You are on page 1of 50

Rponses

Chapitre 1 : Rponses aux questions de rvision


Leon 1
1. Bonnes rponses : A et B A. Vrai : Un contrleur de domaine cre ou joint un domaine Active Directory,
qui doit avoir un nom DNS valide.

B. Vrai : Un domaine doit avoir un nom NetBIOS pour prendre en charge


danciennes applications utilisant des noms NetBIOS.

C. Faux : Un serveur DHCP nest pas ncessaire. En fait, un contrleur de


domaine doit avoir des adresses IP statiques.

D. Faux : Bien quun serveur DNS soit ncessaire pour la fonctionnalit dun
domaine, en son absence, lAssistant Installation des services de domaine Active Directory installe et configure le service DNS sur le contrleur de domaine.

2. Bonne rponse : D A. Faux : Au niveau fonctionnel de fort Windows Server 2008, tous les
domaines doivent fonctionner au niveau fonctionnel de domaine Windows Server 2008. Comme il se peut que le domaine Litware contienne des contrleurs de domaine Windows Server 2003, il doit rester au niveau fonctionnel de domaine Windows Server 2003. En consquence, la fort doit galement rester au niveau fonctionnel de fort Windows Server 2003.

B. Faux : Au niveau fonctionnel de fort Windows Server 2008, tous les


domaines doivent fonctionner au niveau fonctionnel de domaine Windows Server 2008. Comme il se peut que le domaine Litware contienne des contrleurs de domaine Windows Server 2003, il doit rester au niveau fonctionnel de domaine Windows Server 2003. En consquence, la fort doit galement rester au niveau fonctionnel de fort Windows Server 2003.

C. Faux : Un domaine fonctionnant au niveau fonctionnel de domaine


Windows Server 2008 ne peut pas contenir de contrleurs de domaine Windows Server 2003.

D. Vrai : Le domaine Litware pouvant contenir des contrleurs de domaine


Windows Server 2003, il doit en sexcuter au niveau fonctionnel de domaine Windows Server 2003. Vous ne pouvez pas augmenter le niveau fonctionnel de fort tant que tous les domaines ne sexcutent pas au niveau fonctionnel de domaine Windows Server 2008.

Rponses

Leon 2
1. Bonne rponse : A A. Vrai : Un mot de passe est ncessaire afin de pouvoir lassigner au compte
Administrateur local sur le serveur aprs la suppression dAD DS.

B. Faux : SERVER02 est actuellement un contrleur de domaine et vous y tes


connect en tant quAdministrateur. En consquence, vous possdez dj les informations didentification ncessaires pour lopration de rtrogradation.

C. Faux : SERVER02 est actuellement un contrleur de domaine et vous y tes


connect en tant quAdministrateur. En consquence, vous possdez dj les informations didentification ncessaires pour lopration de rtrogradation. Le groupe Domain Controllers contient des comptes dordinateurs pour les contrleurs de domaine.

2. Bonne rponse : D A. Faux : AD CS nest pas pris en charge sur Server Core. B. Faux : AD FS nest pas pris en charge sur Server Core. C. Faux : AD RMS nest pas pris en charge sur Server Core. D. Vrai : Comme AD CS nest pas pris en charge sur Server Core, vous devez
rinstaller le serveur avec une installation complte de Windows Server 2008.

Chapitre 1 : Rponses aux cas pratiques


Scnario : Crer une fort Active Directory
1. Oui. Server Core prend en charge les services de domaine Active Directory. Vous
navez pas besoin dune installation complte de Windows Server 2008 pour crer un contrleur de domaine.

2. Utilisez la commande Netsh pour configurer des adresses IP. 3. Utilisez Ocsetup.exe pour ajouter des rles de serveur. Sinon, la commande
Dcpromo.exe /unattend saccompagne de paramtres susceptibles dinstaller le service DNS.

4. Utilisez Dcpromo.exe pour ajouter et configurer AD DS.

Chapitre 2 : Rponses
Leon 1
1. Bonne rponse : C A. Faux : Le composant logiciel enfichable Active Directory du Gestionnaire de
serveur, une fois dmarr, sexcute avec les mmes informations

Rponses

didentification que la console personnalise. Une erreur de type Accs refus continuera se produire.

B. Faux : Bien que dsa.msc soit un raccourci pour ouvrir la console Utilisateurs
et ordinateurs Active Directory, il sexcutera avec les mmes informations didentification que la console personnalise. Une erreur de type Accs refus continuera se produire.

C. Vrai : Une erreur de type Accs refus indique que vos informations
didentification ne sont pas suffisantes pour accomplir laction demande. La question indique que vous tes certain davoir cette permission. La rponse introduit lhypothse que vous possdez un deuxime compte. Mme si ce compte nest pas celui dun administrateur, il sagit dun compte dadministration. Cest la meilleure faon de rpondre cette question.

D. Faux : Il est possible dutiliser DSMOD USER avec le commutateur p pour


redfinir un mot de passe utilisateur ; toutefois, la question porte sur lerreur Accs refus. Rien nindique que linvite de commandes a t lance avec dautres informations didentification ; en consquence, vous continuerez recevoir des erreurs de type Accs refus.

Leon 2
1. Bonne rponse : D A. Faux : Une tche Active Directory, quelle soit accomplie laide de la ligne
de commandes, de scripts ou doutils dadministration de serveur distance, peuvent tre ralises par nimporte quel utilisateur qui en a reu lautorisation.

B. Faux : Les Admins du domaine sont des membres du groupe


Administrateurs dans le domaine. En consquence, toutes les autorisations assignes aux Administrateurs vous seront galement attribues en tant que membre du groupe Admins du domaine.

C. Faux : La possibilit de supprimer une OU ou tout autre objet dans Active


Directory est lie aux autorisations et non l'appartenance.

D. Vrai : Les nouvelles units dorganisation sont cres avec une protection
contre les suppressions. Vous devez enlever la protection avant de supprimer lOU. Pour ce faire, dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, avec les Fonctionnalits avances slectionnes, cliquez sur longlet Objet dans la bote de dialogue des proprits de lOU.

Leon 3
1. Bonnes rponses : A, B et D A. Vrai : Dans une OU, lassignation dune tche dadministration requiert la
modification de la DACL. La bote de dialogue Paramtres de scurit

Rponses

avancs offre laccs le plus direct aux autorisations de la DACL. LAssistant Dlgation de contrle masque la complexit des ACE dobjet en vous guidant dans lattribution dautorisations des groupes. Il est possible dutiliser DSACLS pour grer des autorisations Active Directory depuis linvite de commandes.

B. Vrai : Dans une OU, lassignation dune tche dadministration requiert la


modification de la DACL. La bote de dialogue Paramtres de scurit avancs offre laccs le plus direct aux autorisations de la DACL. LAssistant Dlgation de contrle masque la complexit des ACE dobjet en vous guidant dans lattribution dautorisations des groupes. Il est possible dutiliser DSACLS pour grer des autorisations Active Directory depuis linvite de commandes.

C. Vrai : Dans une OU, lassignation dune tche dadministration requiert la


modification de la DACL. La bote de dialogue Paramtres de scurit avancs offre laccs le plus direct aux autorisations de la DACL. LAssistant Dlgation de contrle masque la complexit des ACE dobjet en vous guidant dans lattribution dautorisations des groupes. Il est possible dutiliser DSACLS pour grer des autorisations Active Directory depuis linvite de commandes.

D. Faux : DSUTIL sert grer les proprits du domaine et du service


dannuaire mais pas les autorisations dobjet.

E. Vrai : Dans une OU, lassignation dune tche dadministration requiert la


modification de la DACL. La bote de dialogue Paramtres de scurit avancs offre laccs le plus direct aux autorisations de la DACL. LAssistant Dlgation de contrle masque la complexit des ACE dobjet en vous guidant dans lattribution dautorisations des groupes. Il est possible dutiliser DSACLS pour grer des autorisations Active Directory depuis linvite de commandes.

Chapitre 2 : Rponses aux cas pratiques


Scnario : Units dorganisation et dlgation
1. La meilleure conception pour les objets ordinateur de Contoso serait une seule OU
parente contenant des OU enfants pour chaque site. Le contrle des objets ordinateur de cette OU doit avoir t dlgu lquipe charge du support de chaque site. LOU parent peut servir dlguer des autorisations de sorte que lquipe situe au sige social puisse grer des objets ordinateurs dans nimporte quel site.

2. Mme si chaque site ne possde quun ou deux membres du personnel


dassistance, il est toujours recommand de crer un groupe, dy placer des utilisateurs et de lui dlguer des autorisations. mesure que lorganisation et les

Rponses

quipes dassistance stoffent, et que les utilisateurs intgrent ou quittent lorganisation, la gestion des autorisations assignes aux comptes dutilisateur devient trs complexe. Une fois lautorisation attribue un groupe, on peut simplement ajouter ou supprimer du groupe du personnel dassistance.

3. Comme des utilisateurs peuvent demander de lassistance de nimporte quel site


une personne base dans un autre site, les utilisateurs doivent demeurer dans une seule OU. Inutile de diviser les utilisateurs en OU en fonction de sites bass sur la dlgation ou la grabilit. LOU qui contient les utilisateurs doit tre dlgue un groupe contenant lensemble du personnel dassistance. En fait, vous pouvez crer un groupe incluant les groupes des quipes de support de chaque site.

Chapitre 3 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : C. A. Faux : Bien quun modle de compte dutilisateur permette de copier
plusieurs dizaines dattributs dans un nouveau compte dutilisateur, vous devrez copier le modle 2 000 fois pour achever cette tche.

B. Faux : La commande LDIFDE importe des objets de fichiers LDIF ce qui ,


nest pas le format gr nativement par Microsoft Office Excel.

C. Vrai : La commande CSVDE importe des objets de fichiers texte spars par
des virgules quExcel peut ouvrir, modifier et enregistrer.

D. Faux : La commande Dsadd permet de crer un utilisateur depuis la ligne de


commandes mais vous devrez excuter la commande 2 000 fois pour achever cette tche.

2. Bonne rponse : A A. Vrai : LDIFDE prend en charge lajout, la modification ou la suppression


dobjets Active Directory.

B. Faux : Dsmod modifie les proprits dun objet existant. C. Faux : La commande DEL efface un fichier. D. Faux : CSVDE importe des utilisateurs mais ne les supprime pas.

Leon 2
1. Bonne rponse : C A. Faux : Il nexiste pas dapplet de commande native dans Windows
PowerShell pour crer des utilisateurs,

B. Faux : ADSI ne propose pas de mthode NewUser. C. Vrai : Un conteneur, comme une OU ou un domaine, propose une mthode
Create pour crer des objets dune classe dfinie.

Rponses

D. Faux : Il sagit dune syntaxe VBScript, aisment reconnaissable lutilisation


de linstruction Set.

2. Bonne rponse : D A. Faux : Il nexiste pas dapplet de commande native dans Windows
PowerShell pour crer des utilisateurs,

B. Faux : La mthode SetInfo enregistre un nouvel utilisateur et ses proprits


dans Active Directory mais elle doit tre utilise conjointement des commandes qui crent lobjet et ses attributs. Elle ne peut pas tre utilise seule.

C. Faux : Un conteneur, tel quune OU ou un domaine, propose une mthode


Create pour crer des objets dune classe dfinie, mais tant que la mthode SetInfo na pas t utilise, lobjet nest pas enregistr dans Active Directory. En consquence, Create ne suffit pas.

D. Vrai : La commande Dsadd peut crer un utilisateur avec une seule


commande.

3. Bonnes rponses : A, B et D A. Vrai : Un objet est cr en invoquant la mthode Create dun conteneur
comme une OU.

B. Vrai : La mthode SetInfo enregistre un nouvel utilisateur et ses proprits


dans Active Directory. Si la mthode SetInfo nest pas utilise, le nouvel objet et les changements apports ses proprits se traduisent uniquement dans votre reprsentation locale de lobjet.

C. Faux : Ce code nest pas valide. Il ressemble au code utilis dans VBScript,
mais pas dans le cadre de la cration dobjets utilisateur.

D. Vrai : Vous devez vous connecter au conteneur dans lequel lutilisateur sera
cr.

Leon 3
1. Bonne rponse : C A. Faux : Vous pouvez utiliser la touche Ctrl pour slectionner plusieurs
utilisateurs mais ils doivent se trouver dans la mme OU. Les dix utilisateurs de ce scnario se trouvent dans des OU diffrentes.

B. Faux : Dsmod vous permet de modifier la proprit Bureau mais Dsget ne


pourra pas localiser les objets. Dsget permet dafficher des attributs et non de localiser des objets.

C. Vrai : Vous pouvez utiliser la commande Dsquery pour identifier des


utilisateurs dont la proprit Bureau est dfinie Miammi et transmettre les rsultats la commande Dsmod via un pipeline pour modifier la proprit Bureau.

D. Faux : Ces applets de commande ne sont pas utilises avec des objets Active
Directory.

Rponses

2. Bonnes rponses : B et C. A. Faux : Move-Item est une applet de commande Windows PowerShell valide
qui dplace des objets dans un espace de noms, mais Windows PowerShell nexpose pas encore Active Directory comme espace de noms.

B. Vrai : VBScript utilise la mthode MoveHere dun conteneur pour dplacer


un utilisateur dans le conteneur.

C. Vrai : Vous pouvez utiliser la commande Dsmove pour dplacer un objet


dans Active Directory.

D. Faux : La commande Redirusr.exe est utilise pour configurer Active


Directory afin que les nouveaux objets utilisateur qui ont t crs sans spcifier dOU se placent dans un autre conteneur que le conteneur Users par dfaut.

E. Faux : Loutil de migration dActive Directory sert migrer des comptes entre
des domaines.

3. Bonne rponse : A A. Vrai : Les restrictions dordinateurs limitent les ordinateurs auxquels un
utilisateur peut se connecter. Sous longlet Compte de son compte dutilisateur, cliquez sur le bouton Se connecter et ajoutez lordinateur en slectionnant son nom dans la liste des stations de travail accessibles.

B. Faux : Lorsquun compte est cr, vous pouvez contrler qui est autoris
joindre lordinateur au domaine avec ce bouton, mais cela na rien voir avec qui peut se connecter lordinateur aprs quil est devenu un membre du domaine.

C. Faux : Dsmove est utilis pour dplacer un objet dans Active Directory. D. Faux : Bien que le droit de se connecter localement soit requis, le message
derreur signal nest pas celui quelle aurait reu si elle avait possd ce droit.

Chapitre 3 : Rponses aux cas pratiques


Scnario : Importer des comptes dutilisateurs
1. Vous devez utiliser un script VBScript ou Windows PowerShell. Ces deux langages
de script sont tous deux capables dutiliser une base de donnes, par exemple un fichier Excel enregistr sous forme de fichier de valeurs spares par des virgules (.cvs), comme source de donnes pour crer des comptes dutilisateur. Dans le script, vous pouvez implmenter la logique mtier. Par exemple, il est possible de construire les attributs du nom douverture de session et de ladresse de messagerie en utilisant les informations lies au nom dutilisateur fournies dans le fichier Excel. Mme si CSVDE permet dimporter des fichiers .csv, il se contente

Rponses

dimporter les attributs dans le fichier ; il ne peut pas implmenter la logique mtier ni crer de nouveaux attributs en temps rel.

2. Vous pouvez dsactiver les comptes crs jusqu larrive des tudiants. 3. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory,
vous pouvez slectionner tous les utilisateurs et changer lattribut company en une seule tape. linvite de commandes, utilisez Dsquery.exe pour transmettre par pipeline le DN de tous les utilisateurs vers Dsmod.exe qui pourra modifier cet attribut.

Chapitre 4 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : B A. Faux : Les groupes de scurit tendue universelle peuvent contenir des
utilisateurs ou des groupes de domaines externes approuvs. Ils peuvent contenir des utilisateurs, des groupes globaux et dautres groupes universels de nimporte quel domaine de la fort.

B. Vrai : Les groupes de scurit tendue de domaine local peuvent contenir


des membres de domaines externes approuvs.

C. Faux : Les groupes de scurit globaux ne peuvent pas contenir des


utilisateurs ou des groupes de domaines externes approuvs. Ils peuvent contenir des utilisateurs et dautres groupes globaux uniquement du mme domaine.

D. Faux : Les groupes de distribution ne peuvent pas recevoir dautorisations


vers des ressources.

2. Bonne rponse : D A. Faux : Ce groupe est un groupe de distribution qui ne peut pas recevoir
dautorisation. Le fait de modifier ltendue ne rsoudra pas cette limitation.

B. Faux : Ce groupe est un groupe de distribution qui ne peut pas recevoir


dautorisation. Le fait de modifier ltendue ne rsoudra pas cette limitation.

C. Faux : Ce groupe est un groupe de distribution. Le fait de lajouter au groupe


Domain Users ne permettra pas ses membres daccder au dossier partag.

D. Vrai : Le commutateur secgrp yes transforme le type de groupe en groupe de


scurit ; ensuite, vous pouvez lajouter lACL du dossier partag.

3. Bonnes rponses : C, D, E et F A. Faux : Les groupes globaux ne peuvent pas contenir de groupes globaux
provenant dautres domaines.

B. Faux : Les groupes globaux ne peuvent pas contenir de groupes globaux


provenant dautres domaines.

Rponses

C. Vrai : Les groupes globaux peuvent contenir des utilisateurs appartenant la


mme fort.

D. Vrai : Les groupes globaux peuvent contenir des utilisateurs provenant de


domaines approuvs.

E. Vrai : Les groupes globaux peuvent contenir des utilisateurs appartenant au


mme domaine.

F. Vrai : Les groupes globaux peuvent contenir des groupes globaux


appartenant au mme domaine.

G. Faux : Les groupes globaux ne peuvent pas contenir de groupes locaux du


domaine.

H. Faux : Les groupes globaux ne peuvent pas contenir des groupes universels.

Leon 2
1. Bonnes rponses : B, C et D A. Faux : Lapplet de commande Remove-Item de Windows PowerShell ne
peut pas tre utilise pour supprimer les membres dun groupe car les groupes ne sont pas exposs dans un espace de noms.

B. Vrai : Dsrm permet de supprimer un groupe. C. Vrai : Dsmod avec loption remmbr peut supprimer des membres dun
groupe.

D. Vrai : LDIFDE avec une opration changetype: modify et une opration


delete:member peut supprimer des membres dans un groupe.

E. Faux : CSVDE peut importer de nouveaux groupes. Il ne peut pas modifier


des groupes existants.

2. Bonne rponse : B A. Faux : Dsrm supprime un groupe. La suppression dun groupe ne rsoudra
pas le problme.

B. Vrai : Vous pouvez utiliser Dsmod avec le commutateur scope pour modifier
ltendue du GroupeA et le changer en groupe universel puis en groupe global. Vous pourrez alors ajouter le GroupeA au GroupeB. Cette question est dlicate. Parfois, certaines questions sont trompeuses. Celle-ci ne porte pas sur lutilisation des commandes ni mme sur lajout dun groupe un autre mais sur ltendue du groupe.

C. Faux : Dsquery recherche des objets dans Active Directory. Il ne peut pas
effectuer de changement et ne rsoudra pas le problme.

D. Faux : Dsget extrait un attribut dun objet. Il ne peut pas effectuer de


changement et ne rsoudra pas le problme.

3. Bonne rponse : D A. Faux : Get-Members est une applet de commande Windows PowerShell qui
rcupre les membres dun objet programm, et non dun groupe.

10

Rponses

B. Faux : Dsquery recherche dans Active Directory des objets correspondant


un filtre de recherche. Il ne liste pas les appartenances aux groupes.

C. Faux : LDIFDE peut tre utilis pour exporter un groupe et donc ses
membres, mais uniquement des membres directs.

D. Vrai : Dsget retourne un attribut dun objet, y compris lattribut member des
objets groupe. Avec loption expand, Dsget retourne lappartenance complte dun groupe.

Leon 3
1. Bonne rponse : D A. Faux : Les membres de lquipe ont dj cette autorisation. Celle-ci ne les
empchera pas daccder au dossier depuis dautres ordinateurs.

B. Faux : Les membres de lquipe ont dj cette autorisation. Celle-ci ne les


empchera pas daccder au dossier depuis dautres ordinateurs.

C. Faux : Cette autorisation ne les empchera pas daccder au dossier depuis


dautres ordinateurs.

D. Vrai : Une autorisation de type Refuser prend le pas sur les autorisations de
type Autoriser. Si le membre dune quipe tente de se connecter au dossier depuis un autre ordinateur, il sera un membre du groupe didentit spcial Rseau et se verra refuser laccs. Si le mme membre de lquipe se connecte localement un ordinateur de la salle de confrence, il sera membre du groupe Interactif et non Rseau et les autorisations qui lui sont accordes en tant que membre de lquipe lui donneront accs au dossier.

2. Bonne rponse : D A. Faux : Longlet Membre de du groupe permet dajouter et de supprimer des
membres mais pas de dlguer ladministration de lappartenance.

B. Faux : Longlet Scurit de lobjet utilisateur Mike Danseglio dfinit qui a la


possibilit de raliser des tches sur cet objet et non ce que Mike peut faire.

C. Faux : Longlet Membre de lobjet utilisateur Mike Danseglio dtermine les


groupes auquel il appartient et non ceux dont il sest vu dlguer le contrle.

D. Vrai : Longlet Gr par dun groupe permet de spcifier le responsable du


groupe et dautoriser ce dernier actualiser lappartenance au groupe.

3. Bonnes rponses : B, C et D A. Faux : Les Oprateurs de compte nont pas le droit darrter un contrleur
de domaine.

B. Vrai : Les Oprateurs dimpression ont le droit darrter un contrleur de


domaine.

C. Vrai : Les Oprateurs de sauvegarde ont le droit darrter un contrleur de


domaine.

Rponses

11

D. Vrai : Les Oprateurs de serveur ont le droit darrter un contrleur de


domaine.

E. Faux : Le groupe didentit spcial Interactif na pas le droit darrter un


contrleur de domaine.

Chapitre 4 : Rponses aux cas pratiques


Scnario : Mise en uvre dune Stratgie de groupe
1. Les groupes de scurit globaux peuvent tre utiliss pour reprsenter des rles
dutilisateur chez Trey Research et Woodgrove Bank.

2. Les groupes de scurit tendue de domaine local doivent tre utiliss pour grer
laccs en lecture et en criture aux dossiers Pain en tranches.

3. Les groupes globaux Marketing et Recherche seront membres du groupe de


domaine local qui gre laccs en criture. Le groupe qui gre laccs en lecture devra avoir les membres suivants : Finance, le Responsable, son assistante et le groupe global Auditeurs du domaine Woodgrove Bank.

Chapitre 5 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : D A. Faux : Dsmove est un utilitaire en ligne de commandes qui dplace des
objets existants dans Active Directory. Il ne contrle pas lemplacement par dfaut des nouveaux objets.

B. Faux : Move-Item est une applet de commande Windows PowerShell qui


dplace des objets dans un espace de noms.

C. Faux : Netdom est un utilitaire en ligne de commandes qui permet de joindre


un domaine, de renommer un ordinateur et daccomplir dautres activits lies lordinateur, mais il ne contrle pas lemplacement par dfaut des nouveaux ordinateurs.

D. Vrai : Redircmp est un utilitaire en ligne de commandes qui redirige le


conteneur des ordinateurs par dfaut vers une autre OU.

2. Bonne rponse : A A. Vrai : Lattribut ms-DS-MachineAccountQuota du domaine autorise par dfaut


tous les utilisateurs authentifis joindre les dix ordinateurs du domaine. Ce quota est contrl lorsquun utilisateur joint un ordinateur au domaine sans compte prdfini. Dfinissez cet attribut zro.

B. Faux : Cet attribut configure le quota par dfaut de tous les objets Active
Directory, et non celui des nouveaux comptes dordinateur seulement.

12

Rponses

C. Faux : La suppression de ce droit dutilisateur nempche pas les Utilisateurs


authentifis de joindre des ordinateurs au domaine.

D. Faux : La dfinition de cette autorisation empchera tous les utilisateurs, y


compris les administrateurs, de crer des comptes dordinateurs.

3. Bonne rponse : B A. Faux : Dsadd cre de nouveaux objets, y compris des objets ordinateur, mais
ne joint pas un ordinateur au compte.

B. Vrai : Netdom Join peut joindre un ordinateur local ou un ordinateur distant


au domaine.

C. Faux : Dctest teste les diffrents composants dun contrleur de domaine. D. Faux : System.cpl reprsente lapplication Proprits systme du Panneau de
configuration. Il vous permet de joindre lordinateur local un domaine mais pas de joindre un ordinateur distant au domaine.

Leon 2
1. Bonne rponse : C A. Faux : CSVDE peut importer un ou plusieurs ordinateurs mais exige dabord
que vous criez un fichier de valeurs spares par des virgules.

B. Faux : LDIFDE peut importer un ou plusieurs ordinateurs mais exige


dabord que vous criez un fichier LDIF .

C. Vrai : Dsadd permet de crer un objet ordinateur avec une seule commande. D. Faux : Windows PowerShell permet dutiliser ADSI pour crer des
ordinateurs, mais il requiert plusieurs commandes.

E. Faux : VBScript permet dutiliser ADSI pour crer des ordinateurs mais il
requiert que vous criez dabord un script.

2. Bonnes rponses : A, D et E A. Vrai : CSVDE peut importer un ou plusieurs ordinateurs dun fichier .csv, et
Excel peut enregistrer une feuille de calcul sous forme de fichier .csv.

B. Faux : LDIFDE peut importer un ou plusieurs ordinateurs mais Excel ne


permet pas de crer un document au format LDIF .

C. Faux : Dsadd permet de crer des objets ordinateur un par un. D. Vrai : Windows PowerShell permet dutiliser ADSI pour crer des
ordinateurs et utilise un fichier .csv comme source de donnes.

E. Vrai : VBScript permet dutiliser ADSI pour crer des ordinateurs et utilise
un fichier .csv comme source de donnes.

Rponses

13

Leon 3
1. Bonne rponse : A A. Vrai : Ces vnements sont caractristiques dun canal scuris rompu. La
rinitialisation du compte de lordinateur est laction entreprendre pour rgler ce problme.

B. Faux : Lvnement ne reflte pas un problme dauthentification


dutilisateur.

C. Faux : La dsactivation du compte de serveur empchera le serveur


dauthentifier. Son activation ne rglera pas le problme.

D. Faux : Lvnement ne reflte pas un problme dauthentification


dutilisateur.

2. Bonnes rponses : C, D et E A. Faux : La suppression du compte dordinateur entranera la suppression de


son SID et ses appartenances aux groupes seront perdues. Vous serez contraint dajouter le nouveau compte aux mmes groupes et dassigner des autorisations au nouveau compte.

B. Faux : La cration dun nouveau compte destin au nouveau systme gnre


un nouveau SID. Vous devrez assigner de nouveau des autorisations et recrer les appartenances aux groupes.

C. Vrai : La rinitialisation du compte dordinateur permet un systme de


joindre le domaine en utilisant ce compte. Le SID du compte et les appartenances aux groupes sont conservs.

D. Vrai : Vous devez renommer le compte de sorte quil puisse tre joint au
nouveau systme grce son nom.

E. Vrai : Aprs avoir rinitialis et renomm le compte, vous devez joindre le


nouveau systme au domaine.

3. Bonne rponse : C A. Faux : Une flche vers le bas indique que les comptes dordinateur sont
dsactivs. Il nest pas ncessaire de rinitialiser les comptes.

B. Faux : Une flche vers le bas indique que les comptes dordinateur sont dj
dsactivs.

C. Vrai : Une flche vers le bas indique que les comptes sont dsactivs. Vous
devez les activer.

D. Faux : Une flche vers le bas indique que les comptes dordinateur sont
dsactivs. Il nest pas ncessaire de supprimer les comptes.

14

Rponses

Chapitre 5 : Rponses aux cas pratiques


Scnario 1 : Crer des objets ordinateur et les joindre au domaine
1. Les ordinateurs sont ajouts au conteneur Computers car il sagit du conteneur par
dfaut. Lorsquun ordinateur est joint au domaine et quun compte a t prdfini dans une OU spcifique, Windows cre le compte dans ce conteneur par dfaut.

2. La commande Redircmp.exe peut rediriger ce conteneur par dfaut vers lOU


Clients.

3. Vous pouvez ramener lattribut ms-DS-MachineAccountQuota zro. Par dfaut, sa


valeur est 10, ce qui permet tous les utilisateurs authentifis de crer des ordinateurs et de joindre jusqu dix systmes un domaine.

Scnario 2 : Automatiser la cration des comptes dordinateur


1. CSVDE importe des fichiers .csv qui peuvent tre exports depuis Excel. 2. Dsquery computer DN de lOU | dsmod computer disabled yes 3. Vous pouvez slectionner 100 systmes, cliquer droit sur lun deux et choisir
Proprits. Vous pouvez modifier lattribut Description de tous les objets en une seule tape dans la bote de dialogue Proprits dlments multiples.

Chapitre 6 : Rponses aux questions de rvision


Leon 1
1. Bonnes rponses : B et D A. Faux : Le magasin central sert centraliser des modles dadministration de
sorte quil ne soit pas ncessaire de les conserver sur les stations de travail des administrateurs.

B. Vrai : Pour crer des GPO, les administrateurs des filiales doivent avoir
lautorisation daccder au conteneur Objets de Stratgie de groupe. Par dfaut, les Propritaires crateurs de la Stratgie de groupe possdent cette autorisation. Donc, lajout dadministrateurs ce groupe leur permettra de crer de nouveaux GPO.

C. Faux : Les administrateurs des filiales ont besoin de lautorisation de lier des
GPO uniquement leur OU, et non dans lensemble du domaine. En consquence, la dlgation de lautorisation de lier des GPO au domaine confre une autorisation trop importante aux administrateurs.

Rponses

15

D. Vrai : Aprs la cration dun GPO, les administrateurs des filiales doivent
tre capables dtendre le GPO aux utilisateurs et aux ordinateurs de leur OU ; en consquence, ils doivent avoir lautorisation Lier les objets GPO.

2. Bonnes rponses : B et D A. Faux : Le magasin central sert centraliser des modles dadministration de
sorte ce quil ne soit pas ncessaire de les conserver sur les stations de travail des administrateurs.

B. Vrai : Pour crer des GPO, les administrateurs des filiales doivent avoir
lautorisation daccder au conteneur Objets de Stratgie de groupe. Par dfaut, les Propritaires crateurs de la Stratgie de groupe possdent cette autorisation. Donc, lajout des administrateurs ce groupe leur permettra de crer de nouveaux GPO.

C. Faux : Les administrateurs des filiales ont besoin de lautorisation de lier des
GPO uniquement leur OU, et non dans lensemble du domaine. En consquence, la dlgation de lautorisation de lier des GPO au domaine confre une autorisation trop importante aux administrateurs.

D. Vrai : Aprs la cration dun GPO, les administrateurs des filiales doivent
tre capables dtendre le GPO aux utilisateurs et aux ordinateurs de leur OU ; en consquence, ils doivent avoir lautorisation Lier les objets GPO.

3. Bonne rponse : D A. Faux : Un rapport sauvegard est une description HTML ou XML dun GPO
et de ses paramtres. Il ne peut pas tre import dans un autre GPO.

B. Faux : La commande Restaurer partir dune sauvegarde permet de


restaurer un GPO dans sa globalit.

C. Faux : Vous ne pouvez pas coller des paramtres dans un GPO. D. Vrai : Vous pouvez importer des paramtres dans un GPO existant partir
de paramtres sauvegards appartenant un autre GPO.

Leon 2
1. Bonnes rponses : B et C A. Faux : Si vous configurez un domaine pour bloquer lhritage, les GPO lis
aux sites ne sappliqueront pas aux utilisateurs ni aux ordinateurs du domaine. Le GPO de Northwind Lockdown est li au domaine et sappliquera tous les utilisateurs, y compris ceux du groupe Admins du domaine.

B. Vrai : En bloquant lhritage dans lOU qui contient tous les utilisateurs du
groupe Admins du domaine, vous empchez que les paramtres de la stratgie sappliquent ces utilisateurs.

C. Vrai : Lautorisation Refuser : Appliquer la Stratgie de groupe, assigne aux


Admins du domaine, carte les Admins du domaine de ltendue du GPO, qui sapplique sinon au groupe Utilisateurs authentifis.

16

Rponses

D. Faux : Tous les comptes dutilisateurs du domaine appartiennent en premier


lieu au groupe Utilisateurs du domaine. En consquence, le GPO sappliquera tous les utilisateurs, y compris ceux du groupe Admins du domaine.

2. Bonnes rponses : A et D A. Vrai : Comme les restrictions de bureau se trouvent sous le nud
Configuration utilisateur mais quelles sappliquent lorsque des utilisateurs ouvrent une session sur des ordinateurs spcifiques, le traitement de la stratgie par boucle de rappel est ncessaire.

B. Faux : La liaison du GPO lOU qui contient des comptes dutilisateur fait
que ces restrictions sappliquent tout moment tous les utilisateurs, et non uniquement lorsquils se connectent aux systmes de la salle de confrence ou de formation.

C. Faux : Loption Bloquer lhritage nest pas ncessaire et empchera


lapplication de tous les autres GPO des OU parentes, du domaine et des sites.

D. Vrai : Pour tendre le GPO correctement, vous devez le lier lOU qui
contient les objets ordinateur des systmes de la salle de confrence et de formation.

Leon 3
1. Bonnes rponses : B et D A. Faux : LAssistant Modlisation de Stratgie de groupe permet de simuler
lapplication de la Stratgie de groupe et non dtablir un rapport de son application.

B. Vrai : LAssistant Rsultats de Stratgie de groupe permet dtablir un rapport


de lapplication de la Stratgie de groupe sur un systme distant.

C. Faux : Gpupdate.exe permet dinitier une actualisation manuelle de la


stratgie.

D. Vrai : Gpresult.exe peut tre utilis avec le commutateur /s pour runir des
informations sur le jeu de stratgie rsultant distance.

E. Faux : Msconfig.exe permet de runir des informations systme et de


contrler le dmarrage du systme.

2. Bonne rponse : A A. Vrai : Gpresult.exe gnre un rapport du jeu de stratgie rsultant qui indique
quand le GPO a t appliqu. Les paramtres de stratgie de lcran de veille sont des paramtres de configuration utilisateur, vous devez donc excuter Gpresult.exe pour obtenir les paramtres utilisateur.

B. Faux : La commande Gpresult.exe ne possde pas doption computer. C. Faux : Les paramtres dcran de veille sont des paramtres de configuration
dutilisateur et non dordinateur.

Rponses

17

D. Faux : Gpupdate.exe permet de dclencher lactualisation de la stratgie et


non de gnrer un rapport sur son application.

Chapitre 6 : Rponses aux cas pratiques


Scnario : Implmentation de la Stratgie de groupe
1. Les paramtres qui contrlent lenvironnement du Bureau de lutilisateur se
trouvent sous le nud Configuration utilisateur.

2. Liez le GPO lOU contenant les ordinateurs des salles de formation. Si vous le liez
celle qui contient les utilisateurs, les paramtres affecteront les utilisateurs de tous les ordinateurs de Northwind Traders.

3. Vous devez activer le traitement de la stratgie par boucle de rappel. Si vous liez le
GPO lOU qui contient les ordinateurs des salles de formation et que vous activez le traitement par boucle de rappel, les ordinateurs des salles de formation appliqueront les paramtres situs sous le nud Configuration utilisateur du GPO.

4. Le traitement par boucle de rappel doit tre configur en mode Remplacer. Dans ce
mode, les paramtres utilisateur des GPO tendus lutilisateur sont ignors. Seuls les paramtres utilisateur des GPO tendus lordinateur sont appliqus.

5. Vous devez exclure les ordinateurs des salles de formation de ltendue du GPO li
lcran de veille. Pour ce faire, vous disposez de deux solutions : bloquer lhritage dans lOU contenant les ordinateurs de la salle de formation ou utiliser le filtrage laide de groupes de scurit dans le GPO du domaine. Crez un groupe contenant les ordinateurs de la salle de formation et accordez lautorisation Refuser : Appliquer la Stratgie de groupe au GPO dcran de veille de ce groupe.

Chapitre 7 : Rponses aux questions de rvision


Leon 1
1. Bonnes rponses : A, B, C et D A. Vrai : Le compte Administrateur local est membre par dfaut des
Administrateurs. Il ne peut pas tre supprim.

B. Vrai : Le groupe Admins du domaine est ajout aux Administrateurs


lorsquun ordinateur joint le domaine. Les paramtres de stratgie Membre de ajoutent les groupes spcifis aux Administrateurs et ne suppriment pas des membres existants.

C. Vrai : Support Sydney est ajout au groupe Administrateurs par le GPO


Support Sydney. Les paramtres de stratgie Membre de ajoutent les groupes spcifis aux Administrateurs et ne suppriment pas des membres existants.

18

Rponses

D. Vrai : Lassistance technique est ajoute au groupe Administrateurs par le


GPO Assistance technique de lentreprise. Les paramtres de stratgie Membre de ajoutent les groupes spcifis aux Administrateurs et ne suppriment pas des membres existants.

E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un membre par


dfaut des administrateurs et nest ajout aux Administrateurs par aucun de ces GPO.

2. Bonnes rponses : A et C A. Vrai : Le compte Administrateur local est un membre par dfaut des
Administrateurs. Il ne peut pas tre supprim.

B. Faux : Le groupe Admins du domaine est ajout aux Administrateurs


lorsquun ordinateur joint le domaine mais est supprim par le GPO Support Sydney qui spcifie lappartenance faisant autorit du groupe.

C. Vrai : Support Sydney est ajout au groupe Administrateurs par le GPO


Support Sydney.

D. Faux : LAssistance technique est spcifie comme membre du groupe


Administrateurs par le GPO Assistance technique de lentreprise, mais le GPO Support Sydney a une priorit plus leve car il est li lOU o se trouve DESKTOP234. En consquence, lappartenance spcifie par le paramtre Membre de du GPO Support Sydney fait autorit.

E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un membre par


dfaut des administrateurs et nest ajout aux Administrateurs par aucun de ces GPO.

3. Bonnes rponses : A, C et D A. Vrai : Le compte Administrateur local est un membre par dfaut des
Administrateurs. Il ne peut pas tre supprim.

B. Faux : Le groupe Admins du domaine est ajout aux Administrateurs


lorsquun ordinateur joint le domaine, mais il est supprim par le GPO Assistance technique de lentreprise qui spcifie lappartenance des Administrateurs laide du paramtre Membre de ce groupe.

C. Vrai : Support Sydney est ajout au groupe Administrateurs par le GPO


Support Sydney. Comme la priorit du GPO Support Sydney est plus leve que celle du GPO Assistance technique de lentreprise, DESKTOP234 applique le GPO Support Sydney aprs lapplication du GPO Assistance technique de lentreprise ; donc, les membres du GPO Support Sydney sont ajouts au groupe Administrateurs.

D. Vrai : Lassistance technique est spcifie comme membre du groupe


Administrateurs par le GPO Assistance technique de lentreprise. Lorsquil est appliqu, tous les autres membres du groupe Administrateurs sont supprims, lexception de ladministrateur lui-mme.

Rponses

19

E. Faux : Le groupe Utilisateurs du Bureau distance nest pas un membre par


dfaut des administrateurs et nest ajout aux Administrateurs par aucun de ces GPO.

Leon 2
1. Bonne rponse : B A. Faux : La Stratgie de scurit locale permet de configurer les paramtres sur
un seul serveur.

B. Vrai : Vous pouvez utiliser lAssistant Configuration et analyse de la scurit


pour comparer la configuration de lenvironnement de test un modle, corriger les divergences et exporter les paramtres rsultants dans un modle de scurit. Ce dernier peut ensuite tre import dans un GPO.

C. Faux : LAssistant Configuration de la scurit ne gre pas les droits


dutilisateur.

D. Faux : Le composant logiciel enfichable Modles de scurit cre un modle


de scurit mais nexporte pas les paramtres du serveur de lenvironnement de test. LAssistant Configuration et analyse de la scurit est donc la meilleure rponse.

2. Bonne rponse : C A. Faux : La Stratgie de scurit locale permet de configurer les paramtres sur
un seul serveur.

B. Faux : LAssistant Configuration et analyse de la scurit permet de crer des


modles de scurit que lon peut importer dans un GPO mais cet outil nest pas bas sur les rles. LAssistant Configuration de la scurit est la meilleure rponse.

C. Vrai : LAssistant Configuration de la scurit cre des stratgies de scurit


bases sur des rles qui grent des services, des rgles de pare-feu et des stratgies daudit ainsi que certains paramtres du Registre.

D. Faux : Les modles de scurit permettent de crer des modles de scurit


que lon peut importer dans un GPO, mais cet outil nest pas bas sur les rles. LAssistant Configuration de la scurit est la meilleure rponse.

3. Bonnes rponses : A et D A. Vrai : La commande Scwcmd.exe /transform cre un GPO qui contient les
paramtres de la stratgie de scurit spcifie.

B. Faux : Vous navez pas besoin de crer un GPO. La commande Scwcmd.exe


sen charge automatiquement.

C. Faux : Vous nimportez pas les paramtres dune stratgie de scurit dans
un GPO. Vous pouvez importer les paramtres dun modle de scurit dans un GPO.

D. Vrai : Le GPO cr doit tre li un site, un domaine ou une OU appropris


avant que ses paramtres ne sappliquent aux ordinateurs de ce conteneur.

20

Rponses

Leon 3
1. Bonnes rponses : B et D A. Faux : Lobjectif est de dployer lapplication vers les ordinateurs et non les
utilisateurs. En consquence, le nud Configuration utilisateur nest pas lendroit appropri o crer le package logiciel.

B. Vrai : Pour dployer lapplication vers les ordinateurs, le package logiciel


doit tre cr dans le nud Configuration ordinateur du GPO.

C. Faux : Lextension dinstallation logicielle napplique pas les paramtres si


une liaison lente est dtecte. Comme lapplication est dploye vers des ordinateurs et non des utilisateurs, la configuration de la vitesse de connexion dans le nud Configuration utilisateur ne change pas la vitesse de connexion par dfaut du nud Configuration ordinateur qui est de 500 Kbit/s. Comme la connexion partant de la succursale est infrieure 500 Kbit/s, les ordinateurs qui sy trouvent ninstalleront donc pas lapplication.

D. Vrai : Lextension dinstallation logicielle napplique pas les paramtres si une


liaison lente est dtecte. En configurant le seuil de la dtection de liaison lente 256, vous garantissez que les clients qui se connectent sur la connexion de 364 Kbit/s depuis la succursale dtecteront une liaison rapide. Les clients installeront donc lapplication.

E. Faux : Lextension dinstallation logicielle napplique pas les paramtres si


une liaison lente est dtecte. Comme la connexion partant de la succursale est infrieure 1 000 Kbit/s, les ordinateurs qui sy trouvent ninstalleront pas lapplication.

2. Bonnes rponses : A et D A. Vrai : Comme vous souhaitez dployer lapplication vers des utilisateurs,
vous devez crer le package dans les stratgies Configuration utilisateur dun GPO. Ce dernier doit ensuite tre tendu de sorte ne sappliquer quaux utilisateurs de lOU Ventes. Comme tous les utilisateurs se trouvent dans une mme OU, vous devez crer un groupe de scurit que vous utiliserez pour filtrer le GPO.

B. Faux : Le GPO nest pas correctement tendu. LOU Ventes de chaque site ne
contient que des ordinateurs. Les ordinateurs ne traiteront pas les paramtres situs dans les stratgies du nud Configuration utilisateur avec un traitement normal de la Stratgie de groupe.

C. Faux : Vous souhaitez dployer lapplication vers des utilisateurs. Les


stratgies situes sous le nud Configuration ordinateur sappliquent aux ordinateurs. Comme le groupe Ventes ne contient aucun ordinateur, la stratgie ne sera applique par aucun systme.

D. Vrai : Si un ordinateur est configur pour accomplir le traitement de la


stratgie par boucle de rappel, il applique les paramtres des stratgies du nud Configuration utilisateur des GPO tendus lordinateur. Le GPO est

Rponses

21

tendu aux ordinateurs des ventes en tant li lOU Ventes. Le traitement par boucle de rappel permet aux ordinateurs dinstaller le package logiciel de la Configuration utilisateur.

3. Bonnes rponses : A, C, D et E A. Vrai : Le GPO de dploiement logiciel doit tre tendu pour sappliquer
tous les utilisateurs dans les quatre succursales. Bien quon puisse lier le GPO chacune des succursales slectionnes, cette solution na pas t propose.

B. Faux : Lapplication doit tre compltement installe avant que lutilisateur


ne puisse la dmarrer pour la premire fois. Lorsque vous publiez une application, lutilisateur doit linstaller en utilisant Programmes et fonctionnalits situ dans le Panneau de configuration sous Windows Server 2008 et Windows Vista ou dans Ajout/Suppression de programmes sous Windows XP.

C. Vrai : Pour que lapplication soit pleinement installe avant que lutilisateur
ne louvre pour la premire fois, vous devez slectionner loption Installer cette application lors de louverture de session. Sinon, lapplication sinstallera lorsque lutilisateur louvrira pour la premire fois ou quil ouvrira un fichier dun type associ lapplication.

D. Vrai : Un shadow group est un groupe qui contient des utilisateurs en


fonction dune caractristique donne, comme lOU o se trouve le compte dutilisateur. Comme le GPO est li lOU Employs, il peut tre filtr avec un groupe de scurit contenant les utilisateurs des quatre succursales.

E. Vrai : Pour que lapplication soit compltement installe avant que


lutilisateur ne louvre pour la premire fois, vous devez assigner lapplication.

F. Faux : Loption Mise niveau ncessaire pour les packages existants nest
utilise que dans des scnarios de mise niveau.

Leon 4
1. Bonne rponse : D A. Faux : Laudit des vnements de connexion permet de capturer une
ouverture de session interactive locale et rseau sur des stations de travail et des serveurs.

B. Faux : Laudit Accs aux services dannuaire permet de contrler des


changements apports des objets et des attributs dans Active Directory.

C. Faux : Laudit de lutilisation des privilges est li lexcution et larrt


dun programme.

D. Vrai : Laudit des vnements de connexion aux comptes cre des


vnements lorsquun utilisateur tente douvrir une session avec un compte dutilisateur du domaine vers nimporte quel ordinateur du domaine.

22

Rponses

E. Faux : Laudit de gestion des comptes cre des vnements lis la cration,
la suppression et la modification des utilisateurs, des ordinateurs et des groupes dans Active Directory.

2. Bonne rponse : B A. Faux : Laudit de la gestion des comptes cre des vnements lis la
cration, la suppression et la modification des utilisateurs, des ordinateurs et des groupes dans Active Directory, mais ne montre pas les anciennes valeurs des attributs ni celles qui ont t modifies.

B. Vrai : La commande Auditpol.exe permet dactiver laudit des modifications


du service dannuaire qui journalise les dtails des changements apports aux attributs dfinis dans la liste SACL des objets Active Directory. Les anciennes et les nouvelles valeurs des attributs se trouvent dans lentre du journal des vnements.

C. Faux : Laudit de lutilisation des privilges est li lexcution et larrt


dun programme.

D. Faux : Laudit de laccs au service dannuaire contrle les changements


apports aux objets et aux attributs dans Active Directory mais ne rapporte pas les anciennes et les nouvelles valeurs des attributs.

3. Bonnes rponses : E, F et G A. Faux : Vous avez configur des autorisations qui bloquent laccs des
consultants. En consquence, il ny aura pas de tentatives daccs russies auditer.

B. Faux : Les vnements daccs au systme de fichiers sont journaliss sur les
serveurs de fichiers et non sur les contrleurs de domaine.

C. Faux : La stratgie daudit Accs au service dannuaire porte sur les


changements apports aux objets dActive Directory et non un dossier dans un sous-systme de disque.

D. Faux : Le paramtre de stratgie daudit doit sappliquer aux serveurs de


fichiers et non des contrleurs de domaine.

E. Vrai : Vous devez activer laudit daccs aux objets sur les serveurs de
fichiers. Le GPO Configuration du serveur est tendu pour sappliquer tous les serveurs de fichiers.

F. Vrai : Les vnements daccs au systme de fichiers apparatront dans le


journal Scurit de chaque serveur de fichiers.

G. Vrai : Les entres daudit doivent tre configures dans le dossier Donnes
confidentielles. Laudit des checs daccs de type Contrle total gnre des vnements daudit pour tout type daccs ayant chou.

Rponses

23

Chapitre 7 : Rponses aux cas pratiques


Scnario 1 : Installation de logiciels avec Installation de logiciel Stratgie de groupe
1. Le package de lapplication doit tre cr dans le nud Configuration ordinateur
afin de sinstaller sur les ordinateurs utiliss par la force de ventes itinrante. Si le package est cr dans le nud Configuration utilisateur, lapplication est associe aux utilisateurs et sera installe sur tous les ordinateurs auxquels les utilisateurs se connecteront, y compris ceux des salles de confrence et de formation.

2. Avanc. Comme le package de lapplication est cr dans le nud Configuration


ordinateur, Publi nest pas une option valable. Les options valables sont Attribu et Avanc. Vous devez choisir Avanc pour associer une transformation au package.

3. Comme le GPO dploie lapplication dans le nud Configuration ordinateur, il


doit tre tendu aux ordinateurs. Il peut tre li au domaine ou, mieux encore, lOU Clients qui hberge tous les ordinateurs clients. Le GPO doit ensuite tre filtr pour sappliquer uniquement aux ordinateurs utiliss par la force de vente itinrante. Pour ce faire, crez un groupe de scurit tendue globale contenant les ordinateurs et utilisez-le pour filtrer le GPO. Vous devez galement supprimer le groupe Utilisateurs authentifis auquel est accorde lautorisation Appliquer la Stratgie de groupe par dfaut.

Scnario 2 : Configuration de la scurit


1. Ajoutez une entre daudit qui audite les tentatives avortes du groupe Tout le
monde daccder au dossier au niveau daccs Contrle total, ce qui inclut tous les autres niveaux daccs. Une deuxime entre daudit doit auditer les tentatives russies du groupe Administrateurs daccder au dossier au niveau Contrle total, ce qui capture l encore des activits tous les niveaux daccs.

2. Les stratgies de groupe restreintes permettent de grer lappartenance aux


groupes. Vous devez configurer un paramtre de Stratgie de groupe limit pour le groupe Administrateurs, afin de spcifier que les membres de ce groupe reprsentent votre compte et le compte du responsable des ressources humaines. Ce paramtre de stratgie est le paramtre Membres. Il liste lappartenance finale faisant autorit du groupe spcifi. Le compte Administrateur ne peut pas tre supprim du groupe Administrateurs.

3. Vous devez activer les stratgies daudit Auditer laccs aux objets et Auditer
lutilisation des privilges. Auditer laccs aux objets doit tre dfini pour auditer les vnements de succs et dchec, car les entres daudit du dossier Salaires sont destines la fois aux accs russis et chous. Auditer lutilisation des privilges doit tre dfini pour auditer des vnements de succs afin de journaliser des vnements lorsquun membre du groupe Administrateurs saccapare la proprit dun dossier.

24

Rponses

4. Vous pouvez utiliser des modles de scurit pour grer la configuration des sept
serveurs. Les modles de scurit peuvent tre crs sur un systme grce au composant logiciel enfichable Modles de scurit et imports dans une base de donnes, puis appliqus aux serveurs au moyen du composant logiciel enfichable Configuration et analyse de la scurit.

5. Les paramtres de stratgie des GPO bass sur Active Directory peuvent neutraliser
vos paramtres de scurit car les GPO bass sur le domaine prennent le pas sur la configuration des GPO locaux. Vous pouvez contrler la configuration de votre serveur en excutant les rapports du jeu de stratgie rsultant pour identifier les paramtres des GPO de domaine qui entrent en conflit avec la configuration dsire, ou en utilisant le composant logiciel enfichable Configuration et analyse de la scurit pour comparer la configuration des serveurs au modle de scurit.

Chapitre 8 : Rponses aux questions de rvision


Leon 1
1. Bonnes rponses : C, D et E A. Faux : Les stratgies de mot de passe du GPO Default Domain Policy
dfinissent les stratgies de tous les utilisateurs du domaine, et non uniquement des comptes de service.

B. Faux : Les PSO ne peuvent pas tre lis des units dorganisation,
uniquement des groupes et des utilisateurs.

C. Vrai : Les PSO peuvent tre lis des groupes : vous devez donc crer un
groupe qui contient les comptes de service.

D. Vrai : Le PSO doit tre appliqu au groupe Comptes de service. Sinon, ses
paramtres ne prendront pas effet.

E. Vrai : Les PSO peuvent tre lis des groupes : vous devez donc crer un
groupe qui contient les comptes de service.

2. Bonne rponse : D A. Faux : Le paramtre de stratgie Dure de verrouillage des comptes est
spcifi en minutes. Ce paramtre verrouille un compte pendant 100 minutes. Pass ce dlai, le compte est dverrouill automatiquement.

B. Faux : Le paramtre de stratgie Dure de verrouillage des comptes est


spcifi en minutes. Ce paramtre verrouille un compte pendant 1 minute. Pass ce dlai, le compte est dverrouill automatiquement.

C. Faux : Le paramtre de stratgie Seuil de verrouillage du compte spcifie le


nombre de tentatives douverture de session qui se traduisent par un verrouillage de compte. Il ne dtermine pas la dure pendant laquelle un compte est verrouill.

Rponses

25

D. Vrai : Un paramtre de stratgie Dure de verrouillage des comptes dfinie


0 verrouille indfiniment le compte jusqu ce quun administrateur le dverrouille.

3. Bonne rponse : C A. Faux : Bien que PSO1 possde la valeur ayant la priorit la plus haute, un
PSO qui sapplique des groupes est neutralis par un PSO qui sapplique directement lutilisateur, mme si le PSO de lutilisateur a une priorit plus basse.

B. Faux : Une valeur de priorit de 99 est infrieure une valeur de priorit de


1.

C. Vrai : Bien que PSO3 nait pas la valeur de priorit la plus haute (celle de
PSO1 est suprieure), il est li au compte de lutilisateur et a donc la prsance.

D. Faux : PSO4 est un PSO li lutilisateur, mais sa valeur de 200 est infrieure
celle de PSO3.

Leon 2
1. Bonne rponse : B A. Faux : Ce paramtre gnrera des entres dans le journal dvnements
lorsquun utilisateur se connectera avec succs avec un compte du domaine. Une ouverture de session russie ne gnre pas de verrouillage de compte.

B. Vrai : Les ouvertures de session choues vers un compte de domaine


peuvent gnrer un verrouillage de compte. Laudit des vnements douverture de session de compte qui ont chou gnre dans le journal dvnements des entres qui indiquent quel moment ces ouvertures de session ont eu lieu.

C. Faux : Les vnements douverture de session gnrent des entres dans le


journal dvnements de lordinateur sur lequel un utilisateur a ouvert une session ou sur lequel il sest connect via le rseau. Les ouvertures de session locales ne sont pas associes au verrouillage de compte.

D. Faux : Les vnements douverture de session gnrent des entres dans le


journal dvnements sur lordinateur sur lequel un utilisateur a ouvert une session ou sur lequel il sest connect via le rseau. Les ouvertures de session locales ne sont pas associes au verrouillage de compte.

2. Bonne rponse : C A. Faux : Les vnements de connexion aux comptes sont gnrs lorsquun
utilisateur ouvre une session avec un compte du domaine sur nimporte quel ordinateur du domaine.

B. Faux : Les stratgies daudit sont des paramtres situs dans le nud
Configuration ordinateur dun GPO qui ne sappliquent pas aux comptes dutilisateurs.

26

Rponses

C. Vrai : Les vnements douverture de session sont gnrs dans le journal


dvnements dun ordinateur lorsquun utilisateur ouvre une session de manire interactive sur lordinateur ou quil se connecte lordinateur sur le rseau, pour accder par exemple un dossier partag.

D. Faux : Les vnements de connexion aux comptes sont gnrs par les
contrleurs de domaine lorsquils authentifient un utilisateur qui ouvre une session sur nimporte quel ordinateur du domaine. Ce GPO nest pas tendu aux contrleurs de domaine.

Leon 3
1. Bonne rponse : B A. Faux : Un RODC ne requiert quun seul contrleur de domaine Windows
Server 2008 accessible en criture. Ce type de contrleur de domaine existe dj dans votre domaine.

B. Vrai : Vous devez excuter Adprep /rodcprep pour configurer la fort de sorte
que le RODC puisse rpliquer des partitions dapplication DNS.

C. Faux : La commande Dsmgmt permet de configurer la sparation des rles


dadministration sur un RODC aprs son installation.

D. Faux : Vous utilisez la commande Dcpromo pour accomplir linstallation


dun contrleur de domaine, y compris un RODC.

2. Bonne rponse : A A. Vrai : Longlet Utilisation de la stratgie de la bote de dialogue Stratgie de


rplication de mot de passe avance indique les comptes dont les mots de passe sont stocks sur un RODC.

B. Faux : Le Groupe de rplication dont le mot de passe RDOC est accept


spcifie les utilisateurs dont les informations didentification seront mises en cache sur tous les RODC du domaine.

C. Faux : Le Groupe de rplication dont le mot de passe RDOC est refus


spcifie les utilisateurs dont les informations didentification ne seront pas mises en cache sur les RODC du domaine.

D. Faux : Longlet Stratgie rsultante value la stratgie de rplication de mot


de passe dun utilisateur ou dun ordinateur ; il nindique pas si les informations didentification de lutilisateur ou de lordinateur sont dj mises en cache sur le RODC.

3. Bonnes rponses : B et D A. Faux : Le Groupe de rplication dont le mot de passe RDOC est accept
spcifie les utilisateurs dont les informations didentification ont t mises en cache sur tous les RODC du domaine. Les cinq utilisateurs devront ouvrir une session dans une seule des succursales.

Rponses

27

B. Vrai : Longlet Stratgie de rplication des mots de passe du RODC de la


succursale permet de spcifier les informations didentification qui sont mises en cache par le RODC.

C. Faux : Les utilisateurs nont pas besoin du droit douvrir une session locale
sur le contrleur de domaine de la succursale.

D. Vrai : En remplissant pralablement les informations didentification des


cinq utilisateurs, vous garantissez que le RODC pourra les authentifier sans transmettre lauthentification au centre de donnes lextrmit de la liaison WAN.

Chapitre 8 : Rponses aux cas pratiques


Scnario 1 : Accrotre la scurit des comptes dadministration
1. Les stratgies de mot de passe grain fin ne peuvent tre configures que dans un
seul domaine au niveau fonctionnel de domaine Windows Server 2008. Avant daugmenter le niveau fonctionnel du domaine Windows Server 2008, vous devez mettre niveau tous les contrleurs de domaine Windows Server 2003 vers Windows Server 2008.

2. Modification ADSI. 3. Vous devez attribuer une valeur comprise entre 1 et 9. Les valeurs proches de 1 ont
une priorit suprieure. En outre, assurez-vous que les nouveaux PSO ne sont pas directement lis au compte dutilisateur.

4. Dfinissez dans le GPO Default Domain Controllers des paramtres de stratgie


daudit qui configurent laudit des vnements de connexion aux comptes qui ont chou.

Scnario 2 : Accrotre la scurit et la fiabilit de lauthentification dans les succursales


1. Assurez-vous que tous les domaines sont au niveau fonctionnel de domaine
Windows Server 2003 et que la fort se trouve au niveau fonctionnel de fort Windows Server 2003. Sur le contrleur de schma, excutez Adprep /rodcprep. Mettez niveau au moins un contrleur de domaine Windows Server 2003 vers Windows Server 2008.

2. Vous pouvez dlguer linstallation dun contrleur de domaine en lecture seule en


crant pralablement les comptes dordinateur du RODC dans lOU Domain Controllers. Vous pouvez spcifier alors les informations didentification de lutilisateur qui seront utilises pour relier le RODC au compte, puis prciser que lutilisateur peut installer le RODC sans privilges dadministration sur le domaine.

28

Rponses

3. Utilisez la commande Dsmgmt.exe pour attribuer lutilisateur des privilges


dadministration locaux sur le RODC.

Chapitre 9 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : C A. Faux : Vous pouvez utiliser loutil de ligne de commandes pour crer une
arborescence de domaine. Pour ce faire, il est prfrable de crer au pralable un fichier de rponse, afin que toutes les valeurs soient transmises automatiquement la commande pendant linstallation. Toutefois, il est galement possible dutiliser lassistant pour accomplir cette tche.

B. Faux : Le plus souvent, vous utilisez des serveurs autonomes pour crer un
nouveau domaine. Cela signifie que vous devez ouvrir une session avec des droits dadministration locaux puis fournir les informations didentification de fort appropries pour ajouter le domaine pendant linstallation.

C. Vrai : Loption permettant de crer une arborescence de fort nest pas


disponible dans lassistant tant que vous navez pas slectionn le mode avanc dans la premire page de lassistant.

D. Faux : Les informations didentification sont demandes par lassistant


pendant le processus de prparation de linstallation. Lutilisation dun serveur autonome ou dun serveur membre na aucun effet sur cette opration.

2. Bonnes rponses : B et D A. Faux : Vous devez slectionner le mode avanc de lassistant pour crer
larborescence de domaine, mais cela na aucun impact sur la capacit de lassistant crer la dlgation.

B. Vrai : Comme la dlgation utilise un nom racine de haut niveau (.ms), vous
devez crer la dlgation manuellement dans le domaine racine de votre fort. Lassistant ne peut pas la crer automatiquement parce que vous ne possdez pas les informations didentification du serveur DNS racine qui maintient ce nom.

C. Faux : Comme vous crez la dlgation manuellement, vous devez indiquer


lassistant domettre la cration.

D. Vrai : Comme vous avez cr une dlgation manuelle, vous devez indiquer
lassistant domettre la cration de la dlgation.

E. Faux : Vous pouvez crer la dlgation manuellement aprs que


larborescence de domaine a t installe. Toutefois, il est recommand de la crer au pralable, puis dajouter des composants sa configuration aprs

Rponses

29

que dautres contrleurs de domaine ont t crs dans larborescence de domaine.

Leon 2
1. Bonnes rponses : A, B, C et D et E A. Vrai : Votre administrateur DNS peut dj avoir configur le nettoyage de
toutes les zones, mais il est recommand de valider le fait quil a t appliqu la vtre.

B. Vrai : Par dfaut, les tendues de rplication sont assignes correctement


lorsque vous crez la zone, mais il est toujours prfrable que celle-ci utilise ltendue de rplication approprie.

C. Vrai : Vous pouvez avoir dautres enregistrements personnaliss crer, mais


vous devez crer au moins un enregistrement texte (TXT) et un enregistrement attribu une personne responsable (RP). Ils seront utiliss pour mettre jour lenregistrement de ressource SOA (Start of Authority).

D. Vrai : Lenregistrement texte (TXT) contiendra les informations relatives aux


normes de fonctionnement DNS que vous appliquerez la zone.

E. Vrai : Une adresse de messagerie est affecte lenregistrement RP pour


permettre dautres de communiquer avec loprateur en cas de questions ou de problmes lis la rsolution des noms.

F. Faux : Comme cette zone est nouvelle, elle ne devrait contenir aucun
enregistrement non utilis.

G. Faux : Les zones de recherche inverses ne sont ncessaires que si votre zone
hberge des applications web sres. Aucune information relative une telle application ne vous a t donne.

2. Bonnes rponses : A et B A. Vrai : Comme toutes les zones se trouvent sur des contrleurs de domaine,
vous devez utiliser des informations didentification dadministrateur pour grer DNS.

B. Vrai : Si le serveur nest pas list dans la partition, cette dernire ne sera pas
disponible au serveur.

C. Faux : Les informations didentification dadministrateur de lentreprise ne


sont ncessaires que pour crer la partition dapplication, non pour lattribuer.

D. Faux : Vous pouvez utiliser la ligne de commandes pour attribuer des zones
des partitions, mais cela nest pas obligatoire.

E. Faux : Vous pouvez toujours modifier ltendue de la rplication dune


partition dans DNS aprs sa cration. Cest lune des tches de base des administrateurs de zone DNS.

30

Rponses

Chapitre 9 : Rponses aux cas pratiques


Scnario : Bloquer des noms DNS spcifiques
Trey Research peut ajouter les deux noms problmatiques la liste de blocage des requtes globale sur ses serveurs DNS. Pour ce faire, utilisez la ligne de commandes avec la commande correspondante :
dnscmd /config /globalqueryblocklist wpad isatap biometrics biology

Cette commande garantit que les protocoles WPAD et ISATAP, qui sont bloqus par dfaut, le seront toujours et ajoute les deux noms de service problmatiques. Maintenant, mme si les stratgies dadministration ne sont pas appliques, les possibilits de piratage sont grandement limites. Souvenez-vous que cette commande affecte toutes les zones de recherche directe hberges sur un serveur DNS particulier. Si vous possdez dautres serveurs DNS hbergeant dautres zones, comme un serveur DNS dans un domaine enfant, vous devez y excuter galement cette commande.

Chapitre 10 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : D A. Faux : Comme vous mettez niveau le systme dexploitation dun
contrleur de domaine, vous devez accomplir une autre tape au pralable.

B. Faux : Vous devez excuter la commande Adprep /domainprep /gpprep avant


de mettre niveau le contrleur de domaine, mais vous devez accomplir une autre tape avant dexcuter cette commande.

C. Faux : Le serveur est dj un contrleur de domaine. Il nest donc pas


ncessaire dexcuter lAssistant Installation des services de domaine Active Directory.

D. Vrai : Vous devez dabord excuter Adprep /forestprep sur le contrleur de


schma de la fort pour prparer la fort dun contrleur de domaine Windows Server 2008.

E. Faux : La commande Adprep /rodcprep doit tre excute avant linstallation


dun contrleur de domaine en lecture seule.

2. Bonnes rponses : B, C et D A. Faux : Comme le domaine nest compos que de contrleurs de domaine
Windows Server 2008, il nest pas ncessaire dexcuter Adprep /rodcprep.

B. Vrai : Pour autoriser un utilisateur qui nest pas un administrateur relier un


contrleur de domaine en lecture seule au domaine, vous devez prdfinir un compte dans lOU Domain Controllers.

Rponses

31

C. Vrai : Loption UseExistingAccount de Dcpromo.exe permet de relier un


serveur un compte de RODC prdfini.

D. Vrai : Pour relier un serveur un compte de RODC prdfini, le serveur doit


tre supprim du domaine avant lexcution de Dcpromo.exe.

3. Bonne rponse : C A. Faux : NTBackup et les sauvegardes de ltat du systme ne sont pas prises en
charge dans Windows Server 2008.

B. Faux : Lajout des fonctionnalits de sauvegarde de Windows Server ne suffit


pas crer un support dinstallation.

C. Vrai : La commande Ntdsutil.exe permet de crer un support dinstallation.


Les options Sysvol et Full crent un support dinstallation qui inclut SYSVOL pour un contrleur de domaine accessible en criture.

D. Faux : On nutilise pas une copie de lannuaire et de SYSVOL pour installer


un contrleur de domaine.

Leon 2
1. Bonne rponse : E A. Faux : Le matre dinfrastructure ne doit pas tre plac sur un contrleur de
domaine qui est un serveur de catalogue global, sauf si tous les contrleurs de domaine du domaine le sont.

B. Faux : Bien que le transfert du rle de matre RID prsente des avantages,
cette solution ne convient pas ce scnario.

C. Faux : Bien que le transfert du rle de contrleur de schma prsente des


avantages, cette solution ne convient pas ce scnario.

D. Faux : Bien que le transfert du rle de matre dattributs de noms de


domaine prsente des avantages, cette solution ne convient pas ce scnario.

E. Vrai : Le matre dinfrastructure ne doit pas tre plac sur un contrleur de


domaine qui est un serveur de catalogue global, sauf si tous les contrleurs de domaine du domaine le sont. Comme SERVER02 nest pas un serveur de catalogue global, vous devez transfrer le rle de matre dinfrastructure SERVER02.

2. Bonnes rponses : D et E A. Faux : Le rle de matre dinfrastructure est propre chaque domaine. Vous
navez pas besoin de le transfrer et, en fait, vous ne devez pas le transfrer vers un contrleur de domaine dun autre domaine.

B. Faux : Le rle dmulateur PDC est propre chaque domaine. Vous navez
pas besoin de le transfrer et, en fait, vous ne devez pas le transfrer vers un contrleur de domaine dun autre domaine.

32

Rponses

C. Faux : Le rle de matre RID est propre chaque domaine. Vous navez pas
besoin de le transfrer et, en fait, vous ne devez pas le transfrer vers un contrleur de domaine dun autre domaine.

D. Vrai : Le rle de contrleur de schma est un rle de fort. Vous devez le


transfrer dans le domaine contoso.com avant de dsactiver le domaine.

E. Vrai : Le rle de matre dattribut de noms de domaine est un rle de fort.


Vous devez le transfrer dans le domaine contoso.com avant de rtrograder le domaine.

3. Bonnes rponses : A, B et C A. Vrai : Le matre dinfrastructure est un matre doprations de domaine. B. Vrai : Lmulateur PDC est un matre doprations de domaine. C. Vrai : Le matre RID est un matre doprations de domaine. D. Faux : Le contrleur de schma est un matre doprations de fort et non de
domaine.

E. Faux : Le matre dattribution de noms de domaine est un matre


doprations de fort et non de domaine.

Leon 3
1. Bonnes rponses : C et D A. Faux : La rplication de SYSVOL avec DFS-R au sein dun domaine dpend
des contrleurs de domaines de ce domaine, et non de contrleurs de domaine dautres domaines.

B. Faux : La rplication de SYSVOL avec DFS-R au sein dun domaine dpend


du niveau fonctionnel de domaine de ce domaine, et non du niveau fonctionnel de la fort.

C. Vrai : Tous les contrleurs de domaine doivent excuter Windows


Server 2008 avant de pouvoir rpliquer SYSVOL en utilisant DFS-R au sein de ce domaine.

D. Vrai : Le domaine doit tre au niveau fonctionnel de domaine Windows


Server 2008 avant de pouvoir rpliquer SYSVOL en utilisant DFS-R au sein de ce domaine.

E. Faux : La rplication de SYSVOL avec DFS-R au sein dun domaine dpend


du niveau fonctionnel de domaine de ce domaine, et non du niveau fonctionnel de domaine dautres domaines.

2. Bonne rponse : A A. Vrai : La commande Dfsrmig.exe est utilise pour migrer la rplication de
SYSVOL de FRS vers DFS-R.

B. Faux : La commande Repadmin.exe est utilise pour grer la rplication


dActive Directory, et non la rplication de SYSVOL.

Rponses

33

C. Faux : La commande Dfsutil.exe est utilise pour accomplir des tches


administratives dans un espace de noms DFS, et non pour configurer la rplication de SYSVOL.

D. Faux : La commande Dfscmd.exe est utilise pour accomplir des tches


administratives dans un espace de noms DFS, et non pour configurer la rplication de SYSVOL.

Chapitre 10 : Rponses aux cas pratiques


Scnario : Mettre niveau un domaine
1. Vous devez excuter Adprep /forestprep avant dinstaller un contrleur de domaine
Windows Server 2008 dans une fort.

2. Il nest pas possible que tous les contrleurs de domaine dun domaine soient en
lecture seule. Il doit y avoir au moins un contrleur de domaine accessible en criture. Les trois succursales ne peuvent donc pas tre servies par des contrleurs de domaines en lecture seule. Un DC doit tre accessible en criture. Sinon, il faut quun DC accessible en criture soit maintenu dans un emplacement central et que les trois RODC soient dploys dans les trois succursales.

3. Lorsque des temps dinactivit ont t planifis par un serveur qui excute des
oprations matre unique, vous devez transfrer les oprations vers un autre contrleur de domaine. Lorsque le matre doprations dorigine revient en ligne, vous pouvez lui transfrer de nouveau les oprations.

Chapitre 11 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : C A. Faux : Tous les contrleurs de domaine sont assigns un site. Il peut sagir
du mauvais site, mais il est reflt comme un objet serveur dans un site.

B. Faux : Vous ne pouvez pas crer de site sans lien de sites. Le site de la
succursale se trouve donc sur un lien de sites. Cela peut tre le mauvais lien de sites, mais il est affect un lien de sites.

C. Vrai : Si la plage dadresses IP de la succursale nest pas reprsente par un


objet sous-rseau qui sera ensuite associ au site, les ordinateurs pourraient sauthentifier auprs des contrleurs de domaine dun autre site.

D. Faux : Il nest pas possible daffecter un sous-rseau deux sites diffrents. 2. Bonnes rponses : A, D et E A. Vrai : Un objet sous-rseau avec la plage dadresses IP de la succursale
permet aux clients dtre informs de leur site.

34

Rponses

B. Faux : Le compte dordinateur de chaque contrleur de domaine doit se


trouver dans lOU Domaine Controllers.

C. Faux : Deux protocoles de transport de liens de sites sont pris en charge par
Active Directory : IP et SMTP. Aucun autre protocole nest ncessaire.

D. Vrai : Un objet site de la succursale est ncessaire pour grer lemplacement


du service, comme lauthentification, au sein de la succursale.

E. Vrai : Lobjet site doit contenir un objet serveur pour le contrleur de


domaine.

Leon 2
1. Bonne rponse : D A. Faux : Un contrleur de domaine en lecture seule doit toujours tre capable
de contacter un serveur de catalogue global.

B. Faux : Les partitions dapplications ne sont pas impliques dans


lauthentification utilisateur.

C. Faux : La rplication inter-sites ne rgle pas le problme caus lorsque le


contrleur de domaine de la succursale ne peut pas contacter un serveur de catalogue global.

D. Vrai : La mise en cache de lappartenance au groupe universel, mise en


uvre pour le site de la succursale, fera que le contrleur de domaine mettra en cache les appartenances au groupe universel de lutilisateur depuis un serveur de catalogue global, afin que louverture de session ne soit pas refuse.

2. Bonnes rponses : D et E A. Faux : La partition de schma est rplique vers tous les contrleurs de
domaine de la fort. Toutefois, vous devez vous assurer que le contrleur de domaine que vous rtrogradez nest pas contrleur de schma.

B. Faux : La partition de configuration est rplique vers tous les contrleurs


de domaine de la fort.

C. Faux : Le contexte de nommage du domaine est rpliqu vers tous les


contrleurs de domaine du domaine.

D. Vrai : Par dfaut, un catalogue global ne peut se trouver que sur un seul
contrleur de domaine. Il est possible que le contrleur de domaine que vous souhaitez rtrograder soit le seul serveur de catalogue global. Dans ce cas, vous devez configurer un autre serveur de catalogue global avant de rtrograder le contrleur de domaine.

E. Vrai : Les partitions dapplications peuvent tre hberges sur un ou


plusieurs contrleurs de domaine. Il est possible quune partition dapplication se trouve uniquement sur le contrleur de domaine que vous prvoyez de rtrograder.

Rponses

35

3. Bonne rponse : C A. Faux : Vous pouvez utiliser Dcpromo.exe pour spcifier quun nouveau
contrleur de domaine doit tre un serveur de catalogue global, mais vous ne pouvez pas lemployer pour modifier des contrleurs de domaine existants.

B. Faux : Vous pouvez utiliser lAssistant Installation des services de domaine


Active Directory pour spcifier quun nouveau contrleur de domaine doit tre un serveur de catalogue global, mais vous ne pouvez pas lemployer pour modifier des contrleurs de domaine existants.

C. Vrai : Utilisez le composant logiciel enfichable Sites et services Active


Directory pour configurer un serveur de catalogue global en ouvrant les proprits de lobjet NTDS Settings dans lobjet serveur qui reprsente le contrleur de domaine.

D. Faux : Le composant logiciel enfichable Utilisateurs et ordinateurs Active


Directory ne permet pas de configurer des serveurs de catalogue global.

E. Faux : Le composant logiciel enfichable Domaines et approbations Active


Directory ne permet pas de configurer des serveurs de catalogue global.

Leon 3
1. Bonne rponse : D A. Faux : Le cot total de la rplication du Site A vers le Site C sur les liens vers
le Site B est de 350. Le cot de la rplication sur le lien A-C nest que de 100. La rplication utilisera le lien A-C.

B. Faux : Le cot total de la rplication du Site A vers le Site C sur les liens vers
le Site B est de 350. Le cot de la rplication sur le lien A-C nest que de 100. La rplication utilisera le lien A-C.

C. Faux : Le cot total de la rplication du Site A vers le Site C sur les liens vers
le Site B est de 150. Le cot de la rplication sur le lien A-C nest que de 100. La rplication utilisera le lien A-C.

D. Vrai : Le cot total de la rplication du Site A vers le Site C sur les liens vers
le Site B est de 200. Si le cot de la rplication sur le lien A-C nest que de 200, la rplication utilisera les liens A-B et C-B.

2. Bonnes rponses : B et C A. Faux : Sil existe un lien de sites entre A et C, il est possible que la rplication
ait lieu sur ce lien. Vous navez pas empch la rplication directe entre Site A et Site C.

B. Vrai : Pour empcher la rplication entre les Sites A et C, vous devez


supprimer le lien de sites qui contient ces deux liens.

C. Vrai : Les liens de sites sont transitifs par dfaut. Le Site A peut donc
rpliquer directement vers le Site C laide des liens A-B et B-C. Vous devez dsactiver la transitivit des liens de sites.

36

Rponses

D. Faux : La rduction des cots des liens de sites va encourager la rplication


viter de crer une connexion sur le lien A-C. Toutefois, elle ne garantit pas que les changements seront envoys en premier lieu au Site B.

3. Bonne rponse : A A. Vrai : Si la connectivit IP nest pas disponible, SMTP doit tre utilis pour la
rplication mais ne peut pas tre utilis pour rpliquer le contexte de nommage du domaine. En consquence, le navire doit se trouver dans un domaine distinct de la fort.

B. Faux : Laugmentation du cot du lien de site ne permettra pas la rplication


entre le navire et le sige.

C. Faux : La dsignation dun serveur tte de pont ne permettra pas la


rplication entre le navire et le sige.

D. Faux : La cration manuelle dun objet connexion ne permettra pas la


rplication entre le navire et le sige.

4. Bonnes rponses : A et B A. Vrai : Dans le composant logiciel enfichable Sites et services Active
Directory, vous pouvez cliquer droit sur NTDS Settings et forcer la rplication.

B. Vrai : Loutil de diagnostic de la rplication, Repadmin.exe, permet de forcer


la rplication depuis la ligne de commandes.

C. Faux : Loutil de diagnostic du service dannuaire, Dcdiag.exe, est un outil en


ligne de commandes qui permet de tester la sant de la rplication et la scurit des services de domaine Active Directory.

D. Faux : Le composant logiciel enfichable Domaines et approbations Active


Directory permet de crer et de grer des objets utilisateur, groupe et ordinateur. mais pas de forcer la rplication.

Chapitre 11 : Rponses aux cas pratiques


Scnario : Configurer des sites et des sous-rseaux
1. Crez un site Active Directory pour Denver. La topologie de la rplication intrasite,
cre par le vrificateur de cohrence des donnes (KCC), gnre une topologie bidirectionnelle avec un maximum de trois sauts. La rplication se produira en une minute. Si le sige et le magasin se trouvent dans des sites distincts, la frquence de la rplication inter-sites est au mieux de 15 minutes.

2. La dsignation dun serveur tte de pont privilgi est utile pour garantir que le
rle est jou par un serveur disposant des ressources systme les plus disponibles. Elle peut tre galement utile si la configuration du rseau, les pare-feu par exemple, requiert que le trafic de rplication soit dirig vers une seule adresse IP. Toutefois, si le serveur tte de pont privilgi nest pas disponible, le gnrateur de

Rponses

37

topologie inter-sites (ISTG) ne dsignera pas automatiquement un serveur tte de pont temporaire. En consquence, la rplication sinterrompt si le serveur tte de pont prfr est hors ligne.

3. Pour obtenir une vritable topologie hub-and-spoke, vous devez crer cinq liens de
sites. Chacun deux contient le site Denver et lune des succursales. En consquence, les cinq liens de sites sont : DenverPortland, DenverSeattle, DenverChicago, DenverMiami et DenverFort Lauderdale. Vous devez galement dsactiver la transitivit des liens de sites afin que la rplication ne puisse pas construire de connexions qui outrepassent le site Denver.

4. Crez un objet connexion manuellement pour le contrleur de domaine du


magasin afin quil reoive la rplication de SERVER01. Un objet connexion manuel ne sera pas supprim par le KCC lorsquil construira la topologie de la rplication intrasite.

Chapitre 12 : Rponses aux questions de rvision


Leon 1
1. Bonnes rponses : A et D A. Vrai : Dans le composant logiciel enfichable Utilisateurs et ordinateurs
Active Directory, vous pouvez cliquer droit sur le nud racine du composant ou sur le domaine : vous trouverez alors la commande Augmenter le niveau fonctionnel du domaine.

B. Faux : Le Schma Active Directory ne permet pas daugmenter le niveau


fonctionnel du domaine.

C. Faux : Sites et services Active Directory ne permet pas daugmenter le niveau


fonctionnel du domaine.

D. Vrai : Cliquez avec le bouton droit sur le domaine dans le composant logiciel
enfichable Domaines et approbations Active Directory et choisissez Augmenter le niveau fonctionnel du domaine.

2. Bonnes rponses : B, D et E A. Faux : Vous devez possder un contrleur de domaine accessible en criture
qui excute Windows Server 2008 avant dajouter un contrleur de domaine en lecture seule au domaine. Vous possdez dj un contrleur de domaine Windows Server 2008 dans le domaine contoso.com.

B. Vrai : Le niveau fonctionnel de domaine doit au moins tre dfini


Windows Server 2003 avant que vous ne puissiez ajouter un RODC.

C. Faux : Vous ne pouvez pas augmenter le niveau fonctionnel du domaine


Windows Server 2008, car vous avez un contrleur de domaine qui excute Windows Server 2003.

38

Rponses

D. Vrai : Le niveau fonctionnel de fort doit au moins tre dfini Windows


Server 2003 avant que vous ne puissiez ajouter un RODC.

E. Vrai : Vous devez excuter Adprep /rodcprep avant dajouter le premier RODC
un domaine.

F. Faux : Vous possdez dj un contrleur de domaine Windows Server 2008.


Vous avez donc dj excut Adprep /forestprep.

3. Bonne rponse : C A. Faux : Les contrleurs de domaine en lecture seule ne sont pas requis pour
mettre en uvre une stratgie de mot de passe grain fin.

B. Faux : La commande Dfsrmig.exe configure la rplication DFS-R de SYSVOL. C. Vrai : Le niveau fonctionnel de fort Windows Server 2008 est requis pour
les stratgies de mot de passe grain fin.

D. Faux : Les stratgies de mot de passe grain fin ne sont pas gres par la
console GPMC.

Leon 2
1. Bonnes rponses : A, C et G A. Vrai : Les utilisateurs de wingtiptoys.com sauthentifieront auprs des
ordinateurs du domaine tailspintoys.com. Cela fait de wingtiptoys.com le domaine approuv. Lapprobation que vous configurez dans wingtiptoys.com est une approbation entrante.

B. Faux : Une approbation sortante permettrait aux utilisateurs de


tailspintoys.com de sauthentifier auprs des ordinateurs de wingtiptoys.com.

C. Vrai : Les utilisateurs de wingtiptoys.com doivent se connecter aux


ordinateurs de tailspintoys.com, mais rien noblige les utilisateurs de tailspintoys.com sauthentifier auprs dordinateurs de wingtiptoys.com.

D. Faux : Les utilisateurs de tailspintoys.com ne sont pas obligs de se connecter


des ordinateurs de wingtiptoys.com.

E. Faux : Les approbations de domaine sont cres avec des domaines Kerberos
v5 et non avec des domaines Windows.

F. Faux : Une approbation raccourcie est utilise entre des domaines dune
fort multidomaine.

G. Vrai : Comme les utilisateurs des domaines europe.wingtiptoys.com et de


wingtiptoys.com sauthentifient avec des ordinateurs situs dans tailspintoys.com, une approbation de fort est ncessaire. Les approbations de fort sont transitives.

H. Faux : Une approbation externe ne permet pas aux utilisateurs du domaine


europe.wingtiptoys.com de sauthentifier auprs des ordinateurs du domaine tailspintoys.com.

Rponses

39

2. Bonnes rponses : C et D A. Faux : La cration de comptes dupliqus ne permettra pas aux utilisateurs
daccder aux ressources.

B. Faux : La reconstruction du domaine Windows NT 4.0 ne permettra pas aux


utilisateurs daccder aux ressources.

C. Vrai : Le paramtre /verify vrifie la sant dune relation dapprobation


existante. Comme certains utilisateurs peuvent accder aux ressources, la relation dapprobation est reconnue comme saine.

D. Vrai : Le fait que les comptes problmatiques soient migrs depuis Windows
NT 4.0 suggre quil existe des SID filtrs dans les attributs sIDHistory des utilisateurs, car le filtrage des SID est activ par dfaut dans toutes les approbations externes. Le paramtre /quarantine:no dsactivera le filtrage des SID.

3. Bonne rponse : D A. Faux : La rinstallation des systmes dexploitation ne rsoudra pas le


problme car la performance est suffisante pour accder aux ressources dans les domaines des utilisateurs.

B. Faux : Peu importe que ladresse IP soit affecte de manire statique ou


dynamique.

C. Faux : Le problme ne provient pas des mises jour dynamiques des


enregistrements DNS.

D. Vrai : Une approbation raccourcie amliore la performance en autorisant des


contrleurs de domaine dun domaine se rapporter des clients situs dans lautre domaine directement et non via le domaine racine de la fort.

Chapitre 12 : Rponses aux cas pratiques


Scnario : Grer plusieurs domaines et forts
1. Vous devez augmenter le niveau fonctionnel de domaine et de fort au moins
Windows Server 2003. Les approbations de fort ne sont autorises quaux niveaux fonctionnels de fort Windows Server 2003 et Windows Server 2008.

2. Comme vous ne possdez pas de compte dans le domaine wingtiptoys.com, vous ne


pouvez que des approbations entrantes et sortantes sens unique. Les administrateurs de wingtiptoys.com doivent crer des approbations entrantes et sortantes sens unique rciproques.

3. Vous devez activer lauthentification slective dans lapprobation sortante. Ensuite,


accordez ces utilisateurs lautorisation Autorisation dauthentifier sur les objets ordinateur des quatre serveurs.

40

Rponses

Chapitre 13 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : B A. Faux : Le service AD DS redmarrable est lune des fonctionnalits les plus
intressantes de Windows Server 2008.

B. Vrai : Si une personne travaille sur un autre contrleur de domaine dans le


domaine racine de la fort et quelle a arrt le service AD DS, vous ne pourrez pas larrter sur ce serveur car il faut quau moins un contrleur de domaine soit oprationnel dans chaque domaine pour pouvoir larrter.

C. Faux : Vous navez pas besoin dutiliser le mode DSRM dans Windows
Server 2008 pour accomplir des oprations dans la base de donnes sur un contrleur de domaine.

D. Faux : Vous pouvez arrter le service AD DS soit via la ligne de commandes,


soit via la console Services.

2. Bonnes rponses : D et F A. Faux : Si le serveur tombe en panne, vous ne pouvez pas le redmarrer en
mode DSRM.

B. Faux : Vous navez pas besoin daccomplir une restauration faisant autorit,
car rien nindique que le serveur contenait des donnes perdues qui ne se trouvent pas sur les autres contrleurs de domaine.

C. Faux : Vous navez pas besoin de rinstaller le systme dexploitation si vous


avez accs aux sauvegardes compltes du serveur.

D. Vrai : Vous devez redmarrer le serveur avec WinRE pour lancer lopration
de rcupration complte du serveur.

E. Faux : Vous ne pouvez pas accomplir de restauration ne faisant pas autorit


avec Ntdsutil.exe dans Windows Server 2008. Vous devez utiliser loutil Sauvegarde de Windows Server ou Wbadmin.exe.

F. Vrai : Vous pouvez accomplir une rcupration complte du serveur soit via
la ligne de commandes, soit via linterface graphique.

Leon 2
1. Bonnes rponses : C et D A. Faux : Les dates dexpiration narrtent pas un ensemble de collectes. Elles
empchent le dmarrage des nouvelles collections lorsque la date dexpiration est atteinte.

B. Faux : Pour sexcuter, les ensembles de collecteurs doivent tre dans les
temps. Sinon, ils sinterrompent si lutilisateur qui les a crs se dconnecte.

C. Vrai : Vous devez dfinir une condition darrt pour chaque ensemble de
collecteurs.

Rponses

41

D. Vrai : Vous devez dfinir une dure pour chaque ensemble de collecteurs
lorsque vous planifiez son excution, faute de quoi il ne sarrte pas.

2. Bonnes rponses : A, B, C et D A. Vrai : Le Moniteur de fiabilit indique si des changements ont t apports
rcemment au serveur et sils peuvent tre lis des goulets dtranglement.

B. Vrai : LObservateur dvnements, en particulier le journal dvnements


Systme, rvlera toutes les erreurs ou les avertissements sur la performance du systme.

C. Vrai : Le Gestionnaire de tches affiche une vue en temps rel des ressources
et vous permet didentifier les goulets dtranglement potentiels.

D. Vrai : Le Moniteur de fiabilit, en particulier les modles densembles de


collecteurs de donnes bass sur les rles, permettent de dcouvrir rapidement les problmes de performance lis la configuration du serveur en cours et recommander dventuels changements en vue damliorer la performance.

Chapitre 13 : Rponses aux cas pratiques


Scnario : Travailler avec des donnes perdues
Occasionnellement, en particulier dans des forts de grande taille, il peut arriver quune personne supprime un conteneur en mme temps quune autre cre ou modifie un objet situ dans ce mme conteneur. Il peut sagir de contrleurs de domaine entirement diffrents, mais lorsque la rplication synchronise les donnes sur les contrleurs de domaine, lobjet nouvellement cr na plus de rsidence. Si cela se produit, AD DS stocke automatiquement ces objets dans le conteneur LostAndFound. Ce conteneur spcial gre les objets perdus et trouvs dans le domaine. Un autre conteneur spcial nomm LostAndFoundConfig, gre les objets perdus et trouvs pour lensemble de la fort. Le conteneur LostAndFoundConfig se trouve uniquement dans le domaine racine de la fort. En consquence, vous devez passer rgulirement en revue ces conteneurs pour dterminer si ces objets doivent tre dplacs vers de nouveaux conteneurs ou simplement supprims de lannuaire. Utilisez la procdure suivante pour vrifier le conteneur LostAndFound dans un domaine enfant.

1. Placez-vous dans la portion Utilisateurs et ordinateurs Active Directory du


Gestionnaire de serveur.

2. Cliquez sur Affichage, choisissez Fonctionnalits avances, dveloppez


larborescence et cliquez sur le conteneur LostAndFound.

3. Identifiez les objets situs dans ce conteneur. Dplacez-les ou supprimez-les.

42

Rponses

Faites attention lorsque vous supprimez des objets. Passez bien en revue leurs proprits avant de poursuivre. Il est parfois prfrable de dplacer un objet et de le dsactiver en attendant davoir consult vos pairs. Souvenez-vous que les SID supprims ne sont pas rcuprables.

Chapitre 14 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : C A. Faux : Les processus dinstallation existants doivent sachever avant que
vous ne puissiez lancer une autre installation. Il est difficile de dire si les processus dinstallation se sont achevs lorsque vous utilisez la ligne de commandes, sauf si vous utilisez la commande Start /w qui ne revient linvite de commandes que si une opration est termine. Aprs un redmarrage, vous dcouvrirez quaucun processus dinstallation nest en cours, mais que vous ne pouvez toujours pas dsinstaller AD LDS.

B. Faux : Le Gestionnaire de serveur ne rsout pas ce problme car vous devez


supprimer toutes les instances dAD LDS avant de pouvoir supprimer ce rle.

C. Vrai : Vous devez supprimer toutes les instances dAD LDS existantes avant
de pouvoir supprimer ce rle de serveur. Cest lune des raisons pour lesquelles la documentation de ces instances est si importante.

D. Faux : Oclist vous donne le nom de tous les rles et fonctionnalits utiliser
avec la commande Ocsetup. Toutefois, il sagit dune installation complte de Windows Server 2008 puisque vous avez accs au Gestionnaire de serveur. Oclist ne fonctionne pas dans une installation complte.

Leon 2
1. Bonne rponse : D A. Faux : Toutes instances dAD LDS ont un schma et tous les schmas des
instances peuvent tre modifis. Cest lune des raisons pour lesquelles vous devez utiliser AD LDS au lieu dAD DS pour intgrer des applications.

B. Faux : Vous pouvez apporter des modifications linstance avec la


commande LDP.exe mais les modifications du schma doivent saccomplir via le composant logiciel enfichable Schma Active Directory.

C. Faux : Vous pouvez apporter des modifications linstance avec les fichiers
LDIF et la commande LDIFDE.exe mais les modifications du schma doivent saccomplir via le composant logiciel enfichable Schma Active Directory.

D. Vrai : Lorsque vous utilisez AD LDS pour crer des instances avec des
numros de port par dfaut, le premier port utilis sur des serveurs membres est le port 389. Par exemple, pour vous connecter la premire instance,

Rponses

43

vous devez utiliser Instance01:389. Toutefois, comme votre schma des services de domaine Active Directory utilise galement le port 389, et que votre serveur est membre dun domaine, le composant logiciel enfichable Schma Active Directory ne se connectera pas linstance. Cest lune des raisons pour lesquelles vous ne devez jamais utiliser le port 389 pour les instances dAD LDS dans un domaine.

Chapitre 14 : Rponses aux cas pratiques


Scnario : Dterminer les prrequis de linstance AD LDS
Consultez les informations relatives AD LDS sur Microsoft Technet pour les technologies Active Directory. Vous y trouverez les rponses suivantes :

1. Un lecteur de donnes doit tre cr pour chaque serveur qui hbergera des
instances dAD LDS. Comme ces serveurs hbergeront des magasins dannuaire, vous devez placer ceux-ci sur un disque spar de celui du systme dexploitation et dans des dossiers distincts, de sorte pouvoir les identifier aisment.

2. Vous devez toujours utiliser des noms significatifs pour identifier des instances. Par
exemple, le nom de lapplication li une instance est un bon candidat. Les noms dinstance permettent didentifier linstance sur lordinateur local, et didentifier et de nommer les fichiers qui constituent linstance et le service qui la prend en charge. Les noms ne peuvent pas inclure despaces ni de caractres spciaux.

3. AD LDS et AD DS utilisent les mmes ports pour communiquer. Il sagit du port


par dfaut pour LDAP ou LDAP sur SSL (389) ou du port Secure LDAP (636). AD DS utilise deux autres ports : 3268 et 3269, qui emploient respectivement LDAP et Secure LDAP pour accder au catalogue global. Comme AD DS et AD LDS utilisent les mmes ports, vous devez prendre lhabitude den employer dautres au-del de la plage 50000 pour vos instances dAD LDS. Ils seront ainsi isols des services AD DS, en particulier si linstance est installe dans un domaine. En outre, vous devez installer des certificats PKI sur chaque instance dAD LDS pour utiliser Secure LDAP pour la communication et la gestion. Cela vitera que lon modifie ou dtecte des donnes AD LDS.

4. Idalement, chaque instance dAD LDS doit utiliser une partition dapplication,
mme si aucune rplication nest ncessaire. La cration dune partition dapplication simplifie la gestion de linstance grce diffrents outils.

5. Les instances doivent sexcuter via lutilisation dun compte de service. Vous
pouvez utiliser le compte Service rseau, mais si vous essayez dexcuter plusieurs instances, il est recommand dutiliser des comptes de service nomms pour chaque instance. De cette manire, vous savez exactement quel moment linstance accomplit des oprations car vous pouvez afficher les connexions aux comptes de service dans lObservateur dvnements.

44

Rponses

Chapitre 15 : Rponses aux questions de rvision


Leon 1
1. Bonnes rponses : B et C. A. Faux : Bien quil soit vrai que lon ne puisse pas installer dautorit de
certification dentreprise dans Windows Server 2008 Standard ou Windows Server 2008 Web Edition, vous excutez Windows Server 2008 Enterprise car vous avez vrifi ce prrequis au dbut de linstallation.

B. Vrai : Si vous tes connect avec un compte local, mme sil sagit dun
compte avec des privilges dadministration locaux, vous ne pouvez pas installer dautorit de certification dentreprise. Vous devez utiliser un compte de domaine pour installer une autorit de certification dentreprise.

C. Vrai : Pour installer une autorit de certification dentreprise, votre serveur


doit tre un membre du domaine, car ces CA utilisent le service dannuaire AD DS pour publier et mettre des certificats.

D. Faux : En raison de tous les composants ncessaires pour linstallation dune


CA dentreprise, vous devez utiliser le Gestionnaire de serveur pour installer ce rle.

Leon 2
1. Bonne rponse : B A. Faux : Bien que vous puissiez utiliser Certutil.exe pour charger des
certificats, vous devez galement pouvoir accomplir la mme opration via lassistant.

B. Vrai : Les droits daccs au modle de certificat ne sont pas dfinis


correctement. Pour charger manuellement le certificat sur le serveur, le compte dutilisateur doit avoir lautorisation dinscrire. En outre, le serveur sur lequel vous chargez le certificat doit galement avoir lautorisation dinscrire. Vous devez recrer le modle et lmettre de nouveau pour corriger ses droits daccs.

C. Faux : Vous devez pouvoir charger le certificat OCSP sur ce serveur car il
sagit dun rpondeur en ligne.

D. Faux : Bien que le certificat doive pouvoir se charger automatiquement sil


possde lautorisation dauto-inscription, rien dautre que les droits daccs ne peut vous empcher de le charger manuellement.

Rponses

45

Chapitre 15 : Rponses aux cas pratiques


Scnario : Grer la rvocation de certificat
Vous communiquez linformation vos suprieurs. Ils doivent porter plainte immdiatement pour empcher ces deux employs de vendre des certificats au nom de Contoso. De plus, vos commerciaux doivent se mettre en devoir de vrifier auprs de vos clients les dommages ventuels. La prsence sur le march de logiciels qui ne proviennent pas de Contoso, tout en contenant des certificats manant de Contoso, peut tre extrmement prjudiciable la rputation de votre entreprise. En ce qui vous concerne, vous bloquez immdiatement lutilisation des certificats. Pour ce faire, vous devez dabord remettre lautorit de certification en ligne. Puis vous utilisez le Gestionnaire de serveur pour rvoquer les deux certificats vols. Heureusement, lorsque vous annulez ces certificats, tous ceux qui ont t dlivrs partir de cette source vont tre automatiquement invalids. Ensuite, forcez la publication de la liste de rvocation de certificats. Pour ce faire, utilisez le nud Certificats rvoqus de la console Autorit de certification. Malheureusement, vous vous rendez compte que, mme si vous publiez cette liste immdiatement, les clients nactualiseront pas la leur avant le prochain cycle de rafrachissement, qui dpend de la faon dont il est configur.

Enfin, votre organisation doit annoncer publiquement que ces deux certificats sont invalides. Tous les clients de Contoso doivent savoir quils courent un risque et quils doivent vrifier chaque certificat quils reoivent au nom de Contoso tant que la rvocation na pas pris effet. Comme vous le constatez, la scurit dune autorit de certification racine est de la plus grande importance dans une architecture dinfrastructure cl publique.

46

Rponses

Chapitre 16 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : D A. Faux : Le serveur excute AD RMS car le nud AD RMS est disponible dans
le Gestionnaire de serveur.

B. Faux : Le certificat de serveur est valid pendant le processus dinstallation.


Au pire, vous pouvez toujours utiliser un certificat auto-sign. Cela ne peut pas tre la cause du problme.

C. Faux : Pour installer AD RMS, votre serveur doit tre un membre du


domaine, car ces services utilisent le service dannuaire AD DS pour publier et mettre des certificats.

D. Vrai : Pendant linstallation, votre compte est ajout au groupe


Administrateurs de lentreprise AD RMS sur lordinateur local. Pour mettre jour les privilges de votre compte, vous devez vous dconnecter puis vous connecter de nouveau. Sans cette procdure, votre compte ne possdera pas les droits daccs requis pour excuter AD RMS.

Leon 2
1. Bonne rponse : B A. Faux : Pour accder HTTP sur SSL, les utilisateurs doivent utiliser une
URL au format https://.

B. Vrai : Le certificat de serveur est valid lorsque les utilisateurs tentent


daccder lURL. Sil ne provient pas dune CA approuve, il ne fonctionnera

Rponses

47

pas. Si vous aviez utilis un certificat auto-sign, lURL aurait fonctionn au moment o vous y auriez accd depuis le serveur, car ce dernier approuve son propre certificat mais ne fonctionnera pas dans les navigateurs des utilisateurs, car ceux-ci napprouvent pas le certificat auto-sign.

C. Faux : Pour accder AD RMS depuis lextrieur du rseau, les utilisateurs


nont pas besoin dun compte AD DS.

D. Faux : LURL est correcte car vous lavez vrifie partir du serveur que vous
avez utilis pour la configurer.

Chapitre 16 : Rponses aux cas pratiques


Scnario : Se prparer utiliser un cluster AD RMS externe
Le meilleur moyen de partager des infrastructures de stratgie sans mettre en place des approbations de fdration consiste utiliser une publication de certifications croises. Cela implique dutiliser des domaines de publication approuvs qui permettent votre propre cluster AD RMS dmettre des licences dutilisation pour le contenu qui tait protg par un autre cluster AD RMS. Pour crer un domaine de publication approuv, vous devez importer le certificat de licence serveur du cluster de publication et sa cl prive dans votre propre cluster. Ensuite, vous devez exporter votre certificat de licence serveur et limporter dans le cluster racine de votre partenaire. Celui-ci doit faire de mme. Une fois les deux certificats imports, chaque environnement pourra prendre en charge lmission des publications et lutilisation des certificats de lautre.

Chapitre 17 : Rponses aux questions de rvision


Leon 1
1. Bonne rponse : B A. Faux : Tous les services peuvent utiliser un compte de service nomm pour
fonctionner.

B. Vrai : Le compte de service est automatiquement remplac par le compte


Service rseau pendant linstallation. Une fois la mise niveau acheve, vous devez redfinir le compte de service pour chaque service AD FS.

C. Faux : Les stratgies de Woodgrove affecteront les serveurs du rseau


Woodgrove et non les vtres.

D. Faux : Bien que le compte Service rseau possde des droits daccs limits
vers lordinateur local et quil permette dutiliser certains services, il ne reprsente en aucun cas une bonne pratique et Microsoft ne recommande pas de lutiliser.

48

Rponses

Leon 2
1. Bonnes rponses : A, B, D et E A. Vrai : Vous devez communiquer avec votre homologue pour dterminer
comment vous allez changer des fichiers de stratgie pendant la configuration du partenariat.

B. Vrai : Exportez la stratgie partenaire de lorganisation de ressources


(Woodgrove Bank) et importez-la dans lorganisation de comptes (Contoso).

C. Faux : La stratgie partenaire doit tre exporte depuis lorganisation de


ressources (Woodgrove Bank) et importe dans lorganisation de comptes (Contoso). Cette option propose linverse.

D. Vrai : Exportez la stratgie dapprobation de lorganisation de comptes


(Contoso) et importez-la dans lorganisation de ressources (Woodgrove Bank).

E. Vrai : Vous devez crer et configurer un mappage de revendications dans


lorganisation de ressources (Woodgrove Bank).

F. Faux : La stratgie dapprobation doit tre exporte de lorganisation de


comptes (Contoso) et importe dans lorganisation de ressources (Woodgrove Bank). Cette option propose linverse.

Chapitre 17 : Rponses aux cas pratiques


Scnario : Choisir la bonne technologie Active Directory
Les rponses peuvent varier mais doivent contenir tous les lments prsents ici. En passant en revue les exigences, vous dcouvrez quil sagit dune bonne occasion dutiliser les cinq technologies Active Directory. Voici comment vous allez procder :

1. Vous allez utiliser AD DS pour mettre niveau le service dannuaire interne. 2. Vous allez implmenter AD RMS pour protger votre proprit intellectuelle. Cela
signifie que lorsque vous crerez le partenariat, votre organisation sera lorganisation de ressources car vous hbergez linstallation AD RMS.

3. Pour prendre en charge les applications dans lextranet, vous devez mettre en
uvre la fdration des identits avec AD FS. Vous allez mettre en place le SSO de Web fdr et votre organisation sera lorganisation de ressources. En outre, vous devrez ajouter les lments suivants pour prendre en charge chacune des applications.

A. Pour supporter les applications bases sur Windows dans lextranet, vous
devez accder un magasin dannuaire. Comme vous ne voulez pas dployer AD DS dans un extranet en raison des risques encourus, vous allez dployer AD LDS. Linstance dAD LDS fournira des services de journalisation aux applications Windows via AD FS. Vous installerez lagent AD FS bas sur les jetons Windows pour prendre en charge la fdration des identits.

Rponses

49

B. Les applications bases sur le Web seront actives pour AD FS grce


linstallation de lAgent AD FS prenant en charge les revendications.

4. Les clients qui accdent aux applications seront pris en charge par les processus
dAD FS et AD LDS. En particulier, les organisations partenaires et les utilisateurs internes utiliseront AD FS et le grand public se servira des instances dAD LDS pour accder aux applications.

5. Vous implmenterez les services de certificats Active Directory pour protger les
communications. Pour faciliter laccs toutes les applications et garantir que tous les partenaires pourront valider les certificats que vous gnrez, vous emploierez une autorit de certification tierce approuve comme racine de votre dploiement AD CS. Ainsi, tous vos certificats seront approuvs tout moment, car le certificat racine est approuv par tous. Il sagit des meilleures pratiques de mise en uvre des cinq technologies Active Directory.