无答案的70-640书上题目

1. 公司有一个总部和一个分部。你将运行 Microsoft Windows Server 2008 的只读域控制器 (RODC) 部署在分部。你需要确保分部的用户能够使用 RODC 登录到域。你该怎么做？

A B C D

2. 公司有一个总部和一个分部。公司有一个单域的 Active Directory 林。总部有两个

运行 Windows Server 2008 的域控制器，并且分别名为 DC1 和 DC2。分部有一台 Windows Server 2008 只读域控制器 (RODC)，名为 DC3。所有域控制器都承担着 DNS 服务器角色，并都配置为 Active Directory 集成区域。DNS 区域只允许安全更新。你需要在 DC3 上启用动态 DNS 更新。你该怎么做？ A B C D

3. 公司有一个 Active Directory 林，其中只包含 Windows Server 2003 域控制器。你

需要准备 Active Directory 域，以安装 Windows Server 2008 域控制器。你应该执行哪两项任务？（每个正确答案表示解决方法的一部分。请选择两个正确答案。） A B C D

4. 公司有一个 Active Directory 域。所有域控制器都运行 Windows Server 2003。你

在某台服务器上安装 Windows Server 2008。你需要将这台新服务器作为域控制器添加到域中。应该先怎么做？ A

在新服务器上，运行 dcpromo /adv。 运行 adprep /forestprep 命令。 运行 adprep /domainprep 命令。

将林功能级别提升为 Windows Server 2008。 将域功能级别提升为 Windows Server 2008。 在 DC3 上运行 Ntdsutil.exe > DS Behavior 命令。 在 DC3 上运行 Dnscmd.exe /ZoneResetType 命令。

在 DC3 上将 Active Directory 域服务重新安装为可写域控制器。

在 DC1 上安装自定义应用程序目录分区。配置该分区以存储 Active Directory 集成区域。

在分部再部署一个 RODC 在总部部署一台桥头服务器 在 RODC 上配置密码复制策略

使用“Active Directory 站点和服务”控制台减少所有连接对象的复制时间间隔

第1章：实施Active Directory域服务

B C D

在新服务器上，运行 dcpromo /createdcaccount。 在某个域控制器上，运行 adprep /rodcprep。 在某个域控制器上，运行 adprep /forestprep。

5. 你需要从名为 DC1 的域控制器上删除 Active Directory 域服务角色。你该怎么

做？ A B C D

6. 公司有一个总部和一个分部，它们被配置为一个单独的 Active Directory 林。该

Active Directory 林的功能级别是 Windows Server 2003。总部有 4 台 Windows Server 2003 域控制器。你需要确保能够在分部部署只读域控制器 (RODC)。你应该执行哪两个操作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。） A B C D

7. 你有一个 Active Directory 域。所有域控制器都运行 Windows Server 2008，并且

配置为 DNS 服务器。该域包含一个 Active Directory 集成的 DNS 区域。你需要确保系统从 DNS 区域中自动删除过期的 DNS 记录。你该怎么做？ A. 从区域的属性中，启用清理。 B. 从区域的属性中，禁用动态更新。

C. 从区域的属性中，修改 SOA 记录的 TTL。 D. 从命令提示符下，运行 ipconfig /flushdns。

运行 adpreplrodcprep 命令。

将林的功能级别提升为 Windows Server 2008。 将域的功能级别提升为 Windows Server 2008。 在总部部署 Windows Server 2008 域控制器。 运行 netdom remove DC1 命令。 运行 nltest /remove_server: DC1 命令

运行 Dcpromo 实用工具。删除“Active Directory 域服务”角色。 使用“Active Directory 用户和计算机”重设 Domain Controller 计算机账户。

2

第1章：实施Active Directory域服务

8. 你有一台运行 Windows Server 2008 的域控制器，并且该域控制器已配置为 DNS

服务器。你需要记录发给该服务器的所有入站 DNS 查询。应该在“DNS 管理器”控制台中进行什么配置？ A. 启用调试日志。

B. 启用自动测试简单查询。 C. 启用自动测试递归查询。

D. 配置事件日志以记录错误和警告。

9. 公司有一台 DNS 服务器，该服务器有 10 个 Active Directory 集成区域。你需要

将该 DNS 服务器的区域文件的副本提供给安全部门。你该怎么做？

A. 运行 dnscmd /Zonelnfo 命令。 B. 运行 ipconfig /registerdns 命令。 C. 运行 dnscmd /ZoneExport 命令。

D. 运行 ntdsutil > Partition Management> List 命令。

10. 有一台运行 Windows Server 2008 的域控制器，名为 DC1。DC1 被配置为

contoso.com 的 DNS 服务器。你在名为 Server1 的成员服务器上安装了 DNS 服务器角色，然后你创建了 contoso.com 的标准辅助区域。你将 DC1 配置为该区域的主服务器。你需要确保 Server1 收到来自 DC1 的区域复制。你该怎么做？ A. 在 Server1 上，添加条件转发器。

B. 在 DC1 上，修改 contoso.com 区域的权限。

C. 在 DC1 上，修改 contoso.com 区域的区域传送设置。 D. 将 Server1 计算机账户添加到 DNSUpdateProxy 组。

11. 网络由一个 Active Directory 林组成，并且该林包含一个域。所有域控制器都运行

Windows Server 2008，并且配置为 DNS 服务器。你有一个 Active Directory 集成区域。还有两个 Active Directory 站点。每个站点包含五个域控制器。你将一个新的 NS 记录添加到区域。你需要确保所有域控制器都立即收到这条新的 NS 记录。你该怎么做？

A. 从“DNS 管理器”控制台中，重新加载区域。

B. 从“服务”管理单元中，重新启动“DNS 服务器”服务。 C. 从命令提示符下，运行 repadmin /syncall。

3

第1章：实施Active Directory域服务

D. 从“DNS 管理器”控制台中，提高 SOA 记录的版本号。

12. 网络由一个 Active Directory 林组成，该林包含一个名为 contoso.com 的域。所有

域控制器都运行 Windows Server 2008，并且配置为 DNS 服务器。你有两个 Active Directory 集成区域：contoso.com 和 nwtraders.com。你需要确保用户能够修改 contoso.com 区域中的记录。你必须防止用户修改 nwtraders.com 区域中的 SOA 记录。你该怎么做？

A. 从“DNS 管理器”控制台中，修改 contoso.com 区域的权限。 B. 从“DNS 管理器”控制台中，修改 nwtraders.com 区域的权限。

C. 从“Active Directory 用户和计算机”控制台中，运行“控制委派向导”。 D. 从“Active Directory 用户和计算机”控制台中，修改 Domain Controllers 组

织单位 (OU) 的权限。

13. 公司有一个名为 ad.contoso.com 的 Active Directory 域。该域有两个域控制器，分

别名为 DC1 和 DC2。两个域控制器都安装了 DNS 服务器角色。

你在外围网络上安装了一台新的 DNS 服务器，名为 DNS1.contoso.com。你将 DC1 配置为将所有未解决的名称请求转发给 DNS1.contoso.com。 你发现 DNS 转发选项在 DC2 上不可用。

你需要在 DC2 服务器上将 DNS 转发配置为指向 DNS1.contoso.com 服务器。 你应该执行哪两个操作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

A. 清除 DC2 上的 DNS 缓存。 B. 删除 DC2 上的根区域。 C. 在 DC2 上配置条件转发。 D. 在 DC2 上配置侦听地址。

14. 公司有一个 Active Directory 域，名为 contoso.com。公司网络有两台 DNS 服务

器，分别名为 DNS1 和 DNS2。这两台 DNS 服务器的配置如图2-11所示。

图 错误！文档中没有指定样式的文字。-1 两台DNS服务器配置

4

第1章：实施Active Directory域服务

域用户被配置为使用 DNS2 作为首选 DNS 服务器，但他们无法连接到 Internet 网站。你需要为所有客户端计算机启用 Internet 名称解析。你该怎么做？ A. 在 DNS1 上创建 .(root) 区域的副本。 B. 更新 DNS2 上的根提示服务器的列表。

C. 在 DNS2 上更新 Cache.dns 文件。在 DNS1 上配置条件转发。 D. 从 DNS2 中删除 .(root) 区域。在 DNS2 上配置条件转发。

15. 网络包含一个 Active Directory 林。所有域控制器都运行 Windows Server 2008，并

且都配置为 DNS 服务器。你有一个 contoso.com 的 Active Directory 集成区域。你有一台基于 Unix 的 DNS 服务器。你需要配置 Windows Server 2008 环境，以允许 contoso.com 区域传送到基于 Unix 的 DNS 服务器。应在“DNS 管理器”控制台中执行什么操作？ A. 禁用递归。 B. 创建存根区域。 C. 创建辅助区域。 D. 启用 BIND 辅助区域。

16. 你正在解除承载所有全林性操作主机角色的域控制器。你需要将所有全林性操作主

机角色转移到另一个域控制器。你应该转移哪两个角色？（每个正确答案表示解决方法的一部分。请选择两个正确答案。） A. RID 主机 B. PDC 仿真器 C. 架构主机 D. 基础结构主机 E. 域命名主机

17. 公司有一个 Active Directory 域。公司有两台域控制器，分别名为 DC1 和 DC2。

DC1 承载着架构主机角色。DC1 出现故障。你使用管理员账户登录到 Active Directory。你无法传送“架构主机”操作角色。你需要确保 DC2 承载“架构主机”角色。该怎么做？

A. 注册 Schmmgmt.dll。启动“Active Directory 架构”管理单元。 B. 将 DC2 配置为桥头服务器。

5

第1章：实施Active Directory域服务

C. 在 DC2 上，获取架构主机角色。

D. 先注销，然后使用隶属于 Schema Administrators 组的账户再次登录到 Active

Directory。启动“Active Directory 架构”管理单元。

18. 公司聘用了 10 名新雇员。你希望这些新雇员通过 VPN 连接接入公司总部。你创建了

新用户账户，并将总部中的共享资源的“允许读取”和“允许执行”权限授予新雇员。但是，新雇员无法访问总部的共享资源。你需要确保用户能够建立可接入总部的 VPN 连接。你该怎么做？

A. 授予新雇员“允许完全控制”权限。 B. 授予新雇员“允许访问拨号”权限。

C. 将新雇员添加到 Remote Desktop Users 安全组。 D. 将新雇员添加到 Windows Authorization Access 安全组。

19. 公司有一个 Active Directory 域。有个用户试图从客户端计算机登录到域，但是收到以

下消息：“此用户账户已过期。请管理员重新激活该账户”。你需要确保该用户能够登录到域。你该怎么做？

A. 修改该用户账户的属性，将该账户设置为永不过期。 B. 修改该用户账户的属性，延长“登录时间”设置。 C. 修改该用户账户的属性，将密码设置为永不过期。 D. 修改默认域策略，缩短账户锁定持续时间。

20. 公司有一个 Active Directory 域，名为 intranet.contoso.com。所有域控制器都运行

Windows Server 2008。域功能级别和林功能级别都设置为 Windows 2000 纯模式。你需要确保用户账户有 UPN 后缀 contoso.com。应该先怎么做？

A. 将 contoso.com 林功能级别提升到 Windows Server 2003 或 Windows Server

2008。

B. 将 contoso.com 域功能级别提升到 Windows Server 2003 或 Windows Server

2008。

C. 将新的 UPN 后缀添加到林。

D. 将 Default Domain Controllers 组策略对象 (GPO) 中的 Primary DNS Suffix 选

项设置为 contoso.com。

6

第1章：实施Active Directory域服务

21. 公司有一个总部和 10 个分部。每个分部有一个 Active Directory 站点，其中包含一个

域控制器。只有总部的域控制器被配置为全局编录服务器。你需要在分部域控制器上停用“通用组成员身份缓存”(UGMC) 选项。应在哪一级停用 UGMC？ A. 站点 B. 服务器 C. 域 D. 连接对象

22. 公司有两个 Active Directory 林，分别名为 contoso.com 和 fabrikam.com。两个林都

只运行 Windows Server 2008 域控制器。contoso.com 域的功能级别是Windows Server 2008. fabrikam.com 域的功能级别是Windows Server 2003本机模式.你配置了 contoso.com 和 fabrikam.com 之间的外部信任关系。你需要启用 Kerberos AES 加密选项。该怎么做？

A. 创建新的林信任，并启用全林性身份验证。

B. 将 contoso.com 的林功能级别提升为 Windows Server 2008。 C. 将 fabrikam.com 的林功能级别提升为 Windows Server 2008。 D. 将 fabrikam.com 的域功能级别提升为 Windows Server 2008。

23. 公司有一个单域的 Active Directory 林。该域的功能级别是 Windows Server 2008。

你执行以下活动。

? ? ? ? ?

创建一个全局通讯组。 将用户添加到该全局通讯组。

在 Windows Server 2008 成员服务器上创建一个共享文件夹。 将该全局通讯组放入有权访问该共享文件夹的域本地组中。 你需要确保用户能够访问该共享文件夹。

该怎么做？

A. 将林功能级别提升为 Windows Server 2008。

B. 将该全局通讯组添加到 Domain Administrators 组中。 C. 将该全局通讯组的组类型更改为安全组。 D. 将该全局通讯组的作用域更改为通用通讯组。

7

第1章：实施Active Directory域服务

24. 公司有一个 Active Directory 域。有个用户试图从客户端计算机登录到域，但是收到以

下消息：“此用户账户已过期。请管理员重新激活该账户”。你需要确保该用户能够登录到域。该怎么做？

A. 修改该用户账户的属性，将该账户设置为永不过期。 B. 修改该用户账户的属性，延长“登录时间”设置。 C. 修改该用户账户的属性，将密码设置为永不过期。 D. 修改默认域策略，缩短账户锁定持续时间。 25.

公司有一个分部，该分部配置为单独的 Active Directory 站点，并且有一个 Active Directory 域控制器。该 Active Directory 站点需要本地全局编录服务器来支持某个新的应用程序。你需要将该域控制器配置为全局编录服务器。应该使用哪个工具？

A. Dcpromo.exe 实用工具 B. “服务器管理器”控制台 C. “计算机管理”控制台

D. “Active Directory 站点和服务”控制台 E. “Active Directory 域和信任”控制台

26. 公司有一个总部和三个分部。每一个总部和分部都配置为一个单独的 Active

Directory 站点，且每个站点都有各自的域控制器。你禁用了某个拥有管理权限的账户。你需要将被禁用账户的信息立即复制到所有站点。可实现此目标的两种可行的方式是什么？（每个正确答案表示一个完整的解决方法。请选择两个正确答案。） A. 使用 Dsmod.exe 将所有域控制器配置为全局编录服务器。 B. 使用 Repadmin.exe 在站点连接对象之间强制进行复制。

C. 从“Active Directory 站点和服务”控制台中，选择现有的连接对象，并强

制复制。

D. 从“Active Directory 站点和服务”控制台中，将所有域控制器配置为全局

编录服务器。

27. 公司有一个 Active Directory 域。公司有两台域控制器，分别名为 DC1 和

DC2。DC1 承载着架构主机角色。DC1 出现故障。你使用管理员账户登录到

8

第1章：实施Active Directory域服务

Active Directory。你无法传送“架构主机”操作角色。你需要确保 DC2 承载“架构主机”角色。你该怎么做？

A. 注册 Schmmgmt.dll。启动“Active Directory 架构”管理单元。 B. 将 DC2 配置为桥头服务器 C. 在 DC2 上，获取架构主机角色

D. 先注销，然后隶属于 Schema Administrators 组的账户再次登录到 Active

Directory。启动“Active Directory 架构”管理单元。

28. 你有一个名为 Site1 的现有 Active Directory 站点。你创建了一个新的 Active

Directory 站点，并将其命名为 Site2。你需要配置 Site1 和 Site2 之间的 Active Directory 复制。你安装了一台新的域控制器。然后创建 Site1 和 Site2 之间的站点链接。接下来该做什么？

A. 使用“Active Directory 站点和服务”控制台配置新的站点链接桥对象。 B. 使用“Active Directory 站点和服务”控制台降低 Site1 和 Site2 之间的站

点链接开销。

C. 使用“Active Directory 站点和服务”控制台为 Site2 分配一个新的 IP 子

网。将新的域控制器对象移至 Site2。

D. 使用“Active Directory 站点和服务”控制台将新的域控制器配置为 Site1

的首选桥头服务器。

29. 公司 Contoso, Ltd., 在北美和欧洲都设有办事处。Contoso 有一个 Active

Directory 林，林中有三个域。你需要减少当来自 labs.eu.contoso.com 域的用户在访问 eng.na.contoso.com 域中的资源时，验证这些用户的身份所需要的时间。你该怎么做？

A. 降低所有连接对象的复制间隔。

B. 降低 DEFAULTIPSITELINK 站点链接的复制间隔。

C. 设置从 eng.na.contoso.com 到 labs.eu.contoso.com 的单向快捷方式信任。 D. 设置从 labs.na.contoso.com 到 eng.eu.contoso.com 的单向快捷方式信任。

30. 公司有一个 Active Directory 域。你登录到域控制器。Microsoft 管理控制台

(MMC) 中没有“Active Directory 架构”管理单元可用。你需要访问“Active Directory 架构”管理单元。你该怎么做？

9

第1章：实施Active Directory域服务

A. 注册 Schmmgml.dll。

B. 先注销，然后使用隶属于 Schema Administrators 组的账户再次登录。 C. 使用 Ntdsutil.exe 命令连接到“架构主机”操作主机，然后打开架构准备写

入。

D. 使用“服务器管理器”将 Active Directory 轻型目录服务 (AD LDS) 角色添

加到域控制器。

31. 公司有一个 Active Directory 林。每个分支办事处都有一个组织单位和一个名为

Sales 的子组织单位。Sales 组织单位包含销售部的所有用户和计算机。你需要仅在 Sales 组织单位中安装 Office 2007 应用程序。你创建了一个名为 SalesApp GPO 的 GPO。接下来该做什么？

A. 配置该 GPO 以将 Office 2007 应用程序分配给计算机账户。将 SalesAPP

GPO 链接到域。

B. 配置该 GPO 以将 Office 2007 应用程序分配给用户账户。将 SalesAPP GPO

链接到每个办事处的 Sales 组织单位。

C. 配置该 GPO 以将 Office 2007 应用程序发布给用户账户。将 SalesAPP GPO

链接到每个办事处的 Sales 组织单位。

D. 配置该 GPO 以将 Office 2007 应用程序分配给计算机账户。将 SalesAPP

GPO 链接到每个办事处的 Sales 组织单位。

32.公司有一个 Active Directory 林，其中包含 Windows Server 2008 域控制器和 DNS 服务器。所有客户端计算机都运行 Windows XP。你需要使用客户端计算机，并使用存储在 ADMX 中心存储中的 ADMX 文件来编辑基于域的 GPO。你该怎么做？

A. 将你的账户添加到 Domain Admins 组。 B. 将你的客户端计算机升级为 Windows Vista。 C. 在你的客户端计算机上安装 .NET Framework 3.0。

D. 在域的主域控制器 (PDC) 仿真器上，在 PolicyDefinitions 路径下创建一个

文件夹。将 ADMX 文件复制到 PolicyDefinitions 文件夹。

33.公司有一个名为 Production 的组织单位。Production 组织单位有一个子组织单位，名为 R&D。你创建了名为 Software Deployment 的 GPO，并将其链接到

10

第1章：实施Active Directory域服务

Production 组织单位。你创建了 R&D 组织单位的影子组。你需要将某个应用程序部署到 Production 组织单位中的用户。你还需要确保该应用程序不会部署到 R&D 组织单位中的用户。哪两种可行的方式可实现此目的？（每个正确答案表示一个完整的解决方法。请选择两个正确答案。）

A. 在 Software Deployment GPO 上配置“强制”设置。 B. 在 R&D 组织单位上配置“阻止继承”设置。 C. 在 Production 组织单位上配置“阻止继承”设置。

D. 将 Software Deployment GPO 的安全筛选配置为“拒绝”R&D 安全组的

“应用组策略”。

34.公司有一个 Active Directory 林。公司在三个地方设有分支办事处。每个办事处都有一个组织单位。你需要确保分支办事处管理员能够创建 GPO，并且只能将创建的 GPO 应用于其各自的组织单位。应该执行哪两个操作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

A. 将分支办事处管理员的用户账户添加到 Group Policy Creator Owners 组。 B. 修改每个组织单位中的“管理者”选项卡，以将分支办事处管理员添加到其

各自的组织单位。

C. 运行“控制委派向导”，并将链接域 GPO 的权限委派给分支办事处管理员。 D. 运行“控制委派向导”，并将链接其各自组织单位的 GPO 的权限委派给分

支办事处管理员。

35.公司有一个 Active Directory 域，并且域中有名为 Sales 的组织单位。Sales 组织单位包含两个全局安全组，分别名为 sales managers 和 sales executives。你需要将桌面限制应用到 sales executives 组。同时，不得将这些桌面限制应用到 sales managers 组。你创建了名为 DesktopLockdown 的 GPO，并将其链接到 Sales 组织单位。接下来该做什么？

A. 在 DesktopLockdown GPO 中配置“拒绝”sales managers 的“应用组策

略”权限。

B. 在 DesktopLockdown GPO 中配置“拒绝”sales executives 的“应用组策

略”权限。

C. 在 DesktopLockdown GPO 中配置“拒绝”Authenticated Users 的“应用组

策略”权限。

11

第1章：实施Active Directory域服务

D. 在 DesktopLockdown GPO 中配置“允许”Authenticated Users 的“应用组

策略”权限。

36.公司有一个 Active Directory 林，其中包含运行 Windows Vista 和 Microsoft Windows XP 的客户端计算机。你需要确保用户能够在其计算机上安装准许安装的应用程序更新。应该执行哪两个操作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

A. 在客户端计算机上，通过控制面板设置自动更新。

B. 创建一个 GPO，并将其链接到 Domain Controllers 组织单位。配置该 GPO

以自动搜索 Microsoft Update 网站上的更新。

C. 创建一个 GPO，并将其链接到域。配置该 GPO，将客户端计算机定向到

Microsoft WSUS 服务器以获得允许的更新。

D. 在环境中的服务器上安装 Microsoft WSUS 应用程序。将该服务器配置为在

Internet 上搜索新的更新。批准所有需要的更新。

37.公司有一个 Active Directory 林，其中包含八个链接的组策略对象 (GPO)。其中一个 GPO 向用户对象发布应用程序。有个用户报告说，他得不到该应用程序，因此无法安装。你需要确定是否应用了 GPO。你该怎么做？

A. 针对该用户运行组策略结果实用工具。 B. 针对其计算机运行组策略结果实用工具。

C. 在命令提示符下，运行 GPRESULT /SCOPE COMPUTER 命令。 D. 在命令提示符下，运行 GPRESULT /S /Z 命令。

38.公司有一个 Active Directory 林。该公司有三处办事处。每个办事处都有一个组织单位和一个名为 Sales 的子组织单位。Sales 组织单位包含销售部的所有用户和计算机。公司计划在三个 Sales 组织单位内的所有计算机上部署 Microsoft Office 2007 应用程序。你需要确保 Office 2007 应用程序只安装在 Sales 组织单位内的计算机上。你该怎么做？

A. 创建名为 SalesAPP GPO 的组策略对象 (GPO)。配置该 GPO 以将 Office

2007 应用程序分配给计算机账户。将 SalesAPP GPO 链接到域。

12

第1章：实施Active Directory域服务

B. 创建名为 SalesAPP GPO 的组策略对象 (GPO)。配置该 GPO 以将 Office

2007 应用程序分配给用户账户。将 SalesAPP GPO 链接到每个办事处的 Sales 组织单位。

C. 创建名为 SalesAPP GPO 的组策略对象 (GPO)。配置该 GPO 以将 Office

2007 应用程序发布给用户账户。将 SalesAPP GPO 链接到每个办事处的 Sales 组织单位。

D. 创建名为 SalesAPP GPO 的组策略对象 (GPO)。配置该 GPO 以将 Office

2007 应用程序分配给计算机账户。将 SalesAPP GPO 链接到每个办事处的 Sales 组织单位。

39.网络只有一个 Active Directory 域。林的功能级别是 Windows Server 2008。你需要为域中的用户创建多个密码策略。你该怎么做？

A. 从“架构”管理单元中，创建多个类架构对象。

B. 从“ADSI Edit”管理单元中，创建多个“密码设置”对象。 C. 从“安全配置向导”中，创建多个安全策略。

D. 从“组策略管理”管理单元中，创建多个组策略对象。

40.网络只有一个 Active Directory 域。所有域控制器都运行 Windows Server 2008。整个域都启用了“审核账户管理”策略设置和“审核目录服务访问”设置。你需要确保对 Active Directory 对象的更改都记入日志中。记入日志的更改必须包括任何属性的旧值和新值。你该怎么做？

A. 在“默认域控制器策略”中启用“审核账户管理”策略。

B. 运行 auditpol.exe，然后配置 Domain Controllers OU 的“安全”设置。 C. 运行 auditpol.exe，然后在“默认域策略”中启用“审核目录服务访问”设置。 D. 从“默认域控制器策略”中，启用“审核目录服务访问”设置，并启用目录

服务更改。

41.所有咨询师都属于名为 TempWorkers 的全局组。你在名为 SecureServers 的新组织单位中放入了三个文件服务器。这些三个文件服务器包含位于共享文件夹中的机密数据。每当这些咨询师访问机密数据失败时，你需要将他们的失败尝试记录下来。你应该执行哪两个操作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

13

第1章：实施Active Directory域服务

A. 创建一个新 GPO，并将其链接到 SecureServers 组织单位。配置“审核特权

使用”“失败审核”策略设置。

B. 创建一个新 GPO，并将其链接到 SecureServers 组织单位。配置“审核对象

访问”“失败审核”策略设置。

C. 创建一个新 GPO，并将其链接到 SecureServers 组织单位。从

TempWorkers 全局组的网络用户权限设置中，配置“拒绝”访问此计算机。

D. 在三个文件服务器的每个共享文件夹上，将这三个服务器添加到“审核”选

项卡。在“审核项目”对话框中，配置“失败完全控制”设置。

E. 在三个文件服务器的每个共享文件夹上，将 TempWorkers 全局组添加到“审

核”选项卡。在“审核项目”对话框中，配置“失败完全控制”设置。

42.网络只有一个 Active Directory 域。所有域控制器都运行 Windows Server 2008。你需要捕获所有域控制器上的所有复制错误，并将其集中到中心位置。你该怎么做？

A. 配置事件日志订阅。

B. 启动“System Performance”数据收集器集。 C. 启动“Active Directory Diagnostics”数据收集器集。 D. 安装“网络监视器”，并创建一个新的捕获。

43.你需要找出域控制器上所有失败的登录尝试。你该怎么做？

A. 运行“事件查看器”。 B. 查看 Netlogon.log 文件。 C. 运行“安全和配置向导”。

D. 查看域控制器计算机对象的“安全”选项卡。

44.公司有一个运行 Windows Server 2008 的 Active Directory 域。Sales OU 包含 Computers OU、Groups OU 以及 Users OU。你执行夜间备份。管理员删除了 Groups OU。你需要还原 Groups OU，同时又不能影响到 Sales OU 中的用户和计算机。你该怎么做？

A. 执行 Sales OU 的授权还原。 B. 执行 Groups OU 的授权还原。 C. 执行 Groups OU 的非授权还原。

14

第1章：实施Active Directory域服务

D. 执行 Sales OU 的非授权还原。

45.公司有一台运行 Windows Server 2008 的域控制器。该服务器是备份服务器。该服务器有一个 500 GB 的硬盘，硬盘上有 3 个分区，分别用于操作系统、应用程序和数据。你执行服务器的日常备份。硬盘出现了故障。你将故障硬盘替换为容量相同的新硬盘。你通过安装介质重新启动计算机。然后选择“修复计算机”选项。你需要还原操作系统和所有文件。你该怎么做？

A. 选择“启动修复”选项。 B. 选择“系统还原”选项。

C. 在命令提示符下运行 Rollback 实用工具。 D. 在命令提示符下运行 Wbadmin 实用工具。

46.网络只有一个 Active Directory 域。所有域控制器都运行 Windows Server 2008。你需要确定，哪些轻型目录访问协议 (LDAP) 客户端使用域控制器上的可用 CPU 资源最多。你该怎么做？

A. 在“资源监视器”中查看性能数据。

B. 在“事件查看器”中查看“硬件事件”日志。

C. 运行“LAN Diagnostics”数据收集器集。查看“LAN 诊断”报告。 D. 运行“Active Directory Diagnostics”数据收集器集。查看“Active Directory

诊断”报告。

47.Active Directory 数据库安装在域控制器的 C 卷上。你需要将 Active Directory 数据库移至新卷。你该怎么做？

A. 使用 Windows 资源管理器将 ntds.dit 文件移至新卷。 B. 使用 ROBOCOPY 命令将 ntds.dit 文件移至新卷。

C. 使用 Ntdsutil 实用工具的 Files 选项将 ntds.dit 文件移至新卷。 D. 在 Microsoft Windows PowerShell 中运行 Move-item 命令，将 ntds.dit 文

件移至新卷。

48.公司有一个运行 Windows Server 2008 的 Active Directory 域。Sales OU 包含 Computers OU、Groups OU 以及 Users OU。你执行夜间备份。管理员删除了

15

第1章：实施Active Directory域服务

Groups OU。你需要还原 Groups OU，同时又不能影响到 Sales OU 中的用户和计算机。你该怎么做？

A. 执行 Sales OU 的授权还原。 B. 执行 Groups OU 的授权还原。 C. 执行 Groups OU 的非授权还原。 D. 执行 Sales OU 的非授权还原。

49.你需要将公司中现有的用户和计算机对象移到其他组织单位中。哪两种可行的方式可实现此目的？（每个正确答案表示一个完整的解决方法。请选择两个正确答案。）

A. 运行 Dsmod 实用工具。

B. 运行 Active Directory Migration Tool (ADMT)。 C. 运行“Active Directory 用户和计算机”实用工具。

D. 在 Microsoft Windows PowerShell 实用工具中运行 move-item 命令。

50.公司有一个 Active Directory 域。有个用户试图登录到某台计算机，该计算机已关机 12 周。管理员收到的错误消息显示身份验证失败。你需要确保该用户能够登录到这台计算机。你该怎么做？

A. 运行 netdom TRUST /reset 命令。

B. 运行 netsh 命令，并附带 set machine 选项。

C. 运行“Active Directory 用户和计算机”控制台，先禁用该计算机账户，然

后再启用。

D. 重设该计算机账户。先将该计算机脱离域，然后再将其重新加入域。

51.你创建了 200 个新用户账户。这些用户位于六个不同的站点。新用户报告说，他们在尝试登录时，收到以下错误消息：“用户名或密码不正确”。你确认用户账户确实存在，并且都已启用。你还确定他们提供的用户名和密码信息都正确。你需要找出故障的原因。你还需要确保这些用户能够登录。应该运行哪个实用工具？

A. Rsdiag B. Rstools C. Repadmin

D. Active Directory 域和信任关系

16

第1章：实施Active Directory域服务

52.网络只有一个 Active Directory 域。所有域控制器都运行 Windows Server 2008。你需要重设域控制器上的目录服务恢复模式 (DSRM) 密码。应该使用什么工具？

A. dsmod B. ntdsutil

C. “本地用户和组”管理单元

D. “Active Directory 用户和计算机”管理单元

53.Contoso Ltd., 公司有一个总部和一个分部。总部和分部通过 WAN 链路连接。Contoso 有一个 Active Directory 林，其中包含一个名为 ad.contoso.com 的域。ad.contoso.com 域包含一个名为 DC1 的域控制器，DC1 位于总部。DC1 配置为 ad.contoso.com DNS 区域的 DNS 服务器。该区域配置为标准主要区域。

你在分部安装了一台名为 DC2 的新域控制器。你在 DC2 上安装了 DNS。 你需要确保一旦 WAN 链路失效，该 DNS 服务可更新记录，并解析 DNS 查询。 该怎么做？

A. 在 DC2 上创建名为 ad.contoso.com 的新存根区域。 B. 将 DC2 上的 DNS 服务器配置为将请求转发给 DC1。 C. 在 DC2 上创建名为 ad.contoso.com 的新标准辅助区域。

D. 将 DC1 上的 ad.contoso.com 区域转换为 Active Directory 集成区域。

54.网络只有一个 Active Directory 域。所有域控制器都运行 Windows Server 2008，并且都配置为 DNS 服务器。名为 DC1 的域控制器有 contoso.com 的标准主要区域。名为 DC2 的域控制器有 contoso.com 的标准辅助区域。你需要确保 contoso.com 区域的复制是加密的。而且决不能丢失任何区域数据。你该怎么做？

A. 在两台服务器上，修改 DNS 服务器所侦听的接口。

B. 将主要区域转换为 Active Directory 集成区域。删除辅助区域。 C. 将主要区域转换为 Active Directory 集成存根区域。删除辅助区域。 D. 配置标准主要区域的区域传送设置。修改辅助区域上的“主服务器”列表。

55.网络只有一个 Active Directory 域。该域包含 10 个域控制器。这些域控制器都运行 Windows Server 2008，并且都配置为 DNS 服务器。你计划创建一个新的 Active Directory 集成区域。你需要确保这个新区域只复制到 4 个域控制器。应该先怎么做？

17

第1章：实施Active Directory域服务

A. 在 ForestDnsZones 应用程序目录分区中创建新的委派。 B. 在 DomainDnsZones 应用程序目录分区中创建新的委派。

C. 从命令提示符下，运行 dnscmd 并指定 /enlistdirectorypartition 参数。 D. 从命令提示符下，运行 dnscmd 并指定 /createdirectorypartition 参数。

56.公司有一个 Active Directory 域，名为 intranet.adatum.com。域控制器运行 Windows Server 2008 以及 DNS 服务器角色。所有计算机，包括非域成员，动态注册其 DNS 记录。你需要配置 intranet.adatum.com 区域，以只允许域成员动态注册 DNS 记录。你该怎么做？

A. 将动态更新设置为“安全”。 B. 启用区域传送到名称服务器。 C. 删除 Authenticated Users 组。

D. 拒绝 Everyone 组的“创建所有子对象”权限。

57.网络由一个名为 contoso.com 的 Active Directory 林组成。所有服务器都运行 Windows Server 2008。所有域控制器都配置为 DNS 服务器。contoso.com DNS 区域存储在 ForestDnsZones Active Directory 应用程序分区中。有一台成员服务器包含 dev.contoso.com 的标准主要 DNS 区域。你需要确保所有域控制器都可以解析 dev.contoso.com 的名称。该怎么做？

A. 在 contoso.com 区域中创建 NS 记录。 B. 在 contoso.com 区域中创建委派。 C. 在全局编录服务器上创建标准辅助区域。 D. 修改 contoso.com 区域中 SOA 记录的属性。

58.你有一台运行 Windows Server 2008 的域控制器，并且该域控制器已配置为 DNS 服务器。你需要记录发给该服务器的所有入站 DNS 查询。应该在“DNS 管理器”控制台中进行什么配置？

A. 启用调试日志。

B. 启用自动测试简单查询。 C. 启用自动测试递归查询。

D. 配置事件日志以记录错误和警告。

18

第1章：实施Active Directory域服务

59.Contoso, Ltd. 有一个名为 ad.contoso.com 的 Active Directory 域。Fabrikam, Inc. 有一个名为 intranet.fabrikam.com 的 Active Directory 域。Fabrikam 的安全策略禁止将内部 DNS 区域数据传送到 Fabrikam 网络之外。你需要确保 Contoso 用户能够解析 intranet.fabrikam.com 域中的名称。该怎么做？

A. 创建 intranet.fabrikam.com 域的新存根区域。 B. 配置条件转发，转发到 intranet.fabrikam.com 域。 C. 创建 intranet.fabrikam.com 域的标准辅助区域。

D. 创建 intranet.fabrikam.com 域的 Active Directory 集成区域。

60.公司有两个 Active Directory 林，分别名为 contoso.com 和 fabrikam.com。公司网络有三台 DNS 服务器，分别名为 DNS1、DNS2 和 DNS3。这三台 DNS 服务器的配置如图10-2所示。

图 错误！文档中没有指定样式的文字。-2 排查 AD DS 故障情景

属于 fabrikam.com 域的所有计算机都将 DNS3 配置为首选 DNS 服务器。所有其他计算机使用 DNS1 作为首选 DNS 服务器。来自 fabrikam.com 域的用户无法连接到属于 contoso.com 域的服务器。你需要确保 fabrikam.com 域的用户能够解析所有 contoso.com 查询。该怎么做？

A. 在 DNS3 服务器上创建 _msdcs.contoso.com 区域的副本。

B. 在 DNS1 服务器和 DNS2 服务器上创建 fabrikam.com 区域的副本。 C. 在 DNS3 上配置条件转发，将 contoso.com 查询转发到 DNS1。 D. 在 DNS1 和 DNS2 上配置条件转发，将 fabrikam.com 查询转发到

DNS3。

61.网络只有一个 Active Directory 域。所有域控制器都运行 Windows Server 2003。你将所有域控制器都升级到 Windows Server 2008。你需要确保 Sysvol 共享使用 DFS 复制 (DFS-R) 进行复制。该怎么做？

A. 从命令提示符下，运行 netdom /reset。 B. 从命令提示符下，运行 dfsutil /addroot.sysvol。

19

第1章：实施Active Directory域服务

C. 将域的功能级别提升为 Windows Server 2008。

D. 从命令提示符下，运行 dcpromo /unattend:unattendfile.xml。

62.公司有一个总部和三个分部。公司有一个单域的 Active Directory 林。总部和每个分部都有一个域控制器。总部和每个分部都分别配置为一个 Active Directory 站点。所有站点都通过 DEFAULTIPSITELINK 对象相连。你需要降低域控制器之间的复制延迟。该怎么做？

A. 降低连接对象之间的开销。 B. 降低所有连接对象的复制间隔。

C. 降低 DEFAULTIPSITELINK 对象的复制间隔。 D. 缩短 DEFAULTIPSITELINK 对象的复制计划。

63.公司有一个 Active Directory 林。林中包含对应于以下四处地点的组织单位。

伦敦 芝加哥 纽约 马德里

每处地点都有一个名为 Sales 的子组织单位。Sales 组织单位包含销售部的所有用户和计算机。伦敦、芝加哥和纽约的办事处通过 T1 连接相连。马德里办事处的连接使用 256 kbps 的 ISDN。你需要在销售部的所有计算机上安装某个应用程序。应该执行哪两个操作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

A. 禁用组策略对象 (GPO) 中的慢速链接检测设置。

B. 在组策略对象 (GPO) 中将慢速链接检测阈值设置配置为 1,544 kbps (T1)。 C. 创建名为 Officelnstall 的组策略对象 (GPO)，并将其配置为将该应用程序分

配给用户。将该 GPO 链接到每个 Sales 组织单位。

D. 创建名为 Officelnstall 的组策略对象 (GPO)，并将其配置为将该应用程序分

配给计算机。将该 GPO 链接到每个 Sales 组织单位。

64.公司有一些文件服务器位于名为 Payroll 的组织单位中。这些文件服务器包含工资单文件，并且这些文件位于名为 Payroll 的文件夹中。你创建了有个 GPO。你需要跟踪哪些雇员访问了文件服务器上的 Payroll 文件。该怎么做？

20

第1章：实施Active Directory域服务

A. 启用“审核对象访问”选项。将该 GPO 链接到 Payroll 组织单位。在文件

服务器上，在 Payroll 文件夹中配置对 Everyone 组的“审核”。

B. 启用“审核对象访问”选项。将该 GPO 链接到域。在域控制器上，在 Payroll

文件夹中配置对 Authenticated Users 组的“审核”。

C. 启用“审核进程跟踪”选项。将该 GPO 链接到 Domain Controllers 组织单

位。在文件服务器上，在 Payroll 文件夹中配置对 Authenticated Users 组的“审核”。

D. 启用“审核进程跟踪”选项。将该 GPO 链接到 Payroll 组织单位。在文件

服务器上，在 Payroll 文件夹中配置对 Everyone 组的“审核”。

65.公司购买了一个新的应用程序，并计划部署到 200 台计算机上。该应用程序需要你在安装它之前，修改每台目标计算机上的注册表。注册表修改内容保存在一个扩展名为 adm 的文件中。你需要为安装该应用程序而准备目标计算机。该怎么做？

A. 将 .adm 文件导入一个新的组策略对象 (GPO)。编辑该 GPO，并将其链接到

包含目标计算机的组织单位。

B. 创建 Microsoft Windows PowerShell 脚本，将该 adm 文件复制到每台目标

计算机的启动文件夹。

C. 创建 Microsoft Windows PowerShell 脚本，将该 adm 文件复制到每台计算

机。在每台目标计算机上运行 REDIRUsr CONTAINER-DN 命令。 D. 创建 Microsoft Windows PowerShell 脚本，将该 adm 文件复制到每台计算

机。在每台目标计算机上运行 REDIRCmp CONTAINER-DN 命令。

66.网络有一个 Active Directory 域。所有域控制器都运行 Windows Server 2003。你将所有域控制器都升级到 Windows Server 2008。你需要配置 Active Directory 环境以支持应用多重密码策略。该怎么做？

A. 创建多个 Active Directory 站点。 B. 在所有域控制器上，运行 dcpromo /adv。 C. 在一个域控制器上，运行 dcpromo /adv。 D. 将域的功能级别提升为 Windows Server 2008。

67.公司网络有一个 Active Directory 林，林中有一个父域和一个子域。子域有两个运行 Windows Server 2008 的域控制器。子域中的所有用户账户都已迁移到父域。公司计划

21

第1章：实施Active Directory域服务

解除子域。你能需要从 Active Directory 林中删除该子域。哪两种可行的方式可实现此目的？（每个正确答案表示一个完整的解决方法。请选择两个正确答案。）

A. 删除子域中每个域控制器的计算机账户。删除父域和子域之间的信任关系。 B. 在子域中的每台域控制器上运行 Dcpromo 工具，并分别指定相应的应答文件。 C. 运行“计算机管理”控制台，停止子域中两台域控制器上的“域控制器”服务。 D. 在子域中的两台域控制器上使用“服务器管理器”卸载 Active Directory 域服务

角色。

68.公司有一个 Active Directory 林。你打算在一台专用的独立服务器上安装企业证书颁发机构 (CA)。当你试图添加 Active Directory 证书服务 (AD CS) 角色时，你发现“企业 CA”选项不可用。你需要将 AD CS 角色安装为企业 CA。应该先怎么做？

A. 添加“DNS 服务器”角色。 B. 将服务器加入域。

C. 添加 Web 服务器 (IIS) 角色和 AD CS 角色。 D. 添加 Active Directory 轻型目录服务 (AD LDS) 角色。

69.公司使用 Windows Server 2008 企业证书颁发机构 (CA) 来颁发证书。你需要实施密钥存档。你该怎么做？

A. 在服务器上存档私钥。

B. 将 Hisecdc 安全模板应用于域控制器。

C. 为存储加密文件的计算机配置用于自动注册的证书。 D. 安装企业从属 CA，并向加密文件的用户颁发用户证书。

70.公司有一个 Active Directory 域。你计划在运行 Windows Server 2008 的成员服务器上安装 Active Directory 证书服务 (AD CS) 角色。你需要确保 Account Operators 组的成员能够发放智能卡凭据。他们应不能吊销证书。你应该执行哪三个操作？（每个正确答案表示解决方法的一部分，请选择三个正确答案。）

A. 安装 AD CS 角色，并将其配置为企业根 CA。 B. 安装 AD CS 角色，并将其配置为独立 CA。

C. 将智能卡登录证书的注册代理限制为 Account Operator 组。 D. 将智能卡登录证书的证书管理员限制为 Account Operator 组。 E. 创建智能卡登录证书。

22

第1章：实施Active Directory域服务

F. 创建注册代理证书。

72.公司有一个 Active Directory 域。所有服务器都运行 Windows Server 2008。公司使用企业根证书颁发机构 (CA)。你需要确保吊销证书信息高度可用。你该怎么做？

A. 使用网络负载平衡实施联机证书状态协议 (OCSP) 响应程序。

B. 使用 Internet Security and Acceleration Server 阵列实施联机证书状态协议

(OCSP) 响应程序。

C. 使用组策略对象 (GPO) 将受信任证书颁发机构列表发布到域。

D. 创建一个允许用户信任对等证书的新组策略对象 (GPO)。将该 GPO 链接到

域。

73.你有一个 Windows Server 2008 企业根 CA。安全策略阻止在域控制器和颁发 CA 上打开端口 443 和 80。你需要允许用户通过 Web 界面申请证书。你安装了 AD CS 角色。接下来该做什么？

A. 在成员服务器上配置联机响应程序角色服务。 B. 在域控制器上配置联机响应程序角色服务。

C. 在成员服务器上配置证书颁发机构 Web 注册角色服务。 D. 在域控制器上配置证书颁发机构 Web 注册角色服务。

74.公司有一台运行 Windows Server 2008 的服务器。证书服务在该服务器上配置为独立证书颁发机构 (CA)。你需要审核 CA 配置设置的更改以及 CA 安全设置的更改。你应该执行哪两项任务？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

A. 在“证书服务”管理单元中配置审核。

B. 启用审核，审核对 %SYSTEM32%\\CertSrv 目录下的文件的权限进行更改的

尝试，包括成功和失败的尝试。

C. 启用审核，审核对 %SYSTEM32%\\CertLog 目录下的文件进行写入的尝试，

包括成功和失败尝试。

D. 在“证书服务”服务器上的本地安全策略中，启用“审核对象访问”设置。

23

第1章：实施Active Directory域服务

75.你有两台服务器，分别名为 Server1 和 Server2。两台服务器都运行 Windows Server 2008。Server1 配置为企业根证书颁发机构 (CA)。你在 Server2 上安装了联机响应程序角色服务。你需要配置 Server1 以支持联机响应程序。该怎么做？

A. 导入企业根 CA 证书。

B. 配置“证书吊销列表分发点”扩展。 C. 配置“颁发机构信息访问”(AIA) 扩展。

D. 将 Server2 计算机账户添加到 CertPublishers 组。

76.公司有一个 Active Directory 域。所有服务器都运行 Windows Server 2008。公司运行了企业根证书颁发机构 (CA)。你需要确保只有管理员才能给代码签名。应该执行哪两项任务？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

A. 发布代码签名模板。

B. 编辑企业根 CA 的本地计算机策略，以允许用户信任对等证书，并且只允许

管理员应用策略。

C. 编辑企业根 CA 的本地计算机策略，以只允许管理员管理受信任的发布者。 D. 修改模板上的安全设置，以只允许管理员申请代码签名证书。

77.你有两台服务器，分别名为 Server1 和 Server2。两台服务器都运行 Windows Server 2008。Server1 配置为企业根证书颁发机构 (CA)。你在 Server2 上安装了联机响应程序角色服务。你需要配置 Server2 以颁发企业根 CA 的证书吊销列表 (CRL)。应该执行哪两项任务？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

A. 导入企业根 CA 证书。 B. 导入 OCSP 响应签名证书。

C. 将 Server1 计算机账户添加到 CertPublishers 组。 D. 将“证书传播”服务的“启动类型”设置为“自动”。

78.公司有一台服务器运行 Active Directory 轻型目录服务 (AD LDS) 的实例。你需要在 AD LDS 应用程序目录分区中创建新的组织单位。你该怎么做？

A. 使用“Active Directory 用户和计算机”管理单元在 AD LDS 应用程序目录分区

中创建组织单位。

B. 使用“ADSI Edit”管理单元在 AD LDS 应用程序目录分区中创建组织单位。

24

第1章：实施Active Directory域服务

C. 使用 dsadd OU 命令创建组织单位。 D. 使用 dsmod OU 命令创建组织单位。

79.公司有一个包含单个域的 Active Directory 林。域成员服务器安装了 Active Directory 联合身份验证服务 (AD FS) 角色。你需要配置 AD FS 以确保 AD FS 令牌包含来自 Active Directory 域的信息。你该怎么做？

A. 添加并配置新的账户存储 B. 添加并配置新的账户伙伴 C. 添加并配置新的资源伙伴 D. 添加并配置声明感知的应用程序

80.公司有一个以 Windows Server 2008 功能级别运行的 Active Directory 林。你实施了 Active Directory Rights Management Services (AD RMS)。你安装了 Microsoft SOL Server 2005。当你试图打开 AD RMS 管理网站时，你收到以下错误消息：“SQL Server 不存在或者拒绝访问”。你需要打开 AD RMS 管理网站。你应该执行哪两个操作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）

A. 重新启动 IIS B. 安装消息队列

C. 启动 MSSQLSVC 服务

D. 手动删除 AD DS 中的服务连接点，然后重新启动 AD RMS

25

本文来源：https://www.bwwdw.com/article/197p.html