3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf8 8 8 |
Службы федерации Active Directory |
|
|
Глава 17 |
|
|
|
|
|
|
Вы работаете системным а д м и н и с т р а т о р о м в к о м п а н и и C o n t o s o |
I cd В- |
||
организация приняла решение развернуть |
W i n d o w s |
Server 2 0 0 8 и |
' ж е л а е т " " " |
|
ализовать несколько технологий из этого |
в ы п у с к а . |
В частности, |
реали . ти'ня |
|
преследует следующие цели. |
|
' |
' а ц и я |
|
• |
Обновление центрального х р а н и л и щ а |
п р о в е р к и |
п о д л и н н о с т и |
и авториза - |
|
ции. |
|
|
|
• Гарантия защиты интеллектуальной собственности, в частности при работе
спартнерами.
•Поддержка пяти приложений в экстрасети:
• |
два приложения Windows с п р о в е р к о й |
п о д л и н н о с т и W i n d o w s NT; |
о |
три веб-приложения, и с п о л ь з у ю щ и е |
м о д е л и п р о в е р к и п о д л и н н о с т и , |
|
поддерживаемые в I IS. |
|
•Клиенты приложений экстрасети р а с п о л о ж е н ы в трех местах: в н у т р е н н е й
сети, партнерских организациях и Интернете .
• Поскольку приложения запущены в экстрасети, н е о б х о д и м о всегда исполь - зовать безопасные коммуникации .
Вы должны определить, какие технологии W i n d o w s Server 2008 необходимы и как реализовать их в компании. Что вы п о р е к о м е н д у е т е ?
Практические задания
Чтобы успешно справиться с темами с е р т и ф и к а ц и о н н о г о экзамена, в ы п о л н и т е необходимые упражнения.
Подготовка к развертыванию AD FS
Самый лучший способ подготовки к с е р т и ф и к а ц и о н н о м у э к з а м е н у |
AD FS — |
||||||
выполнить |
практические упражнения . |
|
|||||
Также |
рекомендуется |
в ы п о л н и т ь |
у п р а ж н е н и я из р у к о в о д с т в а |
« M i c r o s o f t |
|||
Stcp-by-Step Guide for Active Directory |
Federation Services», которое р а з м е щ е н о |
||||||
по |
адресу |
|
|
http://www.tnicrosoft.com/downloads/details.aspx7familyid-062F7382- |
|||
A82F-4428-9l}BD-A103B9F27654&displaylang-en. |
|
||||||
Помните, |
что |
AD |
FS |
не р е к о м е н д у е т с я у с т а н а в л и в а т ь иа к о н т р о л л е р а х |
|||
доменов AD |
FS, |
хотя |
этот метод используется в п о ш а г о в о м р у к о в о д с т в е па |
||||
веб-сайте |
Microsoft. |
|
|
|
|
||
Пробный экзамен
На прилагаемом к книге компакт - диске представлено |
н е с к о л ь к о |
в а р и а н т о в |
|
тренировочных тестов. Проверка з н а н и й |
в ы п о л н я е т с я |
и л и т о л ь к о |
по одной |
теме сертификационного экзамена 7 0 - 6 4 0 , |
или по всем |
э к з а м е н а ц и о н н ы м те- |
|
мам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения, чтобы после каждого ответа на вопрос просматривать правильные ответы и п о я с н е н и я .
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Ответы
Глава 1. Ответы на вопросы занятий
Занятие 1
1.Правильные ответы: А н Б.
Л. Правильный Д л я создания или присоединения контроллера домена необходимо допустимое DNS - имя домена.
Б. |
Правильный |
Д л я домеиа необходимо указать имя NetBIOS с целью |
|
|
п о д д е р ж к и старых приложений, использующих имена NetBIOS. |
||
В. |
Неправильный |
D H C P - с е р в е р указывать необязательно. Контроллеру |
|
|
д о м е н а следует назначить статический IP-адрес. |
||
Г. |
Неправильный |
Хотя DNS-сервер необходим для функционирования |
|
|
домена, в случае его отсутствия мастер установки Active Directory ав- |
||
|
т о м а т и ч е с к и |
инсталлирует и отконфигурирует службу DNS на конт- |
|
|
р о л л е р е домеиа. |
|
|
2.Правильный ответ: Г.
A. Неправильный Д л я включения функционального уровня леса Windows Server 2008 необходимо, чтобы все домены оперировали и режиме домена W i n d o w s Server 2008. Поскольку домен Litware может содержать к о н т р о л л е р ы W i n d o w s Server 2003, он должен оставаться на функциональном уровне домена Windows Server 2003. Поэтому лес также должен работать на уровне Windows Server 2003.
Б. Неправильный Д л я включения функционального уровня леса Windows Server 2008 необходимо, чтобы все домены оперировали в режиме домена Windows Server 2008. Поскольку домен Litware может содержать к о н т р о л л е р ы Windows Server 2003, он должен оставаться на функциональном уровне домена Windows Server 2003. Поэтому лес также должен работать на уровне Windows Server 2003.
B. Неправильный Домен, оперирующий на функциональном уровне W i n d o w s Server 2008, не может содержать контроллеры Windows Server 2003.
Г. Правильный Домен Litware может содержать контроллеры Windows Server 2003 и поэтому должен оперировать на функциональном уровне W i n d o w s Server 2003. Функциональный уровень леса нельзя повысить, пока все домены не будут работать в режиме Windows Server 2008.
I 8 9 0 Ответы
Занятие 2
1. Правильный ответ: Л. |
|
|
|
A. Правильный |
Пароль необходим |
д л я н а з н а ч е н и я л о к а л ь н о й учетной |
|
записи администратора на сервере |
после у д а л е н и я AD DS. |
||
Б. Неправильный |
М а ш и н а S E R V E R 0 2 в н а с т о я щ е е в р е м я с л у ж и т конт- |
||
роллером домена, и вы вошли иа нее как администратор . Таким образом, |
|||
в ы уже располагаете п р и в и л е г и я м и , |
н е о б х о д и м ы м и д л я п о н и ж е н и я |
||
ранга контроллера домена до у р о в н я |
р я д о в о г о сервера . |
||
B. Неправильный |
М а ш и н а S E R V E R 0 2 в н а с т о я щ е е в р е м я с л у ж и т конт- |
||
роллером домена, и вы вошли на нее как администратор . Т а к и м образом, |
|||
в ы уже располагаете п р и в и л е г и я м и , |
н е о б х о д и м ы м и д л я п о н и ж е н и я |
||
ранга контроллера домена до у р о в н я р я д о в о г о сервера . Группа Domain |
|||
Controllers содержит у ч е т н ы е з а п и с и |
к о м п ь ю т е р о в д л я к о н т р о л л е р о в |
||
доменов. |
|
|
|
2.Правильный ответ: Г.
A. Неправильный |
Технология AD CS не п о д д е р ж и в а е т с я в я д р е сервера |
||
|
(Server Core). |
|
|
Б. |
Неправильный |
Технология AD FS не п о д д е р ж и в а е т с я в я д р е сервера. |
|
B. Неправильный |
Технология AD R M S |
не п о д д е р ж и в а е т с я в я д р е сер- |
|
|
вера. |
|
|
Г. |
Правильный |
Технология AD CS не |
п о д д е р ж и в а е т с я в я д р е сервера, |
|
поэтому на сервере нужно и н с т а л л и р о в а т ь п о л н у ю у с т а н о в к у W i n d o w s |
||
|
Server 2008. |
|
|
Глава 1. Ответы на вопросы сценария
Сценарий. Создание леса Active Directory
1. |
Да, ядро сервера (Server Core) п о д д е р ж и в а е т д о м е н н ы е с л у ж б ы Active Di- |
|||
|
rectory. Полная установка W i n d o w s Server 2 0 0 8 д л я |
с о з д а н и я к о н т р о л л е р а |
||
|
домена не нужна. |
|
|
|
2. |
Использовать команду |
Netsh для н а с т р о й к и IP - адресов . |
||
3. |
Использовать команду Ocsetup.exe д л я добавления ролей сервера. В качестве |
|||
|
альтернативы для установки D N S - с е р в е р а м о ж н о |
п р и м е н и т ь п а р а м е т р ы |
||
|
команды |
Dcpromo.exe |
/unattend. |
|
4. |
Использовать команду |
Dcpromo.exe д л я д о б а в л е н и я |
и н а с т р о й к и AD DS. |
|
Глава 2. Ответы на вопросы занятий
Занятие 1
1, Правильный ответ: В.
А. Неправильный Оснастка Active Directory — п о л ь з о в а т е л и и к о м п ь ю - теры (Active Directory Users And Computers) в диспетчере сервера будет запущена с теми же учетными данными, что и н а с т р а и в а е м а я консоль. Возникнет ошибка отказа в доступе (Access Denied) .
Ответы |
8 9 1 |
Б.Н е п р а в и л ь н ы й Хотя оснастку Active Directory — пользователи и ком-
пьютеры м о ж н о запустить с помощью ярлыка dsa.msc, она будет запущена с теми же привилегиями, что и настраиваемая консоль. Возникнет о ш и б к а отказа в доступе (Access Denied).
В. П р а в и л ь н ы й О ш и б к а отказа в доступе означает недостаточный уровень привилегий для выполнения запрашиваемого действия. В вопросе четко указано, что вы имеете необходимые привилегии. В ответе предполагается, что у вас есть дополнительная учетная запись. Даже если это не учетная запись Администратор (Administrator), она в любом случае будет административной .
Г. Н е п р а в и л ь н ы й Д л я с м е н ы пароля можно использовать |
команду |
DSMOD USER с переключателем -р, однако вопрос относится |
к ошиб- |
ке отказа в доступе. В ответе не сказано, что командная строка будет з а п у щ е н а с использованием других учетных данных, поэтому ошибки отказа в доступе будут возникать и дальше.
Занятие 2
1. П р а в и л ь н ы й ответ: Г.
A. |
Н е п р а в и л ь н ы й |
Задача Active Directory может быть выполнена с по- |
||
|
м о щ ь ю к о м а н д н о й строки, сценариев или |
средств удаленного адми- |
||
|
н и с т р и р о в а н и я сервера любым пользователем, которому делегировало |
|||
|
р а з р е ш е н и е |
на |
выполнение этой задачи. |
|
Б. |
Н е п р а в и л ь |
н ы й |
Администраторы домена |
(Domain Admins) входят |
в группу Администраторы (Administrators) в домене. Поэтому все разрешения, назначаемые группе Администраторы, будут также присвоены вам как члену группы Администраторы домена.
B. Н е п р а в и л ь н ы й Возможность удаления подразделения или любого объекта в Active Directory связана с разрешениями, а не владением.
Г. П р а в и л ь н ы й Н о в ы е подразделения создаются с защитой от случайного удаления . Перед удалением подразделения эту защиту необходимо сиять. Удалить защиту можно с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers), если в ее меню Вид (View) установлен флажок Дополнительные компоненты (Advanced Features) — для отображения вкладки Объект (Object) диалогового окна свойств подразделения.
Занятие 3
1. П р а в и л ь н ы е ответы: А, Б и Г.
А. П р а в и л ь н ы й Д л я назначения административной задачи необходимо м о д и ф и ц и р о в а т ь список DACL такого объекта, как подразделение. В диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings) предоставляется прямой доступ к разрешениям в списке DACL. Мастер делегирования управления (Delegation of Control Wizard) упрощает эту задачу, позволяя пошагово назначать разрешения группам. Д л я управления разрешениями Active Directory в командной строке можно использовать утилиту DSACLS.
I 8 9 2 |
Ответы |
|
|
|
|
Б. |
Правильный |
|
Для назначения а д м и н и с т р а т и в н о й задачи |
необходи- |
|
|
мо модифицировать список DACL такого объекта, как подразделение. |
||||
|
В диалоговом |
окне Д о п о л н и т е л ь н ы е п а р а м е т р ы |
б е з о п а с н о с т и (Ad - |
||
|
vanced Security |
Settings) предоставляется п р я м о й |
доступ |
к разреше- |
|
|
ниям в списке |
|
DACL. Мастер делегирования у п р а в л е н и я |
(Delegation |
|
|
of Control Wizard) упрощает эту задачу, п о з в о л я я пошагово назначать |
||||
|
разрешения группам. Д л я управления р а з р е ш е н и я м и Active Directory |
||||
|
в командной строке можно использовать у т и л и т у DSACLS . |
|
|||
В. |
Неправильный |
Утилита DSUTIL используется д л я у п р а в л е н и я свойс- |
|||
|
твами домена |
и |
службы каталогов и не п р и м е н я е т с я д л я у п р а в л е н и я |
||
|
разрешениями |
объектов. |
|
|
|
Г. |
Правильный |
|
Для назначения а д м и н и с т р а т и в н о й задачи |
необходи - |
|
|
мо модифицировать список DACL такого объекта, к а к подразделение . |
||||
|
В диалоговом окне Дополнительные параметры безопасности (Advanced |
||||
|
Security Settings) предоставляется п р я м о й д о с т у п |
к р а з р е ш е н и я м в |
|||
|
списке DACL. Мастер делегирования управления (Delegation of Control |
||||
|
Wizard) упрощает эту задачу, позволяя пошагово назначать р а з р е ш е н и я |
||||
|
группам. Для управления разрешениями Active Directory в к о м а н д н о й |
||||
|
строке можно |
использовать утилиту DSACLS. |
|
|
|
Глава 2. Ответы на вопросы сценария
Сценарий. Подразделения и д е л е г и р о в а н и е
1. Для объектов компьютеров Contoso лучше всего создать отдельное подразделение и внутри него предусмотреть дочерние подразделения д л я каж - дого сайта. Команде технической поддержки в к а ж д о м узле делегируется контроль над объектами компьютеров в подразделении данного узла. Родительское подразделение используется для д е л е г и р о в а н и я р а з р е ш е н и й , чтобы команда в главном офисе могла управлять объектами компьютеров в любом узле.
2. Несмотря на то что в каждом узле есть л и ш ь одии - два сотрудника с л у ж б ы технической поддержки, рекомендуется создать группу из них, в к л ю ч и т ь в нее пользователей и делегировать этой группе необходимые разрешения . Из-за роста организации и ее службы технической поддержки, а т а к ж е изза смены пользователей из персонала технической поддержки управление разрешениями, назначенными учетным записям этих пользователей, станет очень сложным и неэффективным. Назначив разрешения группе, персонал технической поддержки можно просто добавлять и удалять в качестве членов этой группы.
3. Поскольку пользователи в любом узле могут запрашивать поддержку команды технического обслуживания в другом узле, пользователи д о л ж н ы оставаться в одном подразделении, распределять их по р а з н ы м подразделениям в узлах на основе делегирования или у п р а в л я е м о с т и не н у ж н о . Подразделение, содержащее пользователей, делегируется группе, включа - ющей весь персонал технической поддержки. Вы можете создать группу, содержащую группы команд технической поддержки в каждом узле.
Ответы |
8 9 3 |
Глава 3. Ответы на вопросы занятий
Занятие 1
1 . П р а в и л ь н ы й ответ: В.
A. |
Н е п р а в и л ь н ы й |
|
Хотя шаблон учетной записи пользователя позволяет |
|
|
копировать несколько десятков атрибутов в новую учетную запись поль- |
|||
|
зователя, д л я выполнения этой задачи шаблон потребуется скопировать |
|||
|
2000 раз. |
|
|
|
Б. |
Н е п р а в и л ь н ы й |
К о м а н д а LDIFDE импортирует объекты из файлов |
||
|
LDIF, ф о р м а т которых не поддерживается в Microsoft Office Excel. |
|||
B. |
П р а в и л ь н ы й |
|
К о м а н д а CSVDE импортирует объекты из |
текстовых |
|
ф а й л о в с р а з д е л и т е л ь н ы м и запятыми; эти файлы можно |
открывать, |
||
|
редактировать и сохранять в Excel. |
|
||
Г. |
Н е п р а в и л ь н ы й |
С помощью команды Dsadd учетную запись пользо- |
||
|
в а т е л я м о ж н о |
создать в командной строке, но для выполнения такой |
||
|
задачи эту команду придется запускать 2000 раз. |
|
||
2 . П р а в и л ь н ы й ответ: А . |
|
|||
A. |
П р а в и л ь н ы й |
С помощью команды LDIFDE можно добавлять, моди- |
||
|
ф и ц и р о в а т ь и удалять объекты Active Directory. |
|
||
Б. |
Н е п р а в и л ь н ы й |
Команда Dsmod модифицирует свойства |
существую- |
|
|
щего объекта. |
|
|
|
B. |
Н е п р а в и л ь н ы й |
Команда DEL удаляет файл. |
|
|
Г. |
Н е п р а в и л ь н ы й |
Команда CSVDE может импортировать пользователей, |
||
но не удалять их.
Занятие 2
1. П р а в и л ь н ы й ответ: В.
A. |
Н е п р а в и л ь н ы й |
Д л я |
создания пользователей в Windows PowerShell |
|
нет соответствующего |
командлета. |
|
Б. |
Н е п р а в и л ь н ы й |
В оснастке ADSI отсутствует метод NewUser. |
|
B. |
П р а в и л ь н ы й Такой контейнер, как подразделение или домен, распо- |
||
|
лагает методом Create для создания объектов указанного класса. |
||
Г. |
Н е п р а в и л ь н ы й |
И н с т р у к ц и я Set указывает на использование синтак- |
|
|
сиса VBScript . |
|
|
2. П р а в и л ь н ы й ответ: Г.
A. |
Н е п р а в и л ь н ы й |
Д л я |
создания пользователей в Windows PowerShell |
|
нет соответствующего |
командлета. |
|
Б. |
Н е п р а в и л ь н ы й |
Метод Setlnfo представляет нового пользователя и его |
|
|
свойства в Active Directory, но использовать Setlnfo следует вместе с |
||
|
командами создания объектов и их атрибутов, а применять его отдельно |
||
|
нельзя. |
|
|
B. Н е п р а в и л ь н ы й Такой контейнер, как подразделение или домен, располагает методом Create для создания объектов указанного класса, но
1894 |
Ответы |
|
|
i |
|
|
|
I |
для сохранения |
объекта в Active D i r e c t o r y |
н е о б х о д и м о и с п о л ь з о в а т ь |
' |
метод Setlnfo. Поэтому одного метода Create |
недостаточно . |
|
Г. |
Правильный |
Команда Dsadd м о ж е т создать п о л ь з о в а т е л я без допол - |
|
|
нительных методов и команд. |
|
|
3.Правильные ответы: А, Б и Г.
A. Правильный |
О б ъ е к т создается с п о м о щ ь ю метода Create такого кон- |
|||
|
тейнера, как подразделение . |
|
|
|
Б. |
Правильный |
Метод Setlnfo п р е д с т а в л я е т нового |
п о л ь з о в а т е л я |
и его |
|
свойства в Active Directory. Е с л и не и с п о л ь з о в а т ь |
м е т о д Setlnfo, |
н о в ы й |
|
|
объект и изменения его свойств будут п р е д с т а в л е н ы л и ш ь л о к а л ь н о . |
|||
B . Неправильный |
Этот код н е д е й с т в и т е л е н . Он п о х о ж на к о д V B S c r i p t , |
|||
|
а не на создание объектов п о л ь з о в а т е л е й . |
|
|
|
Г. |
Правильный |
Необходимо п о д к л ю ч и т ь с я к контейнеру, в котором будет |
||
|
создан пользователь. |
|
|
|
Занятие 3
1. Правильный ответ: В.
A . Неправильный |
К л а в и ш у C t r l м о ж н о п р и м е н я т ь д л я в ы б о р а множес - |
||||||
|
тва пользователей, но |
т о л ь к о если о и и в х о д я т в о д н о |
п о д р а з д е л е н и е . |
||||
|
Десять пользователей |
в э т о м |
с ц е н а р и и р а с п р е д е л е н ы |
по р а з л и ч н ы м |
|||
|
подразделениям. |
|
|
|
|
|
|
Б. |
Неправильный |
Команда Dsmod п о з в о л я е т и з м е н и т ь с в о й с т в о Комната |
|||||
|
(Office), однако команда Dsget |
не л о к а л и з у е т о б ъ е к т ы . К о м а н д а |
Dsget |
||||
|
используется |
д л я |
о т о б р а ж е н и я |
а т р и б у т о в , а не д л я л о к а л и з а ц и и |
объ- |
||
|
ектов. |
|
|
|
|
|
|
B. |
Правильный |
С |
п о м о щ ь ю к о м а н д ы Dsquery м о ж н о |
и д е н т и ф и ц и р о - |
|||
|
вать пользователей, в свойстве |
К о м н а т а ( O f f i c e ) к о т о р ы х у к а з а н |
о ф и с |
||||
|
в Майами, а затем поместить |
р е з у л ь т а т ы в к о н в е й е р |
к о м а н д ы |
Dsmod |
|||
|
для изменения свойства Комната . |
|
|
||||
Г. |
Неправильный |
Эти командлеты не и с п о л ь з у ю т с я д л я р а б о т ы с объек- |
|||||
|
тами Active |
Directory. |
|
|
|
|
|
2.Правильные ответы: Б и В.
A. Неправильный |
С помощью командлета M o v e - I t e m в W i n d o w s |
Power- |
||||||
|
Shell можно перемещать объекты в |
и м е н н о м п р о с т р а н с т в е , |
но |
Active |
||||
|
Directory |
пока |
не |
и н т е р п р е т и р у е т с я |
в W i n d o w s |
P o w e r S h e l l |
как про- |
|
|
странство |
имен. |
|
|
|
|
|
|
Б. |
Правильный |
Д л я перемещения п о л ь з о в а т е л я в |
к о н т е й н е р в V B S c r i p t |
|||||
|
используется |
метод MoveHere. |
|
|
|
|
||
B, |
Правильный |
С помощью команды Dsmove можно перемещать объекты |
||||||
|
в Active Directory. |
|
|
|
|
|
||
Г. |
Неправильный |
Команда Redimsr.exe применяется д л я настройки Active |
||||||
|
Directory, так что новые объекты пользователей, созданные без указания |
|||||||
|
подразделения, будут помещены в контейнер по у м о л ч а н и ю Users. |
|||||||
Ответы 8 9 5
Д. Н е п р а в и л ь н ы й Средство миграции Active Directory используется для миграции учетных записей между доменами.
3 . П р а в и л ь н ы й ответ: А . |
|
A. П р а в и л ь н ы й П о л ь з о в а т е л ь |
может входить на ограниченное число |
компьютеров . На вкладке Учетная запись (Account) диалогового окна |
|
свойств пользователя можно |
щелкнуть кнопку Вход на (Log On То) |
идобавить имя компьютера в список разрешенных рабочих станций.
Б. Н е п р а в и л ь н ы й При создании учетной записи компьютера с помощью
этой к н о п к и можно контролировать пользователей, которым разрешено п р и с о е д и н и т ь компьютер к домену, но эта команда не влияет на пользователей, которые могут входить на компьютер после присоединения
к домену.
B.Н е п р а в и л ь н ы й Команда Dsmove используется для перемещения объекта в Active Directory.
Г.Н е п р а в и л ь н ы й Хотя право локального входа необходимо пользователю,
во з н и к а ю щ а я о ш и б к а не связана с правом локального входа в систему.
Глава 3. Ответы на вопросы сценария
Сценарий. Импорт учетных записей пользователей
1.Н е о б х о д и м о п р и м е н и т ь сценарий VBScript или Windows PowerShell. 13 ка-
честве |
и с т о ч н и к а д а н н ы х д л я создания учетной записи пользователя оба |
|
я з ы к а с ц е н а р и е в |
могут использовать файл Excel с разделительными за- |
|
п я т ы м и |
(.csv). В |
сценарии можно реализовать бизнес-логику. Например, |
с п о м о щ ь ю и н ф о р м а ц и и в этом файле Excel можно сконструировать имя входа и адрес электронной почты. Хотя посредством команды CSVDE можно и м п о р т и р о в а т ь ф а й л ы .csv, она просто импортирует атрибуты в файле и не может в ы п о л н я т ь задачи по бизнес-логике или создавать новые атрибуты в реальном времени.
2. С о з д а н н ы е учетные записи можно отключить до прибытия студентов.
3.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And C o m p u t e r s ) можно выбрать всех пользователей и одновременно
изменить д л я них атрибут company. В командной строке посредством коман-
ды Dsquery.exe можно |
поместить имена DN всех пользователей в конвейер |
к о м а н д ы Dsmod.exe, |
которая может изменить атрибут company. |
Глава 4. Ответы на вопросы занятий
Занятие 1
1. П р а в и л ь н ы й ответ: Б .
А, |
Н е п р а в и л ь н ы й |
Универсальные группы безопасности не могут содер- |
|
жать пользователей или группы из доверенных внешних доменов. Они |
|
|
могут содержать пользователей, глобальные группы и другие универ- |
|
|
сальные группы из любого домеиа в лесу. |
|
Б. |
П р а в и л ь н ы й |
Локальные группы безопасности в домене могут содер- |
жать членов из доверенных внешних доменов.
I 8 9 6 |
Ответы |
|
В. |
Неправильный |
Глобальные группы безопасности не могут содержать |
|
пользователей н |
группы из д о в е р е н н ы х в н е ш н и х доменов . О н и могут |
|
содержать пользователей и другие г л о б а л ь н ы е г р у п п ы т о л ь к о в том же |
|
|
домене. |
|
Г. |
Неправильный |
Группам р а с п р о с т р а н е н и я н е л ь з я н а з н а ч а т ь разреше - |
ния доступа к ресурсам.
2.Правильный ответ: Г.
A . Н е п р а в и л ь н ы й |
Д а н н а я группа п р е д с т а в л я е т собой г р у п п у р а с п р о - |
|
|
странения, которой нельзя назначать р а з р е ш е н и я доступа . И з м е н е н и е |
|
|
области действия не устранит это о г р а н и ч е н и е . |
|
Б. |
Неправильный |
Данная группа — это группа распространения, которой |
|
нельзя назначать разрешения доступа . И з м е н е н и е о б л а с т и д е й с т в и я не |
|
|
устранит это ограничение. |
|
B. Неправильный |
Эта группа представляет собой г р у п п у р а с п р о с т р а н е - |
|
|
ния, поэтому ее члены не получат доступ к о б щ е й п а п к е п р и в к л ю ч е н и и |
|
|
данной группы |
в группу Пользователи д о м е н а ( D o m a i n Users) . |
Г. |
Правильный |
Переключатель -secgrp yes з а м е н я е т т и п на г р у п п у безо- |
пасности, после чего эту группу м о ж н о д о б а в и т ь в с п и с о к A C L о б щ е й папки.
3.Правильные ответы: В, Г, Д и Е.
A. Неправильный |
Глобальные |
группы |
не |
могут с о д е р ж а т ь |
г л о б а л ь н ы е |
|
|
группы из других доменов. |
|
|
|
|
|
Б . |
Неправильный |
Глобальные |
группы |
не |
могут с о д е р ж а т ь |
г л о б а л ь н ы е |
|
группы из других доменов. |
|
|
|
|
|
B. Правильный Глобальные группы могут содержать пользователей в том |
||||||
|
же лесу. |
|
|
|
|
|
Г. |
Правильный |
Глобальные группы могут содержать пользователей в до- |
||||
|
веренных доменах. |
|
|
|
|
|
Д. |
Правильный |
Глобальные группы могут содержать пользователей в том |
||||
|
же домене. |
|
|
|
|
|
Е. |
Правильный |
Глобальные группы могут содержать г л о б а л ь н ы е группы |
||||
|
в том же домене. |
|
|
|
|
|
Ж . Н е п р а в и л ь н ы й |
Глобальные г р у п п ы |
н е |
могут с о д е р ж а т ь |
л о к а л ь н ы е |
||
|
группы в домене. |
|
|
|
|
|
3. |
Неправильный |
Глобальные группы не могут содержать универсальные |
||||
|
группы. |
|
|
|
|
|
Занятие 2
1.Правильные ответы: Б, В и Г.
А. |
Неправильный |
Командлет Remove -Item в W i n d o w s PowerShell нельзя |
|
использовать для удаления членов группы, поскольку группы не отоб- |
|
|
ражаются в пространстве имен. |
|
Б. |
Правильный |
Команда Dsrm используется д л я у д а л е н и я группы . |
Ответы |
897 |
В. П р а в и л ь н ы й Команда Dsmoel с параметром -remmbr может удалять членов из группы.
Г.П р а в и л ь н ы й Команда LDIFDE с типом изменений modify и операцией
delete:member может удалять членов из группы.
Д.Н е п р а в и л ь н ы й Команда CSVDE может импортировать новые группы,
ане модифицировать существующие.
2 . П р а в и л ь н ы й ответ: Б .
A.Н е п р а в и л ь н ы й Команда Dsrm удаляет группу. Удаление группы не решает проблему.
Б.П р а в и л ь н ы й Команду Dsmod с переключателем -scope можно пополь-
зовать д л я изменения области группы Л до универсальной группы,
азатем до глобальной группы. Затем вы сможете добавить группу А
вгруппу Б. Этот вопрос относится не к использованию команд или добавлению одной группы в другую, а к области действия группы.
B.Н е п р а в и л ь н ы й Команда Dsquery выполняет поиск объектов в Active Directory. Она не может вносить изменения, так что с ее помощью нельзя решить проблему.
Г. Н е п р а в и л ь н ы й Команда Dsget извлекает атрибут объекта. Она не может вносить изменения, так что с ее помощью нельзя решить проблему.
3. П р а в и л ь н ы й ответ: Г.
A.Н е п р а в и л ь н ы й Командлет Get-Members в Windows PowerShell извлекает членов программного объекта, а не группы.
Б. Неправильный Команда Dsqueiy запрашивает в Active Directory объекты, соответствующие фильтру поиска. Она не выводит членство в группах.
B.Н е п р а в и л ь н ы й Команду LDIFDE можно использовать для экспорта группы и соответственно ее членов, но с ее помощью нельзя экспортировать непосредственно членов группы.
Г. П р а в и л ь н ы й Команда Dsget может вернуть атрибут объекта, включая атрибут member объектов групп. С параметром expand команда Dsget может возвращать полную информацию о членстве в группе.
Занятие 3
1. П р а в и л ь н ы й ответ: Г.
A. |
Неправильный |
Члены команды уже имеют разрешение доступа, и оно |
|
не запрещает им получать доступ к папке с другихкомпьютеров, |
|
Б. |
Неправильный |
Члены команды уже имеют разрешение доступа, и оно |
|
не запрещает им получать доступ к папке с других компьютеров. |
|
B. |
Н е п р а в и л ь н ы й |
Это разрешение не запрещает им получать доступ |
|
к папке с других компьютеров. |
|
Г. |
Правильный |
Разрешение с параметром Запретить (Deny) заменяет |
|
разрешения с параметром Разрешить (Allow). Если член команды по- |
|
|
пытается подключиться к папке с другого компьютера, он будет чле- |
|
|
ном особой группы идентификации Сеть (Network) и в доступе будет |
|