RponsesChapitre 1 : Rponses aux questions de rvisionLeon 11. Bonnes rponses : A et B A. Vrai : Un contrleur de domaine cre ou joint un domaine Active Directory,qui doit avoir un nom DNS valide.

B. Vrai : Un domaine doit avoir un nom NetBIOS pour prendre en chargedanciennes applications utilisant des noms NetBIOS.

C. Faux : Un serveur DHCP nest pas ncessaire. En fait, un contrleur dedomaine doit avoir des adresses IP statiques.

D. Faux : Bien quun serveur DNS soit ncessaire pour la fonctionnalit dundomaine, en son absence, lAssistant Installation des services de domaine Active Directory installe et configure le service DNS sur le contrleur de domaine.

2. Bonne rponse : D A. Faux : Au niveau fonctionnel de fort Windows Server 2008, tous lesdomaines doivent fonctionner au niveau fonctionnel de domaine Windows Server 2008. Comme il se peut que le domaine Litware contienne des contrleurs de domaine Windows Server 2003, il doit rester au niveau fonctionnel de domaine Windows Server 2003. En consquence, la fort doit galement rester au niveau fonctionnel de fort Windows Server 2003.

B. Faux : Au niveau fonctionnel de fort Windows Server 2008, tous lesdomaines doivent fonctionner au niveau fonctionnel de domaine Windows Server 2008. Comme il se peut que le domaine Litware contienne des contrleurs de domaine Windows Server 2003, il doit rester au niveau fonctionnel de domaine Windows Server 2003. En consquence, la fort doit galement rester au niveau fonctionnel de fort Windows Server 2003.

C. Faux : Un domaine fonctionnant au niveau fonctionnel de domaineWindows Server 2008 ne peut pas contenir de contrleurs de domaine Windows Server 2003.

D. Vrai : Le domaine Litware pouvant contenir des contrleurs de domaineWindows Server 2003, il doit en sexcuter au niveau fonctionnel de domaine Windows Server 2003. Vous ne pouvez pas augmenter le niveau fonctionnel de fort tant que tous les domaines ne sexcutent pas au niveau fonctionnel de domaine Windows Server 2008.

1

2

Rponses

Leon 21. Bonne rponse : A A. Vrai : Un mot de passe est ncessaire afin de pouvoir lassigner au compteAdministrateur local sur le serveur aprs la suppression dAD DS.

B. Faux : SERVER02 est actuellement un contrleur de domaine et vous y tesconnect en tant quAdministrateur. En consquence, vous possdez dj les informations didentification ncessaires pour lopration de rtrogradation.

C. Faux : SERVER02 est actuellement un contrleur de domaine et vous y tesconnect en tant quAdministrateur. En consquence, vous possdez dj les informations didentification ncessaires pour lopration de rtrogradation. Le groupe Domain Controllers contient des comptes dordinateurs pour les contrleurs de domaine.

2. Bonne rponse : D A. Faux : AD CS nest pas pris en charge sur Server Core. B. Faux : AD FS nest pas pris en charge sur Server Core. C. Faux : AD RMS nest pas pris en charge sur Server Core. D. Vrai : Comme AD CS nest pas pris en charge sur Server Core, vous devezrinstaller le serveur avec une installation complte de Windows Server 2008.

Chapitre 1 : Rponses aux cas pratiquesScnario : Crer une fort Active Directory1. Oui. Server Core prend en charge les services de domaine Active Directory. Vousnavez pas besoin dune installation complte de Windows Server 2008 pour crer un contrleur de domaine.

2. Utilisez la commande Netsh pour configurer des adresses IP. 3. Utilisez Ocsetup.exe pour ajouter des rles de serveur. Sinon, la commandeDcpromo.exe /unattend saccompagne de paramtres susceptibles dinstaller le service DNS.

4. Utilisez Dcpromo.exe pour ajouter et configurer AD DS.

Chapitre 2 : RponsesLeon 11. Bonne rponse : C A. Faux : Le composant logiciel enfichable Active Directory du Gestionnaire deserveur, une fois dmarr, sexcute avec les mmes informations

Rponses

3

didentification que la console personnalise. Une erreur de type Accs refus continuera se produire.

B. Faux : Bien que dsa.msc soit un raccourci pour ouvrir la console Utilisateurset ordinateurs Active Directory, il sexcutera avec les mmes informations didentification que la console personnalise. Une erreur de type Accs refus continuera se produire.

C. Vrai : Une erreur de type Accs refus indique que vos informationsdidentification ne sont pas suffisantes pour accomplir laction demande. La question indique que vous tes certain davoir cette permission. La rponse introduit lhypothse que vous possdez un deuxime compte. Mme si ce compte nest pas celui dun administrateur, il sagit dun compte dadministration. Cest la meilleure faon de rpondre cette question.

D. Faux : Il est possible dutiliser DSMOD USER avec le commutateur p pourredfinir un mot de passe utilisateur ; toutefois, la question porte sur lerreur Accs refus. Rien nindique que linvite de commandes a t lance avec dautres informations didentification ; en consquence, vous continuerez recevoir des erreurs de type Accs refus.

Leon 21. Bonne rponse : D A. Faux : Une tche Active Directory, quelle soit accomplie laide de la lignede commandes, de scripts ou doutils dadministration de serveur distance, peuvent tre ralises par nimporte quel utilisateur qui en a reu lautorisation.

B. Faux : Les Admins du domaine sont des membres du groupeAdministrateurs dans le domaine. En consquence, toutes les autorisations assignes aux Administrateurs vous seront galement attribues en tant que membre du groupe Admins du domaine.

C. Faux : La possibilit de supprimer une OU ou tout autre objet dans ActiveDirectory est lie aux autorisations et non l'appartenance.

D. Vrai : Les nouvelles units dorganisation sont cres avec une protectioncontre les suppressions. Vous devez enlever la protection avant de supprimer lOU. Pour ce faire, dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, avec les Fonctionnalits avances slectionnes, cliquez sur longlet Objet dans la bote de dialogue des proprits de lOU.

Leon 31. Bonnes rponses : A, B et D A. Vrai : Dans une OU, lassignation dune tche dadministration requiert lamodification de la DACL. La bote de dialogue Paramtres de scurit

4

Rponses

avancs offre laccs le plus direct aux autorisations de la DACL. LAssistant Dlgation de contrle masque la complexit des ACE dobjet en vous guidant dans lattribution dautorisations des groupes. Il est possible dutiliser DSACLS pour grer des autorisations Active Directory depuis linvite de commandes.

B. Vrai : Dans une OU, lassignation dune tche dadministration requiert lamodification de la DACL. La bote de dialogue Paramtres de scurit avancs offre laccs le plus direct aux autorisations de la DACL. LAssistant Dlgation de contrle masque la complexit des ACE dobjet en vous guidant dans lattribution dautorisations des groupes. Il est possible dutiliser DSACLS pour grer des autorisations Active Directory depuis linvite de commandes.

C. Vrai : Dans une OU, lassignation dune tche dadministration requiert lamodification de la DACL. La bote de dialogue Paramtres de scurit avancs offre laccs le plus direct aux autorisations de la DACL. LAssistant Dlgation de contrle masque la complexit des ACE dobjet en vous guidant dans lattribution dautorisations des groupes. Il est possible dutiliser DSACLS pour grer des autorisations Active Directory depuis linvite de commandes.

D. Faux : DSUTIL sert grer les proprits du domaine et du servicedannuaire mais pas les autorisations dobjet.

E. Vrai : Dans une OU, lassignation dune tche dadministration requiert lamodification de la DACL. La bote de dialogue Paramtres de scurit avancs offre laccs le plus direct aux autorisations de la DACL. LAssistant Dlgation de contrle masque la complexit des ACE dobjet en vous guidant dans lattribution dautorisations des groupes. Il est possible dutiliser DSACLS pour grer des autorisations Active Directory depuis linvite de commandes.

Chapitre 2 : Rponses aux cas pratiquesScnario : Units dorganisation et dlgation1. La meilleure conception pour les objets ordinateur de Contoso serait une seule OUparente contenant des OU enfants pour chaque site. Le contrle des objets ordinateur de cette OU doit avoir t dlgu lquipe charge du support de chaque site. LOU parent peut servir dlguer des autorisations de sorte que lquipe situe au sige social puisse grer des objets ordinateurs dans nimporte quel site.

2. Mme si chaque site ne possde quun ou deux membres du personneldassistance, il est toujours recommand de crer un groupe, dy placer des utilisateurs et de lui dlguer des autorisations. mesure que lorganisation et les

Rponses

5

quipes dassistance stoffent, et que les utilisateurs intgrent ou quittent lorganisation, la gestion des autorisations assignes aux comptes dutilisateur devient trs complexe. Une fois lautorisation attribue un groupe, on peut simplement ajouter ou supprimer du groupe du personnel dassistance.

3. Comme des utilisateurs peuvent demander de lassistance de nimporte quel site une personne base dans un autre site, les utilisateurs doivent demeurer dans une seule OU. Inutile de diviser les utilisateurs en OU en fonction de sites bass sur la dlgation ou la grabilit. LOU qui contient les utilisateurs doit tre dlgue un groupe contenant lensemble du personnel dassistance. En fait, vous pouvez crer un groupe incluant les groupes des quipes de support de chaque site.

Chapitre 3 : Rponses aux questions de rvisionLeon 11. Bonne rponse : C. A. Faux : Bien quun modle de compte dutilisateur permette de copierplusieurs dizaines dattributs dans un nouveau compte dutilisateur, vous devrez copier le modle 2 000 fois pour achever cette tche.

B. Faux : La commande LDIFDE importe des objets de fichiers LDIF ce qui ,nest pas le format gr nativement par Microsoft Office Excel.

C. Vrai : La commande CSVDE importe des objets de fichiers texte spars pardes virgules quExcel peut ouvrir, modifier et enregistrer.

D. Faux : La commande Dsadd permet de crer un utilisateur depuis la ligne decommandes mais vous devrez excuter la commande 2 000 fois pour achever cette tche.

2. Bonne rponse : A A. Vrai : LDIFDE prend en charge lajout, la modification ou la suppressiondobjets Active Directory.

B. Faux : Dsmod modifie les proprits dun objet existant. C. Faux : La commande DEL efface un fichier. D. Faux : CSVDE importe des utilisateurs mais ne les supprime pas.

Leon 21. Bonne rponse : C A. Faux : Il nexiste pas dapplet de commande native dans WindowsPowerShell pour crer des utilisateurs,

B. Faux : ADSI ne propose pas de mthode NewUser. C. Vrai : Un conteneur, comme une OU ou un domaine, propose une mthodeCreate pour crer des objets dune classe dfinie.

6

Rponses

D. Faux : Il sagit dune syntaxe VBScript, aisment reconnaissable lutilisationde linstruction Set.

2. Bonne rponse : D A. Faux : Il nexiste pas dapplet de commande native dans WindowsPowerShell pour crer des utilisateurs,

B. Faux : La mthode SetInfo enregistre un nouvel utilisateur et ses propritsdans Active Directory mais elle doit tre utilise conjointement des commandes qui crent lobjet et ses attributs. Elle ne peut pas tre utilise seule.

C. Faux : Un conteneur, tel quune OU ou un domaine, propose une mthodeCreate pour crer des objets dune classe dfinie, mais tant que la mthode SetInfo na pas t utilise, lobjet nest pas enregistr dans Active Directory. En consquence, Create ne suffit pas.

D. Vrai : La commande Dsadd peut crer un utilisateur avec une seulecommande.

3. Bonnes rponses : A, B et D A. Vrai : Un objet est cr en invoquant la mthode Create dun conteneurcomme une OU.

B. Vrai : La mthode SetInfo enregistre un nouvel utilisateur et ses propritsdans Active Directory. Si la mthode SetInfo nest pas utilise, le nouvel objet et les changements apports ses proprits se traduisent uniquement dans votre reprsentation locale de lobjet.

C. Faux : Ce code nest pas valide. Il ressemble au code utilis dans VBScript,mais pas dans le cadre de la cration dobjets utilisateur.

D. Vrai : Vous devez vous connecter au conteneur dans lequel lutilisateur seracr.

Leon 31. Bonne rponse : C A. Faux : Vous pouvez utiliser la touche Ctrl pour slectionner plusieursutilisateurs mais ils doivent se trouver dans la mme OU. Les dix utilisateurs de ce scnario se trouvent dans des OU diffrentes.

B. Faux : Dsmod vous permet de modifier la proprit Bureau mais Dsget nepourra pas localiser les objets. Dsget permet dafficher des attributs et non de localiser des objets.

C. Vrai : Vous pouvez utiliser la commande Dsquery pour identifier desutilisateurs dont la proprit Bureau est dfinie Miammi et transmettre les rsultats la commande Dsmod via un pipeline pour modifier la proprit Bureau.

D. Faux : Ces applets de commande ne sont pas utilises avec des objets ActiveDirectory.

Rponses

7

2. Bonnes rponses : B et C. A. Faux : Move-Item est une applet de commande Windows PowerShell validequi dplace des objets dans un espace de noms, mais Windows PowerShell nexpose pas encore Active Directory comme espace de noms.

B. Vrai : VBScript utilise la mthode MoveHere dun conteneur pour dplacerun utilisateur dans le conteneur.

C. Vrai : Vous pouvez utiliser la commande Dsmove pour dplacer un objetdans Active Directory.

D. Faux : La commande Redirusr.exe est utilise pour configurer ActiveDirectory afin que les nouveaux objets utilisateur qui ont t crs sans spcifier dOU se placent dans un autre conteneur que le conteneur Users par dfaut.

E. Faux : Loutil de migration dActive Directory sert migrer des comptes entredes domaines.

3. Bonne rponse : A A. Vrai : Les restrictions dordinateurs limitent les ordinateurs auxquels unutilisateur peut se connecter. Sous longlet Compte de son compte dutilisateur, cliquez sur le bouton Se connecter et ajoutez lordinateur en slectionnant son nom dans la liste des stations de travail accessibles.

B. Faux : Lorsquun compte est cr, vous pouvez contrler qui est autoris joindre lordinateur au domaine avec ce bouton, mais cela na rien voir avec qui peut se connecter lordinateur aprs quil est devenu un membre du domaine.

C. Faux : Dsmove est utilis pour dplacer un objet dans Active Directory. D. Faux : Bien que le droit de se connecter localement soit requis, le messagederreur signal nest pas celui quelle aurait reu si elle avait possd ce droit.

Chapitre 3 : Rponses aux cas pratiquesScnario : Importer des comptes dutilisateurs1. Vous devez utiliser un script VBScript ou Windows PowerShell. Ces deux langagesde script sont tous deux capables dutiliser une base de donnes, par exemple un fichier Excel enregistr sous forme de fichier de valeurs spares par des virgules (.cvs), comme source de donnes pour crer des comptes dutilisateur. Dans le script, vous pouvez implmenter la logique mtier. Par exemple, il est possible de construire les attributs du nom douverture de session et de ladresse de messagerie en utilisant les informations lies au nom dutilisateur fournies dans le fichier Excel. Mme si CSVDE permet dimporter des fichiers .csv, il se contente

8

Rponses

dimporter les attributs dans le fichier ; il ne peut pas implmenter la logique mtier ni crer de nouveaux attributs en temps rel.

2. Vous pouvez dsactiver les comptes crs jusqu larrive des tudiants. 3. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory,vous pouvez slectionner tous les utilisateurs et changer lattribut company en une seule tape. linvite de commandes, utilisez Dsquery.exe pour transmettre par pipeline le DN de tous les utilisateurs vers Dsmod.exe qui pourra modifier cet attribut.

Chapitre 4 : Rponses aux questions de rvisionLeon 11. Bonne rponse : B A. Faux : Les groupes de scurit tendue universelle peuvent contenir desutilisateurs ou des groupes de domaines externes approuvs. Ils peuvent contenir des utilisateurs, des groupes globaux et dautres groupes universels de nimporte quel domaine de la fort.

B. Vrai : Les groupes de scurit tendue de domaine local peuvent contenirdes membres de domaines externes approuvs.

C. Faux : Les groupes de scurit globaux ne peuvent pas contenir desutilisateurs ou des groupes de domaines externes approuvs. Ils peuvent contenir des utilisateurs et dautres groupes globaux uniquement du mme domaine.

D. Faux : Les groupes de distribution ne peuvent pas recevoir dautorisationsvers des ressources.

2. Bonne rponse : D A. Faux : Ce groupe est un groupe de distribution qui ne peut pas recevoirdautorisation. Le fait de modifier ltendue ne rsoudra pas cette limitation.

B. Faux : Ce groupe est un groupe de distribution qui ne peut pas recevoirdautorisation. Le fait de modifier ltendue ne rsoudra pas cette limitation.

C. Faux : Ce groupe est un groupe de distribution. Le fait de lajouter au groupeDomain Users ne permettra pas ses membres daccder au dossier partag.

D. Vrai : Le commutateur secgrp yes transforme le type de groupe en groupe descurit ; ensuite, vous pouvez lajouter lACL du dossier partag.

3. Bonnes rponses : C, D, E et F A. Faux : Les groupes globaux ne peuvent pas contenir de groupes globauxprovenant dautres domaines.

B. Faux : Les groupes globaux ne peuvent pas contenir de groupes globauxprovenant dautres domaines.

Rponses

9

C. Vrai : Les groupes globaux peuvent contenir des utilisateurs appartenant lamme fort.

D. Vrai : Les groupes globaux peuvent contenir des utilisateurs provenant dedomaines approuvs.

E. Vrai : Les groupes globaux peuvent contenir des utilisateurs appartenant aumme domaine.

F. Vrai : Les groupes globaux peuvent contenir des groupes globauxappartenant au mme domaine.

G. Faux : Les groupes globaux ne peuvent pas contenir de groupes locaux dudomaine.

H. Faux : Les groupes globaux ne peuvent pas contenir des groupes universels.

Leon 21. Bonnes rponses : B, C et D A. Faux : Lapplet de commande Remove-Item de Windows PowerShell nepeut pas tre utilise pour supprimer les membres dun groupe car les groupes ne sont pas exposs dans un espace de noms.

B. Vrai : Dsrm permet de supprimer un groupe. C. Vrai : Dsmod avec loption remmbr peut supprimer des membres dungroupe.

D. Vrai : LDIFDE avec une opration changetype: modify et une oprationdelete:member peut supprimer des membres dans un groupe.

E. Faux : CSVDE peut importer de nouveaux groupes. Il ne peut pas modifierdes groupes existants.

2. Bonne rponse : B A. Faux : Dsrm supprime un groupe. La suppression dun groupe ne rsoudrapas le problme.

B. Vrai : Vous pouvez utiliser Dsmod avec le commutateur scope pour modifierltendue du GroupeA et le changer en groupe universel puis en groupe global. Vous pourrez alors ajouter le GroupeA au GroupeB. Cette question est dlicate. Parfois, certaines questions sont trompeuses. Celle-ci ne porte pas sur lutilisation des commandes ni mme sur lajout dun groupe un autre mais sur ltendue du groupe.

C. Faux : Dsquery recherche des objets dans Active Directory. Il ne peut paseffectuer de changement et ne rsoudra pas le problme.

D. Faux : Dsget extrait un attribut dun objet. Il ne peut pas effectuer dechangement et ne rsoudra pas le problme.

3. Bonne rponse : D A. Faux : Get-Members est une applet de commande Windows PowerShell quircupre les membres dun objet programm, et non dun groupe.

10

Rponses

B. Faux : Dsquery recherche dans Active Directory des objets correspondant un filtre de recherche. Il ne liste pas les appartenances aux groupes.

C. Faux : LDIFDE peut tre utilis pour exporter un groupe et donc sesmembres, mais uniquement des membres directs.

D. Vrai : Dsget retourne un attribut dun objet, y compris lattribut member desobjets groupe. Avec loption expand, Dsget retourne lappartenance complte dun groupe.

Leon 31. Bonne rponse : D A. Faux : Les membres de lquipe ont dj cette autorisation. Celle-ci ne lesempchera pas daccder au dossier depuis dautres ordinateurs.

B. Faux : Les membres de lquipe ont dj cette autorisation. Celle-ci ne lesempchera pas daccder au dossier depuis dautres ordinateurs.

C. Faux : Cette autorisation ne les empchera pas daccder au dossier depuisdautres ordinateurs.

D. Vrai : Une autorisation de type Refuser prend le pas sur les autorisations detype Autoriser. Si le membre dune quipe tente de se connecter au dossier depuis un autre ordinateur, il sera un membre du groupe didentit spcial Rseau et se verra refuser laccs. Si le mme membre de lquipe se connecte localement un ordinateur de la salle de confrence, il sera membre du groupe Interactif et non Rseau et les autorisations qui lui sont accordes en tant que membre de lquipe lui donneront accs au dossier.

2. Bonne rponse : D A. Faux : Longlet Membre de du groupe permet dajouter et de supprimer desmembres mais pas de dlguer ladministration de lappartenance.

B. Faux : Longlet Scurit de lobjet utilisateur Mike Danseglio dfinit qui a lapossibilit de raliser des tches sur cet objet et non ce que Mike peut faire.

C. Faux : Longlet Membre de lobjet utilisateur Mike Danseglio dtermine lesgroupes auquel il appartient et non ceux dont il sest vu dlguer le contrle.

D. Vrai : Longlet Gr par dun groupe permet de spcifier le responsable dugroupe et dautoriser ce dernier actualiser lappartenance au groupe.

3. Bonnes rponses : B, C et D A. Faux : Les Oprateurs de compte nont pas le droit darrter un contrleurde domaine.

B. Vrai : Les Oprateurs dimpression ont le droit darrter un contrleur dedomaine.

C. Vrai : Les Oprateurs de sauvegarde ont le droit darrter un contrleur dedomaine.

Rponses

11

D. Vrai : Les Oprateurs de serveur ont le droit darrter un contrleur dedomaine.

E. Faux : Le groupe didentit spcial Interactif na pas le droit darrter uncontrleur de domaine.

Chapitre 4 : Rponses aux cas pratiquesScnario : Mise en uvre dune Stratgie de groupe1. Les groupes de scurit globaux peuvent tre utiliss pour reprsenter des rlesdutilisateur chez Trey Research et Woodgrove Bank.

2. Les groupes de scurit tendue de domaine local doivent tre utiliss pour grerlaccs en lecture et en criture aux dossiers Pain en tranches.

3. Les groupes globaux Marketing et Recherche seront membres du groupe dedomaine local qui gre laccs en criture. Le groupe qui gre laccs en lecture devra avoir les membres suivants : Finance, le Responsable, son assistante et le groupe global Auditeurs du domaine Woodgrove Bank.

Chapitre 5 : Rponses aux questions de rvisionLeon 11. Bonne rponse : D A. Faux : Dsmove est un utilitaire en ligne de commandes qui dplace desobjets existants dans Active Directory. Il ne contrle pas lemplacement par dfaut des nouveaux objets.

B. Faux : Move-Item est une applet de commande Windows PowerShell quidplace des objets dans un espace de noms.

C. Faux : Netdom est un utilitaire en ligne de commandes qui permet de joindreun domaine, de renommer un ordinateur et daccomplir dautres activits lies lordinateur, mais il ne contrle pas lemplacement par dfaut des nouveaux ordinateurs.

D. Vrai : Redircmp est un utilitaire en ligne de commandes qui redirige leconteneur des ordinateurs par dfaut vers une autre OU.

2. Bonne rponse : A A. Vrai : Lattribut ms-DS-MachineAccountQuota du domaine autorise par dfauttous les utilisateurs authentifis joindre les dix ordinateurs du domaine. Ce quota est contrl lorsquun utilisateur joint un ordinateur au domaine sans compte prdfini. Dfinissez cet attribut zro.

B. Faux : Cet attribut configure le quota par dfaut de tous les objets ActiveDirectory, et non celui des nouveaux comptes dordinateur seulement.

12

Rponses

C. Faux : La suppression de ce droit dutilisateur nempche pas les Utilisateursauthentifis de joindre des ordinateurs au domaine.

D. Faux : La dfinition de cette autorisation empchera tous les utilisateurs, ycompris les administrateurs, de crer des comptes dordinateurs.

3. Bonne rponse : B A. Faux : Dsadd cre de nouveaux objets, y compris des objets ordinateur, maisne joint pas un ordinateur au compte.

B. Vrai : Netdom Join peut joindre un ordinateur local ou un ordinateur distantau domaine.

C. Faux : Dctest teste les diffrents composants dun contrleur de domaine. D. Faux : System.cpl reprsente lapplication Proprits systme du Panneau deconfiguration. Il vous permet de joindre lordinateur local un domaine mais pas de joindre un ordinateur distant au domaine.

Leon 21. Bonne rponse : C A. Faux : CSVDE peut importer un ou plusieurs ordinateurs mais exige dabordque vous criez un fichier de valeurs spares par des virgules.

B. Faux : LDIFDE peut importer un ou plusieurs ordinateurs mais exigedabord que vous criez un fichier LDIF .

C. Vrai : Dsadd permet de crer un objet ordinateur avec une seule commande. D. Faux : Windows PowerShell permet dutiliser ADSI pour crer desordinateurs, mais il requiert plusieurs commandes.

E. Faux : VBScript permet dutiliser ADSI pour crer des ordinateurs mais ilrequiert que vous criez dabord un script.

2. Bonnes rponses : A, D et E A. Vrai : CSVDE peut importer un ou plusieurs ordinateurs dun fichier .csv, etExcel peut enregistrer une feuille de calcul sous forme de fichier .csv.

B. Faux : LDIFDE peut importer un ou plusieurs ordinateurs mais Excel nepermet pas de crer un document au format LDIF .

C. Faux : Dsadd permet de crer des objets ordinateur un par un. D. Vrai : Windows PowerShell permet dutiliser ADSI pour crer desordinateurs et utilise un fichier .csv comme source de donnes.

E. Vrai : VBScript permet dutiliser ADSI pour crer des ordinateurs et utiliseun fichier .csv comme source de donnes.

Rponses

13

Leon 31. Bonne rponse : A A. Vrai : Ces vnements sont caractristiques dun canal scuris rompu. Larinitialisation du compte de lordinateur est laction entreprendre pour rgler ce problme.

B. Faux : Lvnement ne reflte pas un problme dauthentificationdutilisateur.

C. Faux : La dsactivation du compte de serveur empchera le serveurdauthentifier. Son activation ne rglera pas le problme.

D. Faux : Lvnement ne reflte pas un problme dauthentificationdutilisateur.

2. Bonnes rponses : C, D et E A. Faux : La suppression du compte dordinateur entranera la suppression deson SID et ses appartenances aux groupes seront perdues. Vous serez contraint dajouter le nouveau compte aux mmes groupes et dassigner des autorisations au nouveau compte.

B. Faux : La cration dun nouveau compte destin au nouveau systme gnreun nouveau SID. Vous devrez assigner de nouveau des autorisations et recrer les appartenances aux groupes.

C. Vrai : La rinitialisation du compte dordinateur permet un systme dejoindre le domaine en utilisant ce compte. Le SID du compte et les appartenances aux groupes sont conservs.

D. Vrai : Vous devez renommer le compte de sorte quil puisse tre joint aunouveau systme grce son nom.

E. Vrai : Aprs avoir rinitialis et renomm le compte, vous devez joindre lenouveau systme au domaine.

3. Bonne rponse : C A. Faux : Une flche vers le bas indique que les comptes dordinateur sontdsactivs. Il nest pas ncessaire de rinitialiser les comptes.

B. Faux : Une flche vers le bas indique que les comptes dordinateur sont djdsactivs.

C. Vrai : Une flche vers le bas indique que les comptes sont dsactivs. Vousdevez les activer.

D. Faux : Une flche vers le bas indique que les comptes dordinateur sontdsactivs. Il nest pas ncessaire de supprimer les comptes.

14

Rponses

Chapitre 5 : Rponses aux cas pratiquesScnario 1 : Crer des objets ordinateur et les joindre au domaine1. Les ordinateurs sont ajouts au conteneur Computers car il sagit du conteneur pardfaut. Lorsquun ordinateur est joint au domaine et quun compte a t prdfini dans une OU spcifique, Windows cre le compte dans ce conteneur par dfaut.

2. La commande Redircmp.exe peut rediriger ce conteneur par dfaut vers lOUClients.

3. Vous pouvez ramener lattribut ms-DS-MachineAccountQuota zro. Par dfaut, savaleur est 10, ce qui permet tous les utilisateurs authentifis de crer des ordinateurs et de joindre jusqu dix systmes un domaine.

Scnario 2 : Automatiser la cration des comptes dordinateur1. CSVDE importe des fichiers .csv qui peuvent tre exports depuis Excel. 2. Dsquery computer DN de lOU | dsmod computer disabled yes 3. Vous pouvez slectionner 100 systmes, cliquer droit sur lun deux et choisirProprits. Vous pouvez modifier lattribut Description de tous les objets en une seule tape dans la bote de dialogue Proprits dlments multiples.

Chapitre 6 : Rponses aux questions de rvisionLeon 11. Bonnes rponses : B et D A. Faux : Le magasin central sert centraliser des modles dadministration desorte quil ne soit pas ncessaire de les conserver sur les stations de travail des administrateurs.

B. Vrai : Pour crer des GPO, les administrateurs des filiales doivent avoirlautorisation daccder au conteneur Objets de Stratgie de groupe. Par dfaut, les Propritaires crateurs de la Stratgie de groupe possdent cette autorisation. Donc, lajout dadministrateurs ce groupe leur permettra de crer de nouveaux GPO.

C. Faux : Les administrateurs des filiales ont besoin de lautorisation de lier desGPO uniquement leur OU, et non dans lensemble du domaine. En consquence, la dlgation de lautorisation de lier des GPO au domaine confre une autorisation trop importante aux administrateurs.

Rponses

15

D. Vrai : Aprs la cration dun GPO, les administrateurs des filiales doiventtre capables dtendre le GPO aux utilisateurs et aux ordinateurs de leur OU ; en consquence, ils doivent avoir lautorisation Lier les objets GPO.

2. Bonnes rponses : B et D A. Faux : Le magasin central sert centraliser des modles dadministration desorte ce quil ne soit pas ncessaire de les conserver sur les stations de travail des administrateurs.

B. Vrai : Pour crer des GPO, les administrateurs des filiales doivent avoirlautorisation daccder au conteneur Objets de Stratgie de groupe. Par dfaut, les Propritaires crateurs de la Stratgie de groupe possdent cette autorisation. Donc, lajout des administrateurs ce groupe leur permettra de crer de nouveaux GPO.

C. Faux : Les administrateurs des filiales ont besoin de lautorisation de lier desGPO uniquement leur OU, et non dans lensemble du domaine. En consquence, la dlgation de lautorisation de lier des GPO au domaine confre une autorisation trop importante aux administrateurs.

D. Vrai : Aprs la cration dun GPO, les administrateurs des filiales doiventtre capables dtendre le GPO aux utilisateurs et aux ordinateurs de leur OU ; en consquence, ils doivent avoir lautorisation Lier les objets GPO.

3. Bonne rponse : D A. Faux : Un rapport sauvegard est une description HTML ou XML dun GPOet de ses paramtres. Il ne peut pas tre import dans un autre GPO.

B. Faux : La commande Restaurer partir dune sauvegarde permet derestaurer un GPO dans sa globalit.

C. Faux : Vous ne pouvez pas coller des paramtres dans un GPO. D. Vrai : Vous pouvez importer des paramtres dans un GPO existant partirde paramtres sauvegards appartenant un autre GPO.

Leon 21. Bonnes rponses : B et C A. Faux : Si vous configurez un domaine pour bloquer lhritage, les GPO lisaux sites ne sappliqueront pas aux utilisateurs ni aux ordinateurs du domaine. Le GPO de Northwind Lockdown est li au domaine et sappliquera tous les utilisateurs, y compris ceux du groupe Admins du domaine.

B. Vrai : En bloquant lhritage dans lOU qui contient tous les utilisateurs dugroupe Admins du domaine, vous empchez que les paramtres de la stratgie sappliquent ces utilisateurs.

C. Vrai : Lautorisation Refuser : Appliquer la Stratgie de groupe, assigne auxAdmins du domaine, carte les Admins du domaine de ltendue du GPO, qui sapplique sinon au groupe Utilisateurs authentifis.

16

Rponses

D. Faux : Tous les comptes dutilisateurs du domaine appartiennent en premierlieu au groupe Utilisateurs du domaine. En consquence, le GPO sappliquera tous les utilisateurs, y compris ceux du groupe Admins du domaine.

2. Bonnes rponses : A et D A. Vrai : Comme les restrictions de bureau se trouvent sous le nudConfiguration utilisateur mais quelles sappliquent lorsque des utilisateurs ouvrent une session sur des ordinateurs spcifiques, le traitement de la stratgie par boucle de rappel est ncessaire.

B. Faux : La liaison du GPO lOU qui contient des comptes dutilisateur faitque ces restrictions sappliquent tout moment tous les utilisateurs, et non uniquement lorsquils se connectent aux systmes de la salle de confrence ou de formation.

C. Faux : Loption Bloquer lhritage nest pas ncessaire et empcheralapplication de tous les autres GPO des OU parentes, du domaine et des sites.

D. Vrai : Pour tendre le GPO correctement, vous devez le lier lOU quicontient les objets ordinateur des systmes de la salle de confrence et de formation.

Leon 31. Bonnes rponses : B et D A. Faux : LAssistant Modlisation de Stratgie de groupe permet de simulerlapplication de la Stratgie de groupe et non dtablir un rapport de son application.

B. Vrai : LAssistant Rsultats de Stratgie de groupe permet dtablir un rapportde lapplication de la Stratgie de groupe sur un systme distant.

C. Faux : Gpupdate.exe permet dinitier une actualisation manuelle de lastratgie.

D. Vrai : Gpresult.exe peut tre utilis avec le commutateur /s pour runir desinformations sur le jeu de stratgie rsultant distance.

E. Faux : Msconfig.exe permet de runir des informations systme et decontrler le dmarrage du systme.

2. Bonne rponse : A A. Vrai : Gpresult.exe gnre un rapport du jeu de stratgie rsultant qui indiquequand le GPO a t appliqu. Les paramtres de stratgie de lcran de veille sont des paramtres de configuration utilisateur, vous devez donc excuter Gpresult.exe pour obtenir les paramtres utilisateur.

B. Faux : La commande Gpresult.exe ne possde pas doption computer. C. Faux : Les paramtres dcran de veille sont des paramtres de configurationdutilisateur et non dordinateur.

Rponses

17

D. Faux : Gpupdate.exe permet de dclencher lactualisation de la stratgie etnon de gnrer un rapport sur son application.

Chapitre 6 : Rponses aux cas pratiquesScnario : Implmentation de la Stratgie de groupe1. Les paramtres qui contrlent lenvironnement du Bureau de lutilisateur setrouvent sous le nud Configuration utilisateur.

2. Liez le GPO lOU contenant les ordinateurs des salles de formation. Si vous le liez celle qui contient les utilisateurs, les paramtres affecteront les utilisateurs de tous les ordinateurs de Northwind Traders.

3. Vous devez activer le traitement de la stratgie par boucle de rappel. Si vous liez leGPO lOU qui contient les ordinateurs des salles de formation et que vous activez le traitement par boucle de rappel, les ordinateurs des salles de formation appliqueront les paramtres situs sous le nud Configuration utilisateur du GPO.

4. Le traitement par boucle de rappel doit tre configur en mode Remplacer. Dans cemode, les paramtres utilisateur des GPO tendus lutilisateur sont ignors. Seuls les paramtres utilisateur des GPO tendus lordinateur sont appliqus.

5. Vous devez exclure les ordinateurs des salles de formation de ltendue du GPO li lcran de veille. Pour ce faire, vous disposez de deux solutions : bloquer lhritage dans lOU contenant les ordinateurs de la salle de formation ou utiliser le filtrage laide de groupes de scurit dans le GPO du domaine. Crez un groupe contenant les ordinateurs de la salle de formation et accordez lautorisation Refuser : Appliquer la Stratgie de groupe au GPO dcran de veille de ce groupe.

Chapitre 7 : Rponses aux questions de rvisionLeon 11. Bonnes rponses : A, B, C et D A. Vrai : Le compte Administrateur local est membre par dfaut desAdministrateurs. Il ne peut pas tre supprim.

B. Vrai : Le groupe Admins du domaine est ajout aux Administrateurslorsquun ordinateur joint le domaine. Les paramtres de stratgie Membre de ajoutent les groupes spcifis aux Administrateurs et ne suppriment pas des membres existants.

C. Vrai : Support Sydney est ajout au groupe Administrateurs par le GPOSupport Sydney. Les paramtres de stratgie Membre de ajoutent les groupes spcifis aux Administrateurs et ne suppriment pas des membres existants.

18

Rponses

D. Vrai : Lassistance technique est ajoute au groupe Administrateurs par leGPO Assistance technique de lentreprise. Les paramtres de stratgie Membre de ajoutent les groupes spcifis aux Administrateurs et ne suppriment pas des membres existants.

E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un membre pardfaut des administrateurs et nest ajout aux Administrateurs par aucun de ces GPO.

2. Bonnes rponses : A et C A. Vrai : Le compte Administrateur local est un membre par dfaut desAdministrateurs. Il ne peut pas tre supprim.

B. Faux : Le groupe Admins du domaine est ajout aux Administrateurslorsquun ordinateur joint le domaine mais est supprim par le GPO Support Sydney qui spcifie lappartenance faisant autorit du groupe.

C. Vrai : Support Sydney est ajout au groupe Administrateurs par le GPOSupport Sydney.

D. Faux : LAssistance technique est spcifie comme membre du groupeAdministrateurs par le GPO Assistance technique de lentreprise, mais le GPO Support Sydney a une priorit plus leve car il est li lOU o se trouve DESKTOP234. En consquence, lappartenance spcifie par le paramtre Membre de du GPO Support Sydney fait autorit.

E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un membre pardfaut des administrateurs et nest ajout aux Administrateurs par aucun de ces GPO.

3. Bonnes rponses : A, C et D A. Vrai : Le compte Administrateur local est un membre par dfaut desAdministrateurs. Il ne peut pas tre supprim.

B. Faux : Le groupe Admins du domaine est ajout aux Administrateurslorsquun ordinateur joint le domaine, mais il est supprim par le GPO Assistance technique de lentreprise qui spcifie lappartenance des Administrateurs laide du paramtre Membre de ce groupe.

C. Vrai : Support Sydney est ajout au groupe Administrateurs par le GPOSupport Sydney. Comme la priorit du GPO Support Sydney est plus leve que celle du GPO Assistance technique de lentreprise, DESKTOP234 applique le GPO Support Sydney aprs lapplication du GPO Assistance technique de lentreprise ; donc, les membres du GPO Support Sydney sont ajouts au groupe Administrateurs.

D. Vrai : Lassistance technique est spcifie comme membre du groupeAdministrateurs par le GPO Assistance technique de lentreprise. Lorsquil est appliqu, tous les autres membres du groupe Administrateurs sont supprims, lexception de ladministrateur lui-mme.

Rponses

19

E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un membre pardfaut des administrateurs et nest ajout aux Administrateurs par aucun de ces GPO.

Leon 21. Bonne rponse : B A. Faux : La Stratgie de scurit locale permet de configurer les paramtres surun seul serveur.

B. Vrai : Vous pouvez utiliser lAssistant Configuration et analyse de la scuritpour comparer la configuration de lenvironnement de test un modle, corriger les divergences et exporter les paramtres rsultants dans un modle de scurit. Ce dernier peut ensuite tre import dans un GPO.

C. Faux : LAssistant Configuration de la scurit ne gre pas les droitsdutilisateur.

D. Faux : Le composant logiciel enfichable Modles de scurit cre un modlede scurit mais nexporte pas les paramtres du serveur de lenvironnement de test. LAssistant Configuration et analyse de la scurit est donc la meilleure rponse.

2. Bonne rponse : C A. Faux : La Stratgie de scurit locale permet de configurer les paramtres surun seul serveur.

B. Faux : LAssistant Configuration et analyse de la scurit permet de crer desmodles de scurit que lon peut importer dans un GPO mais cet outil nest pas bas sur les rles. LAssistant Configuration de la scurit est la meilleure rponse.

C. Vrai : LAssistant Configuration de la scurit cre des stratgies de scuritbases sur des rles qui grent des services, des rgles de pare-feu et des stratgies daudit ainsi que certains paramtres du Registre.

D. Faux : Les modles de scurit permettent de crer des modles de scuritque lon peut importer dans un GPO, mais cet outil nest pas bas sur les rles. LAssistant Configuration de la scurit est la meilleure rponse.

3. Bonnes rponses : A et D A. Vrai : La commande Scwcmd.exe /transform cre un GPO qui contient lesparamtres de la stratgie de scurit spcifie.

B. Faux : Vous navez pas besoin de crer un GPO. La commande Scwcmd.exesen charge automatiquement.

C. Faux : Vous nimportez pas les paramtres dune stratgie de scurit dansun GPO. Vous pouvez importer les paramtres dun modle de scurit dans un GPO.

D. Vrai : Le GPO cr doit tre li un site, un domaine ou une OU approprisavant que ses paramtres ne sappliquent aux ordinateurs de ce conteneur.

20

Rponses

Leon 31. Bonnes rponses : B et D A. Faux : Lobjectif est de dployer lapplication vers les ordinateurs et non lesutilisateurs. En consquence, le nud Configuration utilisateur nest pas lendroit appropri o crer le package logiciel.

B. Vrai : Pour dployer lapplication vers les ordinateurs, le package logicieldoit tre cr dans le nud Configuration ordinateur du GPO.

C. Faux : Lextension dinstallation logicielle napplique pas les paramtres siune liaison lente est dtecte. Comme lapplication est dploye vers des ordinateurs et non des utilisateurs, la configuration de la vitesse de connexion dans le nud Configuration utilisateur ne change pas la vitesse de connexion par dfaut du nud Configuration ordinateur qui est de 500 Kbit/s. Comme la connexion partant de la succursale est infrieure 500 Kbit/s, les ordinateurs qui sy trouvent ninstalleront donc pas lapplication.

D. Vrai : Lextension dinstallation logicielle napplique pas les paramtres si uneliaison lente est dtecte. En configurant le seuil de la dtection de liaison lente 256, vous garantissez que les clients qui se connectent sur la connexion de 364 Kbit/s depuis la succursale dtecteront une liaison rapide. Les clients installeront donc lapplication.

E. Faux : Lextension dinstallation logicielle napplique pas les paramtres siune liaison lente est dtecte. Comme la connexion partant de la succursale est infrieure 1 000 Kbit/s, les ordinateurs qui sy trouvent ninstalleront pas lapplication.

2. Bonnes rponses : A et D A. Vrai : Comme vous souhaitez dployer lapplication vers des utilisateurs,vous devez crer le package dans les stratgies Configuration utilisateur dun GPO. Ce dernier doit ensuite tre tendu de sorte ne sappliquer quaux utilisateurs de lOU Ventes. Comme tous les utilisateurs se trouvent dans une mme OU, vous devez crer un groupe de scurit que vous utiliserez pour filtrer le GPO.

B. Faux : Le GPO nest pas correctement tendu. LOU Ventes de chaque site necontient que des ordinateurs. Les ordinateurs ne traiteront pas les paramtres situs dans les stratgies du nud Configuration utilisateur avec un traitement normal de la Stratgie de groupe.

C. Faux : Vous souhaitez dployer lapplication vers des utilisateurs. Lesstratgies situes sous le nud Configuration ordinateur sappliquent aux ordinateurs. Comme le groupe Ventes ne contient aucun ordinateur, la stratgie ne sera applique par aucun systme.

D. Vrai : Si un ordinateur est configur pour accomplir le traitement de lastratgie par boucle de rappel, il applique les paramtres des stratgies du nud Configuration utilisateur des GPO tendus lordinateur. Le GPO est

Rponses

21

tendu aux ordinateurs des ventes en tant li lOU Ventes. Le traitement par boucle de rappel permet aux ordinateurs dinstaller le package logiciel de la Configuration utilisateur.

3. Bonnes rponses : A, C, D et E A. Vrai : Le GPO de dploiement logiciel doit tre tendu pour sappliquer tous les utilisateurs dans les quatre succursales. Bien quon puisse lier le GPO chacune des succursales slectionnes, cette solution na pas t propose.

B. Faux : Lapplication doit tre compltement installe avant que lutilisateurne puisse la dmarrer pour la premire fois. Lorsque vous publiez une application, lutilisateur doit linstaller en utilisant Programmes et fonctionnalits situ dans le Panneau de configuration sous Windows Server 2008 et Windows Vista ou dans Ajout/Suppression de programmes sous Windows XP.

C. Vrai : Pour que lapplication soit pleinement installe avant que lutilisateurne louvre pour la premire fois, vous devez slectionner loption Installer cette application lors de louverture de session. Sinon, lapplication sinstallera lorsque lutilisateur louvrira pour la premire fois ou quil ouvrira un fichier dun type associ lapplication.

D. Vrai : Un shadow group est un groupe qui contient des utilisateurs enfonction dune caractristique donne, comme lOU o se trouve le compte dutilisateur. Comme le GPO est li lOU Employs, il peut tre filtr avec un groupe de scurit contenant les utilisateurs des quatre succursales.

E. Vrai : Pour que lapplication soit compltement installe avant quelutilisateur ne louvre pour la premire fois, vous devez assigner lapplication.

F. Faux : Loption Mise niveau ncessaire pour les packages existants nestutilise que dans des scnarios de mise niveau.

Leon 41. Bonne rponse : D A. Faux : Laudit des vnements de connexion permet de capturer uneouverture de session interactive locale et rseau sur des stations de travail et des serveurs.

B. Faux : Laudit Accs aux services dannuaire permet de contrler deschangements apports des objets et des attributs dans Active Directory.

C. Faux : Laudit de lutilisation des privilges est li lexcution et larrtdun programme.

D. Vrai : Laudit des vnements de connexion aux comptes cre desvnements lorsquun utilisateur tente douvrir une session avec un compte dutilisateur du domaine vers nimporte quel ordinateur du domaine.

22

Rponses

E. Faux : Laudit de gestion des comptes cre des vnements lis la cration,la suppression et la modification des utilisateurs, des ordinateurs et des groupes dans Active Directory.

2. Bonne rponse : B A. Faux : Laudit de la gestion des comptes cre des vnements lis lacration, la suppression et la modification des utilisateurs, des ordinateurs et des groupes dans Active Directory, mais ne montre pas les anciennes valeurs des attributs ni celles qui ont t modifies.

B. Vrai : La commande Auditpol.exe permet dactiver laudit des modificationsdu service dannuaire qui journalise les dtails des changements apports aux attributs dfinis dans la liste SACL des objets Active Directory. Les anciennes et les nouvelles valeurs des attributs se trouvent dans lentre du journal des vnements.

C. Faux : Laudit de lutilisation des privilges est li lexcution et larrtdun programme.

D. Faux : Laudit de laccs au service dannuaire contrle les changementsapports aux objets et aux attributs dans Active Directory mais ne rapporte pas les anciennes et les nouvelles valeurs des attributs.

3. Bonnes rponses : E, F et G A. Faux : Vous avez configur des autorisations qui bloquent laccs desconsultants. En consquence, il ny aura pas de tentatives daccs russies auditer.

B. Faux : Les vnements daccs au systme de fichiers sont journaliss sur lesserveurs de fichiers et non sur les contrleurs de domaine.

C. Faux : La stratgie daudit Accs au service dannuaire porte sur leschangements apports aux objets dActive Directory et non un dossier dans un sous-systme de disque.

D. Faux : Le paramtre de stratgie daudit doit sappliquer aux serveurs defichiers et non des contrleurs de domaine.

E. Vrai : Vous devez activer laudit daccs aux objets sur les serveurs defichiers. Le GPO Configuration du serveur est tendu pour sappliquer tous les serveurs de fichiers.

F. Vrai : Les vnements daccs au systme de fichiers apparatront dans lejournal Scurit de chaque serveur de fichiers.

G. Vrai : Les entres daudit doivent tre configures dans le dossier Donnesconfidentielles. Laudit des checs daccs de type Contrle total gnre des vnements daudit pour tout type daccs ayant chou.

Rponses

23

Chapitre 7 : Rponses aux cas pratiquesScnario 1 : Installation de logiciels avec Installation de logiciel Stratgie de groupe1. Le package de lapplication doit tre cr dans le nud Configuration ordinateurafin de sinstaller sur les ordinateurs utiliss par la force de ventes itinrante. Si le package est cr dans le nud Configuration utilisateur, lapplication est associe aux utilisateurs et sera installe sur tous les ordinateurs auxquels les utilisateurs se connecteront, y compris ceux des salles de confrence et de formation.

2. Avanc. Comme le package de lapplication est cr dans le nud Configurationordinateur, Publi nest pas une option valable. Les options valables sont Attribu et Avanc. Vous devez choisir Avanc pour associer une transformation au package.

3. Comme le GPO dploie lapplication dans le nud Configuration ordinateur, ildoit tre tendu aux ordinateurs. Il peut tre li au domaine ou, mieux encore, lOU Clients qui hberge tous les ordinateurs clients. Le GPO doit ensuite tre filtr pour sappliquer uniquement aux ordinateurs utiliss par la force de vente itinrante. Pour ce faire, crez un groupe de scurit tendue globale contenant les ordinateurs et utilisez-le pour filtrer le GPO. Vous devez galement supprimer le groupe Utilisateurs authentifis auquel est accorde lautorisation Appliquer la Stratgie de groupe par dfaut.

Scnario 2 : Configuration de la scurit1. Ajoutez une entre daudit qui audite les tentatives avortes du groupe Tout lemonde daccder au dossier au niveau daccs Contrle total, ce qui inclut tous les autres niveaux daccs. Une deuxime entre daudit doit auditer les tentatives russies du groupe Administrateurs daccder au dossier au niveau Contrle total, ce qui capture l encore des activits tous les niveaux daccs.

2. Les stratgies de groupe restreintes permettent de grer lappartenance auxgroupes. Vous devez configurer un paramtre de Stratgie de groupe limit pour le groupe Administrateurs, afin de spcifier que les membres de ce groupe reprsentent votre compte et le compte du responsable des ressources humaines. Ce paramtre de stratgie est le paramtre Membres. Il liste lappartenance finale faisant autorit du groupe spcifi. Le compte Administrateur ne peut pas tre supprim du groupe Administrateurs.

3. Vous devez activer les stratgies daudit Auditer laccs aux objets et Auditerlutilisation des privilges. Auditer laccs aux objets doit tre dfini pour auditer les vnements de succs et dchec, car les entres daudit du dossier Salaires sont destines la fois aux accs russis et chous. Auditer lutilisation des privilges doit tre dfini pour auditer des vnements de succs afin de journaliser des vnements lorsquun membre du groupe Administrateurs saccapare la proprit dun dossier.

24

Rponses

4. Vous pouvez utiliser des modles de scurit pour grer la configuration des septserveurs. Les modles de scurit peuvent tre crs sur un systme grce au composant logiciel enfichable Modles de scurit et imports dans une base de donnes, puis appliqus aux serveurs au moyen du composant logiciel enfichable Configuration et analyse de la scurit.

5. Les paramtres de stratgie des GPO bass sur Active Directory peuvent neutraliservos paramtres de scurit car les GPO bass sur le domaine prennent le pas sur la configuration des GPO locaux. Vous pouvez contrler la configuration de votre serveur en excutant les rapports du jeu de stratgie rsultant pour identifier les paramtres des GPO de domaine qui entrent en conflit avec la configuration dsire, ou en utilisant le composant logiciel enfichable Configuration et analyse de la scurit pour comparer la configuration des serveurs au modle de scurit.

Chapitre 8 : Rponses aux questions de rvisionLeon 11. Bonnes rponses : C, D et E A. Faux : Les stratgies de mot de passe du GPO Default Domain Policydfinissent les stratgies de tous les utilisateurs du domaine, et non uniquement des comptes de service.

B. Faux : Les PSO ne peuvent pas tre lis des units dorganisation,uniquement des groupes et des utilisateurs.

C. Vrai : Les PSO peuvent tre lis des groupes : vous devez donc crer ungroupe qui contient les comptes de service.

D. Vrai : Le PSO doit tre appliqu au groupe Comptes de service. Sinon, sesparamtres ne prendront pas effet.

E. Vrai : Les PSO peuvent tre lis des groupes : vous devez donc crer ungroupe qui contient les comptes de service.

2. Bonne rponse : D A. Faux : Le paramtre de stratgie Dure de verrouillage des comptes estspcifi en minutes. Ce paramtre verrouille un compte pendant 100 minutes. Pass ce dlai, le compte est dverrouill automatiquement.

B. Faux : Le paramtre de stratgie Dure de verrouillage des comptes estspcifi en minutes. Ce paramtre verrouille un compte pendant 1 minute. Pass ce dlai, le compte est dverrouill automatiquement.

C. Faux : Le paramtre de stratgie Seuil de verrouillage du compte spcifie lenombre de tentatives douverture de session qui se traduisent par un verrouillage de compte. Il ne dtermine pas la dure pendant laquelle un compte est verrouill.

Rponses

25

D. Vrai : Un paramtre de stratgie Dure de verrouillage des comptes dfinie 0 verrouille indfiniment le compte jusqu ce quun administrateur le dverrouille.

3. Bonne rponse : C A. Faux : Bien que PSO1 possde la valeur ayant la priorit la plus haute, unPSO qui sapplique des groupes est neutralis par un PSO qui sapplique directement lutilisateur, mme si le PSO de lutilisateur a une priorit plus basse.

B. Faux : Une valeur de priorit de 99 est infrieure une valeur de priorit de1.

C. Vrai : Bien que PSO3 nait pas la valeur de priorit la plus haute (celle dePSO1 est suprieure), il est li au compte de lutilisateur et a donc la prsance.

D. Faux : PSO4 est un PSO li lutilisateur, mais sa valeur de 200 est infrieure celle de PSO3.

Leon 21. Bonne rponse : B A. Faux : Ce paramtre gnrera des entres dans le journal dvnementslorsquun utilisateur se connectera avec succs avec un compte du domaine. Une ouverture de session russie ne gnre pas de verrouillage de compte.

B. Vrai : Les ouvertures de session choues vers un compte de domainepeuvent gnrer un verrouillage de compte. Laudit des vnements douverture de session de compte qui ont chou gnre dans le journal dvnements des entres qui indiquent quel moment ces ouvertures de session ont eu lieu.

C. Faux : Les vnements douverture de session gnrent des entres dans lejournal dvnements de lordinateur sur lequel un utilisateur a ouvert une session ou sur lequel il sest connect via le rseau. Les ouvertures de session locales ne sont pas associes au verrouillage de compte.

D. Faux : Les vnements douverture de session gnrent des entres dans lejournal dvnements sur lordinateur sur lequel un utilisateur a ouvert une session ou sur lequel il sest connect via le rseau. Les ouvertures de session locales ne sont pas associes au verrouillage de compte.

2. Bonne rponse : C A. Faux : Les vnements de connexion aux comptes sont gnrs lorsquunutilisateur ouvre une session avec un compte du domaine sur nimporte quel ordinateur du domaine.

B. Faux : Les stratgies daudit sont des paramtres situs dans le nudConfiguration ordinateur dun GPO qui ne sappliquent pas aux comptes dutilisateurs.

26

Rponses

C. Vrai : Les vnements douverture de session sont gnrs dans le journaldvnements dun ordinateur lorsquun utilisateur ouvre une session de manire interactive sur lordinateur ou quil se connecte lordinateur sur le rseau, pour accder par exemple un dossier partag.

D. Faux : Les vnements de connexion aux comptes sont gnrs par lescontrleurs de domaine lorsquils authentifient un utilisateur qui ouvre une session sur nimporte quel ordinateur du domaine. Ce GPO nest pas tendu aux contrleurs de domaine.

Leon 31. Bonne rponse : B A. Faux : Un RODC ne requiert quun seul contrleur de domaine WindowsServer 2008 accessible en criture. Ce type de contrleur de domaine existe dj dans votre domaine.

B. Vrai : Vous devez excuter Adprep /rodcprep pour configurer la fort de sorteque le RODC puisse rpliquer des partitions dapplication DNS.

C. Faux : La commande Dsmgmt permet de configurer la sparation des rlesdadministration sur un RODC aprs son installation.

D. Faux : Vous utilisez la commande Dcpromo pour accomplir linstallationdun contrleur de domaine, y compris un RODC.

2. Bonne rponse : A A. Vrai : Longlet Utilisation de la stratgie de la bote de dialogue Stratgie derplication de mot de passe avance indique les comptes dont les mots de passe sont stocks sur un RODC.

B. Faux : Le Groupe de rplication dont le mot de passe RDOC est acceptspcifie les utilisateurs dont les informations didentification seront mises en cache sur tous les RODC du domaine.

C. Faux : Le Groupe de rplication dont le mot de passe RDOC est refusspcifie les utilisateurs dont les informations didentification ne seront pas mises en cache sur les RODC du domaine.

D. Faux : Longlet Stratgie rsultante value la stratgie de rplication de motde passe dun utilisateur ou dun ordinateur ; il nindique pas si les informations didentification de lutilisateur ou de lordinateur sont dj mises en cache sur le RODC.

3. Bonnes rponses : B et D A. Faux : Le Groupe de rplication dont le mot de passe RDOC est acceptspcifie les utilisateurs dont les informations didentification ont t mises en cache sur tous les RODC du domaine. Les cinq utilisateurs devront ouvrir une session dans une seule des succursales.

Rponses

27

B. Vrai : Longlet Stratgie de rplication des mots de passe du RODC de lasuccursale permet de spcifier les informations didentification qui sont mises en cache par le RODC.

C. Faux : Les utilisateurs nont pas besoin du droit douvrir une session localesur le contrleur de domaine de la succursale.

D. Vrai : En remplissant pralablement les informations didentification descinq utilisateurs, vous garantissez que le RODC pourra les authentifier sans transmettre lauthentification au centre de donnes lextrmit de la liaison WAN.

Chapitre 8 : Rponses aux cas pratiquesScnario 1 : Accrotre la scurit des comptes dadministration1. Les stratgies de mot de passe grain fin ne peuvent tre configures que dans unseul domaine au niveau fonctionnel de domaine Windows Server 2008. Avant daugmenter le niveau fonctionnel du domaine Windows Server 2008, vous devez mettre niveau tous les contrleurs de domaine Windows Server 2003 vers Windows Server 2008.

2. Modification ADSI. 3. Vous devez attribuer une valeur comprise entre 1 et 9. Les valeurs proches de 1 ontune priorit suprieure. En outre, assurez-vous que les nouveaux PSO ne sont pas directement lis au compte dutilisateur.

4. Dfinissez dans le GPO Default Domain Controllers des paramtres de stratgiedaudit qui configurent laudit des vnements de connexion aux comptes qui ont chou.

Scnario 2 : Accrotre la scurit et la fiabilit de lauthentification dans les succursales1. Assurez-vous que tous les domaines sont au niveau fonctionnel de domaineWindows Server 2003 et que la fort se trouve au niveau fonctionnel de fort Windows Server 2003. Sur le contrleur de schma, excutez Adprep /rodcprep. Mettez niveau au moins un contrleur de domaine Windows Server 2003 vers Windows Server 2008.

2. Vous pouvez dlguer linstallation dun contrleur de domaine en lecture seule encrant pralablement les comptes dordinateur du RODC dans lOU Domain Controllers. Vous pouvez spcifier alors les informations didentification de lutilisateur qui seront utilises pour relier le RODC au compte, puis prciser que lutilisateur peut installer le RODC sans privilges dadministration sur le domaine.

28

Rponses

3. Utilisez la commande Dsmgmt.exe pour attribuer lutilisateur des privilgesdadministration locaux sur le RODC.

Chapitre 9 : Rponses aux questions de rvisionLeon 11. Bonne rponse : C A. Faux : Vous pouvez utiliser loutil de ligne de commandes pour crer unearborescence de domaine. Pour ce faire, il est prfrable de crer au pralable un fichier de rponse, afin que toutes les valeurs soient transmises automatiquement la commande pendant linstallation. Toutefois, il est galement possible dutiliser lassistant pour accomplir cette tche.

B. Faux : Le plus souvent, vous utilisez des serveurs autonomes pour crer unnouveau domaine. Cela signifie que vous devez ouvrir une session avec des droits dadministration locaux puis fournir les informations didentification de fort appropries pour ajouter le domaine pendant linstallation.

C. Vrai : Loption permettant de crer une arborescence de fort nest pasdisponible dans lassistant tant que vous navez pas slectionn le mode avanc dans la premire page de lassistant.

D. Faux : Les informations didentification sont demandes par lassistantpendant le processus de prparation de linstallation. Lutilisation dun serveur autonome ou dun serveur membre na aucun effet sur cette opration.

2. Bonnes rponses : B et D A. Faux : Vous devez slectionner le mode avanc de lassistant pour crerlarborescence de domaine, mais cela na aucun impact sur la capacit de lassistant crer la dlgation.

B. Vrai : Comme la dlgation utilise un nom racine de haut niveau (.ms), vousdevez crer la dlgation manuellement dans le domaine racine de votre fort. Lassistant ne peut pas la crer automatiquement parce que vous ne possdez pas les informations didentification du serveur DNS racine qui maintient ce nom.

C. Faux : Comme vous crez la dlgation manuellement, vous devez indiquer lassistant domettre la cration.

D. Vrai : Comme vous avez cr une dlgation manuelle, vous devez indiquer lassistant domettre la cration de la dlgation.

E. Faux : Vous pouvez crer la dlgation manuellement aprs quelarborescence de domaine a t installe. Toutefois, il est recommand de la crer au pralable, puis dajouter des composants sa configuration aprs

Rponses

29

que dautres contrleurs de domaine ont t crs dans larborescence de domaine.

Leon 21. Bonnes rponses : A, B, C et D et E A. Vrai : Votre administrateur DNS peut dj avoir configur le nettoyage detoutes les zones, mais il est recommand de valider le fait quil a t appliqu la vtre.

B. Vrai : Par dfaut, les tendues de rplication sont assignes correctementlorsque vous crez la zone, mais il est toujours prfrable que celle-ci utilise ltendue de rplication approprie.

C. Vrai : Vous pouvez avoir dautres enregistrements personnaliss crer, maisvous devez crer au moins un enregistrement texte (TXT) et un enregistrement attribu une personne responsable (RP). Ils seront utiliss pour mettre jour lenregistrement de ressource SOA (Start of Authority).

D. Vrai : Lenregistrement texte (TXT) contiendra les informations relatives auxnormes de fonctionnement DNS que vous appliquerez la zone.

E. Vrai : Une adresse de messagerie est affecte lenregistrement RP pourpermettre dautres de communiquer avec loprateur en cas de questions ou de problmes lis la rsolution des noms.

F. Faux : Comme cette zone est nouvelle, elle ne devrait contenir aucunenregistrement non utilis.

G. Faux : Les zones de recherche inverses ne sont ncessaires que si votre zonehberge des applications web sres. Aucune information relative une telle application ne vous a t donne.

2. Bonnes rponses : A et B A. Vrai : Comme toutes les zones se trouvent sur des contrleurs de domaine,vous devez utiliser des informations didentification dadministrateur pour grer DNS.

B. Vrai : Si le serveur nest pas list dans la partition, cette dernire ne sera pasdisponible au serveur.

C. Faux : Les informations didentification dadministrateur de lentreprise nesont ncessaires que pour crer la partition dapplication, non pour lattribuer.

D. Faux : Vous pouvez utiliser la ligne de commandes pour attribuer des zones des partitions, mais cela nest pas obligatoire.

E. Faux : Vous pouvez toujours modifier ltendue de la rplication dunepartition dans DNS aprs sa cration. Cest lune des tches de base des administrateurs de zone DNS.

30

Rponses

Chapitre 9 : Rponses aux cas pratiquesScnario : Bloquer des noms DNS spcifiquesTrey Research peut ajouter les deux noms problmatiques la liste de blocage des requtes globale sur ses serveurs DNS. Pour ce faire, utilisez la ligne de commandes avec la commande correspondante :dnscmd /config /globalqueryblocklist wpad isatap biometrics biology

Cette commande garantit que les protocoles WPAD et ISATAP, qui sont bloqus par dfaut, le seront toujours et ajoute les deux noms de service problmatiques. Maintenant, mme si les stratgies dadministration ne sont pas appliques, les possibilits de piratage sont grandement limites. Souvenez-vous que cette commande affecte toutes les zones de recherche directe hberges sur un serveur DNS particulier. Si vous possdez dautres serveurs DNS hbergeant dautres zones, comme un serveur DNS dans un domaine enfant, vous devez y excuter galement cette commande.

Chapitre 10 : Rponses aux questions de rvisionLeon 11. Bonne rponse : D A. Faux : Comme vous mettez niveau le systme dexploitation duncontrleur de domaine, vous devez accomplir une autre tape au pralable.

B. Faux : Vous devez excuter la commande Adprep /domainprep /gpprep avantde mettre niveau le contrleur de domaine, mais vous devez accomplir une autre tape avant dexcuter cette commande.

C. Faux : Le serveur est dj un contrleur de domaine. Il nest donc pasncessaire dexcuter lAssistant Installation des services de domaine Active Directory.

D. Vrai : Vous devez dabord excuter Adprep /forestprep sur le contrleur deschma de la fort pour prparer la fort dun contrleur de domaine Windows Server 2008.

E. Faux : La commande Adprep /rodcprep doit tre excute avant linstallationdun contrleur de domaine en lecture seule.

2. Bonnes rponses : B, C et D A. Faux : Comme le domaine nest compos que de contrleurs de domaineWindows Server 2008, il nest pas ncessaire dexcuter Adprep /rodcprep.

B. Vrai : Pour autoriser un utilisateur qui nest pas un administrateur relier uncontrleur de domaine en lecture seule au domaine, vous devez prdfinir un compte dans lOU Domain Controllers.

Rponses

31

C. Vrai : Loption UseExistingAccount de Dcpromo.exe permet de relier unserveur un compte de RODC prdfini.

D. Vrai : Pour relier un serveur un compte de RODC prdfini, le serveur doittre supprim du domaine avant lexcution de Dcpromo.exe.

3. Bonne rponse : C A. Faux : NTBackup et les sauvegardes de ltat du systme ne sont pas prises encharge dans Windows Server 2008.

B. Faux : Lajout des fonctionnalits de sauvegarde de Windows Server ne suffitpas crer un support dinstallation.

C. Vrai : La commande Ntdsutil.exe permet de crer un support dinstallation.Les options Sysvol et Full crent un support dinstallation qui inclut SYSVOL pour un contrleur de domaine accessible en criture.

D. Faux : On nutilise pas une copie de lannuaire et de SYSVOL pour installerun contrleur de domaine.

Leon 21. Bonne rponse : E A. Faux : Le matre dinfrastructure ne doit pas tre plac sur un contrleur dedomaine qui est un serveur de catalogue global, sauf si tous les contrleurs de domaine du domaine le sont.

B. Faux : Bien que le transfert du rle de matre RID prsente des avantages,cette solution ne convient pas ce scnario.

C. Faux : Bien que le transfert du rle de contrleur de schma prsente desavantages, cette solution ne convient pas ce scnario.

D. Faux : Bien que le transfert du rle de matre dattributs de noms dedomaine prsente des avantages, cette solution ne convient pas ce scnario.

E. Vrai : Le matre dinfrastructure ne doit pas tre plac sur un contrleur dedomaine qui est un serveur de catalogue global, sauf si tous les contrleurs de domaine du domaine le sont. Comme SERVER02 nest pas un serveur de catalogue global, vous devez transfrer le rle de matre dinfrastructure SERVER02.

2. Bonnes rponses : D et E A. Faux : Le rle de matre dinfrastructure est propre chaque domaine. Vousnavez pas besoin de le transfrer et, en fait, vous ne devez pas le transfrer vers un contrleur de domaine dun autre domaine.

B. Faux : Le rle dmulateur PDC est propre chaque domaine. Vous navezpas besoin de le transfrer et, en fait, vous ne devez pas le transfrer vers un contrleur de domaine dun autre domaine.

32

Rponses

C. Faux : Le rle de matre RID est propre chaque domaine. Vous navez pasbesoin de le transfrer et, en fait, vous ne devez pas le transfrer vers un contrleur de domaine dun autre domaine.

D. Vrai : Le rle de contrleur de schma est un rle de fort. Vous devez letransfrer dans le domaine contoso.com avant de dsactiver le domaine.

E. Vrai : Le rle de matre dattribut de noms de domaine est un rle de fort.Vous devez le transfrer dans le domaine contoso.com avant de rtrograder le domaine.

3. Bonnes rponses : A, B et C A. Vrai : Le matre dinfrastructure est un matre doprations de domaine. B. Vrai : Lmulateur PDC est un matre doprations de domaine. C. Vrai : Le matre RID est un matre doprations de domaine. D. Faux : Le contrleur de schma est un matre doprations de fort et non dedomaine.

E. Faux : Le matre dattribution de noms de domaine est un matredoprations de fort et non de domaine.

Leon 31. Bonnes rponses : C et D A. Faux : La rplication de SYSVOL avec DFS-R au sein dun domaine dpenddes contrleurs de domaines de ce domaine, et non de contrleurs de domaine dautres domaines.

B. Faux : La rplication de SYSVOL avec DFS-R au sein dun domaine dpenddu niveau fonctionnel de domaine de ce domaine, et non du niveau fonctionnel de la fort.

C. Vrai : Tous les contrleurs de domaine doivent excuter WindowsServer 2008 avant de pouvoir rpliquer SYSVOL en utilisant DFS-R au sein de ce domaine.

D. Vrai : Le domaine doit tre au niveau fonctionnel de domaine WindowsServer 2008 avant de pouvoir rpliquer SYSVOL en utilisant DFS-R au sein de ce domaine.

E. Faux : La rplication de SYSVOL avec DFS-R au sein dun domaine dpenddu niveau fonctionnel de domaine de ce domaine, et non du niveau fonctionnel de domaine dautres domaines.

2. Bonne rponse : A A. Vrai : La commande Dfsrmig.exe est utilise pour migrer la rplication deSYSVOL de FRS vers DFS-R.

B. Faux : La commande Repadmin.exe est utilise pour grer la rplicationdActive Directory, et non la rplication de SYSVOL.

Rponses

33

C. Faux : La commande Dfsutil.exe est utilise pour accomplir des tchesadministratives dans un espace de noms DFS, et non pour configurer la rplication de SYSVOL.

D. Faux : La commande Dfscmd.exe est utilise pour accomplir des tchesadministratives dans un espace de noms DFS, et non pour configurer la rplication de SYSVOL.

Chapitre 10 : Rponses aux cas pratiquesScnario : Mettre niveau un domaine1. Vous devez excuter Adprep /forestprep avant dinstaller un contrleur de domaineWindows Server 2008 dans une fort.

2. Il nest pas possible que tous les contrleurs de domaine dun domaine soient enlecture seule. Il doit y avoir au moins un contrleur de domaine accessible en criture. Les trois succursales ne peuvent donc pas tre servies par des contrleurs de domaines en lecture seule. Un DC doit tre accessible en criture. Sinon, il faut quun DC accessible en criture soit maintenu dans un emplacement central et que les trois RODC soient dploys dans les trois succursales.

3. Lorsque des temps dinactivit ont t planifis par un serveur qui excute desoprations matre unique, vous devez transfrer les oprations vers un autre contrleur de domaine. Lorsque le matre doprations dorigine revient en ligne, vous pouvez lui transfrer de nouveau les oprations.

Chapitre 11 : Rponses aux questions de rvisionLeon 11. Bonne rponse : C A. Faux : Tous les contrleurs de domaine sont assigns un site. Il peut sagirdu mauvais site, mais il est reflt comme un objet serveur dans un site.

B. Faux : Vous ne pouvez pas crer de site sans lien de sites. Le site de lasuccursale se trouve donc sur un lien de sites. Cela peut tre le mauvais lien de sites, mais il est affect un lien de sites.

C. Vrai : Si la plage dadresses IP de la succursale nest pas reprsente par unobjet sous-rseau qui sera ensuite associ au site, les ordinateurs pourraient sauthentifier auprs des contrleurs de domaine dun autre site.

D. Faux : Il nest pas possible daffecter un sous-rseau deux sites diffrents. 2. Bonnes rponses : A, D et E A. Vrai : Un objet sous-rseau avec la plage dadresses IP de la succursalepermet aux clients dtre informs de leur site.

34

Rponses

B. Faux : Le compte dordinateur de chaque contrleur de domaine doit setrouver dans lOU Domaine Controllers.

C. Faux : Deux protocoles de transport de liens de sites sont pris en charge parActive Directory : IP et SMTP. Aucun autre protocole nest ncessaire.

D. Vrai : Un objet site de la succursale est ncessaire pour grer lemplacementdu service, comme lauthentification, au sein de la succursale.

E. Vrai : Lobjet site doit contenir un objet serveur pour le contrleur dedomaine.

Leon 21. Bonne rponse : D A. Faux : Un contrleur de domaine en lecture seule doit toujours tre capablede contacter un serveur de catalogue global.

B. Faux : Les partitions dapplications ne sont pas impliques danslauthentification utilisateur.

C. Faux : La rplication inter-sites ne rgle pas le problme caus lorsque lecontrleur de domaine de la succursale ne peut pas contacter un serveur de catalogue global.

D. Vrai : La mise en cache de lappartenance au groupe universel, mise enuvre pour le site de la succursale, fera que le contrleur de domaine mettra en cache les appartenances au groupe universel de lutilisateur depuis un serveur de catalogue global, afin que louverture de session ne soit pas refuse.

2. Bonnes rponses : D et E A. Faux : La partition de schma est rplique vers tous les contrleurs dedomaine de la fort. Toutefois, vous devez vous assurer que le contrleur de domaine que vous rtrogradez nest pas contrleur de schma.

B. Faux : La partition de configuration est rplique vers tous les contrleursde domaine de la fort.

C. Faux : Le contexte de nommage du domaine est rpliqu vers tous lescontrleurs de domaine du domaine.

D. Vrai : Par dfaut, un catalogue global ne peut se trouver que sur un seulcontrleur de domaine. Il est possible que le contrleur de domaine que vous souhaitez rtrograder soit le seul serveur de catalogue global. Dans ce cas, vous devez configurer un autre serveur de catalogue global avant de rtrograder le contrleur de domaine.

E. Vrai : Les partitions dapplications peuvent tre hberges sur un ouplusieurs contrleurs de domaine. Il est possible quune partition dapplication se trouve uniquement sur le contrleur de domaine que vous prvoyez de rtrograder.

Rponses

35

3. Bonne rponse : C A. Faux : Vous pouvez utiliser Dcpromo.exe pour spcifier quun nouveaucontrleur de domaine doit tre un serveur de catalogue global, mais vous ne pouvez pas lemployer pour modifier des contrleurs de domaine existants.

B. Faux : Vous pouvez utiliser lAssistant Installation des services de domaineActive Directory pour spcifier quun nouveau contrleur de domaine doit tre un serveur de catalogue global, mais vous ne pouvez pas lemployer pour modifier des contrleurs de domaine existants.

C. Vrai : Utilisez le composant logiciel enfichable Sites et services ActiveDirectory pour configurer un serveur de catalogue global en ouvrant les proprits de lobjet NTDS Settings dans lobjet serveur qui reprsente le contrleur de domaine.

D. Faux : Le composant logiciel enfichable Utilisateurs et ordinateurs ActiveDirectory ne permet pas de configurer des serveurs de catalogue global.

E. Faux : Le composant logiciel enfichable Domaines et approbations ActiveDirectory ne permet pas de configurer des serveurs de catalogue global.

Leon 31. Bonne rponse : D A. Faux : Le cot total de la rplication du Site A vers le Site C sur les liens versle Site B est de 350. Le cot de la rplication sur le lien A-C nest que de 100. La rplication utilisera le lien A-C.

B. Faux : Le cot total de la rplication du Site A vers le Site C sur les liens versle Site B est de 350. Le cot de la rplication sur le lien A-C nest que de 100. La rplication utilisera le lien A-C.

C. Faux : Le cot total de la rplication du Site A vers le Site C sur les liens versle Site B est de 150. Le cot de la rplication sur le lien A-C nest que de 100. La rplication utilisera le lien A-C.

D. Vrai : Le cot total de la rplication du Site A vers le Site C sur les liens versle Site B est de 200. Si le cot de la rplication sur le lien A-C nest que de 200, la rplication utilisera les liens A-B et C-B.

2. Bonnes rponses : B et C A. Faux : Sil existe un lien de sites entre A et C, il est possible que la rplicationait lieu sur ce lien. Vous navez pas empch la rplication directe entre Site A et Site C.

B. Vrai : Pour empcher la rplication entre les Sites A et C, vous devezsupprimer le lien de sites qui contient ces deux liens.

C. Vrai : Les liens de sites sont transitifs par dfaut. Le Site A peut doncrpliquer directement vers le Site C laide des liens A-B et B-C. Vous devez dsactiver la transitivit des liens de sites.

36

Rponses

D. Faux : La rduction des cots des liens de sites va encourager la rplication viter de crer une connexion sur le lien A-C. Toutefois, elle ne garantit pas que les changements seront envoys en premier lieu au Site B.

3. Bonne rponse : A A. Vrai : Si la connectivit IP nest pas disponible, SMTP doit tre utilis pour larplication mais ne peut pas tre utilis pour rpliquer le contexte de nommage du domaine. En consquence, le navire doit se trouver dans un domaine distinct de la fort.

B. Faux : Laugmentation du cot du lien de site ne permettra pas la rplicationentre le navire et le sige.

C. Faux : La dsignation dun serveur tte de pont ne permettra pas larplication entre le navire et le sige.

D. Faux : La cration manuelle dun objet connexion ne permettra pas larplication entre le navire et le sige.

4. Bonnes rponses : A et B A. Vrai : Dans le composant logiciel enfichable Sites et services ActiveDirectory, vous pouvez cliquer droit sur NTDS Settings et forcer la rplication.

B. Vrai : Loutil de diagnostic de la rplication, Repadmin.exe, permet de forcerla rplication depuis la ligne de commandes.

C. Faux : Loutil de diagnostic du service dannuaire, Dcdiag.exe, est un outil enligne de commandes qui permet de tester la sant de la rplication et la scurit des services de domaine Active Directory.

D. Faux : Le composant logiciel enfichable Domaines et approbations ActiveDirectory permet de crer et de grer des objets utilisateur, groupe et ordinateur. mais pas de forcer la rplication.

Chapitre 11 : Rponses aux cas pratiquesScnario : Configurer des sites et des sous-rseaux1. Crez un site Active Directory pour Denver. La topologie de la rplication intrasite,cre par le vrificateur de cohrence des donnes (KCC), gnre une topologie bidirectionnelle avec un maximum de trois sauts. La rplication se produira en une minute. Si le sige et le magasin se trouvent dans des sites distincts, la frquence de la rplication inter-sites est au mieux de 15 minutes.

2. La dsignation dun serveur tte de pont privilgi est utile pour garantir que lerle est jou par un serveur disposant des ressources systme les plus disponibles. Elle peut tre galement utile si la configuration du rseau, les pare-feu par exemple, requiert que le trafic de rplication soit dirig vers une seule adresse IP. Toutefois, si le serveur tte de pont privilgi nest pas disponible, le gnrateur de

Rponses

37

topologie inter-sites (ISTG) ne dsignera pas automatiquement un serveur tte de pont temporaire. En consquence, la rplication sinterrompt si le serveur tte de pont prfr est hors ligne.

3. Pour obtenir une vritable topologie hub-and-spoke, vous devez crer cinq liens desites. Chacun deux contient le site Denver et lune des succursales. En consquence, les cinq liens de sites sont : DenverPortland, DenverSeattle, DenverChicago, DenverMiami et DenverFort Lauderdale. Vous devez galement dsactiver la transitivit des liens de sites afin que la rplication ne puisse pas construire de connexions qui outrepassent le site Denver.

4. Crez un objet connexion manuellement pour le contrleur de domaine dumagasin afin quil reoive la rplication de SERVER01. Un objet connexion manuel ne sera pas supprim par le KCC lorsquil construira la topologie de la rplication intrasite.

Chapitre 12 : Rponses aux questions de rvisionLeon 11. Bonnes rponses : A et D A. Vrai : Dans le composant logiciel enfichable Utilisateurs et ordinateursActive Directory, vous pouvez cliquer droit sur le nud racine du composant ou sur le domaine : vous trouverez alors la commande Augmenter le niveau fonctionnel du domaine.

B. Faux : Le Schma Active Directory ne permet pas daugmenter le niveaufonctionnel du domaine.

C. Faux : Sites et services Active Directory ne permet pas daugmenter le niveaufonctionnel du domaine.

D. Vrai : Cliquez avec le bouton droit sur le domaine dans le composant logicielenfichable Domaines et approbations Active Directory et choisissez Augmenter le niveau fonctionnel du domaine.

2. Bonnes rponses : B, D et E A. Faux : Vous devez possder un contrleur de domaine accessible en criturequi excute Windows Server 2008 avant dajouter un contrleur de domaine en lecture seule au domaine. Vous possdez dj un contrleur de domaine Windows Server 2008 dans le domaine contoso.com.

B. Vrai : Le niveau fonctionnel de domaine doit au moins tre dfini Windows Server 2003 avant que vous ne puissiez ajouter un RODC.

C. Faux : Vous ne pouvez pas augmenter le niveau fonctionnel du domaine Windows Server 2008, car vous avez un contrleur de domaine qui excute Windows Server 2003.

38

Rponses

D. Vrai : Le niveau fonctionnel de fort doit au moins tre dfini WindowsServer 2003 avant que vous ne puissiez ajouter un RODC.

E. Vrai : Vous devez excuter Adprep /rodcprep avant dajouter le premier RODC un domaine.

F. Faux : Vous possdez dj un contrleur de domaine Windows Server 2008.Vous avez donc dj excut Adprep /forestprep.

3. Bonne rponse : C A. Faux : Les contrleurs de domaine en lecture seule ne sont pas requis pourmettre en uvre une stratgie de mot de passe grain fin.

B. Faux : La commande Dfsrmig.exe configure la rplication DFS-R de SYSVOL. C. Vrai : Le niveau fonctionnel de fort Windows Server 2008 est requis pourles stratgies de mot de passe grain fin.

D. Faux : Les stratgies de mot de passe grain fin ne sont pas gres par laconsole GPMC.

Leon 21. Bonnes rponses : A, C et G A. Vrai : Les utilisateurs de wingtiptoys.com sauthentifieront auprs desordinateurs du domaine tailspintoys.com. Cela fait de wingtiptoys.com le domaine approuv. Lapprobation que vous configurez dans wingtiptoys.com est une approbation entrante.

B. Faux : Une approbation sortante permettrait aux utilisateurs detailspintoys.com de sauthentifier auprs des ordinateurs de wingtiptoys.com.

C. Vrai : Les utilisateurs de wingtiptoys.com doivent se connecter auxordinateurs de tailspintoys.com, mais rien noblige les utilisateurs de tailspintoys.com sauthentifier auprs dordinateurs de wingtiptoys.com.

D. Faux : Les utilisateurs de tailspintoys.com ne sont pas obligs de se connecter des ordinateurs de wingtiptoys.com.

E. Faux : Les approbations de domaine sont cres avec des domaines Kerberosv5 et non avec des domaines Windows.

F. Faux : Une approbation raccourcie est utilise entre des domaines dunefort multidomaine.

G. Vrai : Comme les utilisateurs des domaines europe.wingtiptoys.com et dewingtiptoys.com sauthentifient avec des ordinateurs situs dans tailspintoys.com, une approbation de fort est ncessaire. Les approbations de fort sont transitives.

H. Faux : Une approbation externe ne permet pas aux utilisateurs du domaineeurope.wingtiptoys.com de sauthentifier auprs des ordinateurs du domaine tailspintoys.com.

Rponses

39

2. Bonnes rponses : C et D A. Faux : La cration de comptes dupliqus ne permettra pas aux utilisateursdaccder aux ressources.

B. Faux : La reconstruction du domaine Windows NT 4.0 ne permettra pas auxutilisateurs daccder aux ressources.

C. Vrai : Le paramtre /verify vrifie la sant dune relation dapprobationexistante. Comme certains utilisateurs peuvent accder aux ressources, la relation dapprobation est reconnue comme saine.

D. Vrai : Le fait que les comptes problmatiques soient migrs depuis WindowsNT 4.0 suggre quil existe des SID filtrs dans les attributs sIDHistory des utilisateurs, car le filtrage des SID est activ par dfaut dans toutes les approbations externes. Le paramtre /quarantine:no dsactivera le filtrage des SID.

3. Bonne rponse : D A. Faux : La rinstallation des systmes dexploitation ne rsoudra pas leproblme car la performance est suffisante pour accder aux ressources dans les domaines des utilisateurs.

B. Faux : Peu importe que ladresse IP soit affecte de manire statique oudynamique.

C. Faux : Le problme ne provient pas des mises jour dynamiques desenregistrements DNS.

D. Vrai : Une approbation raccourcie amliore la performance en autorisant descontrleurs de domaine dun domaine se rapporter des clients situs dans lautre domaine directement et non via le domaine racine de la fort.

Chapitre 12 : Rponses aux cas pratiquesScnario : Grer plusieurs domaines et forts1. Vous devez augmenter le niveau fonctionnel de domaine et de fort au moins Windows Server 2003. Les approbations de fort ne sont autorises quaux niveaux fonctionnels de fort Windows Server 2003 et Windows Server 2008.

2. Comme vous ne possdez pas de compte dans le domaine wingtiptoys.com, vous nepouvez que des approbations entrantes et sortantes sens unique. Les administrateurs de wingtiptoys.com doivent crer des approbations entrantes et sortantes sens unique rciproques.

3. Vous devez activer lauthentification slective dans lapprobation sortante. Ensuite,accordez ces utilisateurs lautorisation Autorisation dauthentifier sur les objets ordinateur des quatre serveurs.

40

Rponses

Chapitre 13 : Rponses aux questions de rvisionLeon 11. Bonne rponse : B A. Faux : Le service AD DS redmarrable est lune des fonctionnalits les plusintressantes de Windows Server 2008.

B. Vrai : Si une personne travaille sur un autre contrleur de domaine dans ledomaine racine de la fort et quelle a arrt le service AD DS, vous ne pourrez pas larrter sur ce serveur car il faut quau moins un contrleur de domaine soit oprationnel dans chaque domaine pour pouvoir larrter.

C. Faux : Vous navez pas besoin dutiliser le mode DSRM dans WindowsServer 2008 pour accomplir des oprations dans la base de donnes sur un contrleur de domaine.

D. Faux : Vous pouvez arrter le service AD DS soit via la ligne de commandes,soit via la console Services.

2. Bonnes rponses : D et F A. Faux : Si le serveur tombe en panne, vous ne pouvez pas le redmarrer enmode DSRM.

B. Faux : Vous navez pas besoin daccomplir une restauration faisant autorit,car rien nindique que le serveur contenait des donnes perdues qui ne se trouvent pas sur les autres contrleurs de domaine.

C. Faux : Vous navez pas besoin de rinstaller le systme dexploitation si vousavez accs aux sauvegardes compltes du serveur.

D. Vrai : Vous devez redmarrer le serveur avec WinRE pour lancer loprationde rcupration complte du serveur.

E. Faux : Vous ne pouvez pas accomplir de restauration ne faisant pas autoritavec Ntdsutil.exe dans Windows Server 2008. Vous devez utiliser loutil Sauvegarde de Windows Server ou Wbadmin.exe.

F. Vrai : Vous pouvez accomplir une rcupration complte du serveur soit viala ligne de commandes, soit via linterface graphique.

Leon 21. Bonnes rponses : C et D A. Faux : Les dates dexpiration narrtent pas un ensemble de collectes. Ellesempchent le dmarrage des nouvelles collections lorsque la date dexpiration est atteinte.

B. Faux : Pour sexcuter, les ensembles de collecteurs doivent tre dans lestemps. Sinon, ils sinterrompent si lutilisateur qui les a crs se dconnecte.

C. Vrai : Vous devez dfinir une condition darrt pour chaque ensemble decollecteurs.

Rponses

41

D. Vrai : Vous devez dfinir une dure pour chaque ensemble de collecteurslorsque vous planifiez son excution, faute de quoi il ne sarrte pas.

2. Bonnes rponses : A, B, C et D A. Vrai : Le Moniteur de fiabilit indique si des changements ont t apportsrcemment au serveur et sils peuvent tre