Exercice Active directory domaine groupe et utilisateurs

1.     Tous les comptes d'utilisateur du domaine se trouvent dans l'unité d'organisation Employees. Vous souhaitez empêcher les utilisateurs d'accéder à Internet, à l'exception de quelques-uns qui doivent effectuer une recherche. Comment vous assurer que ces utilisateurs peuvent accéder à Internet, mais pas les autres ?

Vous configurez un objet GPO à l'aide des paramètres qui suppriment l'accès à Internet et vous le liez à l'unité d'organisation Employees. Supprimez ensuite les autorisations Lire et Appliquer la stratégie de groupe de la stratégie de groupe pour les utilisateurs qui doivent effectuer la recherche. L'objet GPO ne s'appliquera plus à ces utilisateurs.

 

2.     Vous avez lié un objet GPO au domaine qui empêche les utilisateurs d'installer une application donnée sur leurs ordinateurs clients. Vous remarquez toutefois que l'application est installée pour plusieurs utilisateurs dans l'unité d'organisation Developers. Pourquoi ? Comment vous assurer que l'application n'est pas installée?

Un administrateur a lié un objet GPO qui permet aux utilisateurs d'installer l'application dans l'unité d'organisation Developers ou l'administrateur a bloqué la fonction d'héritage de la stratégie de groupe, empêchant l'application de l'objet GPO du domaine aux utilisateurs dans l'unité d'organisation. Pour vous assurer que les utilisateurs ne puissent pas installer l'application, vous devez sélectionner l'option Aucun remplacement au niveau du domaine.

 

3.     Votre entreprise compte un administrateur responsable de l'installation des applications appropriées sur les ordinateurs de tous les utilisateurs dans l'unité d'organisation Human Resources à l'aide d'une stratégie de groupe. Cet administrateur ne devrait pas pouvoir modifier les comptes d'utilisateur et d'ordinateur. Comment vous assurer que l'administrateur de logiciels peut installer les logiciels requis à l'aide d'une stratégie de groupe ?

Créez un objet GPO lié à l'unité d'organisation Human Resources qui permet d'affecter les paramètres de logiciels, puis déléguez le contrôle de l'objet GPO à l'administrateur de logiciels. Pour ce faire, définissez les autorisations de lecture et écriture sur l'objet GPO pour l'administrateur de logiciels. L'administrateur de logiciels peut alors modifier les paramètres de l'objet GPO.

 

 

1.     Votre réseau ne nécessite plus le paramètre de modèle d'administration que vous avez configuré. Que faire pour reconfigurer le Registre de la même façon qu'il l'était avant d'avoir configuré les paramètres ?

Sélectionner l'état non configuré du paramètre. Alors le paramètre n'est pas présent dans le fichier Registry.pol. La prochaine fois que l'utilisateur démarrera l'ordinateur et ouvrira une session, le fichier Registry.pol ne contiendra pas ce paramètre ni ses valeurs et ne sera pas appliqué.

 

 

 

2.     Les employés du service Recherche ont besoin d'un raccourci sur leurs bureaux vers une application spéciale d'un autre fabricant située sur un serveur du réseau. Il n'existe aucun paramètre de la stratégie de groupe pouvant fournir ce raccourci. Il existe une unité d'organisation Service Recherche. Que devez-vous faire ?



Écrire un script pour créer des raccourcis sur les bureaux des utilisateurs qui se connectent aux applications et aux documents. Utilisez les paramètres de script de stratégie de groupe pour automatiser l'exécution des script à l'ouverture de session et pour lier l'objet GPO qui contient les paramètres pour l'unité d'organisation Service Recherche.

 

 

3.     Les employés du service Production ouvrent une session sur des ordinateurs clients différents. Tous les utilisateurs ont besoin de disposer de leurs données de travail à tout moment. Que devez-vous faire ?

Redirigez le dossier Mes documents de l'utilisateur vers un dossier partagé sur un serveur réseau. Quelle que soit l'origine d'ouverture de session, les utilisateurs peuvent accéder à leurs documents.

 

4.     Vous devez configurer les paramètres de sécurité identiques pour les six serveurs de domaine qui se trouvent dans la même unité d'organisation. Quelle est la façon la plus simple d'effectuer cette tâche ?

Créer et tester un modèle de sécurité avec les paramètres requis. Importer le modèle dans un objet GPO et lier ce dernier à l'unité d'organisation qui contient les serveurs de domaine.

5.     Vous ne souhaitez pas que les utilisateurs soient en mesure d'ouvrir le Panneau de configuration et accéder à Affichage ou toutes autres applications. Que devez-vous faire ?

Configurer un paramètre de modèle d'administration (Menu Démarrer et barre des tâches\Désactiver modifications apportées au Panneau de configuration) qui empêche les utilisateurs de modifier le menu Démarrer et la barre des tâches. Le panneau de configuration n'apparaîtra pas dans le menu Démarrer et les utilisateurs ne seront pas en mesure d'y accéder.

1.     Word 2000 servant quotidiennement à tous les utilisateurs de votre entreprise, vous voulez être certain que cette application est toujours disponible même si des utilisateurs la suppriment par mégarde. Quelle méthode de déploiement devez-vous utiliser pour installer cette application si celle-ci doit toujours pouvoir être installée ?

Affectez Word 2000 aux utilisateurs ou aux ordinateurs.

 

 

2.     Vous devez déployer une application de comptabilité servant uniquement aux utilisateurs de l'unité d'organisation Payroll et les utilisateurs doivent y avoir accès. Quelle méthode de déploiement devez-vous utiliser pour installer cette application ?

Vous devez créer un objet GPO lié à l'unité d'organisation Payroll qui affecte l'application de comptabilité aux utilisateurs, ce qui permet de garantir l'accès aux utilisateurs quel que soit l'ordinateur utilisé.

 

3.     Pour les entreprises ayant de nombreuses applications publiées, comment pouvez-vous faciliter la localisation dans le groupe Ajout/Suppression de programmes des applications dont les utilisateurs ont besoin ?

Créez des catégories pour classer l'ordre d'apparition des applications dans le groupe Ajout/Suppression de programmes. Vous pouvez par exemple créer des catégories selon le type d'application (traitement de texte ou graphisme) ou les services (applications pour les services Accounting et Human Resources).

 

4.     Votre entreprise affecte une application de protection contre les virus, fréquemment mise à jour, à tous ses ordinateurs. Vous devez être certain que la dernière version de l'application est installée sur tous les ordinateurs de l'entreprise. Que devez-vous faire lorsque vous recevez de la part de votre fournisseur la dernière version de l'application ?

Déployez la nouvelle version avec une mise à niveau obligatoire de l'application existante. Une mise à niveau obligatoire remplace automatiquement une ancienne version d'un programme par sa version mise à niveau.

1.     Quel est le rôle du domaine racine de la forêt lors de la création d'arborescences dans la forêt ?



Les relations d'approbation sont établies entre la racine de l'arborescence et la racine de la forêt.

 

2.     Pourquoi créez-vous des approbations raccourcies ?

Les approbations raccourcies permettent de réduire le chemin d'approbation utilisé pour l'authentification des ressources.

 

3.     Quel est le rôle du catalogue global pendant le processus d'ouverture de session ?

Un serveur de catalogue global permet de déterminer l'appartenance au groupe universel et d'affecter des noms principaux d'utilisateur aux domaines.

 

4.     Quel est l'avantage d'une appartenance petite et relativement statique pour un groupe universel ?

L'avantage est la réduction du trafic réseau dû à la duplication de l'appartenance du groupe universel aux autres serveurs de catalogue global. L'appartenance relativement statique réduit la fréquence de duplication du groupe universel mis à jour. Une petite liste d'appartenance réduit la quantité de données dupliquées lorsqu'une modification est apportée, car la liste d'appartenance est dupliquée pour n'importe quelle modification.

 

5.     Les trois domaines de votre réseau correspondent à différentes branches de votre entreprise en Amérique du Nord, en Asie et en Europe respectivement. Les comptables des trois domaines doivent accéder aux documents de ces trois domaines. Comment allez-vous configurer l'accès des comptables aux documents de tous les domaines ?

Placez les comptes d'utilisateur des comptables dans chaque domaine d'un groupe global. Puis placez les trois groupes globaux dans un groupe universel. Créez un groupe local de domaine pour affecter l'accès aux ressources. Ajoutez le groupe universel au groupe local de domaine approprié.

 

1.     Tous les contrôleurs de domaine de la duplication sont connectés en boucle. Ainsi, au cours de la duplication, les mises à jour peuvent être dupliquées plusieurs fois vers les contrôleurs de domaine. Comment Active Directory évite ceci ?

Il utilise le vecteur actualisable de blocage de propagation.

 

2.     Un administrateur modifie le numéro de téléphone d'un objet utilisateur dans Active Directory sur un contrôleur de domaine. Quelques instants plus tard, l'utilisateur change son numéro de pager sur un autre contrôleur de domaine. Que se passe-t-il lorsque les deux modifications sont dupliquées sur les contrôleurs de domaine du domaine ?

Les deux modifications sont répercutées sur tous les contrôleurs de domaine. Aucun conflit ne se produit puisque des attributs différents ont été mis à jour, et que la duplication est mise en œuvre au niveau attribut.

 

3.     En observant votre topologie de duplication Active Directory sur votre réseau, vous constatez que l'un de vos meilleurs serveurs n'est pas considéré comme tête de pont. Que pouvez-vous faire pour remédier à cela ?

Configurer ce serveur en tant que serveur tête de pont.

4.     Vous souhaitez limiter le trafic de duplication entre deux contrôleurs de domaine connectés par une liaison étendue. Vous souhaitez également que ce lien soit uniquement employé pour la duplication la nuit. Que devez-vous faire ?

Placez les contrôleurs de domaine dans des sites distincts, et créez un lien de site entre eux avec une duplication planifiée de sorte qu'elle ne se produise que la nuit.

 

 

5.     Pour réduire la congestion de votre réseau, le groupe Services réseau de votre organisation a créé un nouveau segment principal haute vitesse sur un sous-réseau IP distinct pour les serveurs de votre emplacement. Que devrez?vous entreprendre avant de déplacer vos contrôleurs de domaine sur ce nouveau segment principal ?



Associer le sous-réseau du segment principal à un site.

 

6.     Quel utilitaire vous permet de visualiser l'état de la duplication sur les contrôleurs de domaine d'un domaine ?

L'utilitaire Repadmin.exe ou Replication Monitor.

6.     Les maîtres d'opérations sont?ils à l'échelle du domaine ou à celle de la forêt ?

Les contrôleurs de schéma et les maîtres d'attribution de nom de domaine sont à l'échelle de la forêt. L'émulateur CPD, le maître d'infrastructure et le maître RID sont à l'échelle du domaine.

 

7.     Quelles sont les opérations qui ont recours au rôle d'émulateur CPD ?

Toutes les opérations concernant le contrôleur principal de domaine qui prennent en charge les ordinateurs exécutant des versions antérieures à Windows 2000, comme la synchronisation avec les contrôleurs secondaires de domaine.

La réduction des problèmes de latence dus aux modifications de mots de passe.

La gestion de la synchronisation horaire.

La fonction d'explorateur principal de domaine.

 

8.     Existe?t?il un moyen de récupérer le rôle de maître d'opérations quand son contrôleur de domaine est définitivement hors service ?

Oui. Il s'agit d'une opération de prise. Cette opération est parfois appelée « transfert forcé ».

 

9.     Si le maître d'attribution de nom de domaine est indisponible, quelles opérations deviennent irréalisables ?

L'ajout et la suppression de domaines d'une forêt sont impossibles sans le maître d'attribution de nom de domaine.

 

10. Pourquoi ne devez?vous plus prendre un rôle de contrôleur de schéma ?

Si une mise à jour du rôle de contrôleur de schéma a eu lieu récemment sans encore avoir été dupliquée vers le contrôleur de domaine appelé à prendre ce rôle, cette mise à jour sera perdue.

1.     Quel est l'objectif du processus de nettoyage de la mémoire ?

Le processus de nettoyage de la mémoire effectue une défragmentation en ligne et supprime les objets désactivés qui ont expiré.

 

2.     Quel est l'objectif de la durée de vie de l'enregistrement désactivé et en quoi cela affecte-t-il l'opération de restauration ?

La durée de vie de l'enregistrement désactivé est la durée durant laquelle l'objet supprimé reste dans Active Directory pour s'assurer que tous les réplicas sont conscients de sa suppression. La durée de vie de l'enregistrement désactivé affecte l'opération de restauration car, au cours de l'opération de restauration, l'utilitaire de sauvegarde compare la durée de vie de l'enregistrement désactivé avec la date de sauvegarde et ne restaure pas les données sur l'état du système si la sauvegarde est plus ancienne que la durée de vie de l'enregistrement désactivé.

 

3.     Lorsque vous démarrez l'un des contrôleurs de domaine de votre domaine, vous recevez un message d'erreur indiquant qu'Active Directory ne peut pas démarrer car sa base de données est endommagée. Que devez-vous faire pour restaurer la base de données Active Directory et comment vous assurez-vous qu'elle est actualisée ?

Démarrez Windows 2000 en utilisant le mode restauration des services d'annuaire puis utilisez l'utilitaire de sauvegarde pour restaurer les données de l'état du système du contrôleur de domaine. Tant que vous pouvez restaurer une sauvegarde des données sur l'état du système, la duplication actualise Active Directory.

 

4.     Quelqu'un a mal supprimé une unité d'organisation dans Active Directory. Que devez-vous faire ?



Restaurez les données sur l'état du système et marquez l'unité d'organisation spécifique comme étant forcée en utilisant Ntdsutil.exe. Sachez qu'il ne faut pas redémarrer le contrôleur de domaine tant que vous n'avez pas marqué l'objet restauré comme étant forcé en utilisant ntdsutil.

 

5.     Vous envisagez de défragmenter la base de données Active Directory. Quelle précaution devez-vous prendre afin que la base de données d'origine ne soit pas supprimée en cas de problème au cours de la défragmentation ?

Ne copiez pas la base de données défragmentée vers la base de données d'origine avant d'avoir vérifié que la base de données défragmentée fonctionne correctement. Pour utiliser la base de données défragmentée dans un emplacement différent, vous pouvez copier la base de données d'origine dans un emplacement de sauvegarde, puis copier le fichier défragmenté dans l'emplacement d'origine.

 

6.     Quel type de défragmentation effectueriez-vous pour créer une version compressée du fichier de base de données ?

Une défragmentation hors connexion.