benutzerkontos bekannt gemacht werden. In Lösung C wird vorgeschlagen, ein Gruppenrichtlinienobjekt zu verwenden das die Computer der EDV-Mitarbeiter entsprechend ihrer Gruppenmitgliedschaft in den jeweiligen Standorten konfiguriert. Mit dieser Lösung ist es nicht möglich, die unterschiedlichen Scripteinstellungen vorzunehmen. Lösung D ist nicht richtig, denn das Gruppenrichtlinienobjekt wird hier mit der Organisationseinheit Domänencontroller verknüpft. Hilfe • Hilfe und Supportcenter, Suchbegriff: Gruppenrichtlinie MS Training • 1. Auflage: Seite 616 • 2. Auflage: Seite 631 - 246 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 25 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihre Firma besteht nur aus einem Büro, das Netzwerk aus einem Verzeichnisdienst mit einem Standort. Alle Server verwenden das Betriebssystem Windows Server 2003. Alle Datei- und Druckserver sowie die Applikationsserver sind in einer Organisationseinheit mit der Bezeichnung Server zusammengefasst. Ein Serversupportteam führt die täglichen Arbeiten auf den Datei- und Druckservern sowie den Applikationsservern durch. Alle Benutzerkonten des Serversupportteams sind in der Organisationseinheit SST zusammengefasst. Sie sind verantwortlich für die Sicherheit aller Server. Sie erstellen eine neue Gruppe ServerSupport, die alle Mitarbeiter des Serversupportteams enthält. Sie müssen sicherstellen, dass alle Mitarbeiter des Serversupportteams sich an jedem Datei- und Druckserver sowie den Applikationsservern lokal anmelden können. Wie gehen Sie vor? A { Sie erstellen ein Gruppenrichtlinienobjekt und erlauben der Gruppe ServerSupport das Recht zur lokalen Anmeldung. Sie verbinden dieses Gruppenrichtlinienobjekt mit der Organisationseinheit SST. B { Sie erstellen ein Gruppenrichtlinienobjekt und erlauben der Gruppe ServerSupport das Recht zur lokalen Anmeldung. Sie verbinden dieses Gruppenrichtlinienobjekt mit der Organisationseinheit Server. C { Sie erteilen der Gruppe ServerSupport den Vollzugriff auf die Organisationseinheit Server. D { Sie erteilen der Gruppe ServerSupport den Vollzugriff auf die Organisationseinheit Computer. Richtige Antwort: B Begründung Da alle Datei- und Druckserver sowie die Applikationsserver in einer Organisationseinheit Server zusammengefasst sind, ist es einfach, die Frage mithilfe einer Gruppenrichtlinie zu erledigen. Wir müssen nur in der Gruppenrichtlinie der Gruppe ServerSupport das Recht zur lokalen - 247 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Anmeldung geben und diese mit der Organisationseinheit Server verbinden. Die Gruppenrichtlinie, wie in Lösungmöglichkeit A beschrieben, ist mit der falschen Organisationseinheit verknüpft. In Lösungsvorschlägen C und D würde die Gruppe ServerSupport die Berechtigung erhalten, Objekte in der Organisationseinheit zu erstellen und die Eigenschaften vorhandener Objekte zu modifizieren. Dies sind mehr Rechte als erforderlich. Hilfe • Zuweisung von Benutzerrechten\Beschreibung der Sicherheitseinstellungen MS Training • 1. Auflage: Seite 616 • 2. Auflage: Seite 631 - 248 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 26 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr Netzwerk besteht aus einem Verzeichnisdienst. Die Verzeichnisstruktur umfasst 19 Domänen. 15 Domänen verfügen über Windows Server 2003. Die Domänenfunktionsebene aller Domänen ist Windows 2000 pur. Das Netzwerk enthält eine Microsoft Exchange 2000 Server-Organisation. Sie möchten Gruppen erstellen, die verwendet werden sollen, um E-Mails an alle Mitarbeiter in der gesamten Firma zu versenden. Sie wollen dieses Ziel mit minimalem Replikationsverkehr erreichen und die Größe der Verzeichnisdatenbank möglichst klein halten. Sie müssen einen Plan zur Erstellung der E-Mail-Gruppen für die Firma MVS M. Völk Systems erstellen. Was sollten Sie tun? A { Sie erstellen eine globale Verteilergruppe in jeder Domäne und fügen die entsprechenden Mitarbeiter in der Domäne der globalen Verteilergruppe hinzu. Sie erstellen dann eine universelle Verteilergruppe und machen die globale Verteilergruppe zum Mitglied der universellen Verteilergruppe. B { Sie erstellen eine globale Sicherheitsgruppe in jeder Domäne und fügen die entsprechenden Mitarbeiter der Domäne der globalen Sicherheitsgruppe hinzu. Sie erstellen dann eine universelle Sicherheitsgruppe und machen die globale Sicherheitsgruppe zum Mitglied der universellen Sicherheitsgruppe. C { Sie erstellen universelle Verteilergruppen und fügen die entsprechenden Mitarbeiter in der Domäne dieser universellen Verteilergruppe hinzu. D { Sie erstellen eine universelle Sicherheitsgruppe und fügen die entsprechenden Mitarbeiter in der Domäne dieser universellen Sicherheitsgruppe hinzu. Richtige Antwort: A Begründung Wir müssen den Replikationsverkehr reduzieren. Wir können dies erreichen indem wir die Mitarbeiter in globale Gruppen aufnehmen und die globalen Gruppen zum Mitglied einer universellen Gruppe machen. Im Verzeichnisdienst werden alle universellen Gruppen mit ihren Mitgliedern aufgelistet. Wenn eine universelle Gruppe Benutzerkonten enthalten würde und man dann ein Benutzerkonto hinzufügt oder entfernt, wird dies im gesamten Verzeichnisdienst repliziert. Darum sollte man - 249 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Benutzerkonten nicht direkt in universelle Gruppen aufnehmen. Für das Versenden von E-Mails werden Verteilergruppen benötigt. Wenn alle Domänencontroller in ihrer Domäne oder Gesamtstruktur unter Windows Server 2003 ausgeführt werden und als Funktionsebene Windows Server 2003 festgelegt ist, sind alle domänen- und gesamtstrukturweiten Funktionen verfügbar. Wenn in Ihrer Domäne oder Gesamtstruktur Windows NT 4.0- oder Windows 2000-Domänencontroller sowie Domänencontroller unter Windows Server 2003 vorhanden sind, sind die Active Directory-Funktionen eingeschränkt. Auszug aus Hilfe Windows 2003 Server „Das Konzept des Aktivierens zusätzlicher Funktionen in Active Directory gibt es in Windows 2000 im gemischten und im einheitlichen Modus. Domänen im gemischten Modus können Windows NT 4.0Reservedomänencontroller enthalten, und universelle Sicherheitsgruppen, die Gruppenschachtelung und der SID-Verlauf (Security ID, Sicherheitskennung) können damit nicht verwendet werden. Bei Domänen im einheitlichen Modus sind universelle Sicherheitsgruppen, die Gruppenschachtelung und der SID-Verlauf verfügbar. Domänencontroller unter Windows 2000 Server unterstützen die Domänen- und Gesamtstrukturfunktionalität nicht. Domänenfunktionalität Die Domänenfunktionalität ermöglicht Funktionen, die die gesamte Domäne, jedoch nur diese eine Domäne, betreffen. Die folgenden vier Domänenfunktionsebenen sind verfügbar: Windows 2000 gemischt (Standard), Windows 2000 pur, Windows Server 2003-interim und Windows Server 2003. Standardmäßig verwenden Domänen Windows 2000 im gemischten Modus als Funktionsebene. - 250 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Domänenfunktionsebene Unterstützte Domänencontroller Windows 2000 gemischt (Standard) Windows NT 4.0 Windows 2000 Windows Server 2003Produktfamilie Windows 2000 pur Windows 2000 Windows Server 2003Produktfamilie Windows Server 2003-interim Windows NT 4.0 Windows Server 2003Produktfamilie Windows Server 2003 Windows Server 2003Produktfamilie Jede Sicherheits- oder Verteilergruppe verfügt über einen Bereich, der bestimmt, in welchem Umfang die Gruppe in der Domänenstruktur oder der Gesamtstruktur verwendet wird. Es gibt drei Gruppenbereiche: „universell“, „global“ und „lokale Domäne“. Mitglieder von universellen Gruppen können Gruppen und Konten aus beliebigen Domänen in der Domänenstruktur oder Gesamtstruktur sein. Sie können diesen Gruppen in jeder Domäne der Domänen- oder Gesamtstruktur Berechtigungen zuweisen. Mitglieder von globalen Gruppen können ausschließlich Gruppen und Konten aus der Domäne sein, in der die Gruppe definiert wurde. Sie können diesen Gruppen in jeder Domäne der Gesamtstruktur Berechtigungen zuweisen. Mitglieder von lokalen Domänengruppen können Gruppen und Konten aus Windows Server 2003- oder Windows 2000-Domänen sein. Diese Gruppen können nur verwendet werden, um Berechtigungen innerhalb einer Domäne zuzuweisen. In der folgenden Tabelle sind die Eigenschaften der verschiedenen Gruppenbereiche zusammengefasst: - 251 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Universell Global Lokale Domäne Mit der Domänenfunktionsebene Windows 2000 im einheitlichen Modus oder Windows Server 2003 können universelle Gruppenkonten, globale Gruppen und universelle Gruppen aus einer beliebigen Domäne als Mitglieder haben. Mit der Domänenfunktionsebene Windows 2000 im einheitlichen Modus oder Windows Server 2003 können Gruppenkonten und Gruppen aus derselben Domäne als Mitglieder haben. Mit der Domänenfunktionsebene Windows 2000 im einheitlichen Modus oder Windows Server 2003 können lokale Domänengruppenkonten, Gruppen und universelle Gruppen aus einer beliebigen Domäne sowie lokale Domänengruppen aus derselben Domäne als Mitglieder haben. Mit der Domänenfunktionsebene Windows 2000 im gemischten Modus können keine universellen Sicherheitsgruppen erstellt werden. Mit der Domänenfunktionsebene Windows 2000 im gemischten Modus können Gruppen Konten aus derselben Domäne als Mitglieder haben. Mit der Domänenfunktionsebene Windows 2000 im einheitlichen Modus oder Windows Server 2003 können lokale Domänengruppen Konten und Gruppen aus einer beliebigen Domäne als Mitglieder haben. Mit der Domänenfunktionsebene Windows 2000 im einheitlichen Modus oder Windows Server 2003 können Gruppen zu anderen Gruppen hinzugefügt werden, und ihnen können in jeder beliebigen Domäne Berechtigungen zugewiesen werden. Gruppen können zu anderen Gruppen hinzugefügt werden, und ihnen können in jeder beliebigen Domäne Berechtigungen zugewiesen werden. Gruppen können zu anderen lokalen Domänengruppen hinzugefügt werden, und ihnen können nur in derselben Domäne Berechtigungen zugewiesen werden. Gruppen können in den Gruppenbereich „lokale Domäne“ konvertiert werden. Gruppen können in den Gruppenbereich „global“" konvertiert werden, solange keine anderen universellen Gruppen Mitglieder sind. Gruppen können in den Gruppenbereich „universell“ konvertiert werden, solange die Gruppe kein Mitglied in einer anderen Gruppe mit dem Bereich „global“ ist. Gruppen können in den Gruppenbereich „universell“ konvertiert werden, solange keine andere Gruppe mit dem Bereich „lokale Domäne“Mitglied ist. Hilfe - 252 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Gruppentypen\Active Directory MS Training • 1. Auflage: Seiten 474f. • 2. Auflage: Seiten 486f. - 253 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 27 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Ihre Firma kauft eine andere Firma mit der Bezeichnung IT Consulting Merk auf. Das Netzwerk der Firma besteht aus einem Verzeichnisdienst mit der Bezeichnung MERK.NET und einer zweiten Domäne MITTENWALD.MERK.NET. Die Domänenfunktionsebene des Verzeichnisdienstes ist Windows 2000. Die Domänenfunktionsebene von MITTENWALD.MERK.NET ist Windows 2000 pur. Eine Geschäftsentscheidung bestimmt, dass die Domäne MITTENWALD.MERK.NET aufgelöst werden soll. Sie müssen alle Benutzer von MITTENWALD.MERK.NET nach MVSNET.DE mit dem Verzeichnisdienst Migration Tool verschieben. Sie müssen die Aufgabe so durchführen, dass keine Anmelderechte oder sonstige Berechtigungen der Mitarbeiter verloren gehen. Sie müssen sicherstellen, dass alle Mitarbeiter aus der Domäne MITTENWALD.MERK.NET sich in der Domäne MVSNET.DE mit ihrem Benutzernamen und Passwort anmelden können. Wie gehen Sie vor? A { Sie erstellen eine beidseitige Windows Server 2003 Vertrauensstellung zwischen MVSNET.DE und der Domäne MERK.NET. B { Sie erstellen eine einseitige Windows Server 2003 Vertrauensstellung, in der MVSNET.DE der Domäne MERK.NET vertraut. C { Sie erstellen eine vorübergehende beidseitige Vertrauensstellung zwischen MVSNET.DE und der Domäne MITTENWALD.MERK.NET. D { Sie erstellen eine vorübergehende beidseitige Vertrauensstellung zwischen MVSNET.DE und der Domäne MERK.NET. Richtige Antwort: C Begründung: Wenn wir das Tool ADMT (Active Directory Migrationstool) verwenden, benötigen wir eine Zwei-Wege-Vertrauensstellung zwischen den beiden Domänen. Wir können keine Windows 2003 Vertrauensstellung verwenden wie in Lösung A vorgeschlagen, da die Domäne MITTENWALD.MERK.NET eine Windows 2000 Domäne ist. - 254 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Lösung B bringt uns auch nicht weiter, da wir eine Zwei-WegeVertrauensstellung benötigen. In Lösung D ist zwar der Ansatz richtig, aber es sind die falschen Domänen. Hilfe • Active Directory-Supporttools\Active Directory MS Training • 1. Auflage: Seiten 237f. • 2. Auflage: Seiten 242f. - 255 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 28 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen. Die übergeordnete Domäne hat die Bezeichnung MVSNET.DE. Es gibt noch zwei untergeordnete Domänen mit der Bezeichnung FRANKFURT.MVSNET.DE und BERLIN.MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Jede Domäne verfügt über zwei Domänencontroller. Der Domänencontroller »MVSDC001« in der Domäne MVSNET.DE führt die Schemamaster- und Domänennamensmasterfunktionen aus. Der Domänencontroller »MVSDC002« in den untergeordneten Domäne führt folgende Betriebsmasterfunktionen aus: RID-Master, Infrastrukturmaster und PDC-Emulator. Der Domänencontroller »MVSDC001« in der übergeordneten Domäne verfügt außerdem noch über die Rolle des globalen Katalogservers. Der Mitarbeiter Thomas aus der Domäne BERLIN.MVSNET.DE ist ein Mitglied der Sicherheitsgruppe Medizinstudenten. Wegen einer Namensänderung soll der Domänenadministrator den Nachnamen im Verzeichnisdienst von „Rauch“ auf „Müller“ ändern. Der Domänenadministrator von FRANKFURT.MVSNET.DE stellt fest, dass der Mitarbeiter immer noch mit „Thomas“ aufgelistet wird. Sie müssen sicherstellen, dass der Benutzername richtig in der Gruppe Medizinstudenten aufgelistet wird. Wie gehen Sie vor? A { Sie verschieben in jeder Domäne den PDC-Emulator von »MVSDC001« auf »MVSDC002«. B { Sie verschieben in jeder Domäne den Infrastrukturmaster von »MVSDC001« auf »MVSDC002«. C { Sie verschieben in jeder Domäne den RID-Master von »MVSDC001« auf »MVSDC002«. D { Sie verschieben in der Domäne MVSNET.DE den Schemamaster von »MVSDC001« auf »MVSDC002«. Richtige Antwort: B Begründung Probleme können immer dann auftreten, wenn der Infrastrukturmaster sich auf dem gleichen Server wie der globale Katalog Server befindet. Es gibt keinen Grund die anderen Betriebsmasterfunktionen zu verschieben. - 256 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Auszug aus Hilfe Windows 2003 Server „Infrastrukturmaster In jeder Domäne kann immer nur ein Domänencontroller die Funktion des Infrastrukturmasters übernehmen. Der Infrastrukturmaster dient dazu, Objektreferenzen in seiner Domäne auf Objekte in anderen Domänen zu aktualisieren. Dabei vergleicht er seine Daten mit denen eines globalen Katalogs. Im Zuge der Replikation empfangen globale Kataloge in regelmäßigen Abständen Aktualisierungen zu Objekten in allen Domänen, sodass die Daten des globalen Katalogs stets auf dem neuesten Stand sind. Der Infrastrukturmaster sucht veraltete Daten und fordert die aktualisierten Daten von einem globalen Katalog an. Anschließend werden diese aktualisierten Daten vom Infrastrukturmaster auf die anderen Domänencontroller in der Domäne repliziert. Wenn eine Domäne mehrere Domänencontroller umfasst, sollte die Funktion des Infrastrukturmasters nicht dem Domänencontroller zugewiesen werden, der als Server für den globalen Katalog dient. Werden Infrastrukturmaster und globaler Katalog auf demselben Domänencontroller angelegt, ist der Infrastrukturmaster nicht funktionsfähig. Da der Infrastrukturmaster in diesem Fall keine veralteten Daten findet, werden niemals Änderungen auf die anderen Domänencontroller in der Domäne repliziert. Wenn alle Domänencontroller einer Domäne gleichzeitig als Server für den globalen Katalog dienen, verfügen alle Domänencontroller über aktuelle Daten, und es ist unerheblich, auf welchem Domänencontroller die Funktion des Infrastrukturmasters angelegt ist. Der Infrastrukturmaster aktualisiert außerdem die Zuordnung von Benutzern zu Gruppen, wenn die Mitglieder einer Gruppe umbenannt oder geändert werden. Wenn Sie ein Mitglied einer Gruppe umbenennen oder verschieben (und dieses Mitglied einer anderen Domäne angehört als die Gruppe), scheint dieses Mitglied u. U. zeitweise nicht in der Gruppe enthalten zu sein. Die Gruppe muss vom Infrastrukturmaster der Domäne dieser Gruppe aktualisiert werden, sodass der neue Name oder Standort des Mitglieds angezeigt wird. Dadurch wird verhindert, dass Gruppenmitgliedschaften, die einem Benutzerkonto zugeordnet sind, verloren gehen, wenn das Benutzerkonto umbenannt oder verschoben wird. Die vom Infrastrukturmaster ausgeführte Aktualisierung wird mittels der Multimasterreplikation verteilt.“ Hilfe • Betriebsmasterfunktionen\Active Directory MS Training - 257 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • 1. Auflage: Seiten 226f. • 2. Auflage: Seiten 232f. - 258 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 29 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit zwei Standorten. Jeder der Standorte enthält zwei Domänencontroller. Einer der Domänencontroller ist der globale Katalogserver. Sie fügen jedem Standort einen weiteren Domänencontroller hinzu. Jeder der neue Domänencontroller hat einen schnelleren Prozessor als die existierenden Domänencontroller. Die Firmenleitung möchte, dass die Verzeichnisreplikation mit dem Domänencontroller durchgeführt wird, der den schnellsten Prozessor am Standort hat. Sie müssen eine Standortreplikation konfigurieren, um den Forderungen einer schnellen Verzeichnisreplikation nachzukommen. Was sollten Sie tun? A { Sie konfigurieren die neuen Domänencontroller als globale Katalogserver. B { Sie konfigurieren die neuen Domänencontroller als bevorzugte Brückenkopfserver für den IP-Transport. C { Sie konfigurieren die neuen Domänencontroller als bevorzugte Brückenkopfserver für den SMTP-Transport. D { Sie konfigurieren eine zusätzliche IP-Standortverbindung zwischen den zwei Standorten. Sie ordnen der Originalstandortverbindung niedrigere Standortverbindungskosten für diese Standortverbindung zu. Richtige Antwort: B Begründung Verzeichnisdaten müssen, außer bei kleinen Netzwerken, an mehreren Stellen im Netzwerk vorhanden sein, um für alle Benutzer von gleichem Nutzen zu sein. Mithilfe der Replikation verwaltet der Active DirectoryVerzeichnisdienstreplikate der Verzeichnisdaten auf mehreren Domänencontrollern, um die Verfügbarkeit und die Leistung des Verzeichnisses für alle Benutzer zu gewährleisten. Active Directory verwendet ein Multimasterreplikationsmodell, mit dem Sie Verzeichnisänderungen nicht nur auf den dafür vorgesehenen primären Domänencontrollern, sondern auch auf jedem beliebigen Domänencontroller ausführen können. - 259 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Active Directory verwendet ein Standortekonzept, um die Effizienz der Replikation zu gewährleisten und die Konsistenzprüfung (Knowledge Consistency Checker, KCC) und um automatisch die optimale Replikationstopologie für das Netzwerk zu ermitteln. Active Directory verwendet Standorte, um die Effizienz der Replikation zu optimieren. Standorte, die als Gruppen gut verbundener Computer definiert sind, bestimmen die Replikationsweise von Verzeichnisdaten. Active Directory repliziert häufiger Verzeichnisdaten innerhalb eines Standortes als zwischen Standorten. Auf diese Weise werden die Daten zuerst auf die am besten verbundenen Domänencontroller repliziert, die auch am dringendsten auf bestimmte Verzeichnisinformationen angewiesen sind. Die Änderungen werden auch auf die Domänencontroller an anderen Standorten repliziert. Diese Replikation findet jedoch seltener statt und führt so zu einer Entlastung der Netzwerkbandbreite. Bei einer Gesamtstruktur mit Windows Server 2003 als Funktionsebene zeigt der neue Windows Server 2003-Strukturalgorithmus noch größere Verbesserungen hinsichtlich Effizienz und Skalierbarkeit. Beispielsweise sind mit dem ursprünglichen Strukturalgorithmus von Windows 2000 für eine Domäne bis zu 300 Standorte möglich. Mit dem neuen Windows Server 2003-Strukturalgorithmus kann eine Domäne mindestens bis zu 3.000 Standorte enthalten. Bei dem neuen Strukturalgorithmus verwendet der Ersteller der standortübergreifenden Topologie an jedem Standort einen Auswahlvorgang nach dem Zufallsprinzip, um die Brückenkopfserver (Bridgeheadserver) für den Standort zu bestimmen. Mit diesem Auswahlvorgang wird die Last der Bridgeheadreplikation gleichmäßiger auf die Domänencontroller an einem Standort verteilt, was wiederum eine wesentlich bessere Effizienz bedeutet (insbesondere bei Hubstandorten mit vielen Domänencontrollern). Standardmäßig wird der Auswahlvorgang nach dem Zufallsprinzip nur ausgeführt, wenn neue Verbindungsobjekte zum Standort hinzugefügt werden. Mit einem neuen Windows Resource Kit-Tool, adlb.exe, können Sie jedoch die Last jedes Mal neu verteilen, wenn Änderungen an der Topologie oder an der Zahl der Domänencontroller des Standortes vorgenommen werden. Ein globaler Katalog ist ein Domänencontroller, der eine Kopie aller Active Directory-Objekte in einer Gesamtstruktur speichert. Im globalen Katalog wird eine vollständige Kopie aller Objekte in dem Verzeichnis der eigenen Domäne und eine Teilkopie aller Objekte für alle anderen Domänen in der Gesamtstruktur gespeichert. Ein weiterer GC wird nicht dazu beitragen, dass eine schnelle Verzeichnisreplikation stattfindet. Deshalb ist die Antwort A nicht richtig. Hilfe - 260 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Festlegen eines bevorzugten Bridgehadservers\Active Directory • Verwalten der Replikation\Active Directory • Übersicht über die Replikation\Active Directory MS Training • 1. Auflage: Seiten 315f. • 2. Auflage: Seiten 321f. - 261 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 30 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems, die fünf regionale Büros und drei Branchenbüros besitzt. Jedes Branchenbüro hat zehn Benutzer. Die Branchenbüros sind jeweils mit dem regional nächsten Büro über eine 56-Kbps WAN-Verbindung verbunden. Das Netzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Domäne für jedes regionale Büro enthält. Auf allen Servern läuft Windows Server 2003. Jedes Branchenbüro enthält einen Domänencontroller, der als zusätzlicher Domänencontroller in der regionalen Domäne für das Branchenbüro konfiguriert ist. Die Standortverbindung zwischen jedem Branchenbüro und der entsprechenden regionalen Domäne ist so konfiguriert, dass im Intervall von 30 Minuten Replikationen durchgeführt werden. Benutzer berichten, dass Anwendungen langsam reagieren, wenn sie auf Ressourcen im entsprechenden regionalen Büro zugreifen. Sie beobachten die WAN-Verbindung, die mehrere Branchenbüros verbindet, und entdecken, dass die Auslastung von 30% auf über 90% angestiegen ist. Sie müssen die Reaktionszeit der Anwendungen verbessern, wenn sie auf Ressourcen im regionalen Büro zugreifen. Außerdem müssen Sie sicherstellen, dass sich die Benutzer ohne zwischengespeicherte Informationen anmelden können, wenn die WAN-Verbindung ausfällt. Was müssen Sie tun? A { Sie entfernen Active Directory von jedem Datei- und Druckserver in jedem Brachenbüro. Anschließend erhöhen Sie das Replikationsintervall für jede Standortverknüpfung zwischen den Branchenbüros und dem entsprechenden regionalen Büro. B { Sie aktivieren die Zwischenspeicherung der universellen Gruppenmitgliedschaft in jedem Branchenbüro. Anschließend konfigurieren Sie die Standortverknüpfungen zwischen den Branchenbüros und dem entsprechenden regionalen Büro so, dass sie nur in verkehrsarmen Zeiträumen verfügbar sind. C { Sie konfigurieren den Domänencontroller in jedem Branchenbüro als einen globalen Katalogserver. D { Sie vermindern das Replikationsintervall für jede Standortverbindung zwischen jedem Branchenbüro und dem entsprechenden regionalen Büro. Richtige Antwort: B - 262 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Benutzer berichten, dass Anwendungen langsam reagieren, wenn sie auf Ressourcen im entsprechenden regionalen Büro zugreifen. Der Grund für die langen Reaktionszeiten ist der, dass die WAN-Verbindung mit geringer Bandweite während des Replikationsvorgangs sehr stark ausgelastet ist. Das lässt sich lösen, indem man die Standortverbindungen zwischen den Branchenbüros und dem regionalen Büros so konfiguriert, dass sie nur in verkehrsarmen Zeiten verfügbar sind. Dies verhindert die Durchführung der Replikation während der Arbeitszeit. Um sicherzustellen, dass sich die Benutzer ohne zwischengespeicherte Informationen anmelden können (bei Ausfall der WAN-Verbindung), muss man entweder die Zwischenspeicherung der universellen Gruppenmitgliedschaft in jedem Branchenbüro konfigurieren oder die Domänencontroller als globale Katalogserver einrichten. Wenn man die Domänencontroller in jedem Branchenbüro nur als globale Katalogserver konfiguriert, bleibt das Replikationsproblem bestehen. Daher ist B die richtige Antwort und nicht C. Das Entfernen der Active Directory von den Servern aus Lösungsvorschlag A verschlimmert eher das Problem, da dann der gesamte Anmeldeverkehr über die WAN-Verbindung erfolgt. Die Verminderung (Verkürzung) des Replikationsintervalls hat ähnliche Folgen wie Antwort A. Der Datendurchsatz der WAN-Verbindungen nimmt zu. Anmerkung: „Zwischengespeicherte Informationen“ sind Einstellungen, die bei der Anmeldung eines Benutzers an einen Clientrechner auf diesem hinterlegt werden. Ist bei der Anmeldung eines Benutzers kein Domänencontroller erreichbar, wird der Benutzer anhand dieser Informationen angemeldet, sofern er am jeweiligen Clientrechner schon einmal angemeldet war. „Zwischengespeicherte Informationen“ sind nicht mit der Zwischenspeicherung der universellen Gruppenmitgliedschaft zu verwechseln. Das Eine hat mit dem Anderen nicht zu tun. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu globalen Katalog\Globale Kataloge und Standorte • Active Directory\So wird es gemacht\Verwalten von Standorten\Konfigurieren von Standorteinstellungen\Zwischenspeichern der universellen Gruppenmitgliedschaft MS Training - 263 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • 1. Auflage: Seiten 309f., 331, 333 • 2. Auflage: Seiten 315f., 333, 337 - 264 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 31 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Die Firma besteht aus dem Hauptbüro und fünf Niederlassungen. Das Netzwerk besteht aus einem Verzeichnisdienst mit sechs Domänen. Alle Server verwenden das Betriebssystem Windows Server 2003. Jede Niederlassung ist als eigene Domäne und im Verzeichnisdienst als Standort definiert. Die Mitarbeiter der Firma und einige Applikationsserver benötigen Benutzerinformationen vom globalen Katalogserver. Sie installieren einige Applikationsserver im Hauptbüro und in den fünf Niederlassungen. Das Netzwerk sieht wie folgt aus: Sie überwachen die WAN-Verbindung zwischen dem Hauptbüro und den Niederlassungen und stellen fest, dass die Auslastung zwischen 70 und 90% liegt. Mitarbeiter berichten über lange Antwortzeiten, wenn sie Informationen von den Applikationsservern anfordern. Sie müssen in jede Niederlassung, die über lange Antwortzeiten klagt, einen globalen Katalogserver stellen. Sie möchten das mit einem Minimum an Zeit und Netzwerkverkehr durchführen. In welchen/r Niederlassung/en stellen Sie einen oder mehrere globale Katalogserver auf? (Wählen Sie alle benötigten Städte aus.) - 265 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Berlin. B Kaunas. C Moskau. D St. Petersburg. E London. Richtige Antworten: B, C und D Begründung: Weil die Applikationsserver Anfragen an den globalen Katalogserver stellen, benötigen wir in jedem Standort, an dem sich ein Applikationsserver befindet, einen globalen Katalogserver. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seiten 326f. • 2. Auflage: Seiten 332f. - 266 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 32 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus zwei Active Directory-Domänen. Auf allen Servern läuft Windows Server 2003. Die Firma hat Büros in Veilsdorf und Riesa. Beide Büros sind über eine 128-Kbps WAN-Verbindung miteinander verbunden. Jedes Büro ist als eine einzelne Domäne und als Active Directory Standort konfiguriert. Die Standortinformationen der Drucker werden im Active Directory gespeichert. Die Benutzer führen regelmäßig eine Suche im Active Directory durch, um Informationen über Drucker zu finden, indem sie die Entire Directory Option wählen. Die Benutzer im Büro Veilsdorf berichten, dass die Antwortzeit inakzeptabel langsam ist, wenn sie nach Druckern suchen. Sie müssen die Antwortzeit für die Benutzer im Büro Veilsdorf verbessern. Was müssen Sie tun? A { Sie platzieren ein Domänencontroller für die Domäne Riesa im Büro Veilsdorf. B { Sie platzieren ein Domänencontroller für die Domäne Veilsdorf im Büro Riesa. C { Sie aktivieren die Zwischenspeicherung der universellen Gruppenmitgliedschaft im Büro Veilsdorf. D { Sie konfigurieren einen globalen Katalogserver im Büro Veilsdorf. Richtige Antwort: D Begründung Die Benutzer im Büro Veilsdorf berichten, dass die Antwortzeit unakzeptabel langsam sei, wenn sie nach Druckern suchen. Der Grund für die langen Wartezeiten ist, dass das Active Directory im Standort Riesa durchsucht wird (über eine langsame WAN-Verbindung). Der globale Katalogserver enthält eine Teilmenge der Attribute aller Active DirectoryObjekte der Gesamtstruktur. Wenn man einen globalen Katalogserver im Büro Veilsdorf konfiguriert, dann hat man eine lokale Liste, welche Details der Drucker (und anderer Objekte) im Büro Riesa enthält. Die in Antwort A vorgeschlagene Installation eines zusätzlichen Domänencontrollers für Riesa im Büro Veilsdorf löst das Problem zwar, ist aber zu aufwändig, da unnötig. Ein zusätzlicher globaler Katalogserver im Büro Veilsdorf reicht vollkommen - 267 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 aus. Lösungsweg B würde das Problem nicht lösen, da die Schwierigkeiten in Veilsdorf auftreten, nicht im Büro Riesa. Die Zwischenspeicherung speichert Informationen zur universellen Gruppenmitgliedschaft. Dieses Szenario betrifft das Suchen von Druckern, was in keinerlei Hinsicht mit universellen Gruppen im Zusammenhang steht. Deshalb ist Antwort C falsch. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zum globalen Katalog\Globale Kataloge und Standorte MS Training • 1. Auflage: Seiten 326f. • 2. Auflage: Seiten 332f. - 268 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 33 Sie sind der Netzwerkadministrator der Domäne MVSNET.DE. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Sie fügen acht neue Server für eine neue Software hinzu. Sie erstellen eine Organisationseinheit SOFTWARE, die die neuen Server sowie Ressourcen der Software enthält. Benutzer und Gruppen in der Domäne benötigen unterschiedliche Berechtigungen für die neuen Softwareserver. Die Mitglieder einer globalen Gruppe ServerZugriffsTeam müssen in der Lage sein, Zugriffsrechte erteilen zu können. Das ServerZugriffsTeam muss sonst keine anderen Tätigkeiten auf den Servern auszuführen. Sie müssen dem ServerZugriffsTeam die Möglichkeit geben, Berechtigungen für diese Server zu vergeben und sicherstellen, dass nur die benötigten Rechte zugewiesen werden. Wie gehen Sie vor? A { Sie erstellen ein neues Gruppenrichtlinienobjekt für beschränkte Gruppen. Sie verändern die Gruppenrichtlinie so, dass die Gruppe ServerZugriffsTeam Mitglied der Hauptbenutzer auf jedem neuen Server wird. Sie verknüpfen diese Gruppenrichtlinie mit der Organisationseinheit SOFTWARE. B { Sie gewähren der Gruppe ServerZugriffsTeam das Recht zum Ändern von Computerobjekten in der Organisationseinheit SOFTWARE. C { Sie verschieben die Gruppe ServerZugriffsTeam in die Organisationseinheit SOFTWARE. D { Sie erstellen eine neue lokale Domänengruppe und gewähren dieser den Zugriff auf die Softwareserver. Sie gewähren der Gruppe ServerZugriffsTeam das Recht zum Ändern der Mitgliedschaft für diese lokale Domänengruppe. Richtige Antwort: D Begründung: Der einfachste Weg ist das Erstellen einer neuer lokalen Domänengruppe. Wir gewähren dieser Gruppe die entsprechenden Rechte für die neuen Server. Wir können z.B. einer Gruppe nur die Lese-Berechtigung zuweisen während eine andere Gruppe die Lese- und Schreib-Berechtigung erhält. - 269 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Auf diese Weise kann man kontrollieren, wer welchen Zugriff auf diesen Server bekommt. Das ServerZugriffsTeam hat keine Berechtigung auf diesen Server. Die Gruppe der Hauptbenutzer, wie in Lösung A, hat die Möglichkeit, einige administrative Tätigkeiten auf den Servern aufzuführen. Damit haben Sie mehr Rechte als benötigt. In Lösung B bekommen sie das Recht zum Ändern von Computerobjekten. Damit haben Sie mehr Rechte als benötigt. In Lösung C bekommen sie nicht die erforderlichen Berechtigungen. Hilfe • Empfehlungen zum Zuweisen von Berechtigungen für Active Directory Objekte\Zugriffsteuerung • Delegieren der Verwaltung\Active Directory MS Training • 1. Auflage: Seiten 485f. • 2. Auflage: Seiten 497f. - 270 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 34 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die mehrere Domänen enthält. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. Die Gesamtstruktur enthält mehrere Active Directory-Standorte, die Branchenbüros repräsentieren, und den Standort Puchheim, der das zentrale Datencenter darstellt. Ein Standort mit der Bezeichnung Veilsdorf enthält einen Domänencontroller mit der Bezeichnung »FDEDC002«, der nicht als globaler Katalogserver fungiert. Der Standort Puchheim enthält einen Domänencontroller mit der Bezeichnung »FDEDC001«, der als globaler Katalogserver konfiguriert ist. Sie müssen die Zwischenspeicherung der universellen Gruppenmitgliedschaft im Standort Veilsdorf einsetzen. Welche Komponente/n sollten Sie konfigurieren? (Wählen Sie die passende/n Komponente/n im Arbeitsbereich, um zu antworten.) A { Sie wählen die NTDS Site Settings für das Büro Veilsdorf im rechten Fenster. B { Sie wählen die NTDS Site Settings für das Büro Puchheim im rechten Fenster. C { Sie wählen die NTDS Settings für das Büro Veilsdorf im linken Fenster D { Sie wählen die NTDS Settings für das Puchheim im linken Fenster Richtige Antwort: A - 271 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 - 272 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Die Aufgabenstellung verlangt, dass für den Standort Veilsdorf die Zwischenspeicherung der universellen Gruppenmitgliedschaft aktiviert werden soll. Damit ist der Standort festgelegt. Stellt sich noch die Frage, ob im linken Fenster „NTDS Settings“ oder im rechten Fenster „NTDS Site Settings“ zur Einstellung der gewünschten Option geöffnet werden muss. Aus dem Schaubild oben geht hervor, dass die Option Zwischenspeicherung der universellen Gruppenmitgliedschaft aktivieren nur unter NTDS Site Settings verfügbar ist. Hilfe • Active Directory\So wird es gemacht\Verwalten von Standorten\Konfigurieren von Standorteinstellungen\Zwischenspeichern der universellen Gruppenmitgliedschaft MS Training • 1. Auflage: Seite 331 • 2. Auflage: Seite 337 - 273 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 35 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer einzelnen Active Directory-Domäne mit zwei Standorten. Die Active Directory-Datenbank wird jede Nacht gesichert. Ein Netzwerkadministrator im Standort Kronach löscht eine leere Organisationseinheit mit der Bezeichnung PROJEKTE. Zur gleichen Zeit verschiebt ein Administrator im Standort Puchheim 20 Benutzerkonten in die Organisationseinheit PROJEKTE. Später stellt der Administrator im Standort Puchheim fest, dass die Organisationseinheit PROJEKTE im Active Directory gelöscht ist. Er kann die Benutzerkonten, die er in die Organisationseinheit PROJEKTE verschoben hat, nicht mehr finden. Sie müssen eine Organisationseinheit PROJEKTE bereitstellen, um die 20 Benutzerkonten hinzufügen zu können. Der Netzwerkzugriff dieser Benutzer darf keinen Einfluss auf diesen Prozess haben. Wie gehen Sie vor? A { Sie verwenden eine autorisierende Wiederherstellung für die Organisationseinheit PROJEKTE und für die Benutzerkonten auf einem Domänencontroller im Standort Puchheim. B { Sie verwenden eine nicht autorisierende Wiederherstellung für die Organisationseinheit PROJEKTE und für die Benutzerkonten auf einem Domänencontroller im Standort Puchheim. C { Sie erstellen eine neue Organisationseinheit PROJEKTE. Sie erstellen 20 neue Benutzerkonten mit den gleichen Benutzerprinzipalnamen (User Principal Name, UPN). Sie verschieben diese Benutzerkonten in die Organisationseinheit PROJEKTE. D { Sie erstellen eine neue Organisationseinheit PROJEKTE. Sie verschieben die Benutzerkonten aus dem Ordner LostAndFound in die neue Organisationseinheit PROJEKTE. Richtige Antwort: D Begründung: Sie haben Benutzerkonten in eine Organisationseinheit verschoben, die aber auf einem anderen Server bereits gelöscht wurde. Wenn Sie Objekte in ein anderes Objekt, das im Verzeichnisdienst nicht mehr vorhanden ist, verschieben, werden die „heimatlosen“ Objekte in den Ordner LostAndFound verschoben. Damit sind die Objekte nicht gelöscht. Durch das Erstellen einer neuen Organisationseinheit können wir die - 274 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Benutzerkonten aus dem Ordner LostAndFound in die neue Organisationseinheit verschieben. Da wir keine Benutzerkonten gelöscht haben, brauchen wir sie auch nicht wiederherstellen (siehe Lösungsvorschlag A und B). Beim Lösungsvorschlag C wird durch das neu Erstellen der Benutzerkonten eine neue SID (Security Identifiers) zugewiesen. Dadurch können Probleme bei Netzwerkverbindungen auftreten. Hilfe • Active Directory\Konzepte\Verwalten von Active Directory\Verwalten von Active Directory in MMC: Abschnitt Verwenden von Active Directory-Benutzer und –Computer\LostandFound MS Training • 1. Auflage: Seiten 461f. • 2. Auflage: Seiten 472f. - 275 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 36 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit drei Domänen mit den Bezeichnungen MVSPRESS.DE, NORD.MVSPRESS.DE und SUED.MVSPRESS.DE. Die Domänenfunktionsebene ist Windows Server 2003. Die Mitarbeiter im Helpdesk sind auch für das Zurücksetzen der Benutzerkennwörter zuständig. Die dafür notwendigen Berechtigungen im Verzeichnisdienst haben sie. Es gibt eine Organisationseinheit FIRMENMITARBEITER in jeder Domäne, die alle Benutzerkonten der Domäne enthält. Alle Mitarbeiter, die über administrative Berechtigungen verfügen, haben das Benutzerkonto im Standardordner USER einer jeden Domäne. Es gibt eine universelle Gruppe HD_MITARBEITER in der Domäne MVSPRESS.DE. Alle Mitarbeiter des Helpdesk sind Mitglieder dieser Gruppe. Sie müssen die dafür erforderlichen Berechtigungen zuordnen, damit das Helpdesk die Kennwörter zurücksetzen kann. Für welche/s Objekt/e im Verzeichnisdienst sollten die Mitarbeiter des Helpdesk die Berechtigung erhalten? (Um zu antworten, wählen Sie den/die entsprechende/n Bestandteil/e in der Grafik aus.) - 276 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Richtige Antwort: - 277 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Wählen Sie die Organisationseinheit FIRMENMITARBEITER in jeder Domäne aus. Begründung: Wir müssen die erforderlichen Berechtigungen zum Zurücksetzen der Kennwörter für Benutzer in der Organisationseinheit FIRMENMITARBEITER, auf die Mitarbeiter des Helpdesk in der universelle Gruppe HD_MITARBEITER übertragen. Die Organisationseinheit FIRMENMITARBEITER in jeder Domäne enthält alle Benutzerkonten, für die das Helpdesk zuständig sein soll. Die universelle Gruppe HD_MITARBEITER enthält alle Mitarbeiter des Helpdesk und ist in allen Domänen sichtbar. Hilfe - 278 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Delegieren der Verwaltung\Active Directory\So weisen Sie die Objektverwaltung zu • Delegieren der Verwaltung\Active Directory\Zugriffssteuerung in Active Directory MS Training • 1. Auflage: Seiten 535f. • 2. Auflage: Seiten 547f. - 279 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 37 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Die Firma besteht aus der Zentrale und einer Außenstelle. Die Domäne umfasst vier Domänencontroller. Zwei Domänencontroller stehen in der Zentrale und die beiden anderen in der Außenstelle. Sie erstellen ein Gruppenrichtlinienobjekt mit der Bezeichnung WORKSOFT und verknüpfen dieses mit der Domäne. Sie konfigurieren die Gruppenrichtlinie, um eine Textverarbeitungssoftware im Abschnitt Benutzerkonfiguration einzubinden. Benutzer in der Außenstelle berichten, dass diese Software nicht zur Verfügung steht. Mitarbeiter in der Zentrale können jedoch diese Software benützen. Sie müssen sicherstellen, dass den Mitarbeitern in der Außenstelle diese Software zur Verfügung steht. Wie gehen Sie vor? A { Sie synchronisieren das Verzeichnis NETLOGON auf beiden Domänencontroller in der Außenstelle. B { Sie beschleunigen die Replikation zwischen den Domänencontrollern in der Zentrale und der Außenstelle. C { Sie führen das Tool gpresult auf jedem Clientcomputer in der Außenstelle aus. D { Sie führen das Tool gpotool auf jedem Clientcomputer in der Außenstelle aus. Richtige Antwort: B Begründung: Wir haben eine Gruppenrichtlinie erstellt und diese mit der Domäne verknüpft. Die Domänencontroller bekommen die neue Gruppenrichtlinie bei der nächsten Replikation. Alternativ können wir diesen Vorgang zwischen den Domänencontrollern der Zentrale und der Außenstelle beschleunigen, indem wir das Tool gpupdate mit dem Schalter /force verwenden. In unserem Fall benötigen wir eine Replikation des Verzeichnisdienstes zwischen der Zentrale und der Außenstelle. Lösung A schlägt eine Synchronisation des NETLOGON-Verzeichnisses vor. Das funktioniert nicht. Lösung C hat keine Auswirkung auf die Domänencontroller der Zentrale und der Außenstelle. Durch Eingabe des Befehls gpresult in die Befehlszeile erhalten Sie ähnlich ausführliche Informationen wie durch den Richtlinienergebnissatz-Protokollierungsmodus. Sie können die - 280 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Abfrageergebnisse in eine Textdatei exportieren. Auch bei Lösung D hat es keine Auswirkung auf die Domänencontroller der Zentrale und der Außenstelle. Mit gpotool können Sie den Zustand der Gruppenrichtlinienobjekte auf Domänencontrollern überwachen. Sie können dieses Programm verwenden, um die Konsistenz und die Replikation von Gruppenrichtlinienobjekten zu überprüfen und die Eigenschaften von Gruppenrichtlinienobjekten anzuzeigen. gpotool ist nur für Computer unter Windows 2000 verfügbar. Hilfe • Gpupdate\Befehlszeilenreferenz • Replikation innerhalb eines Standortes\Active Directory MS Training • 1. Auflage: Seiten 620, 694, 1104 • 2. Auflage: Seiten 635, 712, 1124 - 281 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 38 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE und enthält zwei Domänencontroller. Beide Domänencontroller verwenden Windows Server 2003 als Betriebssystem, alle Clientcomputer Windows XP Professional. Das einzige Benutzerkonto in der Domänenadministratoren-Gruppe ist das Administratorkonto der Domäne. Jede Nacht wird ein komplettes Backup der Festplatten auf jedem Domänencontroller durchgeführt. Sie deaktivieren das lokale Administratorkonto im Standarddomänengruppenrichtlinienobjekt. Sie stellen fest, dass Sie nicht mehr in der Lage sind, sich als Domänenadministrator an einem der Domänencontroller anzumelden. Sie müssen sicherstellen, dass Sie sich als Administrator auf beiden Domänencontrollern anmelden können. Wie gehen Sie vor? A { Sie starten einen Domänencontroller im abgesicherten Modus. Sie erstellen ein Benutzerkonto für einen zweiten Administrator, starten den Domänencontroller neu, verwenden zum Anmelden das neue Konto und entfernen dann die Einschränkung für den Administrator. B { Sie stellen die gesamte Festplatte unter Verwendung der letzten nächtlichen Sicherung auf einem Domänencontroller wieder her, bevor Sie die Änderung durchführen. Sie starten dann den Server neu und geben dem Verzeichnisdienst an, sich zu replizieren. C { Sie starten einen Domänencontroller mit der Wiederherstellungskonsole unter Verwendung der Windows Server 2003-CD neu. Sie stoppen den GPCDienst und starten den Domänencontroller neu. D { Sie starten einen Domänencontroller im Verzeichniswiederherstellungsmodus und führen eine autorisierende Wiederherstellung des Verzeichnisdienstes mit dem letzten nächtlichen Backup auf dem Domänencontroller durch, bevor Sie die Änderung machten. Sie starten den Server neu. Richtige Antwort: A Begründung: Die Standarddomänenrichtlinie deaktiviert das Administratorkonto. Wenn wir den Domänencontroller im abgesicherten Modus starten, wird die - 282 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Gruppenrichtlinie nicht ausgeführt, somit ist das Administratorkonto aktiv. Starten Sie den Server im abgesicherten Modus mit Netzwerkverbindung. Dann haben Sie Zugriff auf alle Benutzerkonten und Computerkonten im Verzeichnisdienst. Jetzt können Sie Objekte verändern oder, wie in unserem Fall, ein neues Benutzerkonto mit den entsprechenden Rechten erstellen. Anschließend können Sie den Server neu starten und sich mit dem neuen Benutzerkonto anmelden und die Änderungen rückgängig machen. Es ist nicht notwendig, wie in Lösung B beschrieben, die Festplatte wieder herzustellen. Vielmehr werden durch eine Replikation des Verzeichnisdienstes durch die aktiven Domänencontroller die „veralteten“ Eigenschaften überschrieben. Somit können wir von vorne anfangen! Bei Lösung C wird davon ausgegangen, dass der GPC-Dienst installiert ist. Eine Wiederherstellung vom Backup, wie in Lösung D, ist nicht sinnvoll, da Antwort A eine weniger aufwendige Lösung bietet. Hilfe • Startoptionen\Wiederherstellung MS Training • 1. Auflage: Seiten 96, 588f. • 2. Auflage: Seiten 97, 602f. - 283 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 39 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung EISSNER-EDV.DE. Alle Server verwenden das Betriebssystem Windows Server 2003. Sie verwenden Gruppenrichtlinien für die Verteilung von Software. Die EDV-Beratung Eißner verwendet zwei unterschiedliche Programme zum Anzeigen von Grafiken. Benutzer können auswählen, welches Programm sie aufgrund der Grafikformate verwenden möchten. Die Benutzer dürfen selbst entscheiden, welches dieser zwei Programmen sie installieren möchten. Sie müssen die Gruppenrichtlinien konfigurieren, um jede grafische Software, basierend auf der Auswahl des Benutzers, zu installieren. Wie gehen Sie vor? A { Sie veröffentlichen beide Programme mit Aktivierung über die Dateierweiterung. B { Sie veröffentlichen beide Programme ohne Aktivierung über die Dateierweiterung. C { Sie fügen beide Programme hinzu und installieren sie bei Bedarf. D { Sie fügen beide Programme hinzu und installieren beide. Richtige Antwort: B Begründung: Anwendungen können für Benutzer veröffentlicht werden. Dies bedeutet, dass die Anwendung für den Benutzer zur Installation bereitgestellt wird. Zum Installieren einer veröffentlichten Anwendung können Benutzer Software in der Systemsteuerung verwenden. Software enthält eine Liste aller veröffentlichten Anwendungen, die zum Installieren verfügbar sind. Alternativ kann der Benutzer eine Dokumentdatei öffnen, die einer veröffentlichten Anwendung zugeordnet ist, wenn der Administrator die Funktion Automatisch installieren, wenn die Dateierweiterung aktiviert wird (Lösung A) ausgewählt hat. So wird beispielsweise Microsoft Excel installiert, wenn Sie auf eine XLS-Datei doppelklicken und Excel noch nicht installiert ist. In unserem Fall funktioniert das aber nicht, da beide Anwendungen eventuell mit identischen Dateierweiterungen verknüpft werden müssten. Anwendungen können nur in Verbindung mit Benutzerrichtlinien und nicht für Computer veröffentlicht werden. Die Programme sollen veröffentlicht - 284 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 und nicht zugeordnet werden, siehe Lösung C. Lösungsvorschlag D widerspricht der Aufgabenstellung. Hilfe • Bereitstellen und Aktualisieren von Software\Allgemeine Verwaltungsaufgaben MS Training • 1. Auflage: Seiten 719f. • 2. Auflage: Seiten 737f. - 285 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 40 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne, die nur einen Domänencontroller enthält. Der Domänencontroller hat die Bezeichnung »FDEDC001« und befindet sich in der Hauptniederlassung im Standort Veilsdorf. Sie fügen einen neuen Standort mit der Bezeichnung Puchheim hinzu. Sie müssen dazu einen bereits existierenden Windows Server 2003 Mitgliedsserver mit der Bezeichnung »FDESRV01« zu einem weiteren Domänencontroller der Domäne EISSNER-EDV.DE heraufstufen. Eine 56Kbps WAN-Verbindung verbindet die beiden Standorte Veilsdorf und Puchheim. Sie müssen »FDESRV01« als neuen Domänencontroller für den Standort Puchheim installieren. Zudem soll die Belastung der WAN-Verbindung während dieses Prozesses minimal gehalten werden. Was müssen Sie tun? A { Sie stellen die Kosten für Replikation zwischen den Standorten Veilsdorf und Puchheim auf 50. Danach stufen Sie »FDESRV01« zu einem zusätzlichen Domänencontroller für den Standort Puchheim herauf. B { Sie stellen die gesicherten Systemstatusdaten von »FDEDC001« in einem neuen Ordner auf »FDESRV01« wieder her und installieren Active Directory, indem Sie den Befehl dcpromo /adv ausführen. C { Sie stufen »FDESRV01« zu einem zusätzlichen Domänencontroller auf, indem Sie den Befehl dcpromo über das Netzwerk ausführen. D { Sie stufen »FDESRV01« zu einem zusätzlichen Domänencontroller auf, indem Sie eine Datei für eine unbeaufsichtigte Installation benutzen. Richtige Antwort: B Begründung Um den Transfer über die WAN-Verbindung zu umgehen, kann man den neuen dcpromo /adv Befehl für die Installation eines zusätzlichen Domänencontrollers aus dem Backup der Systemstatusdaten eines existierenden Domänencontrollers nutzen. Die Option /adv wird nur benötigt, wenn man einen Domänencontroller von wiederhergestellten Systemtatusdaten erstellen will. Er wird nicht benötigt, wenn man einen zusätzlichen Domänencontroller über das - 286 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Netzwerk installieren will. Diese Sicherung kann als CD, DVD oder auf einer Festplatten-Partition vorliegen. Die Installation von Medien reduziert die Zeit für die Integration der Verzeichnisinformationen drastisch, weil die Größe der zu replizierenden Datenmenge dadurch reduziert wird. Die Installation von Medien ist sehr vorteilhaft in großen Domänen bzw. für das Einrichten von neuen Domänencontrollern, die über eine langsame Netzwerkverbindung verbunden sind. Zuerst muss eine Sicherung der Systemstatusdaten eines existierenden Domänencontrollers erstellt werden. Danach erfolgt die Wiederherstellung dieser Daten auf dem neuen Domänencontroller, indem man die Option „Dateien wiederherstellen in: Alternativer Bereich“ verwendet. Auf diese Weise kann man die Systemstatusdateien auf einem beliebigen Mitgliedsserver der Domäne wiederherstellen. Danach stuft man den Mitgliedsserver unter Verwendung dieser Daten zu einem Domänencontroller herauf. Die in Lösungsvorschlag A empfohlene Änderung der Replikationskosten hat keinen Einfluss auf die benötigte Bandbreite. Der Lösungsvorschlag C erfordert ebenfalls eine Replikation der Verzeichnisinformationen über die langsame WAN-Verbindung. Die Durchführung einer unbeaufsichtigten Installation der Active Directory mittels einer Skriptdatei, wie im Lösungsvorschlag D vorgeschlagen, schließt die Verwendung gesicherter Systemstatusdateien aus. Hilfe • Active Directory\So wird es gemacht\Verwalten von Domänen\Verwalten von Domänencontrollern\Erstellen eines zusätzlichen Domänencontrollers MS Training • 1. Auflage: Seiten 81f. • 2. Auflage: Seiten 81f. - 287 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 41 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur, die eine Stammdomäne und mehrere Subdomänen enthält. Die Domänenfunktionsebene aller Subdomänen ist Windows Server 2003. Die Domänenfunktionsebene der Hauptdomäne ist Windows 2000 pur. Sie konfigurieren einen Windows Server 2003 mit der Bezeichnung »FDEDC001« als Domänencontroller für eine existierende Subdomäne. »FDEDC001« befindet sich in einer neuen Zweigstelle in Puchheim. Sie verbinden »FDEDC001« mit der Zentrale in Veilsdorf über einen permanenten VPN-Tunnel, basierend auf einer DSL-Verbindung. »FDEDC001« hat eine einzelne Replikationsverbindung mit einem Standortbrücken-Domänencontroller in der Zentrale in Veilsdorf. Sie konfigurieren DNS auf »FDEDC001« und erstellen sekundäre Zonen für jede Domäne in der Gesamtstruktur. Sie müssen den Netzwerkverkehr, der durch Anmeldeaktivitäten über die VPN-Verbindung verursacht wird, minimieren. Auf welche Weise kann man die Aufgabe lösen? (Jede richtige Antwort stellt eine komplette Lösung dar. Wählen Sie zwei aus.) A Sie konfigurieren die DNS-Zonen so, dass sie Active Directory-integrierte Zonen verwenden. B Sie konfigurieren »FDEDC001« so, dass er den PDCEmulator für die Domäne darstellt. C Sie konfigurieren »FDEDC001« so, dass er ein globaler Katalogserver ist. D Sie konfigurieren die Zwischenspeicherung der universellen Gruppenmitgliedschaft auf »FDEDC001«. Richtige Antworten: C und D Begründung Die Belastung des Netzwerkes wird durch den Anmeldeverkehr über VPN vom lokalen Domänencontroller verursacht, welcher universelle Gruppeninformationen von einem globalen Katalogserver bezieht. Man kann diesen Netzwerkverkehr dadurch reduzieren, indem man entweder »FDEDC001« als einen globalen Katalogserver konfiguriert oder die Zwischenspeicherung der universellen Gruppenmitgliedschaft auf »FDEDC001« aktiviert. - 288 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Was macht ein globaler Katalogserver? Ein globaler Katalogserver ist ein Domänencontroller, der Informationen über alle Objekte der Gesamtstruktur speichert, nicht aber alle Attribute. Anhand dieser Informationen können Anwendungen Active Directory Objekte finden, ohne sich auf spezifische Domänencontroller zu beziehen, welche die benötigten Daten enthalten. Die Zwischenspeicherung der universellen Gruppenmitgliedschaft erlaubt dem Domänencontroller, Informationen über die Mitgliedschaft in universellen Gruppen für Benutzer zwischenzuspeichern. Man kann auf Domänencontrollern, die mit Windows Server 2003 laufen, die Zwischenspeicherung von universellen Gruppenmitgliedschaften aktivieren, indem man das Snap-In „Active Directory Standorte und Dienste“ verwendet. Durch das Aktivieren der Zwischenspeicherung von universellen Gruppenmitgliedschaften benötigt man keinen globalen Katalogserver mehr. Damit erreichen wir eine Reduzierung des Netzwerkverkehrs über die WAN-Verbindung, da der Domänencontroller nicht mehr alle Objekte der Gesamtstruktur replizieren muss. Ebenfalls wird die Anmeldezeit reduziert, da der authentifizierende Domänencontroller nicht immer erst auf einen globalen Katalog zugreifen muss, um Informationen über die Mitgliedschaft in universellen Gruppen zu erhalten. Der Lösungsvorschlag A kann nicht richtig sein, da der Anmeldeverkehr über VPN vom lokalen Domänencontroller verursacht wird, der universelle Gruppeninformationen von einem globalen Katalogserver erhält. Er wird nicht vom DNS verursacht. Der falsche Lösungsvorschlag B hat auch nichts mit der Lösungsbehebung zu tun, weil der PDC Emulator nicht beim Anmeldeprozess verwendet wird, außer es handelt sich um Windows NT Clients. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zum globalen Katalog\Globale Kataloge und Standorte MS Training • 1. Auflage: Seiten 326f., 331 • 2. Auflage: Seiten 332f., 337 - 289 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 42 Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die Informationen der Active Directory-Datenbank haben einen Umfang von 500 MB. Der Hauptsitz der EDV-Beratung Eißner befindet sich in Veilsdorf. Zudem gibt es eine Zweigstelle in Puchheim. Die zwei Büros sind über eine 56Kbps WAN-Verbindung verbunden, die nur für Active DirectoryReplikationen benutzt wird. In dem Büro in Veilsdorf arbeiten 450 Mitarbeiter und 15 in Puchheim. Die Zweigstelle in Puchheim betreibt einen einzelnen Windows Server 2003 Domänencontroller und zwei Windows Server 2003 Datei- und Druckserver. Die Festplatte des Domänencontrollers in Puchheim, auf der sich das Betriebssystem befand, fällt aus, und lässt sich nicht wiederherstellen. Sie bekommen den Auftrag, einen neuen Domänencontroller in Puchheim zu installieren, der eine aktuelle Kopie des Active Directory enthalten soll. Diese Aufgabe muss so schnell wie möglich erledigt werden. Was müssen Sie tun? A { Sie tauschen die Festplatte im Domänencontroller aus. Danach installieren Sie Windows Server 2003 auf dem Domänencontroller. Anschließend stellen Sie Active Directory aus einer Sicherung wieder her. B { Sie installieren Active Directory auf einem der Dateioder Druckserver. Danach erzwingen Sie eine Replikation. C { Sie installieren Active Directory auf einem der Dateioder Druckserver von wiederhergestellten, gesicherten Dateien. D { Sie tauschen die Festplatte im Domänencontroller aus. Danach installieren Sie Windows Server 2003 auf dem Domänencontroller und erzwingen eine Replikation. Richtige Antwort: C Begründung Es wird verlangt, dass ein Domänencontroller so schnell wie möglich in der Zweigstelle in Puchheim wieder zur Verfügung steht. Deshalb muss man Active Directory unter Verwendung gesicherter Dateien installieren. Lösungsweg A ist zwar der zu empfehlende Weg, jedoch ist der Weg wie im Lösungsvorschlag C beschrieben, schneller zu realisieren. Man kann mit - 290 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 dem neuen Befehl dcpromo /adv den Domänencontroller von einem Backup der Systemstatusdaten eines existierenden Domänencontrollers wiederherstellen. Die Option /adv wird nur benötigt, wenn man einen Domänen-Controller von wiederhergestellten Systemstatusdaten erstellen will. Er wird nicht benötigt, wenn man einen zusätzlichen Domänencontroller über das Netzwerk installieren will. Die Installation von Medien reduziert die Zeit für die Integration der Verzeichnisinformationen drastisch, weil die Größe der zu replizierenden Datenmenge reduziert wird. Die Installation von Medien ist sehr vorteilhaft in großen Domänen bzw. für das Einrichten von neuen Domänencontrollern, die über eine langsame Netzwerkverbindung verbunden sind. Der im Lösungsvorschlag A beschriebene Weg ist nur dann zu favorisieren, wenn genügend Zeit zur Verfügung steht. Die Lösungsvorschläge B und D sind falsch, da eine Replikation der 500 MB großen Datenbank die WAN-Verbindung zu stark belasten würde. Hilfe • Active Directory\So wird es gemacht\Verwalten von Domänen\Verwalten von Domänencontrollern\Erstellen eines zusätzlichen Domänencontrollers MS Training • 1. Auflage: Seiten 81f. • 2. Auflage: Seiten 81f. - 291 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 43 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Die Firma arbeitet mit einem Partnerunternehmen, der EDV-Beratung Eißner, zusammen. Das Firmennetzwerk enthält zwei Active DirectoryGesamtstrukturen mit den Bezeichnungen EISSNER-EDV.DE und MVSNET.DE. Die Domänenfunktionsebene beider Gesamtstrukturen ist Windows Server 2003. Es besteht eine bidirektionale Gesamtstrukturvertrauensstellung zwischen den beiden Gesamtstrukturen. Sie müssen folgende Aufgaben erfüllen: • Die Benutzer der EISSNER-EDV.DE-Gesamtstruktur müssen auf alle Ressourcen der MVSNET.DE-Gesamtstruktur Zugriff haben. • Die Benutzer der MVSNET.DE-Gesamtstruktur sollen nur auf Ressourcen Zugriff haben, die auf einem Server mit der Bezeichnung »FDESRV01.EISSNER-EDV.DE« gespeichert sind. Sie müssen die Gesamtstrukturvertrauensstellung und die Ressourcen auf »FDESRV01.EISSNER-EDV.DE« konfigurieren, um die Aufgabe zu erfüllen. Welche drei Aktionen müssen Sie durchführen? (Jede richtige Antwort stellt einen Teil der Lösung dar.) - 292 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Sie konfigurieren auf einem Domänencontroller der EISSNER-EDV.DE-Gesamtstruktur die Eigenschaften der eingehenden Gesamtstrukturvertrauensstellung so, dass die Ausgewählte Authentifizierung benutzt wird. B Sie konfigurieren auf einem Domänencontroller der EISSNER-EDV.DE-Gesamtstruktur die Eigenschaften der eingehenden Gesamtstrukturvertrauensstellung so, dass die Gesamtstrukturweite Authentifizierung benutzt wird. C Sie konfigurieren auf einem Domänencontroller der MVSNET.DE-Gesamtstruktur die Eigenschaften der eingehenden Gesamtstrukturvertrauensstellung so, dass die Ausgewählte Authentifizierung benutzt wird. D Sie konfigurieren, auf einem Domänencontroller der MVSNET.DE-Gesamtstruktur die Eigenschaften der eingehenden Gesamtstrukturvertrauensstellung so, dass die Gesamtstrukturweite Authentifizierung benutzt wird. E Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACLs) auf »FDESRV01.EISSNER-EDV.DE« so, dass der Sicherheitsgruppe MVSNET_Benutzer der Zugriff gewährt wird. F Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACLs) auf »FDESRV01.EISSNER-EDV.DE« so, dass der Sicherheitsgruppe EISSNER-EDV_Benutzer der Zugriff verweigert wird. Richtige Antworten: A, D und E Begründung Authentifizierung zwischen Gesamtstrukturen, basierend auf Windows Server 2003 Wenn alle Domänen innerhalb zweier Gesamtstrukturen einander vertrauen und Benutzer authentifizieren müssen, dann sollte man eine Gesamtstrukturvertrauensstellung zwischen den beiden Gesamtstrukturen einrichten. Wenn nur einige Domänen innerhalb der Gesamtstrukturen einander vertrauen, ist es vorteilhafter, externe uni- oder bidirektionale Vertrauensstellungen zwischen den Domänen einzurichten. Deshalb sind die Antwortmöglichkeiten B und C falsch. Um den Zugriff für die Benutzer der Domäne MVSNET.DE auf »FDESRV01.EISSNER-EDV.DE« zu gewährleisten, muss Lösung E gewählt werden. Lösung F bewirkt eine Zugriffsverweigerung für die Mitglieder der eigenen Domäne EISSNEREDV.DE. - 293 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Ausgewählte Authentifizierung zwischen den Gesamtstrukturen Existiert zwischen zwei Gesamtstrukturen eine Gesamtstrukturenvertrauensstellung, kann man den Bereich der Authentifizierung festlegen. Sowohl für ein- als auch ausgehende Vertrauensstellungen kann die Ausgewählte Authentifizierung festgelegt werden. Diese ermöglicht Administratoren eine flexible Steuerung des Zugriffs auf die Ressourcen der Gesamtstrukturen. Bei der Verwendung der Gesamtstrukturweiten Authentifizierung für eingehende Vertrauensstellungen haben Benutzer einer externen Gesamtstruktur den gleichen Zugriff auf Ressourcen der lokalen Gesamtstruktur, wie die Benutzer der lokalen Gesamtstruktur. Zum Beispiel: Wenn GesamtstrukturA eine eingehende Vertrauensstellung zu GesamtstrukturB hat, und Gesamtstrukturweite Authentifizierung verwendet wird, dann können alle Benutzer von GesamtstrukturB auf die Ressourcen von GesamtstrukturA zugreifen (vorausgesetzt sie haben die benötigten Berechtigungen). Sollte man die Ausgewählte Authentifizierung für eine eingehende Vertrauensstellung einsetzen, dann muss man auf jeder Domäne und Ressource den Benutzern Berechtigungen erteilen um Zugriff zu erlangen. Wenn sich ein Benutzer, im Fall der Ausgewählten Authentifizierung, über ein Vertrauensstellung authentifiziert, dann wird eine Andere Organisation Security ID (SID) zu den Benutzer-Authentifizierungsdaten hinzugefügt. Die Existenz dieser SID veranlasst eine Prüfung auf der RessourcenDomäne, damit sichergestellt wird, dass der Benutzer berechtigt ist, sich für einen Zugriff zu authentifizieren. Wenn der Benutzer einmal authentifiziert ist, fügt der Server, auf dem er sich authentifiziert hat, die Diese Organisation SID hinzu, falls die Andere Organisation SID noch nicht vorhanden ist. Es kann immer nur eine dieser speziellen SIDs im Kontext eines authentifizierten Benutzers vorhanden sein. Hilfe • Active Directory\So wird es gemacht\Verwalten von Vertrauensstellungen\Verwalten von Gesamtstrukturvertrauensstellungen\Erstellen einer Gesamtstrukturvertrauensstellung\ MS Training • 1. Auflage: Seiten 239f. • 2. Auflage: Seiten 245f. - 294 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 44 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, bestehend aus fünf Domänen und 30 Remotestandorten. Diese befinden sich in Städten auf der ganzen Welt. Insgesamt existieren 40000 Benutzerkonten in den fünf Domänen. Alle Remotestandorte sind über unzuverlässige 56Kbps WAN-Verbindungen mit dem Firmennetzwerk verbunden. Jeder Standort enthält mindestens einen Domänencontroller und einen globalen Katalogserver. Auf allen Domänencontrollern in der Gesamtstruktur ist Windows Server 2003 installiert. Die Domänenfunktionsebene aller Domänen in der Gesamtstruktur ist Windows 2000 pur. Sie planen mehrere Active Directory-fähige Anwendungen in den nächsten sechs Monaten zu verteilen. Jede dieser Anwendungen wird Attribute zum globalen Katalog hinzufügen oder existierende Attribute modifizieren. Sie müssen Modifikationen an der Active Directory-Infrastruktur durchführen, um die Verteilung der Anwendungen vorzubereiten. Sie wollen diese Aufgabe während der Abendstunden durchführen. Sie müssen sicherstellen, dass Netzwerkunterbrechungen, die durch das Verteilen der Anwendungen entstehen können, minimal gehalten werden. Zudem muss sichergestellt sein, dass diese Modifikationen den Zugriff der Benutzer auf Ressourcen nicht unterbrechen. Was müssen Sie tun? A { Sie verringern die Tombstone-Ablaufzeit im Active Directory-Schema für die NIDS-Service-Objektklasse. B { Sie entfernen die globale Katalogfunktion von den globalen Katalogservern in jedem Remotestandort. C { Sie erhöhen die Gesamtstrukturfunktionsebene auf Windows Server 2003. D { Sie konfigurieren die Zwischenspeicherung für universelle Gruppenmitgliedschaft in jedem Remotestandort. Richtige Antwort: C Begründung Um sich auf die neuen Anwendungen vorzubereiten, ist die beste Variante die Erhöhung der Gesamtstrukturfunktionsebene. Dies ermöglicht die Desaktivierung falscher Schema-Klassen. Zudem ist beispielsweise eine - 295 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Domänenumbenennung möglich und eine Verbesserung der Replication des globalen Katalogs zu verzeichnen. Das Schema erweitern Wenn die Einstellung der Objektklassen und Attribute des Standard Active Directory Schemas nicht den Bedürfnissen entspricht, kann man das Schema erweitern, indem man Objektklassen oder Attribute modifiziert bzw. hinzufügt. Das Schema sollte man nur dann erweitern, wenn es unbedingt notwendig ist. Der einfachste Weg das Schema zu erweitern, ist die Microsoft Management Console (MMC). Man sollte SchemaErweiterungen sorgfältig entwickeln und vor allem ausführlich testen, bevor man sie in das Firmennetzwerk integriert. Einmal erstellte Schema-Erweiterungen können nicht wieder entfernt werden. Attribute oder Klassen können nach ihrer Erstellung nicht gelöscht, sondern bestenfalls modifiziert oder deaktiviert werden. Deaktivieren einer Klasse oder eines Attributs Windows Server 2003 Domänencontroller erlauben nicht das Löschen von Objektklassen oder Attributen. Sie können lediglich deaktiviert werden, wenn sie nicht mehr benötigt werden oder wenn ein Fehler in der Originaldefinition aufgetreten ist. Eine deaktivierte Klasse bzw. ein deaktiviertes Attribut ist nicht mehr nutzbar. Jedoch kann man sie jederzeit reaktivieren. Eine Reaktivierung ist allerdings nur dann möglich, wenn die Gesamtstrukturfunktionsebene Windows Server 2003 ist, und die Werte für LDAPDisplayname, attributeID, governsID, schemaIDGUI und mAPIID keine Konflikte mit anderen Objektklassen bzw Attributen verursachen. Hilfe • Active Directory\So wird es gemacht\Verwalten einer Gesamtstruktur\Verwalten des Schemas MS Training • 1. Auflage: Seiten 9, 128f. • 2. Auflage: Seiten 9, 130f. - 296 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 45 Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Mitgliedsserver läuft Windows Server 2003, auf allen Clientrechnern Windows XP Professional. Alle Computerkonten der Clientrechner der Domäne befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Workstations. Sie müssen auf allen Rechnern im Netzwerk eine neue Anwendung aufspielen. Sie erstellen eine Gruppenrichtlinie, die das Anwendungspaket unter Softwareeinstellungen\Softwareinstallation im Bereich Computerkonfiguration des Gruppenrichtlinienobjektes bereitstellt. Sie weisen das Gruppenrichtlinienobjekt der Organisationseinheit Workstations zu. Einige Tage später berichten Benutzer, dass die Anwendung noch immer nicht installiert ist. Sie müssen sicherstellen, dass die Anwendung auf allen Clientrechner installiert ist. Was müssen Sie tun? A { Sie instruieren die Benutzer, dass sie ihre Rechner neu starten. B { Sie instruieren die Benutzer, dass sie ein Windows Update auf ihren Rechnern ausführen. C { Sie instruieren die Benutzer, dass sie eine Aktualisierung der Computerrichtlinieneinstellung auf ihren Rechnern erzwingen sollen. D { Sie instruieren die Benutzer, dass sie eine Aktualisierung der Benutzerrichtlinieneinstellung auf ihren Rechnern erzwingen sollen. Richtige Antwort: A Begründung Wenn eine Anwendung einem Computer zugewiesen wurde, dann wird diese Software erst installiert, wenn es sicher ist, also wenn die Betriebssystemdateien geschlossen sind. Das bedeutet, dass die Software beim Start des Rechners installiert wird, noch bevor sich ein Benutzer anmelden kann. Deshalb muss den Benutzern mitgeteilt werden, dass sie ihre Computer neu starten sollen. Lösungsweg B bewirkt eine Aktualisierung des Betriebssystems mit den aktuellsten Sicherheitspatches usw. Lösung C und D führen nur zu einer Aktualisierung der Richtlinien auf dem Clientrechnern. Da der Benutzer aber erst nach einigen Tagen das Fehlen der Anwendung bemängelt, - 297 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 sollten zwischenzeitlich die aktuellen Richtlinien auf dem Clientrechner vorhanden sein. Eine Installation der Anwendung kann nur durch einen Neustart des Computers erfolgen. Wenn man Programme Benutzern oder Computern zuweist, dann wird die Anwendung automatisch bei der Anmeldung (bei benutzerbezogenen Anwendungen) oder beim Rechnerstart (bei computerbezogenen Anwendungen) installiert. Beim Zuweisen von Anwendungen auf Benutzer wird standardmäßig die Anwendung bei der nächsten Benutzeranmeldung installiert. Das bedeutet, dass das Anwendungssymbol im Startmenü erscheint und die Registrierung mit Informationen der Anwendung aktualisiert wird, inklusive des Speicherortes des Anwendungspaketes sowie der Quelldatei für die Installation. Mit dieser Veröffentlichungsinformation auf dem Rechner des Benutzers wird die Anwendung installiert, wenn der Benutzer das erste Mal versucht, sie zu starten. Zusätzlich zu diesem Standardverhalten unterstützen Windows XP Professional und Windows Server 2003 Clients eine Option (zugewiesen), um das Packet vollständig bei der Benutzeranmeldung zu installieren. Dies ist eine gute Alternative zu der Installation nach dem ersten Start der Anwendung. Wenn man Anwendungen Computern zuweist, dann wird die Anwendung beim nächsten Start des Rechners installiert. Anwendungen die Computern zugewiesen wurden, werden nicht veröffentlicht, sondern mit den Standardeinsstellungen für das Installationspaket installiert. Wenn man Anwendungen via Gruppenrichtlinien zuweist, wird ein autorisiertes Windows Installer (.msi) Packet benötigt. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seite 720 • 2. Auflage: Seite 738 - 298 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 46 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die Domänenfunktionsebene ist Windows 2000 gemischt. Die Domäne enthält eine Organisationseinheit (OU) mit der Bezeichnung Vertrieb. Die Computerkonten der Clientrechner aus der Verkaufsabteilung befinden sich in der Organisationseinheit Vertrieb. Auf jedem Clientrechner läuft entweder Windows NT Workstation 4.0, Windows 2000 Professional oder Windows XP Professional. Sie müssen ein Softwarepaket automatisch auf alle Windows 2000 Professional Clientrechner in der Organisationseinheit Vertrieb verteilen. Sie erstellen ein Gruppenrichtlinienobjekt (GPO) und verbinden dieses mit der Organisationseinheit Vertrieb. Wie gehen Sie vor? A { Sie konfigurieren die Gruppenrichtlinie so, dass das Softwarepaket dem Bereich Computerkonfiguration unter Softwareeinstellungen zugewiesen wird. Danach modifizieren Sie die Freigegebenen Zugriffssteuerungslisten (DACLs) der Gruppenrichtlinie so, dass den authentifizierten Benutzern das Leserecht gegeben und das Recht zum Ausführen von Gruppenrichtlinien verwehrt wird. B { Sie konfigurieren die Gruppenrichtlinie so, dass das Softwarepaket dem Bereich Computerkonfiguration unter Softwareeinstellungen zugewiesen wird. Danach konfigurieren Sie einen WMI-Filter, der Windows 2000 Professional enthält. C { Sie konfigurieren die Gruppenrichtlinie so, dass das Softwarepaket dem Bereich Computerkonfiguration unter Softwareeinstellungen zugewiesen wird. Sie deaktivieren die Computerkonfiguration in der Gruppenrichtlinie. D { Sie konfigurieren die Gruppenrichtlinie so, dass das Softwarepaket dem Bereich Computerkonfiguration unter Softwareeinstellungen zugewiesen wird. Danach modifizieren Sie die Freigegebenen Zugriffssteuerungslisten (DACLs) der Gruppenrichtlinie so, dass nur Windows 2000 Professional Computern das Leserecht und das Recht zum Ausführen von Gruppenrichtlinien gegeben wird. Richtige Antwort: B - 299 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Die Frage ist raffiniert, da Windows 2000 Clients keine WMI-Filter bearbeiten können. Sie werden den Filter ignorieren und die Software installieren. Jedoch können die Windows XP Clients den Filter bearbeiten, und werden die Anwendung nicht installieren. Die NT Clients werden die Gruppenrichtlinie nicht ausführen und die Software ebenfalls nicht installieren. Das erfüllt die Anforderungen der Frage. WMI-Filterung Die WMI-Filterung ist nur in Domänen verfügbar, die einen Windows Server 2003 Domänencontroller haben. Ebenfalls muss man daran denken, dass nur Windows XP, Windows Server 2003 und spätere Betriebssysteme die WMI-Filterung unterstützen. Die WMI-Filterung in Verbindung mit einer Gruppenrichtlinie wird von Windows 2000 Clients ignoriert. Deshalb wird die Gruppenrichtlinie immer auf Windows 2000 Clients angewendet. Lösungsweg A würde die Ausführung der Gruppenrichtlinie verweigern, sodass diese auf keinem Computer zur Anwendung käme. Lösung C deaktiviert den Teil des Gruppenrichtlinienobjekts mit den erforderlichen Einstellungen. Deshalb würde die Software auf keinem Computer installiert werden. Lösung D ist im Ansatz richtig, würde aber der Forderung, die Installation nur auf Windows 2000 Clients zu erlauben, nicht gerecht. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seite 594 • 2. Auflage: Seite 609 - 300 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 47 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Alle Computer sind Mitglieder der Domäne. Auf allen Servern läuft Windows Server 2003, auf allen Clientrechnern Windows XP Professional. Das Netzwerk enthält Desktopclientrechner und einige portable Clientrechner. Zu den portablen Clientrechnern zählen Laptops sowie Tablet-PCs. Die Computerkonten der Clientrechner befinden sich in verschiedenen Organisationseinheiten (OUs), sortiert nach den einzelnen Abteilungen. Eine schriftliche Firmenrichtlinie verlangt, dass kein portabler Rechner unbeaufsichtigt und am Netzwerk angemeldet verlassen werden darf, wenn er nicht passwortgeschützt ist. Benutzer dürfen sich nicht über diese Anordnung hinwegsetzen. Diese trifft jedoch nicht für die Desktoprechner zu, da sich diese in gesicherten Büros befinden Sie müssen das Netzwerk so konfigurieren, dass die portablen Rechner diese Anforderung erfüllen. Was müssen Sie tun? - 301 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine Gruppenrichtlinie, die ein Logonskript spezifiziert. Danach verbinden Sie das Gruppenrichtlinienobjekt mit der Domäne. Sie konfigurieren das Logonskript so, dass es die oeminfo.inf-Datei nach Hersteller- und Modellinformationen ließt und die Bildschirmschonereigenschaften aktiviert, falls die Hersteller- und Modellnummer einen portablen Rechner identifiziert. B { Sie erstellen eine Gruppenrichtlinie, die ein Logonskript spezifiziert. Danach verbinden Sie das Gruppenrichtlinienobjekt mit der Domäne. Sie konfigurieren das Logonskript so, dass es eine WMIAbfrage nach Herstellerinformation und ein Update der Benutzerprofilinformationen in den Active Directorys durchführt, insofern der Benutzer einen portablen Rechner verwendet. C { Sie erstellen eine Gruppenrichtlinie, die einen passwortgeschützten Bildschirmschoner spezifiziert. Danach verbinden Sie das Gruppenrichtlinienobjekt mit der Domäne. Anschließend verwenden Sie einen WMIFilter, der nach den Chassistypinformationen abfragt, sodass die Gruppenrichtlinie nur auf portable Rechner angewendet wird. D { Sie erstellen eine Gruppenrichtlinie, die einen passwortgeschützten Bildschirmschoner spezifiziert. Danach verbinden Sie das Gruppenrichtlinienobjekt mit der Domäne. Anschließend verwenden Sie einen WMIFilter, der nach der spezifischen Edition der Windows XP Professional Installation den Rechnern abfragt, sodass die Gruppenrichtlinie nur auf portable Rechner angewendet wird. Richtige Antwort: C Begründung Man kann einen WMI-Filter verwenden, um hardwarespezifische Informationen, z.B. Chassistypinformationen, abzufragen. So kann man sicherstellen, dass die Gruppenrichtlinie nur auf portable Rechner angewendet wird. Wichtig ist der Schutz des Bildschirmschoners durch ein Passwort, um eine unberechtigte Deaktivierung des Bildschirmschoners zu verhindern. Deshalb ist C die richtige Lösung. Lösung A zeigt einen sehr aufwendigen und unpraktischen Weg, diese Aufgabe zu lösen. Im Lösungsansatz B wird zwar die Verwendung eines WMI-Filters vorgeschlagen, aber der Schutz der portablen Clientrechner vor unberechtigtem Zugriff wurde hier nicht beachtet. Die Aktualisierung - 302 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 der Benutzerrichtlinien ist in diesem Fall irrelevant. Lösungsweg D beinhaltet zwar die Anwendung eines Passwortes für den Bildschirmschoner, aber die Filterung nach der Betriebssystemversion von Windows XP schließt nicht aus, dass auch Desktop-Rechner betroffen sind. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seite 594 • 2. Auflage: Seite 609 - 303 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 48 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE mit fünf Standorten. Sie konfigurieren fünf Active Directory-Standorte entsprechend den Anforderungen des Standortdesignentwurfs der Firma. Die Netzwerksowie die Standortkonfiguration wird im folgenden Schaubild gezeigt: Der Standortdesignentwurf verlangt ebenfalls, dass Sie die Standortverknüpfungsbrücken konfigurieren. Das Design verlangt, dass die Standortverknüpfungen für Standort 1, Standort 2 und Standort 3 transitiv und alle anderen Standortverknüpfungen non-transitiv sind. Sie müssen die Standortverknüpfungsbrücken so konfigurieren, dass diese den Anforderungen des Standortdesignentwurfes entsprechen. Welche Aktion/en müssen Sie durchführen? (Wählen Sie alle, die angewendet werden müssen.) A Sie deaktivieren Brücke zwischen allen Standorten herstellen in den IP-Objekteigenschaften. B Sie erstellen eine neue Standortverknüpfung zwischen jedem Active Directory-Standort. C Sie entfernen jeden Standort von den Standardstandortverknüpfungen. D Sie erstellen eine neue Standortverknüpfungsbrücke. Danach fügen Sie die Standortverknüpfungen, die Standort 1, Standort 2 und Standort 3 verbinden, zu der Standortverknüpfungsbrücke hinzu. E Sie erstellen eine neue Standortverknüpfungsbrücke. Danach fügen Sie die Standortverknüpfungen, die Standort 3, Standort 4 und Standort 5 verbinden, zu der Standortverknüpfungsbrücke hinzu. Richtige Antworten: A, C und D - 304 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Standardmäßig wird eine Brücke zwischen allen Standorten einer Domäne eingerichtet. Um der Aufgabenstellung gerecht zu werden, muss man dieses Standardverhalten deaktivieren und anschließend eine Standortverknüpfungsbrücke zwischen den Standorten 1-3 erstellen. Dazu muss man in der MMC Active Directory-Standorte und –Dienste unter Inter-Site-Transport das IP-Objekt bearbeiten – das entspricht Lösungsvorschlag A. Um das neue Design durchzusetzen, ist es sinnvoll, die alten Verknüpfungen erst einmal zu löschen, um dann die neue Standortverknüpfungsbrücke zu etablieren. Deshalb muss Lösung C gewählt werden. Außerdem verlangt das Design, dass die Standortverknüpfungen, die Standort1, Standort2 und Standort3 verbinden, transitiv sein sollen. Daher muss man eine neue Standortverknüpfungsbrücke erstellen, und die Standortverknüpfungen, die Standort1, Standort2 und Standort3 verbinden, zu der Standortverbindungsbrücke hinzufügen, wie unter D beschrieben. Lösungsvorschlag B bewirkt eine Verknüpfung aller Standorte untereinander. Antwort E hingegen erstellt eine Standortverknüpfung zwischen den Standorten 3-5 und macht diese transitiv. Hilfe • Active Directory\So wird es gemacht\Verwalten von Standorten\Konfigurieren einer Replikation zwischen Standorten MS Training • 1. Auflage: Seiten 309f. • 2. Auflage: Seiten 315f. - 305 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 49 Sie sind der Netzwerkadministrator Ihrer Firma. Sie besteht aus zwei Partnergesellschaften, der EDV-Beratung Eißner und der MVS M. Völk Systems. Das Firmennetzwerk enthält zwei Active Directory-Domänen in einer einzelnen Gesamtstruktur mit vier Standorten. Die Netzwerkkonfiguration wird im folgenden Schaubild gezeigt: Auf allen Clientrechnern läuft Windows XP Professional. Benutzer, die ihre Benutzerkonten in der MVSNET.DE-Domäne haben, greifen regelmäßig auf Ressourcen des Standorts 3 zu. Wenn sich die Benutzer an das Netzwerk in Standort 3 anmelden, kann der Anmeldeprozess bis zu zehn Minuten in Anspruch nehmen. Sie entdecken, dass bei der Anmeldung von Benutzern an das Netzwerk von Standort 3 die Benutzer über »MVSDC005.MVSNET.DE« in Standort 1 authentifiziert werden. Sie müssen sicherstellen, dass sich die Benutzer von MVS schneller an das Netzwerk von Standort 3 anmelden können. Was müssen Sie tun? - 306 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erhöhen die Verbindungskosten für Standortverbindung 1-3 auf 500. B { Sie konfigurieren eine Standortverknüpfungsbrücke so, dass sie die Standortverknüpfung 3-4 und die Standortverknüpfung 2-4 überbrückt. C { Sie modifizieren das Subnetzobjekt, das mit Standort 3 verbunden ist, sodass es mit Standort 1 verbunden ist. D { Sie bewegen »MVSDC005.MVSNET.DE« von Standort 1 zu Standort 3. Richtige Antwort: B Begründung: Die Aufgabenstellung fordert eine schnellere Anmeldung an die Domäne MVSNET.DE. Da Standort 1 und 3 nur über eine 56 Kbps-Leitung verfügen, wäre eine Authentifizierung über die Standortverknüpfungen 34 und 2-4 sinnvoll, da dort die Leitungen im Minimum mit 512 Kbps Bandbreite arbeiten. Die Authentifizierung würde dann über den Domänencontroller »MVSDC006« erfolgen. Damit das Ganze funktioniert, müssen die Standortverknüpfungen transitiv gemacht werden. Dazu erstellt man eine Standortverknüpfungsbrücke und fügt die Standortverknüpfungen 3-4 und 2-4 hinzu. Dadurch wäre eine schnellere Authentifizierung durch die größere Bandbreite der Leitungen möglich. Diesen Weg beschreibt die Lösung B. Antwort A hat keinen Einfluss auf die Bandbreite der verwendeten Leitungen. Zwischen Standort1 und Standort3 existiert bereits eine Verbindung, sodass Lösungsvorschlag C wenig Sinn macht. Eine Erhöhung der Bandbreite für diese Verbindung wäre mit Sicherheit der bessere Vorschlag gewesen. Das Verschieben von »MVSDC005« aus Vorschlag D würde das Problem nur von einem Standort in den anderen verlagern. Hilfe • Active Directory\So wird es gemacht\Verwalten von Standorten\Konfigurieren einer Replikation zwischen Standorten MS Training • 1. Auflage: Seiten 317f. • 2. Auflage: Seiten 323f. Frage 50 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. - 307 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Die Sicherheitsvorschriften der Firma MVS M. Völk Systems benötigen folgende Zugriffsrichtlinien: • Benutzerkonten müssen nach drei Fehlversuchen der Passworteingabe für 30 Minuten gesperrt sein. • Die Freischaltung des Benutzerkontos muss manuell erfolgen. Sie müssen eine Zugriffsrichtlinie für die Domäne erstellen, die diese Sicherheitsregeln beinhaltet. Wie gehen Sie vor? (Um zu antworten, wählen Sie den entsprechenden Bestandteil oder die Bestandteile in der Grafik aus.) Richtige Antwort: Begründung: Kontosperrdauer Diese Sicherheitseinstellung bestimmt, wie lange (in Minuten) ein Konto gesperrt bleibt, bevor die Sperre automatisch aufgehoben wird. Dieser Wert kann zwischen 0 und 99.999 Minuten liegen. Wenn Sie für die Kontosperrdauer den Wert 0 festlegen, bleibt das Konto gesperrt, bis ein Administrator die Sperre explizit aufhebt. Wurde eine Kontensperrungsschwelle definiert, muss der Wert für die Kontosperrdauer größer oder gleich dem Wert für die Zurücksetzungsdauer des Kontosperrungszählers sein. Kontensperrungsschwelle - 308 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Diese Sicherheitseinstellung bestimmt die Anzahl der fehlgeschlagenen Anmeldeversuche, die zur Sperrung eines Benutzerkontos führen. Ein gesperrtes Konto kann erst dann wieder verwendet werden, wenn es von einem Administrator zurückgesetzt wurde oder die Sperrungsdauer für das Konto abgelaufen ist. Sie können für fehlgeschlagene Anmeldeversuche einen Wert zwischen 1 und 999 festlegen. Mit dem Wert 0 wird das Konto nie gesperrt. Fehlerhafte Kennworteingaben auf Arbeitsstationen oder Mitgliedsservern, die mittels STRG+ALT+ENTF oder durch einen kennwortgeschützten Bildschirmschoner gesperrt wurden, zählen als fehlgeschlagene Anmeldeversuche. Voreinstellung: 0. Zurücksetzungsdauer des Kontosperrungszählers Diese Sicherheitseinstellung bestimmt, wie viele Minuten nach einem fehlgeschlagenen Anmeldeversuch verstreichen müssen, bevor der Kontosperrungszähler wieder auf 0 zurückgesetzt wird. Der Wert kann zwischen 1 und 99.999 Minuten liegen. Wurde eine Kontensperrungsschwelle definiert, muss der Wert für die Zurücksetzungsdauer kleiner oder gleich dem Wert für die Kontosperrdauer sein. Voreinstellung: Keine, da diese Richtlinie nur von Bedeutung ist, wenn eine Kontensperrungsschwelle angegeben wurde. Hilfe • Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Verwendung der Sicherheitskonfigurations-Manager\Beschreibung der Sicherheitseinstellung\Kontorichtlinien\Kontosperrungsrichtlinien MS Training • 1. Auflage: Seiten 789f. • 2. Auflage: Seiten 807f. - 309 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 51 Sie sind ein Systemadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Verzeichnisstruktur mit drei Domänen. Alle Domänen laufen unter der Domänenfunktionsebene Windows 2000 pur. Ihre Firma übernimmt die Firma Rauschert IT Consulting GmbH. Das Netzwerk der Firma Rauschert beruht auf einer Verzeichnisstruktur mit einer Domäne und der Bezeichnung RAUSCHERT.NET. Die Domänenfunktionsebene von RAUSCHERT.NET ist Windows 2000 pur. Die Strukturen beider Firmen sieht wie folgt aus: Sie möchten, dass alle Mitarbeiter beider Firmen vollen Zugriff auf Ressourcen der jeweils anderen Firma bekommen, außerdem müssen Benutzer in der Lage sein, sich zwischen Domänen durch Verwenden der Kerberos-Bestätigung anzumelden. Sie müssen sicherstellen, dass Benutzer auf alle Ressourcen durch Verwenden ihrer vorhandenen Benutzerkonten zuzugreifen können. Was sollten Sie tun? - 310 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie stufen die Windows 2000 Domänencontroller in der Domäne RAUSCHERT.NET auf Mitgliedsserver herunter und binden diese in die Domäne MVSNET.DE ein. B { Sie stufen die Windows 2000 Domänencontroller in der Domäne RAUSCHERT.NET auf Mitgliedsserver herunter und aktualisieren sie auf Windows Server 2003. Sie fügen diese Server in einer neuen Domäne von MVSNET.DE hinzu und stufen sie zu Domänencontroller herauf. C { Sie rüsten die Windows 2000 Domänencontroller in der Domäne RAUSCHERT.NET auf Windows Server 2003 nach. Sie erstellen eine Vertrauensstellung zwischen den beiden Hauptdomänen. D { Sie rüsten alle Domänencontroller in beiden Verzeichnisstrukturen auf Windows Server 2003 nach. Sie heben die Domänenfunktionsebene in beiden Verzeichnisstrukturen auf Windows Server 2003 an. Sie erstellen eine Vertrauensstellung zwischen den beiden Hauptdomänen. Richtige Antwort: D Begründung Um Benutzern in jeder Verzeichnisstruktur den Zugriff auf Ressourcen der jeweils anderen Struktur zu ermöglichen und die Anmeldung in jeder Domäne mit Kerberos-Authentifizierung durchzuführen, müssen wir eine Vertrauensstellung zwischen den Strukturen schaffen. Um eine Vertrauensstellung zu schaffen, müssen die Bereiche den gleichen Domänenfunktionslevel, Windows 2003, haben. Dies erfordert, dass alle Domänencontroller in jeder Domäne mit Windows Server 2003 Server laufen. Hilfe • Gesamtstrukturübergreifender Zugriff auf Ressourcen\Active Directory • Vertrauensstellungen\Active Directory MS Training • 1. Auflage: Seiten 28f. • 2. Auflage: Seiten 28f. - 311 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 52 Sie sind ein Systemadministrator Ihrer Firma. Die Gesellschaft besteht aus den zwei Tochtergesellschaften MVSNET.DE und RAUSCHERT.NET. Das Netzwerk besteht aus zwei aktiven Verzeichnisstrukturen. Alle Server laufen mit Windows Server 2003. Die Domänenkonfiguration ist wie in der Grafik dargestellt: Sie benennen die Domäne KC.MVSNET.DE in TRAINING.MVSNET.DE, und die Domäne PUC.MVSNET.DE in CONSULTING.MVSNET.DE um. Nachdem die Domäne umbenannt ist, können Benutzer in der Domäne CONSULTING.MVSNET.DE nicht mehr auf Ressourcen in RAUSCHERT.NET zugreifen. Außerdem berichten Benutzer in der Domäne RAUSCHERT.NET, dass sie nicht auf gemeinsam benutzte Ressourcen in der Domäne MVSPRESS.DE zugreifen können. Sie müssen den Zugriff auf Ressourcen zwischen der Domäne MVSPRESS.DE und RAUSCHERT.NET wiederherstellen. Was sollten Sie tun? - 312 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie ändern den NetBIOS-Namen für die CONSULTING.MVSNET.DE-Domäne in PUC.MVSPRESS.DE. B { Sie löschen die zwei externen Vertrauensstellungen zwischen CONSULTING.MVSNET.DE und RAUSCHERT.NET und erstellen sie wieder neu. C { Sie konfigurieren Bedingte Weiterleitung auf dem DNS-Server in der Domäne RAUSCHERT.NET, um Anfragen der Namensauflösung MVSNET.DE an die DNSServern in der Domäne CONSULTING.MVSNET.DE weiterzuleiten. D { Sie setzen alle Computerkontokennwörter auf allen Domänencontroller in der Domäne MVSPRESS.DE zurück. Richtige Antwort: B Begründung Nach dem Umbenennen der Domäne müssen die externen Vertrauensbeziehungen wieder hergestellt werden. Das Erstellen von notwendigen Vertrauensbeziehungen: Sie können jede Domäne innerhalb der Domänenstruktur eines Verzeichnisdiesntes mit Ausnahme der Hauptdomäne repositionieren. Sie können eine Hauptdomäne (ROOT-Domain) umbenennen (dadurch kann sich der DNSund NETBIOS Namen ändern), sie kann jedoch nicht auf diese Weise verschoben werden, wie Sie eine andere Domäne in der Verzeichnisstruktur verschieben können. Dank der Möglichkeit der Umbenennung einer Domäne können Sie wichtige Änderungen an der Gesamtstruktur und am Namespace vornehmen, wenn sich die Anforderungen Ihrer Organisation ändern. Das Umbenennen von Domänen kann durch Neuerwerbungen, Fusionen, Namensänderungen oder Umstrukturierungen ausgelöst werden. Das Umbenennen von Domänen ermöglicht Folgendes: Ändern der DNS-Namen (Domain Name System) und NetBIOS-Namen jeder Domäne in der Gesamtstruktur (einschließlich der Gesamtstrukturstammdomäne). Umstrukturieren der Position jeder Domäne in der Gesamtstruktur (außer der GesamtstrukturStammdomäne). Es können nur Domänen in einer Gesamtstruktur umbenannt werden, bei der alle Domänencontroller unter Windows Server 2003 ausgeführt werden, und bei der die Gesamtstrukturfunktionsebene auf Windows Server 2003 angehoben wurde. Weitere Informationen finden Sie unter - 313 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Domänen- und Gesamtstrukturfunktionalität. Umstrukturierung einer Gesamtstruktur Mithilfe der Umbenennung von Domänen können Sie außerdem die Hierarchie von Domänen in Ihrer Gesamtstruktur umstrukturieren. Eine Domäne in einer Domänenstruktur kann demnach in eine andere Domänenstruktur verschoben werden. Durch das Umstrukturieren einer Gesamtstruktur können Sie eine Domäne an eine beliebige Position innerhalb der zugehörigen Gesamtstruktur (außer innerhalb der Gesamtstrukturstammdomäne) verschieben. Dazu zählt die Möglichkeit, eine Domäne so zu verschieben, dass sie zur Stammdomäne der eigenen Domänenstruktur wird. Zum Umbenennen oder Umstrukturieren einer Domäne können Sie das Domänenumbenennungsprogramm (rendom.exe) verwenden. Das Programm rendom.exe finden Sie im Verzeichnis Valueadd\Msft\Mgmt\Domren auf der Installations-CD für das Betriebssystem. Die Umbenennung einer Domäne betrifft jeden Domänencontroller in seiner Gesamtstruktur und stellt einen aus mehreren Schritten bestehenden Vorgang dar, für den entsprechende gründliche Kenntnisse erforderlich sind. Weitere Informationen finden Sie unter "Domain Rename Tool" auf der Microsoft-Website (http://www.microsoft.com/). Hilfe • Umbenennen von Domänen\Active Directory MS Training • 1. Auflage: Seiten 28, 212f. • 2. Auflage: Seiten 28, 218f. - 314 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 53 Sie sind ein Systemadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Verzeichnisstruktur mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene entspricht Windows Server 2003. Die Domäne enthält ein Grenznetzwerk und einen Standort mit dem Firmen-LAN, wie in der Grafik dargestellt. Die Laufwerke aller Domänencontroller sind wie in der folgenden Tabelle dargestellt, konfiguriert. Laufwerk Inhalt C: Bootpartition, Systempartition und Datenbank des Verzeichnisdienstes D: Datenbank des Verzeichnisdienstes E: Dateien und Verzeichnisse Das Motherboard auf »MVSDC002« fällt aus und wird vom Netz genommen. Eine Woche später wird auf »MVSDC003« die Funktion des Schemamasters übertragen. Sie benötigen die Daten von »MVSDC002«. Sie ersetzen das Motherboard auf »MVSDC002« und starten »MVSDC002« in einem isolierten Subnetz wieder. Sie müssen in der Lage sein, »MVSDC002« im Grenznetzwerk so schnell wie möglich zurückzubringen, um auf die Daten zugreifen zu können. Was sollten Sie tun? - 315 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie formatieren das Laufwerk D: auf »MVSDC002«. Sie übertragen die Schemabetriebsmasterfunktion auf einen Domänencontroller im Firmen-LAN. Sie entfernen die Verweise von »MVSDC002« aus dem Active Directory durch Verwendung der Tools ntdsutil.exe und adsiedit.exe auf »MVSDC001«. B { Sie formatieren das Laufwerk C: auf »MVSDC002. Sie installieren das Betriebssystem auf »MVSDC002«neu. Sie entfernen die Verweise von »MVSDC002« aus dem Active Directory durch Verwendung der Tools ntdsutil.exe und adsiedit.exe auf »MVSDC001«. C { Sie formatieren das Laufwerk C: auf »MVSDC002«. Sie führen den Befehl dcpromo auf »MVSDC002« aus. Sie übertragen die Schemabetriebsmasterfunktion auf einen Domänencontroller im Firmen-LAN. Sie fügen »MVSDC002« zur Domäne hinzu. D { Sie formatieren das Laufwerk C: auf »MVSDC002«. Sie übertragen die Schemabetriebsmasterfunktion auf einen Domänencontroller im Firmen-LAN. Sie entfernen die Verweise von »MVSDC002« aus dem Active Directory durch Verwendung der Tools ntdsutil.exe und adsiedit.exe auf »MVSDC001«. Richtige Antwort: B Begründung Wir haben die Schema Betriebsmasterfunktion von »MVSDC002« auf »MVSDC003« verschoben. Deshalb sollten wir »MVSDC002« nicht wieder online bringen. Zwei Schema Betriebsmasterfunktion im Verzeichnisdienst zu haben, verursacht nur unnötige Probleme. Um »MVSDC002« wieder online zu bringen, sollten wir das Laufwerk C: formatieren und das Betriebssystem neu installieren. Des Weiteren sollten auch in der aktiven Verzeichnisdatenbank die Verweise auf »MVSDC002« unter Verwenden des Tools NTDSUTIL.EXE und ADSIEdit.EXE auf einem anderen Domänencontroller entfernt werden. Um das Betriebssystem neu zu installieren, sollten wir Laufwerk C: formatieren und nicht Laufwerk D:. Wenn wir das Laufwerk E: formatieren, löschen wir die Daten, auf die wir zugreifen wollen. Die Schema Betriebsmasterfunktion ist schon übertragen worden. Wir müssen das Betriebssystem neu installieren nachdem wir das Laufwerk C: formatiert haben. Hilfe - 316 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Reagieren auf Betriebsmasterausfälle\Active Directory • Übernehmen der Schemamasterfunktion\Active Directory • Übertragen der Betriebsmasterfunktionen\Active Directory MS Training • 1. Auflage: Seiten 106, 135 • 2. Auflage: Seiten 108, 138 - 317 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 54 Sie sind der Netzwerkadministrator der Firma MVSNET.DE. Ihr Netzwerk besteht aus einem Verzeichnisdienst mit einem Domänencontroller. Alle Domänencontroller verwenden das Betriebssystem Windows Server 2003, die Clientcomputer Windows XP Professional. Die Verzeichnisstruktur Ihrer Firma ist wie in der Grafik dargestellt aufgebaut: Die firmeninternen Richtlinien erlauben den Mitarbeitern der Herstellungsabteilung nur beschränkte Zugriffsrechte und beschränkten Zugriff auf Anwendungen auf den Computer. Diese Richtlinie mit ihren Beschränkungen darf kein Auswirkungen auf Mitglieder der Sicherheitsgruppe Manager haben. Sie erstellen ein Gruppenrichtlinienobjekt mit der Bezeichnung Beschränke Zugriffe und wenden die Gruppenrichtlinie auf die Domäne an. Diese Richtlinie entspricht den Vorgaben der firmeninternen Richtlinie. Sie stellen fest, dass die beschränkten Zugriffe für alle Benutzer gelten. Sie überprüfen die Gruppenrichtlinie durch Verwenden der Gruppenrichtlinienverwaltung (GPMCs). Sie überprüfen die Berechtigungen für das Gruppenrichtlinienobjekt: - 318 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Sie müssen das Netzwerk so konfigurieren, so dass die firmeninternen Richtlinien richtig angewendet werden. Welche zwei Maßnahmen sollten Sie ergreifen? (Jede richtige Antwort ist ein Teil der Lösung. Wählen Sie zwei.) A Sie lösen die Gruppenrichtlinie von der Domäne und binden sie auf die Organisationseinheit Herstellung. B Sie lösen die Gruppenrichtlinie von der Domäne und binden sie auf die Organisationseinheit USERS. C Sie ordnen der Gruppe Authentifizierte Benutzer das Recht Verweigern auf Gruppenrichtlinien übernehmen zu. D Sie ordnen der Gruppe Manager das Recht Verweigern auf Gruppenrichtlinien übernehmen zu. Richtige Antworten: A und D Begründung Die Frage gibt vor, dass die Richtlinie beschränkter Zugriff nur für Benutzer in der Organisationseinheit Herstellung gelten sollte. Die Richtlinie ist gegenwärtig mit der Domäne verbunden, dadurch wird sie auf alle Benutzer in der Domäne angewandt. Wir sollten die Verbindung der Gruppenrichtlinie von der Domäne aufheben und sie mit der Organisationseinheit Herstellung verbinden. Die Gruppenrichtlinie darf keine Auswirkung auf Mitglieder der Organisationseinheit Manager haben. Wir können dieses Forderung dadurch erfüllen, dass wir der Organisationseinheit Managern das Recht Verweigern auf Gruppenrichtlinien Übernehmen zuordnen. Der beschränkte Zugriff sollten nur auf Benutzer der Organisationseinheit Herstellung, und nicht auf die Organisationseinheit USERS Anwendung - 319 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 finden. Die würde sich auf alle Mitarbeiter in der Verzeichnisstruktur auswirken. Die Gruppenrichtlinie sollte nur für Benutzer der Organisationseinheit Herstellung gelten. Hilfe • Anwenden von Sicherheitseinstellungen über Gruppenrichtlinien\Sicherheitseinstellungen MS Training • 1. Auflage: Seiten 594, 615f. • 2. Auflage: Seiten 608, 631f. - 320 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 55 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihre Firma besteht aus zwei Tochtergesellschaften mit dem Namen MVS net und MVS press. MVS net hat ein Büro in München. MVS press hat zwei Büros, eines in Puchheim und das andere in Küps. Das Netz besteht aus zwei aktiven Verzeichnisstrukturen. Eine Vertrauensstellung existiert zwischen den zwei Verzeichnisstrukturen. Eine Verzeichnisstruktur enthält eine Domäne mit dem Namen MUENCHEN.MVSNET.DE. Die andere Verzeichnisstruktur enthält zwei Domänen mit der Bezeichnung PUCHHEIM.MVSPRESS.DE und KUEPS.MVSPRESS.DE. Alle drei Büros sind durch zwei 128-Kbps Verbindungen miteinander verbunden. Alle Server verwenden das Betriebssystem Windows Server 2003. Das Netz verwendet serverbasierende Mitarbeiterprofile und Gruppenrichtlinien. Gelegentlich müssen Mitarbeiter in einem anderen als ihrem üblichen Büro arbeiten. Benutzer müssen immer denselben Desktop haben, ganz gleich wo sie sich im Netzwerk anmelden. Sie müssen sicherstellen, dass das Profil des Mitarbeiters sowie die Gruppenrichtlinien immer zur Verfügung stehen, egal von wo aus sich der Mitarbeiter anmeldet. Was sollten Sie tun? (Um die Frage zu beantworten, verschieben Sie die entsprechende/n Konfiguration/en zu der/n richtigen Richtlinie/n.) Richtige Antwort: - 321 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Erlaubt verzeichnisübergreifende Gruppenrichtlinien und wandernde Benutzerprofile. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 322 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 56 Sie sind der Netzwerkadministrator der Firma IT-Consulting MERK. Das Netzwerk besteht aus zwei aktiven Verzeichnisdiensten und jeweils aus einer einzelnen Domäne. Die Domänenfunktionsebene bei beiden Verzeichnisstrukturen ist Windows Server 2003. Eine Verzeichnisstruktur ist nur zum testen, die zweite ist eine Produktionsumgebung. Die Testumgebung enthält einen Domänencontroller. Sie verwenden die Testumgebung, um Gruppenrichtlinien für die Produktionsumgebung zu testen, und verwalten administrative Vorlagen, bevor sie in der Produktionsumgebung eingeführt werden. Diese Tests schließen Änderungen an der Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller mit ein. Sie müssen in der Lage sein, Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontrollern aus der Domäne Test in der Produktionsumgebung anwenden zu können. Sie wollen diese Aufgabe durch Verwenden des Minimalmaßes an Verwaltungsaufwand erreichen. Welche zwei Maßnahmen sollten Sie ergreifen? (Jede richtige Antwort ist Teil der Lösung. Wählen Sie zwei.) A Sie führen den Befehl dcgpofix /both in der Testdomäne aus. B Sie sichern die Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller von der Produktionsdomäne durch Verwenden der Gruppenrichtlinineverwaltung (GPMCs). C Sie importieren die Sicherheitsrichtlinie für Domänen und die für Domänencontroller in die Test-Domäne durch Verwenden der Gruppenrichtlinineverwaltung (GPMCs) und einer Migrationstabelle. D Sie sichern die ursprünglichen gptmpl.inf-Datei für die Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller von der Domäne Produktion. E Sie stellen die gesicherte gptmpl.inf Datei in der Testdomäne wieder her. F Sie erhöhen die Version in der gpt.ini-Dateien für die Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für Domänencontroller. Richtige Antworten: B und C Begründung - 323 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Wir können die Gruppenrichtlinineverwaltung (GPMC) verwenden um die Gruppenrichtlinien aus der Produktionsumgebung zu sichern, um sie anschließend in die Testumgebung zu importieren. Das GPMC lässt Administratoren Gruppenrichtlinie für mehrere Domänen und Standorte innerhalb einen oder mehrerer Verzeichnisstrukturen mittels einer vereinfachten Benutzerschnittstelle (UI) per drag-and-dropUnterstützung bearbeiten. Neue Funktionen wie Unterstützung, Wiederherstellung, Import, Kopie und Berichte von Gruppenrichtlinienobjekten (GPOs) lässt ein einfaches Arbeiten zu. Diese Optionen sind vollständig über Scripte zu verwalten, die Scripte können durch den Administrator angepasst werden und verhelfen zu einer automatisierten Verwaltung. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 324 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 57 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Die Firma besteht aus der Hauptniederlassung und einer Zweigstelle. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung EISSNER_EDV.DE. Das Netzwerk verfügt über drei Windows Server 2003 Domänencontroller, »EDVEDC01«, »EDVEDC02« und »EDVEDC03«. Sie erstellen zwei Standorte im Verzeichnisdienst, einen für das Hauptbüro und einen für die Niederlassung. Das Netzwerk ist wie folgt aufgebaut: Die Domänencontroller werden jede Nacht mittels eines normalen Backups gesichert, ebenso wird der Systemstaus mitgesichert. - 325 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Sie sind verantwortlich für die Erstellung eines Notfallplanes, falls ein Domänencontroller in einem der Standorte ausfällt. Das Team definiert, dass der Netzwerkverkehr zwischen dem Hauptbüro und der Niederlassung auf ein Minimum reduziert werden muss. Das Wiederherstellen der Sicherung soll ebenfalls auf ein Minimum reduziert werden. Sie müssen in ihrem Plan das Wiederherstellen des Verzeichnisdienstes im Fall das die Hardware eines Servers ausfällt berücksichtigen. Welche zwei Aktionen sollte Ihr Plan beinhalten? (Jede Antwort ist ein Teil der Lösung.) A Zurücksichern des Systemstaus eines jeden Domänencontrollers auf irgendeinen Mitgliedsserver im gleichen Netzwerk. B Sie führen eine autorisierte Wiederherstellung an einem funktionierenden Domänencontroller durch. C Sie führen auf einem im gleichen Netzwerk wie der ausgefallenen Domänencontroller verfügbaren Mitgliedsserver den Befehl dcpromo /adv und aktivieren die Option Über das Netzwerk aus. D Sie führen auf einem im gleichen Netzwerk wie der ausgefallenen Domänencontroller verfügbaren Mitgliedsserver den Befehl dcpromo /adv aus und aktivieren die Option Von folgenden wieder hergestellten Sicherungsdateien kopieren. Richtige Antworten: A und D Begründung Für einen weiteren Domänencontroller in einer vorhandenen Domäne haben Sie die Möglichkeit, einen neuen Windows 2003 Server von einem Sicherungsmedium zu installieren. Installieren Sie den Systemstatus eines vorhandenen Domänencontrollers von verschiedenen Medien. Die Sicherung kann auf einer lokalen Festplatte, CD oder einer DVD vorhanden sein. Wenn Sie eines dieser Medien verwenden, reduziert es die Zeit die erforderlich ist, um den Verzeichnisdienst wiederherzustellen. Darum sollten Sie die Datenmenge reduzieren, die über das Netzwerk übertragen wird. Von Medien in großen Domänen oder installieren eines neuen Domänencontrollers, die über eine langsame WAN-Verbindung miteinander verbunden sind ist diese die optimale Vorgehensweise. In diesem Beispiel können wir einen Mitgliedsserver verwenden, indem wir den Systemstatus auf ihn zurücksichern, um dann anschließend den Mitgliedserver zu einem Domänencontroller zu erheben. - 326 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Wir müssen keine autorisierte Wiederherstellung durchführen, wir müssen die komplette Funktion eines Domänencontrollers wieder herstellen. Bei dieser Antwort fehlt ein Teil der Lösung. Die Option Über das Netzwerk ist nur ein Teil. Es fehlt noch die Option Von folgenden wieder hergestellten Sicherungsdateien kopieren. Hilfe • Erstellen eines zusätzlichen Domänencontrollers\Active Directory • Installieren eines Domänencontrollers\Allgemeine Verwaltungsaufgaben MS Training • 1. Auflage: Seiten 81f., 168f., • 2. Auflage: Seiten 81f., 171f. - 327 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 58 Sie sind der Netzwerkadministrator der Firma IT-Consulting Merk. Ihr Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MERK.NET. Die Domänenfunktionsebene ist Windows Server 2003. Ihre Domäne besteht aus Windows Server 2003 Rechnern und Windows XP Professional Computern. Die Domäne ist wie in der Grafik dargestellt aufgebaut: Alle produktiven Server sind in der organisatorischen Einheit Server zusammengefasst, alle Clientcomputer in der organisatorischen Einheit Desktop. Auf jede dieser beiden organisatorischen Einheiten ist eine Gruppenrichtlinie verknüpft. Ihre Firma möchte eine neue Sicherheitsrichtlinie einführen. Einige dieser neuen Einstellungen sollen sich nur auf Clientcomputer der Domäne auswirken, andere nur auf die Server. Sie sollen die neuen Einstellungen in bereits vorhandene Richtlinien einbinden. Sie konfigurieren zehn neue Windows XP Professional Computer und fünf neue Windows Server 2003 Server, um den Einsatz der neuen Sicherheitseinstellungen über die geänderten Gruppenrichtlinien zu testen. Sie verwenden die Gruppenrichtlinienverwaltung, um die vorhandenen Gruppenrichtlinien für den Test zu kopieren. Sie müssen sich entscheiden, wo sie die Testcomputer in der Domäne platzieren. Sie sollten den Verwaltungsaufwand so gering wie möglich halten, und Ihre Tests dürfen keine Auswirkung auf die Produktionsumgebung haben. Des Weitern sollen Sie vermeiden, dass Gruppenrichtlinien mit mehreren organisatorischen Einheiten verbunden sind. Wie gehen Sie vor? - 328 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie verschieben alle Testcomputer in die organisatorische Einheit MERK.NET. B { Sie verschieben alle Testcomputer in die organisatorische Einheit Computer. C { Sie verschieben alle Testcomputer in die organisatorische Einheit Desktop und alle Testserver in die organisatorische Einheit Server. D { Sie erstellen eine untergeordnete organisatorische Einheit unter der organisatorischen Einheit Desktop für die Testcomputer. Sie erstellen eine untergeordnete organisatorische Einheit unter der organisatorischen Einheit Server für die Testserver. E { Sie erstellen eine neue organisatorische Einheit Test in der Domäne MERK.NET. Darunter erstellen Sie zwei untergeordnete organisatorische Einheiten, eine für die Testcomputer und eine für die Testserver. Richtige Antwort: E Begründung Um eine Störung der Produktionsumgebung zu vermeiden, ist es sinnvoll für die Testumgebung eine eigene organisatorische Einheit für die Testcomputer und Testserver zu erstellen. Jetzt können wir die Sicherheitseinstellungen für beide Bereiche testen und stören die Produktionsumgebung in keiner Weise. Sie können die Computer nicht direkt in die Domäne stellen. Sie müssen immer eine organisatorische Einheit verwenden. Wir haben zwei unterschiedliche Sicherheitseinstellungen zu testen. Deshalb müssen wir die Testcomputer und Testserver in getrennte organisatorische Einheiten verschieben. Bei der Lösungsmöglichkeit (C) hat es Auswirkung auf die gesamte Produktionsumgebung. Bei Lösungsvorschlag (D) können Einstellungen der übergeordneten Gruppenrichtlinie sich störend auf die Testumgebung auswirken. Hilfe • Erstellen einer neuen Organisationseinheit\Active Directory MS Training • 1. Auflage: Seiten 377f. • 2. Auflage: Seiten 385f. - 329 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 59 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003, alle Clientcomputer Windows NT 4.0 Workstation, Windows 2000 Professional und Windows XP Professional. Alle Computerkonten sind in der Organisationseinheit Firmen Computer zusammengefasst, alle Benutzerkonten in der Orgasnisationseinheit Firmen Mitarbeiter. Ihre Firma erstellt eine Sicherheitsvorgabe, bei der alle Mitarbeiter, die sich an einem Computer im Netzwerk anmelden, ein Mitteilungsfenster bekommen. Diese Mitteilungsfenster soll eine Warnung vor unbefugter Benutzung des Computers ausgeben. Sie müssen sicherstellen dass alle Mitarbeiter dieses Mitteilungsfenster bekommen, wenn Sie sich im Netzwerk anmelden möchten. Welche zwei Optionen würden Sie verwenden? (Jede richtige Antwort ist ein Teil der gesamten Lösung.) A Sie erstellen ein Gruppenrichtlinienobjekt, das die geforderten Einstellungen in dem Bereich interaktive Anmeldung enthält und verknüpfen dieses Gruppenrichtlinienobjekt mit der Domäne. B Sie erstellen ein Skript, das diese Informationen ausgibt. Sie erstellen ein Gruppenrichtlinienobjekt und lassen dieses Skript beim Starten ausführen. Sie verknüpfen dieses Gruppenrichtlinienobjekt mit der Organisationseinheit Firmenmitarbeiter. C Sie erstellen eine Richtlinie mit dem Namen ntconfig.pol, die die geforderten Einstellungen enthält. Sie kopieren diese Datei in den dafür vorgesehenen Ordner auf dem Domänenkontroller. D Sie erstellen eine Datei mit dem Namen autoexec.bat, die die Warnungen enthält, und kopieren diese Datei auf allen Clients auf das Laufwerk C: Richtige Antworten: A und C Begründung Wir benötigen ein Gruppenrichtlinienobjekt, das diese Informationen beim Anmelden für alle Windows 2000 Professional und Windows XP Professional Clients ausgibt. Für die Windows NT 4.0 Clients benötigen wir eine Systemrichtlinie. Die Systemrichtlinie wird mit dem Tool POLEDIT unter Windows NT 4.0 erstellt. - 330 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen. Diese Sicherheitseinstellung bestimmt die Textnachricht, die Benutzern beim Anmelden angezeigt wird. Dieser Text wird häufig aus rechtlichen Gründen verwendet, z. B. um Benutzer vor den Folgen des Missbrauchs von Firmeninformationen zu warnen oder um sie darüber zu informieren, dass ihre Aktionen überwacht werden. Voreinstellung: keine Nachricht. Sie können diese Sicherheitseinstellungen konfigurieren, indem Sie die entsprechende Richtlinie öffnen und die Konsolenstruktur folgendermaßen erweitern: Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\ Hilfe • Interaktive Anmeldung\Nachricht für Benutzer, die sich anmelden wollen\Beschreibung der Sicherheitseinstellungen MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 331 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 60 Sie sind der Netzwerkadministrator Ihrer Firma. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden das Betriebssystem Windows Server 2003. Die Struktur der Domänen und der Organisationseinheiten ist wie in der Grafik dargestellt: Benutzer in der Forschungsabteilung haben ihre Benutzerkonten in der Domäne FORSCHUNG.MVSNET.DE. Alle anderen Benutzerkonten und Ressourcen sind in der Domäne MVSNET.DE. Alle Domänencontroller befinden sich in den entsprechenden Organisationseinheiten Domänencontroller in den eigenen Domänen. Keine Computer- oder Benutzerkonten sind in der Organisationseinheit Domänencontroller vorhanden. Die Firmenpolitik schreibt vor, dass alle Benutzer in der Forschungsabteilung komplexe Kennwörter mit mindestens neun Zeichen verwenden müssen. Die Richtlinie gibt vor, dass alle anderen Mitarbeiter von diesen Einstellungen nicht betroffen sind. Alle betroffenen Mitarbeiter haben ihr Benutzerkonto in der der Organisationseinheit FORSCHUNG in der Domäne FORSCHUNG.MVSNET.DE. Sie erstellen ein Gruppenrichtlinienobjekt mit den erforderlichen Einstellungen. Sie müssen sicherstellen, dass von diesen Einstellungen nur Mitarbeiter der Forschungsabteilung betroffen sind, auf alle anderen Mitarbeiter dürfen diese Einstellungen keine Auswirkung haben. - 332 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Wo sollten Sie das Gruppenrichtlinienobjekt verknüpfen? A { Mit der Domäne FORSCHUNG.MVSNET.DE. B { Mit der Domäne MVSNET.DE. C { Mit der Organisationseinheit Forschung in der Domäne FORSCHUNG.MVSNET.DE. D { Mit der Organisationseinheit Domänencontroller in der der Domäne MVSNET.DE. Richtige Antwort: A Begründung Kennwortbeschränkungen für Domänenbenutzerkonten müssen immer auf Domänenebene gesetzt werden. Kennwortrichtlinien, die auf Ebene einer Organisationseinheit angewandt werden, gelten nur für dort befindliche Benutzerkonten. Hilfe • Kontorichtlinien und lokale Richtlinien\Sicherheitsvorlagen MS Training • 1. Auflage: Seiten 195, 788 • 2. Auflage: Seiten 201, 807 - 333 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 61 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server verwenden Windows Server 2003 als Betriebssystem. Die Domänenfunktionsebene ist Windows Server 2003. Die Struktur der Firma können Sie in der Grafik ersehen: Ihre Firma verwendet eine Applikation für die Verkaufs- und Marketingabteilung die auf dem X.500 Standard basiert. Diese Software wird nur von Mitarbeitern der Verkaufs- und Marketingabteilung verwendet. Die Software verwendet InetOrgPerson-Objekte für die Benutzerkonten. Diese InetOrgPerson-Objekte sind im Verzeichnisdienst für alle Mitarbeiter der Verkaufs- und Marketingabteilung vorhanden. Die Mitarbeiter sind angewiesen, bei der Anmeldung die InetOrgPersonObjekte als ihr Benutzerkonto zu verwenden. Der Microsoft Identity Integration Server ist so konfiguriert, dass er Änderungen der InetOrgPerson-Objekte aus dem Verzeichnisdienst in die X.500 Verzeichnisdienst-Software kopiert. Die Mitarbeiter der Marketingabteilung sind in der Organisationseinheit MARKETING zusammengefasst, die Mitarbeiter der Verkaufsabteilung in der Organisationseinheit VERKAUF. Daniel ist einer der Administratoren der Firma MVS M. Völk Systems. Daniel ist dafür verantwortlich, die Objekte für Benutzer, die Zugang zum X.500 Verzeichnisdienst benötigen, zu verwalten. Sie müssen den Verzeichnisdienst konfigurieren, damit Daniel seinen Aufgaben nachkommen kann. Welche Aktion oder Aktionen würden Sie auswählen? (Wählen Sie alle notwendigen Aktionen aus.) - 334 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Sie erteilen auf der Domäne Daniel das Recht zur Verwaltung von BenutzeroObjekten. B Sie erteilen auf der Domäne Daniel das Recht zur Verwaltung von InetOrgPerson-Objekten. C Sie blockieren auf der Organisationseinheit VERKAUF die Vererbung der Rechte. D Sie blockieren auf der Organisationseinheit MARKETING die Vererbung der Rechte. E Sie blockieren auf der Organisationseinheit DEV die Vererbung der Rechte. Richtige Antworten: B und E Begründung: Active Directory unterstützt die InetOrgPerson-Objektklasse und die zugehörigen Attribute, die in RFC 2798 definiert sind. Die InetOrgPersonObjektklasse wird in mehreren LDAP- und X.500-Verzeichnisdiensten, die nicht von Microsoft stammen, zum Repräsentieren der Mitarbeiter in einer Organisation verwendet. Der Administrator Daniel muss die InetOrgPerson-Objekte verwalten. Wir können ihm diese Aufgabe übertragen, wie in der Grafik dargestellt, ist aber nicht als Option gegeben. - 335 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Stattdessen können wir das Recht auf Domänenebene setzen. Die Rechte sollte nicht für die Organisationseinheit Entwicklung gelten, sodass wir die Erbschaft Berechtigungen für die Organisationseinheit Entwicklung blockieren müssen. Hilfe • Benutzer- und Computerkonten\Active Directory MS Training • 1. Auflage: Seiten 616, 1114 • 2. Auflage: Seiten 631, 1134 - 336 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 62 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems mit sechs Büros. Das Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Jedes Büro verfügt über Mitarbeiter, die in den Abteilungen VERTRIEB, MARKETING und PRODUKTION arbeiten. Die Verwaltung des Verzeichnisdienstes unterliegt der EDV-Abteilung. Die EDV-Abteilung stellt eine Helpdesk, 2nd Level Support und eine MIS-Gruppe zur Verfügung. Jedes Büro verfügt über einen Mitarbeiter, der im Helpdesk arbeitet. Die administrative Verantwortlichkeit ist wie in nachfolgender Tabelle verteilt: Gruppe Aufgabe Helpdesk Wartung der Benutzerkonten aller Mitarbeiter, die nicht verwaltet werden. 2nd Level Support Benutzerkonto für alle Mitglieder des Helpdesks zur Verwaltung von Benutzerkonten MIS-Gruppe Verwaltung der Servicekonten, Warten der Domänenadministratorenkonten und hinzufügen von Konten in den Verzeichnisdienst. Sie benötigen einen Plan der Organisationseinheiten zur Verteilung der Verwaltungsaufgaben. Ihr Plan muss sicherstellen, dass die Berechtigungen zur Wartung mit einem Minimum an Verwaltungsaufgaben durchgeführt werden kann. Welche Struktur würden Sie verwenden? - 337 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A B - 338 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 C - 339 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 D Richtige Antwort: C Begründung Wir müssen die Verwaltung an verschiede Gruppen von Mitarbeitern übertragen. Wir haben die normalen Mitarbeiter die vom Help Desk betreut werden sollen. Wir haben die Angestellten und die Mitarbeiter des Help Desk die wiederum von der 2nd Level Support Gruppe betreut werden, die MIS Gruppe muss alle anderen Konten verwalten. Hilfe • Organisationseinheiten\Active Directory MS Training • 1. Auflage: Seiten 377f. • 2. Auflage: Seiten 385f. - 340 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 63 Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Die Firma besteht aus zwei Gesellschaften mit den Bezeichnungen Merk und MVSPress. Das Netzwerk besteht aus einem Verzeichnisdienst, der aus drei Domänen besteht. Die Domänen- und Standortkonfiguration ersehen Sie aus der Grafik: Ein Computer mit der Bezeichnung »DC1.NORD.MERK.NET« und ist ein Domänencontroller der Domäne NORD.MERK.NET. »DC1.NORD.MERK.NET« ist der globale Katalogserver und der bevorzugte Brückenkopfserver des Standortes NORD. Die Verzeichnisdatenbank auf »DC1.NORD.MERK.NET« ist ca. 1GB groß. Die Abteilung NORD implementiert eine Software, die den Verzeichnisdienst aktiv verwendet. Sie erwarten, dass die Größe der Datenbank auf »DC1.NORD.MERK.NET« um weitere 200 MB zunimmt. Der Verzeichnisdienst auf »DC1.NORD.MERK.NET« beendet seine Funktion. Nach einer Überprüfung stellen Sie fest, dass der verfügbare Festplattenplatz kleiner als 5 MB ist. Sie müssen den Verzeichnisdienst auf »DC1.NORD.MERK.NET« wieder starten. Sie müssen den Server so konfigurieren, dass ausreichender Festplattenplatz für weitere Daten, die dem Verzeichnisdienst hinzugefügt werden, zur Verfügung steht. Was sollten Sie tun? - 341 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie löschen Sie alle Protokolldateien aus dem SYSVOLVerzeichnis. B { Sie installieren eine zusätzliche Festplatte auf »DC1.NORD.MERK.NET«. Sie verwenden das Tool ntdsutil, um die Verzeichnisdatenbank auf die neue Festplatte zu verschieben. C { Sie installieren Sie eine zusätzliche Festplatte auf »DC1.NORD.MERK.NET«. Sie verwenden das Tool ntdsutil, um die Protokolldateien auf die neue Festplatte zu verschieben. D { Sie konfigurieren einen anderen Server in dem Standort als Brückenkopfserver. Sie konfigurieren »DC1.NORD.MERK.NET« so, dass er nicht mehr als bevorzugter Brückenkopfserver fungiert. Richtige Antwort: B Begründung Ntdsutil.exe ist ein Befehlszeilenprogramm, das Verwaltungsfunktionen für Active Directory bereitstellt. Verwenden Sie Ntdsutil.exe, um die Datenbankwartung von Active Directory durchzuführen, einfache Mastervorgänge zu verwalten und zu steuern sowie Metadaten zu löschen, die von Domänencontrollern hinterlassen wurden, die ohne korrekte Deinstallation aus dem Netzwerk entfernt wurden. Dieses Tool sollte nur von erfahrenen Administratoren verwendet werden. Stellt Befehle für die Verwaltung der Daten und Protokolldateien des Verzeichnisdienstes bereit. Die Datendatei heißt Ntds.dit. Geben Sie an der Eingabeaufforderung Dateien: einen oder mehrere der folgenden unter Syntax aufgelisteten Parameter ein. Syntax {compact to %s|header | info | integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db %s|set path logs %s|set path working dir %s Parameter compact to %s (wobei %s ein leeres Zielverzeichnis angibt) Ruft Esentutl.exe auf, um die vorhandene Datendatei zu komprimieren, und schreibt die komprimierte Datei in das angegebene Verzeichnis. Dabei kann es sich um ein Remoteverzeichnis handeln, das mit dem Befehl net use oder auf ähnliche Weise zugeordnet wurde. Archivieren Sie nach Abschluss der Komprimierung die alte Datendatei, und verschieben Sie die neu komprimierte Datei an den ursprünglichen Speicherort der - 342 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Datendatei. ESENT unterstützt Online-Komprimierung, diese Komprimierung ordnet jedoch nur Seiten in der Datendatei neu an und gibt keinen Speicher an das Dateisystem frei. (Der Verzeichnisdienst ruft die Onlinekomprimierung regelmäßig auf.) header Schreibt den Header der Datendatei Ntds.dit auf den Bildschirm. Dieser Befehl kann die Mitarbeiter im Support bei der Analyse von Datenbankproblemen unterstützen. info Analysiert den freien Speicherplatz für die im System installierten Datenträger und gibt das Ergebnis an, liest die Registrierung und gibt anschließend die Größe der Daten- und Protokolldateien an. (Der Verzeichnisdienst verwaltet die Registrierung, die den Speicherort von Datendateien, Protokolldateien und dem VerzeichnisdienstArbeitsverzeichnis identifiziert.) integrity Ruft Esentutl.exe auf, um eine Integritätsprüfung der Datendatei durchzuführen, bei der jede Art von Low-Level-Datenbankbeschädigungen erkannt wird. Esentutl.exe liest jedes Byte der Datendatei, daher kann die Verarbeitung großer Datenbanken sehr lange dauern. Es empfiehlt sich, vor dem Starten einer Integritätsprüfung immer Recover auszuführen. move DB to %s (wobei %s ein Zielverzeichnis angibt) Verschiebt die Datendatei Ntds.dit in das neue durch %s angegebene Verzeichnis und aktualisiert die Registrierung so, dass der Verzeichnisdienst beim Systemneustart den neuen Speicherort verwendet. move logs to %s (wobei %s ein Zielverzeichnis angibt) Verschiebt die Protokolldateien des Verzeichnisdienstes in das neue durch %s angegebene Verzeichnis und aktualisiert die Registrierung so, dass der Verzeichnisdienst beim Systemneustart den neuen Speicherort verwendet. recover Ruft Esentutl.exe auf, um eine Wiederherstellung der Datenbank durchzuführen. Bei einer Wiederherstellung wird anhand der Protokolldateien überprüft, ob alle festgeschriebenen Transaktionen in die Datendatei übernommen wurden. Das Windows 2000Sicherungsprogramm kürzt die Protokolldateien entsprechend. Protokolle werden verwendet, um sicherzustellen, dass bei einem System- oder plötzlichen Stromausfall keine festgeschriebenen Transaktionen verloren gehen. Im Wesentlichen heißt dies, dass Transaktionsdaten zuerst in ein - 343 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Protokoll und dann in die Datendatei geschrieben werden. Wenn Sie das System nach einem Ausfall neu starten, können Sie das Protokoll erneut ausführen, um die festgeschriebenen aber noch nicht in die Datendatei übernommenen Transaktionen zu reproduzieren. set path backup %s (wobei %s ein Zielverzeichnis angibt) Legt als Ziel für die Sicherung von einem Datenträger auf einen anderen das mit %s angegebene Verzeichnis fest. Der Verzeichnisdienst kann so konfiguriert werden, dass er in regelmäßigen Intervallen eine Onlinesicherung von einem Datenträger auf einen anderen ausführt. set path db %s (wobei %s ein Zielverzeichnis angibt) Aktualisiert den Teil der Registrierung, der den Speicherort und den Dateinamen der Datendatei identifiziert. Verwenden Sie diesen Befehl nur zum Neuerstellen eines Domänencontrollers, dessen Datendatei verloren gegangen ist und der nicht mithilfe der normalen Wiederherstellungsverfahren wieder hergestellt werden kann. set path logs %s (wobei %s ein Zielverzeichnis angibt) Aktualisiert den Teil der Registrierung, der den Speicherort der Protokolldateien identifiziert. Verwenden Sie diesen Befehl nur zum Neuerstellen eines Domänencontrollers, dessen Protokolldateien verloren gegangen sind und der nicht mithilfe der normalen Wiederherstellungsverfahren wieder hergestellt werden kann. set path working dir %s (wobei %s ein Zielverzeichnis angibt) Stellt den Teil der Registrierung, der das Arbeitsverzeichnis des Verzeichnisdienstes identifiziert, auf das mit %s angegebene Verzeichnis ein. %s Eine alphanumerische Variable, z. B. ein Domänen- oder Domänencontrollername. quit Wechselt zurück zum vorherigen Menü oder beendet das Dienstprogramm. Hilfe • Verwenden von Ntdsutil\Active Directory • Ntdsutil\Befehlszeilenreferenz MS Training - 344 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • 1. Auflage: Seiten 106f. • 2. Auflage: Seiten 107f. - 345 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 64 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst mit einer Domäne und der Bezeichnung MVSPRESS.DE. Die Domänenfunktionsebene ist Windows Server 2003. MVS M. Völk Systems kauft eine Firma mit dem Domänennamen EDVEISSNER.DE. Das Netzwerk von EDV-EISSNER.DE besteht aus einer Windows NT4 Kontendomäne und zwei Windows NT4 Ressourcendomänen (siehe Grafik): Alle Dateien liegen auf dem Dateiserver in der Domäne EDVEissner1 Sie möchten folgende Ziele erreichen: • Die Anzahl der Vertrauensstellungen auf ein Minimum reduzieren. • Benutzer in jeder Firma benötigen Zugriff auf die Dateien, die in der jeweils anderen Firma liegen. Welche zwei Aktionen müssen Sie durchführen? (Jede richtige Antwort ist ein Teil der gesamten Lösung.) - 346 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Sie erstellen eine Einweg-Vertrauensstellung, in der die Domäne EDVEISSNER1 der Domäne MVSPRESS.DE vertraut. B Sie erstellen eine Einweg-Vertrauensstellung, in der die Domäne MVSPRESS.DE der Domäne EDVEISSNER1 vertraut. C Sie erstellen eine Einweg-Vertrauensstellung, in der die Domäne MVSPRESS.DE der Domäne EDV-EISSNER.DE vertraut. D Sie erstellen eine Einweg-Vertrauensstellung, in der die Domäne EDV-EISSNER.DE der Domäne MVSPRESS.DE vertraut. Richtige Antworten: A und C Begründung Die Benutzer in der Domäne MVSPRESS.DE benötigen Zugriff auf die Ressourcen in der Domäne EDVEISSNER1 somit muss die Domäne EDVEISSNER1 der Domäne MVSPRESS.DE vertrauen. Da alle Mitarbeiter in der Firma EDVEISSNER1 ihr Konto in der Kontendomäne EDV-EISSNER.DE haben und auf Ressourcen in der Domäne MVSPRESS.DE zugreifen müssen, muss die Domäne MVSPRESS.DE der Kontendomäne EDV-EISSNER.DE vertrauen. Zwischen einer Windows Server 2003-Domäne und folgenden Domänen kann eine unidirektionale oder bidirektionale Vertrauensstellung eingerichtet werden: • Windows Server 2003-Domänen innerhalb derselben Gesamtstruktur • Windows Server 2000-Domänen innerhalb derselben Gesamtstruktur • Windows NT 4.0-Domänen Hilfe • Vertrauenstypen\Active Directory • Vertrauensrichtung\Active Directory • Vertrauensstellungen: Active Directory MS Training • 1. Auflage: Seiten 28f. • 2. Auflage: Seiten 28f. - 347 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 65 Sie sind der Netzwerkadministrator der Firma IT Consulting Merk. Ihre Firma besteht aus den zwei Geschäftsbereichen Wartung und ITDienstleitung. Das Netzwerk besteht aus einem Verzeichnisdienst. Die Domänenfunktionsebene ist Windows Server 2003. Der Verzeichnisdienst besteht aus der Hauptdomäne MERK.NET und einer zusätzlichen Domäne mit der Bezeichnung WARTUNG.MERK.NET; diese Domäne enthält zwei untergeordnete Domänen. Alle Server verwenden Windows Server 2003 als Betriebssystem. Der Verzeichnisdienst ist mit den Standardeinstellungen konfiguriert. Der Verzeichnisdienst enthält 250.000 Objekte, die häufig geändert werden. Sie müssen einige Objekte in einer der untergeordneten Domänen von WARTUNG.MERK.NET von einem drei Monate alten Backup wiederherstellen. Sie müssen eine Änderung am Verzeichnisdienst auf einem der Domänenkontroller in einer der Domänen vornehmen, um dieses Ziel erreichen zu können. Welche zwei Aktionen führen Sie zum Ziel? (Jede einzelne richtige Antwort ist als vollständige Lösung zu betrachten.) A Sie führen das Tool netdom auf einem Domänenkontroller der Domäne WARTUNG.MERK.NET aus. B Sie verwenden das Tool ntdsutil auf einem Domänenkontroller der Domäne MERK.NET. C Sie verwenden das Tool adsiedit auf einem Domänenkontroller der Domäne WARTUNG.MERK.NET. D Sie führen das Tool ldp auf einem Domänenkontroller der Domäne MERK.NET aus. Richtige Antworten: C und D Begründung Wir müssen die Eigenschaften des Verzeichnisdienstes verändern. Wir benötigen einen Low-Level-Editor um dies auszuführen. ADSIEdit Ist ein Tool für die Microsoft Management Konsole (MMC) und ist ein LowLevel-Editor für den Verzeichnisdienst. Über eine Schnittstelle des Verzeichnisdienstes ist man in der Lage Objekte im Verzeichnisdienst zu ändern, löschen oder zu verschieben. Die Attribute eines Objektes können gelesen, geändert oder gelöscht werden. - 348 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 LDP.EXE ist ein Dienstprogramm, das im Windows 200x Resource-Kit enthalten ist. Mithilfe von LDP.EXE können Sie LDAP-Suchvorgänge (Lightweight Directory Access Protocol) im Active Directory durchführen und dabei Suchkriterien verwenden, um spezifische Informationen zu finden. Dies ermöglicht es Administratoren außerdem, Daten abzufragen, die andernfalls in der im Produkt integrierten Verwaltung nicht sichtbar wären. Alle Daten, die in LDP-Abfragen zurückgegeben werden, unterliegen jedoch Sicherheitsbeschränkungen. - 349 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Hilfe • Active Directory-Supporttools\Active Directory MS Training • 1. Auflage: Seiten 134f. • 2. Auflage: Seiten 137f. - 350 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 66 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einem Verzeichnisdienst, der aus einer Hauptdomäne und einer untergeordneten Domäne besteht. Im Verzeichnisdienst sind drei eigenständige Standorte vorhanden. Standort Server Standort 1 SERVER1.MVSNET.DE SERVER2.MVSNET.DE SERVER1.EUROPA.MVSNET.DE SERVER2.EUROPA.MVSNET.DE Standort 2 SERVER3.MVSNET.DE SERVER4.MVSNET.DE Standort 3 SERVER3.EUROPA.MVSNET.DE SERVER4.EUROPA.MVSNET.DE SERVER5.MVSNET.DE SERVER6.MVSNET.DE Das Netzwerk wird nicht vollständig geroutet, es besteht keine physikalische Verbindung zwischen Standort 1 und Standort 3. Standortverbindungen werden nicht überbrückt. Sie stellen fest, dass der Domänenkontroller für EUROPA.MVSNET.DE im Standort 1 über Benutzerkonten verfügt, die nicht auf dem Domänenkontroller im Standort 3 für die Domäne EUROPA.MVSNET.DE vorhanden sind. Sie überprüfen das Protokoll Verzeichnisdienst in der Ereignisanzeige auf einem Domänencontroller für EUROPA.MVSNET.DE und finden mehrere Ereigniskennungen 1311. Sie müssen das Problem lösen, das diesen Fehler verursacht. Wie gehen Sie vor? A { Sie fügen einen Domänencontroller für EUROPA.MVSNET.DE im Standort 2 hinzu. B { Sie erstellen eine Standortverknüpfungsbrücke zwischen den Standortverbindungen von Standort 1 und Standort 3. C { Sie konfigurieren mindestens einen Domänencontroller in jedem Standort als globalen Katalogserver. D { Sie erstellen eine Standortverknüpfung zwischen dem Standort 1 und dem Standort 3. Richtige Antwort: B - 351 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung: Wir haben keine Standortverbindung zwischen Standort 1 und Standort 3. Wir haben eine Standortverbindung zwischen Standort 1 und Standort 2 und zwischen Standort 2 und Standort 3. Es besteht keine physische Konnektivität zwischen Standort 1 und Standort 3, sodass wir deshalb eine Standortverbindungsbrücke zwischen den Standortverbindungen für Standort 1 und Standort 3 schaffen müssen. Jede Replikation zwischen Standort 1 und Standort 3 muss dann über die zwei vorhandenen Standortverbindungen laufen. Ein Computer in jedem Standort besitzt die Funktion, eingehende Replikationsobjekte zwischen den Brückenkopfservern aus anderen Standorten anzunehmen. Standardmäßig sind alle Standortverknüpfungen überbrückt bzw. transitiv. Auf diese Weise können zwei beliebige Standorte, die nicht mittels einer expliziten Standortverknüpfung miteinander verbunden sind, über eine Abfolge von Zwischenstandortverknüpfungen und -standorten direkt miteinander kommunizieren. Ein Vorteil der Überbrückung aller Standortverknüpfungen ist, dass das Netzwerk einfacher zu verwalten ist, weil Sie keine Standortverknüpfung erstellen müssen, um jeden denkbaren Pfad zwischen Standortpaaren zu beschreiben. Im Allgemeinen können Sie die automatischen Standortverknüpfungsbrücken aktiviert lassen. In den folgenden Fällen sollten Sie allerdings für bestimmte Standortverknüpfungen die automatischen Standortverknüpfungsbrücken deaktivieren und Standortverknüpfungsbrücken manuell erstellen: Ihr Netzwerk ist nicht vollständig geroutet (nicht jeder Domänencontroller kann direkt mit jedem anderen Domänencontroller kommunizieren). Eine Netzwerkrouting- oder Sicherheitsrichtlinie ist vorhanden, die verhindert, dass jeder Domänencontroller direkt mit jedem anderen Domänencontroller kommunizieren kann. Ihr Active Directory-Entwurf enthält eine Vielzahl von Standorten. Hilfe • Verwalten der Replikation\Active Directory • Aktivieren oder Deaktivieren von Standortverknüpfungsbrücken\Active Directory MS Training • 1. Auflage: Seite 290 • 2. Auflage: Seite 296 - 352 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 67 Sie sind Mitglied der Administratorengruppe des Windows Server 2003Netzwerkes der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Domäne mit der Bezeichnung EISSNER-EDV.DE. Das Büro in Veilsdorf hat eine eigene Organisationseinheit mit der Bezeichnung Veilsdorf. Sie engagieren eine Angestellte namens Karin als LAN-Administrator für das Büro in Veilsdorf. Karin muss untergeordnete Organisationseinheiten für das Büro Veilsdorf erstellen. Außerdem soll sie die eigens erstellten Organisationseinheiten überprüfen können. Sie möchten Karin nur ein Minimum an Berechtigungen für die Organisationseinheit Veilsdorf geben, damit sie ihre Aufgaben ausführen kann. Welche Berechtigungen sollten Sie ihr geben? A { Alle Eigenschaften lesen, Organisationseinheit erstellen, alle Eigenschaften schreiben. B { Alle Eigenschaften lesen, Inhalt auflisten, Organisationseinheit erstellen. C { Inhalt auflisten, alle untergeordnete Objekte erstellen. D { Alle Eigenschaften schreiben, alle erweiterten Rechte. Richtige Antwort: B Begründung Die erforderliche Berechtigung zum Erstellen von Organisationseinheiten ist die Berechtigung „Organisationseinheit erstellen“. Um Organisationseinheiten zu überprüfen, benötigt man die Berechtigungen „Alle Eigenschaften lesen“ und „Inhalte auflisten“, wie in Lösung B vorgeschlagen wird. Die in Lösungsvorschlag A angegebenen Berechtigungen erlauben das Ändern von Objekteigenschaften der Organisationseinheit. Die Berechtigungen aus Antwortmöglichkeit C gestatten sogar das Erstellen von Objekten innerhalb dieser Organisationseinheit. In Lösungsweg D fehlt die Berechtigung zum Erstellen einer Organisationseinheit und schlägt eine unsinnige Berechtigungskombination vor. Hilfe • Sicherheit\Zugriffssteuerung\Empfehlungen\Empfehlungen für das Zuweisen von Berechtigungen für Active Directory-Objekte MS Training - 353 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • 1. Auflage: Seiten 534f. • 2. Auflage: Seiten 546f. - 354 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 68 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Domäne. Das Hauptbüro befindet sich in Puchheim. Zudem existieren weitere Zweigbüros in Kronach und Veilsdorf. Die Büros sind über dedizierte 256-Kbps-Leitungen miteinander verbunden. Um die Anmeldezeiten über die langsamen Leitungen zu verringern, erstellen Sie für jedes Büro in Active Directory einen Standort und konfigurieren Standortverknüpfungen zwischen den Standorten. Benutzer der Zweigbüros berichten, dass es sehr lange dauert, sich an der Domäne anzumelden. Sie beobachten das Netzwerk und entdecken, dass jeglicher Authentifizierungsverkehr noch immer zu den Domänencontrollern in Puchheim gesendet wird. Sie müssen die Netzwerkperformance verbessern. Was müssen Sie tun? A { Sie richten die Replikation so ein, dass sie in einem kürzeren Zeitintervall zwischen den Standorten stattfindet. B { Sie richten die Replikation so ein, dass sie in einem längeren Zeitintervall zwischen den Standorten stattfindet. C { Sie erstellen für jeden physikalischen Standort ein Subnetz und verbinden dieses mit dem Standort Puchheim. Danach verschieben Sie die Domänencontrollerobjekt in den Standort Puchheim. D { Sie erstellen für jeden physikalischen Standort ein Subnetz und verbinden jedes Subnetz mit seinem Standort. Danach verschieben Sie die Domänencontrollerobjekte in den jeweiligen Standort. Richtige Antwort: D Begründung Sie haben in der MMC Active Directory-Standorte und -Dienste Standorte erstellt und Standortverknüpfungen konfiguriert. Allerdings haben sie die Standorte nicht korrekt konfiguriert. Um den Standort richtig zu konfigurieren, muss man für jeden physikalischen Standort ein Subnetz erstellen und dieses dann mit dem jeweiligen Standort verbinden. Danach verschiebt man jedes Domänencontrollerobjekt in seinem Standort. Dadurch wird Active Directory die Authentifizierungsanfragen bevorzugt zum lokalen Domänencontroller senden, anstatt die WAN-Verbindung zu verwenden. Die in Lösungsvorschlag A und B empfohlene Änderung des - 355 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Replikationsintervalls bleibt wirkungslos, da sich alle Domänencontrollerobjekte in einem Standort befinden und deshalb keine Replikation stattfinden wird. Antwort C schlägt vor, alle Subnetze mit dem Standort Puchheim zu verbinden. Auch das ist keine besonders glückliche Lösung, da sich dann ebenfalls alle Domänencontrollerobjekte in einem Standort befinden und eine Replikation unmöglich machen. Hilfe • Active Directory\So wird es gemacht\Verwalten von Standorten\Konfigurieren von Standorteinstellungen • Active Directory\So wird es gemacht\Verwalten von Standorten\Konfigurieren einer Replikation zwischen Standorten MS Training • 1. Auflage: Seiten 16f., 44f. • 2. Auflage: Seiten 16f., 44f. - 356 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 69 Sie sind der Administrator des Windows Server 2003-Netzwerks der Firma EDV-Beratung Eißner. Das Netzwerk besteht aus zwei Active DirectoryStandorten: Veilsdorf und Puchheim. Zudem enthält das Netzwerk zwei Domänen: EISSNER-EDV.DE und MVS.EISSNER-EDV.DE. Die Konfiguration des Netzwerks wird im folgenden Schaubild gezeigt: Die Benutzer von Puchheim reisen oft mit ihren mobilen Rechnern nach Veilsdorf. Wenn sich diese Benutzer an das Netzwerk in Veilsdorf anmelden, erscheint sehr lange der Text Benutzereinstellungen werden geladen. Sie wollen sicherstellen, dass für die Benutzer von Puchheim diese Verzögerung nicht mehr auftritt. Was müssen Sie tun? A { Sie verbinden das Subnetz von Veilsdorf mit dem Standort Puchheim. B { Sie erstellen eine Vertrauensstellung, sodass EISSNEREDV.DE der Domäne MVS.EISSNER-EDV.DE vertraut. C { Sie installieren einen Domänencontroller für MVS.EISSNER-EDV.DE im Subnetz von Veilsdorf. D { Sie verwenden das Snap-In Active Directory-Standorte und -Dienste, um »FDEDC003« in den Standort Veilsdorf zu verschieben. Richtige Antwort: C Begründung: Die Domäne MVS.EISSNER-EDV.DE befindet sich im Standort Puchheim. Wenn sich die Benutzer aus Puchheim in Veilsdorf anmelden, dann verbindet sich der Clientrechner zu einem Domänencontroller in Puchheim, um sich zu authentifizieren und die Richtlinieneinstellungen zu laden. Der Verkehr über die WAN-Verbindung verursacht diese Verzögerung. Man kann dieses Problem nur lösen, indem man einen - 357 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Domänencontroller für die Domäne MVS.EISSNER-EDV.DE in Veilsdorf installiert. Durch die in Vorschlag C beschriebene Lösung kann der Anmeldeprozess für die Benutzer aus Puchheim in Veilsdorf lokal stattfinden. Lösungsansatz A schlägt eine Verbindung des Subnetzes Veilsdorf mit dem Standort Puchheim vor. Da es sich hier um eine offensichtliche Fehlkonfiguration handelt, sollte sich die Kommunikation zwischen den beiden Standorten etwas schwierig gestalten. Standardmäßig besteht zwischen den Domänen einer Gesamtstruktur eine transitive Vertrauensstellung. Deshalb ist das Einrichten einer Vertrauensstellung aus Lösungsvorschlag B überflüssig. Das logische Verschieben von »FDEDC003« in den Standort Veilsdorf ist ebenfalls falsch, da sich der Domänencontroller weiterhin physikalisch in Puchheim befindet. Antwortmöglichkeit D wird also keine Verbesserung der Anmeldezeiten bewirken. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes über Standorte und Replikation\Übersicht über Standorte MS Training • 1. Auflage: Seiten 16f., 44f. • 2. Auflage: Seiten 16f., 44f. - 358 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 70 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Sie administrieren die Windows Server 2003-Domäne EISSNER-EDV.DE und eine Subdomäne mit der Bezeichnung SUB1.EISSNER-EDV.DE. SUB1.EISSNER-EDV.DE enthält alle Benutzerkonten des Netzwerkes. Ihre Firma arbeitet mit der Firma MVS M. Völk Systems zusammen. Das Netzwerk von MVS besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Stammdomäne mit der Bezeichnung MVSNET.DE enthält. Zudem existiert eine Subdomäne mit der Bezeichnung SUB1.MVSNET.DE. Auf allen Domänencontrollern läuft Windows Server 2003. Beide Domänen enthalten Benutzerkonten und Ressourcenserver. Die Domänen und bereits existierenden Vertrauensstellungen werden im folgenden Schaublid dargestellt: Sie sollen so wenig wie möglich Vertrauensstellungen erstellen, um den Benutzern von SUB1.EISSNER-EDV.DE Zugriff auf beide Domänen in der Gesamtstruktur MVSNET.DE zu geben. Was müssen Sie tun? - 359 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine Einwegvertrauensstellung, in der die EISSNER-EDV.DE-Domäne der MVSNET.DE-Domäne vertraut. B { Sie erstellen eine Gesamtstrukturvertrauensstellung zwischen MVSNET.DE und EISSNER-EDV.DE. C { Sie erstellen eine Einwegvertrauensstellung, in der die SUB1.EISSNER-EDV.DE-Domäne der MVSNET.DE-Domäne vertraut. Danach erstellen Sie eine Einwegvertrauensstellung, in der die SUB1.EISSNEREDV.DE-Domäne der SUB1.MVSNET.DE-Domäne vertraut. D { Sie erstellen eine Einwegvertrauensstellung, in der die MVSNET.DE-Domäne der SUB1.EISSNER-EDV.DE-Domäne vertraut. Danach erstellen Sie eine Einwegvertrauensstellung, in der die SUB1.MVSNET.DEDomäne der SUB1.EISSNER-EDV.DE-Domäne vertraut. Richtige Antwort: B Begründung Benutzer in SUB1.EISSNER-EDV.DE benötigen Zugriff auf die Ressourcen in MVSNET.DE und SUB1.MVSNET.DE. Daher müssen die Domänen MVSNET.DE und SUB1.MVSNET.DE der SUB1.EISSNER-EDV.DE vertrauen. Dieses Ziel kann man erreichen, indem man zwei EinwegVertrauensstellungen erstellt: eine, in der die MVSNET.DE Domäne der SUB1.EISSNER-EDV.DE vertraut, und eine weitere, in der die SUB1.MVSNET.DE Domäne der SUB1.EISSNER-EDV.DE Domäne vertraut. Das trifft nur bei Lösungsweg D zu. Der einfachere Weg ist allerdings das Erstellen einer Gesamtstrukturvertrauensstellung zwischen den beiden Strukturen MVSNET.DE und EISSNER-EDV.DE. Dadurch sind alle Vertrauensstellungen transitiv und das bei geringstem Aufwand. Damit wäre Lösung B der bessere Weg. Bei Antwortmöglichkeit A vertraut die Domäne EISSNER-EDV.DE der MVSNET.DE Domäne. Das ist genau die falsche Richtung. In C ist zwar der Bezug auf die Subdomäne SUB1.EISSNER-EDV.DE richtig, aber die Vertrauensstellungen haben wieder die falsche Richtung. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Vertrauensstellungen\Gründe für das Erstellen einer externen Vertrauensstellung MS Training • 1. Auflage: Seiten 28f. • 2. Auflage: Seiten 28f. - 360 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 71 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die zwei Domänen enthält. Die Domänen haben die Bezeichnungen EISSNER-EDV.DE und SUB1.EISSNER-EDV.DE. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. Ihre Firma kooperiert mit der Firma MVS M. Völk Systems. Das Firmennetzwerk von MVS besteht ebenfalls aus einer einzelnen Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält zwei Domänen mit den Bezeichnungen MVSNET.DE und SUB1.MVSNET.DE. Die Domänenfunktionsebene beider Domänen ist Windows 2000 pur. Auf allen Domänencontrollern in der Gesamtstruktur läuft Windows 2000 Server. Die Benutzer in den Domänen SUB1.EISSNER-EDV.DE und SUB1.MVSNET.DE müssen auf einfachstem Weg auf gemeinsam genutzte Informationen zugreifen können. Die Daten befinden sich auf Windows Server 2003 Mitgliedsservern in beiden Domänen. Sie müssen die Vertrauensstellungen zwischen den Domänen so konfigurieren, dass die Benutzer gemeinsam auf die Informationen zugreifen können. Sie wollen dieses Ziel mit einem Minimum an administrativem Aufwand erreichen. Was müssen Sie tun? - 361 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine bidirektionale Gesamtstrukturvertrauensstellung zwischen den Domänen EISSNER-EDV.DE und MVSNET.DE. B { Sie erstellen eine unidirektionale externe Vertrauensstellung, in der die Domäne SUB1.EISSNEREDV.DE der Domäne SUB1.MVSNET.DE vertraut. Danach erstellen Sie eine weitere unidirektionale externe Vertrauensstellung, in der die Domäne SUB1.MVSNET.DE der Domäne SUB1.EISSNER-EDV.DE vertraut. C { Sie erstellen eine unidirektionale externe Vertrauensstellung, in der die Domäne EISSNER-EDV.DE der Domäne MVSNET.DE vertraut. Danach erstellen Sie eine weitere unidirektionale externe Vertrauensstellung, in der die Domäne MVSNET.DE der Domäne EISSNEREDV.DE vertraut. D { Sie erstellen eine unidirektionale externe Vertrauensstellung, in der die Domäne MVSNET.DE der Domäne SUB1.MVSNET.DE vertraut. Danach erstellen Sie eine weitere unidirektionale externe Vertrauensstellung, in der die Domäne EISSNER-EDV.DE der SUB1.MVSNET.DE-Domäne vertraut. Richtige Antwort: B Begründung Die Benutzer der Domäne SUB1.EISSNER-EDV.DE benötigen Zugriff auf die Ressourcen der Domäne SUB1.MVSNET.DE und umgekehrt. Der schnellste Weg wäre dafür die Gesamtstrukturvertrauensstellung aus Antwortmöglichkeit A. Da aber die Domänenfunktionsebene der beiden MVS-Domänen Windows 2000 pur ist, steht diese Möglichkeit nicht zur Verfügung. Deshalb benötigt man eine unidirektionale externe Vertrauensstellung, in der die Domäne SUB1.MVSNET.DE der SUB1.EISSNER-EDV.DE-Domäne vertraut, und eine unidirektionale externe Vertrauensstellung, in der die Domäne SUB1.EISSNER-EDV.DE der SUB1.MVSNET.DE-Domäne vertraut. Effektiver wäre allerdings das Erstellen einer bidirektionalen Vertrauensstellung zwischen den beiden Subdomänen. Die in C vorgeschlagene Lösung führt nicht zum Ziel, da die Vertrauensstellungen zwischen den Stamm- und nicht zwischen den SubDomänen erstellt werden sollen. Lösungsweg D beschreibt eine noch schlechtere Variante. Die Vertrauensstellung zwischen MVSNET.DE und SUB1.MVSNET.DE existiert normalerweise bereits, da standardmäßig alle Vertrauensstellungen innerhalb einer Gesamtstruktur transitiv sind. Die Vertrauensstellung zwischen den Domänen EISSNER-EDV.DE und SUB1.MVSNET.DE entspricht ebenfalls nicht der Aufgabenstellung. - 362 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Vertrauensstellungen\Gründe für das Erstellen einer externen Vertrauensstellung MS Training • 1. Auflage: Seiten 28f. • 2. Auflage: Seiten 28f. - 363 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 72 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit den beiden Domänen MVSNET.DE und SUB1.MVSNET.DE. Auf allen Domänencontrollern läuft Windows Server 2003. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. MVS fusioniert mit der Firma EDV-Beratung Eißner. Das Firmennetzwerk der EDV-Beratung Eißner besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Domäne mit der Bezeichnung EISSNER-EDV.DE enthält. Auf allen Domänencontrollern läuft Windows Server 2003. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. Die Benutzer der Domäne MVSNET.DE benötigen Zugriff auf Datei- und Druckressourcen des Rechner »FDESRV01.EISSNER-EDV.DE«. Die Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf alle Rechner in der Gesamtstruktur MVSNET.DE. Die Administratoren sollen die Möglichkeit haben, den Benutzern Zugriff auf die benötigten Ressourcen zu gewähren. Was müssen Sie tun? - 364 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine bidirektionale Gesamtstrukturvertrauensstellung zwischen den Domänen MVSNET.DE und EISSNER-EDV.DE. In der Domäne MVSNET.DE aktivieren Sie die gesamtstrukturweite Authentifizierung für die EISSNER-EDV.DE-Domäne. In der Domäne EISSNER-EDV.DE aktivieren Sie die ausgewählte Authentifizierung für die MVSNET.DEDomäne. B { Sie erstellen eine bidirektionale externe Vertrauensstellung zwischen der Domäne MVSNET.DE und der EISSNER-EDV.DE-Domäne. C { Sie erstellen eine unidirektionale Gesamtstrukturvertrauensstellung, in der die Domäne EISSNER-EDV.DE der MVSNET.DE-Domäne vertraut. In der MVSNET.DE -Domäne aktivieren Sie die gesamtstrukturweite Authentifizierung für die EISSNEREDV.DE-Domäne. D { Sie erstellen eine unidirektionale Gesamtstrukturvertrauensstellung, in der die Domäne MVSNET.DE der EISSNER-EDV.DE-Domäne vertraut. Sie erstellen eine zweite unidirektionale Gesamtstrukturvertrauensstellung, in der die Domäne EISSNER-EDV.DE der Domäne MVSNET.DE vertraut. Richtige Antwort: A Begründung Beide Gesamtstrukturen arbeiten auf der Windows Server 2003 Gesamtstrukturfunktionsebene. Deshalb kann man eine bidirektionale Gesamtstrukturvertrauensstellung zwischen den beiden Gesamtstrukturen erstellen. Wenn man die Gesamtstrukturweite Authentifizierung für eingehende Gesamtstrukturvertrauensstellungen verwendet, dann haben Benutzer außerhalb der Gesamtstruktur den gleichen Zugriff auf Ressourcen der lokalen Gesamtstruktur, wie die Benutzer, die Mitglieder der lokalen Gesamtstruktur sind. Beispiel: Falls Gesamtstruktur A eine eingehende Gesamtstrukturvertrauensstellung zu Gesamtstruktur B hat, und eine Gesamtstrukturweite Authentifizierung verwendet, dann können die Benutzer von Gesamtstruktur B auf alle Ressourcen in Gesamtstruktur A zugreifen, sofern die entsprechenden Berechtigungen vorhanden sind. Wenn man sich aber für die Ausgewählte Authentifizierung bei eingehenden Gesamtstrukturvertrauensstellungen entscheidet, muss man die Berechtigungen in jeder Domäne und für jede Ressource, auf die Benutzer der zweiten Gesamtstruktur Zugriff haben sollen, manuell zuweisen. Dazu - 365 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 muss man einem Benutzer- oder Gruppenkonto der zweiten Gesamtstruktur die Berechtigungen für das jeweilige Objekt in der ersten Gesamtstruktur erteilen. In der Regel nimmt man Benutzer bzw. globale Gruppen der zweiten Gesamtstruktur als Mitglied in entsprechende lokale Gruppen der ersten Gesamtstruktur auf und „erbt“ damit die Berechtigungen. Lösungsweg B erfüllt nur einen Teil der Aufgabenstellung. Der Zugriff auf Rechner der Subdomäne SUB1.MVSNET.DE ist für die Benutzer der Domäne EISSNER-EDV.DE nicht möglich, da externe Vertrauensstellungen nicht transitiv sind. Lösungsvorschlag C bietet nur eine einseitige Vertrauensstellung zwischen den Gesamtstrukturen. Antwortmöglichkeit D liegt zwar am nächsten an der Aufgabenstellung, was die Vertrauensstellungen betrifft, aber die Frage der Authentifizierung wird ebenso wie in B und C vernachlässigt. Außerdem beschreibt Lösung A einen effizienteren Weg als D. Hilfe • Active Directory\So wird es gemacht\Verwalten von Vertrauensstellungen\Verwalten von Gesamtstrukturvertrauensstellungen\Erstellen einer Gesamtstrukturvertrauensstellung MS Training • 1. Auflage: Seiten 28f., 549 • 2. Auflage: Seiten 28f., 562 - 366 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 73 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus zwei Active Directory-Domänen. Auf allen Servern läuft Windows Server 2003. Die Firma hat Büros in mehreren Städten, wie folgendes Schaubild zeigt: Jedes Büro ist als ein Active Directory-Standort konfiguriert. Es sind globale Katalogserver in den Standorten Veilsdorf und Puchheim vorhanden. Sie aktivieren Zwischenspeicherung für universelle Gruppenmitgliedschaft für alle anderen Standorte. Die Benutzer verwenden eine Active Directory-integrierte Anwendung. Die Anwendung liest Daten vom globalen Katalog. Benutzer berichten, dass in der Zeit der höchsten Netzwerkauslastung die Anwendung sehr langsam reagiert. Sie sollen die Reaktionszeit der Anwendung verbessern. Was müssen Sie tun? A { Sie deaktivieren Zwischenspeicherung für universelle Gruppenmitgliedschaft in den Standorten Erfurt, Riesa, Kronach und München. B { Sie verringern das Replikationszeitintervall für die Standortverknüpfungen, die die Standorte Erfurt und Riesa mit dem Standort Veilsdorf, und die Standorte Kronach und München mit dem Standort Puchheim verbinden. C { Sie konfigurieren globale Katalogserver in den Standorten Erfurt, Riesa, Kronach und München. D { Sie führen eine Offline-Defragmentierung der Active Directory-Datenbank auf den Domänencontrollern in den Standorten Veilsdorf und Puchheim durch. Richtige Antwort: C Begründung - 367 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Die Anwendung muss Daten vom globalen Katalog lesen. Diese Informationen befinden sich auf den globalen Katalogservern in den Standorten Veilsdorf und Puchheim. Das bedeutet, dass die Anwendung die globalen Katalogserver über WAN-Verbindungen kontaktieren muss. Die Performance lässt sich wesentlich verbessern, indem man in jedem Standort einen globalen Katalogserver einrichtet. Dadurch kann die Anwendung den globalen Katalogserver über die schnelle LAN-Verbindung erreichen. Somit ist Lösung C die richtige Antwort. Die Zwischenspeicherung für universelle Gruppenmitgliedschaft hat keinen Einfluss auf die Anwendung, da diese auf die Datenbank der globalen Katalogserver zugreift. Selbst wenn Zwischenspeicherung für universelle Gruppenmitgliedschaft aktiviert ist, läuft die Anwendung langsam. Deshalb resultiert aus Antwort A keine bessere Performance. Ebenso wenig bringt eine Verringerung des Replikationsintervalls aus Lösungsvorschlag B. Der Engpass tritt laut Aufgabenstellung nicht regelmäßig während der Replikation auf, sondern bei hohem Auslastungsgrad durch die Anwendung. Da der globale Katalog eine Teilmenge der Informationen zu den Active Directory Objekten enthält, ist er nicht mit der Active Directory Datenbank gleichzusetzen. Eine Defragmentierung der Active Directory Datenbank wird ebenfalls keine Performancesteigerung bewirken, wie in Lösungsvorschlag D erhofft wird. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zum globalen Katalog • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zum globalen Katalog\Globale Kataloge und Standorte MS Training • 1. Auflage: Seiten 328f. • 2. Auflage: Seiten 334f. - 368 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 74 Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Zwei Kunden dieser Firma sind das AHE Erfurt und die KIG Meiningen. Die Domäneninfrastruktur wird im folgenden Schaubild gezeigt: Alle Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf die Ressourcen der Domäne AHE-ERFURT.DE. Einige Benutzer der EISSNEREDV.DE-Domäne benötigen Zugriff auf die Ressourcen der Domäne VERKAUF.KIG-MGN.DE. Die Benutzer der Domäne EISSNER-EDV.DE benötigen keinen Zugriff auf die Ressourcen der Domäne VERKAUF.AHEERFURT.DE. Es besteht eine bidirektionale Vertrauensstellung zwischen den Domänen EISSNER-EDV.DE und KIG-MGN.DE. Sie stellen fest, dass die Benutzer der Domäne EISSNER-EDV.DE keinen Zugriff auf die Ressourcen der VERKAUF.KIG-MGN.DE- Domäne haben. Sie müssen sicherstellen, dass alle Benutzer der Domäne EISSNEREDV.DE Zugriff auf die benötigten Ressourcen in den anderen Gesamtstrukturen haben. Was müssen Sie tun? - 369 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie aktivieren das Routing des VERKAUF.AHE-ERFURT.DENamenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach deaktivieren Sie das Routing des VERKAUF.KIG-MGN.DENamenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf KIG-MGN.DE. B { Sie deaktivieren das Routing des VERKAUF.AHEERFURT.DE-Namenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach aktivieren Sie das Routing des VERKAUF.KIG-MGN.DE-Namenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf KIG-MGN.DE. C { Sie aktivieren das Routing des VERKAUF.AHE-ERFURT.DENamenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach aktivieren Sie das Routing des VERKAUF.KIG-MGN.DENamenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf KIG-MGN.DE. D { Sie deaktivieren das Routing des VERKAUF.AHEERFURT.DE-Namenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf AHE-ERFURT.DE. Danach deaktivieren Sie das Routing des VERKAUF.KIG-MGN.DE-Namenssuffixes in der Gesamtstrukturvertrauensstellung von EISSNER-EDV.DE auf KIG-MGN.DE. Richtige Antwort: B Begründung Für eine ordnungsgemäße Authentifizierung der Benutzer zwischen zwei Gesamtstrukturen, für die eine Gesamtstrukturvertrauensstellung existiert, ist die Weiterleitung der Namenssuffixe der einzelnen Domänen erforderlich. Um den Verwaltungsaufwand bei der Erstellung von Vertrauensstellungen so gering wie möglich zu halten, werden bei einer neu erstellten Gesamtstrukturvertrauensstellungen die Namenssuffixe standardmäßig weitergeleitet. Werden nachträglich neue Subdomänen erstellt, so ist das Routing für deren Namenssuffix deaktiviert. Bei dem beschriebenen Szenario muss man also davon ausgehen, dass das Routing für den Namenssuffix VERKAUF.KIG-MGN.DE deaktiviert ist. Die Benutzer von EISSNER-EDV.DE benötigen Zugriff auf AHE-ERFURT.DE, nicht aber auf die Subdomäne VERKAUF.AHE-ERFURT.DE. Das Routing für den Namenssuffix VERKAUF.AHE-ERFURT.DE kann also deaktiviert werden. - 370 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Im Falle der Domäne KIG-MGN.DE ist es genau umgekehrt. Die Benutzer von EISSNER-EDV.DE benötigen Zugriff auf die Subdomäne VERKAUF.KIG-MGN.DE. Um das zu gewährleisten, muss das Routing für den Namenssuffix VERKAUF.KIG-MGN.DE aktiviert werden. Lösung B beschreibt diese beiden Schritte. Lösungsvorschläge A und D erfüllen die Anforderungen der Aufgabenstellung nicht. Lösungsweg C kommt zwar der Aufgabenstellung nahe, erfüllt aber nicht das Kriterium, dass Benutzer der Domäne EISSNER-EDV.DE keinen Zugriff auf die Ressourcen der Domäne VERKAUF.AHE-ERFURT.DE benötigen. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Vertrauensstellungen\Gesamtstrukturübergreifendes Routing von Namenssuffixen • Active Directory\So wird es gemacht\Verwalten von Vertrauensstellungen\Verwalten von Gesamtstrukturvertrauensstellungen\Ändern des Routingstatus eines Namenssuffixes bzw. Aktivieren oder Deaktivieren des Routings für ein vorhandenes Namenssuffix MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 371 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 75 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit zwei Domänen mit den Bezeichnungen MVSNET.DE und PUCHHEIM.MVSNET.DE. Die Gesamtstrukturfunktionsebene ist Windows Server 2003. Das Netzwerk enthält zwei Standorte mit den Bezeichnungen Puchheim und Kronach. Eine 128 Kbps Standortverbindung verbindet Puchheim mit Kronach. In der Domäne MVSNET.DE befindet sich ein Domänencontroller mit der Bezeichnung »MVSDC001« im Standort Kronach. Die Domäne PUCHHEIM.MVSNET.DE verfügt über einen Domänencontroller mit der Bezeichnung »MVSDC002« im Standort Puchheim. »MVSDC001« ist ein Active Directory-integrierter DNS-Server und fungiert gleichzeitig als globaler Katalogserver. Es existieren 1500 Benutzer im Standort Kronach und 80 Benutzer im Standort Puchheim. Benutzer im Standort Puchheim berichten, dass die Anmeldung am Netzwerk sehr lange dauert. Sie müssen sicherstellen, dass sich die Benutzer von Puchheim schneller anmelden können. Was müssen Sie tun? A { Sie vermindern den Wert der maximalen Gültigkeitsdauer des Benutzertickets in den Kerberos-Richtlinien der Standarddomänengruppenrichtlinie (GPO) der PUCHHEIM.MVSNET.DE-Domäne. B { Sie aktivieren Zwischenspeicherung der universellen Gruppenmitgliedschaft für »MVSDC002« in den Active Directory-Standorten und -Diensten. C { Sie aktivieren die interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen in der Standarddomänengruppenrichtlinie (GPO) der Domäne PUCHHEIM.MVSNET.DE. D { Sie vermindern den Wert für das Replikationszeitintervall für die Standortverbindung zwischen Puchheim und Kronach. Richtige Antwort: B Begründung Es dauert sehr lange sich an »MVSDC002« anzumelden. Da »MVSDC002« kein globaler Katalogserver ist, muss er sich die benötigten Informationen von »MVSDC001« über eine langsame WAN-Verbindung holen. Dies geschieht bei jeder Anmeldung. Um dieses Problem zu beheben wird in Antwort B die Zwischenspeicherung der universellen - 372 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Gruppenmitgliedschaft vorgeschlagen. Alternativ wäre es auch möglich, »MVSDC002« als globalen Katalogserver zu konfigurieren. In manchen Umgebungen ist aber das Verwenden der Zwischenspeicherung der universellen Gruppenmitgliedschaft vorteilhafter. Globaler Katalogserver Ein globaler Katalogserver ist ein Domänencontroller der Informationen über alle Objekte der Gesamtstruktur, aber nicht deren Attribute, speichert. Dadurch können Anwendungen Active Directory durchsuchen, ohne sich auf die jeweiligen Domänencontroller, die die benötigten Daten speichern, zu beziehen. Wie alle Domänencontroller speichert ein globaler Katalogserver vollständige Kopien des Schemas und die Konfiguration von Directory Partitionen. Zwischenspeicherung der universellen Gruppenmitgliedschaft Die Zwischenspeicherung der universellen Gruppenmitgliedschaft erlaubt dem Domänencontroller universelle Gruppenmitgliedschaftsinformationen für Benutzer zwischenzuspeichern. Man kann auf Domänencontrollern, die mit Windows Server 2003 laufen, die Zwischenspeicherung der universellen Gruppenmitgliedschaft aktivieren, indem man das Snap-in Active Directory Standorte und Dienste verwendet. Durch das Aktivieren der Zwischenspeicherung der universellen Gruppenmitgliedschaft benötigt man keinen globalen Katalogserver mehr, was die Auslastung der Netzwerkbandweite reduziert, da ein Domänencontroller nicht mehr alle Objekte der Gesamtstruktur replizieren muss. Ebenfalls wird die Anmeldezeit reduziert, da der authentifizierende Domänencontroller nicht immer auf einen globalen Katalog zugreifen muss, um universelle Gruppenmitgliedschaftsinformationen zu erhalten. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu globalen Katalog\Globale Kataloge und Standorte • Active Directory\So wird es gemacht Verwalten von Standorten\Konfigurieren von Standorteinstellungen\Zwischenspeichern der universellen Gruppenmitgliedschaft MS Training • 1. Auflage: Seiten 327f. • 2. Auflage: Seiten 333f. - 373 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 76 Sie sind der Netzwerkadministrator in Ihrer Firma. Die Firma besteht aus drei Partnergesellschaften: MVS M. Völk Systems, EDV-Beratung Eißner und IT-Consulting Merk. Das Firmennetzwerk enthält drei Active Directory-Gesamtstrukturen, die externe Vertrauensstellungen enthalten, wie folgendes Schaubild zeigt: Die Gesamtstrukturfunktionsebene ist Windows 2000. Die Domänenfunktionsebene aller Domänen ist Windows 2000 pur. MVS verlangt, dass die Benutzer jeder Domäne Zugriff auf Ressourcen in allen anderen Domänen aller Gesamtstrukturen haben. Es soll ein Minimum an Vertrauensstellungen verwendet werden. Sie müssen sicherstellen, dass die Benutzer kein weiteres Konto in einem der anderen beiden Gesamtstrukturen haben. Sie sollen dieses Ziel mit einem Minimum an administrativem Aufwand erfüllen. Sie aktualisieren jeden Domänencontroller auf Windows Server 2003. Welche zusätzliche/n Aktion/en müssen Sie durchführen? (Wählen Sie alle, die angewendet werden sollen.) - 374 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Sie erhöhen die Domänenfunktionsebene jeder Domäne auf Windows Server 2003. B Sie erstellen Shortcut-Vertrauensstellungen zwischen jeder Subdomäne. C Sie ersetzen existierende externe Vertrauensstellungen durch bidirektionale Gesamtstrukturvertrauensstellungen. D Sie erstellen eine bidirektionale Gesamtstrukturvertrauensstellung zwischen MVSNET.DE und EISSNER-EDV.DE. Richtige Antworten: A, C und D Begründung Es existiert eine Windows 2000 Gesamtstruktur, was bedeutet, dass man nur unidirektionale Vertrauensstellungen zwischen den Gesamtstrukturen erstellen kann. Wenn man die Funktionsebene jeder Gesamtstruktur auf Windows Server 2003 erhöht, kann man bidirektionale Vertrauensstellungen verwenden, wodurch die Anzahl an benötigten Vertrauensstellungen reduziert wird. Gesamtstrukturvertrauensstellungen sind nur zwischen zwei Gesamtstrukturen transitiv. Dies bedeutet, dass obwohl MVSNET.DE MERK.NET und MERK.NET EISSNER-EDV.DE vertraut, aber das Vertrauen zwischen MVSNET.DE und EISSNER-EDV.DE nicht automatisch vorhanden ist. Daher muss eine bidirektionale Gesamtstrukturvertrauensstellung zwischen MVSNET.DE und EISSNER-EDV.DE erstellt werden. Das Erstellen von Shortcut-Vertrauensstellungen zwischen jeder SubDomäne ist nicht notwendig und würde nur die Anzahl an Vertrauensstellungen erhöhen. Hilfe • Active Directory\So wird es gemacht\Verwalten von Vertrauensstellungen\Verwalten von Gesamtstrukturvertrauensstellungen\Erstellen einer Gesamtstrukturvertrauensstellung MS Training • 1. Auflage: Seiten 28f. • 2. Auflage: Seiten 28f. - 375 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 77 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine Gesamtstrukturstammdomäne mit der Bezeichnung EISSNER-EDV.DE und eine Sub-Domäne mit der Bezeichnung SUB1.EISSNER-EDV.DE enthält. Die Firma verwendet universelle Gruppen, um temporär angestellten Mitarbeitern den Zugriff auf vertrauliche Informationen auf Rechnern der Gesamtstruktur zu gewähren. In der Domäne SUB1.EISSNER-EDV.DE befindet sich ein Windows 2000 Server mit der Bezeichnung »FDEDC001«. Auf »FDEDC001« läuft eine Anwendung, die häufige LDAP-Abfragen an den globalen Katalog sendet. »FDEDC001« befindet sich in einem Subnetz, das mit dem Active Directory-Standort 2 verbunden ist, der keine globalen Katalogserver enthält. Standort 2 ist über eine WAN-Verbindung mit dem Hauptstandort verbunden. Sie sollen für die Anwendung auf »FDEDC001« die Voraussetzung schaffen, dass sie auf einem hohen Performancelevel ausgeführt wird und zudem beim Ausfall der WAN-Verbindung fortgesetzt wird. Zudem müssen Sie den Netzwerkverkehr über die WAN-Verbindung reduzieren. Was müssen Sie tun? A { Sie aktivieren die Zwischenspeicherung der universellen Gruppenmitgliedschaft im Standort 2. B { Sie konfigurieren mindestens einen globalen Katalog im Standort 2. C { Sie ergänzen den Schlüssel Hkey_Local_Machine\System\CurrentControlset\Co ntrol\Lsa\IgnoreGcFailures in der Registrierdatenbank aller Domänencontroller im Standort 2. D { Sie entfernen »FDEDC001« von der Domäne SUB1.EISSNER-EDV.DE und fügen »FDEDC001« einer Arbeitsgruppe hinzu. Richtige Antwort: B Begründung Die Anwendung muss Daten vom globalen Katalog lesen. Diese Informationen sind auf globalen Katalogservern im Hauptstandort gespeichert. Das bedeutet, dass die Anwendung die globalen Katalogserver über die WAN-Verbindung ansprechen muss. Die Performance wird besser, wenn man einen globalen Katalogserver in - 376 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Standort2 konfiguriert. Dadurch kann die Anwendung über die schnelle LAN-Verbindung auf einen globalen Katalogserver zugreifen. Das stellt außerdem sicher, dass die Anwendung bei Ausfall der WAN-Verbindung fortgesetzt wird. Die Zwischenspeicherung der universellen Gruppenmitgliedschaft, die in Lösungsvorschlag A beschrieben wurde, hat keine Auswirkung auf die Anwendung, weil nur ein geringer Teil dieser Informationen davon im globalen Katalog gespeichert ist. Die in Antwortmöglichkeit C empfohlene Einstellung erlaubt Benutzern die Anmeldung an einer Domäne, falls der globale Katalogserver nicht zu erreichen ist. Das hätte keine Auswirkung auf die Anwendung. Wenn man »FDEDC001« aus der Domäne entfernt, kann die Anwendung keine Anfragen mehr an den globalen Katalog stellen. Somit ist der Lösungsweg D ebenfalls falsch. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zum globalen Katalog\Globale Kataloge und Standorte MS Training • 1. Auflage: Seiten 18f., 326f. • 2. Auflage: Seiten 18f., 332f. - 377 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 78 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Mehrere Windows 2000 Domänencontroller befinden sich in zwei Standorten mit den Bezeichnungen Veilsdorf und Riesa. Die Domäne enthält eine Organisationseinheit (OU) mit der Bezeichnung Buchhaltung. Sie müssen eine Antivirensoftware auf alle Rechner im Netzwerk verteilen, ohne dass Benutzer in diesen Vorgang eingreifen müssen. Zudem müssen Sie eine spezielle Buchhaltungsanwendung an die Benutzerkonten der Buchhaltung verteilen, ohne dass Benutzer in diesen Vorgang eingreifen müssen. Die Buchhaltungssoftware muss für die Benutzer der Buchhaltungsabteilung verfügbar sein, egal welchen Rechner sie benutzen. Zudem sollen Sie die Anzahl der Gruppenrichtlinienverknüpfungen minimieren. Name Gruppenrichtlinie Richtlinieneinstellung GPO1 Computerkonfiguration Zuweisen der Antivirensoftware GPO2 Benutzerkonfiguration Zuweisen der Antivirensoftware GPO3 Computerkonfiguration Zuweisen der Buchhaltungsanwendung GPO4 Benutzerkonfiguration Zuweisen der Buchhaltungsanwendung GPO5 Benutzerkonfiguration Veröffentlichen der Antivirensoftware GPO6 Benutzerkonfiguration Veröffentlichen der Buchhaltungsanwendung Wie müssen Sie die Gruppenrichtlinien verknüpfen? (Verschieben Sie das/die verwendete/n Anwendungsgruppenrichtlinie/n zur richtigen Domänenkomponente bzw. zu den richtigen Domänenkomponenten auf der Arbeitsfläche, um zu antworten.) - 378 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Richtige Antworten: A und D Begründung - 379 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Man muss die Antivirensoftware der Computerkonfiguration zuweisen und die Gruppenrichtlinie mit der Domäne verbinden. Das stellt sicher, dass die Antivirensoftware auf allen Rechner der Domäne beim nächsten Neustart installiert wird. Hingegen muss man die Buchhaltungsanwendung den Benutzern der Buchhaltung zuweisen. Der einfachste Weg ist das Verbinden der Gruppenrichtlinie mit der Organisationseinheit Buchhaltung. Diese enthält die entsprechenden Benutzerkonten. Trägt man die Installation der Buchhaltungsanwendung im Bereich der Benutzerkonfiguration ein, dann ist sichergestellt, dass die Benutzer der Buchhaltung die Buchhaltungsanwendung an jedem Rechner erhalten, an dem sie sich anmelden. Da auch hier als Bereitstellungsart „Zuweisen“ und nicht „Veröffentlichen“ gewählt wurde, installiert sich die Software ohne Zutun des Benutzers. Softwareinstallation Man kann die Softwareinstallationserweiterung der Gruppenrichtlinie dazu benutzen, um die Softwaredistribution in der Organisation zu zentralisieren. Die Software kann Benutzern und Gruppen veröffentlicht bzw. zugewiesen werden, indem man diese Erweiterung verwendet. Anwendungen zuweisen Wenn Programme Benutzern bzw. Computern zugewiesen werden, dann installiert sich die Anwendung automatisch bei der Anmeldung (bei benutzerbezogenen Anwendungen) oder beim Rechnerneustart (bei computerbezogenen Anwendungen). Beim Zuweisen von Anwendungen auf Benutzerebene wird standardmäßig die Anwendung bei der nächsten Benutzeranmeldung installiert. Bei der Veröffentlichung einer Anwendung erscheint das Anwendungs-Shortcut im Startmenü und die Registrierung wird mit Informationen der Anwendung aktualisiert, inklusive des Speicherortes des Anwendungspaketes sowie der Quelldatei für die Installation. Mit dieser Veröffentlichungsinformation auf dem Rechner des Benutzers wird die Anwendung installiert, wenn der Benutzer das erste Mal versucht sie zu starten. Wenn man Anwendungen Computern zuweist, dann wird die Anwendung beim nächsten Start des Rechners installiert. Anwendungen die Computern zugewiesen wurden werden nicht angekündigt, sondern mit den Standardeinsstellungen der Programmfeatures installiert. Wenn man Anwendungen via Gruppenrichtlinie zuweist, wird ein autorisiertes Windows Installer (.msi) Paket benötigt. Hilfe - 380 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Bereitstellen und Aktualisieren von Software\Allgemeine Verwaltungsaufgaben • Remoteverwaltung von Anwendungen\Allgemeine Verwaltungsaufgaben MS Training • 1. Auflage: Seiten 719f. • 2. Auflage: Seiten 737f. - 381 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 79 Sie sind der Netzwerkadministrator der EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit der Bezeichnung EISSNER-EDV.DE und einer einzelnen Windows NT 4.0-Domäne. Die Gesamtstrukturfunktionsebene ist Windows 2000. Die Active Directory-Domäne enthält mehrere Computerkonten und zwei Windows Server 2003 Domänencontroller. Zudem verwendet die Active Directory-Domäne Gruppenrichtlinien (GPO). Die Windows NT 4.0-Domäne enthält Benutzerkonten und verwendet Systemrichtlinien zur Konfiguration der Rechner. Sie wollen erreichen, dass Einstellungen, die mit den Systemrichtlinien konfiguriert werden, nicht weiterhin auf diese Rechner angewendet werden. Was müssen Sie tun? A { Sie erstellen eine neue Systemrichtlinie, die Benutzerkonfigurationseinstellungen enthalten, die die vorherige Systemrichtlinie umkehrt. Danach ersetzen Sie die alte Systemrichtlinie durch die neue. B { Sie erstellen eine Gruppenrichtlinie, die Benutzerkonfigurationseinstellungen enthält, die die vorherige Systemrichtlinie umkehrt. Sie wenden die neue Gruppenrichtlinie auf die Active Directory-Domäne an. C { Sie erhöhen die Funktionsebene der Active DirectoryDomäne auf Windows Server 2003 interim. D { Sie erhöhen die Funktionsebene der Active DirectoryGesamtstruktur auf Windows Server 2003. Richtige Antwort: A Begründung Im Gegensatz zu Gruppenrichtlinien von Windows 2000 oder höher, bleiben die Einstellungen der Windows NT 4.0-Systemrichtlinien auch nach ihrem Entfernen erhalten. Um die Einstellungen einer Systemrichtlinie zu entfernen, muss man eine neue Systemrichtlinie erstellen, die die Einstellungen der vorherigen Systemrichtlinie invertiert und somit außer Kraft setzt. In Antwort B wird die Verwendung von Gruppenrichtlinien vorgeschlagen. Diese haben aber keinerlei Einfluss auf die Systemrichtlinien einer Windows NT 4.0 Installation, da diese Funktion in Windows NT 4.0 noch nicht existiert hat. Die Änderung der Funktionsebene, wie in C und D - 382 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 vorgeschlagen, hat keinen Einfluss auf Rechner in einer Windows NT 4.0 Domäne Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 383 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 80 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Die Benutzerkonten der Verkaufsabteilung befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Verkauf. Sie müssen eine Anwendung an alle Benutzer der Verkaufsabteilung verteilen. Sie erstellen eine Gruppenrichtlinie (GPO) und verbinden diese mit der Organisationseinheit Verkauf. Sie speichern die .msi-Datei der Anwendung in einem freigegebenen Ordner im Netzwerk. Anschließend konfigurieren sie im Bereich Benutzerkonfiguration der Gruppenrichtlinie die Verteilung der Anwendung. Es ist sicherzustellen, dass die Anwendung nach der Anmeldung eines Benutzers an einem Clientrechner sofort betriebsbereit ist. Außerdem müssen Sie verhindern, dass Benutzer, deren Benutzerkonto in eine andere Organisationseinheit verschoben wird, die Anwendung weiterhin nutzen können. Was müssen Sie tun? - 384 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Zugewiesen. B Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt. C Anwendung bei Anmeldung installieren. D Einfach. E Veröffentlicht. F Paket in der Systemsteuerung unter „Software“ nicht anzeigen. G Maximum. Richtige Antworten: A, B, C und D Begründung - 385 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Man muss die Anwendung den Benutzern zuweisen und die Option Anwendung bei Anmeldung installieren auswählen, um sicher zu gehen, dass die Anwendung unverzüglich nach der nächsten Benutzeranmeldung betriebsbereit ist. Um zu verhindern, dass Benutzer, deren Benutzerkonto in eine andere Organisationseinheit verschoben wurde, die Anwendung weiter benutzen, muss man die Option Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt auswählen. Die Option Einfach stellt sicher, dass die Anwendung mit minimaler (oder keiner) Interaktion für den Benutzer installiert wird. Softwareinstallation Man kann die Softwareinstallationserweiterung der Gruppenrichtlinie dazu benutzen, um die Softwaredistribution in der Organisation zu zentralisieren. Sie ermöglicht es, Software für Benutzer und Gruppen zu veröffentlichen oder zuweisen. Anwendungen zuweisen - 386 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Wenn Anwendungen Benutzern bzw. Computern zugewiesen werden, dann installiert sich die Anwendung automatisch bei der Anmeldung (bei benutzerbezogenen Anwendungen) oder beim Rechnerneustart (bei computerbezogenen Anwendungen). Beim Zuweisen von Anwendungen auf Benutzerebene wird standardmäßig die Anwendung bei der nächsten Benutzeranmeldung installiert. Bei der Veröffentlichung einer Anwendung erscheint das Anwendungs-Shortcut im Start-Menü und die Registrierung wird mit Informationen der Anwendung aktualisiert, inklusive des Speicherortes des Anwendungspaketes sowie der Quelldatei für die Installation. Mit dieser Veröffentlichungsinformation auf dem Rechner des Benutzers, wird die Anwendung installiert, wenn der Benutzer das erste Mal versucht, sie zu starten. Wenn man Anwendungen Computern zuweist, dann wird die Anwendung beim nächsten Start des Rechners installiert. Anwendungen die Computern zugewiesen wurden werden nicht angekündigt, sondern mit den Standardeinsstellungen der Programmfeatures installiert. Wenn man Anwendungen via Gruppenrichtlinie zuweist, wird ein autorisiertes Windows Installer (.msi) Paket benötigt. Hilfe • Bereitstellen und Aktualisieren von Software\Allgemeine Verwaltungsaufgaben • Remoteverwaltung von Anwendungen\Allgemeine Verwaltungsaufgaben MS Training • 1. Auflage: Seiten 740f. • 2. Auflage: Seiten 758f. - 387 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 81 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Die Firma hat Büros in Veilsdorf, Riesa und Puchheim. Die Netzwerkverbindungen werden im folgenden Schaubild gezeigt: Das Netzwerk besteht aus zwei Active Directory-Domänen. Benutzerobjekte für Benutzer in Veilsdorf und Riesa werden in der Domäne EISSNER-EDV.DE gespeichert, Benutzerobjekte für die Benutzer in Puchheim in der Domäne PRODUKTION.EISSNER-EDV.DE. Active Directory ist wie folgt konfiguriert: Standort Anzahl der Benutzer Anzahl der Anzahl der Domänencontroller Katalogserver Veilsdorf 650 4 2 Riesa 15 1 0 Puchheim 500 3 2 Benutzer aus dem Büro Riesa berichten häufig, dass sie sich nicht an das Netzwerk anmelden können bzw. die Anmeldung sehr lange dauert. Sie stellen eine Erhöhung der Abfragen des globalen Katalogsservers in Veilsdorf während der Spitzenanmeldezeiten fest. Was müssen Sie tun? - 388 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie konfigurieren den Domänencontroller in Riesa als einen globalen Katalogserver. B { Sie konfigurieren Active Directory so, dass die Zwischenspeicherung der universellen Gruppenmitgliedschaft für das Büro in Veilsdorf aktiviert wird. C { Sie installieren einen zusätzlichen Domänencontroller im Büro in Riesa. D { Sie konfigurieren Active Directory so, dass die Zwischenspeicherung der universellen Gruppenmitgliedschaft für das Büro Riesa aktiviert wird. Richtige Antwort: D Begründung Es dauert sehr lange, sich an das Netzwerk in Riesa anzumelden. Der Domänencontroller in Riesa muss den globalen Katalogserver in Veilsdorf über eine langsame WAN-Verbindung abfragen, um bei der Anmeldung eines Benutzers, Informationen über die universelle Gruppenmitgliedschaft zu erhalten. Deshalb ist die Einrichtung der Zwischenspeicherung der universellen Gruppenmitgliedschaft im Standort Riesa die beste Antwort. Lösung B schlägt dieselbe Aktion in Veilsdorf vor. Damit wäre allerdings keine Wirkung zu erzielen, da die Performanceprobleme im Büro Riesa auftreten. Antwortmöglichkeit A wäre auch eine akzeptable Lösung, würde aber zu zusätzlichem Replikationsverkehr führen. Der Einsatz eines weiteren Domänencontrollers in Riesa hingegen würde keine Verbesserung bringen, da nur ein globaler Katalogserver bzw. die Zwischenspeicherung der universellen Gruppenmitgliedschaft eine Verbesserung der Anmeldegeschwindigkeit bei WAN-Verbindungen bewirken kann. Globaler Katalogserver Ein globaler Katalogserver ist ein Domänencontroller, der Informationen über alle Objekte der Gesamtstruktur, nicht aber deren Attribute speichert. Dadurch können Anwendungen die Active Directory durchsuchen, ohne sich auf einen speziellen Domänencontroller zu beziehen, der die benötigten Daten enthält. Wie alle Domänencontroller speichert ein globaler Katalogserver sowohl vollständige Kopien des Schemas als auch die Konfiguration von Directory Partitionen. Zwischenspeicherung der universellen Gruppenmitgliedschaft Die Zwischenspeicherung der universellen Gruppenmitgliedschaft erlaubt dem Domänencontroller Informationen über die universelle Gruppenmitgliedschaft für Benutzer zwischenzuspeichern. Man kann auf Domänencontrollern, die unter Windows Server 2003 laufen, die - 389 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Zwischenspeicherung der universellen Gruppenmitgliedschaft aktivieren, indem man das Active Directory Standorte und -Dienste Snap-Iin verwendet. Durch die Aktivierung der Zwischenspeicherung der universellen Gruppenmitgliedschaft benötigt man keinen globalen Katalogserver mehr, wodurch die Auslastung der Netzwerkbandweite reduziert wird, da ein Domänencontroller nicht mehr alle Objekte der Gesamtstruktur replizieren muss. Außerdem werden die Anmeldezeiten reduziert, da der authentifizierende Domänencontroller nicht immer auf einen globalen Katalog zugreifen muss, um Informationen über die universelle Gruppenmitgliedschaft zu erhalten. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zum globalen Katalog\Globale Kataloge und Standorte MS Training • 1. Auflage: Seiten 331, 366 • 2. Auflage: Seiten 337, 373 - 390 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 82 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne. Das Netzwerk enthält zehn Server, auf denen Windows Server 2003 und 500 Clientrechner auf denen Windows XP Professional läuft. Sie erstellen eine Gruppenrichtlinie (GPO), die das Startmenü für die Benutzer zu einem freigegebenen Ordner auf einem Dateiserver umleitet. Einige Benutzer berichten, dass viele Programme, die sich normalerweise im Startmenü befinden, fehlen. Sie melden sich an einem Clientrechner mit der Bezeichnung »FDECLI01« an. Alle erforderlichen Programme erscheinen im Startmenü. Die Benutzer können sich mit dem freigegebenen Ordner verbinden. Sie vermuten, dass die Änderung der Gruppenrichtlinie an einigen Clients nicht übernommen wurde. Sie müssen herausfinden warum einige Startmenüeinträge für einige Benutzer nicht erscheinen. Was müssen Sie tun? A { Sie führen auf dem Dateiserver, der den freigegebenen Ordner enthält, den Befehl gpresult aus. B { Sie führen auf einem der betreffenden Clients den Befehl gpresult aus. C { Sie führen auf einem der betreffenden Clients den Befehl gpupdate aus. D { Sie führen auf einem der betreffenden Clients den Befehl secedit aus. Richtige Antwort: B Begründung Da auf einem Rechner sich überlappende Ebenen von Richtlinien angewendet werden können, generiert das Gruppenrichtlinienfeature bei der Anmeldung einen Gruppenrichtlinienergebnissatz. Der Befehl gpresult zeigt den Inhalt des Gruppenrichtlinienergebnissatzes an, der die Summe der einzelnen Richtlinien eines speziellen Benutzers enthält. Lösungsweg A schlägt die Verwendung des Befehls gpresult auf dem Dateiserver vor. Das liefert ein falsches Resultat, da der Befehl auf dem Rechner ausgeführt werden muss, an dem das Problem auftritt. Der Befehl gpupdate aktualisiert die Gruppenrichtlinien, die auf den Rechner oder Benutzer angewendet wurden. Man muss aber den Befehl gpresult verwenden, um die Ergebnisse für alle Richtlinien, die auf den Rechner - 391 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 angewendet wurden, zu ermitteln. Damit wäre Antwort C nur bedingt richtig, da dieser Befehl für die Beseitigung des Problems angewendet werden kann. Aus der Aufgabenstellung lässt sich aber schließen, dass eine Analyse gewünscht wird. Der Befehl secedit ist ab Windows Server 2003 nicht mehr für die Aktualisierung der Gruppenrichtlinien verwendbar, da secedit /refreshpolicy durch gpupdate ersetzt wurde. Ansonsten trifft auf Lösungsvorschlag D dasselbe zu, wie auf Antwort C. Hilfe • Programme zum Verwalten von Gruppenrichtlinien\Befehlszeilenreferenz MS Training • 1. Auflage: Seiten 661f. • 2. Auflage: Seiten 678f. - 392 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 83 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. MVS hat ein Haupt- und vier Zweigbüros. Jedes Zweigbüro ist über eine WAN-Verbindung mit dem Hauptbüro verbunden. Sie konfigurieren einen Active Directory-Standort für jedes Büro. Die Standorte und WANVerbindungen werden im folgenden Schaubild dargestellt: Sie müssen Standortverknüpfungen erstellen, um den Replikationsverkehr über die WAN-Verbindungen zu minimieren. Welche Standortverbindung/en müssen Sie erstellen? (Verschieben Sie die verwendete/n Standortverbindung/en zur richtigen Position auf der Arbeitsfläche, um zu antworten.) - 393 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Richtige Antwort: Begründung Die WAN-Verbindungen bestehen jeweils zwischen dem Hauptbüro in Standort0 und dem jeweiligen Zweigbüro in den Standorten 1-4. Dementsprechend müssen auch die Standortverknüpfungen aufgebaut werden, damit eine ordnungsgemäße Standortreplikation stattfindet. Es muss von Standort0 je eine Standortverknüpfung zu den Standorten 1-4 eingerichtet werden. Hilfe - 394 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Active Directory\So wird es gemacht\Verwalten von Standorten\Konfigurieren einer Replikation zwischen Standorten MS Training • 1. Auflage: Seiten 286f. • 2. Auflage: Seiten 292f. - 395 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 84 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domäne beinhaltet drei Standorte mit den Bezeichnungen Standort 1, Standort 2 und Standort 3. Die Standortverknüpfungen zwischen den Standorten sind so konfiguriert, dass Standort 1 mit Standort 3 über Standort 2 verbunden ist. Die Konfiguration der Standortverknüpfungen wird in der folgenden Tabelle gezeigt: Standortverknüpfung Replikationsplan Replikationsintervall Kosten Standort 1 – Standort 2 01:00 – 06:00 Uhr 60 Minuten 200 Standort 2 – Standort 3 20:00 – 01:00 Uhr 30 Minuten 500 Alle Benutzer- und Gruppenkonten werden von den Netzwerkadministratoren in Standort 1 verwaltet. Benutzer von Standort 3 berichten, dass es länger als einen Tag dauert, bis Änderungen in der Active Directory-Datenbank von Standort 1 auf dem Domänencontroller von Standort 3 angezeigt werden. Sie sollen sicherstellen, dass Änderungen in der Active Directory-Datenbank von Standort 1 zwischen 08:00 und 18:00 Uhr am nächsten Tag um 08:00 Uhr in Standort 3 sichtbar sind. Was müssen Sie tun? A { Sie modifizieren das Replikationsintervall für die Standortverbindung zwischen Standort 1 und Standort 2 auf 30 Minuten. B { Sie modifizieren den Replikationszeitplan für die Standortverbindung zwischen Standort 2 und Standort 3 so, dass zwischen 18:00 und 01:00 Uhr repliziert wird. C { Sie modifizieren die Standortverbindungskosten zwischen Standort 2 und Standort 3 auf 200. D { Sie modifizieren den Replikationszeitplan für die Standortverbindungen zwischen Standort 1 und Standort 2 so, dass zwischen 19:00 und 02:30 Uhr repliziert wird. Richtige Antwort: D Begründung Beispiel: Ein Administrator nimmt montagmorgens 10:00 Uhr in Standort1 Änderungen an der Active Directory vor. Die Information wird zu - 396 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Standort2 zwischen 01:00 und 06:00 Uhr dienstagmorgens repliziert. Dann wird die Information zu Standort3 zwischen 20:00 Uhr und 01:00 Uhr dienstagabends repliziert. Benutzer in Standort3 sehen die Änderungen, wenn sie mit der Arbeit am Mittwochmorgen beginnen. Wenn man den Replikationszeitplan für die Standortverbindung von Standort1 und Standort2 so ändert, dass zwischen 19:00 und 02:30 Uhr repliziert wird, dann sieht das Beispiel wie folgt aus: Ein Administrator nimmt montagmorgens 10:00 Uhr in Standort1 Änderungen an der Active Directory vor. Die Information wird zu Standort2 zwischen 19:00 und 02:30 Uhr montagabends repliziert. Dann wird die Information zu Standort3 zwischen 20:00 Uhr und 01:00 Uhr montagabends repliziert. Benutzer in Standort3 sehen die Änderungen wenn sie mit der Arbeit am Dienstagmorgen beginnen. Antworten A und C haben nichts mit dem Replikationszeitpunkt zu tun. Die Replikationszeiten der beiden Standortverknüpfungen müssen sich aber überschneiden, damit die Forderung aus der Aufgabenstellung erfüllt wird. Deshalb ist auch Lösungsvorschlag B falsch. Hilfe • Häufige administrative Aufgaben\Verwalten der Verzeichnisreplikation MS Training • 1. Auflage: Seiten 289, 312f. • 2. Auflage: Seiten 295, 318f. - 397 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 85 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur mit einer Domäne. Die Firma unterhält ein Hauptbüro und ein Zweigbüro in Veilsdorf. Außerdem existieren weitere Zweigbüros in Puchheim, Riesa und Erfurt. Die Administratoren des Hauptbüros sind für das Verwalten aller Objekte der Domäne verantwortlich. Die Administratoren der Zweigbüros verwalten nur die Benutzer- und Computerkonten der Angestellten in ihrem jeweiligen Büro. Im Zweigbüro Veilsdorf sind die Administratoren zusätzlich für die Benutzer- und Computerkonten der Angestellten des Hauptbüros verantwortlich. Diese Benutzer sollen als eine Einheit verwaltet werden. Sie legen fest, dass die Administratoren nur Änderungen an den Objekten vorzunehmen dürfen, für die sie auch verantwortlich sind. Sie müssen einen Strukturplan für den Einsatz von Organisationseinheiten erstellen, der die Delegierung der benötigten Berechtigungen erlaubt. Dieses Ziel soll mit einem Minimum an administrativem Aufwand erreicht werden. Welche Struktur für den Einsatz der Organisationseinheiten müssen Sie wählen? - 398 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { B { C { - 399 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 D { Richtige Antwort: A Begründung Die Administratoren in jedem Zweigbüro sind für das Verwalten von Benutzer- und Computerkonten in ihrem jeweiligen Büro verantwortlich. Eine separate Organisationseinheit für jedes Büro erfüllt die Zielvorgabe. Die Administratoren im Zweigbüro Veilsdorf sind zusätzlich noch für die Benutzer- und Computerkonten der Angestellten im Hauptbüro verantwortlich. Verschiebt man die Benutzer- und Computerkonten des Zweigbüros in die entsprechende Organisationseinheit im Hauptbüro Veilsdorf und delegiert den Administratoren des Zweigbüros Veilsdorf das Verwaltungsrecht für diese Organisationseinheit, ist das Problem am effektivsten gelöst (siehe Abbildung A). Die Administratoren des Hauptbüros sind für das Verwalten aller Objekte in der Domäne verantwortlich. Sie erhalten die Berechtigungen auf Domänenebene, die an die Organisationseinheiten weiter vererbt werden. Das Einrichten einer separaten Organisationseinheit für das Hauptbüro ist somit nicht notwendig (Abbildung B). Der Lösungsweg C wird der Aufgabenstellung nicht gerecht, da ja die Administratoren der Zweigbüros nur ihre eigenen Konten verwalten sollen. In Abbildung D fehlt eine Organisationseinheit für den Standort Veilsdorf. Hilfe • Active Directory\Konzepte\Verwalten von Active Directory\Delegieren der Verwaltung MS Training • 1. Auflage: Seiten 377f. • 2. Auflage: Seiten 385f. - 400 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 86 Sie sind Netzwerkadministrator der MVS M. Völk Systems. Die Firma hat eine Partnergesellschaft mit dem Namen EDV-Beratung Eissner. Das Firmennetzwerk von MVS besteht aus einer einzelnen Active DirectoryGesamtstruktur. Die Gesamtstruktur enthält eine Domäne mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Das Firmennetzwerk der EDV-Beratung Eißner besteht aus einer Windows NT 4.0-Domäne mit der Bezeichnung EISSNER-EDV.DE. Ein Dateiserver mit der Bezeichnung »MVSDC001« ist Mitglied der Domäne MVSNET.DE. Alle Benutzer beider Domänen müssen täglich Dateien auf »MVSDC001« speichern. Sie müssen den Benutzern der Domäne EISSNER-EDV.DE den Zugriff auf die Dateien von »MVSDC001« gewähren. Sie müssen sicherstellen, dass die Domänenadministratoren der Domäne EISSNER-EDV.DE den Benutzern der Domäne MVSNET.DE keine Berechtigungen auf Server der Domäne EISSNER-EDV.DE geben können. Was müssen Sie tun? A { Sie führen ein Upgrade der Domäne EISSNER-EDV.DE auf Windows Server 2003 durch und machen diese Domäne zur Stammdomäne eines zweiten Zweiges in der existierenden Gesamtstruktur. B { Sie führen ein Upgrade der Domäne EISSNER-EDV.DE auf Windows Server 2003 durch und machen diese Domäne zur Stammdomäne einer neuen Gesamtstruktur. Sie erstellen eine Zweiwegvertrauensstellung. C { Sie erstellen eine externe Einwegvertrauensstellung, in der die Domäne MVSNET.DE der Domäne EISSNEREDV.DE vertraut. D { Sie erstellen eine externe Einwegvertrauensstellung, in der die Domäne EISSNER-EDV.DE der Domäne MVSNET.DE vertraut. Richtige Antwort: C Begründung Die Benutzer der Domäne EISSNER-EDV.DE benötigen Zugriff auf Ressourcen von »MVSDC001« (in der Domäne MVSNET.DE). Die Benutzer der Domäne MVSNET.DE hingegen benötigen keinen Zugriff auf Ressourcen in der Domäne EISSNER-EDV.DE. Deshalb benötigt man eine - 401 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 externe Einwegvertrauensstellung, in der die Domäne MVSNET.DE der Domäne EISSNER-EDV.DE vertraut, wie in Lösung C beschrieben. In Antwortmöglichkeit A soll die Domäne EISSNER-EDV.DE in die Gesamtstruktur von MVS integriert werden. Wegen der damit verbundenen transitiven Vertrauensstellung zwischen den Domänen wäre die Aufgabenstellung nicht erfüllt. Diese Lösung würde den Benutzern der Domäne MVSNET.DE den Zugriff auf Ressourcen der Domäne EISSNEREDV.DE ermöglichen. Außerdem erfordert das Upgrade auf Windows Server 2003 einen nicht unerheblichen Kosten- und Zeitaufwand. Diese Argumente treffen auch auf Lösungsvorschlag B zu. Antwort D ähnelt zwar der Lösung C, nur ist hier die Richtung der Vertrauensstellung falsch. Hilfe • Active Directory\So wird es gemacht\Verwalten von Vertrauensstellungen\Erstellen einer externen Vertrauensstellung • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Vertrauensstellungen\ MS Training • 1. Auflage: Seite 242 • 2. Auflage: Seite 248 - 402 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 87 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die Firma hat ein Hauptbüro in Veilsdorf und Zweigbüros in Puchheim und Riesa. Im Hauptbüro befinden sich die Verkaufsabteilung und die Marketingabteilung. Der Bereich ITMaster der Firma ist für die ganze Domäne verantwortlich. Jedes Büro hat eine IT-Abteilung, die für die Administration der Benutzerkonten verantwortlich ist. Zusätzlich hat der Bereich IT-Master des Hauptbüros einen Administrator für das Verwalten der Verkaufsabteilung und einen Administrator für das Verwalten der Marketingabteilung. Sie müssen eine Organisationseinheitenstruktur planen. Dabei sollen Administratoren nur Verwaltungszugriff auf Objekte erhalten, für die sie auch verantwortlich sind. Außerdem muss der Plan sicherstellen, dass Berechtigungen mit minimalem administrativem Aufwand eingerichtet werden können. Welche Organisationseinheitenstruktur müssen Sie wählen? - 403 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { B { C { - 404 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 D { Richtige Antwort: A Begründung Der Bereich IT-Master der Firma ist verantwortlich für die Administration der gesamten Domäne. Sie können Berechtigungen auf Domänenebene einstellen. Diese Berechtigungen werden auf alle Organisationseinheiten in der Domäne angewendet. Jedes Büro hat eine IT-Abteilung, die für die Administration der eigenen Benutzerkonten verantwortlich ist. Eine separate Organisationseinheit für jedes Büro gestattet die notwendige Zuweisung der Berechtigungen. Der Bereich IT-Master des Hauptbüros hat je einen Administrator für das Verwalten der Verkaufsabteilung und der Marketingabteilung. Untergeordnete Organisationseinheiten der Organisationseinheit Veilsdorf im Hauptbüro erben die Berechtigungen der übergeordneten Organisationseinheit. Außerdem kann die Berechtigung für die Verwaltung der Verkaufsabteilung und der Marketingabteilung an die jeweiligen Administratoren delegiert werden. Lösungsvorschläge B und C sind falsch, da entweder Organisationseinheiten für die Verkaufs- und Marketingabteilung fehlen, oder eine Organisationseinheit für den Standort Veilsdorf vergessen wurde. Antwortmöglichkeit D kommt der Aufgabenstellung schon sehr nah, aber es ist taktisch unklug, die Zweigbüros den Hauptbüro unterzuordnen. Hilfe - 405 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Active Directory\Konzepte\Verwalten von Active Directory\Delegieren der Verwaltung MS Training • 1. Auflage: Seiten 377f. • 2. Auflage: Seiten 385f. - 406 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 88 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne. Auf allen Servern läuft Windows Server 2003. Sie erstellen eine Gruppenrichtlinie (GPO), um eine Grafikanwendung mittels einer .msi Datei zu veröffentlichen. Die neue Grafikanwendung soll die alte Software ersetzen. Die derzeitigen Benutzer können die alte Anwendung weiterhin benutzen oder mit der neuen Anwendung arbeiten, wann immer sie wollen. Um Inkompatibilitäten zu vermeiden, dürfen nicht beide Versionen zur gleichen Zeit installiert sein. Sie müssen die Benutzerkonten so konfigurieren, dass die Benutzer bei Bedarf zu der neuen Anwendung wechseln können. Was müssen Sie tun? A { Sie erstellen eine neue Gruppenrichtlinie, um die neue Anwendung zu veröffentlichen. Danach konfigurieren Sie die neue Gruppenrichtlinie so, dass sie eine höhere Priorität hat, als die Gruppenrichtlinie für die alte Anwendung. B { Sie erstellen eine neue Gruppenrichtlinie, um die neue Anwendung zuzuweisen. Danach deaktivieren Sie die Gruppenrichtlinie, die die alte Anwendung installiert. C { Sie erstellen eine neue Gruppenrichtlinie, um die neue Anwendung zu veröffentlichen. Sie konfigurieren die Gruppenrichtlinie so, dass die existierende Anwendung aktualisiert und durch die neue Anwendung ersetzt wird. Sie legen dies jedoch nicht als Bedingung fest. D { Sie kopieren die .msi-Datei für die neue Anwendung in den gleichen Ordner, in der sich die .msi-Datei der alten Anwendung befindet. Richtige Antwort: C Begründung Man muss die Anwendung veröffentlichen, nicht zuweisen. Wenn man sie zuweist, dann würde die neue Anwendung bei der nächsten Anmeldung des Benutzers bzw. beim Neustart des Rechners installiert werden, je nachdem, ob man die Benutzer- oder Computerkonfiguration für die Softwareverteilung verwendet. Den Benutzern soll jedoch ermöglicht werden, die alte Anwendung weiterhin zu verwenden. - 407 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Das Veröffentlichen der Anwendung stellt die Benutzer vor die Wahl: Sie können die neue Software installieren, wann immer sie wollen, indem sie in der Softwarekonsole „Neue Programme hinzufügen“ verwenden. Um zu verhindern, dass beide Versionen zur gleichen Zeit laufen, kann man die veröffentlichte Anwendung so konfigurieren, dass die alte Version ersetzt wird. Antwort A ist, so wie in der Formulierung dargestellt wurde, nicht zu realisieren. Das Zuweisen der Anwendung aus Lösungsvorschlag B würde wie oben beschrieben, zu eine Installation bei Neuanmeldung bzw. Neustart des Rechners führen und somit dem Benutzer keine Wahl lassen, ob er die alte oder die neue Anwendung verwenden möchte. Antwort D schlägt das Kopieren der .msi-Datei der neuen Anwendung in den Softwareverteilungspunkt vor. Dort liegt die Datei zwar gut, bringt aber nur einen Nutzen, wenn eine Gruppenrichtlinie zur Verteilung dieser Software erstellt wird. Das ist bei D aber nicht der Fall. Hilfe • Häufige Administrative Aufgaben\Bereitstellen und Aktualisieren von Software MS Training • 1. Auflage: Seiten 721f., 730f. • 2. Auflage: Seiten 739f., 748f. - 408 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 89 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Sie sind für Verteilung und Konfiguration von Anwendungen unter Verwendung von Gruppenrichtlinien (GPO) verantwortlich. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf jedem Server läuft Windows Server 2003. Alle Benutzerkonten befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Konten. Die Clientrechnern verwenden als Betriebssystem Windows XP Professional und befinden sich in einer Organisationseinheit mit der Bezeichnung Workstations. Alle Manager der Firma müssen eine Managementsoftware verwenden. Die Anwendung wird als Link via E-Mail an die Personen versendet, die sie benötigen. Die Manager benötigen diese Anwendung unabhängig vom jeweiligen Rechner, an dem sie arbeiten. Ein aktuelles Softwareupdate für diese Anwendung ist eingetroffen. Sie müssen das Update auf jedem Rechner einsetzen, auf dem die Anwendung bereits installiert ist. Was müssen Sie tun? A { Sie konfigurieren eine Gruppenrichtlinie so, dass das Softwareupdate unter Verwendung der WMI-Filterung installiert wird. Sie verbinden die Gruppenrichtlinie mit der Organisationseinheit Konten. B { Sie konfigurieren eine Gruppenrichtlinie so, dass das Softwareupdate installiert wird. Sie verbinden die Gruppenrichtlinie mit der Organisationseinheit Workstations. C { Sie erstellen eine .zap-Datei für das Softwareupdate und konfigurieren eine Gruppenrichtlinie, um die .zap-Datei zu installieren. Sie verbinden die Gruppenrichtlinie mit der Organisationseinheit Konten. D { Sie konfigurieren eine Gruppenrichtlinie so, dass Automatische Updates aktiviert sind und das Softwareupdate installiert wird. Sie verbinden die Gruppenrichtlinie mit der Organisationseinheit Workstations. Richtige Antwort: B Begründung Die Aufgabenstellung fordert, dass die Anwendung, und damit natürlich auch das Update, auf allen Clientcomputern zu Verfügung stehen sollen. Deshalb ist die Gruppenrichtlinie mit der Organisationseinheit - 409 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Workstations zu verbinden. Damit kommen die Lösungmöglichkeiten B und D in die engere Wahl. Da es aber die Option Automatische Updates in dieser Gruppenrichtlinie nicht gibt, ist Lösung B die richtige Wahl. Die WMI-Filterung aus Antwort A ist in diesem Fall nicht erforderlich, da alle relevanten Rechner in einer Organisationseinheit enthalten sind. Allerdings ist die Gruppenrichtlinie hier mit der falschen Organisationseinheit verbunden. Die Verwendung einer .zap-Datei ist nur in Ausnahmefällen erforderlich. Sinnvoller ist stets die Softwareverteilung mittels einer .msiDatei, da die Anwendung als gepacktes Paket vorliegt und die Funktionen des Windows Installer voll genutzt werden. Eine .zap-Datei hingegen ist eher als eine Skriptdatei zu verstehen, die Anweisungen des Setupprogrammes der zu verteilenden Anwendung verwendet. Hilfe • Häufige administrative Aufgaben\Bereitstellen und Aktualisieren von Software MS Training • 1. Auflage: Seiten 738f., 754f. • 2. Auflage: Seiten 756f., 772f. - 410 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 90 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Alle Clientrechner arbeiten mit Windows XP Professional. Angestellte verwenden Software auf ihren Clientrechnern und außerdem die Remotedesktopverbindung, um sich mit einem Terminalserver mit der Bezeichnung »MVSTK001« zu verbinden. Alle Benutzer von MVS haben Benutzerkonten, die sich in einer Organisationseinheit mit der Bezeichnung Firmenbenutzer befinden. Sie bekommen Anwendungen über eine Gruppenrichtlinie (GPO) zugewiesen, die mit der Organisationseinheit Firmenbenutzer verbunden ist. Die Gruppenrichtlinie verwendet Sicherheitsfilterung, um festzulegen, welche Sicherheitsgruppe welche Anwendung erhält. Benutzer berichten, dass, wenn sie auf »MVSTK001« zugreifen, ihre zugewiesenen Anwendungen nicht verfügbar sind. Sie müssen das Netzwerk so konfigurieren, dass alle Anwendungen für die Benutzer verfügbar sind, wenn sie sich mit »MVSTK001« verbinden. Außerdem ist sicherzustellen, dass die Benutzer keine Anwendung ausführen können, die momentan nicht auf sie zugewiesen ist. Was müssen Sie tun? A { Sie ändern die Gruppenrichtlinie, die die Softwareinstallationspakete enthält, so, dass diese an die Benutzer veröffentlicht werden. B { Sie ändern die Gruppenrichtlinie, die die Softwareinstallationspakete enthält, so, dass zugewiesene Softwareinstallationspakete automatische bei der Anmeldung installiert werden. C { Sie installieren jegliche benötigte Software auf »MVSTK001«. Danach verwenden Sie NTFSBerechtigungen, um festzulegen, welche Sicherheitsgruppe Zugriff auf welche Anwendungen hat. D { Sie verbinden die Gruppenrichtlinie, die die Softwareinstallationspakete enthält, mit der Domäne, nicht mit der Organisationseinheit. Richtige Antwort: C Begründung Wenn eine Anwendung einem Benutzer zugewiesen wird, dann ist diese nicht verfügbar, wenn man sich mit einem Terminalserver, unter Verwendung der Remotedesktopverbindung, verbindet. Der einzige Weg, - 411 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 die Anwendung auf dem Terminalserver verfügbar zu machen, ist die manuelle Installation der Anwendung auf dem Server. Über NTFSBerechtigungen kann man sicherstellen, dass nur berechtigte Benutzer die Anwendung verwenden können. Es spielt also auch keine Rolle, ob die Anwendung zugewiesen oder veröffentlicht wird, wenn die Bereitstellung über die Benutzerkonfiguration erfolgt. Deshalb ist Antwort A falsch. Ähnliches trifft auf Lösungsvorschlag B zu, da auch hier die Art der Bereitstellung der Software modifiziert wird, dies aber keinen Einfluss auf das Verhalten eines Terminalservers hat. Auch das Verschieben der Gruppenrichtlinie von der Organisationseinheit zur Domäne kann dieses Problem nicht beheben, sodass Lösungsvariante D erfolglos bleibt. Hilfe • Softwarebereitstellung\Terminaldienste\Terminalserver\Empfehlunge n MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 412 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 91 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eissner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Sie sind für die Konfiguration der Active Directory-Sicherheit zuständig. Alle Gruppen der Domäne befinden sich in einer Organisationseinheit (OU) mit Bezeichnung Gruppen. Es sollen Ressourcengruppen verwendet werden, um Benutzern, die Mitglieder in Kontengruppen sind, Berechtigungen zuzuweisen. Die Abteilung Ressourcen soll nur die Mitgliedschaften der Kontengruppen verwalten können. Der Abteilung Serversupport muss es möglich sein, nur die Mitgliedschaften der Ressourcengruppen zu verwalten. Die Gruppe der Domänenadmins soll alle Gruppen verwalten können. Sie müssen die Organisationseinheitenstruktur so konfigurieren, dass die entsprechenden Berechtigungen zur Verfügung stehen. Außerdem wollen Sie das Ergebnis mit einem Minimum an administrativem Aufwand erreichen. Was müssen Sie tun? (Verschieben Sie die entsprechende/n Organisationseinheit/en zu derden richtigen Stelle/n im Arbeitsbereich.) Richtige Antwort: - 413 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Es ist sinnvoll, zwei Organisationseinheiten auf gleicher Ebene zu erstellen, die der Organisationseinheit Gruppen untergeordnet sind. Dadurch kann man den Abteilungen die benötigten Berechtigungen zuweisen. Wenn sich die Organisationseinheiten auf der gleichen Ebene befinden, bedeutet dies, dass jede Abteilung keine Kontrolle über die andere Organisationseinheit hat. Die Abteilung Ressourcen muss die Möglichkeit haben, nur die Mitgliedschaften der Kontengruppen zu verwalten. Eine Organisationseinheit für die Kontengruppen ermöglicht die Vergabe von Berechtigungen für die Abteilung Ressourcen. Der Abteilung Server-Support soll nur die Mitgliedschaften der Ressourcegruppen verwalten dürfen. Eine Organisationseinheit für die Ressourcengruppe schafft für die Abteilung Server-Support die Voraussetzung, die entsprechenden Berechtigungen zu vergeben. Die Gruppe der Domänen-Admins muss alle Gruppen verwalten können. Für jede neu erstellte Organisationseinheit erhält die Gruppe der Domänen-Admins standardmäßig alle Berechtigungen zugewiesen und kann damit in allen Organisationseinheiten Verwaltungsaufgaben tätigen. Hilfe - 414 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Sicherheit\Zugriffssteuerung\Konzepte\Verwenden der Zugriffssteuerung\Active Directory Objektberechtigungen; und darauffolgende Einträge MS Training • 1. Auflage: Seiten 377f., 597f. • 2. Auflage: Seiten 385f., 612f. - 415 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 92 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die firmeninterne Administrationsrichtlinie verlangt, dass den Supportangestellten das Zurücksetzen des Passwortes möglich sein muss. Die Supportangestellten müssen die Passwörter aller Benutzerkonten, ausgenommen der Mitglieder der globalen Gruppe Einkäufer, zurücksetzen können. Die Supportangestellten dürfen jedoch keine weiteren administrativen Rechte in der Domäne haben. Alle Mitglieder der Gruppe der Domänenadmins befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung AdminsOU. Alle Mitglieder der Gruppe Einkäufer befinden sich einer Organisationseinheit mit der Bezeichnung EinkaufOU. Alle anderen Benutzerkonten befinden sich in einer Organisationseinheit mit der Bezeichnung AngestellteOU. Der relevante Teil des Organisationseinheitendesigns der Domäne wird im folgenden Schaubild gezeigt: Sie müssen die Berechtigungen für die Supportangestellten entsprechend der Administrationsrichtlinien konfigurieren. Was müssen Sie tun? - 416 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie weisen der globalen Gruppe Support das Recht zum Zurücksetzen von Passwörtern in der Organisationseinheit AngestellteOU zu. B { Sie weisen der globalen Gruppe Support das Recht zum Verwalten von Benutzerkonten in der Organisationseinheit AllUsersOU zu. Danach blocken Sie die Vererbung von Berechtigungen für die Organisationseinheiten AdminsOU und EinkaufOU. C { Sie weisen der globalen Gruppe Support das Recht zum Zurücksetzen von Passwörtern in der Organisationseinheit AllUsersOU zu. D { Sie weisen der globalen Gruppe Support das Recht zum Verwalten von Benutzerkonten auf Domänenebene zu. Danach nehmen Sie den Supportangestellten das Recht, Passwörter in den Organisationseinheiten AdminsOU und EinkaufOU zurückzusetzen. Richtige Antwort: A Begründung Die Benutzerkonten, deren Passwörter die Gruppe Support (Supportangestellte) zurücksetzen soll, befinden sich in der Organisationseinheit AngestellteOU. Man muss einfach der Organisationseinheit AngestellteOU die Berechtigung Passwörter zurücksetzen für diese Gruppe geben. Antwort B würde der Gruppe Support zuviel Rechte innerhalb der Organisationseinheiten AllUsersOU und AngestellteOU einräumen. Sie soll nur die Berechtigung zum Rücksetzen der Passwörter erhalten. Wird der Gruppe Support diese Berechtung innerhalb der Organisationseinheit AllUsersOU erteilt, wie in C vorgeschlagen, betrifft das dann auch die Organisationseinheiten AdminsOU und EinkaufOU, da diese der AllUsersOU untergeordnet sind. Die Aufgabenstellung wird nicht erfüllt. Auch Lösungsvorschlag D stattet die Gruppe Support wieder mit zu vielen Rechten aus. Berechtigungen auf Domänenebene sollten auch stets den Administratoren vorbehalten bleiben. Insgesamt gesehen ist die Formulierung der Aufgabe etwas unklar, da die globale Gruppe Support erst in den Antwortmöglichkeiten auftaucht. Hier kann man nur auf Verdacht die Supportangestellten dieser Gruppe zuordnen, wobei Mr. Spock behaupten würde: „Das ist logisch“. Hilfe - 417 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Active Directory\Konzepte\Grundlegendes zu Active Directory\Organisationseinheiten MS Training • 1. Auflage: Seiten 377f., 597f. • 2. Auflage: Seiten 385f., 612f. - 418 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 93 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Es existieren zwei Standorte in Puchheim und in Kronach. Die Firma installiert eine Active Directory-Gesamtstruktur, die eine einzelne Domäne enthält. Die Organisationsstruktur der Firma beinhaltet zwei Hauptabteilungen, mit den Bezeichnungen Operatoren und Support. Die lokalen IT-Angestellten eines jeden Standortes sind jeweils für den Benutzersupport ihres eigenen Standortes verantwortlich, unabhängig davon, in welcher Abteilung sich die Benutzer befinden. Der Forschungs- und Entwicklungsabteilung (F&E) hat ihren eigenen IT-Support-Angestellten. Die F&E-Abteilung führt die Supportaufgaben unabhängig vom Standort aus. Sie müssen eine Organisationseinheitenstruktur planen, die die Übertragung von administrativen Verwaltungsrechten erleichtert. Welche Top-Level-Organisationseinheit/en sollten Sie erstellen? (Verschieben Sie die verwendete/n Top-Level-Organisationseinheit/en zu dem/den korrekten Standort/en im Arbeitsbereich, um zu antworten.) Richtige Antwort: - 419 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Die lokalen IT-Angestellten sind jeweils für den Benutzersupport ihres eigenen Standortes verantwortlich, ungeachtet dessen, in welcher Abteilung sich der Benutzer befindet. Eine Organisationseinheit für jeden Standort ermöglicht den lokalen IT-Angestellten, Ressourcen, die sich im jeweiligen Standort befinden, zu verwalten (ausgeschlossen der F&E Ressourcen). Die Forschungs- und Entwicklungsabteilung (F&E) hat ihre eigenen ITSupport-Angestellten. Die F&E-Abteilung verwaltet ihre Ressourcen, unabhängig vom Standort. Deshalb ist es erforderlich, eine Organisationseinheit zu erstellen, um die Ressourcen dieser Abteilung zu managen. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Organisationseinheiten MS Training • 1. Auflage: Seiten 377f., 597f. • 2. Auflage: Seiten 385f., 612f. - 420 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 94 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003. Auf allen Domänencontrollern läuft Windows Server 2003. Alle Domänencontroller werden jeden Freitagnachmittag 17:00 Uhr komplett gesichert. Das Active Directory-Objekt ist mit folgenden Eigenschaften konfiguriert: Active Directory-Objekt Eigenschaft Einstellung garbageCollPeriod 15 Stunden Tombstone-Ablaufzeit 5 Tage An einem Montagmorgen löscht ein Netzwerkadministrator mehrere Benutzerkonten der Domäne. Am Mittwochnachmittag um 17:00 Uhr fällt ein Domänencontroller aus. Sie planen, die Active Directory-Datenbank von einem Backup wiederherzustellen. Sie müssen sicherstellen, dass die Verzeichnisdatenbank durch den Wiederherstellungsprozess nicht beschädigt wird. Was müssen Sie tun? A { Sie erhöhen die Einstellung garbageCollPeriod um 5. B { Sie vermindern die Einstellung garbageCollPeriod um 5. C { Sie erhöhen die Einstellung Tombstone-Ablaufzeit um 5. D { Sie vermindern die Einstellung Tombstone-Ablaufzeit um 5. Richtige Antwort: C Begründung Die Tombstone-Ablaufzeit definiert die Zeitdauer, die zwischen dem Löschen eines Active-Directory-Objektes und dessen endgültigen Entfernen aus der Active-Directory-Verzeichnisdatenbank liegt. Damit keine Inkonsistenzen in der Verzeichnisdatenbank entstehen, muss die Tombstone-Ablaufdauer größer sein, als die Zeit zwischen dem Löschen der Objekte und der Wiederherstellung des ausgefallenen Domänencontrollers. Da vom Zeitpunkt der Datensicherung bis zum Ausfall des Domänencontrollers exakt 5 Tage vergangen sind, ist die Ablaufdauer zu erhöhen (in diesem Fall um weitere 5 Tage). Hilfe - 421 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Active Directory\Konzepte\Bereitstellen von Active Directory\Erstellen zusätzlicher Domänencontroller MS Training • 1. Auflage: Seite 81 • 2. Auflage: Seite 81 - 422 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 95 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die Domäne umfasst drei Standorte mit den Bezeichnungen Veilsdorf, Puchheim und Riesa. Jeder Standort enthält vier Domänencontroller und 100 Clientrechner. Ein Server im Standort Puchheim hat die Bezeichnung »FDEDC001«. Alle DNS-Server enthalten Active Directory-integrierte Zonen. Andere Administratoren berichten, dass sie sich bei dem Versuch, die Active Directorys zu administrieren, nicht mit »FDEDC001« verbinden können. Außerdem berichten sie, dass es lokal an »FDEDC001« möglich ist, diese Aufgaben durchzuführen. Sie stellen fest, dass »FDEDC001« betriebsbereit ist und die Datei- und Druckressourcen unter Verwendung von Hostnamen erreichbar sind. Sie müssen sicherstellen, dass Administratoren die Active DirectoryAdministration auf »FDEDC001« durchführen können, ohne dafür lokalen Zugriff zu diesem Server zu benötigen. Was müssen Sie tun? A { Sie erzwingen auf Server1 eine Registrierung der DNS– Hosteinträge (A-Einträge). B { Sie starten auf Server1 den netlogon-Dienst neu. C { Sie installieren DNS auf »FDEDC001«. D { Sie konfigurieren »FDEDC001« als einen lokalen Brückenkopfserver für den Standort Puchheim. Richtige Antwort: B Begründung Bei dieser Frage kommt man am besten mit dem Ausschlussverfahren zum Ziel, wenn man sich mit der richtigen Antwort nicht sicher ist. »FDEDC001« ist ein Domänen-Controller. Das weiß man daher, weil die Administratoren die Administration der Active Directory auf »FDEDC001« durchführen wollen. Datei- und Druckressourcen auf »FDEDC001« sind unter Verwendung des Hostnamen erreichbar. Dies bedeutet, dass der AEintrag im DNS vorhanden sein muss. Somit ist Lösungsvorschlag A nicht erforderlich. Aus der Aufgabenstellung geht hervor, dass mehrere DNS-Server bereits existieren. Man kann daraus schlussfolgern, dass in jedem Standort zumindest ein DNS-Server vorhanden ist. Deshalb ist die Installation eines - 423 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 weiteren DNS-Servers auf »FDEDC001« nicht erforderlich, wie in Antwort C empfohlen wird. Antwort D schlägt die Einrichtung eines Bridgeheadservers vor. Im Allgemeinen wird diese Aufgabe automatisch von der Konsistenzprüfung der Active Directory übernommen. Eine fehlerhafte Replikation würde zu Inkonsistenzen der ActiveDirectory-Datenbanken in den einzelnen Standorten führen, nicht aber Verbindungsprobleme bei der Remoteadministration der Active Directory bewirken. Das eigentliche Problem ist der fehlende SRV-Eintrag. Dieser Eintrag muss in der DNS-Datenbank wiederhergestellt werden. Der netlogon-Dienst auf einem Domänencontroller erneuert die Registrierung der DNS-Ressourcen aller 24 Stunden. Um die Registrierung zu erzwingen, reicht es aus, den netlogon-Dienst neu zu starten. Deshalb ist B die richtige Antwort. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seite 94 • 2. Auflage: Seite 95 - 424 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 96 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur mit einer einzelnen Domäne, mit der Bezeichnung EISSNER-EDV.DE. Das Netzwerk enthält vier Windows Server 2003 Domänencontroller. Auf zwei Windows Server 2003 Mitgliedsservern ist der DNS-Dienst installiert. Sie entscheiden sich, eine neue Subdomäne SUB1.EISSNER-EDV.DE in der Gesamtstruktur zu erstellen. Sie installieren Windows Server 2003 auf einem neuen Rechner. Sie verbinden den Server mit der Domäne EISSNER-EDV.DE. Der erste Domänencontroller, der in der Domäne EISSNER-EDV.DE installiert wurde, fällt wegen eines Hardwarefehlers aus. Sie prognostizieren die Dauer der Reparatur auf mehrere Tage. Sie entscheiden sich, die Erstellung der neuen Subdomäne fortzusetzen. Sie versuchen, den Mitgliedsserver zu einem Domänencontroller der Domäne SUB1.EISSNER-EDV.DE hochzustufen. Die Einrichtung des Domänencontrollers schlägt fehl. Sie erhalten folgende Fehlermeldung: Sie müssen den Fehler beheben, um die neue Domäne zu erstellen. Was müssen Sie tun? - 425 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie konfigurieren die DNS-Clienteinstellungen auf dem neuen Server so, dass er den DNS-Server der Domäne EISSNER-EDV.DE verwendet. B { Sie konfigurieren auf dem DNS-Server der Domäne EISSNER-EDV.DE eine Zone mit der Bezeichnung SUB1.EISSNER-EDV.DE. C { Sie konfigurieren einen der anderen EISSNER-EDV.DEDomänencontroller so, dass er alle Betriebsmasterfunktionen ausführt. D { Sie konfigurieren einen der existierenden Domänencontroller als einen globalen Katalogserver. Richtige Antwort: C Begründung Der zuerst installierte Domänencontroller in der Gesamtstruktur hat standardmäßig die Funktion des Domänennamenmasters. Die Frage sagt aus, dass der zuerst installierte Domänencontroller wegen eines Hardwarefehlers ausfällt. Dies bedeutet, dass die Gesamtstruktur keinen Domänennamenmaster besitzt. Ein Domänennamenmaster wird zur Erstellung zusätzlicher Domänen in der Gesamtstruktur benötigt. Um eine weitere Domäne hinzuzufügen, muss man einen der anderen Domänencontroller der Domäne EISSNER-EDV.DE so konfigurieren, dass er die Funktion des Domänennamenmasters übernimmt (oder wie die Antwort ausdrückt, alle Betriebsmasterfunktionen). Es liegt hier offensichtlich kein DNS-Problem vor, da aus der Fragestellung das Fehlen des Domänennamenmasters hervorgeht. Deshalb fallen die Antworten A und B nicht in die engere Wahl. Die Einrichtung eines der anderen Domänencontroller als globalen Katalogservers klingt zwar plausibel, reicht aber für die Erstellung neuer Domänen nicht aus. Somit ist Lösungsvorschlag D unvollständig. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Domänen und Gesamtstrukturen\Reagieren auf Betriebsmasterausfälle MS Training • 1. Auflage: Seiten 222f. • 2. Auflage: Seiten 228f. - 426 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 97 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Die Firma hat Büros in Puchheim und Kronach. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domäne enthält sechs Domänencontroller, wie folgendes Schaubild zeigt: Die Büros in Puchheim und Kronach sind über eine IP-Standortverbindung miteinander verbunden. Die sechs Domänencontroller sind wie folgt konfiguriert: Servername Funktion »MVSDC001« Datei- und Druckserver »MVSDC002« Applikationsserver »MVSDC003« Routing- und RAS-Server »MVSDC004« Routing- und RAS-Server »MVSDC005« Datei- und Druckserver »MVSDC006« Applikationsserver Sie bemerken, dass in regelmäßigen Intervallen die CPU-Auslastung einiger Datei- und Druckserver für eine gewisse Zeitspanne auf 100% ansteigt. In dieser Zeit können die Server nicht auf Benutzeranfragen reagieren. Sie bemerken, dass dieses Problem während der Active Directory-Replikation auftritt. Sie müssen sicherstellen, dass die Dateiund Druckserver auch während der Active Directory-Replikation für Benutzeranfragen verfügbar sind. Was müssen Sie tun? - 427 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erhöhen das Replikationsintervall der Standortverbindung, die die zwei Büros verbindet. B { Sie verringern das Replikationsintervall der Standortverbindung, die die zwei Büros verbindet. C { Sie konfigurieren »MVSDC001« und »MVSDC005« als bevorzugte Brückenkopfserver. D { Sie konfigurieren »MVSDC003« und »MVSDC004« als bevorzugte Brückenkopfserver. Richtige Antwort: D Begründung Die schlechte Performance der Datei- und Druckserver resultiert aus der Active Directory-Replikation. Die Replikation findet zwischen den Dateiund Druckservern statt, die als bevorzugte Bridgehead-Server konfiguriert sind. Man kann ihre Performance verbessern, indem man die Replikation zwischen anderen Servern stattfinden lässt (in diesem Fall, die RRASServer »MVSDC003« und »MVSDC004«). Deshalb sollte man Lösung D wählen und »MVSDC003« und »MVSDC004« als Bridgehead-Server konfigurieren. Die Änderung des Replikationsintervalls aus den Antworten A und B schafft keine Abhilfe, da die Performanceprobleme während der Replikationsphasen auftreten. »MVSDC001« und »MVSDC005« sind bereits bevorzugte BridgeheadServer. Da diese Konstellation Ursache für die auftretenden Probleme ist, wäre Lösungsweg C nicht besonders sinnvoll. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Standorten und Replikationen\Verwalten der Replikation – Konfigurieren bevorzugter Bridgeheadserver MS Training • 1. Auflage: Seiten 315f. • 2. Auflage: Seiten 321f. - 428 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 98 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur mit einer einzelnen Domäne mit der Bezeichnung EISSNER-EDV.DE. Sie haben ein Benutzerkonto mit der Bezeichnung EISSNER-EDV\admin erstellt, das Mitglied der globalen Gruppe der Domänenadmins ist. Sie müssen eine neue Subdomäne mit der Bezeichnung SUB1.EISSNER-EDV.DE in der Gesamtstruktur erstellen. Sie installieren einen allein stehenden Windows Server 2003 Rechner mit der Bezeichnung »FDEDC002«. Sie verwenden den Active Directory-Installationsassistenten, um »FDEDC002« zu einem Domänencontroller der neuen Domäne heraufzustufen. Sie entscheiden sich, einen Domänencontroller für die neue Subdomäne in einer existierenden Domäne zu erstellen. Sie geben den Benutzernamen und das Passwort für EISSNER-EDV\admin ein. Sie wählen EISSNER-EDV.DE als übergeordnete Domäne, und geben SUB1 als den Namen für die Subdomäne ein. Sie erhalten folgende Fehlermeldung: - 429 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Stellen Sie sicher, dass die neue Subdomäne erstellt werden kann. Was müssen Sie tun? A { Sie verwenden die Netzwerkreferenz eines Mitgliedes der lokalen Administratorengruppe. B { Sie fügen »FDEDC002« zur Domäne EISSNER-EDV.DE hinzu und führen den Active DirectoryInstallationsassistenten aus. C { Sie verwenden die Netzwerkreferenz eines Mitgliedes der Gruppe Organisations-Admins für die EISSNER-EDV.DEGesamtstruktur. D { Sie verwenden die Netzwerkreferenz eines Mitgliedes der Gruppe Schema-Admins für die Gesamtstruktur von MVSNET.DE Richtige Antwort: C Begründung Aus den Antwortmöglichkeiten lässt sich ableiten, dass es sich um ein Berechtigungsproblem handelt. Um eine Domäne einer Gesamtstruktur hinzufügen zu können, muss man Mitglied der Organisations-Admins sein. Damit scheiden die Antworten A und D aus. Man muss bei der Ausführung von dcpromo einen Benutzer verwenden, der Mitglied der Gruppe Organisations-Admins der Gesamtstruktur EISSNER-EDV.DE ist. Es ist nicht erforderlich, »FDEDC002« vorher in die Domäne aufzunehmen, wie in Lösungsvorschlag B beschrieben wurde. Das geschieht automatisch bei der Ausführung von dcpromo. Hilfe • Active Directory\So wird es gemacht\Verwalten von Domänen\Erstellen einer neuen untergeordneten Domäne MS Training • 1. Auflage: Seiten 198f. • 2. Auflage: Seiten 204f. - 430 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 99 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows Server 2003. Alle Benutzerkonten der Forschungs- und Entwicklungsbteilung befinden sich in der Organisationseinheit (OU) FEBenutzer. Eine Gruppenrichtlinie (GPO) mit der Bezeichnung Benutzerrechte ist mit der Domäne verbunden. Folgende Benutzereinstellungen sind in dieser Gruppenrichtlinie aktiviert: • Benutzerkonfiguration von Offlinedateien nicht zulassen • Option Programme ändern und entfernen ausblenden • Symbol Anzeige aus der Systemsteuerung entfernen Sie müssen allen Benutzern der Organisationseinheit FE-Benutzer das Entfernen von Programmen unter Verwendung des Tools Software in der Systemsteuerung, erlauben. Die anderen Richtlinieneinstellungen sollen weiterhin angewendet werden. Was müssen Sie tun? A { Sie aktivieren die Einstellung Richtlinienvererbung deaktivieren in der Organisationseinheit FE-Benutzer. B { Sie erstellen eine neue Gruppenrichtlinie, die die Einstellung Option Programme ändern und entfernen ausblenden deaktiviert. C { Sie weisen den Benutzerkonten der Organisationseinheit FE-Benutzer die Berechtigung Verweigern für den Eintrag Gruppenrichtlinie übernehmen unter Gruppenrichtlinie-Sicherheit zu. D { Sie weisen den Benutzerkonten der Organisationseinheit FE-Benutzer die Berechtigung Verweigern für den Eintrag groupPolicyContainer erstellen unter Organisationseinheit-Sicherheit zu. Richtige Antwort: B Begründung Gruppenrichtlinien, die mit der Organisationseinheit verbunden sind, haben Vorrang gegenüber einer Gruppenrichtlinie, die mit der Domäne verbunden ist. Daher kann man eine Gruppenrichtlinie erstellen, die die Einstellung Option Programme ändern und entfernen ausblenden - 431 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 deaktiviert, und sie anschließend mit der Organisationseinheit FE-Benutzer verbinden. Richtlinienvererbung deaktivieren in der Organisationseinheit FEBenutzer hat nur Einfluss auf untergeordnete Gruppenrichtlinien dieser Organisationseinheit. Deshalb hat Antwort A keinerlei Einfluss auf die Gruppenrichtlinien der Domäne. Lösungsweg C hat zu Folge, dass für die jeweiligen Benutzer die Gruppenrichtlinie nicht mehr angewendet wird. Damit werden auch alle anderen Richtlinien deaktiviert, was aber nicht der Aufgabenstellung entspricht. Der in Anwort D vorgeschlagene Parameter verhindert das Erstellen neuer Gruppenrichtliniencontainer in der Organisationseinheit FEBenutzer und hat keinen Einfluss auf die vorhandenen Gruppenrichtlinien. Hilfe • Verwaltungs- und Skriptingprogramme\Konfigurations- und Verwaltungsprogramme\Gruppenrichtlinien – rechtes Fenster Link „Gruppenrichtlinien“ anklicken, • Neues Fenster: Gruppenrichtlinien\Konzepte\Grundlegendes zu Gruppenrichtlinien\Richtlinienvererbung MS Training • 1. Auflage: Seiten 590f. • 2. Auflage: Seiten 604f. - 432 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 100 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003 und auf allen Clientrechner Windows XP Professional. Alle Dateiserver haben Computerkonten in einer Organisationseinheit (OU) mit der Bezeichnung FirmenServer. Die Benutzerkonten aller Mitarbeiter befinden sich in der Organisationseinheit FirmenBenutzer. Für alle Benutzer und Administratoren wird der Ordner Eigene Dateien zu einem freigegebenen Ordner auf einem Dateiserver mit der Bezeichnung »MVSSRV01« weitergeleitet. Die Firma möchte die Größe des Speicherplatzes, der von jedem Benutzer verwendet werden darf, einschränken. Jeder Benutzer soll maximal 2 GByte Speicherplatz auf »MVSSRV01« bereitgestellt bekommen. Sie müssen die Bereitstellung von Speicherplatz auf »MVSSRV01« für jeden Benutzer auf 2 GByte begrenzen. Für Administratoren gilt diese Begrenzung nicht. Was müssen Sie tun? A { Sie erstellen eine Gruppenrichtlinie (GPO), die mit der Organisationseinheit FirmenBenutzer verbunden ist. Dann aktivieren sie in der Gruppenrichtlinie Datenträgerkontingente. B { Sie erstellen eine Gruppenrichtlinie (GPO), die mit der Organisationseinheit FirmenBenutzer verbunden ist. Dann aktivieren sie in der Gruppenrichtlinie Profilgröße beschränken für Benutzerprofile. C { Sie erstellen eine Gruppenrichtlinie (GPO), die mit der Organisationseinheit FirmenServer verbunden ist. Dann aktivieren sie in der Gruppenrichtlinie Datenträgerkontingente. D { Sie erstellen eine Gruppenrichtlinie (GPO), die mit der Organisationseinheit FirmenServer verbunden ist. Dann aktivieren sie in der Gruppenrichtlinie eine Standardzwischenspeichergröße für Offline-Dateien. Richtige Antwort: C Begründung Für Mitglieder der lokalen Gruppe der Administratoren ist der Standardeintrag für Datenträgerkontingente auf „unbegrenzt“ eingestellt. Damit ist ein Teil der Aufgabenstellung schon erfüllt. Eine Begrenzung des - 433 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 zur Verfügung stehenden Speicherplatzes kann man nur mittels der Datenträgerkontingente einstellen. Die Profilgröße eines Benutzers bzw. die Standardgröße des Zwischenspeichers für Offline-Dateien (Antworten A und D) spielen dabei keine Rolle. Datenträgerkontingente kann man entweder direkt über die Datenträgereigenschaften konfigurieren oder unter Verwendung der Gruppenrichtlinien zuweisen. Die entsprechenden Richtlinien befinden sich im Bereich der Computerkonfiguration, werden also einem Computer und nicht einem Benutzer zugewiesen. Der freigegebene Ordner befindet sich auf einem Dateiserver. Darum sollte man die Gruppenrichtlinie mit der Organisationseinheit FirmenServer verbinden, da dort alle Dateiserver eingetragen sind. Somit gilt die Einschränkung für alle Dateiserver, die in der Organisationseinheit FirmenServer sind. Hilfe • Datenträger und Daten\Verwalten von Datenträgern und Volumes\Datenträgerkontingente\Konzepte\Grundlegendes zu Datenträgerkontingenten MS Training • 1. Auflage: Seiten 605, 611 • 2. Auflage: Seiten 620, 626 - 434 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 101 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Die Firma betreibt ein Callcenter. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNEREDV.DE. Auf allen Servern läuft Windows Server 2003. Alle Clientrechner sind Mitglieder der Domäne. Die Rechner des Callcenters sind über eine Gruppenrichtlinie (GPO) konfiguriert, sodass sie einen gemeinsamen, eingeschränkten Desktop haben. Alle Computerkonten der Rechner im Callcenter befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung CallCenterRechner. Callcenter-Benutzer besitzen Benutzerkonten in der Organisationseinheit CallCenterAngestellte. Manager besitzen Benutzerkonten in der Organisationseinheit ManagementBenutzer. Sie verbinden eine Gruppenrichtlinie mit der Organisationseinheit CallCenterRechner. Die derzeitigen Einstellungen werden im Arbeitsbereich gezeigt. Alle Benutzer, die sich an diese Rechner anmelden, erhalten den eingeschränkten Desktop. Als sich ein Manager anmeldet, erhält dieser ebenfalls den eingeschränkten Desktop. Der eingeschränkte Desktop hindert die Manager daran, Managementaufgaben durchzuführen. Sie sollen sicherstellen, dass jeder Manager, der sich an einem Rechner im Callcenter anmeldet, einen normalen, uneingeschränkten Desktop erhält. Arbeitsbereich: - 435 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Gesamtstrukturübergreifende Benutzerprofile und servergespeicherte Benutzerprofile zulassen Deaktiviert Gruppenrichtlinien zu Erkennung langsamer Verbindungen Aktiviert Protokollierung des Richtlinienergebnissatzes deaktivieren Deaktiviert Aktualisierung der Gruppenrichtlinien durch Benutzer entfernen Aktiviert Generieren von Richtlinienergebnissatzdaten durch interaktive Benutzer nicht zulassen Aktiviert Registrierungsrichtlinienverarbeitung Deaktiviert Verarbeitung von Richtlinien zur Internet-Explorer-Wartung Deaktiviert Softwareinstallations-Richtlinienverarbeitung Deaktiviert Ordnerumleitungs-Richtlinienverarbeitung Deaktiviert Skriptrichtlinienverarbeitung Deaktiviert Sicherheitsrichtlinienverarbeitung Deaktiviert IP-Sicherheitsrichtlinienverarbeitung Deaktiviert Verarbeitung von Richtlinien für Drahtlosnetzwerke Deaktiviert Richtlinienverarbeitung der EFS-Wiederherstellung Deaktiviert Datenträgerkontingent- Richtlinienverarbeitung Deaktiviert Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden Aktiviert Welche Gruppenrichtlinieneinstellung sollten Sie ändern? (Wählen Sie die passende Einstellung im Arbeitsbereich, um zu antworten.) A { Gesamtstrukturübergreifende Benutzerprofile und servergespeicherte Benutzerprofile zulassen – Deaktiviert. B { Gruppenrichtlinien zu Erkennung langsamer Verbindungen - Aktiviert. C { Protokollierung des Richtlinienergebnissatzes deaktivieren - Deaktiviert. D { Aktualisierung der Gruppenrichtlinien durch Benutzer entfernen - Aktiviert. E { Generieren von Richtlinienergebnissatzdaten durch interactive Benutzer nicht zulassen – Aktiviert. F { Registrierungsrichtlinienverarbeitung – Deaktiviert. Richtige Antwort: A - 436 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Die Aufgabenstellung ist in sich gesehen wieder einmal nicht schlüssig. Im Zweifelsfall sollte man hier wieder nach dem Ausschlussverfahren vorgehen, denn einige Antwortmöglichkeiten haben offensichtlich nichts mit dem Problem zu tun. Die Lösung A setzt voraus, dass die Manager einer anderen Gesamtstruktur angehören (widerspricht allerdings etwas der Aufgabenstellung). Dann wird durch Aktivieren dieser Gruppenrichtlinie erreicht, dass Benutzerrichtlinien der Manager auf die Rechner des Call-Centers angewendet werden. Die Gruppenrichtlinie Gesamtstrukturübergreifende Benutzerprofile und servergespeicherte Benutzerprofile zulassen ermöglicht die Verarbeitung von Richtlinien und servergespeicherten Profilen sowie die Ausführung von Anmeldeskripten bei einer gesamtstrukturübergreifenden interaktiven Anmeldung. Wenn ein Benutzer sich also in einer anderen Gesamtstruktur anmeldet, und die obige Gruppenrichtlinie aktiviert ist, werden seine individuellen Einstellungen wirksam. Voraussetzung ist eine Vertrauensstellung zwischen den Gesamtstrukturen. Hilfe • Beschreibung zu den einzelnen Gruppenrichtlinien im Gruppenrichtlinieneditor unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 437 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 102 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern ist Windows Server 2003 installiert. Die Domäne enthält insgesamt 300 Benutzer- und 325 Computerkonten. Verschiedene Benutzer im Netzwerk benötigen unterschiedliche Anwendungen, die aufgrund der jeweiligen Tätigkeit, bereitgestellt werden. Jede Applikation liegt als .msi-Paket vor. Viele dieser Anwendungen werden des öfteren aktualisiert. Sie erhalten viele Supportanrufe von Benutzern, bei denen die Anwendung erneut installiert werden muss, da die derzeitige Installation beschädigt ist. Die Firma entscheidet, dass die Kosten für den Installationsvorgang und die Bereitstellung dieser Applikationen zu hoch sind. Sie müssen eine Technologie implementieren, die die Kosten für die Verteilung der Benutzeranwendungen reduziert und zudem die Ausfallzeit der Benutzer minimiert. Was müssen Sie tun? A { Sie konfigurieren Gruppenrichtlinien, um die Anwendungen den jeweiligen Benutzerkonten zuzuweisen. B { Sie installieren zusätzliche Server auf denen die Installationsdienste im Netzwerk bereitgestellt werden. C { Sie platzieren einen Server im Netzwerk, auf dem der Software Update Service (SUS) läuft. Zudem konfigurieren Sie eine Gruppenrichtlinie, um die Updates für alle Clientrechner zu verteilen. D { Sie installieren den Microsoft-Operations-Manager und aktivieren SNMP auf den Clientrechnern. Richtige Antwort: A Begründung Die einzig sinnvolle Möglichkeit, Software mit geringem Aufwand im Netzwerk zu verteilen, ist die Anwendung von Gruppenrichtlinien, sofern ein .msi-Installationspaket zur Verfügung steht. Dieser Weg wird in Lösung A vorgeschlagen. Die Einrichtung zusätzlicher Server aus Antwortmöglichkeit B löst das Problem nicht. Auch die Installation des SUS hat mit dem eigentlichen Thema nichts zu tun, da dieser Dienst für eine zentralisierte Bereitstellung der Windows-Updates im eigenen Netzwerk verantwortlich ist. Deshalb ist - 438 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Lösungsweg C falsch, auch wenn hier von Gruppenrichtlinien gesprochen wird. Lösungsmöglichkeit D schlägt die Verwendung von SNMP vor, was ebenfalls mit der Softwareverteilung nicht zu tun hat. Softwareinstallation Man kann die Softwareinstallationserweiterung von Gruppenrichtlinien nutzen, um die Softwareverteilung in der Firma zentral zu verwalten. Die Software kann für Gruppen von Benutzern oder Computern zuweisen bzw. veröffentlichen. Anwendungen zuweisen Wenn man Programme Benutzern oder Computern zuweist, dann wird die Anwendung automatisch bei der Anmeldung (bei benutzerbezogenen Anwendungen) oder beim Rechnerstart (bei rechnerbezogenen Anwendungen) installiert. Beim Zuweisen von Anwendungen auf Benutzer wird standardmäßig die Anwendung bei der nächsten Benutzeranmeldung installiert. Wird eine Anwendung veröffentlicht, erscheint das Anwendungssymbol im Startmenü und die Anwendungsinformationen werden in die Registrierung eingetragen, inklusive des Speicherortes des Anwendungspaketes sowie der Quelldatei für die Installation. Mit dieser Veröffentlichungsinformation auf dem Rechner des Benutzers, wird die Anwendung installiert, wenn der Benutzer das erste Mal versucht, sie zu starten. Wenn man Anwendungen Computern zuweist, dann wird die Anwendung beim nächsten Start des Rechners installiert. Anwendungen die Computern zugewiesen wurden, werden nicht angekündigt, sondern mit den Standardeinsstellungen für das Installationspacket installiert. Wenn man Anwendungen via Gruppenrichtlinien zuweist, wird ein autorisiertes Windows Installer (.msi) Paket benötigt. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seiten 720, 723f. • 2. Auflage: Seiten 738, 741f. - 439 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 103 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Das Netzwerk enthält zehn Server, auf denen Windows Server 2003 läuft, und 500 Clientrechner, auf denen Windows XP Professional, Windows 2000 Professional oder Windows NT4.0 läuft. Die Rechtsabteilung verlangt, dass Sie alle Rechner im Netzwerk so konfigurieren, dass bei der Anmeldung eines Benutzers eine Anmeldenachricht angezeigt wird. Was müssen Sie tun? (Wählen Sie zwei Antworten.) A Sie benutzen gpedit.msc, um eine Gruppenrichtlinie zu erstellen, die die geforderte Einstellung im Bereich interaktive Anmeldung enthält. Sie verknüpfen die Gruppenrichtlinie mit der Domäne. B Sie erstellen ein Anmeldeskript, um die Anmeldenachricht anzuzeigen. Sie benutzen gpedit.msc, um eine Gruppenrichtlinie zu erstellen, die mit der Benutzerkonfiguration verknüpft ist, um das Skript bei der Benutzeranmeldung zu starten. C Sie benutzen poledit.exe, um eine Systemrichtliniendatei mit der Bezeichnung ntconfig.pol zu erstellen, die die geforderte Einstellung enthält. Sie platzieren eine Kopie dieser Datei in dem vorgesehenen Ordner auf dem Domänencontroller. D Sie benutzen den Texteditor, um eine Stapelverarbeitungsdatei mit der Bezeichnung autoexec.bat zu erstellen, die die Anmeldenachricht enthält. Diese Datei kopieren Sie in das Verzeichnis C:\ auf allen Rechnern. Richtige Antworten: A und C Begründung Man muss eine Gruppenrichtlinie erstellen, um die Anmeldenachricht anzuzeigen. Diese Gruppenrichtlinie wird auf allen Windows 2000 und Windows XP Clients angewendet. Außerdem muss man eine Systemrichtlinie erstellen, um die Anmeldenachricht auf den Windows NT4.0 Rechnern anzuzeigen. Diese Systemrichtlinie wird mit dem Systemrichtlinieneditor von Windows NT erstellt. Systemrichtlinien werden von Netzwerkadministratoren - 440 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 verwendet, um Einstellungen für die Benutzer und ihre Computer individuell zu konfigurieren und zu steuern. Administratoren verwenden poledit.exe um Windows NT Profile zu erstellen, die entweder computeroder benutzerbasiert sind. Mit dieser Anwendung können Sie Richtlinien erstellen, die entweder lokal oder netzwerkweit gültig sind, was die Registrierungseinstellung für Hardware sowie Benutzer beeinflussen kann. Die zur Durchsetzung der Systemrichtlinie erstellte Datei hat die Bezeichnung ntconfig.pol. Für Windows 2000 und Windows XP-Clients befindet sich die Gruppenrichtlinieneinstellung im Bereich der Computerkonfiguration – Sicherheitsoptionen: Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen. Beschreibung: Diese Sicherheitseinstellung spezifiziert eine Textnachricht, die Benutzern bei der Anmeldung angezeigt wird. Dieser Text wird oft aus rechtlichen Gründen genutzt, um Benutzer beispielsweise vor der Herausgabe vertraulicher Firmeninformationen zu warnen oder sie zu informieren, dass ihre Aktionen am Computer protokolliert werden. Die Standardeinstellung ist nicht definiert. Man kann diese Sicherheitseinstellung konfigurieren, indem man die verwendete Gruppenrichtlinie öffnet und wie folgt erweitert: Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen Die Antwortmöglichkeiten B und D sind falsch, da zwar eine Nachricht ausgegeben wird (wenn auch die Variante D eher in die Zeiten von MSDOS und Co gehört), aber diese erst nach der Anmeldung erscheint. Die Nachricht soll aber bei der Anmeldung des Benutzers angezeigt werden. Hilfe • Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Verwenden des Sicherheitskonfigurations-Managers\Beschreibung der Sicherheitseinstellung\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen MS Training • 1. Auflage: Seiten 605, 611 • 2. Auflage: Seiten 620, 626 - 441 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 104 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Die Netzwerkstruktur wird im Schaubild gezeigt. Die Domänenfunktionsebene beider Gesamtstrukturen ist Windows Server 2003. Alle drei Domänen sind Windows Server 2003-Domänen. Die Domäne EISSNER-EDV.DE enthält einen Computer mit der Bezeichnung »FDESRV01«. Ein freigegebener Ordner auf »FDESRV01« hat die Bezeichnung Freigabe1. Benutzer in einer Organisationseinheit (OU) mit der Bezeichnung Konten in der SUB1.MVSNET.DE benötigen Zugriff auf Freigabe1. Wenn jedoch die Benutzer der Organisationseinheit Konten versuchen auf Freigabe1 zuzugreifen, erhalten Sie eine Fehlermeldung, die aussagt, dass der Zugriff verweigert wurde. Sie sollen sicherstellen, dass die Benutzer der Organisationseinheit Konten Zugriff auf Freigabe1 haben. Was müssen Sie tun? - 442 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen in der Domäne SUB1.MVSNET.DE eine universelle Verteilungsgruppe, die alle Benutzer der Organisationseinheit Konten enthält. Danach erstellen Sie eine lokale Sicherheitsgruppe für Domänen in der Domäne EISSNER-EDV.DE und erteilen dieser lokalen Gruppe Zugriffsberechtigung auf die Freigabe \\FDESRV01\Freigabe1. Sie nehmen die universelle Verteilungsgruppe als Mitglied in die lokale Sicherheitsgruppe für Domänen auf. B { Sie erstellen in der Domäne SUB1.MVSNET.DE eine globale Sicherheitsgruppe, die alle Benutzer der Organisationseinheit Konten enthält. Danach erstellen Sie eine lokale Sicherheitsgruppe für Domänen in der Domäne EISSNER-EDV.DE und erteilen dieser lokalen Gruppe Zugriffsberechtigung auf die Freigabe \\FDESRV01\Freigabe1. Sie nehmen die globale Sicherheitsgruppe als Mitglied in die lokale Sicherheitsgruppe für Domänen auf. C { Sie erstellen einen freigegebenen Ordner in der Organisationseinheit Konten für \\FDESRV01\Freigabe1. D { Sie erstellen eine einseitige externe Vertrauensstellung, in der SUB1.MVSNET.DE der Domäne EISSNER-EDV.DE vertraut. Richtige Antwort: B Begründung Es besteht eine Gesamtstrukturvertrauensstellung zwischen den zwei Gesamtstrukturen. Wenn die Benutzer der Organisationseinheit Konten versuchen, auf Freigabe1 auf »FDESRV01« zuzugreifen, bekommen sie eine Fehlermeldung, die aussagt, dass der Zugriff verweigert wurde. Das ist ein einfaches Berechtigungsproblem. Alles was man tun muss, ist die entsprechende Berechtigung den Benutzern der Organisationseinheit Konten zuzuweisen, um Zugriff auf Freigabe1 zu erhalten. Der empfohlene Weg, um Berechtigungen zuzuweisen, ist die Erstellung lokaler Sicherheitsgruppen in der Domäne und die Zuweisung von Berechtigungen für die erforderlichen Ressourcen (in diesem Falle \\FDESRV01\Freigabe1). Danach muss man die Benutzer zu einer globalen Sicherheitsgruppe der Domäne hinzufügen. Anschließend fügt man die globale Sicherheitsgruppe der lokalen Gruppe als Mitglied hinzu. Die Berechtigungen der lokalen Gruppe werden dadurch auf die Benutzer weitergeleitet. - 443 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Lösungsvorschlag A ist falsch, weil man Verteilungsgruppen nicht für die Zuweisung von Berechtigungen verwenden kann. Das Erstellen eines freigegebenen Ordners in der Organisationseinheit Konten in Antwort C, löst nicht das Berechtigungsproblem. Auch die Einrichtung einer weiteren Vertrauensstellung ist überflüssig, da bereits eine bidirektionale Gesamtstrukturvertrauensstellung existiert. Deshalb ist Antwortmöglichkeit D falsch. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Gruppen\Gruppenbereich • Häufige administrative Aufgaben\Ändern von Gruppenmitgliedschaften MS Training • 1. Auflage: Seiten 473f., 486 • 2. Auflage: Seiten 485f., 498 - 444 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 105 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Drei Sicherheitsgruppen mit der Bezeichnung Verwaltung, Planung und Management befinden sich in einer Organisationseinheit mit der Bezeichnung Buchführung. Alle Benutzerkonten dieser drei Gruppen befinden sich ebenfalls in der Organisationseinheit Buchführung. Sie erstellen eine Gruppenrichtlinie und verknüpfen diese mit der Organisationseinheit Buchführung. Sie konfigurieren die Gruppenrichtlinie im Bereich Benutzerkonfiguration so, dass die Option Anzeige deaktiviert ist. Sie sollen folgende Ziele erreichen: Sie müssen sichergehen, dass die Gruppenrichtlinie auf alle Benutzerkonten der Gruppe Planung angewendet wird. Außerdem müssen Sie verhindern, dass die Gruppenrichtlinie auf die Benutzerkonten der Gruppe Verwaltung angewendet wird. Weiterhin sollen Sie verhindern, dass die Gruppenrichtlinie auf die Benutzerkonten der Gruppe Management angewendet wird, egal ob das Benutzerkonto ebenfalls Mitglied der Gruppe Planung ist oder nicht. Was müssen Sie tun? - 445 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACL)-Einstellungen der Gruppenrichtlinie und verweigern den Sicherheitsgruppen Verwaltung und Management Lese- und Ausführrechte der Gruppenrichtlinien. Sie modifizieren die DACLEinstellungen der Gruppenrichtlinie so, dass den Benutzern beider Sicherheitsgruppen die Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien gegeben wird. B { Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACL)-Einstellungen der Gruppenrichtlinie und verweigern den Sicherheitsgruppen Verwaltung und Management die Lese- und Ausführrechte der Gruppenrichtlinien. Danach erstellen Sie eine neue Sicherheitsgruppe mit der Bezeichnung Gemischt, in der alle Benutzerkonten der Gruppe Verwaltung und die spezifischen Benutzerkonten der Gruppe Management enthalten sind. Sie modifizieren die DACL-Einstellungen der Gruppenrichtlinie so, dass der Sicherheitsgruppe Gemischt die Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien gegeben wird. C { Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACL)-Einstellungen der Gruppenrichtlinie und verweigern der Sicherheitsgruppe Verwaltung das Lese- und Ausführrecht der Gruppenrichtlinien. Außerdem modifizieren Sie die DACLEinstellungen der Gruppenrichtlinie so, dass die Gruppe Authentifizierte Benutzer entfernt wird. Danach modifizieren Sie die DACL-Einstellungen der Gruppenrichtlinie so, dass die Gruppe Planung hinzugefügt und ihr die Rechte zum Lesen und Ausführen der Gruppenrichtlinien gegeben wird. D { Sie modifizieren die Freigegebenen Zugriffssteuerungslisten (DACL)-Einstellungen der Gruppenrichtlinie, um der Sicherheitsgruppe Planung die Leserechte zu verweigern und die Rechte zum Ausführen der Gruppenrichtlinien zu geben. Danach modifizieren Sie die DACL-Einstellungen der Gruppenrichtlinie so, dass der Sicherheitsgruppe Management die Rechte zum Lesen und Ausführen der Gruppenrichtlinien verweigert wird. Richtige Antwort: C Begründung Es soll verhindert werden, dass die Gruppenrichtlinie auf die Benutzerkonten der Gruppe Verwaltung angewendet wird. Das kann man - 446 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 erreichen, indem man in den Freigegebenen Zugriffssteuerungslisten (DACL) Einstellungen der Gruppenrichtlinie der Gruppe Verwaltung die Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien verweigert. Man muss die Gruppe Authentifizierte Benutzer entfernen, damit die Richtlinie nicht auf Benutzer außerhalb der drei Sicherheitsgruppen angewendet wird. Weiterhin sollen Sie sichergehen, dass die Richtlinie auf alle Benutzer der Gruppe Planung angewendet wird. Dies kann man erreichen, indem man in den DACL-Einstellungen der Gruppenrichtlinie der Gruppe Planung die Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien gibt. Außerdem soll man verhindern, dass die Gruppenrichtlinie auf einen Benutzer der Management-Gruppe angewendet wird, unabhängig davon ob das Benutzerkonto ebenfalls ein Mitglied der Gruppe Planung ist. Die Management-Gruppe wird nicht in den DACL aufgeführt. Deshalb wird kein Benutzer der Gruppe Management die Gruppenrichtlinie erhalten. Ein Management-Benutzer würde die Gruppenrichtlinie nur erhalten, wenn er Mitglied der Gruppe Planung wäre, da die Gruppe Planung die Berechtigung zum Lesen und Ausführen der Gruppenrichtlinien hat. Die Formulierung der Aufgabe ist an dieser Stelle etwas zweideutig. Man kann die Forderung auch so auslegen, dass den Mitgliedern der Gruppe Management in jedem Fall die Ausführung der Gruppenrichtlinie zu verbieten ist, unabhängig davon, ob sie ebenfalls Mitglied der Gruppe Planung sind. Betrachtet man allerdings die anderen Lösungsvorschläge, wird klar, dass nur C sinnvoll ist. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Zugriffsteuerung in Active Directory MS Training • 1. Auflage: Seite 617 • 2. Auflage: Seite 631 - 447 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 106 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Eine firmeninterne Richtlinie von MVS verlangt, dass die administrativen Passwörter alle 30 Tage geändert werden. Sie konfigurieren die Sicherheitsrichtlinie der Domäne so, dass die Firmenrichtlinie durchgesetzt wird. Eine Sicherheitsprüfung zeigt, dass das Passwort zur Anmeldung an Domänencontrollern im Verzeichnisdienstewiederherstellungsmodus zehn Monate alt ist. Sie sollen sichergehen, dass alle Passwörter entsprechend der firmeninternen Richtlinien geändert werden. Sie sollen diese Aufgabe ohne Unterbrechung des Benutzerzugriffs lösen. Was müssen Sie tun? A { Sie starten jeden Domänencontroller im Verzeichnisdienstewiederherstellungsmodus neu. Danach benutzen Sie das Snap-In Computerverwaltung, um das Kennwort für das Administratorenkonto zurückzusetzen. B { Sie benutzen das ntdsutil-Utility, um auf jedem Domänencontroller das Administratorenpasswort für den Verzeichnisdienstewiederherstellungsmodus zurückzusetzen. C { Sie konfigurieren die Sicherheitsrichtlinie der Domänencontroller so, dass die firmeninternen Richtlinien geltend gemacht werden. D { Sie setzen das Administratorenpasswort zurück, indem Sie Active Directory-Benutzer und -Computer benutzen. Richtige Antwort: B Begründung Bei Windows Server 2003 kann man das Administratorenpasswort für den Verzeichnisdienste-Wiederherstellungsmodus ändern, indem man das ntdsutil-Utility benutzt. Antwortmöglichkeit A führt zwar auch zum Ergebnis, ist aber wesentlich zeitaufwändiger. Die Änderung des Kennwortes für die Verzeichniswiederherstellung kann nur manuell erfolgen, um den Firmenrichtlinien gerecht zu werden. Eine Steuerung über Gruppenrichtlinien, wie in Lösungsvorschlag C, ist deshalb nicht möglich. - 448 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Active Directory Benutzer und Computer bietet keine Möglichkeit, das Administratorenkennwort für die Verzeichniswiederherstellung zu ändern. Damit ist Antwort D ebenfalls falsch. Hilfe • Suchbegriff „Wiederherstellungsmodus“ eingeben; Hilfethema 3 – ntdsutil.exe: Befehlszeilenreferenz; im rechten Fenster Unterpunkt „Festlegen des DSRM-Kennwortes“ auswählen MS Training • 1. Auflage: Seite 106 • 2. Auflage: Seite 107 - 449 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 107 Sie sind der Administrator der Domäne MVSNET.DE. Das Netzwerk ist wie im folgenden Diagramm dargestellt konfiguriert: Nachdem die Gesamtstrukturvertrauensstellung gelöscht wurde, stellen Sie fest, dass die Mitgliedschaftslisten für einige der lokalen Gruppen der Domäne nicht mehr stimmen. Als Sie sich die Mitgliedschaftslisten anschauen, sehen Sie, dass sie Einträge enthalten, die nicht zuzuordnen sind. Sie sollen alle unbekannten Gruppen aus der Mitgliedschaftsliste für die lokale Gruppe der Domäne löschen. Dieses Ziel soll mit einem Minimum an administrativem Aufwand und ohne die Modifikation der Zugriffsberechtigungen auf die Ressourcen in der MVSNET.DEGesamtstruktur erreicht werden. Was müssen Sie tun? - 450 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine neue lokale Gruppe für Domänen. Danach fügen Sie die benötigten globalen Gruppen der MVSNET.DE-Gesamtstruktur in die lokale Gruppe der Domäne hinzu. Sie geben der lokalen Gruppe der Domäne die benötigten Berechtigungen. Anschließend löschen Sie die originale lokale Gruppe der Domäne. B { Sie erstellen erneut die Vertrauensstellung zwischen den Gesamtstrukturen MVSNET.DE und EISSNER-EDV.DE. Danach löschen Sie alle globalen Konten von EISSNEREDV.DE von der Mitgliedschaftsliste der lokalen Gruppe der Domäne. Anschließend löschen Sie die Vertrauensstellung zwischen beiden Gesamtstrukturen. C { Sie prüfen alle verbleibenden Vertrauensstellungen. Anschließend löschen Sie alle unbekannten Konten von den lokalen Gruppen der Domäne. D { Sie löschen alle betroffenen lokalen Gruppen der Domäne. Anschließend erstellen Sie die Gruppen erneut. Sie fügen die verwendeten globalen Gruppen der MVSNET.DE-Gesamtstruktur zu den Gruppen hinzu. Sie gewähren der lokalen Gruppe der Domäne die notwendigen Berechtigungen. Richtige Antwort: C Begründung Als Erstes muss man alle verbliebenen Vertrauensstellungen prüfen. Wenn eine Vertrauensstellung nicht funktioniert, dann werden Konten als unbekannt angezeigt. Dies verhindert, dass man versehentlich noch benötigte Mitgliedschaften löscht. Sollten alle Vertrauensstellungen funktionieren, dann werden alle betreffenden Konten mit den exakten Benutzer- bzw. Gruppennamen angezeigt. Nun kann man alle Konten aus den lokalen Gruppen löschen, die als Konto unbekannt angezeigt werden. Antwortmöglichkeit A schlägt ein erneutes Erstellen der Gruppen vor. Das würde einen übermäßigen administrativen Aufwand darstellen. Der Lösungsweg B würde funktionieren, ist aber nicht empfehlenswert. Ein erneutes Erstellen der Vertrauensstellung würde zwar die Namen der Konten wieder herstellen. Aber der beschriebene Weg zum Löschen der Gruppen wäre sehr umständlich. Auch der Vorschlag aus Lösungsmöglichkeit D ist umständlich und unnötig, da das Problem nicht bei den lokalen Gruppen liegt. Es reicht aus, die unbekannten Konten zu löschen, wie in C beschrieben. Hilfe - 451 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Gruppen\Gruppenbereich • Häufige administrative Aufgaben\Ändern von Gruppenmitgliedschaften MS Training • 1. Auflage: Seite 495 • 2. Auflage: Seite 507 - 452 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 108 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die zwei Domänen in vier Standorten enthält. Auf allen Servern läuft Windows Server 2003. Sie sind verantwortlich für die Administration der Domänencontroller in einem der Standorte. Ihr Standort enthält vier Domänencontroller. Die Festplatte, auf der die Active Directory-Datenbank liegt, ist auf dem Domänencontroller »MVSDC002« ausgefallen. Sie ersetzen die Festplatte. Sie müssen »MVSDC002« wiederherstellen. Dieses Ziel müssen Sie ohne Beeinflussung existierender Active Directory-Datenbanken erreichen. Was müssen Sie tun? A { Sie führen eine nicht autorisierende Wiederherstellung der Active Directory-Datenbank durch. B { Sie führen eine autorisierende Wiederherstellung der Active Directory-Datenbank durch. C { Sie benutzen ntdsutil, um eine semantische Datenbankanalye durchzuführen. D { Sie benutzen ntdsutil, um den Befehl restore subtree durchzuführen. Richtige Antwort: A Begründung Sie haben vier Domänencontroller in Ihrem Standort. Sie können ganz einfach eine nicht autorisierende (normale) Wiederherstellung der ActiveDirectory-Datenbank durchführen. Alle Änderungen der Active DirectoryDatenbank seit der letzten Datensicherung, werden von einem anderen Domänencontroller repliziert. Lösungsweg B schlägt eine autorisierende Wiederherstellung vor. Dabei wird die wiederhergestellte Datenbank autorisiert, bei der Replikation die bestehenden Active-Directory-Datenbanken zu überschreiben. Die semantische Datenbankanalyse aus Antwort C dient nur zur Fehleranalyse und –beseitigung einer bestehenden Active Directory-Datenbank, kann aber nicht zur Wiederherstellung benutzt werden. Der Befehl aus Lösung D würde nur eine Teilstruktur der Active Directory wiederherstellen. Hilfe - 453 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Datenträger und Daten\Sichern und Wiederherstellen von Daten\Sichern und Wiederherstellen von Daten\Konzepte\Grundlegendes zu Sicherung\Authorisierende, primäre und normale Wiederherstellung MS Training • 1. Auflage: Seiten 173f. • 2. Auflage: Seiten 176f. - 454 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 109 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Es existiert eine Organisationseinheit (OU) mit der Bezeichnung DokVerwaltung. Die Organisationseinheit DokVerwaltung enthält Benutzerkonten für Benutzer der Abteilung Dokumentenverwaltung. Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Organisationseinheit DokVerwaltung. Sie konfigurieren die Gruppenrichtlinie so, dass eine Grafikanwendung veröffentlicht wird. Einige Benutzer der Abteilung Dokumentenverwaltung berichten, dass die Anwendung nicht im Startmenü verfügbar ist. Andere berichten, dass die Anwendung erfolgreich installiert wurde, nachdem man auf ein Dokument der Anwendung doppelt geklickt hat. Sie sollen sicherstellen, dass jeder Benutzer der Organisationseinheit DokVerwaltung die Grafikanwendung ausführen kann. Was müssen Sie tun? A { Sie unterweisen die Benutzer, bei denen Probleme auftreten, dass diese den gpupdate-Befehl ausführen sollen. B { Sie unterweisen die Benutzer, bei denen Probleme auftreten, dass diese das Programm installieren sollen, indem sie in der Systemsteuerung die Option Neue Software hinzufügen benutzen. C { Sie führen das Tool Richtlinienergebnissatz auf den Domänencontrollern im Netzwerk aus. D { Sie führen den Befehl gpresult auf jedem Clientrechner und Domänencontroller im Netzwerk aus. Richtige Antwort: B Begründung Sie haben die Anwendung für die Benutzer veröffentlicht. Durch diese Einstellung können nun die Benutzer die Anwendung installieren. Um das Programm zu installieren, müssen die Benutzer die Option Neue Software hinzufügen in der Systemsteuerung benutzen. Dabei werden alle veröffentlichten Programme angezeigt, die installiert werden können. Alternativ wird die Installation gestartet, wenn man einen Doppelklick auf eine Datei, die mit dieser Anwendung verknüpft ist, ausführt. - 455 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Die Benutzer der Abteilung Dokumentenverwaltung berichten, dass sich die Anwendung nicht im Start-Menü befindet. Das Anwendungssymbol erscheint weder im Startmenü noch auf dem Desktop, da sie veröffentlicht und nicht zugewiesen wurde. Antwortmöglichkeiten C und D sind falsch, da hier lediglich die resultierenden Gruppenrichtlinien angezeigt werden und somit bestenfalls eine Kontrolle über die vom Administrator eingerichteten Richtlinien existiert. Lösungsweg A zielt in die richtige Richtung: Immerhin besteht die Möglichkeit, dass zur Verzögerungen durch die Replikation zwischen mehreren Domänencontrollern, bei einigen Benutzern die Richtlinie noch nicht aktiv ist. Aber auch in diesem Fall muss man sich die Aufgabenstellung genau durchlesen. Es wird darauf hingewiesen, dass die Anwendung nicht im Startmenü erscheint, bei anderen Benutzern aber die Anwendung durch einen Doppelklick auf eine Datei, die mit dieser Anwendung verknüft ist, installiert wird. Gruppenrichtlinien Management Softwareinstallation Man kann die Softwareinstallationserweiterung der Gruppenrichtlinien dazu benutzen, um Softwaredistributionen in der Organisation zentral zu verteilen. Die Software kann für Benutzer und Gruppen veröffentlicht oder zugewiesen werden, indem man diese Erweiterung verwendet. Anwendungen zuweisen Wenn man Programme Benutzern oder Computern zuweist, dann werden die Anwendungen automatisch bei der Anmeldung (bei benutzerbezogenen Anwendungen) oder beim Rechnerstart (bei rechnerbezogenen Anwendungen) installiert. Beim Zuweisen von Anwendungen auf Benutzer wird die Anwendung standardmäßig bei der nächsten Benutzeranmeldung installiert. Das bedeutet, dass das Anwendungssymbol im Startmenü erscheint und die Registrierung mit den Informationen der Anwendung aktualisiert wird. Außerdem werden der Speicherort der Anwendung sowie der Standort der Quelldatei für die Installation bekannt gemacht. Mit diesen Veröffentlichungsinformationen auf dem Rechner des Benutzers wird die Anwendung installiert, sobald der Benutzer die Anwendung das erste Mal starten möchte. Zusätzlich zu diesem Standardverhalten, unterstützen Windows XP Professional und Windows Server 2003 Clients eine Option, um das Paket vollständig beim Anmelden installiert. Dies ist eine gute Alternative zu der Installation nach dem ersten Start der Anwendung. Wenn man Anwendungen Computern zuweist, dann wird die Anwendung beim nächsten Start des Rechners installiert. Anwendungen, die Computern zugewiesen wurden, werden nicht angekündigt, sondern mit den Standardeinsstellungen für das Installationspaket installiert. Wenn man Anwendungen via Gruppenrichtlinien zuweist, wird ein autorisiertes Windows Installer (.msi) Paket benötigt. - 456 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Anwendungen veröffentlichen Man kann Anwendungen für Benutzer auch veröffentlichen, indem man für die Benutzer die Anwendung zur Installation verfügbar macht. Um eine veröffentlichte Anwendung zu installieren, muss der Benutzer die Option Neue Software hinzufügen in der Systemsteuerung benutzen, welche eine Liste aller veröffentlichten Anwendungen enthält. Alternativ können Administratoren die Option Auto-Installation der Anwendung, wenn Dateierweiterung aktiviert wurde nutzen. Dabei wird die Installation der Software gestartet, wenn ein Benutzer eine Datei mit der entsprechenden Dateierweiterung startet. Wenn man z.B. auf eine Datei mit der Erweiterung .xls doppelt klickt wird die Installation von Microsoft Excel gestartet, wenn es nicht schon installiert ist. Anwendungen können nur für Benutzerrichtlinien veröffentlicht werden. Es ist nicht möglich Anwendungen für Computer zu veröffentlichen. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seiten 723f. • 2. Auflage: Seiten 741f. - 457 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 110 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Die EDV-Beratung Eißner fusioniert mit der Firma MVS. Sie müssen neue Benutzerkonten für alle Angestellten von MVS erstellen. Das Format für die E-Mail-Adressen aller Benutzer von MVS ist [email protected]. Die Benutzer müssen ihre E-Mail-Adressen nach der Fusion weiter benutzen können. Um weniger Verwirrung zu erzeugen, sollen sich die Benutzer mit ihren EMail-Adressen an das Firmennetzwerk anmelden. Sie sollen sicherstellen, dass sich die neuen Benutzer mit ihren E-MailAdressen anmelden können. Sie sollen diese Aufgabe mit dem geringsten Kostenaufwand sowie mit einem Minimum an administrativem Aufwand erreichen. Was müssen Sie tun? A { Sie erstellen in der Gesamtstruktur EISSNER-EDV.DE eine neue Domäne mit der Bezeichnung MVSNET.DE. Danach erstellen Sie für alle Benutzer der Domäne MVSNET.DE Benutzerkonten. B { Sie erstellen eine neue Gesamtstruktur mit der Bezeichnung MVSNET.DE. Danach erstellen Sie für alle Benutzer der Domäne MVSNET.DE Benutzerkonten. Zudem erstellen Sie eine Gesamtstrukturvertrauensstellung zwischen den beiden Gesamtstrukturen. C { Sie erstellen für jeden neuen Benutzer der Domäne EISSNER-EDV.DE Benutzerkonten. Danach konfigurieren Sie die E-Mail-Adressen der MVS-Benutzer als [email protected]. D { Sie konfigurieren MVSNET.DE als ein zusätzliches UPNSuffix für die EISSNER-EDV.DE-Gesamtstruktur. Danach konfigurieren Sie jedes Benutzerkonto so, dass es das MVSNET.DE-Suffix benutzt. Richtige Antwort: D Begründung UPN Anmeldung aktivieren - 458 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Man kann das Anmelden der Benutzer vereinfachen indem man die UPNAnmeldung aktiviert. Wenn die UPN-Anmeldung aktiviert ist, dann verwendet jeder Benutzer das gleiche UPN-Suffix um sich an die Domäne anzumelden. Dies könnte beispielsweise die E-Mail-Adresse des Benutzers sein. Beispiel: Der Benutzer Frank in der EISSNER-EDV.DE Domäne gibt [email protected] als Anmeldename an. Auf diesem Weg braucht er keine Domäne auswählen. UPN-Namen umfassen den Anmeldenamen des Benutzers und den DNS-Namen der Domäne. Wenn man die UPNAnmeldung aktiviert, dann bleiben die Anmeldenamen des Benutzers immer gleich, selbst wenn ihre Domäne geändert wird. Sie sollten die UPN-Anmeldung aktivieren, wenn Ihr System folgende Voraussetzungen erfüllt: • Der Domänenname des Unternehmens ist komplex und schwer zu merken. • Die Domänen des Unternehmens können sich aufgrund von Domänenzusammenschlüssen oder anderer organisatorischer Aktionen ändern. • Die Anmeldenamen der Benutzer sind innerhalb der Gesamtstruktur eindeutig. • Ein globaler Katalogserver ist verfügbar, um die UPN-Namen den richtigen Domänenkonten zuzuordnen. • Man kann ein UPN-Suffix für alle Benutzer in der Gesamtstruktur benutzen. Beispiel: [email protected] ist ein Mitglied der Domäne MVSNET.DE, die eine Subdomäne der Domäne EISSNER-EDV.DE ist. Wenn Tina sich anmeldet, muss sie nicht den Domänenamen kennen, da ein globaler Katalog die Domäne, die ihr Benutzerkonto enthält, findet. Wenn Tina in eine andere Domäne wechselt, meldet sie sich immer noch mit dem gleichen UPN-Suffix an. Um die UPN-Anmeldung für alle Konten zu aktivieren, verwendet man Active Directory Benutzer und Computer. Hier kann man die Benutzerkonten verwalten und einen UPN-Suffix zuordnen. UPN-Anmeldung aktivieren: In Active Directory Benutzer und Computer, Rechtsklick auf das Benutzerkonto. Auf Eigenschaften klicken und das Register „Konto“ wählen. Einen UPN-Suffix aus der Drop Down Combobox „Benutzeranmeldename“ auswählen. Die Antworten A und B sind falsch, da aus der Aufgabenstellung hervorgeht, dass neue Benutzerkonten (innerhalb von EISSNER-EDV.DE) - 459 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 erstellt werden sollen. Es ist nicht die Rede davon, dass MVSNET.DE in irgendeiner Weise in die Gesamtstruktur EISSNER-EDV.DE integriert werden soll. Lösungsweg C geht zwar in die richtige Richtung, aber es fehlt die Erstellung eines zusätzlichen UPN-Suffixes. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Active Directory-Namen • Active Directory\So wird es gemacht\Verwalten von Domänen\Hinzufügen von Benutzerprinzipalnamen-Suffixen MS Training • 1. Auflage: Seiten 36, 131 • 2. Auflage: Seiten 36, 133 - 460 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 111 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Für alle Benutzerkonten auf jedem Server wird täglich eine Passwortrücksetzung durchgeführt. Die Windows Server 2003 Rechner »MVSDC001«, »MVSDC002« und »MVSDC003« sind wie folgt konfiguriert: An einem Mittwochmorgen verbindet sich ein anderer Administrator in Kronach mit dem Server »MVSDC003« und löscht eine Organisationseinheit (OU) mit der Bezeichnung KronachBenutzer. Die Änderung wird auf alle Standorte der Gesamtstruktur repliziert. Benutzer in Kronach berichten, dass sie sich nicht länger an das Netzwerk anmelden können. Sie sollen den Benutzern in Kronach die Anmeldung an das Netzwerk so schnell wie möglich ermöglichen. Außerdem sollen Sie sicherstellen, dass die Unterbrechung für die Benutzer in Puchheim und Veilsdorf auf ein Minimum reduziert wird. Was müssen Sie tun? - 461 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie stellen die Organisationseinheit KronachBenutzer auf »MVSDC001« aus einem Backup wieder her. Sie benutzen das ntdsutil-Utility um die Organisationseinheit als autorisierend zu kennzeichnen. Danach führen Sie eine Replikation durch. B { Sie stellen die Organisationseinheit KronachBenutzer auf »MVSDC002« aus einem Backup wieder her. Danach führen Sie eine Replikation durch. C { Sie stellen ntdsutil wieder her, um sich mit »MVSDC001« zu verbinden. Sie verwenden den Metadatenbereinigungsbefehl um »MVSDC003« von Active Directory zu entfernen. Danach erzwingen Sie eine Replikation. D { Sie verwenden das ntdsutil-Utility auf »MVSDC003«, um den Domänennamenkontext als autorisierend zu kennzeichnen. Danach erzwingen Sie eine Replikation. Richtige Antwort: A Begründung Man muss die Organisationseinheit KronachBenutzer wiederherstellen. Dies sollte man auf »MVSDC001« machen, da auf diesem Domänencontroller das aktuellste Backup vorhanden ist. Danach muss man die Organisationseinheit KronachBenutzer als autorisierend kennzeichnen, damit sie zu den anderen Domänencontrollern repliziert wird. Würde man die Organisationseinheit nicht als autorisierend kennzeichnen, dann würde sie bei der nächsten Active Directory Replikation gelöscht werden. Durch die Autorisierung wird der Datenstand auf »MVSDC001« als aktuellster gekennzeichnet. Antwort B ist falsch, da die Organisationseinheit auf »MVSDC002« nicht als autorisierend gekennzeichnet wurde. Die wiederhergestellten Daten werden bei der nächsten Replikation gelöscht. Die Verwendung der Befehlsoption Metadatenbereinigung aus Lösungsvorschlag C kann nicht für die Wiederherstellung von Daten verwendet werden. Dieser Befehl wird beispielsweise für das Löschen von Metadaten nicht ordnungsgemäß herabgestufter Domänencontroller verwendet. Ebenso kann mit der Vorgehensweise in Antwort D keine Wiederherstellung der Organisationseinheit erreicht werden. Außerdem kann man den Domänennamenkontext nicht als autorisierend kennzeichnen, sondern nur die NTDS-Datenbank oder Unterzweige des Active Directory. Hilfe - 462 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Datenträger und Daten\Sichern und Wiederherstellen von Daten\Sichern und Wiederherstellen von Daten\Konzepte\Grundlegendes zur Sicherung\Autorisierende, primäre und normale Wiederherstellung • Ntdsutil: Befehlszeilenreferenz MS Training • 1. Auflage: Seite 169 • 2. Auflage: Seite 172 - 463 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 112 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. In der Domäne ist eine Organisationseinheit mit der Bezeichnung Buchführung vorhanden. Der Benutzer Steffen arbeitet in der Buchhaltung. Das Benutzerkonto für Steffen befindet sich in der Organisationseinheit Buchhaltung. Sie erstellen drei Gruppenrichtlinien und verknüpfen diese mit der Organisationseinheit Buchhaltung. Die drei Gruppenrichtlinien werden im folgenden Schaubild gezeigt: - 464 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Sie starten das Tool Richtlinienergebnissatz im Protokollierungmodus für das Benutzerkonto von Steffen. Das Ergebnis der Richtlinien, die sich auf das Benutzerkonto Steffen beziehen, wird im folgenden Schaubild gezeigt: Sie sollen sicher gehen, dass das Desktopregister und das Bildschirmschonerregister in der Anzeige deaktiviert sind. Was müssen Sie tun? A { Sie setzen die Gruppenrichtlinie Bildschirmschonerregister einblenden in der Prioritätsliste der Gruppenrichtliniendialogbox nach oben. B { Sie setzen die Gruppenrichtlinie Bildschirmschonerregister einblenden in der Prioritätsliste der Gruppenrichtliniendialogbox nach unten. C { Sie deaktivieren die Einstellung Richtlinienvererbung deaktivieren der Organisationseinheit Buchführung. D { Sie klicken auf die Schaltfläche Optionen in der Buchführungseigenschaftendialogbox und aktivieren die Einstellung Kein Vorrang… für die Gruppenrichtlinie Desktopregister ausblenden. Richtige Antwort: B Begründung Das Desktopregister ist nicht sichtbar. Deshalb braucht man nur noch das Bildschirmschonerregister verschwinden zu lassen. Mit der ursprünglichen Einstellung steht die Richtlinie Bildschirmschonerregister einblenden an erster Stelle. Sie überschreibt die Richtlinie Bildschirmschonerregister ausblenden überschrieben. Das Ergebnis - 465 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 ist, dass das Bildschirmschonerregister noch immer zu sehen ist. Das kann man aber leicht ändern, indem man die Richtlinie Bildschirmschonerregister einblenden in der Prioritätsliste der Gruppenrichtliniendialogbox der Organisationseinheit Buchführung niedriger einstuft. Dadurch wird die Richtlinie Bildschirmschonerregister einblenden zuerst angewendet und anschließend von der Richtlinie Bildschirmschonerregister ausblenden überschrieben. Antwort A schlägt ein Erhöhen der Priorität für die Richtlinie Bildschirmschonerregister einblenden vor. Dadurch ändert sich aber an dem aktuellen Gruppenrichtlinienergebnis nichts. Nur wenn die Priorität dieser Richtlinie niedriger eingestellt wird, erreicht man das gewünschte Ergebnis. In Lösungsweg C wird die Richtlinienvererbung deaktiviert. Das hat keinen Einfluss auf die Richtlinien der Organisationseinheit Buchführung, da diese so oder so Vorrang vor den geerbten Gruppenrichtlinieneinstellungen haben. Die Option Kein Vorrang… in Lösungsvorschlag D für die Richtlinie Desktopregister ausblenden würde bewirken, dass eine Gruppenrichtlinie einer niedrigeren Ebene durch die Einstellungen dieser Richtlinie überschrieben würde. Das hat aber keinen Einfluss auf die aktuellen Gruppenrichtlinien. Hilfe • Verwaltungs- und Skriptingprogramme\Konfigurations- und Verwaltungsprogramme\Richtlinienergebnissatz\So wird es gemacht\Ausführen von Richtlinienergebnissatz • Verwaltungs- und Skriptingprogramme\Konfigurations- und Verwaltungsprogramme\Gruppenrichtlinien – • Weitere Information zu Gruppenrichtlinien, dann im neuen Fenster: Gruppenrichtlinien\Konzepte\Grundlegendes zu Gruppenrichtlinien\Richtlinienvererbung • Gruppenrichtlinien\Konzepte\Grundlegendes zu Gruppenrichtlinien\Reihenfolge der Gruppenrichtlinien MS Training • 1. Auflage: Seite 613 • 2. Auflage: Seite 628 - 466 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 113 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Im Netzwerk befinden sich zehn Dateiserver auf denen Windows Server 2003 läuft. Alle Dateiserver befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Server. Sie stellen fest, dass ein Virus die Dateien auf den Dateiservern infiziert hat. Sie verwenden eine Antivirusanwendung, die den Virus entfernt und ein Patch installiert, damit der Virus keine Dateien wieder infizieren kann. Das Programm sowie zugehörige Updates sind als .msi-Dateien verfügbar. Die Dateiserver müssen online bleiben, da zurzeit Benutzer an vertraulichen Projekten arbeiten. Sie sollen sicherstellen, dass die Dateiserver vor Virenangriffen geschützt sind. Diese Aufgabe soll mit einem Minimum an administrativem Aufwand erfüllt werden. Welche Option/en müssen Sie wählen, um das Ziel zu erreichen? (Um die Frage zu beantworten, ziehen Sie die Option, die zuerst ausgeführt werden soll, in das erste Aktionsfeld. Fahren Sie dementsprechend mit den anderen Optionen fort, bis alle benötigten Optionen in der richtigen Reihenfolge sind. Es kann sein, dass nicht alle nummerierten Felder benutzt werden müssen.) Richtige Antwort: C - 467 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Wenn man Anwendungen Computern zuweist, werden diese beim nächsten Start des Rechners installiert. Anwendungen die zugewiesen sind, werden nicht bekannt gemacht, sondern mit den Standardeinstellungen installiert, die für dieses Packet konfiguriert sind. Die Aufgabe verlangt, dass die Dateiserver verfügbar bleiben, da zurzeit Benutzer an vertraulichen Projekten arbeiten. Deswegen kann man keine Gruppenrichtlinien benutzen, um die Anwendung zuzuweisen (ein Rechnerneustart ist momentan nicht möglich). Deshalb muss man die Software manuell auf den Rechnern installieren. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seiten 724f. • 2. Auflage: Seiten 742f. - 468 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 114 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Benutzerkonten der Finanzabteilung befinden sich in der Organisationseinheit (OU) Finanz. Sie verwenden Gruppenrichtlinien, um die Benutzerkonten zu verwalten. Die Benutzer der Finanzabteilung benötigen eine neue Anwendung auf ihren Rechnern. Einige Benutzer melden sich freiwillig, um die Anwendung zu testen, bevor sie in der ganzen Abteilung installiert wird. Sie konfigurieren eine Gruppenrichtlinie, um das Programm zu installieren. Sie erstellen eine Gruppe mit der Bezeichnung TestUser in der Organisationseinheit Finanz. Danach nehmen Sie die Benutzerkonten der Testbenutzer in die Gruppe TestUser auf. Die Benutzerkonten der Testbenutzer befinden sich ebenfalls in der Organisationseinheit Finanz. Sie dürfen nur den Testbenutzern das Testen der Anwendung erlauben. Was müssen Sie tun? A { Sie weisen der Gruppe TestUser das Recht für die Eigenschaft grouppolicyContainer erstellen der Organisationseinheit Finanz zu. B { Sie weisen der Gruppe TestUser Leserechte und das Recht zum Anwenden von Gruppenrichtlinien für diese Richtlinie zu. Sie entfernen das Recht zum Anwenden der Gruppenrichtlinie für die Gruppe Authentifizierte Benutzer. C { Sie geben der Gruppe TestUser das Recht zum Erstellen eines Richtlinienergebnissatzes (Protokollmodus) für die Organisationseinheit Finanz. D { Sie geben der Gruppe TestUser das Recht zum Erstellen eines Richtlinienergebnissatzes (Planungsmodus) für die Organisationseinheit Finanz. Richtige Antwort: B Begründung Die Anwendung soll nur für die Testbenutzer installiert werden. Das kann man erreichen, indem man der Gruppe TestUser Leserechte und das Recht zum Anwenden einer Gruppenrichtlinie gibt. Um zu verhindern, dass die Gruppenrichtlinie auf andere Benutzer der Organisationseinheit Finanz angewendet wird, muss man das Recht zum Anwenden einer Gruppenrichtlinie der Gruppe Authentifizierte Benutzer entziehen. In Antwort A soll die Gruppe TestUser das Recht zum Erstellen von Gruppenrichtliniencontainern erhalten. Dieses Recht hat keinen Einfluss - 469 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 auf die Anwendung von Gruppenrichtlinien und entspricht somit nicht der Aufgabenstellung. Die Lösungsmöglichkeiten C und D beziehen sich auf Berechtigungen zum Erstellen von Richtlinienergebnissätzen. Auch das hat mit der Aufgabenstellung nichts zu tun. Wichtig ist, zwischen den normalen Benutzern und den Testbenutzern zu differenzieren. Dies geht nur, indem man, wie in Lösung B, das Recht für das Anwenden einer Gruppenrichtlinie (Gruppenrichtlinie übernehmen) modifiziert. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Seite 616 • 2. Auflage: Seite 631 - 470 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 115 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows Server 2003 und auf allen Clients Windows XP Professional. Die Benutzerkonten haben lokale administrative Berechtigungen, sodass jeder Benutzer Software installieren kann. Ein Supportteam unterstützt die Endbenutzer dabei. Die Mitarbeiter des Supportteams sind alle Mitglieder einer Gruppe mit der Bezeichnung Support. Sie erstellen eine Gruppenrichtlinie, die den Benutzern das Ausführen des Registriereditors mittels einer Hashregel in den Richtlinien für Softwareeinschränkung verbietet. Sie weisen diese Richtlinie allen Benutzerkonten der Domäne zu. Mitglieder des Desktopsupportteams berichten, dass sie folgende Fehlermeldung erhalten, wenn sie versuchen den Registriereditor auszuführen: Windows kann dieses Programm nicht öffnen, weil dies einer Systemrichtlinie zufolge nicht zulässig ist. Öffnen Sie die Ereignisanzeige oder wenden Sie sich an den Systemadministrator, um weitere Informationen zu erhalten. Sie sollen sicherstellen, dass nur das Supportteam den Registriereditor ausführen kann. Was müssen Sie tun? A { Sie konfigurieren die Richtlinien für Softwareeinschränkung so, dass sie für alle Benutzer außer den lokalen Administratoren gilt. B { Sie nehmen die Benutzer in die Gruppe der Hauptbenutzer auf anstatt in die Gruppe der Administratoren. C { Sie benutzen ein Login-Skript, um den Registriereditor auf Laufwerk C:\ zu kopieren. Danach weisen Sie den Domänenadmins die Leseberechtigung zu. D { Sie filtern die Richtlinien für Softwareeinschränkung, sodass die Gruppe Support vom Ausführen der Richtlinie ausgeschlossen ist. Richtige Antwort: D Begründung - 471 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Man kann das Anwenden der Richtlinien für Softwareeinschränkung auf die Gruppe Support verhindern, indem man die Berechtigungen für die Anwendung der Gruppenrichtlinie modifiziert. Da die Benutzer Mitglied der lokalen Gruppe der Administratoren sind, kann man die Gültigkeit der Richtlinien für Softwareeinschränkung nicht für die lokalen Administratoren verbieten. Der Lösungsvorschlag A ist damit nicht akzeptabel. Antwort B zeigt einen möglichen Weg, ist aber unvollständig. Man müsste zusätzlich die Gültigkeit der Richtlinien für Softwareeinschränkung für die lokalen Administratoren verbieten, damit diese weiterhin den Registriereditor benutzen können. Durch die Hashregel wird grundsätzlich die Ausführung des Registriereditors verhindert, ganz gleich, wo sich die ausführbare Datei befindet. Das Kopieren des Registriereditors auf C:/, wie in Antwort D vorgeschlagen, bringt somit keine Änderung. Hilfe • Sicherheit\Richtlinien für Softwareeinschränkung\Konzepte MS Training • 1. Auflage: Seite 616 • 2. Auflage: Seite 631 - 472 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 116 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. In der Domäne befinden sich zwei Windows Server 2003 Domänencontroller mit den Bezeichnungen »MVSDC001« und »MVSDC002«. Auf »MVSDC001« läuft DNS für die gesamte Domäne. Jede Nacht werden Backups für die Systemstatusdateien auf jedem Domänencontroller durchgeführt. Eine Überspannung beschädigt beide Domänencontroller. Sie ersetzen beide Domänencontroller durch zwei neue Rechner und spielen das aktuellste Sicherungsband ein. Sie müssen die Active Directory-Domäne wiederherstellen, indem Sie die Sicherungsbänder verwenden. Als erstes sollen Sie den Namensauflösungsdienst wiederherstellen. Was müssen Sie tun? (Um die Frage zu beantworten, ziehen Sie die Option, die zuerst ausgeführt werden soll, in die Erste-Aktion-Box. Fahren Sie mit dem Ziehen der Optionen fort, bis alle drei Aktionen zum wiederherstellen von »MVSDC001« und alle drei Aktionen zum Wiederherstellen von »MVSDC002« aufgelistet sind.) Richtige Antwort: - 473 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Begründung Beide Domänencontroller müssen wiederhergestellt werden. Die erste Aktion ist die Installation von Windows Server 2003 auf beiden. Um auf einem Domänencontroller den Systemstatus wiederherzustellen, muss der Rechner mit einer speziellen Option gestartet werden, die Verzeichniswiederherstellung genannt wird. Dadurch werden der SYSVOLOrdner und die Active Directory Service Datenbank wiederhergestellt. Um im Verzeichniswiederherstellungsmodus starten zu können, muss man während des Rechnerstarts F8 drücken und die Verzeichniswiederherstellung aus der Liste der Startoptionen wählen. Auf dem ersten Domänencontroller muss man eine primäre Wiederherstellung der Systemstatusdateien durchführen. Das gilt immer nur für den ersten Domänencontroller im Netzwerk. Auf dem zweiten Domänencontroller (und allen weiteren) führt man eine normale Wiederherstellung der Systemstatusdateien durch. Die Daten werden dabei als veraltet gekennzeichnet. Auf diesem Weg werden alle Änderungen in der Active Directory vom ersten Domänencontroller auf den zweiten Domänencontroller (und alle weiteren) repliziert. Hilfe • Datenträger und Daten\Sichern und Wiederherstellen von Daten\Sichern und Wiederherstellen von Daten\Konzepte\Grundlegendes zur Sicherung\Autorisierende, primäre und normale Wiederherstellung MS Training • 1. Auflage: Seiten 168f. • 2. Auflage: Seiten 171f. - 474 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 117 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Windows 2003 Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.INTERN. Das Netzwerk enthält 20 Server, auf denen Windows Server 2003 läuft, und 700 Clientrechner mit Windows XP Professional. Alle Server befinden sich im Standardcomputercontainer. Alle Clientrechner gehören zu einer Organisationseinheit (OU) mit der Bezeichnung Clients. Alle Domänencontroller sind im Standardcontainer für Domänencontroller organisiert. Die Namensauflösung und die IPAdressierung werden von DNS, WINS und DHCP kontrolliert. Sie sollen sicher gehen, dass das DNS-Suffix in den Systemeigenschaften aller Clients auf EISSNER-EDV.DE eingestellt ist. Was müssen Sie tun? A { Sie erstellen eine neue Gruppenrichtlinie und verknüpfen diese mit der Organisationseinheit Clients. Danach stellen Sie die Konfiguration des primären DNS-Suffixes auf EISSNER-EDV.DE. B { Sie modifizieren die Default Domain-Richtlinie. Danach stellen Sie die Konfiguration des primären DNS-Suffixes auf EISSNER-EDV.DE. C { Sie definieren in den DHCP-Bereichsoptionen EISSNEREDV.INTERN als DNS-Domänennamen. D { Sie definieren in den DHCP-Bereichsoptionen EISSNEREDV.INTERN als NIS-Domänennamen. Richtige Antwort: A Begründung Man soll sicherstellen, dass der DNS-Suffix jedes Clients auf EISSNEREDV.DE eingestellt ist. Die Clientrechner sind in einer Organisationseinheit mit der Bezeichnung Clients organisiert. Der beste Weg dies zu realisieren, ist die Erstellung eine Gruppenrichtlinie, die das primäre DNS-Suffix auf EISSNER-EDV.DE einstellt. Diese Richtlinie muss dann mit der Organisationseinheit Clients verknüpft werden. Antwort B klingt zwar auch recht plausibel, aber die Verknüpfung mit der Default Domain-Richtlinie ist falsch, da die Richtlinie auch auf die Server und Domänencontroller angewendet würde. Diese befinden sich in Objekten die sich innerhalb des Gültigkeitsbereiches der Default DomainRichtlinie befinden. Sofern die Vererbung nicht deaktiviert ist, übernehmen sie deren Einstellungen. Aus der Aufgabenstellung geht nicht - 475 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 hervor, ob die Server mit statischen IP-Adressen konfiguriert sind, oder ihre Adressen dynamisch per DHCP beziehen. Deshalb ist die Zuweisung des DNS-Suffixes über DHCP aus Antwort C keine exakte Lösung. Lösungsvorschlag D konfiguriert einen Domänennamen für eine NISDomäne unter UNIX bzw. Linux und ist damit falsch. Hilfe • Kein direkter Verweis MS Training • 1. Auflage: Kein direkter Verweis • 2. Auflage: Kein direkter Verweis - 476 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 118 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Michael arbeitet in der Verkaufsabteilung. Benutzerobjekte der Mitarbeiter des Verkaufs werden in einer Organisationseinheit (OU) mit der Bezeichnung Verkauf gespeichert. Als Michael in eine andere Abteilung versetzt wurde, ist sein Benutzerkonto gelöscht worden. Einige Wochen später wird Michael in die Verkaufsabteilung zurückversetzt. Sie erstellen ein neues Benutzerkonto in der Organisationseinheit Verkauf und gewähren dem Konto Zugriff auf die Verkaufsressourcen. Als Michael versucht, auf eine der 1000 Dateien zuzugreifen, die er vor seiner Versetzung erstellt hat, erhält er folgende Fehlermeldung: Zugriff verweigert. Er berichtet, dass er diese Fehlermeldung bei allen 1000 Dateien in 150 unterschiedlichen Ordnern erhält. Sie sollen Michael den Zugriff auf die Dateien, die er vor seiner ersten Versetzung erstellt hat und die er nach seiner Rückversetzung erstellen wird, ermöglichen. Diese Aufgabe sollen Sie ohne Beeinflussung anderer Benutzer im Netzwerk lösen. Was müssen Sie tun? A { Sie verschieben Michaels existierendes Konto in eine neue Organisationseinheit. Sie stellen die Organisationseinheit, die Michaels vorheriges Konto enthielt, nicht autorisierend wieder her. B { Sie stellen Michaels altes Konto nicht autorisierend wieder her. Sie erzwingen eine Active Directory-Replikation. C { Sie stellen Michaels altes Konto autorisierend wieder her. Sie erzwingen eine Active Directory-Replikation. D { Sie benennen Michaels existierendes Konto um. Danach stellen Sie Michaels altes Konto autorisierend wieder her. Richtige Antwort: D Begründung Obwohl Sie ein weiteres Konto mit der Bezeichnung „Michael“ erstellt haben, kann Michael auf keine seiner Dateien zugreifen. Das liegt daran, dass Michaels neues Konto einen anderen Security Identifier (SID) als das alte Konto erhalten hat. Es wird daher als ein anderes Konto betrachtet. Man könnte dem neuen Konto die notwendigen Berechtigungen zuteilen. Dies würde jedoch viel Zeit in Anspruch nehmen, da es sich um 150 - 477 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Ordner handelt. Es ist daher einfacher das alte Konto von Michael aus einem Backup wiederherzustellen. Um nicht zwei Konten mit der gleichen Bezeichnung zu erhalten, sollte man das existierende Konto vor dem Backup umbenennen oder noch besser löschen. Antwortmöglichkeit A schießt über das Ziel hinaus, denn es reicht aus, das Benutzerkonto zu restaurieren und nicht die komplette Organisationseinheit. Außerdem ist eine nicht autorisierende Wiederherstellung in diesem Fall falsch, da die Daten bei der nächsten Replikation überschrieben bzw. gelöscht würden. Das gleiche gilt auch für Lösungsweg B. Antwort C hingegen scheint auf den ersten Blick zu stimmen. Aber Vorsicht! Es handelt sich hier wieder einmal um eine typische Fangfrage. Man muss davon ausgehen, dass das neue Konto dieselbe Bezeichnung bekommt, wie das alte Konto. Das könnte bei der Wiederherstellung des alten Kontos zu Problemen führen, da Benutzerkonten mit gleichen Anmeldenamen nicht existieren können. Hilfe • Datenträger und Daten\Sichern und Wiederherstellen von Daten\Sichern und Wiederherstellen von Daten\Konzepte\Grundlegendes zur Sicherung\Autorisierende, primäre und normale Wiederherstellung • Häufige administrative Aufgaben\Erstellen von Benutzer- und Gruppenkonten MS Training • 1. Auflage: Seiten 169f. • 2. Auflage: Seiten 173f. - 478 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 119 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows Server 2003. Die Firmenleitung legt fest, dass fünf Windows XP Professional Rechner in einem öffentlichen Bereich für Besucher verfügbar sein sollen. Diese Rechner sollen nur zum Surfen auf öffentlichen Webseiten verwendet werden, sodass ein Webbrowser die einzige Anwendung auf den Rechnern sein wird. Sie nehmen die Rechner in die Active Directory-Domäne auf, erstellen eine neue Organisationseinheit (OU) mit der Bezeichnung Eingeschränkte Rechner und platzieren die fünf Computerkonten in dieser Organisationseinheit. Sie konfigurieren die Rechner so, dass jedes Mal, wenn ein Rechner hochgefahren wird, sich automatisch ein Benutzer mit der Bezeichnung Eingeschränkter Benutzer anmeldet. Das Konto Eingeschränkter Benutzer hat weder auf den Rechnern noch auf der Domäne administrative Rechte. Sie müssen die fünf Rechner so konfigurieren, dass auf öffentliche Webseiten, jedoch nicht auf andere Anwendungen zugegriffen werden kann. Diese Einschränkungen soll andere Benutzer oder Rechner im Netzwerk nicht betreffen. Was sind zwei mögliche Wege das Ziel zu erreichen? Was müssen Sie tun? (Jede richtige Antwort stellt eine komplette Lösung dar. Wählen Sie zwei.) - 479 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Domäne. Danach konfigurieren Sie die Benutzerkonfiguration der Gruppenrichtlinie so, dass nur der Internet Explorer ausgeführt werden kann. Anschließend konfigurieren Sie die Computerkonfiguration der Gruppenrichtlinie so, dass der Loopbackverarbeitungsmodus aktiviert ist. B Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Organisationseinheit Eingeschränkte Rechner. Danach konfigurieren Sie die Benutzerkonfiguration der Gruppenrichtlinie so, dass nur der Internet Explorer ausgeführt werden kann. Anschließend konfigurieren Sie die Gruppenrichtlinie so, dass es nur auf das Konto Eingeschränkte Benutzer angewendet wird. C Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Organisationseinheit Eingeschränkte Rechner. Sie konfigurieren die Gruppenrichtlinie so, dass sie alle Benutzer der lokalen Gastgruppe der fünf Windows XP Rechner enthält. D Sie erstellen eine Gruppenrichtlinie (GPO) und verknüpfen diese mit der Domäne. Danach konfigurieren Sie die Benutzerkonfiguration der Gruppenrichtlinie so, dass nur der Internet Explorer ausgeführt werden kann. Anschließend konfigurieren Sie die Gruppenrichtlinie so, dass diese nur auf das Konto Eingeschränkter Benutzer angewendet wird. E Sie erstellen eine Gruppenrichtlinie (GPO) und verbinden diese mit der Organisationseinheit Eingeschränkte Rechner. Danach konfigurieren Sie die Benutzerkonfiguration der Gruppenrichtlinie so, dass nur der Internet Explorer ausgeführt werden kann. Anschließend konfigurieren Sie die Computerkonfiguration der Gruppenrichtlinie so, dass der Loopbackverarbeitungsmodus aktiviert ist. Richtige Antworten: D und E Begründung Die Computer sind so konfiguriert, dass beim Hochfahren das Konto Eingeschränkter Benutzer automatisch angemeldet wird. Man muss eine Gruppenrichtlinie so konfigurieren, dass nur der Internet Explorer ausgeführt werden kann. Zum einen kann man diese Gruppenrichtlinie mit der Domäne verbinden und unter Verwendung von Sicherheitsberechtigungen sicherstellen, dass die Richtlinie nur auf das Konto Eingeschränkter Benutzer angewendet wird (Lösung D). Dadurch - 480 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 wird erreicht, dass die Gruppenrichtlinie auf den eingeschränkten Rechnern wirksam wird. Diese Computer befinden sich in der Organisationseinheit Eingeschränkte Rechner. Deshalb wäre die andere Lösung die Verknüpfung der Gruppenrichtlinie mit dieser Organisationseinheit. Das stellt sicher, dass die Gruppenrichtlinie auf keinem anderen Computer angewendet wird. Da es sich um Computerkonten handelt, wird normalerweise nur die Computerkonfiguration wirksam. Die Internet Explorer Einstellungen befinden sich aber im Benutzerteil der Gruppenrichtlinie. Man kann die Benutzerkonfiguration unter Verwendung des Loopbackverarbeitungsmodus auf das Konto Eingeschränkter Benutzer anwenden. Im Loopbackverarbeitungsmodus kann man sich zwischen Ersetzen oder Zusammenführen von benutzerspezifischen Richtlinien entscheiden. Der Modus Ersetzen ersetzt alle normalen Richtlinieneinstellungen eines Benutzers mit den Richtlinieneinstellungen, die in der Benutzerkonfiguration der Gruppenrichtlinie, die auf den Computer angewendet wird, definiert sind. Der Modus Zusammenführen verbindet alle normalen Richtlinieneinstellungen des Benutzers mit den Loopbackeinstellungen. Bei einem Konflikt zwischen einem Richtliniengegenstand der normalen Richtlinieneinstellungen des Benutzers und den Loopbackeinstellungen wird die Loopbackeinstellung angewendet. Die Aufgabe ist wieder einmal sehr raffiniert formuliert: Man muss hier genau nachdenken, um alle Fallen zu erkennen. In Antwort A wird die Gruppenrichtlinie mit der Domäne verknüpft. Dieser Fall ist ziemlich eindeutig, das heißt, die Benutzerkonfiguration würde auf alle Benutzerkonten innerhalb der Domäne angewendet. Der Loopbackverarbeitungsmodus ist hier überflüssig. In Antwort B, die auf den ersten Blick richtig erscheint, wird die Gruppenrichtlinie mit der Organisationseinheit Eingeschränkte Rechner verknüpft. Wie oben beschrieben, wird in diesem Fall nur die Computerkonfiguration wirksam. Die Einschränkung auf den Internet Explorer hätte keine Wirkung. Lösungsmöglichkeit C geht auch von einer Verknüpfung der Gruppenrichtlinie mit der Organisationseinheit Eingeschränkte Rechner aus. Hier trifft praktisch dasselbe zu wie bei Antwort B. Die Einschränkung auf die lokale Gruppe Gast der fünf eingeschränkten Rechner ist natürlich Unsinn. Man kann sich fragen, warum in Antwort E keine Einschränkung der Berechtigungen auf das Benutzerkonto Eingeschränkter Benutzer vorgesehen ist. Der Grund ist aus der Aufgabenstellung ersichtlich. Die Gruppenrichtlinie wird auf die fünf eingeschränkten Rechner angewendet. Die Anmeldung erfolgt automatisch beim Rechnerstart mit dem Konto - 481 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Eingeschränkter Benutzer. Damit funktioniert die ganze Geschichte scheinbar. Sollte sich allerdings der Administrator an einem dieser Rechner anmelden, so wird diese Einschränkung auch für ihn wirksam. Die Lösung ist also nicht besonders raffiniert! Man sollte die Anmeldung für andere Benutzer an diesen Rechnern sperren und die Anwendung der Richtlinie für den Administrator verbieten. Hilfe • Verwaltungs- und Skriptingprogramme\Konfigurations- und Verwaltungsprogramme\Gruppenrichtlinien – Weitere Information zu Gruppenrichtlinien, • Gruppenrichtlinien\Konzepte\Grundlegendes zu Gruppenrichtlinien\Reihenfolge der Gruppenrichtlinien\Reihenfolge bei der Verarbeitung MS Training • 1. Auflage: Seiten 590f. • 2. Auflage: Seiten 604f. - 482 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 120 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003. Sie planen die Implementierung neuer Gruppenrichtlinien (GPOs). Die Buchführungs- und die Forschungsabteilung haben jeweils eine eigene Organisationseinheit (OU). Die Buchführungsabteilung unterteilt sich in die Abteilungen Kreditoren und Debitoren. Die Organisationseinheit Buchführung enthält somit die Organisationseinheiten Kreditoren und Debitoren. Benutzerkonten befinden sich in den Organisationseinheiten Buchführung, Kreditoren, Debitoren und Forschung. Die Buchführungsabteilung besitzt eine Buchführungsanwendung, die auf allen Rechnern, die von Benutzern der Buchführung verwendet werden, installiert sein muss. Außerdem wollen Sie vermeiden, dass die Buchführungsanwendung auf Rechner von anderen Benutzern installiert wird. Sie planen die Erstellung einer Gruppenrichtlinie mit der Bezeichnung Software, um die Buchführungsanwendung zu installieren. Die Benutzerkonten der Forschungsabteilung müssen Passwörter mit mindestens acht Zeichen Länge besitzen. Zudem müssen die Passwörter alle 30 Tage geändert werden. Es gibt keine spezifischen Passwortanforderungen für alle anderen Benutzer der Domäne MVSNET.DE. Sie planen die Erstellung einer Gruppenrichtlinie mit der Bezeichnung Passwort, um das Minimum der Passwortlänge und das Passwortalter zu konfigurieren. Sie müssen sich für die richtige Platzierung der Gruppenrichtlinien Passwort und Software entscheiden, während die Anmeldezeiten für die Benutzer an die Domäne minimiert werden. Womit sollten Sie die Gruppenrichtlinien Passwort und Software verknüpfen? - 483 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Richtige Antwort Begründung Die Buchführungsabteilung besitzt eine Buchführungsanwendung, die auf allen Rechnern, die von Benutzern der Buchführung verwendet werden, installiert sein muss. Außerdem wollen Sie vermeiden, dass die Buchführungsanwendung auf Rechner von anderen Benutzern installiert - 484 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 wird. Sie planen die Erstellung einer Gruppenrichtlinie mit der Bezeichnung Software, um die Buchführungsanwendung zu installieren. Die Gruppenrichtlinie Software muss auf die Organisationseinheit Buchführung angewendet werden. Diese Richtlinie wird dann auch in den Organisationseinheiten Kreditoren und Debitoren (die ebenfalls Benutzerkonten enthalten) angewendet. Die Benutzerkonten der Forschungsabteilung müssen Passwörter mit mindestens acht Zeichen Länge besitzen. Zudem müssen die Passwörter alle 30 Tage geändert werden. Es gibt keine spezifischen Passwortanforderungen für alle anderen Benutzer der Domäne MVSNET.DE. Sie planen die Erstellung einer Gruppenrichtlinie mit der Bezeichnung Passwort, um das Minimum der Passwortlänge und das Passwortalter zu konfigurieren. Da aus der Aufgabenstellung nicht hervorgeht, ob sich auch das Computerkonto des Domänencontrollers in einer der Organisationseinheiten befindet, müssen die Kennwortrichtlinien für Benutzerkonten auf Domänenebene angewendet werden. Die Kennwortrichtlinien befinden sich in der Computerkonfiguration der Gruppenrichtlinien. Die Richtlinien haben keinen Einfluss auf die Computerkonten der Domäne, wenn sie auf irgendeiner anderen Ebene angewendet werden. Hilfe • Sicherheit\Authentifizierung\Kennwörter\So wir es gemacht\Anwenden und Ändern von Kennwortrichtlinien MS Training • 1. Auflage: Seiten 196, 605f. • 2. Auflage: Seiten 202, 620f. - 485 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 121 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne mit der Bezeichnung EISSNER-EDV.DE. Auf allen Servern läuft Windows Server 2003. Alle Server, die nicht als Domänencontroller fungieren, befinden sich in einer Organisationseinheit (OU) mit der Bezeichnung Server. Alle Benutzerkonten befinden sich in einer Organisationseinheit mit der Bezeichnung Konten. Die Abteilung Krankenversicherung besitzt Server, die medizinische Einträge von Kunden speichern. Diese Server enthalten Informationen, die ständig überwacht werden müssen. Ein Prüftool, das nicht von Microsoft stammt, ist auf diesen Servern zur Überwachung der Kundeninformationen installiert. Nur eine kleine Anzahl lokaler Benutzerkonten hat auf jedem Server Zugriff auf die zu prüfenden Informationen. Aus rechtlichen Gründen muss die Krankenversicherungsabteilung ihre Kontosperrungs- und Kennworteinstellungen für die lokalen Benutzerkonten auf den Servern ändern. Sie müssen sicherstellen, dass die Server die Sicherheitsanforderungen weiterhin erfüllen. Sie wollen diese Aufgabe mit dem Minimum an administrativen Aufwand erfüllen. Was müssen Sie tun? - 486 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie erstellen eine neue Domäne unterhalb der Domäne EISSNER-EDV.DE. Anschließend nehmen Sie die Server als Mitglieder der neuen Domäne auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die Kontosperrungs- und Kennworteinstellungen enthält. Sie verbinden die Gruppenrichtlinie mit der neuen Domäne. B { Sie erstellen eine neue Domäne unterhalb der Domäne EISSNER-EDV.DE. Anschließend nehmen Sie die Benutzerkonten der Krankenversicherungsabteilung als Mitglieder der neuen Domäne auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die Kontosperrungs- und Kennworteinstellungen enthält. Sie verbinden die Gruppenrichtlinie mit der neuen Domäne. C { Sie erstellen eine neue Organisationseinheit unterhalb der Organisationseinheit Server. Anschließend nehmen Sie die Server als Mitglieder der neuen Organisationseinheit auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die Kontosperrungs- und Kennworteinstellungen enthält. Sie verbinden die Gruppenrichtlinie mit der neuen Organisationseinheit. D { Sie erstellen eine neue Organisationseinheit unter der Organisationseinheit Konten. Anschließend nehmen Sie die Server als Mitglieder der neuen Organisationseinheit auf. Sie erstellen eine Gruppenrichtlinie (GPO), die die Kontosperrungs- und Kennworteinstellungen enthält. Sie verbinden die Gruppenrichtlinie mit der neuen Organisationseinheit. Richtige Antwort: C Begründung Es muss eine neue Organisationseinheit für die Server erstellt und die Server anschließend in diese Organisationseinheit verschoben werden. Dann kann man ganz einfach die neuen Einstellungen, unter Verwendung einer Gruppenrichtlinie, auf sie anwenden kann. Normalerweise werden die Kontosperrungs- und Kennworteinstellungen für Domänenbenutzerkonten auf Domänenebene angewendet (für globale Benutzeranmeldung). In diesem Fall erfolgt die Anmeldung jedoch über lokale Benutzerkonten der Server. Bei dieser Aufgabe müssen die Kontosperrungs- und Kennworteinstellungen für lokale Benutzerkonten konfiguriert werden. Das erreicht man, indem man eine Gruppenrichtlinie mit der Organisationseinheit verbindet, welche die Server enthält. Das Einrichten einer zusätzlichen Domäne, wie in Antwort A und B, ist überflüssig. Eine zusätzliche Organisationseinheit ist voll ausreichend. Verknüpft man die Gruppenrichtlinie mit der Organisationseinheit Konten, dann ist das Ergebnis = NULL. Die Einstellungen befinden sich im Bereich - 487 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 der Computerkonfiguration der Richtlinie. Da der Domänencontroller sich aber standardmäßig im Container Domain Controllers befindet, hätte die Richtlinie keine Wirkung. Die Gruppenrichtlinie müsste auf die Domäne angewendet werden. Aber auch dann wäre Antwort D falsch, da in unserem Fall die lokalen Benutzerkonten der Server eingestellt werden sollen. Hilfe • Sicherheit\Authentifizierung\Kennwörter\So wir es gemacht\Anwenden und Ändern von Kennwortrichtlinien MS Training • 1. Auflage: Seiten 196, 605f. • 2. Auflage: Seiten 202, 620f. - 488 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 122 Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active DirectoryGesamtstruktur, die eine einzelne Domäne mit der Bezeichnung MVSNET.DE enthält. Es sind unter anderem die Organisationseinheiten (OUs) Servicepersonal und Domänenadmins in der Domäne vorhanden. Auf allen Clientrechnern läuft Windows XP Professional. Alle Clientrechnerkonten befinden sich in der Organisationseinheit MVS Rechner. Ihr Benutzerkonto ist Mitglied der Sicherheitsgruppe DomänenAdmins. Alle Benutzerkonten der Sicherheitsgruppe Domänen-Admins befinden sich in der Organisationseinheit Domänenadmins. Alle Benutzer des Servicepersonals besitzen Benutzerkonten, die Mitglied in der Sicherheitsgruppe SrvDeskGrp sind. Alle Benutzerkonten dieser Gruppe befinden sich in der Organisationseinheit Servicepersonal. Sie verwenden die Gruppenrichtlinienmanagementkonsole, um eine Gruppenrichtlinie mit der Bezeichnung Install Admin Tools, zu erstellen. Sie konfigurieren die Gruppenrichtlinie wie folgt: Sie erstellen ein Softwareinstallationspaket, das das Windows Server 2003 Administrationstool-Paket (adminpak.msi) den Benutzern zuweist. Sie verknüpfen die Gruppenrichtlinie mit der Organisationseinheit IT Benutzer. Sie entfernen die vordefinierte Gruppe Authentifizierte Benutzer aus der Liste der Benutzer und Gruppen, die für die Gruppenrichtlinie Berechtigungen haben. Sie geben der Sicherheitsgruppe SrvDeskGrp Berechtigung zum Lesen der Gruppenrichtlinie. Benutzer des Servicepersonals berichten, dass das administrative Tool, das zum Arbeiten benötigt wird, nicht installiert ist. Sie verwenden die Gruppenrichtlinienmanagementkonsole, um den Verlauf der Gruppenrichtlinienanwendung von einem betroffenen Benutzer zu untersuchen. Wenn Sie sich an einen Rechner anmelden, der normalerweise von einem Servicepersonal-Benutzer verwendet wird, sind automatisch alle administrativen Tools verfügbar. Sie müssen sicherstellen, dass administrative Tools für alle Benutzer, die Konten in der Organisationseinheit IT Benutzer haben, über Gruppenrichtlinien installiert werden können, ohne dass die administrativen Berechtigungen der Benutzer erhöht werden. Was müssen Sie tun? - 489 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 A { Sie verbinden die Gruppenrichtlinie Install Admin Tools mit der Organisationseinheit Servicepersonal. Sie verschieben die Computerkonten der Rechner, die von den Benutzern des Servicepersonals verwendet werden, in die Organisationseinheit Servicepersonal. B { Sie ändern die Sicherheitsfilterung der Gruppenrichtlinie Install Admin Tools so, dass die Sicherheitsgruppe SrvDeskGrp die Richtlinie anwenden kann. C { Sie verschieben die Sicherheitsgruppe SrvDeskGrp in die Organisationseinheit Domänenadmins. D { Sie modifizieren die Gruppenrichtlinie so, dass das Administrationstoolpaket den Computern, und nicht den Benutzern, zugewiesen wird. Richtige Antwort: B Begründung Um eine Gruppenrichtlinie einem Benutzer bzw. einer Gruppe zuzuweisen, muss der Benutzer bzw. die Gruppe die Berechtigung zum Lesen und Anwenden dieser Gruppenrichtlinie besitzen. In dieser Aufgabe besitzt die Sicherheitsgruppe SrvDeskGrp, die die Servicepersonal-Benutzerkonten beinhaltet, keine Berechtigung zum Anwenden der Gruppenrichtlinie (das Recht Lesen reicht nicht aus). Um die Anwendung der Gruppenrichtlinie zu ermöglichen, muss man die Berechtigungen so modifizieren, dass die Gruppe SrvDeskGrp die Berechtigung zum Anwenden der Gruppenrichtlinie (Gruppenrichtlinie übernehmen) erhält. Das Verknüpfen der Gruppenrichtlinie mit der Organisationseinheit Servicepersonal aus Antwort A ist nicht nötig, da diese der Organisationseinheit IT Benutzer untergeordnet ist und damit die Richtlinieneinstellungen von der übergeordneten Organisationseinheit erbt. Hier liegt nicht die Ursache des Problems. Auch das Verschieben der Gruppe SrvDeskGrp in die Organisationseinheit Domänenadmins beschert keinen Erfolg. Da die Gruppenrichtlinie auf beide untergeordnete Organisationseinheiten vererbt wird, ist es in diesem Fall unerheblich, in welcher Organisationseinheit sich die Gruppe SrvDeskGrp befindet. Deshalb ist C falsch. Die Clientrechner befinden sich alle in der Organisationseinheit MVS Rechner. Deshalb würde es nichts bewirken, wenn man das Administrationstoolpaket den Computern, und nicht den Benutzern zuweist und anschließend die Gruppenrichtlinie mit der Organisationseinheit IT Benutzer verbindet. Damit scheidet auch Lösungsweg D aus. Hilfe - 490 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Verwaltungs- und Skriptingprogramme\Konfigurations- und Verwaltungsprogramme\Gruppenrichtlinien • Gruppenrichtlinien\Konzepte\Grundlegendes zu Gruppenrichtlinien\Richtlinienvererbung MS Training • 1. Auflage: Seiten 615f. • 2. Auflage: Seiten 630f. - 491 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 123 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Sie implementieren eine neue Windows Server 2003-Netzwerkumgebung. Sie installieren die Stammdomäne einer Active Directory-Gesamtstruktur mit der Bezeichnung EISSNER-EDV.DE. Anschließend installieren Sie den ersten Domänencontroller mit der Bezeichnung »FDEDC001«. Sie konfigurieren »FDEDC001« als DHCP-Server und als einen Active Directory-integrierten DNS-Server mit dynamischen Updates. Später installieren Sie einen weiteren Domänencontroller mit der Bezeichnung »FDEDC002«. Sie können die Domänenfunktionsebene nicht auf Windows Server 2003 erhöhen. Sie stellen fest, dass die SRV-Einträge von »FDEDC001« in der EISSNER-EDV.DE-Zone auf dem DNS-Server nicht vorhanden sind. Sie führen das Tool dcdiag auf »FDEDC001« aus und erhalten folgendes Ergebnis: Sie müssen die Domänenfunktionsebene auf Windows Server 2003 erhöhen können. - 492 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Was müssen Sie tun? A { Sie konfigurieren »FDEDC002« zu einem globalen Katalogserver. B { Sie verwenden das Utility DHCP-Server Lokator, um herauszufinden, welche DHCP-Server in der EISSNEREDV.DE-Zone verfügbar sind. C { Sie starten den Netlogon-Dienst auf »FDEDC001«. D { Sie starten den DNS-Server-Dienst auf »FDEDC001« neu, um den DNS-Clients das Auflösen der Hostnamen zu ermöglichen, damit Namensabfragen und Aktualisierungsanforderungen beantwortet werden. Richtige Antwort: C Begründung Der Versuch, die Funktionsebene zu erhöhen, schlug fehl, da der Domänencontroller nicht im Netzwerk gefunden werden konnte. Die Frage sagt aus, dass die SRV-Einträge von »FDEDC001« in der EISSNEREDV.DE-Zone auf dem DNS-Server nicht vorhanden sind. Der NetlogonDienst auf einem Domänencontroller registriert die DNS-SRV-Einträge, die für die Dienste des Domänencontrollers benötigt werden, um 24 Stunden im Netzwerk präsent zu sein. Das Schaubild zeigt, dass der Netlogon-Dienst auf »FDEDC001« nicht ausgeführt wird. Um die Registrierung der SRV-Einträge, die vom Netlogon-Dienst durchgeführt wird, zu initiieren, kann man den NetlogonDienst neu starten. Der Domänencontroller »FDEDC002« muss kein globaler Katalogserver sein, damit ein Hochstufen der Funktionsebene möglich ist. Ebenso wenig hat das Problem mit dem DHCP-Server zu tun. Damit fallen die Antworten A und B nicht in die engere Wahl. Auch am DNS-Server kann es nicht liegen, da ja der Name des Servers (»FDEDC001«) aufgelöst wird. Anderenfalls würde das Schaubild andere Fehlermeldungen bringen. Außerdem ist aus dem Schaubild ziemlich genau die Fehlerursache zu erkennen. Hilfe • Netzwerkdienst\Verwalten der Hauptnetzwerkdienste\DNS\Konzepte\Verwalten von DNS\Verwalten von Zonen\Verwalten von Ressourceneinträgen MS Training - 493 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • 1. Auflage: Seite 94 • 2. Auflage: Seite 95 - 494 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Frage 124 Sie sind der Netzwerkadministrator der Firma EDV-Beratung Eißner. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domäne. Das Netzwerk enthält drei Windows Server 2003 Domänencontroller mit den Bezeichnungen »FDEDC001«, »FDEDC002« und »FDEDC003«. »FDEDC001« ist der Schemamaster und Domänennamenmaster. »FDEDC002« ist RID-Master, »FDEDC003« fungiert als PDCEmulatormaster und Infrastrukturmaster. »FDEDC002« fällt aus und lässt sich nicht mehr starten. Sie melden sich als Administrator an »FDEDC003« an und übernehmen die RID-MasterFunktion. Später ist »FDEDC002« repariert und kann wieder online gehen. Sie wollen, dass »FDEDC002« erneut die RID-Master-Funktion erhält. Was müssen Sie tun? A { Sie starten »FDEDC002« neu, während dieser mit dem Netzwerk verbunden ist. Sie verwenden das Utility ntdsutil und aktivieren die RID-Master-Funktion. Anschließend verbinden Sie »FDEDC002« erneut mit dem Netzwerk. B { Sie starten »FDEDC002« neu, während dieser nicht mit dem Netzwerk verbunden ist. Sie verwenden das Utility ntdsutil und aktivieren die RID-Master-Funktion. Anschließend verbinden Sie »FDEDC002« erneut mit dem Netzwerk. C { Sie installieren Windows Server 2003 auf »FDEDC002« neu. Anschließend stellen Sie den Systemstatus vom aktuellsten Backup von »FDEDC002« wieder her. Danach verbinden Sie »FDEDC002« erneut mit dem Netzwerk. D { Sie installieren Windows Server 2003 auf »FDEDC002« neu. Dann stufen Sie »FDEDC002« zum Domänencontroller hoch. Anschließend übertragen Sie die RID-Master-Funktion auf »FDEDC002«. Richtige Antwort: D Begründung Ein Domänencontroller, dessen RID-Master-Funktion übernommen wurde, darf nie wieder online gehen. Man kann keine zwei RID-Master in einer Domäne betreiben. In diesem Szenario wurde die RID-Master-Funktion durch »FDEDC003« übernommen. Um »FDEDC002« wieder online zu bringen, muss man ihn als Domänencontroller ohne Betriebmasterfunktion reaktivieren. Der einzige Weg, um dies zu tun, ist die Neuinstallation des Betriebssystems und die Heraufstufung des Servers zu einem - 495 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Domänencontroller. Wenn der Domänencontroller wieder online ist (ohne Betriebsmasterfunktion, auch FSMO genannt), kann man Betriebsmasterfunktionen zu ihm übertragen. Der in Antwort A und B beschriebene Weg würde dazu führen, dass zwei RID-Master in der Domäne existieren. Da aber nur ein RID-Master in einer Gesamtstruktur zulässig ist, würde das nicht funktionieren. Das Zurückspielen des Systemstatus aus dem letzten Backup würde die RIDMasterfunktion auf »FDEDC002« zwar wiederherstellen, aber wären dann auch zwei RID-Master in der Domäne vorhanden. Deshalb ist Antwort C falsch. Hilfe • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Domänen und Gesamtstrukturen\Reagieren auf Betriebsmasterausfälle • Active Directory\Konzepte\Grundlegendes zu Active Directory\Grundlegendes zu Domänen und Gesamtstrukturen\Übertragen von Betriebsmasterfunktionen • Active Directory\So wird es gemacht\Verwalten von Betriebsmasterfunktionen\Übernehmen der Betriebsmasterfunktionen\Übernehmen der RID-Masterfunktion MS Training • 1. Auflage: Seite 222 • 2. Auflage: Seite 228 - 496 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Simulationen - 497 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Simulation 1 Sie sind der Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus der Active Directory-Domäne MVSNET.DE mit einer auf Geschäftsfunktionen basierende OU-Struktur. OUs auf erster Ebene sind Consulting, Geschäftsleitung und Verlag. Diese beinhalten weitere Objekte wie Benutzer und Computerkonten, Gruppen, Anwendungen und weitere Organisationseinheiten. Für die Abteilung Verlag befinden sich die Computerkonten in der Organisationseinheit (OU) mvsnet.de/Verlag/Computer, die Benutzerkonten entsprechend in der OU mvsnet.de/Verlag/Users. Da die Mitarbeiter aus dem Bereich Consulting und Verlag abteilungsübergreifend Tätig sind, verfügen diese über ein servergespeichertes Benutzerprofil und sind in der Lage, sich von jedem Computer aus an der Domäne anzumelden. Ein Administrator erstellt eine Gruppenrichtlinie mit der Bezeichnung Softwarebereitstellung und verteilt damit die Paketdatei deploy.msi, die sich im lokalen Pfad C:\Software befindet, an alle Clientrechner der gesamten Domäne MVSNET.DE. Nun berichten Ihnen die Mitarbeiter, dass sie von den Arbeitsplatzrechnern im Verlag aus das Installationspaket deploy.msi nicht ausführen können. Sie müssen sicherstellen, dass in der gesamten Domäne für diejenigen Verlagsmitarbeiter, die Mitglieder der Gruppe Mitarbeiter Verlag sind, das Ausführen des .msi-Pakets unterbunden wird. Dies muss selbst dann gewährleistet sein, wenn das Installationspaket umbenannt wird. Alle anderen Mitarbeiter benötigen dieses .msi-SetupPaket, ungeachtet davon, von welchen Computern aus sie sich an der Domäne anmelden. Sie melden sich lokal am Server »MVSSRV001« an und erstellen eine neue Gruppenrichtlinie mit der Bezeichnung Softwareeinschränkung, die der geforderten Situation gerecht wird. Sie erstellen nur unbedingt nötige Verknüpfungen mit GPOs und keine weiteren Verarbeitungsausnahmen. Was sollten Sie tun? Setzen Sie diese Anforderungen in der Simulation um! - 498 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Richtige Antwort: In dieser Simulation geht es im Wesentlichen um die folgenden Punkte: Das Erstellen einer Zertifikatsregel für Mitglieder der Gruppe Mitarbeiter Verlag, das Filtern des GPO-Bereichs mithilfe von Sicherheitsgruppen und das Festlegen der Prioritäten. Über das Menü Start - Verwaltung oder Start - Alle Programme Verwaltung öffnen Sie das SnapIn Gruppenrichtlinienverwaltung. Im SnapIn Gruppenrichtlinienverwaltung erweitern Sie die Domäne MVSNET.DE. Mit einem Maus-Rechtsklick auf MVSNET.DE erscheint ein Menü, dort klicken Sie auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen. Im Dialogfeld Neues Gruppenrichtlinienobjekt geben Sie den Namen Softwareeinschränkung ein und klicken auf OK. Sie klicken auf die Schaltflächen Nach oben und verschieben damit das GPO Softwareeinschränkung in der Verknüpfungsreihenfolge vor das GPO Softwarebereitstellung. Windows Server 2003 verarbeitet GPOs in der Liste von unten nach oben, wobei das oberste GPO die endgültige Autorität besitzt. Mit einem Maus-Rechtsklick auf das GPO Softwareeinschränkung, gefolgt von einem Klick auf Bearbeiten, öffnen Sie den GruppenrichtlinienobjektEditor. Zum Konfigurieren der Gruppenrichtlinieneinstellungen erweitern Sie in der Konsolenstruktur die Knoten Benutzereinstellungen, WindowsEinstellungen und Sicherheitsrichtlinien und klicken mit der rechten Maustaste auf Richtlinien für Softwareeinschränkungen. Nach dem Klick auf Neue Richtlinien für Softwareeinschränkungen erstellen klicken Sie mit der rechten Maustaste auf Zusätzliche Regeln und wählen Neue Zertifikatregel. Darauffolgend erscheint das Eigenschaftendialogfeld Neue Zertifikatregel mit der Standardeinstellung Nicht erlaubt. Das bedeutet, dass ungeachtet der Zugriffsrechte des Benutzers, der am Computer angemeldet ist, die Ausführung der Software verhindert wird. Diese Einstellung wird für die Gruppe Mitarbeiter Verlag benötigt, deshalb übernehmen Sie die Einstellung. Sie klicken auf Durchsuchen, navigieren im Dialogfeld Öffnen zum lokalen Pfad C:\Software\ und wählen die digitale Signatur der Paketdatei deploy.msi aus. Dazu ist es notwendig, um das Installationspaket sichtbar zu machen, die Standarddateitypen *.cer und *.crt auf Signierte Dateien oder Alle Dateien abzuändern. Öffnen Sie das Paket deploy.msi mit einem Doppelklick oder durch das Markieren mit der linken Maustaste und einem Klick auf die Schaltfläche Öffnen. Übernehmen Sie die Änderungen im Dialogfeld Neue Zertifikatregel mit - 499 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 einem Klick auf Übernehmen und auf OK. Schließen Sie den Gruppenrichtlinienobjekt-Editor. Wenn noch nicht geschehen, ändern Sie nun die Verknüpfungsreihenfolge der GPOs. Mit den Schaltflächen Nach oben oder Nach unten verschieben Sie das GPO Softwareeinschränkung in der Verknüpfungsreihenfolge vor das GPO Softwarebereitstellung. Wie schon erwähnt, verarbeitet Windows Server 2003 GPOs in der Liste von unten nach oben, wobei das oberste GPO die endgültige Autorität besitzt. Zum Filtern des GPO-Bereichs mithilfe von Sicherheitsgruppen klicken Sie in der linken Hälfte des SnapIns Gruppenrichtlinienverwaltung auf das GPO Softwareeinschränkung. In der rechten Hälfte unter Sicherheitsfilterung markieren Sie mit der linken Maustaste die Authentifizierten Benutzer und klicken auf Entfernen. Bestätigen Sie den Dialog der Gruppenrichtlinienverwaltung mit einem Klick auf OK. Im Abschnitt Sicherheitsfilterung klicken Sie auf Hinzufügen und geben den Namen der Sicherheitsgruppe Mitarbeiter Verlag in das Dialogfeld Benutzer, Computer oder Gruppe wählen ein. Sie klicken auf Namen überprüfen, bestätigen Ihre Eingabe mit einem Klick auf OK und befinden sich wieder im SnapIn Gruppenrichtlinienverwaltung. Vererbung von Gruppenrichtlinien aktivieren Um die Gruppenrichtlinien auf die OU Verlag anzuwenden und ohne weitere Verknüpfungen zu erstellen, ist es notwendig, die Gruppenrichtlinienvererbung zu aktivieren. Dazu klicken Sie mit der rechten Maustaste auf die OU Verlag und entfernen die Markierung bei Vererbung deaktivieren. Unter der Registerkarte Gruppenrichtlinie sehen Sie die geerbten Gruppenrichtlinien. Über das Menü Datei Beenden schließen Sie das SnapIn Gruppenrichtlinienverwaltung. Nachdem Sie diese Konfigurationsschritte ausgeführt haben, sind alle Anforderungen erfüllt, und die Simulation ist erfolgreich beendet. Hilfe • Aktivieren von Zertifikatregeln: Richtlinien für Softwareeinschränkung • Übersicht über Richtlinien für Softwareeinschränkung: Richtlinien für Softwareeinschränkung • Erstellen einer Zertifikatregel: Richtlinien für Softwareeinschränkung • Empfehlungen: Richtlinien für Softwareeinschränkung MS Training • 1. Auflage: Seiten 605f. • 2. Auflage: Seiten 620f. - 500 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Simulation 2 Sie sind der Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung MVSNET.DE. Die Domäne beinhaltet die folgenden vier Organisationseinheiten (OUs), aufgeteilt nach geografischen Gebieten, in denen die Firma tätig ist: • • • • Ost OstConsulting West WestConsulting Das Benutzerkonto für Michael Völk befindet sich momentan in der OU OstConsulting. Gegenwärtig sind einige Gruppenrichtlinienobjekte (GPOs) konfiguriert und wie folgt mit den OUs verknüpft (GPO-Verarbeitungsausnahmen wurden nicht konfiguriert): Organisationseinheit Name der verknüpften GPO Ost GPO1, GPO2 OstConsulting West GPO3, GPO4 WestConsulting GPO5 Sie müssen gewährleisten, dass folgende Anforderungen erfüllt werden: • GPO1 und GPO2 werden auf Objekte innerhalb der OU OstConsulting angewendet, • GPO3, GPO4 und GPO5 werden auf die Objekte innerhalb der OU WestConsulting angewendet, • GPO3, GPO4 und GPO5 werden nur auf das Benutzerkonto von Michael Völk angewendet. Sie verfügen nicht über die Berechtigung, GPO-Verknüpfungen zu modifizieren, zu löschen oder neu zu erstellen. Sie müssen die Objekte im Active Directory so organisieren, dass die Anforderungen erfüllt werden. Was sollten Sie tun? Setzen Sie diese Anforderungen in der Simulation um! - 501 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Richtige Antwort: Nachdem die standardmäßige Reihenfolge der Verarbeitung von Gruppenrichtlinien nicht geändert wurde, zum Beispiel durch • Richtlinienvererbung deaktivieren • kein Vorrang • Loopback o ersetzen oder o zusammenführen, werden die GPOs gemäß der Active Directory-Hierarchie angewendet: • • • • Lokales GPO Standort-GPO Domänen-GPO OU-GPOs. Gruppenrichtlinien werden von übergeordneten an untergeordnete Container weitergegeben, deshalb können die Anforderungen durch Verschieben der OUs bzw. des Benutzerkontos erfüllt werden. Um dies zu bewerkstelligen, starten Sie das SnapIn Active DirectoryBenutzer und -Computer über das Menü Start - Alle Programme Verwaltung oder Start - Verwaltung. Im SnapIn verschieben Sie die Objekte, indem Sie in der Domänenstruktur mit einem Maus-Rechtsklick auf die jeweilige OU oder das Benutzerkonto klicken. In dem darauf folgenden Menü wählen Sie Verschieben und markieren im nun erscheinenden Dialogfeld mit der rechten Maustaste den entsprechenden Zielcontainer, in den das Objekt verschoben wird. Eine weitere Möglichkeit, Objekte im SnapIn Active Directory-Benutzer und -Computer zu verschieben, ist per Drag&Drop. Sie klicken dazu mit der linken Maustaste auf das zu verschiebende Objekt, halten die Maustaste gedrückt und ziehen das Objekt an die gewünschte Stelle. Sobald der Zielcontainer blau hinterlegt ist, lassen Sie die Maustaste los. Sie bestätigen das Active Directory-Dialogfeld, das Sie auf die Konsequenzen des Verschiebens von Objekten hinweist, mit einem Klick auf Ja. Diese Vorgehensweise wiederholen Sie für die nachfolgend aufgeführten Punkte, eine bestimmte Reihenfolge ist dabei nicht zu beachten: - 502 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Um GPO1 und GPO2 auf Objekte innerhalb der OU OstConsulting anzuwenden, verschieben Sie die OU OstConsulting in die OU Ost. • Um GPO3, GPO4 und GPO5 auf die Objekte innerhalb der OU WestConsulting anzuwenden, verschieben Sie die OU WestConsulting in die OU West. • Um GPO3, GPO4 und GPO5 nur auf das Benutzerkonto von Michael Völk anzuwenden, verschieben Sie das Benutzerkonto in die OU WestConsulting. Mit dem Verschieben der Objekte sind die Anforderungen erfüllt, und die Aufgabe ist gelöst. Hilfe • Organisationseinheiten: Active Directory • Verschieben einer Organisationseinheit: Active Directory MS Training • 1. Auflage: Seiten 390f., 575f. • 2. Auflage: Seiten 398f., 589f. - 503 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Simulation 3 Sie arbeiten als Enterpriseadministrator für die Firma MVS M. Völk Systems. Das Unternehmen hat die Evaluierung einer Applikation beendet und startet mit der neuen Active Directory-Applikation app2mvs. Diese Applikation wird die bisherige Version app1mvs ablösen. Folgende Anforderungen müssen erfüllt werden: 5. Die Active Directory-Klasse für app2mvs muss aktiviert werden und für die Benutzung bereitstehen. 6. Die Active Directory-Klasse für app1mvs wird nicht länger benötigt. 7. Die Attribute der Applikation app2mvs müssen aktiviert und im Verzeichnis platziert werden und im globalen Katalog vorhanden sein. Die Suche nach Attributen muss sich sehr einfach gestalten. 8. Die Administration aller Attribute wird Michael Rauschert (mvsnet.de/Consulting/Michael Rauschert), ein Mitarbeiter der Consultingabteilung, übernehmen. Was müssen Sie tun? Als Antwort konfigurieren Sie in der Simulation die angemessenen Optionen, damit die gestellten Anforderungen erfüllt werden. - 504 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 Richtige Antwort: In dieser Simulation geht es um das Erstellen und Konfigurieren einer versteckten Freigabe. Mit den folgenden Schritten werden die Anforderungen erfüllt: 1. 2. 3. 4. 5. 6. Aktivieren des SnapIns Active Directory-Schema. Öffnen des SnapIns Active Directory-Schema. Aktivieren der Objektklassen von app2mvs. Deaktivieren der Objektklassen von app1mvs. Aktivieren der Attribute für app2mvs. Mitarbeiter zur Gruppe der Schema-Administratoren hinzufügen. Zum Aktivieren des SnapIns Active Directory-Schema geben Sie unter Start - Ausführen regsvr32 schmmgmt.dll ein, um die .dll-Datei als Befehlskomponente in der Registrierung für das Active Directory-Schema zu registrieren. Zum Öffnen des SnapIns Active Directory-Schema klicken Sie auf Start - Ausführen, dann geben Sie mmc ein und klicken auf OK. Im Konsolenstamm klicken Sie auf Datei-Snap-In hinzufügen/entfernen. Im darauf erscheinenden Dialogfeld Eigenständiges Snap-In hinzufügen markieren Sie unter Verfügbare eigenständige Snap-Ins das SnapIn Active Directory-Schema. Klicken Sie auf Hinzufügen und auf OK. Zum Aktivieren der Objekt-Klassen von app2mvs erweitern Sie im Konsolenstamm den Knoten Active Directory-Schema und Klassen. In der rechten oder linken Hälfte des SnapIns klicken Sie mit der rechten Maustaste auf den Anzeigenamen app2mvs. Damit rufen Sie ein Menü auf, in dem Sie auf Eigenschaften klicken. Den Hinweis, dass Änderungen erst vorgenommen werden dürfen, sobald das Objekt aktiviert wird, bestätigen Sie mit einem Klick auf OK. Im Dialogfeld Eigenschaften von app2mvs markieren Sie die Checkbox Klasse ist aktiv, klicken auf Übernehmen und OK. Zum Deaktivieren der Klassen von app1mvs erweitern Sie im Konsolenstamm den Knoten Active Directory-Schema und Klassen. In der rechten oder linken Hälfte des SnapIns klicken Sie mit der rechten Maustaste auf den Anzeigenamen app1mvs. Daraufhin erscheint ein Menü, dort klicken Sie auf Eigenschaften. Im Dialogfeld Eigenschaften von app1mvs entfernen Sie die Markierung bei Klasse ist aktiv, bestätigen den Warnhinweis mit einem Klick auf Ja und klicken auf Übernehmen und OK. Zum Aktivieren der Attribute für app2mvs erweitern Sie im Konsolenstamm den Knoten Active Directory-Schema und Attribute. Nachdem die Attribute für das Objekt erst aktiviert werden müssen, sind sie in der normalen Ansicht ausgeblendet. In der Standardansicht werden - 505 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 solche Objekte nicht angezeigt. Zum Sichtbarmachen der Objekte klicken Sie auf Ansicht und Außer Kraft gesetzte Objekte. Nun sehen Sie das Objekt app2mvs-attribute in der rechten SnapIn-Hälfte. Sie markieren es mit der rechten Maustaste und klicken auf Eigenschaften. Es erscheint ein Hinweis, den Sie mit einem Klick auf OK bestätigen. In den Eigenschaften von app2mvs-attribute aktivieren Sie Attribut ist aktiv, Attribut in Active Directory indizieren, Attribut in den globalen Katalog replizieren und Attribut für Containersuche in Active Directory indizieren. Mit einem Klick auf Übernehmen und OK schließen Sie das Dialogfeld Eigenschaften. Um den Mitarbeiter Michael Rauschert zur Gruppe der Schema-Admins hinzuzufügen, öffnen Sie über Start - Alle Programme oder Start Verwaltung das SnapIn Active Directory-Benutzer und -Computer. Navigieren Sie in der Domänenstruktur zu mvsnet.de/Consulting/Michael Rauschert. Klicken Sie mit der rechten Maustaste auf das Konto und im erscheinenden Menü auf Eigenschaften. In den Eigenschaften des Benutzerkontos klicken Sie auf die Registerkarte Mitglied von und dann auf Hinzufügen. Im Dialogfeld Gruppe wählen klicken Sie auf Erweitert und im nächsten Fenster auf Jetzt suchen. Im Feld Suchergebnisse scrollen Sie soweit nach unten, bis der Eintrag Schema-Admins erscheint. Diesen markieren Sie mit einem Mausklick und klicken auf OK. Im Fenster Gruppe wählen haben Sie eine Übersicht; überprüfen Sie den Eintrag und bestätigen Sie ihn mit einem weiteren Klick auf OK. Damit haben Sie der Sicherheitsgruppe das weitere Mitglied hinzugefügt und sind zurück in den Eigenschaften von Michael Rauschert. Schließen Sie mit einem Klick auf Übernehmen und OK das Fenster und das SnapIn Active Directory-Benutzer und Computer. Anmerkung zu Gruppen im Container Benutzer im Active Directory Gruppe Beschreibung Standardbenutzerrechte Schema-Admins (wird nur in der GesamtstrukturStammdomäne angezeigt) Mitglieder dieser Gruppe können das Active DirectorySchema ändern. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe Keine Standardbenutzerrechte Hilfe - 506 - LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-294 • Ändern von Gruppenmitgliedschaften: Allgemeine Verwaltungsaufgaben • Empfehlungen für Active Directory-Schema: Active Directory • Erweitern des Schemas: Active Directory • Standardgruppen: Active Directory MS Training • 1. Auflage: Seiten 494f. • 2. Auflage: Seiten 479f., 496, 1009 - 507 -