Vous êtes sur la page 1sur 50

Réponses

Chapitre 1 : Réponses aux questions de révision

Leçon 1

1. Bonnes réponses : A et B

A. Vrai : Un contrôleur de domaine crée ou joint un domaine Active Directory, qui doit avoir un nom DNS valide.

B. Vrai : Un domaine doit avoir un nom NetBIOS pour prendre en charge d’anciennes applications utilisant des noms NetBIOS.

C. Faux : Un serveur DHCP n’est pas nécessaire. En fait, un contrôleur de domaine doit avoir des adresses IP statiques.

D. Faux : Bien qu’un serveur DNS soit nécessaire pour la fonctionnalité d’un domaine, en son absence, l’Assistant Installation des services de domaine Active Directory installe et configure le service DNS sur le contrôleur de domaine.

2. Bonne réponse : D

A. Faux : Au niveau fonctionnel de forêt Windows Server 2008, tous les domaines doivent fonctionner au niveau fonctionnel de domaine Windows Server 2008. Comme il se peut que le domaine Litware contienne des contrôleurs de domaine Windows Server 2003, il doit rester au niveau fonctionnel de domaine Windows Server 2003. En conséquence, la forêt doit également rester au niveau fonctionnel de forêt Windows Server 2003.

B. Faux : Au niveau fonctionnel de forêt Windows Server 2008, tous les domaines doivent fonctionner au niveau fonctionnel de domaine Windows Server 2008. Comme il se peut que le domaine Litware contienne des contrôleurs de domaine Windows Server 2003, il doit rester au niveau fonctionnel de domaine Windows Server 2003. En conséquence, la forêt doit également rester au niveau fonctionnel de forêt Windows Server 2003.

C. Faux : Un domaine fonctionnant au niveau fonctionnel de domaine Windows Server 2008 ne peut pas contenir de contrôleurs de domaine Windows Server 2003.

D. Vrai : Le domaine Litware pouvant contenir des contrôleurs de domaine Windows Server 2003, il doit en s’exécuter au niveau fonctionnel de domaine Windows Server 2003. Vous ne pouvez pas augmenter le niveau fonctionnel de forêt tant que tous les domaines ne s’exécutent pas au niveau fonctionnel de domaine Windows Server 2008.

2

Réponses

Leçon 2

1. Bonne réponse : A

A. Vrai : Un mot de passe est nécessaire afin de pouvoir l’assigner au compte Administrateur local sur le serveur après la suppression d’AD DS.

B. Faux : SERVER02 est actuellement un contrôleur de domaine et vous y êtes connecté en tant qu’Administrateur. En conséquence, vous possédez déjà les informations d’identification nécessaires pour l’opération de rétrogradation.

C. Faux : SERVER02 est actuellement un contrôleur de domaine et vous y êtes connecté en tant qu’Administrateur. En conséquence, vous possédez déjà les informations d’identification nécessaires pour l’opération de rétrogradation. Le groupe Domain Controllers contient des comptes d’ordinateurs pour les contrôleurs de domaine.

2. Bonne réponse : D

A. Faux : AD CS n’est pas pris en charge sur Server Core.

B. Faux : AD FS n’est pas pris en charge sur Server Core.

C. Faux : AD RMS n’est pas pris en charge sur Server Core.

D. Vrai : Comme AD CS n’est pas pris en charge sur Server Core, vous devez

réinstaller le serveur avec une installation complète de Windows Server

2008.

Chapitre 1 : Réponses aux cas pratiques

Scénario : Créer une forêt Active Directory

1. Oui. Server Core prend en charge les services de domaine Active Directory. Vous n’avez pas besoin d’une installation complète de Windows Server 2008 pour créer un contrôleur de domaine.

2. Utilisez la commande Netsh pour configurer des adresses IP.

3. Utilisez Ocsetup.exe pour ajouter des rôles de serveur. Sinon, la commande Dcpromo.exe /unattend s’accompagne de paramètres susceptibles d’installer le service DNS.

4. Utilisez Dcpromo.exe pour ajouter et configurer AD DS.

Chapitre 2 : Réponses

Leçon 1

1. Bonne réponse : C

A. Faux : Le composant logiciel enfichable Active Directory du Gestionnaire de serveur, une fois démarré, s’exécute avec les mêmes informations

Réponses

3

d’identification que la console personnalisée. Une erreur de type Accès refusé continuera à se produire.

B. Faux : Bien que dsa.msc soit un raccourci pour ouvrir la console Utilisateurs et ordinateurs Active Directory, il s’exécutera avec les mêmes informations d’identification que la console personnalisée. Une erreur de type Accès refusé continuera à se produire.

C. Vrai : Une erreur de type Accès refusé indique que vos informations d’identification ne sont pas suffisantes pour accomplir l’action demandée. La question indique que vous êtes certain d’avoir cette permission. La réponse introduit l’hypothèse que vous possédez un deuxième compte. Même si ce compte n’est pas celui d’un administrateur, il s’agit d’un compte d’administration. C’est la meilleure façon de répondre à cette question.

D. Faux : Il est possible d’utiliser DSMOD USER avec le commutateur –p pour redéfinir un mot de passe utilisateur ; toutefois, la question porte sur l’erreur Accès refusé. Rien n’indique que l’invite de commandes a été lancée avec d’autres informations d’identification ; en conséquence, vous continuerez à recevoir des erreurs de type Accès refusé.

Leçon 2

1. Bonne réponse : D

A. Faux : Une tâche Active Directory, qu’elle soit accomplie à l’aide de la ligne de commandes, de scripts ou d’outils d’administration de serveur à distance, peuvent être réalisées par n’importe quel utilisateur qui en a reçu l’autorisation.

B. Faux : Les Admins du domaine sont des membres du groupe Administrateurs dans le domaine. En conséquence, toutes les autorisations assignées aux Administrateurs vous seront également attribuées en tant que membre du groupe Admins du domaine.

C. Faux : La possibilité de supprimer une OU ou tout autre objet dans Active Directory est liée aux autorisations et non à l'appartenance.

D. Vrai : Les nouvelles unités d’organisation sont créées avec une protection contre les suppressions. Vous devez enlever la protection avant de supprimer l’OU. Pour ce faire, dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, avec les Fonctionnalités avancées sélectionnées, cliquez sur l’onglet Objet dans la boîte de dialogue des propriétés de l’OU.

Leçon 3

1. Bonnes réponses : A, B et D

A. Vrai : Dans une OU, l’assignation d’une tâche d’administration requiert la modification de la DACL. La boîte de dialogue Paramètres de sécurité

4

Réponses

avancés offre l’accès le plus direct aux autorisations de la DACL. L’Assistant Délégation de contrôle masque la complexité des ACE d’objet en vous guidant dans l’attribution d’autorisations à des groupes. Il est possible d’utiliser DSACLS pour gérer des autorisations Active Directory depuis l’invite de commandes.

B. Vrai : Dans une OU, l’assignation d’une tâche d’administration requiert la modification de la DACL. La boîte de dialogue Paramètres de sécurité avancés offre l’accès le plus direct aux autorisations de la DACL. L’Assistant Délégation de contrôle masque la complexité des ACE d’objet en vous guidant dans l’attribution d’autorisations à des groupes. Il est possible d’utiliser DSACLS pour gérer des autorisations Active Directory depuis l’invite de commandes.

C. Vrai : Dans une OU, l’assignation d’une tâche d’administration requiert la modification de la DACL. La boîte de dialogue Paramètres de sécurité avancés offre l’accès le plus direct aux autorisations de la DACL. L’Assistant Délégation de contrôle masque la complexité des ACE d’objet en vous guidant dans l’attribution d’autorisations à des groupes. Il est possible d’utiliser DSACLS pour gérer des autorisations Active Directory depuis l’invite de commandes.

D. Faux : DSUTIL sert à gérer les propriétés du domaine et du service d’annuaire mais pas les autorisations d’objet.

E. Vrai : Dans une OU, l’assignation d’une tâche d’administration requiert la modification de la DACL. La boîte de dialogue Paramètres de sécurité avancés offre l’accès le plus direct aux autorisations de la DACL. L’Assistant Délégation de contrôle masque la complexité des ACE d’objet en vous guidant dans l’attribution d’autorisations à des groupes. Il est possible d’utiliser DSACLS pour gérer des autorisations Active Directory depuis l’invite de commandes.

Chapitre 2 : Réponses aux cas pratiques

Scénario : Unités d’organisation et délégation

1. La meilleure conception pour les objets ordinateur de Contoso serait une seule OU parente contenant des OU enfants pour chaque site. Le contrôle des objets ordinateur de cette OU doit avoir été délégué à l’équipe chargée du support de chaque site. L’OU parent peut servir à déléguer des autorisations de sorte que l’équipe située au siège social puisse gérer des objets ordinateurs dans n’importe quel site.

Réponses

5

équipes d’assistance s’étoffent, et que les utilisateurs intègrent ou quittent l’organisation, la gestion des autorisations assignées aux comptes d’utilisateur devient très complexe. Une fois l’autorisation attribuée à un groupe, on peut simplement ajouter ou supprimer du groupe du personnel d’assistance.

3. Comme des utilisateurs peuvent demander de l’assistance de n’importe quel site à une personne basée dans un autre site, les utilisateurs doivent demeurer dans une seule OU. Inutile de diviser les utilisateurs en OU en fonction de sites basés sur la délégation ou la gérabilité. L’OU qui contient les utilisateurs doit être déléguée à un groupe contenant l’ensemble du personnel d’assistance. En fait, vous pouvez créer un groupe incluant les groupes des équipes de support de chaque site.

Chapitre 3 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : C.

A. Faux : Bien qu’un modèle de compte d’utilisateur permette de copier plusieurs dizaines d’attributs dans un nouveau compte d’utilisateur, vous devrez copier le modèle 2 000 fois pour achever cette tâche.

B. Faux : La commande LDIFDE importe des objets de fichiers LDIF, ce qui n’est pas le format géré nativement par Microsoft Office Excel.

C. Vrai : La commande CSVDE importe des objets de fichiers texte séparés par des virgules qu’Excel peut ouvrir, modifier et enregistrer.

D. Faux : La commande Dsadd permet de créer un utilisateur depuis la ligne de commandes mais vous devrez exécuter la commande 2 000 fois pour achever cette tâche.

2. Bonne réponse : A

A. Vrai : LDIFDE prend en charge l’ajout, la modification ou la suppression d’objets Active Directory.

B. Faux : Dsmod modifie les propriétés d’un objet existant.

C. Faux : La commande DEL efface un fichier.

D. Faux : CSVDE importe des utilisateurs mais ne les supprime pas.

Leçon 2

1. Bonne réponse : C

A. Faux : Il n’existe pas d’applet de commande native dans Windows PowerShell pour créer des utilisateurs,

B. Faux : ADSI ne propose pas de méthode NewUser.

6

Réponses

D. Faux : Il s’agit d’une syntaxe VBScript, aisément reconnaissable à l’utilisation de l’instruction Set.

2. Bonne réponse : D

A. Faux : Il n’existe pas d’applet de commande native dans Windows PowerShell pour créer des utilisateurs,

B. Faux : La méthode SetInfo enregistre un nouvel utilisateur et ses propriétés dans Active Directory mais elle doit être utilisée conjointement à des commandes qui créent l’objet et ses attributs. Elle ne peut pas être utilisée seule.

C. Faux : Un conteneur, tel qu’une OU ou un domaine, propose une méthode Create pour créer des objets d’une classe définie, mais tant que la méthode SetInfo n’a pas été utilisée, l’objet n’est pas enregistré dans Active Directory. En conséquence, Create ne suffit pas.

D. Vrai

La commande Dsadd peut créer un utilisateur avec une seule

:

commande.

3. Bonnes réponses : A, B et D

A. Vrai : Un objet est créé en invoquant la méthode Create d’un conteneur comme une OU.

B. Vrai : La méthode SetInfo enregistre un nouvel utilisateur et ses propriétés dans Active Directory. Si la méthode SetInfo n’est pas utilisée, le nouvel objet et les changements apportés à ses propriétés se traduisent uniquement dans votre représentation locale de l’objet.

C. Faux : Ce code n’est pas valide. Il ressemble au code utilisé dans VBScript, mais pas dans le cadre de la création d’objets utilisateur.

D. Vrai : Vous devez vous connecter au conteneur dans lequel l’utilisateur sera créé.

Leçon 3

1. Bonne réponse : C

A. Faux : Vous pouvez utiliser la touche Ctrl pour sélectionner plusieurs utilisateurs mais ils doivent se trouver dans la même OU. Les dix utilisateurs de ce scénario se trouvent dans des OU différentes.

B. Faux : Dsmod vous permet de modifier la propriété Bureau mais Dsget ne pourra pas localiser les objets. Dsget permet d’afficher des attributs et non de localiser des objets.

C. Vrai : Vous pouvez utiliser la commande Dsquery pour identifier des utilisateurs dont la propriété Bureau est définie à Miammi et transmettre les résultats à la commande Dsmod via un pipeline pour modifier la propriété Bureau.

Réponses

7

2. Bonnes réponses : B et C.

A. Faux : Move-Item est une applet de commande Windows PowerShell valide qui déplace des objets dans un espace de noms, mais Windows PowerShell n’expose pas encore Active Directory comme espace de noms.

B. Vrai : VBScript utilise la méthode MoveHere d’un conteneur pour déplacer un utilisateur dans le conteneur.

C. Vrai : Vous pouvez utiliser la commande Dsmove pour déplacer un objet dans Active Directory.

D. Faux : La commande Redirusr.exe est utilisée pour configurer Active Directory afin que les nouveaux objets utilisateur qui ont été créés sans spécifier d’OU se placent dans un autre conteneur que le conteneur Users par défaut.

E. Faux : L’outil de migration d’Active Directory sert à migrer des comptes entre des domaines.

3. Bonne réponse : A

A. Vrai : Les restrictions d’ordinateurs limitent les ordinateurs auxquels un utilisateur peut se connecter. Sous l’onglet Compte de son compte d’utilisateur, cliquez sur le bouton Se connecter à et ajoutez l’ordinateur en sélectionnant son nom dans la liste des stations de travail accessibles.

B. Faux : Lorsqu’un compte est créé, vous pouvez contrôler qui est autorisé à joindre l’ordinateur au domaine avec ce bouton, mais cela n’a rien à voir avec qui peut se connecter à l’ordinateur après qu’il est devenu un membre du domaine.

C. Faux : Dsmove est utilisé pour déplacer un objet dans Active Directory.

D. Faux : Bien que le droit de se connecter localement soit requis, le message d’erreur signalé n’est pas celui qu’elle aurait reçu si elle avait possédé ce droit.

Chapitre 3 : Réponses aux cas pratiques

Scénario : Importer des comptes d’utilisateurs

1. Vous devez utiliser un script VBScript ou Windows PowerShell. Ces deux langages de script sont tous deux capables d’utiliser une base de données, par exemple un fichier Excel enregistré sous forme de fichier de valeurs séparées par des virgules (.cvs), comme source de données pour créer des comptes d’utilisateur. Dans le script, vous pouvez implémenter la logique métier. Par exemple, il est possible de construire les attributs du nom d’ouverture de session et de l’adresse de messagerie en utilisant les informations liées au nom d’utilisateur fournies dans le fichier Excel. Même si CSVDE permet d’importer des fichiers .csv, il se contente

8

Réponses

d’importer les attributs dans le fichier ; il ne peut pas implémenter la logique métier ni créer de nouveaux attributs en temps réel.

2. Vous pouvez désactiver les comptes créés jusqu’à l’arrivée des étudiants.

3. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, vous pouvez sélectionner tous les utilisateurs et changer l’attribut company en une seule étape. À l’invite de commandes, utilisez Dsquery.exe pour transmettre par pipeline le DN de tous les utilisateurs vers Dsmod.exe qui pourra modifier cet attribut.

Chapitre 4 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : B

A. Faux : Les groupes de sécurité à étendue universelle peuvent contenir des utilisateurs ou des groupes de domaines externes approuvés. Ils peuvent contenir des utilisateurs, des groupes globaux et d’autres groupes universels de n’importe quel domaine de la forêt.

B. Vrai : Les groupes de sécurité à étendue de domaine local peuvent contenir des membres de domaines externes approuvés.

C. Faux : Les groupes de sécurité globaux ne peuvent pas contenir des utilisateurs ou des groupes de domaines externes approuvés. Ils peuvent contenir des utilisateurs et d’autres groupes globaux uniquement du même domaine.

D. Faux : Les groupes de distribution ne peuvent pas recevoir d’autorisations vers des ressources.

2. Bonne réponse : D

A. Faux : Ce groupe est un groupe de distribution qui ne peut pas recevoir d’autorisation. Le fait de modifier l’étendue ne résoudra pas cette limitation.

B. Faux : Ce groupe est un groupe de distribution qui ne peut pas recevoir d’autorisation. Le fait de modifier l’étendue ne résoudra pas cette limitation.

C. Faux : Ce groupe est un groupe de distribution. Le fait de l’ajouter au groupe Domain Users ne permettra pas à ses membres d’accéder au dossier partagé.

D. Vrai : Le commutateur –secgrp yes transforme le type de groupe en groupe de sécurité ; ensuite, vous pouvez l’ajouter à l’ACL du dossier partagé.

3. Bonnes réponses : C, D, E et F

A. Faux : Les groupes globaux ne peuvent pas contenir de groupes globaux provenant d’autres domaines.

B. Faux : Les groupes globaux ne peuvent pas contenir de groupes globaux provenant d’autres domaines.

Réponses

9

C. Vrai : Les groupes globaux peuvent contenir des utilisateurs appartenant à la même forêt.

D. Vrai : Les groupes globaux peuvent contenir des utilisateurs provenant de domaines approuvés.

E. Vrai : Les groupes globaux peuvent contenir des utilisateurs appartenant au même domaine.

F. Vrai : Les groupes globaux peuvent contenir des groupes globaux appartenant au même domaine.

G. Faux : Les groupes globaux ne peuvent pas contenir de groupes locaux du domaine.

H. Faux : Les groupes globaux ne peuvent pas contenir des groupes universels.

Leçon 2

1. Bonnes réponses : B, C et D

A. Faux : L‘applet de commande Remove-Item de Windows PowerShell ne peut pas être utilisée pour supprimer les membres d’un groupe car les groupes ne sont pas exposés dans un espace de noms.

B. Vrai : Dsrm permet de supprimer un groupe.

C. Vrai : Dsmod avec l’option –remmbr peut supprimer des membres d’un groupe.

D. Vrai : LDIFDE avec une opération changetype: modify et une opération delete:member peut supprimer des membres dans un groupe.

E. Faux : CSVDE peut importer de nouveaux groupes. Il ne peut pas modifier des groupes existants.

2. Bonne réponse : B

A. Faux : Dsrm supprime un groupe. La suppression d’un groupe ne résoudra pas le problème.

B. Vrai : Vous pouvez utiliser Dsmod avec le commutateur –scope pour modifier l’étendue du GroupeA et le changer en groupe universel puis en groupe global. Vous pourrez alors ajouter le GroupeA au GroupeB. Cette question est délicate. Parfois, certaines questions sont trompeuses. Celle-ci ne porte pas sur l’utilisation des commandes ni même sur l’ajout d’un groupe à un autre mais sur l’étendue du groupe.

C. Faux : Dsquery recherche des objets dans Active Directory. Il ne peut pas effectuer de changement et ne résoudra pas le problème.

D. Faux : Dsget extrait un attribut d’un objet. Il ne peut pas effectuer de changement et ne résoudra pas le problème.

3. Bonne réponse : D

A. Faux : Get-Members est une applet de commande Windows PowerShell qui récupère les membres d’un objet programmé, et non d’un groupe.

10

Réponses

B. Faux : Dsquery recherche dans Active Directory des objets correspondant à un filtre de recherche. Il ne liste pas les appartenances aux groupes.

C. Faux : LDIFDE peut être utilisé pour exporter un groupe et donc ses membres, mais uniquement des membres directs.

D. Vrai : Dsget retourne un attribut d’un objet, y compris l’attribut member des objets groupe. Avec l’option expand, Dsget retourne l’appartenance complète d’un groupe.

Leçon 3

1. Bonne réponse : D

A. Faux : Les membres de l’équipe ont déjà cette autorisation. Celle-ci ne les empêchera pas d’accéder au dossier depuis d’autres ordinateurs.

B. Faux : Les membres de l’équipe ont déjà cette autorisation. Celle-ci ne les empêchera pas d’accéder au dossier depuis d’autres ordinateurs.

C. Faux : Cette autorisation ne les empêchera pas d’accéder au dossier depuis d’autres ordinateurs.

D. Vrai : Une autorisation de type Refuser prend le pas sur les autorisations de type Autoriser. Si le membre d’une équipe tente de se connecter au dossier depuis un autre ordinateur, il sera un membre du groupe d’identité spécial Réseau et se verra refuser l’accès. Si le même membre de l’équipe se connecte localement à un ordinateur de la salle de conférence, il sera membre du groupe Interactif et non Réseau et les autorisations qui lui sont accordées en tant que membre de l’équipe lui donneront accès au dossier.

2. Bonne réponse : D

A. Faux : L’onglet Membre de du groupe permet d’ajouter et de supprimer des membres mais pas de déléguer l’administration de l’appartenance.

B. Faux : L’onglet Sécurité de l’objet utilisateur Mike Danseglio définit qui a la possibilité de réaliser des tâches sur cet objet et non ce que Mike peut faire.

C. Faux : L’onglet Membre de l’objet utilisateur Mike Danseglio détermine les groupes auquel il appartient et non ceux dont il s’est vu déléguer le contrôle.

D. Vrai : L’onglet Géré par d’un groupe permet de spécifier le responsable du groupe et d’autoriser ce dernier à actualiser l’appartenance au groupe.

3. Bonnes réponses : B, C et D

A. Faux : Les Opérateurs de compte n’ont pas le droit d’arrêter un contrôleur de domaine.

B. Vrai : Les Opérateurs d’impression ont le droit d’arrêter un contrôleur de domaine.

Réponses

11

D. Vrai : Les Opérateurs de serveur ont le droit d’arrêter un contrôleur de domaine.

E. Faux : Le groupe d’identité spécial Interactif n’a pas le droit d’arrêter un contrôleur de domaine.

Chapitre 4 : Réponses aux cas pratiques

Scénario : Mise en œuvre d’une Stratégie de groupe

1. Les groupes de sécurité globaux peuvent être utilisés pour représenter des rôles d’utilisateur chez Trey Research et Woodgrove Bank.

2. Les groupes de sécurité à étendue de domaine local doivent être utilisés pour gérer l’accès en lecture et en écriture aux dossiers Pain en tranches.

3. Les groupes globaux Marketing et Recherche seront membres du groupe de domaine local qui gère l’accès en écriture. Le groupe qui gère l’accès en lecture devra avoir les membres suivants : Finance, le Responsable, son assistante et le groupe global Auditeurs du domaine Woodgrove Bank.

Chapitre 5 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : D

A. Faux : Dsmove est un utilitaire en ligne de commandes qui déplace des objets existants dans Active Directory. Il ne contrôle pas l’emplacement par défaut des nouveaux objets.

B. Faux : Move-Item est une applet de commande Windows PowerShell qui déplace des objets dans un espace de noms.

C. Faux : Netdom est un utilitaire en ligne de commandes qui permet de joindre un domaine, de renommer un ordinateur et d’accomplir d’autres activités liées à l’ordinateur, mais il ne contrôle pas l’emplacement par défaut des nouveaux ordinateurs.

D. Vrai : Redircmp est un utilitaire en ligne de commandes qui redirige le conteneur des ordinateurs par défaut vers une autre OU.

2. Bonne réponse : A

A. Vrai : L’attribut ms-DS-MachineAccountQuota du domaine autorise par défaut tous les utilisateurs authentifiés à joindre les dix ordinateurs du domaine. Ce quota est contrôlé lorsqu’un utilisateur joint un ordinateur au domaine sans compte prédéfini. Définissez cet attribut à zéro.

B. Faux : Cet attribut configure le quota par défaut de tous les objets Active Directory, et non celui des nouveaux comptes d’ordinateur seulement.

12

Réponses

C. Faux : La suppression de ce droit d’utilisateur n’empêche pas les Utilisateurs authentifiés de joindre des ordinateurs au domaine.

D. Faux : La définition de cette autorisation empêchera tous les utilisateurs, y compris les administrateurs, de créer des comptes d’ordinateurs.

3. Bonne réponse : B

A. Faux : Dsadd crée de nouveaux objets, y compris des objets ordinateur, mais ne joint pas un ordinateur au compte.

B. Vrai : Netdom Join peut joindre un ordinateur local ou un ordinateur distant au domaine.

C. Faux : Dctest teste les différents composants d’un contrôleur de domaine.

D. Faux : System.cpl représente l’application Propriétés système du Panneau de configuration. Il vous permet de joindre l’ordinateur local à un domaine mais pas de joindre un ordinateur distant au domaine.

Leçon 2

1. Bonne réponse : C

A. Faux : CSVDE peut importer un ou plusieurs ordinateurs mais exige d’abord que vous créiez un fichier de valeurs séparées par des virgules.

B. Faux : LDIFDE peut importer un ou plusieurs ordinateurs mais exige d’abord que vous créiez un fichier LDIF.

C. Vrai : Dsadd permet de créer un objet ordinateur avec une seule commande.

D. Faux : Windows PowerShell permet d’utiliser ADSI pour créer des ordinateurs, mais il requiert plusieurs commandes.

E. Faux : VBScript permet d’utiliser ADSI pour créer des ordinateurs mais il requiert que vous créiez d’abord un script.

2. Bonnes réponses : A, D et E

A. Vrai : CSVDE peut importer un ou plusieurs ordinateurs d’un fichier .csv, et Excel peut enregistrer une feuille de calcul sous forme de fichier .csv.

B. Faux : LDIFDE peut importer un ou plusieurs ordinateurs mais Excel ne permet pas de créer un document au format LDIF.

C. Faux : Dsadd permet de créer des objets ordinateur un par un.

D. Vrai : Windows PowerShell permet d’utiliser ADSI pour créer des ordinateurs et utilise un fichier .csv comme source de données.

E. Vrai : VBScript permet d’utiliser ADSI pour créer des ordinateurs et utilise un fichier .csv comme source de données.

Réponses

13

Leçon 3

1. Bonne réponse : A

A. Vrai : Ces événements sont caractéristiques d’un canal sécurisé rompu. La réinitialisation du compte de l’ordinateur est l’action à entreprendre pour régler ce problème.

d’authentification

B. Faux

:

L’événement

ne

reflète

pas

un

problème

d’utilisateur.

C. Faux : La désactivation du compte de serveur empêchera le serveur d’authentifier. Son activation ne réglera pas le problème.

D. Faux

pas un problème d’authentification

:

L’événement

ne

reflète

d’utilisateur.

2. Bonnes réponses : C, D et E

A. Faux : La suppression du compte d’ordinateur entraînera la suppression de son SID et ses appartenances aux groupes seront perdues. Vous serez contraint d’ajouter le nouveau compte aux mêmes groupes et d’assigner des autorisations au nouveau compte.

B. Faux : La création d’un nouveau compte destiné au nouveau système génère un nouveau SID. Vous devrez assigner de nouveau des autorisations et recréer les appartenances aux groupes.

C. Vrai : La réinitialisation du compte d’ordinateur permet à un système de joindre le domaine en utilisant ce compte. Le SID du compte et les appartenances aux groupes sont conservés.

D. Vrai : Vous devez renommer le compte de sorte qu’il puisse être joint au nouveau système grâce à son nom.

E. Vrai : Après avoir réinitialisé et renommé le compte, vous devez joindre le nouveau système au domaine.

3. Bonne réponse : C

A. Faux : Une flèche vers le bas indique que les comptes d’ordinateur sont désactivés. Il n’est pas nécessaire de réinitialiser les comptes.

B. Faux : Une flèche vers le bas indique que les comptes d’ordinateur sont déjà désactivés.

C. Vrai : Une flèche vers le bas indique que les comptes sont désactivés. Vous devez les activer.

D. Faux : Une flèche vers le bas indique que les comptes d’ordinateur sont désactivés. Il n’est pas nécessaire de supprimer les comptes.

14

Réponses

Chapitre 5 : Réponses aux cas pratiques

Scénario 1 : Créer des objets ordinateur et les joindre au domaine

1. Les ordinateurs sont ajoutés au conteneur Computers car il s’agit du conteneur par défaut. Lorsqu’un ordinateur est joint au domaine et qu’un compte a été prédéfini dans une OU spécifique, Windows crée le compte dans ce conteneur par défaut.

2. La commande Redircmp.exe peut rediriger ce conteneur par défaut vers l’OU Clients.

3. Vous pouvez ramener l’attribut ms-DS-MachineAccountQuota à zéro. Par défaut, sa valeur est 10, ce qui permet à tous les utilisateurs authentifiés de créer des ordinateurs et de joindre jusqu’à dix systèmes à un domaine.

Scénario 2 : Automatiser la création des comptes d’ordinateur

1. CSVDE importe des fichiers .csv qui peuvent être exportés depuis Excel.

2. Dsquery computer “DN de l’OU” | dsmod computer –disabled yes

3. Vous pouvez sélectionner 100 systèmes, cliquer droit sur l’un deux et choisir Propriétés. Vous pouvez modifier l’attribut Description de tous les objets en une seule étape dans la boîte de dialogue Propriétés d’éléments multiples.

Chapitre 6 : Réponses aux questions de révision

Leçon 1

1. Bonnes réponses : B et D

A. Faux : Le magasin central sert à centraliser des modèles d’administration de sorte qu’il ne soit pas nécessaire de les conserver sur les stations de travail des administrateurs.

B. Vrai : Pour créer des GPO, les administrateurs des filiales doivent avoir l’autorisation d’accéder au conteneur Objets de Stratégie de groupe. Par défaut, les Propriétaires créateurs de la Stratégie de groupe possèdent cette autorisation. Donc, l’ajout d’administrateurs à ce groupe leur permettra de créer de nouveaux GPO.

C. Faux : Les administrateurs des filiales ont besoin de l’autorisation de lier des GPO uniquement à leur OU, et non dans l’ensemble du domaine. En conséquence, la délégation de l’autorisation de lier des GPO au domaine confère une autorisation trop importante aux administrateurs.

Réponses

15

D. Vrai : Après la création d’un GPO, les administrateurs des filiales doivent être capables d’étendre le GPO aux utilisateurs et aux ordinateurs de leur OU ; en conséquence, ils doivent avoir l’autorisation Lier les objets GPO.

2. Bonnes réponses : B et D

A. Faux : Le magasin central sert à centraliser des modèles d’administration de sorte à ce qu’il ne soit pas nécessaire de les conserver sur les stations de travail des administrateurs.

B. Vrai : Pour créer des GPO, les administrateurs des filiales doivent avoir l’autorisation d’accéder au conteneur Objets de Stratégie de groupe. Par défaut, les Propriétaires créateurs de la Stratégie de groupe possèdent cette autorisation. Donc, l’ajout des administrateurs à ce groupe leur permettra de créer de nouveaux GPO.

C. Faux : Les administrateurs des filiales ont besoin de l’autorisation de lier des GPO uniquement à leur OU, et non dans l’ensemble du domaine. En conséquence, la délégation de l’autorisation de lier des GPO au domaine confère une autorisation trop importante aux administrateurs.

D. Vrai : Après la création d’un GPO, les administrateurs des filiales doivent être capables d’étendre le GPO aux utilisateurs et aux ordinateurs de leur OU ; en conséquence, ils doivent avoir l’autorisation Lier les objets GPO.

3. Bonne réponse : D

A. Faux : Un rapport sauvegardé est une description HTML ou XML d’un GPO et de ses paramètres. Il ne peut pas être importé dans un autre GPO.

B. Faux : La commande Restaurer à partir d’une sauvegarde permet de restaurer un GPO dans sa globalité.

C. Faux : Vous ne pouvez pas coller des paramètres dans un GPO.

D. Vrai : Vous pouvez importer des paramètres dans un GPO existant à partir de paramètres sauvegardés appartenant à un autre GPO.

Leçon 2

1. Bonnes réponses : B et C

A. Faux : Si vous configurez un domaine pour bloquer l’héritage, les GPO liés aux sites ne s’appliqueront pas aux utilisateurs ni aux ordinateurs du domaine. Le GPO de Northwind Lockdown est lié au domaine et s’appliquera à tous les utilisateurs, y compris à ceux du groupe Admins du domaine.

B. Vrai : En bloquant l’héritage dans l’OU qui contient tous les utilisateurs du groupe Admins du domaine, vous empêchez que les paramètres de la stratégie s’appliquent à ces utilisateurs.

16

Réponses

D. Faux : Tous les comptes d’utilisateurs du domaine appartiennent en premier lieu au groupe Utilisateurs du domaine. En conséquence, le GPO s’appliquera à tous les utilisateurs, y compris à ceux du groupe Admins du domaine.

2. Bonnes réponses : A et D

A. Vrai : Comme les restrictions de bureau se trouvent sous le nœud Configuration utilisateur mais qu’elles s’appliquent lorsque des utilisateurs ouvrent une session sur des ordinateurs spécifiques, le traitement de la stratégie par boucle de rappel est nécessaire.

B. Faux : La liaison du GPO à l’OU qui contient des comptes d’utilisateur fait que ces restrictions s’appliquent à tout moment à tous les utilisateurs, et non uniquement lorsqu’ils se connectent aux systèmes de la salle de conférence ou de formation.

C. Faux : L’option Bloquer l’héritage n’est pas nécessaire et empêchera l’application de tous les autres GPO des OU parentes, du domaine et des sites.

D. Vrai : Pour étendre le GPO correctement, vous devez le lier à l’OU qui contient les objets ordinateur des systèmes de la salle de conférence et de formation.

Leçon 3

1. Bonnes réponses : B et D

A. Faux : L’Assistant Modélisation de Stratégie de groupe permet de simuler l’application de la Stratégie de groupe et non d’établir un rapport de son application.

B. Vrai : L’Assistant Résultats de Stratégie de groupe permet d’établir un rapport de l’application de la Stratégie de groupe sur un système distant.

C. Faux : Gpupdate.exe permet d’initier une actualisation manuelle de la stratégie.

D. Vrai : Gpresult.exe peut être utilisé avec le commutateur /s pour réunir des informations sur le jeu de stratégie résultant à distance.

E. Faux : Msconfig.exe permet de réunir des informations système et de contrôler le démarrage du système.

2. Bonne réponse : A

A. Vrai : Gpresult.exe génère un rapport du jeu de stratégie résultant qui indique quand le GPO a été appliqué. Les paramètres de stratégie de l’écran de veille sont des paramètres de configuration utilisateur, vous devez donc exécuter Gpresult.exe pour obtenir les paramètres utilisateur.

B. Faux : La commande Gpresult.exe ne possède pas d’option –computer.

Réponses

17

D. Faux : Gpupdate.exe permet de déclencher l’actualisation de la stratégie et non de générer un rapport sur son application.

Chapitre 6 : Réponses aux cas pratiques

Scénario : Implémentation de la Stratégie de groupe

1. Les paramètres qui contrôlent l’environnement du Bureau de l’utilisateur se trouvent sous le nœud Configuration utilisateur.

2. Liez le GPO à l’OU contenant les ordinateurs des salles de formation. Si vous le liez

à celle qui contient les utilisateurs, les paramètres affecteront les utilisateurs de tous les ordinateurs de Northwind Traders.

3. Vous devez activer le traitement de la stratégie par boucle de rappel. Si vous liez le GPO à l’OU qui contient les ordinateurs des salles de formation et que vous activez le traitement par boucle de rappel, les ordinateurs des salles de formation appliqueront les paramètres situés sous le nœud Configuration utilisateur du GPO.

4. Le traitement par boucle de rappel doit être configuré en mode Remplacer. Dans ce mode, les paramètres utilisateur des GPO étendus à l’utilisateur sont ignorés. Seuls les paramètres utilisateur des GPO étendus à l’ordinateur sont appliqués.

5. Vous devez exclure les ordinateurs des salles de formation de l’étendue du GPO lié

à l’écran de veille. Pour ce faire, vous disposez de deux solutions : bloquer

l’héritage dans l’OU contenant les ordinateurs de la salle de formation ou utiliser le filtrage à l’aide de groupes de sécurité dans le GPO du domaine. Créez un groupe contenant les ordinateurs de la salle de formation et accordez l’autorisation Refuser : Appliquer la Stratégie de groupe au GPO d’écran de veille de ce groupe.

Chapitre 7 : Réponses aux questions de révision

Leçon 1

1. Bonnes réponses : A, B, C et D

A. Vrai : Le compte Administrateur local est membre par défaut des Administrateurs. Il ne peut pas être supprimé.

B. Vrai : Le groupe Admins du domaine est ajouté aux Administrateurs lorsqu’un ordinateur joint le domaine. Les paramètres de stratégie Membre de ajoutent les groupes spécifiés aux Administrateurs et ne suppriment pas des membres existants.

C. Vrai : Support Sydney est ajouté au groupe Administrateurs par le GPO Support Sydney. Les paramètres de stratégie Membre de ajoutent les groupes spécifiés aux Administrateurs et ne suppriment pas des membres existants.

18

Réponses

D. Vrai : L’assistance technique est ajoutée au groupe Administrateurs par le GPO Assistance technique de l’entreprise. Les paramètres de stratégie Membre de ajoutent les groupes spécifiés aux Administrateurs et ne suppriment pas des membres existants.

E. Faux : Le groupe Utilisateurs du Bureau à distance n’est pas un membre par défaut des administrateurs et n’est ajouté aux Administrateurs par aucun de ces GPO.

2. Bonnes réponses : A et C

A. Vrai : Le compte Administrateur local est un membre par défaut des Administrateurs. Il ne peut pas être supprimé.

B. Faux : Le groupe Admins du domaine est ajouté aux Administrateurs lorsqu’un ordinateur joint le domaine mais est supprimé par le GPO Support Sydney qui spécifie l’appartenance faisant autorité du groupe.

C. Vrai : Support Sydney est ajouté au groupe Administrateurs par le GPO Support Sydney.

D. Faux : L’Assistance technique est spécifiée comme membre du groupe Administrateurs par le GPO Assistance technique de l’entreprise, mais le GPO Support Sydney a une priorité plus élevée car il est lié à l’OU où se trouve DESKTOP234. En conséquence, l’appartenance spécifiée par le paramètre Membre de du GPO Support Sydney fait autorité.

E. Faux : Le groupe Utilisateurs du Bureau à distance n’est pas un membre par défaut des administrateurs et n’est ajouté aux Administrateurs par aucun de ces GPO.

3. Bonnes réponses : A, C et D

A. Vrai : Le compte Administrateur local est un membre par défaut des Administrateurs. Il ne peut pas être supprimé.

B. Faux : Le groupe Admins du domaine est ajouté aux Administrateurs lorsqu’un ordinateur joint le domaine, mais il est supprimé par le GPO Assistance technique de l’entreprise qui spécifie l’appartenance des Administrateurs à l’aide du paramètre Membre de ce groupe.

C. Vrai : Support Sydney est ajouté au groupe Administrateurs par le GPO Support Sydney. Comme la priorité du GPO Support Sydney est plus élevée que celle du GPO Assistance technique de l’entreprise, DESKTOP234 applique le GPO Support Sydney après l’application du GPO Assistance technique de l’entreprise ; donc, les membres du GPO Support Sydney sont ajoutés au groupe Administrateurs.

D. Vrai : L’assistance technique est spécifiée comme membre du groupe Administrateurs par le GPO Assistance technique de l’entreprise. Lorsqu’il est appliqué, tous les autres membres du groupe Administrateurs sont supprimés, à l’exception de l’administrateur lui-même.

Réponses

19

E. Faux : Le groupe Utilisateurs du Bureau à distance n’est pas un membre par défaut des administrateurs et n’est ajouté aux Administrateurs par aucun de ces GPO.

Leçon 2

1. Bonne réponse : B

A. Faux : La Stratégie de sécurité locale permet de configurer les paramètres sur un seul serveur.

B. Vrai : Vous pouvez utiliser l’Assistant Configuration et analyse de la sécurité pour comparer la configuration de l’environnement de test à un modèle, corriger les divergences et exporter les paramètres résultants dans un modèle de sécurité. Ce dernier peut ensuite être importé dans un GPO.

C. Faux : L’Assistant Configuration de la sécurité ne gère pas les droits d’utilisateur.

D. Faux : Le composant logiciel enfichable Modèles de sécurité crée un modèle de sécurité mais n’exporte pas les paramètres du serveur de l’environnement de test. L’Assistant Configuration et analyse de la sécurité est donc la meilleure réponse.

2. Bonne réponse : C

A. Faux : La Stratégie de sécurité locale permet de configurer les paramètres sur un seul serveur.

B. Faux : L’Assistant Configuration et analyse de la sécurité permet de créer des modèles de sécurité que l’on peut importer dans un GPO mais cet outil n’est pas basé sur les rôles. L’Assistant Configuration de la sécurité est la meilleure réponse.

C. Vrai : L’Assistant Configuration de la sécurité crée des stratégies de sécurité basées sur des rôles qui gèrent des services, des règles de pare-feu et des stratégies d’audit ainsi que certains paramètres du Registre.

D. Faux : Les modèles de sécurité permettent de créer des modèles de sécurité que l’on peut importer dans un GPO, mais cet outil n’est pas basé sur les rôles. L’Assistant Configuration de la sécurité est la meilleure réponse.

3. Bonnes réponses : A et D

A. Vrai : La commande Scwcmd.exe /transform crée un GPO qui contient les paramètres de la stratégie de sécurité spécifiée.

B. Faux : Vous n’avez pas besoin de créer un GPO. La commande Scwcmd.exe s’en charge automatiquement.

C. Faux : Vous n’importez pas les paramètres d’une stratégie de sécurité dans un GPO. Vous pouvez importer les paramètres d’un modèle de sécurité dans un GPO.

20

Réponses

Leçon 3

1. Bonnes réponses : B et D

A. Faux : L’objectif est de déployer l’application vers les ordinateurs et non les utilisateurs. En conséquence, le nœud Configuration utilisateur n’est pas l’endroit approprié où créer le package logiciel.

B. Vrai : Pour déployer l’application vers les ordinateurs, le package logiciel doit être créé dans le nœud Configuration ordinateur du GPO.

C. Faux : L’extension d’installation logicielle n’applique pas les paramètres si une liaison lente est détectée. Comme l’application est déployée vers des ordinateurs et non des utilisateurs, la configuration de la vitesse de connexion dans le nœud Configuration utilisateur ne change pas la vitesse de connexion par défaut du nœud Configuration ordinateur qui est de 500 Kbit/s. Comme la connexion partant de la succursale est inférieure à 500 Kbit/s, les ordinateurs qui s’y trouvent n’installeront donc pas l’application.

D. Vrai : L’extension d’installation logicielle n’applique pas les paramètres si une liaison lente est détectée. En configurant le seuil de la détection de liaison lente à 256, vous garantissez que les clients qui se connectent sur la connexion de 364 Kbit/s depuis la succursale détecteront une liaison rapide. Les clients installeront donc l’application.

E. Faux : L’extension d’installation logicielle n’applique pas les paramètres si une liaison lente est détectée. Comme la connexion partant de la succursale est inférieure à 1 000 Kbit/s, les ordinateurs qui s’y trouvent n’installeront pas l’application.

2. Bonnes réponses : A et D

A. Vrai : Comme vous souhaitez déployer l’application vers des utilisateurs, vous devez créer le package dans les stratégies Configuration utilisateur d’un GPO. Ce dernier doit ensuite être étendu de sorte à ne s’appliquer qu’aux utilisateurs de l’OU Ventes. Comme tous les utilisateurs se trouvent dans une même OU, vous devez créer un groupe de sécurité que vous utiliserez pour filtrer le GPO.

B. Faux : Le GPO n’est pas correctement étendu. L’OU Ventes de chaque site ne contient que des ordinateurs. Les ordinateurs ne traiteront pas les paramètres situés dans les stratégies du nœud Configuration utilisateur avec un traitement normal de la Stratégie de groupe.

C. Faux : Vous souhaitez déployer l’application vers des utilisateurs. Les stratégies situées sous le nœud Configuration ordinateur s’appliquent aux ordinateurs. Comme le groupe Ventes ne contient aucun ordinateur, la stratégie ne sera appliquée par aucun système.

Réponses

21

étendu aux ordinateurs des ventes en étant lié à l’OU Ventes. Le traitement par boucle de rappel permet aux ordinateurs d’installer le package logiciel de la Configuration utilisateur.

3. Bonnes réponses : A, C, D et E

A. Vrai : Le GPO de déploiement logiciel doit être étendu pour s’appliquer à tous les utilisateurs dans les quatre succursales. Bien qu’on puisse lier le GPO à chacune des succursales sélectionnées, cette solution n’a pas été proposée.

B. Faux : L’application doit être complètement installée avant que l’utilisateur ne puisse la démarrer pour la première fois. Lorsque vous publiez une application, l’utilisateur doit l’installer en utilisant Programmes et fonctionnalités situé dans le Panneau de configuration sous Windows Server 2008 et Windows Vista ou dans Ajout/Suppression de programmes sous Windows XP.

C. Vrai : Pour que l’application soit pleinement installée avant que l’utilisateur ne l’ouvre pour la première fois, vous devez sélectionner l’option Installer cette application lors de l’ouverture de session. Sinon, l’application s’installera lorsque l’utilisateur l’ouvrira pour la première fois ou qu’il ouvrira un fichier d’un type associé à l’application.

D. Vrai : Un shadow group est un groupe qui contient des utilisateurs en fonction d’une caractéristique donnée, comme l’OU où se trouve le compte d’utilisateur. Comme le GPO est lié à l’OU Employés, il peut être filtré avec un groupe de sécurité contenant les utilisateurs des quatre succursales.

E. Vrai : Pour que l’application soit complètement installée avant que l’utilisateur ne l’ouvre pour la première fois, vous devez assigner l’application.

F. Faux : L’option Mise à niveau nécessaire pour les packages existants n’est utilisée que dans des scénarios de mise à niveau.

Leçon 4

1. Bonne réponse : D

A. Faux : L’audit des événements de connexion permet de capturer une ouverture de session interactive locale et réseau sur des stations de travail et des serveurs.

B. Faux : L’audit Accès aux services d’annuaire permet de contrôler des changements apportés à des objets et des attributs dans Active Directory.

C. Faux : L’audit de l’utilisation des privilèges est lié à l’exécution et à l’arrêt d’un programme.

22

Réponses

E. Faux : L’audit de gestion des comptes crée des événements liés à la création, la suppression et la modification des utilisateurs, des ordinateurs et des groupes dans Active Directory.

2. Bonne réponse : B

A. Faux : L’audit de la gestion des comptes crée des événements liés à la création, la suppression et la modification des utilisateurs, des ordinateurs et des groupes dans Active Directory, mais ne montre pas les anciennes valeurs des attributs ni celles qui ont été modifiées.

B. Vrai : La commande Auditpol.exe permet d’activer l’audit des modifications du service d’annuaire qui journalise les détails des changements apportés aux attributs définis dans la liste SACL des objets Active Directory. Les anciennes et les nouvelles valeurs des attributs se trouvent dans l’entrée du journal des événements.

C. Faux : L’audit de l’utilisation des privilèges est lié à l’exécution et à l’arrêt d’un programme.

D. Faux : L’audit de l’accès au service d’annuaire contrôle les changements apportés aux objets et aux attributs dans Active Directory mais ne rapporte pas les anciennes et les nouvelles valeurs des attributs.

3. Bonnes réponses : E, F et G

A. Faux : Vous avez configuré des autorisations qui bloquent l’accès des consultants. En conséquence, il n’y aura pas de tentatives d’accès réussies à auditer.

B. Faux : Les événements d’accès au système de fichiers sont journalisés sur les serveurs de fichiers et non sur les contrôleurs de domaine.

C. Faux : La stratégie d’audit Accès au service d’annuaire porte sur les changements apportés aux objets d’Active Directory et non à un dossier dans un sous-système de disque.

D. Faux : Le paramètre de stratégie d’audit doit s’appliquer aux serveurs de fichiers et non à des contrôleurs de domaine.

E. Vrai : Vous devez activer l’audit d’accès aux objets sur les serveurs de fichiers. Le GPO Configuration du serveur est étendu pour s’appliquer à tous les serveurs de fichiers.

F. Vrai : Les événements d’accès au système de fichiers apparaîtront dans le journal Sécurité de chaque serveur de fichiers.

G. Vrai : Les entrées d’audit doivent être configurées dans le dossier Données confidentielles. L’audit des échecs d’accès de type Contrôle total génère des événements d’audit pour tout type d’accès ayant échoué.

Réponses

23

Chapitre 7 : Réponses aux cas pratiques

Scénario 1 : Installation de logiciels avec Installation de logiciel Stratégie de groupe

1. Le package de l’application doit être créé dans le nœud Configuration ordinateur afin de s’installer sur les ordinateurs utilisés par la force de ventes itinérante. Si le package est créé dans le nœud Configuration utilisateur, l’application est associée aux utilisateurs et sera installée sur tous les ordinateurs auxquels les utilisateurs se connecteront, y compris ceux des salles de conférence et de formation.

2. Avancé. Comme le package de l’application est créé dans le nœud Configuration ordinateur, Publié n’est pas une option valable. Les options valables sont Attribué et Avancé. Vous devez choisir Avancé pour associer une transformation au package.

3. Comme le GPO déploie l’application dans le nœud Configuration ordinateur, il doit être étendu aux ordinateurs. Il peut être lié au domaine ou, mieux encore, à l’OU Clients qui héberge tous les ordinateurs clients. Le GPO doit ensuite être filtré pour s’appliquer uniquement aux ordinateurs utilisés par la force de vente itinérante. Pour ce faire, créez un groupe de sécurité à étendue globale contenant les ordinateurs et utilisez-le pour filtrer le GPO. Vous devez également supprimer le groupe Utilisateurs authentifiés auquel est accordée l’autorisation Appliquer la Stratégie de groupe par défaut.

Scénario 2 : Configuration de la sécurité

1. Ajoutez une entrée d’audit qui audite les tentatives avortées du groupe Tout le monde d’accéder au dossier au niveau d’accès Contrôle total, ce qui inclut tous les autres niveaux d’accès. Une deuxième entrée d’audit doit auditer les tentatives réussies du groupe Administrateurs d’accéder au dossier au niveau Contrôle total, ce qui capture là encore des activités à tous les niveaux d’accès.

2. Les stratégies de groupe restreintes permettent de gérer l’appartenance aux groupes. Vous devez configurer un paramètre de Stratégie de groupe limité pour le groupe Administrateurs, afin de spécifier que les membres de ce groupe représentent votre compte et le compte du responsable des ressources humaines. Ce paramètre de stratégie est le paramètre Membres. Il liste l’appartenance finale faisant autorité du groupe spécifié. Le compte Administrateur ne peut pas être supprimé du groupe Administrateurs.

3. Vous devez activer les stratégies d’audit Auditer l’accès aux objets et Auditer l’utilisation des privilèges. Auditer l’accès aux objets doit être défini pour auditer les événements de succès et d’échec, car les entrées d’audit du dossier Salaires sont destinées à la fois aux accès réussis et échoués. Auditer l’utilisation des privilèges doit être défini pour auditer des événements de succès afin de journaliser des événements lorsqu’un membre du groupe Administrateurs s’accapare la propriété d’un dossier.

24

Réponses

4. Vous pouvez utiliser des modèles de sécurité pour gérer la configuration des sept serveurs. Les modèles de sécurité peuvent être créés sur un système grâce au composant logiciel enfichable Modèles de sécurité et importés dans une base de données, puis appliqués aux serveurs au moyen du composant logiciel enfichable Configuration et analyse de la sécurité.

5. Les paramètres de stratégie des GPO basés sur Active Directory peuvent neutraliser vos paramètres de sécurité car les GPO basés sur le domaine prennent le pas sur la configuration des GPO locaux. Vous pouvez contrôler la configuration de votre serveur en exécutant les rapports du jeu de stratégie résultant pour identifier les paramètres des GPO de domaine qui entrent en conflit avec la configuration désirée, ou en utilisant le composant logiciel enfichable Configuration et analyse de la sécurité pour comparer la configuration des serveurs au modèle de sécurité.

Chapitre 8 : Réponses aux questions de révision

Leçon 1

1. Bonnes réponses : C, D et E

A. Faux : Les stratégies de mot de passe du GPO Default Domain Policy définissent les stratégies de tous les utilisateurs du domaine, et non uniquement des comptes de service.

B. Faux : Les PSO ne peuvent pas être liés à des unités d’organisation, uniquement à des groupes et à des utilisateurs.

C. Vrai : Les PSO peuvent être liés à des groupes : vous devez donc créer un groupe qui contient les comptes de service.

D. Vrai : Le PSO doit être appliqué au groupe Comptes de service. Sinon, ses paramètres ne prendront pas effet.

E. Vrai : Les PSO peuvent être liés à des groupes : vous devez donc créer un groupe qui contient les comptes de service.

2. Bonne réponse : D

A. Faux : Le paramètre de stratégie Durée de verrouillage des comptes est spécifié en minutes. Ce paramètre verrouille un compte pendant 100 minutes. Passé ce délai, le compte est déverrouillé automatiquement.

B. Faux : Le paramètre de stratégie Durée de verrouillage des comptes est spécifié en minutes. Ce paramètre verrouille un compte pendant 1 minute. Passé ce délai, le compte est déverrouillé automatiquement.

C. Faux : Le paramètre de stratégie Seuil de verrouillage du compte spécifie le nombre de tentatives d’ouverture de session qui se traduisent par un verrouillage de compte. Il ne détermine pas la durée pendant laquelle un compte est verrouillé.

Réponses

25

D. Vrai : Un paramètre de stratégie Durée de verrouillage des comptes définie à 0 verrouille indéfiniment le compte jusqu’à ce qu’un administrateur le déverrouille.

3. Bonne réponse : C

A. Faux : Bien que PSO1 possède la valeur ayant la priorité la plus haute, un PSO qui s’applique à des groupes est neutralisé par un PSO qui s’applique directement à l’utilisateur, même si le PSO de l’utilisateur a une priorité plus basse.

B. Faux : Une valeur de priorité de 99 est inférieure à une valeur de priorité de

1.

C. Vrai : Bien que PSO3 n’ait pas la valeur de priorité la plus haute (celle de PSO1 est supérieure), il est lié au compte de l’utilisateur et a donc la préséance.

D. Faux : PSO4 est un PSO lié à l’utilisateur, mais sa valeur de 200 est inférieure à celle de PSO3.

Leçon 2

1. Bonne réponse : B

A. Faux : Ce paramètre générera des entrées dans le journal d’événements lorsqu’un utilisateur se connectera avec succès avec un compte du domaine. Une ouverture de session réussie ne génère pas de verrouillage de compte.

B. Vrai : Les ouvertures de session échouées vers un compte de domaine peuvent générer un verrouillage de compte. L’audit des événements d’ouverture de session de compte qui ont échoué génère dans le journal d’événements des entrées qui indiquent à quel moment ces ouvertures de session ont eu lieu.

C. Faux : Les événements d’ouverture de session génèrent des entrées dans le journal d’événements de l’ordinateur sur lequel un utilisateur a ouvert une session ou sur lequel il s’est connecté via le réseau. Les ouvertures de session locales ne sont pas associées au verrouillage de compte.

D. Faux : Les événements d’ouverture de session génèrent des entrées dans le journal d’événements sur l’ordinateur sur lequel un utilisateur a ouvert une session ou sur lequel il s’est connecté via le réseau. Les ouvertures de session locales ne sont pas associées au verrouillage de compte.

2. Bonne réponse : C

A. Faux : Les événements de connexion aux comptes sont générés lorsqu’un utilisateur ouvre une session avec un compte du domaine sur n’importe quel ordinateur du domaine.

B. Faux : Les stratégies d’audit sont des paramètres situés dans le nœud Configuration ordinateur d’un GPO qui ne s’appliquent pas aux comptes d’utilisateurs.

26

Réponses

C. Vrai : Les événements d’ouverture de session sont générés dans le journal d’événements d’un ordinateur lorsqu’un utilisateur ouvre une session de manière interactive sur l’ordinateur ou qu’il se connecte à l’ordinateur sur le réseau, pour accéder par exemple à un dossier partagé.

D. Faux : Les événements de connexion aux comptes sont générés par les contrôleurs de domaine lorsqu’ils authentifient un utilisateur qui ouvre une session sur n’importe quel ordinateur du domaine. Ce GPO n’est pas étendu aux contrôleurs de domaine.

Leçon 3

1. Bonne réponse : B

A. Faux : Un RODC ne requiert qu’un seul contrôleur de domaine Windows Server 2008 accessible en écriture. Ce type de contrôleur de domaine existe déjà dans votre domaine.

B. Vrai : Vous devez exécuter Adprep /rodcprep pour configurer la forêt de sorte que le RODC puisse répliquer des partitions d’application DNS.

C. Faux : La commande Dsmgmt permet de configurer la séparation des rôles d’administration sur un RODC après son installation.

D. Faux : Vous utilisez la commande Dcpromo pour accomplir l’installation d’un contrôleur de domaine, y compris un RODC.

2. Bonne réponse : A

A. Vrai : L’onglet Utilisation de la stratégie de la boîte de dialogue Stratégie de réplication de mot de passe avancée indique les comptes dont les mots de passe sont stockés sur un RODC.

B. Faux : Le Groupe de réplication dont le mot de passe RDOC est accepté spécifie les utilisateurs dont les informations d’identification seront mises en cache sur tous les RODC du domaine.

C. Faux : Le Groupe de réplication dont le mot de passe RDOC est refusé spécifie les utilisateurs dont les informations d’identification ne seront pas mises en cache sur les RODC du domaine.

D. Faux : L’onglet Stratégie résultante évalue la stratégie de réplication de mot de passe d’un utilisateur ou d’un ordinateur ; il n’indique pas si les informations d’identification de l’utilisateur ou de l’ordinateur sont déjà mises en cache sur le RODC.

3. Bonnes réponses : B et D

A. Faux : Le Groupe de réplication dont le mot de passe RDOC est accepté spécifie les utilisateurs dont les informations d’identification ont été mises en cache sur tous les RODC du domaine. Les cinq utilisateurs devront ouvrir une session dans une seule des succursales.

Réponses

27

B. Vrai : L’onglet Stratégie de réplication des mots de passe du RODC de la succursale permet de spécifier les informations d’identification qui sont mises en cache par le RODC.

C. Faux : Les utilisateurs n’ont pas besoin du droit d’ouvrir une session locale sur le contrôleur de domaine de la succursale.

D. Vrai : En remplissant préalablement les informations d’identification des cinq utilisateurs, vous garantissez que le RODC pourra les authentifier sans transmettre l’authentification au centre de données à l’extrémité de la liaison WAN.

Chapitre 8 : Réponses aux cas pratiques

Scénario 1 : Accroître la sécurité des comptes d’administration

1. Les stratégies de mot de passe à grain fin ne peuvent être configurées que dans un seul domaine au niveau fonctionnel de domaine Windows Server 2008. Avant d’augmenter le niveau fonctionnel du domaine à Windows Server 2008, vous devez mettre à niveau tous les contrôleurs de domaine Windows Server 2003 vers Windows Server 2008.

2. Modification ADSI.

3. Vous devez attribuer une valeur comprise entre 1 et 9. Les valeurs proches de 1 ont une priorité supérieure. En outre, assurez-vous que les nouveaux PSO ne sont pas directement liés au compte d’utilisateur.

4. Définissez dans le GPO Default Domain Controllers des paramètres de stratégie d’audit qui configurent l’audit des événements de connexion aux comptes qui ont échoué.

Scénario 2 : Accroître la sécurité et la fiabilité de l’authentification dans les succursales

1. Assurez-vous que tous les domaines sont au niveau fonctionnel de domaine Windows Server 2003 et que la forêt se trouve au niveau fonctionnel de forêt Windows Server 2003. Sur le contrôleur de schéma, exécutez Adprep /rodcprep. Mettez à niveau au moins un contrôleur de domaine Windows Server 2003 vers Windows Server 2008.

2. Vous pouvez déléguer l’installation d’un contrôleur de domaine en lecture seule en créant préalablement les comptes d’ordinateur du RODC dans l’OU Domain Controllers. Vous pouvez spécifier alors les informations d’identification de l’utilisateur qui seront utilisées pour relier le RODC au compte, puis préciser que l’utilisateur peut installer le RODC sans privilèges d’administration sur le domaine.

28

Réponses

3. Utilisez la commande Dsmgmt.exe pour attribuer à l’utilisateur des privilèges d’administration locaux sur le RODC.

Chapitre 9 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : C

A. Faux : Vous pouvez utiliser l’outil de ligne de commandes pour créer une arborescence de domaine. Pour ce faire, il est préférable de créer au préalable un fichier de réponse, afin que toutes les valeurs soient transmises automatiquement à la commande pendant l’installation. Toutefois, il est également possible d’utiliser l’assistant pour accomplir cette tâche.

B. Faux : Le plus souvent, vous utilisez des serveurs autonomes pour créer un nouveau domaine. Cela signifie que vous devez ouvrir une session avec des droits d’administration locaux puis fournir les informations d’identification de forêt appropriées pour ajouter le domaine pendant l’installation.

C. Vrai : L’option permettant de créer une arborescence de forêt n’est pas disponible dans l’assistant tant que vous n’avez pas sélectionné le mode avancé dans la première page de l’assistant.

D. Faux : Les informations d’identification sont demandées par l’assistant pendant le processus de préparation de l’installation. L’utilisation d’un serveur autonome ou d’un serveur membre n’a aucun effet sur cette opération.

2. Bonnes réponses : B et D

A. Faux : Vous devez sélectionner le mode avancé de l’assistant pour créer l’arborescence de domaine, mais cela n’a aucun impact sur la capacité de l’assistant à créer la délégation.

B. Vrai : Comme la délégation utilise un nom racine de haut niveau (.ms), vous devez créer la délégation manuellement dans le domaine racine de votre forêt. L’assistant ne peut pas la créer automatiquement parce que vous ne possédez pas les informations d’identification du serveur DNS racine qui maintient ce nom.

C. Faux : Comme vous créez la délégation manuellement, vous devez indiquer

à l’assistant d’omettre la création.

D. Vrai : Comme vous avez créé une délégation manuelle, vous devez indiquer

à l’assistant d’omettre la création de la délégation.

E. Faux : Vous pouvez créer la délégation manuellement après que l’arborescence de domaine a été installée. Toutefois, il est recommandé de la créer au préalable, puis d’ajouter des composants à sa configuration après

Réponses

29

que d’autres contrôleurs de domaine ont été créés dans l’arborescence de domaine.

Leçon 2

1. Bonnes réponses : A, B, C et D et E

A. Vrai : Votre administrateur DNS peut déjà avoir configuré le nettoyage de

toutes les zones, mais il est recommandé de valider le fait qu’il a été appliqué

à la vôtre.

B. Vrai : Par défaut, les étendues de réplication sont assignées correctement lorsque vous créez la zone, mais il est toujours préférable que celle-ci utilise l’étendue de réplication appropriée.

C. Vrai : Vous pouvez avoir d’autres enregistrements personnalisés à créer, mais vous devez créer au moins un enregistrement texte (TXT) et un enregistrement attribué à une personne responsable (RP). Ils seront utilisés pour mettre à jour l’enregistrement de ressource SOA (Start of Authority).

D. Vrai : L’enregistrement texte (TXT) contiendra les informations relatives aux normes de fonctionnement DNS que vous appliquerez à la zone.

E. Vrai : Une adresse de messagerie est affectée à l’enregistrement RP pour permettre à d’autres de communiquer avec l’opérateur en cas de questions ou de problèmes liés à la résolution des noms.

F. Faux : Comme cette zone est nouvelle, elle ne devrait contenir aucun enregistrement non utilisé.

G. Faux : Les zones de recherche inversées ne sont nécessaires que si votre zone héberge des applications web sûres. Aucune information relative à une telle application ne vous a été donnée.

2. Bonnes réponses : A et B

A. Vrai : Comme toutes les zones se trouvent sur des contrôleurs de domaine, vous devez utiliser des informations d’identification d’administrateur pour gérer DNS.

B. Vrai : Si le serveur n’est pas listé dans la partition, cette dernière ne sera pas disponible au serveur.

C. Faux : Les informations d’identification d’administrateur de l’entreprise ne sont nécessaires que pour créer la partition d’application, non pour l’attribuer.

D. Faux : Vous pouvez utiliser la ligne de commandes pour attribuer des zones

à des partitions, mais cela n’est pas obligatoire.

E. Faux : Vous pouvez toujours modifier l’étendue de la réplication d’une partition dans DNS après sa création. C’est l’une des tâches de base des administrateurs de zone DNS.

30

Réponses

Chapitre 9 : Réponses aux cas pratiques

Scénario : Bloquer des noms DNS spécifiques

Trey Research peut ajouter les deux noms problématiques à la liste de blocage des requê- tes globale sur ses serveurs DNS. Pour ce faire, utilisez la ligne de commandes avec la commande correspondante :

dnscmd /config /globalqueryblocklist wpad isatap biometrics biology

Cette commande garantit que les protocoles WPAD et ISATAP, qui sont bloqués par défaut, le seront toujours et ajoute les deux noms de service problématiques. Maintenant, même si les stratégies d’administration ne sont pas appliquées, les possibilités de piratage sont grandement limitées.

Souvenez-vous que cette commande affecte toutes les zones de recherche directe héber- gées sur un serveur DNS particulier. Si vous possédez d’autres serveurs DNS hébergeant d’autres zones, comme un serveur DNS dans un domaine enfant, vous devez y exécuter également cette commande.

Chapitre 10 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : D

A. Faux : Comme vous mettez à niveau le système d’exploitation d’un contrôleur de domaine, vous devez accomplir une autre étape au préalable.

B. Faux : Vous devez exécuter la commande Adprep /domainprep /gpprep avant de mettre à niveau le contrôleur de domaine, mais vous devez accomplir une autre étape avant d’exécuter cette commande.

C. Faux : Le serveur est déjà un contrôleur de domaine. Il n’est donc pas nécessaire d’exécuter l’Assistant Installation des services de domaine Active Directory.

D. Vrai : Vous devez d’abord exécuter Adprep /forestprep sur le contrôleur de schéma de la forêt pour préparer la forêt d’un contrôleur de domaine Windows Server 2008.

E. Faux : La commande Adprep /rodcprep doit être exécutée avant l’installation d’un contrôleur de domaine en lecture seule.

2. Bonnes réponses : B, C et D

A. Faux : Comme le domaine n’est composé que de contrôleurs de domaine Windows Server 2008, il n’est pas nécessaire d’exécuter Adprep /rodcprep.

B. Vrai : Pour autoriser un utilisateur qui n’est pas un administrateur à relier un contrôleur de domaine en lecture seule au domaine, vous devez prédéfinir un compte dans l’OU Domain Controllers.

Réponses

31

C. Vrai : L’option UseExistingAccount de Dcpromo.exe permet de relier un serveur à un compte de RODC prédéfini.

D. Vrai : Pour relier un serveur à un compte de RODC prédéfini, le serveur doit être supprimé du domaine avant l’exécution de Dcpromo.exe.

3. Bonne réponse : C

A. Faux : NTBackup et les sauvegardes de l’état du système ne sont pas prises en charge dans Windows Server 2008.

B. Faux : L’ajout des fonctionnalités de sauvegarde de Windows Server ne suffit pas à créer un support d’installation.

C. Vrai : La commande Ntdsutil.exe permet de créer un support d’installation. Les options Sysvol et Full créent un support d’installation qui inclut SYSVOL pour un contrôleur de domaine accessible en écriture.

D. Faux : On n’utilise pas une copie de l’annuaire et de SYSVOL pour installer un contrôleur de domaine.

Leçon 2

1. Bonne réponse : E

A. Faux : Le maître d’infrastructure ne doit pas être placé sur un contrôleur de domaine qui est un serveur de catalogue global, sauf si tous les contrôleurs de domaine du domaine le sont.

B. Faux : Bien que le transfert du rôle de maître RID présente des avantages, cette solution ne convient pas à ce scénario.

C. Faux : Bien que le transfert du rôle de contrôleur de schéma présente des avantages, cette solution ne convient pas à ce scénario.

D. Faux : Bien que le transfert du rôle de maître d’attributs de noms de domaine présente des avantages, cette solution ne convient pas à ce scénario.

E. Vrai : Le maître d’infrastructure ne doit pas être placé sur un contrôleur de domaine qui est un serveur de catalogue global, sauf si tous les contrôleurs de domaine du domaine le sont. Comme SERVER02 n’est pas un serveur de catalogue global, vous devez transférer le rôle de maître d’infrastructure à

SERVER02.

2. Bonnes réponses : D et E

A. Faux : Le rôle de maître d’infrastructure est propre à chaque domaine. Vous n’avez pas besoin de le transférer et, en fait, vous ne devez pas le transférer vers un contrôleur de domaine d’un autre domaine.

B. Faux : Le rôle d’émulateur PDC est propre à chaque domaine. Vous n’avez pas besoin de le transférer et, en fait, vous ne devez pas le transférer vers un contrôleur de domaine d’un autre domaine.

32

Réponses

C. Faux : Le rôle de maître RID est propre à chaque domaine. Vous n’avez pas besoin de le transférer et, en fait, vous ne devez pas le transférer vers un contrôleur de domaine d’un autre domaine.

D. Vrai : Le rôle de contrôleur de schéma est un rôle de forêt. Vous devez le transférer dans le domaine contoso.com avant de désactiver le domaine.

E. Vrai : Le rôle de maître d’attribut de noms de domaine est un rôle de forêt. Vous devez le transférer dans le domaine contoso.com avant de rétrograder le domaine.

3. Bonnes réponses : A, B et C

A. Vrai : Le maître d’infrastructure est un maître d’opérations de domaine.

B. Vrai : L’émulateur PDC est un maître d’opérations de domaine.

C. Vrai : Le maître RID est un maître d’opérations de domaine.

D. Faux : Le contrôleur de schéma est un maître d’opérations de forêt et non de domaine.

E. Faux : Le maître d’attribution de noms de domaine est un maître d’opérations de forêt et non de domaine.

Leçon 3

1. Bonnes réponses : C et D

A. Faux : La réplication de SYSVOL avec DFS-R au sein d’un domaine dépend des contrôleurs de domaines de ce domaine, et non de contrôleurs de domaine d’autres domaines.

B. Faux : La réplication de SYSVOL avec DFS-R au sein d’un domaine dépend du niveau fonctionnel de domaine de ce domaine, et non du niveau fonctionnel de la forêt.

C. Vrai : Tous les contrôleurs de domaine doivent exécuter Windows Server 2008 avant de pouvoir répliquer SYSVOL en utilisant DFS-R au sein de ce domaine.

D. Vrai : Le domaine doit être au niveau fonctionnel de domaine Windows Server 2008 avant de pouvoir répliquer SYSVOL en utilisant DFS-R au sein de ce domaine.

E. Faux : La réplication de SYSVOL avec DFS-R au sein d’un domaine dépend du niveau fonctionnel de domaine de ce domaine, et non du niveau fonctionnel de domaine d’autres domaines.

2. Bonne réponse : A

A. Vrai : La commande Dfsrmig.exe est utilisée pour migrer la réplication de SYSVOL de FRS vers DFS-R.

B. Faux : La commande Repadmin.exe est utilisée pour gérer la réplication d’Active Directory, et non la réplication de SYSVOL.

Réponses

33

C. Faux : La commande Dfsutil.exe est utilisée pour accomplir des tâches administratives dans un espace de noms DFS, et non pour configurer la réplication de SYSVOL.

D. Faux : La commande Dfscmd.exe est utilisée pour accomplir des tâches administratives dans un espace de noms DFS, et non pour configurer la réplication de SYSVOL.

Chapitre 10 : Réponses aux cas pratiques

Scénario : Mettre à niveau un domaine

1. Vous devez exécuter Adprep /forestprep avant d’installer un contrôleur de domaine Windows Server 2008 dans une forêt.

2. Il n’est pas possible que tous les contrôleurs de domaine d’un domaine soient en lecture seule. Il doit y avoir au moins un contrôleur de domaine accessible en écriture. Les trois succursales ne peuvent donc pas être servies par des contrôleurs de domaines en lecture seule. Un DC doit être accessible en écriture. Sinon, il faut qu’un DC accessible en écriture soit maintenu dans un emplacement central et que les trois RODC soient déployés dans les trois succursales.

3. Lorsque des temps d’inactivité ont été planifiés par un serveur qui exécute des opérations à maître unique, vous devez transférer les opérations vers un autre contrôleur de domaine. Lorsque le maître d’opérations d’origine revient en ligne, vous pouvez lui transférer de nouveau les opérations.

Chapitre 11 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : C

A. Faux : Tous les contrôleurs de domaine sont assignés à un site. Il peut s’agir du mauvais site, mais il est reflété comme un objet serveur dans un site.

B. Faux : Vous ne pouvez pas créer de site sans lien de sites. Le site de la succursale se trouve donc sur un lien de sites. Cela peut être le mauvais lien de sites, mais il est affecté à un lien de sites.

C. Vrai : Si la plage d’adresses IP de la succursale n’est pas représentée par un objet sous-réseau qui sera ensuite associé au site, les ordinateurs pourraient s’authentifier auprès des contrôleurs de domaine d’un autre site.

D. Faux : Il n’est pas possible d’affecter un sous-réseau à deux sites différents.

2. Bonnes réponses : A, D et E

A. Vrai : Un objet sous-réseau avec la plage d’adresses IP de la succursale permet aux clients d’être informés de leur site.

34

Réponses

B. Faux : Le compte d’ordinateur de chaque contrôleur de domaine doit se trouver dans l’OU Domaine Controllers.

C. Faux : Deux protocoles de transport de liens de sites sont pris en charge par Active Directory : IP et SMTP. Aucun autre protocole n’est nécessaire.

D. Vrai : Un objet site de la succursale est nécessaire pour gérer l’emplacement du service, comme l’authentification, au sein de la succursale.

E. Vrai : L’objet site doit contenir un objet serveur pour le contrôleur de domaine.

Leçon 2

1. Bonne réponse : D

A. Faux : Un contrôleur de domaine en lecture seule doit toujours être capable de contacter un serveur de catalogue global.

dans

B. Faux

:

Les

partitions

d’applications

ne

sont

pas

impliquées

l’authentification utilisateur.

C. Faux : La réplication inter-sites ne règle pas le problème causé lorsque le contrôleur de domaine de la succursale ne peut pas contacter un serveur de catalogue global.

D. Vrai : La mise en cache de l’appartenance au groupe universel, mise en œuvre pour le site de la succursale, fera que le contrôleur de domaine mettra en cache les appartenances au groupe universel de l’utilisateur depuis un serveur de catalogue global, afin que l’ouverture de session ne soit pas refusée.

2. Bonnes réponses : D et E

A. Faux : La partition de schéma est répliquée vers tous les contrôleurs de domaine de la forêt. Toutefois, vous devez vous assurer que le contrôleur de domaine que vous rétrogradez n’est pas contrôleur de schéma.

B. Faux : La partition de configuration est répliquée vers tous les contrôleurs de domaine de la forêt.

C. Faux : Le contexte de nommage du domaine est répliqué vers tous les contrôleurs de domaine du domaine.

D. Vrai : Par défaut, un catalogue global ne peut se trouver que sur un seul contrôleur de domaine. Il est possible que le contrôleur de domaine que vous souhaitez rétrograder soit le seul serveur de catalogue global. Dans ce cas, vous devez configurer un autre serveur de catalogue global avant de rétrograder le contrôleur de domaine.

E. Vrai : Les partitions d’applications peuvent être hébergées sur un ou plusieurs contrôleurs de domaine. Il est possible qu’une partition d’application se trouve uniquement sur le contrôleur de domaine que vous prévoyez de rétrograder.

Réponses

35

3. Bonne réponse : C

A. Faux : Vous pouvez utiliser Dcpromo.exe pour spécifier qu’un nouveau contrôleur de domaine doit être un serveur de catalogue global, mais vous ne pouvez pas l’employer pour modifier des contrôleurs de domaine existants.

B. Faux : Vous pouvez utiliser l’Assistant Installation des services de domaine Active Directory pour spécifier qu’un nouveau contrôleur de domaine doit être un serveur de catalogue global, mais vous ne pouvez pas l’employer pour modifier des contrôleurs de domaine existants.

C. Vrai : Utilisez le composant logiciel enfichable Sites et services Active Directory pour configurer un serveur de catalogue global en ouvrant les propriétés de l’objet NTDS Settings dans l’objet serveur qui représente le contrôleur de domaine.

D. Faux : Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ne permet pas de configurer des serveurs de catalogue global.

E. Faux : Le composant logiciel enfichable Domaines et approbations Active Directory ne permet pas de configurer des serveurs de catalogue global.

Leçon 3

1. Bonne réponse : D

A. Faux : Le coût total de la réplication du Site A vers le Site C sur les liens vers

le Site B est de 350. Le coût de la réplication sur le lien A-C n’est que de 100.

La réplication utilisera le lien A-C.

B. Faux : Le coût total de la réplication du Site A vers le Site C sur les liens vers

le Site B est de 350. Le coût de la réplication sur le lien A-C n’est que de 100.

La réplication utilisera le lien A-C.

C. Faux : Le coût total de la réplication du Site A vers le Site C sur les liens vers

le Site B est de 150. Le coût de la réplication sur le lien A-C n’est que de 100.

La réplication utilisera le lien A-C.

D. Vrai : Le coût total de la réplication du Site A vers le Site C sur les liens vers

le Site B est de 200. Si le coût de la réplication sur le lien A-C n’est que de

200, la réplication utilisera les liens A-B et C-B.

2. Bonnes réponses : B et C

A. Faux : S’il existe un lien de sites entre A et C, il est possible que la réplication ait lieu sur ce lien. Vous n’avez pas empêché la réplication directe entre Site

A et Site C.

B. Vrai : Pour empêcher la réplication entre les Sites A et C, vous devez supprimer le lien de sites qui contient ces deux liens.

36

Réponses

D. Faux : La réduction des coûts des liens de sites va encourager la réplication à éviter de créer une connexion sur le lien A-C. Toutefois, elle ne garantit pas que les changements seront envoyés en premier lieu au Site B.

3. Bonne réponse : A

A. Vrai : Si la connectivité IP n’est pas disponible, SMTP doit être utilisé pour la réplication mais ne peut pas être utilisé pour répliquer le contexte de nommage du domaine. En conséquence, le navire doit se trouver dans un domaine distinct de la forêt.

B. Faux : L’augmentation du coût du lien de site ne permettra pas la réplication entre le navire et le siège.

C. Faux : La désignation d’un serveur tête de pont ne permettra pas la réplication entre le navire et le siège.

D. Faux : La création manuelle d’un objet connexion ne permettra pas la réplication entre le navire et le siège.

4. Bonnes réponses : A et B

A. Vrai

Directory, vous pouvez cliquer droit sur NTDS Settings et forcer la réplication.

B. Vrai : L’outil de diagnostic de la réplication, Repadmin.exe, permet de forcer la réplication depuis la ligne de commandes.

C. Faux : L’outil de diagnostic du service d’annuaire, Dcdiag.exe, est un outil en ligne de commandes qui permet de tester la santé de la réplication et la sécurité des services de domaine Active Directory.

D. Faux : Le composant logiciel enfichable Domaines et approbations Active Directory permet de créer et de gérer des objets utilisateur, groupe et ordinateur. mais pas de forcer la réplication.

Dans le composant logiciel enfichable Sites et services Active

:

Chapitre 11 : Réponses aux cas pratiques

Scénario : Configurer des sites et des sous-réseaux

1. Créez un site Active Directory pour Denver. La topologie de la réplication intrasite, créée par le vérificateur de cohérence des données (KCC), génère une topologie bidirectionnelle avec un maximum de trois sauts. La réplication se produira en une minute. Si le siège et le magasin se trouvent dans des sites distincts, la fréquence de la réplication inter-sites est au mieux de 15 minutes.

2. La désignation d’un serveur tête de pont privilégié est utile pour garantir que le rôle est joué par un serveur disposant des ressources système les plus disponibles. Elle peut être également utile si la configuration du réseau, les pare-feu par exemple, requiert que le trafic de réplication soit dirigé vers une seule adresse IP. Toutefois, si le serveur tête de pont privilégié n’est pas disponible, le générateur de

Réponses

37

topologie inter-sites (ISTG) ne désignera pas automatiquement un serveur tête de pont temporaire. En conséquence, la réplication s’interrompt si le serveur tête de pont préféré est hors ligne.

3. Pour obtenir une véritable topologie hub-and-spoke, vous devez créer cinq liens de sites. Chacun d’eux contient le site Denver et l’une des succursales. En conséquence, les cinq liens de sites sont : Denver–Portland, Denver–Seattle, Denver–Chicago, Denver–Miami et Denver–Fort Lauderdale. Vous devez également désactiver la transitivité des liens de sites afin que la réplication ne puisse pas construire de connexions qui outrepassent le site Denver.

4. Créez un objet connexion manuellement pour le contrôleur de domaine du magasin afin qu’il reçoive la réplication de SERVER01. Un objet connexion manuel ne sera pas supprimé par le KCC lorsqu’il construira la topologie de la réplication intrasite.

Chapitre 12 : Réponses aux questions de révision

Leçon 1

1. Bonnes réponses : A et D

A. Vrai : Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, vous pouvez cliquer droit sur le nœud racine du composant ou sur le domaine : vous trouverez alors la commande Augmenter le niveau fonctionnel du domaine.

B. Faux : Le Schéma Active Directory ne permet pas d’augmenter le niveau fonctionnel du domaine.

C. Faux : Sites et services Active Directory ne permet pas d’augmenter le niveau fonctionnel du domaine.

D. Vrai : Cliquez avec le bouton droit sur le domaine dans le composant logiciel enfichable Domaines et approbations Active Directory et choisissez Augmenter le niveau fonctionnel du domaine.

2. Bonnes réponses : B, D et E

A. Faux : Vous devez posséder un contrôleur de domaine accessible en écriture qui exécute Windows Server 2008 avant d’ajouter un contrôleur de domaine en lecture seule au domaine. Vous possédez déjà un contrôleur de domaine Windows Server 2008 dans le domaine contoso.com.

B. Vrai : Le niveau fonctionnel de domaine doit au moins être défini à Windows Server 2003 avant que vous ne puissiez ajouter un RODC.

C. Faux : Vous ne pouvez pas augmenter le niveau fonctionnel du domaine à Windows Server 2008, car vous avez un contrôleur de domaine qui exécute Windows Server 2003.

38

Réponses

D. Vrai : Le niveau fonctionnel de forêt doit au moins être défini à Windows Server 2003 avant que vous ne puissiez ajouter un RODC.

E. Vrai : Vous devez exécuter Adprep /rodcprep avant d’ajouter le premier RODC

à un domaine.

F. Faux : Vous possédez déjà un contrôleur de domaine Windows Server 2008. Vous avez donc déjà exécuté Adprep /forestprep.

3. Bonne réponse : C

A. Faux : Les contrôleurs de domaine en lecture seule ne sont pas requis pour mettre en œuvre une stratégie de mot de passe à grain fin.

B. Faux : La commande Dfsrmig.exe configure la réplication DFS-R de SYSVOL.

C. Vrai : Le niveau fonctionnel de forêt Windows Server 2008 est requis pour les stratégies de mot de passe à grain fin.

D. Faux : Les stratégies de mot de passe à grain fin ne sont pas gérées par la console GPMC.

Leçon 2

1. Bonnes réponses : A, C et G

A. Vrai : Les utilisateurs de wingtiptoys.com s’authentifieront auprès des ordinateurs du domaine tailspintoys.com. Cela fait de wingtiptoys.com le domaine approuvé. L’approbation que vous configurez dans wingtiptoys.com est une approbation entrante.

B. Faux : Une approbation sortante permettrait aux utilisateurs de tailspintoys.com de s’authentifier auprès des ordinateurs de wingtiptoys.com.

C. Vrai : Les utilisateurs de wingtiptoys.com doivent se connecter aux ordinateurs de tailspintoys.com, mais rien n’oblige les utilisateurs de tailspintoys.com à s’authentifier auprès d’ordinateurs de wingtiptoys.com.

D. Faux : Les utilisateurs de tailspintoys.com ne sont pas obligés de se connecter

à des ordinateurs de wingtiptoys.com.

E. Faux : Les approbations de domaine sont créées avec des domaines Kerberos v5 et non avec des domaines Windows.

F. Faux : Une approbation raccourcie est utilisée entre des domaines d’une forêt multidomaine.

G. Vrai : Comme les utilisateurs des domaines europe.wingtiptoys.com et de wingtiptoys.com s’authentifient avec des ordinateurs situés dans tailspintoys.com, une approbation de forêt est nécessaire. Les approbations de forêt sont transitives.

H. Faux : Une approbation externe ne permet pas aux utilisateurs du domaine europe.wingtiptoys.com de s’authentifier auprès des ordinateurs du domaine tailspintoys.com.

Réponses

39

2. Bonnes réponses : C et D

A. Faux : La création de comptes dupliqués ne permettra pas aux utilisateurs d’accéder aux ressources.

B. Faux : La reconstruction du domaine Windows NT 4.0 ne permettra pas aux utilisateurs d’accéder aux ressources.

C. Vrai : Le paramètre /verify vérifie la santé d’une relation d’approbation existante. Comme certains utilisateurs peuvent accéder aux ressources, la relation d’approbation est reconnue comme saine.

D. Vrai : Le fait que les comptes problématiques soient migrés depuis Windows NT 4.0 suggère qu’il existe des SID filtrés dans les attributs sIDHistory des utilisateurs, car le filtrage des SID est activé par défaut dans toutes les approbations externes. Le paramètre /quarantine:no désactivera le filtrage des SID.

3. Bonne réponse : D

A. Faux : La réinstallation des systèmes d’exploitation ne résoudra pas le problème car la performance est suffisante pour accéder aux ressources dans les domaines des utilisateurs.

B. Faux : Peu importe que l’adresse IP soit affectée de manière statique ou dynamique.

C. Faux : Le problème ne provient pas des mises à jour dynamiques des enregistrements DNS.

D. Vrai : Une approbation raccourcie améliore la performance en autorisant des contrôleurs de domaine d’un domaine à se rapporter à des clients situés dans l’autre domaine directement et non via le domaine racine de la forêt.

Chapitre 12 : Réponses aux cas pratiques

Scénario : Gérer plusieurs domaines et forêts

1. Vous devez augmenter le niveau fonctionnel de domaine et de forêt au moins à Windows Server 2003. Les approbations de forêt ne sont autorisées qu’aux niveaux fonctionnels de forêt Windows Server 2003 et Windows Server 2008.

2. Comme vous ne possédez pas de compte dans le domaine wingtiptoys.com, vous ne pouvez que des approbations entrantes et sortantes à sens unique. Les administrateurs de wingtiptoys.com doivent créer des approbations entrantes et sortantes à sens unique réciproques.

3. Vous devez activer l’authentification sélective dans l’approbation sortante. Ensuite, accordez à ces utilisateurs l’autorisation Autorisation d’authentifier sur les objets ordinateur des quatre serveurs.

40

Réponses

Chapitre 13 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : B

A. Faux : Le service AD DS redémarrable est l’une des fonctionnalités les plus intéressantes de Windows Server 2008.

B. Vrai : Si une personne travaille sur un autre contrôleur de domaine dans le domaine racine de la forêt et qu’elle a arrêté le service AD DS, vous ne pourrez pas l’arrêter sur ce serveur car il faut qu’au moins un contrôleur de domaine soit opérationnel dans chaque domaine pour pouvoir l’arrêter.

C. Faux : Vous n’avez pas besoin d’utiliser le mode DSRM dans Windows Server 2008 pour accomplir des opérations dans la base de données sur un contrôleur de domaine.

D. Faux : Vous pouvez arrêter le service AD DS soit via la ligne de commandes, soit via la console Services.

2. Bonnes réponses : D et F

A. Faux : Si le serveur tombe en panne, vous ne pouvez pas le redémarrer en mode DSRM.

B. Faux : Vous n’avez pas besoin d’accomplir une restauration faisant autorité, car rien n’indique que le serveur contenait des données perdues qui ne se trouvent pas sur les autres contrôleurs de domaine.

C. Faux : Vous n’avez pas besoin de réinstaller le système d’exploitation si vous avez accès aux sauvegardes complètes du serveur.

D. Vrai : Vous devez redémarrer le serveur avec WinRE pour lancer l’opération de récupération complète du serveur.

E. Faux : Vous ne pouvez pas accomplir de restauration ne faisant pas autorité avec Ntdsutil.exe dans Windows Server 2008. Vous devez utiliser l’outil Sauvegarde de Windows Server ou Wbadmin.exe.

F. Vrai : Vous pouvez accomplir une récupération complète du serveur soit via la ligne de commandes, soit via l’interface graphique.

Leçon 2

1. Bonnes réponses : C et D

A. Faux : Les dates d’expiration n’arrêtent pas un ensemble de collectes. Elles empêchent le démarrage des nouvelles collections lorsque la date d’expiration est atteinte.

B. Faux : Pour s’exécuter, les ensembles de collecteurs doivent être dans les temps. Sinon, ils s’interrompent si l’utilisateur qui les a créés se déconnecte.

Réponses

41

D. Vrai : Vous devez définir une durée pour chaque ensemble de collecteurs lorsque vous planifiez son exécution, faute de quoi il ne s’arrête pas.

2. Bonnes réponses : A, B, C et D

A. Vrai : Le Moniteur de fiabilité indique si des changements ont été apportés récemment au serveur et s’ils peuvent être liés à des goulets d’étranglement.

B. Vrai : L’Observateur d’événements, en particulier le journal d’événements Système, révélera toutes les erreurs ou les avertissements sur la performance du système.

C. Vrai : Le Gestionnaire de tâches affiche une vue en temps réel des ressources et vous permet d’identifier les goulets d’étranglement potentiels.

D. Vrai : Le Moniteur de fiabilité, en particulier les modèles d’ensembles de collecteurs de données basés sur les rôles, permettent de découvrir rapidement les problèmes de performance liés à la configuration du serveur en cours et recommander d’éventuels changements en vue d’améliorer la performance.

Chapitre 13 : Réponses aux cas pratiques

Scénario : Travailler avec des données perdues

Occasionnellement, en particulier dans des forêts de grande taille, il peut arriver qu’une personne supprime un conteneur en même temps qu’une autre crée ou modifie un objet situé dans ce même conteneur. Il peut s’agir de contrôleurs de domaine entièrement dif- férents, mais lorsque la réplication synchronise les données sur les contrôleurs de domaine, l’objet nouvellement créé n’a plus de résidence. Si cela se produit, AD DS stocke automatiquement ces objets dans le conteneur LostAndFound. Ce conteneur spé- cial gère les objets perdus et trouvés dans le domaine. Un autre conteneur spécial nommé LostAndFoundConfig, gère les objets perdus et trouvés pour l’ensemble de la forêt. Le conteneur LostAndFoundConfig se trouve uniquement dans le domaine racine de la forêt.

En conséquence, vous devez passer régulièrement en revue ces conteneurs pour détermi- ner si ces objets doivent être déplacés vers de nouveaux conteneurs ou simplement sup- primés de l’annuaire.

Utilisez la procédure suivante pour vérifier le conteneur LostAndFound dans un domaine enfant.

1. Placez-vous dans la portion Utilisateurs et ordinateurs Active Directory du Gestionnaire de serveur.

2. Cliquez sur Affichage, choisissez Fonctionnalités avancées, développez l’arborescence et cliquez sur le conteneur LostAndFound.

42

Réponses

Faites attention lorsque vous supprimez des objets. Passez bien en revue leurs propriétés avant de poursuivre. Il est parfois préférable de déplacer un objet et de le désactiver en attendant d’avoir consulté vos pairs. Souvenez-vous que les SID supprimés ne sont pas récupérables.

Chapitre 14 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : C

A. Faux : Les processus d’installation existants doivent s’achever avant que vous ne puissiez lancer une autre installation. Il est difficile de dire si les processus d’installation se sont achevés lorsque vous utilisez la ligne de commandes, sauf si vous utilisez la commande Start /w qui ne revient à l’invite de commandes que si une opération est terminée. Après un redémarrage, vous découvrirez qu’aucun processus d’installation n’est en cours, mais que vous ne pouvez toujours pas désinstaller AD LDS.

B. Faux : Le Gestionnaire de serveur ne résout pas ce problème car vous devez supprimer toutes les instances d’AD LDS avant de pouvoir supprimer ce rôle.

C. Vrai : Vous devez supprimer toutes les instances d’AD LDS existantes avant de pouvoir supprimer ce rôle de serveur. C’est l’une des raisons pour lesquelles la documentation de ces instances est si importante.

D. Faux : Oclist vous donne le nom de tous les rôles et fonctionnalités à utiliser avec la commande Ocsetup. Toutefois, il s’agit d’une installation complète de Windows Server 2008 puisque vous avez accès au Gestionnaire de serveur. Oclist ne fonctionne pas dans une installation complète.

Leçon 2

1. Bonne réponse : D

A. Faux : Toutes instances d’AD LDS ont un schéma et tous les schémas des instances peuvent être modifiés. C’est l’une des raisons pour lesquelles vous devez utiliser AD LDS au lieu d’AD DS pour intégrer des applications.

B. Faux : Vous pouvez apporter des modifications à l’instance avec la commande LDP.exe mais les modifications du schéma doivent s’accomplir via le composant logiciel enfichable Schéma Active Directory.

C. Faux : Vous pouvez apporter des modifications à l’instance avec les fichiers LDIF et la commande LDIFDE.exe mais les modifications du schéma doivent s’accomplir via le composant logiciel enfichable Schéma Active Directory.

Réponses

43

vous devez utiliser Instance01:389. Toutefois, comme votre schéma des services de domaine Active Directory utilise également le port 389, et que votre serveur est membre d’un domaine, le composant logiciel enfichable Schéma Active Directory ne se connectera pas à l’instance. C’est l’une des raisons pour lesquelles vous ne devez jamais utiliser le port 389 pour les instances d’AD LDS dans un domaine.

Chapitre 14 : Réponses aux cas pratiques

Scénario : Déterminer les prérequis de l’instance AD LDS

Consultez les informations relatives à AD LDS sur Microsoft Technet pour les technolo- gies Active Directory. Vous y trouverez les réponses suivantes :

1. Un lecteur de données doit être créé pour chaque serveur qui hébergera des instances d’AD LDS. Comme ces serveurs hébergeront des magasins d’annuaire, vous devez placer ceux-ci sur un disque séparé de celui du système d’exploitation et dans des dossiers distincts, de sorte à pouvoir les identifier aisément.

2. Vous devez toujours utiliser des noms significatifs pour identifier des instances. Par exemple, le nom de l’application lié à une instance est un bon candidat. Les noms d’instance permettent d’identifier l’instance sur l’ordinateur local, et d’identifier et de nommer les fichiers qui constituent l’instance et le service qui la prend en charge. Les noms ne peuvent pas inclure d’espaces ni de caractères spéciaux.

3. AD LDS et AD DS utilisent les mêmes ports pour communiquer. Il s’agit du port par défaut pour LDAP ou LDAP sur SSL (389) ou du port Secure LDAP (636). AD DS utilise deux autres ports : 3268 et 3269, qui emploient respectivement LDAP et Secure LDAP pour accéder au catalogue global. Comme AD DS et AD LDS utilisent les mêmes ports, vous devez prendre l’habitude d’en employer d’autres au-delà de la plage 50000 pour vos instances d’AD LDS. Ils seront ainsi isolés des services AD DS, en particulier si l’instance est installée dans un domaine. En outre, vous devez installer des certificats PKI sur chaque instance d’AD LDS pour utiliser Secure LDAP pour la communication et la gestion. Cela évitera que l’on modifie ou détecte des données AD LDS.

4. Idéalement, chaque instance d’AD LDS doit utiliser une partition d’application, même si aucune réplication n’est nécessaire. La création d’une partition d’application simplifie la gestion de l’instance grâce à différents outils.

5. Les instances doivent s’exécuter via l’utilisation d’un compte de service. Vous pouvez utiliser le compte Service réseau, mais si vous essayez d’exécuter plusieurs instances, il est recommandé d’utiliser des comptes de service nommés pour chaque instance. De cette manière, vous savez exactement à quel moment l’instance accomplit des opérations car vous pouvez afficher les connexions aux comptes de service dans l’Observateur d’événements.

44

Réponses

Chapitre 15 : Réponses aux questions de révision

Leçon 1

1. Bonnes réponses : B et C.

A. Faux : Bien qu’il soit vrai que l’on ne puisse pas installer d’autorité de certification d’entreprise dans Windows Server 2008 Standard ou Windows Server 2008 Web Edition, vous exécutez Windows Server 2008 Enterprise car vous avez vérifié ce prérequis au début de l’installation.

B. Vrai : Si vous êtes connecté avec un compte local, même s’il s’agit d’un compte avec des privilèges d’administration locaux, vous ne pouvez pas installer d’autorité de certification d’entreprise. Vous devez utiliser un compte de domaine pour installer une autorité de certification d’entreprise.

C. Vrai : Pour installer une autorité de certification d’entreprise, votre serveur doit être un membre du domaine, car ces CA utilisent le service d’annuaire AD DS pour publier et émettre des certificats.

D. Faux : En raison de tous les composants nécessaires pour l’installation d’une CA d’entreprise, vous devez utiliser le Gestionnaire de serveur pour installer ce rôle.

Leçon 2

1. Bonne réponse : B

A. Faux : Bien que vous puissiez utiliser Certutil.exe pour charger des certificats, vous devez également pouvoir accomplir la même opération via l’assistant.

B. Vrai : Les droits d’accès au modèle de certificat ne sont pas définis correctement. Pour charger manuellement le certificat sur le serveur, le compte d’utilisateur doit avoir l’autorisation d’inscrire. En outre, le serveur sur lequel vous chargez le certificat doit également avoir l’autorisation d’inscrire. Vous devez recréer le modèle et l’émettre de nouveau pour corriger ses droits d’accès.

C. Faux : Vous devez pouvoir charger le certificat OCSP sur ce serveur car il s’agit d’un répondeur en ligne.

D. Faux : Bien que le certificat doive pouvoir se charger automatiquement s’il possède l’autorisation d’auto-inscription, rien d’autre que les droits d’accès ne peut vous empêcher de le charger manuellement.

Réponses

45

Chapitre 15 : Réponses aux cas pratiques

Scénario : Gérer la révocation de certificat

Vous communiquez l’information à vos supérieurs. Ils doivent porter plainte immédiate- ment pour empêcher ces deux employés de vendre des certificats au nom de Contoso. De plus, vos commerciaux doivent se mettre en devoir de vérifier auprès de vos clients les dommages éventuels. La présence sur le marché de logiciels qui ne proviennent pas de Contoso, tout en contenant des certificats émanant de Contoso, peut être extrêmement préjudiciable à la réputation de votre entreprise.

En ce qui vous concerne, vous bloquez immédiatement l’utilisation des certificats. Pour ce faire, vous devez d’abord remettre l’autorité de certification en ligne. Puis vous utilisez le Gestionnaire de serveur pour révoquer les deux certificats volés. Heureusement, lors- que vous annulez ces certificats, tous ceux qui ont été délivrés à partir de cette source vont être automatiquement invalidés.

Ensuite, forcez la publication de la liste de révocation de certificats. Pour ce faire, utilisez le nœud Certificats révoqués de la console Autorité de certification. Malheureusement, vous vous rendez compte que, même si vous publiez cette liste immédiatement, les clients n’actualiseront pas la leur avant le prochain cycle de rafraîchissement, qui dépend de la façon dont il est configuré.

qui dépend de la façon dont il est configuré. Enfin, votre organisation doit annoncer publiquement que

Enfin, votre organisation doit annoncer publiquement que ces deux certificats sont inva- lides. Tous les clients de Contoso doivent savoir qu’ils courent un risque et qu’ils doivent vérifier chaque certificat qu’ils reçoivent au nom de Contoso tant que la révocation n’a pas pris effet.

Comme vous le constatez, la sécurité d’une autorité de certification racine est de la plus grande importance dans une architecture d’infrastructure à clé publique.

46

Réponses

Chapitre 16 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : D

A. Faux : Le serveur exécute AD RMS car le nœud AD RMS est disponible dans le Gestionnaire de serveur.

B. Faux : Le certificat de serveur est validé pendant le processus d’installation. Au pire, vous pouvez toujours utiliser un certificat auto-signé. Cela ne peut pas être la cause du problème.

C. Faux : Pour installer AD RMS, votre serveur doit être un membre du domaine, car ces services utilisent le service d’annuaire AD DS pour publier et émettre des certificats.

D. Vrai : Pendant l’installation, votre compte est ajouté au groupe Administrateurs de l’entreprise AD RMS sur l’ordinateur local. Pour mettre à jour les privilèges de votre compte, vous devez vous déconnecter puis vous connecter de nouveau. Sans cette procédure, votre compte ne possédera pas les droits d’accès requis pour exécuter AD RMS.

pas les droits d’accès requis pour exécuter AD RMS. Leçon 2 1. Bonne réponse : B

Leçon 2

1. Bonne réponse : B

A. Faux : Pour accéder à HTTP sur SSL, les utilisateurs doivent utiliser une URL au format https://.

B. Vrai : Le certificat de serveur est validé lorsque les utilisateurs tentent d’accéder à l’URL. S’il ne provient pas d’une CA approuvée, il ne fonctionnera

Réponses

47

pas. Si vous aviez utilisé un certificat auto-signé, l’URL aurait fonctionné au moment où vous y auriez accédé depuis le serveur, car ce dernier approuve son propre certificat mais ne fonctionnera pas dans les navigateurs des utilisateurs, car ceux-ci n’approuvent pas le certificat auto-signé.

C. Faux : Pour accéder à AD RMS depuis l’extérieur du réseau, les utilisateurs n’ont pas besoin d’un compte AD DS.

D. Faux : L’URL est correcte car vous l’avez vérifiée à partir du serveur que vous avez utilisé pour la configurer.

Chapitre 16 : Réponses aux cas pratiques

Scénario : Se préparer à utiliser un cluster AD RMS externe

Le meilleur moyen de partager des infrastructures de stratégie sans mettre en place des approbations de fédération consiste à utiliser une publication de certifications croisées. Cela implique d’utiliser des domaines de publication approuvés qui permettent à votre propre cluster AD RMS d’émettre des licences d’utilisation pour le contenu qui était pro- tégé par un autre cluster AD RMS. Pour créer un domaine de publication approuvé, vous devez importer le certificat de licence serveur du cluster de publication et sa clé privée dans votre propre cluster.

Ensuite, vous devez exporter votre certificat de licence serveur et l’importer dans le clus- ter racine de votre partenaire. Celui-ci doit faire de même. Une fois les deux certificats importés, chaque environnement pourra prendre en charge l’émission des publications et l’utilisation des certificats de l’autre.

Chapitre 17 : Réponses aux questions de révision

Leçon 1

1. Bonne réponse : B

A. Faux : Tous les services peuvent utiliser un compte de service nommé pour fonctionner.

B. Vrai : Le compte de service est automatiquement remplacé par le compte Service réseau pendant l’installation. Une fois la mise à niveau achevée, vous devez redéfinir le compte de service pour chaque service AD FS.

C. Faux : Les stratégies de Woodgrove affecteront les serveurs du réseau Woodgrove et non les vôtres.

D. Faux : Bien que le compte Service réseau possède des droits d’accès limités vers l’ordinateur local et qu’il permette d’utiliser certains services, il ne représente en aucun cas une bonne pratique et Microsoft ne recommande pas de l’utiliser.

48

Réponses

Leçon 2

1. Bonnes réponses : A, B, D et E

A. Vrai : Vous devez communiquer avec votre homologue pour déterminer comment vous allez échanger des fichiers de stratégie pendant la configuration du partenariat.

B. Vrai : Exportez la stratégie partenaire de l’organisation de ressources (Woodgrove Bank) et importez-la dans l’organisation de comptes (Contoso).

C. Faux : La stratégie partenaire doit être exportée depuis l’organisation de ressources (Woodgrove Bank) et importée dans l’organisation de comptes (Contoso). Cette option propose l’inverse.

D. Vrai : Exportez la stratégie d’approbation de l’organisation de comptes (Contoso) et importez-la dans l’organisation de ressources (Woodgrove Bank).

E. Vrai : Vous devez créer et configurer un mappage de revendications dans l’organisation de ressources (Woodgrove Bank).

F. Faux : La stratégie d’approbation doit être exportée de l’organisation de comptes (Contoso) et importée dans l’organisation de ressources (Woodgrove Bank). Cette option propose l’inverse.

Chapitre 17 : Réponses aux cas pratiques

Scénario : Choisir la bonne technologie Active Directory

Les réponses peuvent varier mais doivent contenir tous les éléments présentés ici.

En passant en revue les exigences, vous découvrez qu’il s’agit d’une bonne occasion d’uti- liser les cinq technologies Active Directory. Voici comment vous allez procéder :

1. Vous allez utiliser AD DS pour mettre à niveau le service d’annuaire interne.

2. Vous allez implémenter AD RMS pour protéger votre propriété intellectuelle. Cela signifie que lorsque vous créerez le partenariat, votre organisation sera l’organisation de ressources car vous hébergez l’installation AD RMS.

3. Pour prendre en charge les applications dans l’extranet, vous devez mettre en œuvre la fédération des identités avec AD FS. Vous allez mettre en place le SSO de Web fédéré et votre organisation sera l’organisation de ressources. En outre, vous devrez ajouter les éléments suivants pour prendre en charge chacune des applications.

A. Pour supporter les applications basées sur Windows dans l’extranet, vous devez accéder à un magasin d’annuaire. Comme vous ne voulez pas déployer AD DS dans un extranet en raison des risques encourus, vous allez déployer AD LDS. L’instance d’AD LDS fournira des services de journalisation aux applications Windows via AD FS. Vous installerez l’agent AD FS basé sur les jetons Windows pour prendre en charge la fédération des identités.

Réponses

49

Les applications basées sur le Web seront activées pour AD FS grâce à l’installation de l’Agent AD FS prenant en charge les revendications.

4. Les clients qui accèdent aux applications seront pris en charge par les processus d’AD FS et AD LDS. En particulier, les organisations partenaires et les utilisateurs internes utiliseront AD FS et le grand public se servira des instances d’AD LDS pour accéder aux applications.

5. Vous implémenterez les services de certificats Active Directory pour protéger les communications. Pour faciliter l’accès à toutes les applications et garantir que tous les partenaires pourront valider les certificats que vous générez, vous emploierez une autorité de certification tierce approuvée comme racine de votre déploiement AD CS. Ainsi, tous vos certificats seront approuvés à tout moment, car le certificat racine est approuvé par tous.

Il s’agit des meilleures pratiques de mise en œuvre des cinq technologies Active Directory.

B.