Windows网络服务器管理面试题解析 - 高飞网
8人看过

Windows网络服务器管理面试题解析

2014-03-20 01:28:44

面试题1Windows Server 2003系统的4个主要版本中,不能作为域控制器来部署的是( )。

A. Web Edition  B. Standard Edition 
C. Enterprise Edition
  D. Datacenter Edition

解析:

Windows Server 2003系统有4个主要版本(实际上是6个版本):Windows Server 2003 Web服务器版本(Web Edition)、Windows Server 2003标准版(Standard Edition)、Windows Server 2003企业版(Enterprise Edition,包括32位和64位两个版本)以及Windows Server 2003数据中心版(Datacenter Edition,包括32位和64位两个版本)。

Windows Server 2003 Web Edition版本是专门针对Web服务优化的。它支持双路处理器,2GB的内存。Windows Server 2003 Web Edition唯一和其他版本不同的是:它只能是AD域中的成员服务器,而不能够做DC(域控制器)。

Windows Server 2003 Standard Edition是专门针对中小型企业应用需求而优化。它支持双路处理器,4GB的内存。它除了具备Windows Server 2003 Web Edition所有功能外,还支持像证书服务、UDDI服务、传真服务及IAS因特网验证服务等许多功能,当然最大的区别就是,它可以成为DC

Windows Server 2003 Enterprise Edition是直接针对大中型企业应用的高端产品。它最多能够支持8路处理器,32GB内存和28节点的集群。它是Windows Server 2003 Standard Edition的扩展版本,增加了终端服务会话目录、集群和热添加(Hot-AdD.内存和NUMA非统一内存访问存取)等技术的支持。这个版本还另外增加了一个支持64位计算的版本。

Windows Server 2003 Datacenter EditionWindows Server 2003家族中性能最高的产品。它的市场对象一直定位在最高端应用上,支持高达832路处理器,64GB的内存和28节点的集群。与Windows Server 2003 Enterprise Edition相比,Windows Server 2003 Datacenter Edition增加了一套Windows Datacenter Program程序包,这个产品同样也为另外一个64位版本提供。

由此,可以很容易得到本题的正确答案为A,也就是只有Windows Server 2003 Web Edition版本不支持DC。因为Windows Server 2003 Standard Edition版本都已开始支持DC了,而后面的Windows Server 2003 Enterprise EditionWindows Server 2003 Datacenter Edition两个版本都是基于Windows Server 2003 Standard Edition的扩展,所以同样支持DC功能。

答案:A

面试题2:域与工作组相比,主要优势在哪里?

解析:

这是管理员经常问到的,也是在各种考试和面试中经常考到的。但多数人是答不全的。

答案:

工作组和域是两种不同的网络管理模式。

工作组(Work Group)就是将不同的计算机按功能分别列入不同的组中,以方便管理。加入工作组的方法只需本机管理员在Windows桌面上的网上邻居单击鼠标右键,在弹出菜单中选择【属性】命令,然后在标识选项卡的计算机名文本框中添入你想让自己计算机在工作组网上邻居中显示的计算机名称,在工作组文本框中添入想加入的工作组名称即可,无须任何权限审核。如果输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然在组中也只有用户自己的计算机。不过要注意,计算机名和工作组名称的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。

域(Domain)是一种更加严格的网络管理模式,要把一台计算机加入到某域中,不仅需要进行比较复杂的配置,而且还仅允许域中有权限的账户进行操作。

域相对工作组来说主要有以下几个方面的优势。

1.集中用户账户管理

在工作组中,用户账户是不进行强度极限中管理的,用户账户仍然由工作组中的计算机各自负责管理,彼此互不信任。所以,在访问工作组中不同的计算机时,需要输入对方不同计算机上的合法账户信息(通过配置也可以是匿名访问)。而域用户账户是集中管理的,所有域用户账户都是在域控制器上集中管理的,而且各客户机都信任域控制器上管理的域账户,但各客户机都不具有域账户的管理权限。而且域账户是单击登录方式,这样做的好处是,用户一旦登录到域,则具有访问域中所有计算机共享资源的账户权限,无须输入任何账户信息。当然最后能否访问还是要看具体被访问计算机上共享资源的访问权限设置。

2.集中资源管理

尽管在工作组网络中也可以配置集中的资源服务器,如文件服务器、打印服务器等,但是服务器的访问权限和访问管理比较麻烦,需要针对不同计算机上的账户进行设置;而如果是域网络中的这些服务器,则只需要对域账户进行设置。

3.统一安全策略部署

在域网络中,可以通过域组策略对整个域网络中成员计算机的安全策略进行统一部署。如用户账户权利、密码策略和安全选项等。只要在域组策略中统一部署即可在全网络中生效。对于外部网络的远程访问,还可以进行统一的安全认证,确保整个网络计算机的安全。
面试题3:利用IIS不能创建( )。

A. WWW服务器 B. DNS服务器
C. FTP
服务器 D. SMTP服务器

解析:

这道题其实很简单,只要有过使用IIS组建各种服务器经验即可答出。用IIS可以组建网站的Web服务器(也就是WWW服务器)、用于文件传输的FTP服务器和SMTP虚拟邮件发送服务器。但是DNS服务器却不是在IIS中创建的。

答案:B

面试题4:下列关于全局编录服务器的说法正确的是( )。

A. 它是一台独立服务器,保存有域内对象的所有属性
B.
它是一台独立服务器,保存有域内对象的最常用属性
C.
它是一台域控制器,保存有域内对象的所有属性
D.
它是一台域控制器,保存有域内对象的最常用属性

解析:

全局编录是存储林中所有Active Directory对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本,以及林中所有其他域中所有对象的部分副本。

全局编录中包含的所有域对象的部分副本是用户搜索操作中最常使用的部分。作为其架构定义的一部分,这些属性被标记为包含到全局编录中。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考影响网络性能。

答案:D

面试题5:什么是只读域控制器?它有什么好处?

解析:

这是最新的Windows Server 2008才出现的新技术。但由此可以了解应试者对新技术和知识的学习能力。

答案:

只读域控制器(RODC)是Windows Server 2008操作系统中提供的一种新类型的域控制器,主要用于在分支环境中进行部署。通过RODC,集团公司可以降低在无法保证物理安全的远程位置(如分支机构)中部署域控制器的风险。因为除了账户密码外,RODC可以驻留可写域控制器驻留的所有Microsoft Active Directory域服务(AD DS)对象和属性。不过,客户端无法将更改直接写入RODC。由于更改不能直接写入RODC,因此不会发生本地更改,作为复制伙伴的可写域控制器不必从RODC导入更改。管理员角色分离指定可将任何域用户委派为RODC的本地管理员,而无须授予该用户对域本身或其他域控制器的任何用户权限。

12.2 Windows服务器管理

在本节中主要以Windows Server 2003操作系统为主,介绍与域控制器、DNSDHCP、用户、文件、磁盘和组策略等各方面与管理相关的面试题。

12.2.1 网络服务器的基本管理

面试题6Windows Server 2003的活动目录中包括的身份验证方式是( )。

A. 本地身份验证 B. 交互式登录

C.
网络身份验证 D. 匿名身份验证

解析:

这道题并不容易答出,因为许多人并没有对活动目录所支持的身份验证类型进行总结。其实在Windows Server 2003家族的活动目录服务中所支持的身份验证方式就只包括:交互式登录和网络身份验证两种。

交互式登录就是由用户通过系统的登录界面,输入用户账户和密码的方式进行的登录,这种登录方式只限于域控制,因为只有在域控制器上才拥有域账户,才会需要用到活动目录。其他主机上的本地交互登录是不用活动目录的,因为在这些主机上不具有域账户。

网络身份验证向用户尝试访问的任何网络服务确认用户的身份。要提供这种类型的身份验证,安全系统将包括下面这些身份验证机制:
Kerberos V5
、公钥证书、安全套接字层/传输层安全性(SSL/TLS)、摘要和NTLMWindows NT 4.0系统兼容。

答案:B C

面试题7:下面关于运行方式的说法正确的是( )。

A. 使用运行方式有助于提高计算机的安全性
B.
使用运行方式后,普通用户也可以执行管理员的管理任务
C. “
运行方式只能由管理员使用
D. “
运行方式只能在本地运行

解析:

题中所说的运行方式是指用户登录的一种方式,其英文名称为“runas”。在使用该方式时,只需在相应程序上单击鼠标右键,并在弹出菜单中选择【运行方式】命令,打开如图12-1所示的对话框。在其中选择要使用的用户名(账户)即可。注意账户的格式是:计算机或域名\用户账户名。

12-1 “运行身份对话框

在使用运行方式时,可以使用不同于登录所用的账户和安全上下文的方式打开并运行程序。因此,可以使用普通用户账户登录,然后使用运行方式在管理账户上下文中打开管理程序。

尽管runas通常由Administrator账户使用,但并非仅限于Administrator账户。任何拥有多个账户的用户均可以利用备用凭据,使用runas运行程序、MMC控制台或控制面板选项。

可以使用运行方式来完成管理任务,而无须使用管理凭据登录计算机,使得当前计算机更加安全。而且运行方式可以在本地,工作组和域网络中使用。

答案:A B

面试题8:在Windows Server 2003系统中,如何制作密钥盘?

解析:

Windows XP/Server 2003中(Windows 2000系统也一样),尽管在登录系统前需要输入用户账户和密码,但这种安全保障还是比较低的,特别是在登录Windows XP系统时,在默认账户的情况下无须输入账户和密码,便可直接进入系统桌面。为了提高系统的安全性,一方面,可以对现有的账户文件(SAM)进行二次加密;另一方面,还可以在用户启动计算机前设置一道安全屏障,把整个计算机进行加密,要启动系统必须插入相应的密钥盘。这个加密工具就是syskey。但要注意,并不是在BIOS中设置的。

答案:

Syskey工具的具体使用方法如下。

1)在Windows 2000/XP/Server 2003系统的运行窗口中输入syskey命令,打开如图12-2所示的对话框(此处以Windows XP系统为例进行介绍)。选择启用加密单选按钮,并单击【确定】按钮,虽然看不到任何提示,但其实已经完成了对账户数据库SAM文件的二次加密。

12-2 “保证Windows XP账户数据库的安全对话框

2)如果在图12-2中单击【更新】按钮,则打开如图12-3所示的对话框。在该对话框中,可以为计算机设置双启动密码,选择密码启动单选按钮,并在下面的文本框中输入启动计算机时所需输入的密码,最后单击【确定】按钮即可。这样下次在启动计算机时就会要求用户输入启动密码,否则系统无法启动。这就相当于在输入登录账户信息前多加了一个保护密码,使系统更加安全。

12-3 “启动密码对话框

3)设置了双重启动密码后在一定程度上增强了安全性,但是要真正做到绝对安全,最好还要随身带上一把系统开机钥匙。利用Syskey还能创建开机钥匙,在开机时,只有插入这把钥匙才能进入系统。方法是在启动密码对话框中选择系统产生的密码单选按钮,如果选择的是在软盘上保存启动密码单选按钮,并根据提示插入空白的软盘,系统就会自动产生一个密码并保存在软盘上。这样下次启动时就需要插入这个密钥盘(无须输入密码,因为密码是由系统自动产生的)。如果选择的是在本机上保存启动密码单选按钮,则只是可以限制远程在其他机上非法启动本机。

面试题9:可以把Windows XP直接升级为Windows Server 2003系统吗? 如果不能请简单说明理由。

解析:

这道题考的是不同系统之间的升级问题。因为Windows XPWindows Server 2003分属于不同的操作系统,核心有很大区别:前者属于桌面操作系统,而后者属于网络服务器操作系统。桌面版是不能直接升级到服务器版的,例如,Windows 2000 Profeesional不能直接升级到Windows 2000 ServerWindows 2000 Advanced Server

答案:

不能直接从Windows XP系统升级到Windows Server 2003系统。因为Windows XPWindows Server 2003分属于不同的操作系统,核心有很大区别:前者属于桌面操作系统,而后者属于网络服务器操作系统。

面试题10Windows Server 2003能默认安装IIS吗?如果不能请简单说明理由。

解析:

这道题是考应试者对知识点细节的用心程度。因为一般人很少注意,操作系统默认安装了哪些组件。

微软出于安全考虑,在Windows Server 2003系统中,默认是没有安装IIS的。如需要使用IIS,则选择【控制面板】【添加或删除程序】命令来手动添加IIS组件。

答案:

Windows Server 2003默认不安装IIS组件,这是出于安全考虑的,因为开启IIS后,如果不进行详细的安全配置,很容易成为黑客入侵的跳板。
面试题11:通过设置策略是否可以实现在关闭Windows Server 2003系统时,不需要选择关机的理由?如果不能请说明理由,如果能请简要给出配置方法。

解析:

Windows Server 2003系统中,发现每次在关闭计算机时,系统总会弹出关机原因提示窗口,而且如果不说明原因就无法将计算机关闭。其实我们自己可以通过组策略来屏蔽这项功能,使关机恢复成以前版本系统那样的快捷。

答案:

可通过组策略设置来取消选择关机的理由。具体方法如下。

1)在Windows Server 2003系统计算机的运行窗口中输入组策略编辑命令“gpedit.msc”,然后单击【确定】按钮,打开如图12-4所示的本地计算机组策略辑控制台。

2)在左侧导航栏中,依次展开:计算机配置管理模板系统,然后在右侧详细窗口中找到显示关闭事件跟踪程序‘”策略选项,参见图12-4

(点击查看大图)图12-4 组策略中的显示关闭事件跟踪程序‘”策略选项

3)鼠标左键双击显示显示关闭事件跟踪程序‘”策略选项,打开如图12-5所示的属性设置对话框,选择已禁用单选按钮,并单击【确定】按钮就能使设置生效了。下次关机时就不用再选择关机理由了。

12-5 显示关闭事件跟踪程序属性对话框

如果选择未配置单选按钮,也将出现关闭事件跟踪程序的默认行为。在默认情况下,在Windows XP Professional上不显示关闭事件跟踪程序,而在Windows Server 2003家族上则显示。

12.2.2 域和林的管理

面试题12:创建域和删除域的命令是( )。

A. dcpromote B. dcpromo C. promote D. promo

解析:

这道题也很简单,只要是通过命令方式安装和删除域的都知道,那就是dcpromo命令。不过,现在大多数都不是通过命令方式来创建和删除域的,而是直接通过配置您的服务器向导进行。

答案:B

面试题13:在Windows Server 2003域网络中,父域和子域的默认信任关系是( )。

A. 双向可传递   B. 双向不可传递
C.
单向可传递   D. 单向不可传递

解析:

这道题考的是域信息关系方面的知识。

信任是在域之间建立的关系,它可使一个域中的用户由处在另一个域中的域控制器来进行验证。Windows NT中的信任关系与Windows 2000Windows Server 2003操作系统中的信任关系不同。

Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向且不可传递的。在Windows 2000Windows Server 2003林中的所有信任都是可传递的双向信任。因此,只要创建了信任,信任关系中的两个域就都是受信任的。从双向信任这一特点我们就可以排除CD两个选项,从可传递这一特点又可以排除选项B。事实上也是这样的,默认的父、子域之间具有双向可传递的信任关系,林中各域树的树根也将是默认双向可传递的信任关系。

答案:A

面试题14:只有( )组的成员,才有权对林的架构做出修改,并影响到林中所有的域。

A. Administrators  B. Domain Admins
C. Enterprise Admins
  D. Schema Admins

解析:

这道题其实考的是应试者对几类域管理员组账户权限的理解。在Windows Server 2003域网络中,有几种管理员权限的组账户,它们是域控制器管理员组Administrators、本地域管理员组Domain Admins、林管理员组Enterprise Admins和林架构管理员组Schema Admins。但要注意的是,它们之间并没有我们通常所误认为的权限包含关系,而是各具特定的权限。也就是说,它们的权限分工是不一样的。

Administrators具有域中所有域控制器的完全控制权限,是本地内置作用域类型的安全组。在默认情况下,Domain AdminsEnterprise Admins组是Administrators组的成员。

Domain Admins具有对本地域管理的完全控制权限,是全局作用域类型的安全组。在默认情况下,该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的Administrators组的成员。在默认情况下,Administrator账户也是该组的成员。

Enterprise Admins组的成员具有对林中所有域的完全控制作用,是通用作用域类型的安全组。默认情况下,该组是林中所有域控制器上Administrators组的成员。在默认情况下,Administrator账户也是该组的成员。

Schema Admins组的成员可修改Active Directory架构,也是通用作用域类型的安全组。在默认情况下,Administrator账户也是该组的成员。

答案:D

面试题15:下面关于域和林关系的说法正确的是( )。

A. 一个域可以属于多个林之中
B.
一个林中可以有多个域
C.
一个域中的多个子域可以有连续的名称空间
D.
一个林中的多个域树可以有连续的名称空间

解析:

Active Directory中,域树是由一个或多个Windows 2000Windows Server 2003域通过传递、双向信任,共享公用架构、配置和全局分类连接起来的。域树中域的分层结构形成了连续的名称空间,可以将多个域树连接起来形成林。域树中的第一个域称为根域。在相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。如,child.root.comroot.com的子域及grandchild.child.root.com的父域,而root.com域为child.root.com的父域,同时它也是该域树的根域。

林包括多个域树。林中的域树不形成邻接的名称空间。例如,虽然microsoft.commicrosoftasia.com两个域树都是support的子域,而子域的DNS名称却分别为support.microsoft.comsupport.microsoftasia.com,它们之间没有共享的名称空间。

答案:B C

面试题16:某大学用Windows Server 2003系统创建了一个林。甲机是xinhua.com域的DC,乙机是network.xinhuan.com域的DC。而丙机完整的计算机名为Cindy.network.xinhua.com,则下列说法正确的是( )。

A. A用户属于xinhua.com域,则可以在network.xinhua.com域内的任一计算机上登录xinhua.com域。
B.
A用户属于xinhua.com域,则可以在xinhua.com域内的任一计算机上登录xinhua.com域。
C.
由于xinhua.com域是整个目录林的根域,所以丙机Cindy.network.xinhua.com的详细资料都保存在甲机上。
D.
由于丙机Cindy.network.xinhua.com属于network.xinhuan.com域,所以丙机的详细资料都保存在乙机上。

解析:

对于这类题只能对各个选项进行一一分析和排除。

因为在Windows Server 2003域网络中,父域和子域之间默认是双向信任的,所以A选项是正确的。

B选项肯定是正确的,因为域用户本来就可以在域中任何计算机上进行域登录。

CD选项也是正确的,因为域根和相应域的DC上都保存了整个域树中各计算机对象的详细资料。

答案:A B C D

面试题17:甲域内的A用户要想访问乙域内的共享资源,则( )。

A. 乙域必须针对甲域有信任关系。
B.
甲域必须针对乙域有信任关系。
C. A
用户必须从甲域的DC上获取访问该共享资源的访问授权。
D. A
用户必须从乙域的DC上获取访问该共享资源的访问授权。

解析:

这是考查域之间的信任关系的题。当A域信任B域时,则B域中的用户就可以访问A域中的资源。所以A选项是正确的。同时,可以得出B选项是错误的,信任关系反了。

C选项明显是错误的,因为所要访问的共享资源不是甲域的,也就没办法从甲域上获得所需访问的共享资源的访问权限。同时可以得出D选项是正确的。

答案:A D

面试题18:一台计算机已经加入了某个域,但此时该计算机的本地管理员在该计算机上进行了本地登录,则对于该域的域管理员来说,( )。

A. 可以同时管理该计算机与该计算机的本地管理员用户
B.
无法管理该计算机,也无法管理该计算机的本地管理员用户
C.
可以管理该计算机,但不可以管理该计算机的本地管理员用户
D.
可以管理该计算机的本地管理员用户,但不可以管理该计算机

解析:

这道题考的是本机管理员和域管理员之间的关系。本地管理员只能在本地计算机和用户账户拥有完全控制权限,而域管理员只对域网络中的计算机账户实行管理权限,而没有对域网络中计算机的本地用户账户具有管理权限。

答案:C

12.2.3 域控制器管理

面试题19:为Windows Server 2003域控制器改名可用的命令是( )。

A. dcpromo B. netdom computername C. Ntdsutil D. Rendom

解析:

这道题与上题类似,但考的是域控制器的重命名命令。我们只要对这些命令都很熟悉就可以很容易得出正确答案。

A选项是域安装与删除命令,C选项是活动目录数据删除和服务器角色转移等功能的命令,D选项是域重命名的命令。所以,B选项才是域控制器重命名工具命令。

答案:B

面试题20:下面命令中可以用于把Windows 2000 Server成员服务器升级为域控制器的是( )。

A. PROMOTE.EXE B. DCPROMO.EXE
C. DCUPGRADE.EXE D.
以上都不是

解析:

这道题其实与上面的面试题19是一样的,只是问法不一样。要注意不同的提问形式。这里所问的其实就是域控制器的创建,或者说是安装活动目录所需用到的命令。

答案:B

面试题21:架构主机和( )是专属于林中的主机角色的。

A. 域命名主机 B. PDC仿真主机
C.
相对ID主机 D. 基础结构主机

解析:

这道题考的是应试者对操作主机角色知识点的掌握。所以要求应试者对各种操作主机的角色有一个较全面的掌握。

Windows Server 2003系统中,操作主机角色有5种:架构主机角色、域命名主机角色、RID主机角色、PDC仿真主机角色和结构主机角色。其中前两个是林中的,后三者是域中的。在每个林中,林范围的操作主机角色必须只能出现一次。而在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。

答案:A

相关链接:

每个林必须具有架构主机域命名主机两种角色。架构主机域控制器控制对架构的全部更新和修改。要更新林的架构,必须拥有架构主机的访问权。域命名主机控制林中域的添加或删除。在林中这些角色必须是唯一的,这意味着在整个林中,只能有一个架构主机和一个域命名主机。

林中的每个域都必须有相对IDRID)主机主域控制器(PDC)仿真主机结构主机“3种主机角色。同样,在每个域中这些角色都必须是唯一的。RID主机将相对ID分配给域中每个不同的域控制器。在任何时候,林中的每个域中只能有一个域控制器作为RID主机。

如果域包含在没有Windows 2000Windows XP Professional客户端软件情况下运行的计算机,或者包含Windows NT备份域控制器(BDC),则由PDC仿真主机担当Windows NT的主域控制器。它处理来自客户端的密码更改并将其复制到BDC中。在任何时候,林中的每个域中只能有一个域控制器作为PDC仿真主机。

基础结构主机负责更新从它所在的域中的对象到其他域中对象的引用。基础结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作定期接受所有域中对象的更新,从而使全局编录的数据始终保持最新。如果结构主机发现数据过时,则它从全局编录中申请更新的数据。基础结构主机再将这些更新的数据复制到域中的其他域控制器。在任何时候,每个域中只能有一个域控制器作为基础结构主机。

12.2.4 用户和组管理

面试题22:在配置漫游用户配置文件和主文件夹时,账户名可使用( )变量替代。

A. username   B. %username%
C. %username D. username%

解析:

这道题比较简单,在4个答案选项中的主体部分都相同,即使真的不知道是哪个正确,只要知道变量的表示方法就知道正确答案了。变量两端都是有“%”符号的。所以本题正确答案为B

答案:B

面试题23:对于Windows 2000 ServerWindows Server 2003域,默认普通域用户可以加入计算机到域中吗?并简要说明。

解析:

这道题考的是域网络管理的基本常识。在Windows 2000 ServerWindows Server 2003域中,默认普通用户只能加入10个计算机账户到域中。而管理员组(Administrators)成员不受此限制。

在本题中要明确的一点就是,用户计算机加入域中不一定非要域管理员组成员才有资格,任意普通用户,只要在域中有合法账户都可以加入计算机账户到域中的,只不过在数量上是有限制的。

答案:

可以,但最多只能是把10台计算机加入到域中。而管理员组成员允许加入到域的计算机数量不受限制。

面试题24:在活动目录用户和计算机中,有关用户对象的说法正确的是( )。

A. 可以同时位于多个用户组或多个容器中
B.
可以同时位于多个用户组,但只能位于一个容器中
C.
可以同时位于多个容器,但只能位于一个用户组中
D.
只能位于一个容器或一个用户组中

解析:

这道题的关键是要理解,域用户账户只能由域控制器来进行统一管理,其他组织单位均无权管理域账户。所以,在一个域中,用户账户是唯一的。但用户和组的关系不是一一对应的,一个用户可以隶属于多个组中。

根据以上分析就可以很容易地得出本题的正确答案。

答案:B

面试题25:对于域内用户和计算机这两个对象的具体管理,你认为下述哪种做法不妥当?(

A. 如果某用户已从公司辞职则应暂时将其域账户停用而不是立即删除
B.
应当提醒用户经常性地按要求定期更换自己的账户密码
C.
为了防止域内用户非法登录本地计算机,最好将域内计算机的本地账户停用

D.
域内用户可以被施以组策略来实现管理,但不要对域内计算机对象采用组策略管理

解析:

这是一道与实际网络管理经验结合的用户管理知识题。下面直接给出正确答案。ABC选项都是正确的,D选项不正确,因为计算机账户同样可以通过组策略来管理,而且更方便。

答案:D

面试题26:一位域内用户试图通过一台域内计算机登录其所属域时,在他输入用户名和密码后,系统提示找不到域或域不存在,发生这种故障现象的原因可能是( )。

A. 用户输入的用户名和密码不匹配或不正确
B.
用户在登录到…”对话框中选择了错误的域名
C.
为该域负责域名解析的DNS服务器损坏或DC死机
D.
用户计算机与域网络的网络连接已断开

解析;

这也是一道与实际网络管理经验结合的用户管理知识题。A选项不正确,因为如果是输错了用户和密码,不会提示找不到域或域不存在,而是直接告诉用户名和密码错误。

B选项与A选项基本上是一样,如果选错了域,同样会出现用户名和密码错误提示,而不会出现找不到域或域不存在

C选项是可能的原因之一,因为当DNS或者DC工作不正常时,在进行域网络连接时得不到正确的域名解析,或者找不到DC,这样就会出现域找不到或不存在的错误的提示。

D选项也是可能的原因之一,因为用户计算机与域网断开后就得不到DNS服务提供的名称解析,也找不到DC

答案:C D

面试题27:在Windows 2000/Server 2003域中,下列关于本地组与全局域网之间的关系说法正确的是( )。

A. 本地组可以被赋予权限,但全局组不可以被赋予权限
B.
本地组不可以被赋予权限,但全局组可以被赋予权限
C.
本地组可以包含全局组,但全局组不可以包含本地组
D.
本地组不可以包含全局组,但全局组可以包含本地组

解析:

全局组成员可包括只在其中定义该组的域中的其他组和账户,而且可在林中的任何域中指派权限。全局组成员可以全局使用,即可在本域和有信任关系的其他域中使用。本地组成员可包括Windows Server 2003Windows 2000Windows NT域中的其他组(如全局域组、Windows Server 2003中域的通用组)、账户,而且只能在域内指派权限。

本地域组的权限是自身配置的,全局组的权限是来自其隶属于的本地组而得到的。

答案:C

面试题28:下面关于组织单位的说法不正确的是( )。

A. 域控制器是最大的组织单位
B.
在组织单位可以创建用户和组账户
C.
组织单位的组策略中可以配置用户账户策略
D.
组织单位中的组策略是最优先应用的

解析:

这道题可以用排除法来解答。

A选项是正确的。域控制器是域网络中的组织单位,在域控制器之下还可以创建小的组织单位。
B
选项也是正确的。用户和组账户可以“Active Directory用户和计算机管理工具的各容器中创建用户和组账户。
C
选项是错误的。因为域的账户策略只能由域控制器级别进行管理的,而不能由其他更小的组织单位来管理。
D
选项是正确的。组策略的应用顺序是:本地组策略对象站点组策略对象域组第一域组策略组织单位组策略。越往后优先级别越高,当后面的策略项与前面的策略项相冲突时,以后面的为准。

答案:C

面试题29:有关创建域内用户将计算机加入域这两个问题,说法正确的是( )。

A. 某域的Domain Admins组成员可以创建该域的域内用户。
B.
某林的Enterprise Admins组成员可以创建该林中任意域的域内用户。
C.
将计算机加入某个域时,应输入该域的Domain Admins组成员的用户名及其口令。
D.
将计算机加入某个域时,可以输入该域所属林的Enterprise Admins组成员的用户名及其口令。

答案:A B C D

12.2.5 DNS服务器管理

面试题30:正确的DNS查询解析的顺序是( )。

A. 缓存、是否本机、HOSTS文件、DNS服务器
B.
是否本机、缓存、HOSTS文件、DNS服务器
C.
缓存、是否本机、DNS服务器、HOSTS文件
D.
是否本机、HOSTS文件、缓存、DNS服务器

解析:

这道题考的是DNS名称查询解析的基本原理。DNS名称查询解析可以分为两个基本步骤,如图12-6所示。

(点击查看大图)图12-6 DNS名称查询解析的基本原理

1)本地解析。

2DNS服务器解析。

在本地解析过程中首先检查请示名称解析的是否为本机,然后检查主机配置文件(HOSTS文件),如果是本地配置主机文件,则来自该文件的任何主机名称到地址的映射,在DNS客户服务启动时将预先加载到缓存中。如果主机配置文件没有找到,则继续在以前的DNS查询应答的响应缓存中查找。如果此查询与缓存中的名称还不匹配,则解析过程交给DNS服务器继续进行。本地DNS服务器解析不了,则还可通过DNS名称解析转发,交给其他DNS进行解析。这就是图12-6所示的DNS名称查询解析的全过程。

答案:D

面试题31DNS服务器代表DNS客户端向其他DNS服务器发出查询称为( ),客户端自己向其他DNS服务器发出的查询称为( )。

A. 迭代,递归   B. 迭代,迭代
C.
递归,迭代   D. 递归,递归

解析:

这是一道考应试者对DNS名称解析服务原理理解的题。也就是递归迭代这两种查询方式的区别。

DNS名称解析中规定:DNS服务器代表请求客户端查询或联系其他DNS服务器,以便完全解析该名称,并随后将应答返回至客户端,这一过程称为递归。而客户端自己尝试联系其他的DNS服务器所进行的名称解析过程称为迭代

答案:C

面试题32:配置了一个与DNS集成的Windows Server 2003域控制器,客户端在加入域的时候提示找不到域控制器,原因可能有哪些?

解析:

这道是对应试者在域网络配置时经验方面综合测试的题,同时也是网管员中问得最多的一个问题。要全面考虑网络本身、防火墙和域名解析等。
答案:

出现客户端加入域时说找不到域控制器的错误现象,原因可能有以下几个方面:

客户端与域控制器之间的网络不通。可以通过在客户端ping域控制器来检测。如果成功,则表示它们之间的网络是通的。

域控制器端的防火墙没有允许文件和打印机共享服务,使得客户端与域控制器之间无法进行正常的网络通信。

客户端的DNS服务器IP地址没有指向域控制器集成的DNS服务器IP地址,也就是域控制器IP地址。

在加入域时输入了域的全称,而在客户端加入时应输入的是域名的NetBIOS名称。如域名为grfw.net,则只需要输入grfw即可。因为客户端在没有加入之前,是不能利用DNS服务器进行DNS域名解析的,只能借助NetBIOS或者WINS服务进行NetBIOS名称解析。

面试题33:某用户在建好域控制器后发现客户端无法加入域。经检查,为原来与活动目录集成的DNS服务不能正常工作所致,解决的方法是( )。

A. 在域控制器上执行ipconfig/flushdns 命令
B.
在域控制器上执行ipconfig/registerdns 命令
C.
在域控制器上停用netlogon 服务后再重启用该服务
D.
在客户机上停用netlogon 服务后再重启用该服务

解析:

这是一道与DNS服务器管理的经验题。DNS服务工作不正常可以通过两种途经来尝试修改,一种是通过执行ipconfig /registerdns 命令来为DNS服务重新注册,另一种是通过重新启动net logon 服务来实现。因为在默认情况下,netlogon服务为域控制器上主控的应用程序目录分区注册域控制器定位程序(LocatorDNS资源记录,它还为域控制器上主控的域分区注册域控制器定位程序(LocatorDNS资源记录,这两种注册方式是相同的。

答案:B D

面试题34:下面是域计算机成功加入到域的必要条件的是( )。

A. 计算机必须正确配置了指向域DNS服务器的首选DNS服务器的IP地址
B. _ldap._tcp.dc._msdcs.DNSDomainName
服务(SRV)资源记录必须存在于DNS
C.
_ldap._tcp.dc._msdcs.DNSDomainNameSRV资源记录的数据字段中指定的域控制器的DNS名称所对应的地址(A)资源记录必须存在于DNS
D.
DNS服务器必须位于域控制器上

答案:A B C

面试题35DNS服务器不呼应客户端的原因可能是( )。

A. DNS服务器的网络连接有问题
B. DNS
服务器已被配置为限制对其已配置的IP地址的特定列表提供服务
C. DNS
服务器被配置成禁止使用其自动创建的默认反向查找区域
D.
DNS 服务器配置为使用非默认的服务端口

解析:

我们一一来分析。A选项是可能的原因之一,DNS服务器的网络连接不通,当然不能响应DNS客户端的请求了。

B选项也是可能的原因之一,如果在DNS服务器配置中限制了对某些IP地址提供服务时,这些DNS客户端的请求DNS服务器就不会响应了。

C选项也是可能的原因之一,如果默认的反向查找区域被禁止后,则该区域中的一些以IP地址方式向DNS服务器发出的请求就会得到DNS服务器的响应了。反向查找是指根据客户端的IP地址来解析其域计算机名的功能。

D选项也是可能的原因之一。默认情况下,nslookup命令使用户数据报协议(UDP53号端口向目标DNS服务器发送查询。如果改变了,而客户端的DNS请求仍是通过这个默认端口进行的,这样就会导致请求发送到DNS服务器失败。

答案:A B C D

面试题36:如果在安装Windows 2000 Server域时选择了跳过DNS服务器的安装,则下述说法正确的是( )。

A. 安装过程将继续进行直到完成,但客户端暂时无法加入该域
B.
安装过程将继续进行直到完成,客户端也能加入该域
C.
安装过程将被迫中断,直到设置好可用的DNS服务器后才会继续
D.
以上答案都不正确

解析:

这对于有过Windows 2000 Server域控制器安装经验的人来说,就比较容易得出正确答案了。

在安装过程中如果取消了同时安装DNS服务器,域控制器还是可以继续向前安装的,但在域网络中安装、配置其他DNS服务器之前,客户端是不能加入域中的。

答案:A

面试题37:主机的IP地址和主机域名之间的关系是( )。

A. 两者完全是一回事 B. 一一对应
C.
一个IP地址对多个域名 D. 一个域名对多个IP地址
E.
以上答案都不对

解析:

这道题可以用排除法来得出正确答案。

A选项肯定是错误的,IP地址与域名并不完全是一回事。

B选项也是错误的,因为事实上现在同样一个域名,可以有几条不同的接入线路,也就对应了多个IP地址。在Web配置中也是经常遇到的。

C选项看起来是正确的,因为一个IP地址可以通过多个不同端口来绑定不同的域名,这在配置Web服务器时经常用到。但也不一定,也就是前面说的,一个域名可以对应多个IP地址。

D选项与C选项类似,但也不是绝对的,就像C选项那样,一个IP地址可以对应着多个不同的域名。

答案:E

面试题38:域名服务器上存放着Internet主机的( )。

A. 域名 B. 域名和IP地址

C. IP
地址 D. 域名和IP地址的对照表

解析:

这道题很好理解,可以很快得出正确答案——D

因为在访问网站时,直接输入IP地址或直接输入域名,都可以打开。所以就需要服务器上有着域名与IP地址的对照表,当用户输入的是IP地址时,可以马上解析出对应网站的域名,如果输入的是域名则无须转换,直接打开相应的网站。

要注意的是题中的B选项,仅有域名与IP地址,没有一个对照关系,就不能相互转换了。

答案:D

12.2.6 DHCP服务器管理

面试题39DHCP服务器的主要作用是( )。

A. 动态IP地址分配 B. 域名解析 
C. IP
地址解析  D. 分配MAC地址

解析:

这道非常简单,基本上可以正确答出,那就是A

首先了解DHCP的全称是“Dynamic Host Configuration Protocol”,中文名为动态主机配置协议,它的主要作用就是为动态分配IP地址的客户端提供动态的IP地址分配。但这里要注意的是,客户端在在线状态下,所分配到的IP地址并不是总保持不变的,它有一个租约期,达到租约期后,需要重新租约,新租约的IP地址可能与原地址不一样。

至于其他几个答案可以一一分析:B选项中的域名解析DNSDomain Name System,域名系统)服务的功能,C选项中的“IP地址解析功能是ARPAddress Resolution Protocol,地址解析协议),或者说是DNS服务的功能,因为这里并没有说明是从什么解析出IP地址,DNS可以从域名解析出IP地址,ARP可以从MAC地址解析出IP地址。D选项中的分配MAC地址并不是由哪个服务完成的,而是由网络设备自带的,每个设备厂商已分配的MAC地址代码是不一样的。而每个网络设备的MAC地址又是全球唯一的。它们都不是DHCP服务的功能。

答案:A

面试题40APIPA IP地址段为( )。

A. 192.168.0.1192.168.255.254 B. 169.254.0.1169.255.255.254
C. 169.254.0.1
169.254.255.254 D. 192.168.1.1192.168.255.254

解析:

这道题考的是对APIPA概念的理解。APIPA的英文全称为“Automatic Private IP Addressing”,中文名为自动驾驶仪专用IP寻址APIPA将分配169.254.0.1169.254.255.254IP地址和子网掩码255.255.0.0。但APIPA不指派默认网关、域名系统(DNS)服务器或Windows Internet名称服务(WINS)服务器。

APIPA的工作原理是在客户端与网络连接,但在既没有分配静态IP地址,又无DHCP服务器的情况下,使客户端不停地向网络上发出“ping”信号以确定为该客户端所分配的169.254.0.1169.254.255.254段中的IP地址是否正在被其他客户端使用。如果有别的计算机正在使用该地址,将重新选择一个新的地址,然后重新测试,直到配置一个可用的IP地址为止。DHCP客户端会在配置IP地址后,每隔5分钟检查一次DHCP服务器,看是否能够获得IP地址。所以网络中即使没有DHCP服务器,客户机也永远不会报告没有设置IP地址的错误。

答案:C

面试题41:在无盘工作站中,客户端是通过( )来自动获得IP地址的。

A. DHCP B. BOOTP C. BOOTUP D. MADCAP

解析:

这里考的是应试者对IP地址自动分配技术的全面了解。除了DHCP服务可以为客户端提供动态IP地址分配外,BOOTBootstrap Protocol)也可以实现,但两者应用的网络环境和特性并不完全一样。

BOOTP是一种基于UDP/IP的协议,是先于DHCP开发的主机配置协议,主要用于无盘工作站网络中。BOOTP主要是由一些支持远程启动的网卡和路由器提供,因为客户端此时一般是没有安装操作系统的,无法配置DHCP服务。

BOOTP使用两个不同的知名通信端口UDP67/68UDP67用于服务器,UDP68用于BOOTP客户端。客户端启动时,本身还没有IP地址,这时BOOTP客户端就以广播的形式发出一个名为BOOTREQUESTIP地址查询请求包,这个请求包中包含了客户端物理地址,还可能有一个IP地址。客户端使用地址255.255.255.255发送广播,这种特殊地址称为有限广播。然后客户端等待服务器的响应,如果在特定时间段内没有收到响应,客户端就重新发出请求。

至于两者之间的区别,读者可以参见笔者编著的《网管员必读——网络组建》(第2版)。

答案:B

面试题42:下面有关DHCP服务描述不正确的是( )。

A. DHCP只能为客户端提供不固定的IP地址分配
B. DHCP
是不进行身份验证的协议
C.
可以通过向DHCP服务器发送大量请求来实现对DNS服务器的攻击
D.
未经授权的非Microsoft DHCP服务器可以向DHCP客户端租用IP地址

解析:

这道题考的是对DHCP服务功能和配置的全面掌握。下面对各选项一一分析。

A选项中的“DHCP只能为客户端提供不固定的IP地址分配这句话最容易让人产生误解,因为DHCP服务的主要功能是为客户端提供动态IP地址。
但是在DHCP服务器上还是可以为特殊节点计算机提供固定保留地址的,如一些网络或应用服务器。所以这种说法是不正确的,正好满足本题要求。

B选项中的“DHCP是不进行身份验证的协议是正确的,因为在DHCP服务器的作用域中,当用户连接到网络时,该用户无须提供凭据即可获得租约。无论哪个客户端都可以向DHCP服务器申请IP地址租约,而且无须进行身份验证。

C选项中的可以通过向DHCP服务器发送大量请求来实现对DNS服务器的攻击的说法也是正确的,这也是DHCP服务器的一个安全漏洞。当把DHCP服务器配置成充当DHCP客户端的DNS代理服务器,并执行DNS动态更新时,恶意用户可能会通过向DHCP服务器发送大量租约请求的方法,对DHCP服务器和DNS服务器执行拒绝服务攻击。

D选项中的未经授权的非Microsoft DHCP服务器可以向DHCP客户端租用IP地址的说法也是正确的。只要DHCP服务器的作用域包括申请租约的客户端就可以了,这是DHCP服务器的一个安全漏洞。

答案:A

面试题43:有关DHCP客户端的描述不正确的是( )。

A. DHCP客户端可以自行释放已获得的IP地址
B. DHCP
客户端获得的IP地址可以被DHCP服务器收回
C. DHCP
客户端在未获得IP地址前只能发送广播信息
D. DHCP
客户端在每次启动时所获得的IP地址都将不一样

解析:

如果应试者对DHCP客户端没有全面理解的话,很难正确答出这道题。下面是对以上四个选项的分析。

A选项中的“DHCP客户端可以自行释放已获得的IP地址是正确的,只需要客户端用户在命令提示符下输入ipconfig /release命令,即可使DHCP客户端向DCP服务器发送DHCPRelease包,释放其原来的IP租约。

B选项中的“DHCP客户端获得的IP地址可以被DHCP服务器收回的说法肯定也是正确的,因为当客户端的租约期到后,DHCP服务器便收回客户端原来租约的IP地址。

C选项中的“DHCP客户端在未获得IP地址前只能发送广播信息的说法也是正确的。因为DHCP客户端在未正式IP地址租约时,为未绑定状态,只能以广播方式发送消息。

D选项中的“DHCP客户端在每次启动时所获得的IP地址都将不一样这个说法看似也是正确的,其实是存在不定因素的,所以是不正确的。因为两次不同的租约可能获得的IP地址仍可能是一样的。例如两次重启时,DEHCP服务器中的IP地址池中,可用的IP地址都仅有一个相同的IP地址,当然不是这种情况也有可能获得相同的IP地址。

答案:D

面试题44:下面有关超级作用域的描述不正确的是( )。

A. 超级作用域可以作用于多个网络或子网
B.
超级作用域中可以包括多个作用域
C.
超级作用域支持DHCP中继功能
D.
超级作用域可以管理其中的所有作用域

解析:

这是一道考应试者对DHCP服务器中的超级作用域理解的题。

超级作用域是运行Windows Server 2003DHCP服务器的一种管理功能。使用超级作用域,可以将多个作用域组合为单个管理实体。使用此功能,DHCP服务器可以:

在使用多个逻辑IP网络的单个物理网段(如单个以太网的局域网段192.168.0.1192.1680.254)上支持DHCP客户端。在每个物理子网或网络上使用多个逻辑IP网络时,这种配置通常被称为多网

支持位于DHCPBOOTP中继代理远端的远程DHCP客户端(而在中继代理远端上的网络使用多网配置)。

在多网配置中,可以使用DHCP超级作用域来组合,并激活网络上使用的IP地址的单独作用域范围。DHCP服务器通过这种方式可为单个物理网络上的客户端激活并提供来自多个作用域的租约。但超级作用域只能管理本DHCP服务器上所创建的作用域。

通过以上的分析可以看出,本题中的D选项是不正确的,因为超级作用域只能管理本DHCP服务器上所创建的作用域,不能管理在其他DHCP服务器上所创建的作用域。

答案:D

面试题45:下面关于DHCPMADCAP关系不正确的是( )。

A. DHCP服务可同时支持DHCPMADCAP协议
B. MADCAP
客户端不能为DHCP客户端
C. DHCP
客户端可能是,也可能不是MADCAP客户端
D. DHCP
服务器服务可用于部署MADCAP服务器

解析:

MADCAP描述了多播地址分配(或MADCAP)服务器如何动态地将IP地址提供给网络上的其他计算机(MADCAP客户端)。要支持多播作用域,则应该使用多播地址动态客户端分配协议(MADCAP)。Windows Server 2003 DHCP服务可同时支持DHCPMADCAP。这些协议单独运行,而且不相互依存。DHCP客户端可能是,也可能不是MADCAP客户端,MADCAP客户端可能是,也可能不是DHCP客户端。

DHCP服务器服务可用于部署MADCAP服务器,而不论DHCP服务器如何在网络上使用。多播组的成员数量和使用是不受限制的,可以将其视作电子邮件地址组的成员数量和使用:组的成员数量可以是任意的,主机也可以是多个多播组的成员。根据用户在网络上的需要,可永久保留多播组地址,或暂时指派和使用这些地址。对于为在Internet上使用而保留的永久性组IP地址,必须通过Internet号码指派机构(IANA)注册。对于不通过IANA永久保留的多播IP地址,始终未保留的所有D类地址都可用于动态指派和构成临时多播组。只要网络上的一台或多台主机是通过这些临时组地址配置的并且动态地共享该地址的使用,那么这些临时组就可以存在。

根据以上分析,可以很快得出本题的正确答案为B。因为事实上,在Windows Server 2003系统中,MADCAP客户端可能是,也可能不是DHCP客户端。

答案:B

面试题46:有关DHCP日志的描述不正确的是( )。

A. DHCP日志可在DHCP控制台事件查看器中查看
B. DHCP
日志中审核日志文件的存放路径为%windir\System32\Dhcp
C.
审核日志行为仅适用于Windows 2000 DHCPWindows Server 2003 DHCP
D. Windows NT Server DHCP
日志文件名只能是Dhcpsrv.log

解析:

本题考的是DHCP服务日志管理,这也是在日常服务器管理中的一项基本工作。但是DHCP服务器的日志与其他的服务器(如DNS服务器)日志有比较大的区别。首先就是DHCP服务器日志是不能在事件查看器中查看的,而是需要在资源管理器中打开具体的DHCP日志文件来查看。DHCP审核日志位于%windir%\System32\Dhcp文件夹中。而且DHCP服务器审核日志仅适用于Windows 2000 DHCPWindows Server 2003 DHCP。早期的Windows NT Server系统DHCP日志文件名固定为Dhcpsrv.log

根据以上分析可以很容易得出,有关DHCP日志的描述不正确的是A,因为DHCP日志是不能在事件查看器中查看的,而只能在资源管理器%windir%\System32\Dhcp文件夹中打开相应日志文件进行查看的。

答案:A

面试题47Windows 2000/XP/Server 2003DHCP客户的租约到期仍未能更新,新的尝试若还未成功,IP、子网掩码则在几分钟后由0.0.0.00.0.0.0变为( )。

A. 169.254.0.0/16   B. 192.168.0.0/16
C. 169.254.0.0./24
  D. 219.235.0.0/16

解析:

这道其实也是考微软的APIPA(自动专用IP寻址)IP地址自动分配技术。APIPA技术可以使得客户端在没有设置静态IP地址,又不能从DHCP服务器中获得分配的IP地址的情况下,操作系统将自动给计算机分配一个B类的APIPA IP地址。地址范围是在169.254.0.1169.254.255.254之间,子网掩码为B类地址的子网掩码255.255.0.0

以上是IP地址+子网掩码的表示方式,而题中是以地址前缀方式表示的,这就要求应试者知道如何用地址前缀的方式表示IP地址了。现在我们知道APIPA地址是一个B类地址段,而B类地址的地址前缀为“/16″,表示网络ID占用16位,也就是两个8位组。

通过以上分析可以容易得出本题正确答案为A

答案:A

面试题48:在Windows Server 2003系统中,DHCP服务器提供给客户端的默认租约期是( )。

A. 7 B. 8 C. 9 D. 10

解析:

Windows Server 2003 DHCP服务器为客户机提供的IP地址默认租约期可以在创建作用域时的租约期配置窗口中设置,如图12-7所示,或者根据相应作用域属性对话框中的默认值得到,如图12-8所示。由此都可以得到默认的租约期为8天。Windows 2000系统的DHCP服务器提供给客户端的默认租约期也是8天。也就是本题中的B选项。

答案:B

12-7 “租约期限窗口

12-8 “作用域属性对话框

面试题49:下面关于作用域和超级作用域的说法正确的是( )。

A. 不可以在同一DHCP服务器下,创建两个网络ID相同的作用域
B.
一个DHCP服务器只能创建一个超级作用域
C.
超级作用域可以包括不同网络的多个作用域
D.
超级作用域可以管理其中的全部作用域

解析:

这是一道考DHCP作用域方面的知识的考题,需要应试者对作用域的创建规则有清楚的了解。

DHCP作用域中有这样的规定,那就是同一个DHCP服务器上不能有两个IP地址范围相同、包含,或部分包含的关系,甚至是相同的网络ID作用域。否则会出现如图12-9所示的错误提示。

12-9 创建与原来作用域的网络ID一样的作用域时的错误提示

使用超级作用域,可以将多个作用域组合为单个管理实体。一台DHCP服务器上可以创建多个超级作用域,并且可能是服务于不同网络的DHCP作用域。但每个超级作用域只能管理本DHCP服务器上所创建的作用域,不能管理在其他DHCP服务器上创建的作用域,只能管理位于超级作用域范围中的。

答案:A C

面试题50DHCP租约第一次自动更新的时间,是在租约期的( )进行的。

A. 50% B. 87.5% C. 30 % D. 50%或重启时

解析:

这道题考的是应试者对DHCP客户端IP地址租约更新原理的理解。

DHCP客户机IP地址租约更新原理是:当客户机重新启动或者租约时间达到50%租约期的时候就需要重新更新租约,客户机直接向提供租约的服务器发送DHCPRequest包,要求更新现有的IP地址租约。如果DHCP服务器接收到请求,则将发送DHCP确认信息给客户机,更新客户机租约。如果客户机无法与DHCP服务器联系,则在客户机一直等到租期达到87.5%时,如果客户机仍然无法联系到当初的DHCP服务器,就会联系其他服务器;如果仍无法联系到,将会停用其原来租约的IP地址。

本题问的是第一次租约自动更新时间,由以上原理可以推断,那就是在客户机第一次重新启动或者当租约时间达到了租约期的50%的时候。所以本题正确答案为D

答案:D

面试题51:配置DHCP中继代理时,必须手动配置的参数是( )。

A. 跃点计数器阀值   B. 启动阀值

C. DHCP
服务器IP   D. 是否转发

解析:

这道题对于配置了DHCP中继代理的应试者来说,是非常简单的。因为在DHCP中继配置时,只有一个配置DHCP服务器IP选项,如图12-10所示。所以本题正确答案就是C

答案:C

12-10 配置DHCP中继的DHCP服务器地址对话框

12.2.7 文件和磁盘系统管理

面试题52:在NTFS文件夹中,可以为用户配置( )种标准权限;在NTFS文件中可以为用户配置( )种标准权限。

A. 53 B. 56 C. 65 D. 35

解析:

这道题看似很容易,大家都配置过NTFS文件的用户访问权限,对照Windows对话框可以很容易地得到正确答案,但是脱离计算机,却很少能够正确答出。

我们还是从具体的配置对话框进行介绍吧。如图12-11所示是NTFS文件夹的用户访问权限配置对话框,从中可以看出,除了最下面的特别的权限选项外,还有6种权限。它们分别是:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。而NTFS文件可以配置的用户访问权限参见如图12-12所示的对话框。从中也可以很容易地得到共有5种权限。它们分别是:完全控制、修改、读取和运行、读取、写入。对比NTFS文件夹和文件的标准权限,可以看出,NTFS文件夹仅多了一列出文件夹目录权限,因为文件中没有目录,所以也就没有这个权限。

答案:C

12-11 NTFS文件夹标准权限

12-12 NTFS文件标准权限

相关链接:

下面把题中所涉及到的NTFS文件或文件夹的标准访问权限进行简单介绍,以便区分。

1)完全控制:这是NTFS文件和文件夹都拥有的一个标准权限。当一个用户对某个NTFS文件或文件夹拥有完全控制权限时,该用户就对该文件或文件夹拥有了所有的管理权利,比如,修改文件或文件夹权限、共享文件夹,以及获得文件或文件夹的所有权。

2)修改:当一个用户对某个NTFS文件或文件夹拥有修改的权限时,该用户就可以查看该文件内容、属性和权限,并且可以修改文件或文件夹属性,文件内容,甚至删除文件。

3)读取和运行:这也是NTFS文件和文件夹都拥有的一个标准权限,包含读和列出文件夹内容的所有操作。当一个用户对某个NTFS文件或文件夹拥有读取和运行权限时,该用户就可以查看该文件夹及其文件夹内子文件夹和文件的内容、属性和权限,还可以运行文件下的应用程序。

4)读取:这也是NTFS文件和文件夹都拥有的一个标准权限。当一个用户对某个NTFS文件或文件夹拥有读的权限时,该用户就可以查看该文件内容、属性和权限,但不能修改、删除文件。

5)写入:这也是NTFS文件和文件夹都拥有的一个标准权限。当一个用户对某个NTFS文件或文件夹拥有写入的权限时,该用户就可以查看该文件内容、属性和权限,并且可以修改文件或文件夹属性;在NTFS文件夹下能够创建子文件和子文件夹,但不能修改文件内容、删除文件。

6)列出文件夹目录:这是NTFS文件夹特有的一个标准权限,NTFS文件没有该权限。当一个用户对某个NTFS文件夹拥有列出文件夹内容的权限时,该用户就可以查看该文件夹及其文件夹内子文件夹和文件的内容、属性和权限,但不能修改、删除文件。

面试题53:在可ping通的情况下,( )因素错误不会导致共享访问失败。

A. 目标主机上的文件和打印共享服务
B.
本机上的文件和打印共享服务
C.
目标主机上Server服务,本机上的Workstation服务
D.
目标主机上的使用空白密码的本地账户只允许进行控制台登录策略配置

解析:

这是一道与共享访问有关的试题。看似简单,但其实是最复杂的,因为共享访问能否成功关系着许多因素,而且还不仅本题中所给的这些可能的因素。本题其实就是要排除那些发生错误时,必定会导致共享访问不成功的因素。下面我们一一对这些选项进行分析。

要实现共享访问,首先是要开启文件与打印共享服务。AB选项都是与文件与打印共享服务有关的。只是A选项中是说目标主机上的,而B选项中说的是本机上的。到底需要在哪一方开启呢?我们可以这样来分析:访问网络中其他主机上的共享资源,享受的是其他主机上的共享服务,把提供共享资源的主机当做服务器,本机当成客户端。所以共享访问需要的是目标主机上的文件和打印共享服务,而不是本机上的。当然在本机上开启文件和打印共享服务后又可以为其他主机提供资源共享服务。所以B是本题答案之一,它对于本机访问其他机并不是必需的。

除了需要在目标主机上开启共享服务外,还需要在双方开启相应的服务。上面我们分析到了,本机访问目标主机,其实就是本机把目标主机当做服务器,而本机作为客户机,这样就需要在目标主机上开启Server(服务器)服务,而在本机上开启Workstation(工作站)服务。这就是题中的C选项,由此看来,C选项也是共享访问所必需的,不符合本题的要求。

D选项指的是一种特殊情况。如果本机所用登录账户是空密码,而目标主机上又配置了使用空白密码的本地账户只允许进行控制台登录策略,则本机也不能访问目标主机。由此可以看出,它也不符合题中的要求。

答案:B

面试题54NTFS文件系统中要求用户可以创建新文件、修改文件内容,但不可以删除文件,则应采用的NTFS权限是( )。

A. 完全控制 B. 修改 C. 改变 D.

解析:

本题根据前面的面试题52可以很快得出正确答案——D。只需要赋予相应用户对该文件夹具有写权限即可。写就相当于可以实现创建新文件,修改文件内容,但是不能删除文件的权限组合。

答案:本题正确答案为:D

面试题55:有一个NTFS格式文件夹Folder1,它下面有一文件File1。现对它们设置如下权限:将File1文件的NTFS权限设置为Everyone组具有只读权限,将文件夹Folder1的共享权限设置为Everyone组具有完全控制权限。则用户最终通过网络访问此文件时的权限是( )。

A. 无访问权限 B. 只读 C. 修改 D. 完全控制

解析:

因为NTFS格式文件夹Folder1的共享权限是Everyone组具有完全控制权限,但没有说明其NTFS安全权限,所以所有用户都具有对该文件夹的完全控制功能。但其下的File1文件是配置了NTFS安全访问权限的,而且是Everyone组具有只读权限。所以最终所有用户访问Folder1的权限就是只读。

答案:B

面试题56:将系统D盘的文件系统由FAT32无损转换为NTFS的命令是( )。

A. format D:/fs:ntfs B. convert D:/fs:ntfs
C. A
B D. dcpromo D:/fs:ntfs

解析:

这道题比较简单,因为只需要知道所用的命令为convert就可以确定唯一的正确答案了。如果把这道题改成其中包括几种命令虽然相同,但后面的选项或顺序不同的几个选项,难度就大了许多。

要注意的是,FAT32格式在命令中是写fs,要把FAT32格式转换成NtfS格式,则被转换的文件格式写在前面,目标文件格式写在后面,在转换命令后紧跟要转换的盘符。

答案:B

面试题57:与FAT32文件系统相比,下述不是NTFS文件系统的优点的是( )。

A. 可以为文件(夹)设置访问权限
B.
可以给文件(夹)提供加密和压缩等功能选项
C.
更节省磁盘空间
D.
不仅支持Windows 9x,还支持Windows 2000/2003/XP

解析:

对于这道题答案可能很容易得出,但要真正讲明原因却不一定能行。

A选项是NTFS文件系统的优点,FATFAT32格式都不能设置用户访问权限的。

B选项也是NTFS文件系统的优点,FATFAT32格式不具有加密和压缩功能。

C选项也是NTFS文件系统的优点,一方面是它支持磁盘压缩,另一方面是NTFS采用了更小的簇,可以更有效率地管理磁盘空间(FAT32的最小簇大小为4KB,分区大小在816GB时,簇的大小为8KB;分区大小在1632GB时,簇的大小则达到了16KB。而NTFS的簇大小基本上都是为4KB)。

D选项是错误的,因为Windows 9x系统根本就不支持NTFS文件系统,只支持FAT\FAT32文件系统。
答案:D
面试题58:将一个已经设置好NTFS权限和共享权限的共享文件夹由NTFS分区移动至FAT32分区,其权限的变化是( )。
A.
文件夹的NTFS权限和共享权限设置将全部失效
B.
文件夹的NTFS权限失效,但共享权限保持不变
C.
文件夹的NTFS权限不变,但共享权限将失效
D.
文件夹的NTFS权限和共享权限设置将全部不变

答案:A

面试题59:某共享文件夹的NTFS权限和共享权限设置的并不一致,则对于登录该文件夹所在主机的本地用户而言,下列( )有效。

A. 文件夹的NTFS权限
B.
文件夹的共享权限
C.
文件夹的共享权限和NTFS权限两者的累加权限
D.
文件夹的共享权限和NTFS权限两者中最严格的那个权限

解析:

这里要理解共享权限和NTFS安全权限的适用范围。共享权限只有在通过网络访问时才会发挥作用,而NTFS安全权限则既可以通过网络访问发挥作用,也可以在本地访问中发挥作用。根据这个适用范围,很容易得出正确答案为A,也就是仅NTFS权限有效。

答案:A

面试题60:将某共享文件夹的完全控制权限分配给一个域用户,一种方法是直接将用户名添加入文件夹的访问列表;另一种方法是将用户名加入具有对此文件夹有完全控制权的本地组中,两者比较,正确理解的是( )。

A. 第一种方法可以直接生效,第二种方法需用户重新登录后方可生效
B.
第一种方法需用户重新登录后方可生效,第二种方法可以直接生效
C.
两种方法都可以直接生效
D.
两种方法都需要用户重新登录后方可生效

解析:

因为许多网管员没有这方面的经验,所以也经常问与此有关的问题。比如,我已把某某用户设置了某某文件具有完全控制功能,可还是打不开其中的文件。

其实很容易理解,直接在文件夹的访问列表中添加用户权限当然是马上生效,否则每一个权限都是重新配置的话就相当麻烦了。但是如果是通过隶属组的方式来继续权限的话,则就需要重新启动计算机了,因为隶属组改变后,需要改变的对应设置非常多,还可能关系到多种服务。

答案:A

面试题61:共享权限是本地级、文件级的吗?并简要说明理由。

解析:

这是一道概念方面的试题,对于理解了文件共享这个概念的应试者来说是非常简单的。

答案:

我们所说的文件共享是基于网络层面的,而不是在本地的。另外,文件共享只能设置文件夹,而不是单独设置某个文件共享。

与共享权限相关的还有一个NTFS文件格式的用户访问权限。它与共享权限不同的是,它设置的权限同时适用于用户的网络访问和本地访问。而且它不仅可以对NTFS文件夹进行访问权限设置,还可对NTFS文件设置访问权限。但当对NTFS文件夹同时设置了共享权限和访问权限时,最终的共享权限要同时取决于共享权限和访问权限,为它们的权限交集。如,文件夹Folder A为用户USER1设置的共享权限为只读,同时文件夹Folder A为用户USER1设置的访问权限为完全控制,那么用户USER1的最终网络共享权限为只读。如果两种权限没有交集,则对应用户对该NTFS文件不具有任何共享权限。但不影响用户在本地访问该文件夹的权限。

面试题62:磁盘配额的配置只能针对用户账户,而不能针对组账户,是否正确并简要说明理由。

解析:

这道题虽然容易,但如果平时在配置磁盘配额时并没有留意,对这种说法就会很难判断。这道题的说法是正确的。

答案:

只有NTFS格式的磁盘才可以配置磁盘配额,而且只能针对用户账户来配置磁盘配额,而不能针对组账户。这一点完全可以从添加配额项所打开的对话框中只有一个用户类型选项可选,而没有其他选项来得出,如图12-13所示。

12-13 “对象类型对话框

12.2.8 组策略管理

面试题63:在Windows 2000Windows XP/Server 2003系统中,手动更新组策略的命令分别是( )。

A. gpupdateregedit B. seceditregedit
C. secedit
gpupdate D. regeditgpupdate

解析:

这道题也很简单,但要求应试者对Windows 2000Windows XP/Server 2003系统的管理有一个比较全面的了解。有些应试者因为没有用过Windows 2000系统,或者没有在Windows XP/Server 2003系统中使用过命令方式更新组策略,所以也不能正确答出。

Windows 2000Windows XP/Server 2003系统中,所使用的组策略更新命令是不一样的,前者使用的是secedit命令,后者所使用的命令是gpupdate

答案:C

面试题64:在Windows Server 2003系统中,默认情况下,用户的口令设置默认必须符合复杂性要求,且不可更改此账号策略,是否正确。并简要说明理由。

解析:

这道题考的是应试者对在组策略中账户策略设置的掌握程度。它包括两个方面的考查,一是在Windows Server 2003系统中,默认情况下是否必须符合复杂性要求,二是这个策略是否可以更改。

答案:

这种说法是不正确的。

首先,在Windows Server 2003系统中,默认情况下,对用户账户口令是有复杂性要求的。这一点可以从我们在安装Windows Server 2003系统中配置管理员密码,以及在新安装的系统中创建新的用户账户中总是提示不满足复杂性要求的错误提示中看出。

至于这个策略能否被更改,就要看组策略中的相应策略项设置是否可以修改了,这与相应服务器的角色和所打开的组策略对象有关。如果服务器系统已配置了域控制器,则在域控制器的本地组策略(通过运行gpedit.msc命令打开)中,这个账户密码策略(包括密码必须符合复杂性要求这个策略项)是不能再更改,而且是默认启用,如图12-14所示(此时的这些策略项图标都呈灰色,表示不可重新设置)。但是并不代表就不能修改,只是此时服务器角色发生了改变,已成为域控制器,需要在域控制器组策略中进行设置,如图12-15所示(此时的这些策略项图标都呈蓝色,表示可重新设置)。此时,账户密码策略(包括密码必须符合复杂性要求这个策略项)设置是可以修改的。

(点击查看大图)图12-14 域控制器默认组策略中的密码策略

(点击查看大图)图12-15 域控制器本地组策略中的密码策略

如果服务器系统只是成员服务器,则通过gpedit.msc打开的本地组策略中的密码策略也是可以修改的,如图12-14所示。

综上所述,密码复杂性策略是否可以修改要看服务器当前的角色和所打开的组策略对象。总体来说,这个策略项还是可以修改的,无论是域控制器,还是成员服务器。

还没有评论!
54.162.166.214