QCM stratégie du groupe GPO et sécurité du domaine serveur

2612.

Vous êtes administrateur de l'entreprise TyStylo Inc. Le réseau est composé de deux domaines nommés tystylo.inc et recherche.tystylo.inc. Il comprend deux contrôleurs de domaine exécutant Windows Server 2003 et environ 500 ordinateurs clients exécutant Windows XP professionnel.

Pour des raisons de sécurité vous utilisez habituellement un compte d'utilisateur nommé SamTest qui est membre du groupe Utilisateurs avec pouvoir. Vous souhaitez pouvoir administrer à distance les objets de l'annuaire Active Directory en utilisant un minimum de privilèges administratifs. Qu'allez-vous faire ? (Choisissez trois réponses - chaque réponse présente une partie de la solution)

A. Ouvrir une session sur le domaine en tant que SamTest à partir d'une machine cliente.
B. Ouvrir la session Administrateur local sur l'un des contrôleur de domaine.
C. Installer les outils d'administrations à l'aide du CD-ROM de Windows Server 2003.
D. Démarrer le service Telnet grâce à la commande net start telnet.
E. Utiliser un client telnet pour administrer le contrôleur de domaine à distance.
F. Lancer la console Utilisateurs et Ordinateurs Active Directory à l'aide de la commande runas.

Explications :

La solution la plus simple pour administrer les objets du service d'annuaire à distance est d'utiliser la console Utilisateurs et Ordinateurs Active Directory. Pour cela il faut installer les outils d'administration sur un poste client. On peut ensuite utiliser un compte membre du groupe utilisateurs du domaine pour ouvrir une session sur la machine et lancer la console Utilisateurs et Ordinateurs Active Directory à l'aide de la commande runas.

3231.

Vous êtes l’administrateur réseau de AnnuairePages.net. Le réseau contient un domaine nommé AnnuairePages.net. Tous les serveurs fonctionnent sous Windows 2003 Server et les clients sous Windows XP Professionnel.

Le domaine contient 2 serveurs Terminal Serveur hébergeant une application utilisé par tous les employés. L’unité d’organisation TS contient les 2 comptes d’ordinateurs exécutant TSE. La stratégie de groupe TSGPO est lié à TS et vous avez le droit de modifier cette GPO.

Les utilisateurs TSE ont le droit d’exécuter les applications autorisés seulement. Il n’y a qu’une application financière qui est autorisé. Elle se situe dans c:\AppFin. Cette application contient plusieurs exécutables.

Les utilisateurs ont également le droit d’utiliser le navigateur internet afin de pouvoir accéder à leur site intranet. Ce navigateur permet l’utilisation des ActiveX non signés. L’application financière et le navigateur sont récemment mis à jour avec des patchs. Vous devez donc configurer Terminal Server pour que les utilisateurs ne puissent pas exécuter d’exe non autorisé. Vous planifiez l’utilisation d’une restriction d’application au niveau de la GPO. Pour minimiser les efforts administratifs, votre solution devra être implémentée une fois, sans mise à jour quotidienne.

Quelles sont les 3 étapes de configuration permettant d’accomplir votre but.

A. Configurez le niveau de sécurité par défaut à Non Autorisé.
B. Configurez le niveau de sécurité par défaut à Non Restreint.
C. Créez une nouvelle règle de certificat.
D. Créez une nouvelle règle de Hash
E. Créez une nouvelle règle de zone internet.
F. Créez une nouvelle règle de chemin.

3409.

Vous êtes l’administrateur réseau de Licencepro.ma. Le réseau consiste en un domaine Active Directory nommé Licencepro.ma Le réseau contient 10 contrôleurs de domaine et 50 serveurs applicatifs. Tous les serveurs fonctionnent sous Windows 2003.

Les serveurs applicatifs possèdent des paramètres personnalisés selon leur type de serveur. Tous ces serveurs applicatifs doivent auditer les ouvertures de session, les accès aux objets système et les événements système. Ces serveurs doivent également avoir des mots de passe complexes, renforcer les historiques de mot de passe.

Vous devez deployer et mettre à jour ces paramètres de sécurité personnalisée. Vous devez également vous assurez que ces paramètres sont bien appliqués.

A. Créer un template de police de sécurité et l’appliquer via une GPO.

B. Créer un template de sécurité IPSec et l’appliquer via une GPO.

C. Créer et appliquer un template administratif.

D. Créer une image personnalisée de serveurs applicatifs et les installer via un serveur RIS.

3222.

Vous êtes l’administrateur réseau d’une filiale situé à Paris de Coursinfogratuit.com. Le réseau contient un domaine nommé Coursinfogratuit.com. Votre secteur contient un serveur de fichier Windows 2003.

Tous les serveurs de fichier de Paris sont réunis dans une Unité d’organisation (OU) nommé ParisServeurs. Vous avez la permission de modifier une GPO nommé GPOParisServeurs. Cette GPO est lié à l’OU ParisServeurs.

La politique de sécurité de la compagny définie certaines règles à appliquer sur les serveurs avant qu’ils joignent le domaine. Ces règles changent selon leur localisation. Vous coulez installer Windows Server 2003 sur 15 nouveaux futur serveur de fichier. Vous devez également remplir les conditions pour joindre le domaine.

Le serveur actuel dispose de la configuration requise dans ses stratégies locales. Vous devez être sur que les serveurs auront les mêmes paramètres. Pour cela, vous exporter les stratégies de sécurité locale dans un template.



Vous devez configurer les serveurs avec le moindre effort administratif.

A. Utilisez l’utilitaire de configuration de sécurité et d’analyse pour importer le template sur un serveur.
B. Utilisez la stratégie de sécurité locale pour importer le template.
C. Utilisez l’éditeur de GPO pour appliquer le template à l’OU ParisServeur.
D. Utilisez l’éditeur de GPO pour importer le template dans GPOParisServeur.

 

3229.

Votre secteur contient 15 serveurs de fichiers stockant des données confidentielles. Ces serveurs fonctionnent soit sous Windows server 2003, soit Windows server 2000. Ils sont également tous membre de l’OU ServeurFichier.

Le département de sécurité a établie des règles concernant la taille des journaux d’événement. Ces règles spécifient également que les administrateurs locaux ne peuvent pas modifier les paramètres que vous changez sur le journal de sécurité. Vous devez définir une méthode pour appliquer les règles du département de sécurité.

A. Modifiez la stratégie de sécurité locale sur chaque serveur de fichier. Définissez une taille et des restrictions sur les journaux de sécurité.
B. Créez un template de sécurité en utilisant la console de configuration de la sécurité et d’analyse.
Définissez une taille et des restrictions sur les journaux de sécurité dans le template. Importez le template sur les 14 serveurs de fichier.
C. Utilisez le gestionnaire des journaux d’événement pour modifier les propriétés des logs sur chaque serveur.
Définissez une taille et des restrictions sur les journaux de sécurité.
D. Créez une nouvelle GPO et liez la à l’OU ServeurFichier.
Dans la GPO, définissez une taille et des restriction sur les journaux de sécurité.

3397.

Vous déléguez à Marie le droit de créer, supprimer, modifier les groupes dans Active Directory. Lorsque que Marie essaie de s’identifiez sur un contrôleur de domaine, elle reçoit le message : Les paramètres de sécurité de vous permettent pas de identifier. Vous devez permettre à Marie de gérer les groupes, quelles sont les 2 actions à effectuer ?

A. Modifiez la stratégie de sécurité du domaine par défaut, et la rafraichir en utilisant secedit.
B. Modifiez la stratégie de sécurité du domaine par défaut, et la rafraichir en utilisant gpupdate.
C. Modifiez la stratégie de sécurité par défaut des contrôleurs de domaine et les Unités d’Organisation. La rafraichir en utilisant secedut.
D. Modifiez la stratégie de sécurité par défaut des contrôleurs de domaine et les Unités d’Organisation. La rafraichir en utilisantgpupdate.
E. Installez l’adminpak sur le pc de Marie et lui apprendre à utiliser dsa.msc.
F. Partagez l’outil DSA.msc à partir d’un server et montrez à Marie comment utiliser dsa.msc.

3405.

Vous êtes l’administrateur réseau de Coursinfogratuit.com. Le réseau contient un domaine Active Directory et les serveurs fonctionnent sous Windows server 2003. Les ordinateurs clients exécutent Windows XP Professionnel.

La stratégie du domaine par défaut a été modifiée par l’import de template de sécurité. Le serveur SRV01 ne peut pas exécuter une application qui fonctionnait sur d’autre serveur avec la même configuration. Vous devez trouver quels paramètres ont été modifié par rapport à la stratégie par défaut. Vous voulez utiliser un outil pour comparer les 2 templates. Quel utilitaires allez vous utiliser ?

A.  Microsoft Baseline Security Analyser.

B. Configuration de sécurité et analyse.

C.  gpresult.

D secedit.

3234.

Le service Terminal Server est installé sur un serveur membre nommé TS01 Les utilisateurs du service d’édition sont membre du groupe Edition. Lorsqu’ils essayent de se connecter via le rdp client sur TS01, ils reçoivent le message suivant : La stratégie de sécurité du serveur ne vous permet pas d’ouvrir de session interactive. Vous devez permettre aux éditeurs de se connecter via TSE.

A. Activez l’option « Autoriser les utilisateurs à se connecter à distance sur cet ordinateur » sur TS01.
B. Ajouter le groupe Edition au groupe Utilisateur du bureau à distance de TS01.
C. Configurez les connexions RDP-TCP sur TS01 pour attribuer la permission contrôle total au groupe Edition.
D. Ajouter le groupe Edition au groupe Utilisateur du bureau à distance d’Active Directory.

2921.

Vous êtes administrateur réseau.

Les utilisateurs ayant besoin de controler à distance le controle du serveur de leur section, vous installez et configurez le service Terminal Serveur. Seulement, les utilisateurs ne peuvent pas se connecter sur le Terminal Serveur et ils recoivent le message suivant :

"Les stratégies de sécurité locale ne vous permettent pas de vous identifier interactivement". Lorsque vous essayer de vous connecter sur le Terminal Serveur avec un compte administrateur à partir d'un ordinateur client, vous vous connectez avec succès.

Que devez vous faire ?

A. Donner aux utilisateurs le droit d'ouvrir une session en tant que service.
B. Donner aux utilisateurs le droit d'ouvrir une session localement.
C. Donner aux utilisateurs le droit d'ouvrir une session depuis le réseau.
D. Importer les profils utilisateurs dans Terminal Service.
E. Copier le profil mère des utilisateurs dans Terminal Serveur.

Explications :

Lorsqu'un utilisateur se connecte sur un serveur via Terminal Serveur, l'utilisateur est considéré comme un utilisateur local, il faut donc lui donner les droits necessaires pour se connecter localement.

3223.

La stratégie de sécurité du domaine par défaut a été modifiée par l’import d’un template qui a modifié quelques paramètres.



Le serveur SRV1 ne peut pas lancer une application fonctionnant sur un serveur similaire. Vous devez trouvez les paramètres de sécurités local qui ont été modifié sur ce serveur. Pour cela, vous voulez utiliser un outil qui va vous permettre de mettre en évidence ces différences ne comparant les stratégies de sécurité du serveur au template.

Quel outil devez-vous utiliser ?

A.  Microsoft Baseline Security Analyzer (MBSA).

B. La console de configuration de la sécurité et d’analyse.

C.  gpresult.exe.

D.  ldifde.exe.

3402.

Vous êtes l’administrateur réseau de ExerciceGratuit.com. Le réseau contient un domaine Active Directory et Les serveurs fonctionnent sous Windows server 2003. Les utilisateurs ayant rentré 2 fois un mauvais mot de passe en un jour doivent avoir leur compte désactiver. Vous devez appliquer cette règle dans les stratégies de sécurité du domaine. Quels sont les 2 actions que vous devez accomplir ?

A.  Paramétrez l’age minimum des mots de passe à 1 jour.
B.  Paramétrez l’age maximal des mots de passe à 1 jour.
C.  Forcez l’historique des mots de passe à retenir 3 mots de passe.
D.  Changez la durée de verrouillage à 1440 minutes.
E. Paramètrez le seuil de verrouillage de compte à 3.
F. Remettre à 0 les compteurs des comptes verrouillés après 1440 minutes.

2715.

Les ordinateurs clients sont placés dans l’OU Client. Les clients reçoivent des mises à jour à partir des serveurs de mise à jour Microsoft.

SrvUp01 utilise Software Update Services (SUS). Vous le configurez pour qu’il conserve les mises à jour et qu’il les redistribue au sein du réseau interne.

Vous devez vous assurez que les utilisateurs ne recevront leurs mises à jour que de SrvUp01 seulement.

Vous ouvrez la stratégie de groupe pour l’OU Client.

Quel paramètre devez vous configurez ?

A. Configuration Ordinateur \ Paramètre application \ Installation d’application
B. Configuration Utilisateur \ Paramètre application \ Installation d’application.
C. Configuration Ordinateur \ Modèle administratif \ Composants Windows \ Windows Installer.
D. Configuration Utilisateur \ Modèle administratif \ Composants Windows \ Windows Installer.
E. Configuration Ordinateur \ Modèle administratif \ Composants Windows \ Mise à jour Windows.
F. Configuration Utilisateur \ Modèle administratif \ Composants Windows \ Mise à jour Windows.

2659.

Vous êtes l’administrateur réseau de votre entreprise. Votre réseau consiste en un simple domaine Active Directory. Tous les serveurs exécutent Windows 2003 Server et tous les clients exécutent Windows XP.

Tous les assistants font partis du groupe global assistant et tous les Ingénieurs font parti du groupe global Ingénieurs. Un serveur nommé File1 contient un dossier partagé avec le nom Stratégie.

Les utilisateurs des groupes assistants et Ingénieurs n’ont pas le droit d’ouvrir une session localement sur File1. Un utilisateur nommé Loïc est membre des 2 groupes. Vous découvrez que certains fichiers dans Stratégie ont été modifiés pas Loïc. Vous devez reconfigurer les autorisations pour empêcher Loïc d’accéder à ce dossier. Vous ne devez en aucun cas affecter l’accès à ce dossier aux autres groupes et aux autres utilisateurs. Vous devez aussi vous assurez que Loïc conservera l’accès aux ressources qu’il a besoin.

A.  Retirez Loïc du groupes Ingénieurs
B. Refusez l’accès au groupes Ingénieurs
C. Refusez explicitement l’accès au dossier à Loïc.
D.  Créez un groupes spéciale pour Loïc et refusez l’accès à ce groupe.

2652.

Vous etes l'administrateur du domaine laboratoire-microsoft.org. Le domaine contient deux serveurs membres executant Windows Server 2003. Ils servent à mettre à disposition de vos employés plusieurs applications via Terminal Server. Les comptes d'ordinateur de ces deux serveurs sont contenus dans une unité d'organisation nommée TServers. Cette OU ne contient que ces deux comptes. Une stratégie de groupe nommée TServersGPO est liée à cette OU.

Seules deux applications autorisées doivent être rendues disponibles aux employés sur ces serveurs :

- Une application de comptabilité située dans C:\Program Files\Compta\ constituée de plusieurs fichier executables frequemment mis a jours.

- Une application intranet disponible sous forme d'ActiveX pour Internet Explorer non signés. - L'application "Bloc notes", où qu'elle soit située, y compris si elle a été renommée.

Comment configurer TServersGPO pour mettre en pratique ces contraintes ?

A. Créer une regle de hachage
B. Créer une regle de chemin d'accès
C. Créer une regle de zone Internet
D.  Créer une regle de Certificat
E.  Mettre le niveau de sécurité par défaut à Non restreint
F. Mettre le niveau de sécurité par défaut à Rejeté

Explications :

Le niveau de sécurité Rejeté doit etre configurer pour empecher tout autre programme que les trois voulus. Les regles adaptées aux trois applications sont : hachage pour le bloc notes, chemin d'accès pour l'application de comptabilité et zone Internet pour les ActiveX.

3247.

SRV1 est situé dans l’OU Serveurs. Il contient un dossier Contrats qui est configuré pour auditer tous les événements.

Vous devez examiner les fichiers log de Contrats. Vous devez identifier les fichiers modifiés par Marie la semaine dernière. Le problème est que le fichier de log contient plus de 1000 entrées. Vous devez voir seulement les actions de Marie.

A. Dans l’explorateur Windows, ajouter une colonne Propriétaire et chercher les fichiers avec Marie comme propriétaire.
B. Sur SRV1, ouvrez avec notepad le fichier C:\windows\system32\config\SecEvent.evt et cherchez les événements de Marie.
C. Editez stratégie du domaine par défaut pour l’OU Serveurs. Ajoutez le compte de Marie dans la case Générer des journaux de sécurité dans les options de stratégie.
D. Dans le gestionnaire d’événements, appliquez un filtre sur le champ Utilisateur pour ne voir que les événements de Marie.

3245.



 

Des fichiers confidentiels sont hébergés sur le serveur CONF01. Ce serveur est membre d’une OU nommé Confidentielle. La GPO CONFGPO est lié à l’OU Confidentielle.

Vous activez l’audit sur les fichiers privés sur CONF01.

Quelques jours plus tard, vous examinez les fichiers log et vous constatez que les logs ne s’effectuent pas.

Vous devez activer les audits sur le serveur.

A.  Démarrez le service de notification des événements système (SENS) sur CONF01.

B. Démarrez le service de rapport d’erreur.

C.  Modifiez la stratégie du domaine par défaut en sélectionnant Succès et échec sur l’objet Audit d’accès.

D. Modifiez CONFGPO en sélectionnant Succès et échec sur l’objet Audit d’accès.

2661.

Vous êtes l’administrateur réseau de votre entreprise. Votre réseau consiste en un simple domaine Active Directory. Tous les contrôleurs de domaines exécutent Windows 2003 Server et tous les clients exécutent Windows XP avec les paramètres par défaut.

Quelques utilisateurs ont un ordinateur portable et le reste utilise les ordinateurs du bureau. Vous devez vous assurer que tous les utilisateurs sont authentifiés par un contrôleur de domaine quand ils ouvrent une session.

Comment allez vous modifier les paramètres de sécurité locale.

A. Activez l’option : nécessite l’authentification par le contrôleur de domaine pour le déverrouillage de la station de travail.
B. Activez l’utilisation d’une clé de session forte
C. Configurez le nombre d’ouvertures de session précédentes dans le cache à 0.
D. Ce n’est pas possible.

3391.

Le serveur SUSSRV exécute SUS. Il est paramètré pour se synchroniser chaque jour avec Windows Update. Les ordinateurs clients son paramétrés pour utiliser les mises automatique en se connectant à SUSSRV. Les ordinateurs clients sont placés dans un Unité d’Organisation nommé Clients.

Microsoft publie un patch de sécurité critique, le serveur SUS reçoit la mise à jour, mais pas les ordinateurs clients. Par contre, ils ont reçu d’autres mises à jour de

SUSSRV. Vous devez vous assurer que les ordinateurs clients recevront la mise à jour.

Que devez vous faire ?

A.  Dans l’onglet de mise à jour automatique, cochez la case Garder mon ordinateur à jour sur tous les ordinateurs.

B. Editez la GPO de l’OU Clients pour re-planifier le déploiement de la mise à jour.

C.  Assigner la permission Lecture pour tout le monde sur le patch critique dans le cache de SUSSRV.

D. Utilisez Internet Explorer pour se connecter à la page Web d’administration SUS. Approuvez le patch de sécurité critique.

 

1459. Vous êtes l'administrateur du domaine Windows 2000 de l'entreprise Supinfo qui comprend 30 machines sous Windows 2000 Professionnel et 3 machines sous Windows 2000 Server.
Etant chargé de la sécurité sur votre domaine, vous désirez interdire l'installation de pilotes non signés sur les machines du domaine. Avant de mettre en place cette stratégie à l'aide d'une GPO, vous voulez vous assurer que tous les pilotes actuellement installés sur vos machines sont bien signés numériquement. Dans le cas contraire, vous désinstallerez les pilotes et en réinstallerez d'autres.
Comment allez-vous faire pour vérifier si les pilotes sont bien signés numériquement ?

A. Sur chaque machine, lancer une invite de commandes DOS et exécuter la commande SFC.EXE
B. Sur chaque machine, lancer une invite de commandes DOS et exécuter la commande SIGNEDVERIF.EXE
C. Sur chaque machine, lancer une invite de commandes DOS et exécuter la commande SIGVERIF.EXE
D. Sur chaque machine, lancer un Windows Update avec une détection de pilotes à mettre à jour.

 

1271. Vous êtes l'administrateur de la société CertifExpress, chaque compte d'utilisateur se trouve dans la même unité d'organisation.
Vous désirez lier une stratégie de groupe à cette OU.

Quel outil allez vous utiliser pour réaliser cette tâche ?

A. Utilisateurs et ordinateurs Active Directory
B. Gestion de l'ordinateur
C. Stratégie de sécurité local
D. Sites and services Active Directory

Explications :
Une stratégie de groupe (GPO) peut-être appliquer à un site, un domaine ou à une Unité d'Organisation. Afin de lier une GPO à une unité d'organisation, il suffit d'ouvrir l'outil d'administration "Utilisateurs et ordinateurs Active Directory" puis d'afficher les propriétés de l'unité d'organisation sur laquelle on souhaite lier la GPO, d'aller dans l'onglet "Stratégie de groupe".

 

1402. Vous êtes l'administrateur réseau du domaine Windows 2000 de la société Supinfo. Le domaine contient une OU appelée Msft contenant 3 serveurs de fichiers sous Windows 2000 Server.
Un utilisateur du domaine se plaint des temps d'accès aux fichiers et applications des 3 serveurs de fichiers. Vous désirez alors arrêter les services inutiles tournant sur ces 3 serveurs. Vous voulez également que ce soit le cas pour tous les serveurs qui seront ultérieurement ajoutés à l'OU.

Que devez-vous faire ?

A. Créer une GPO desactivant tous les services inutiles au démarrage. Lier la GPO au domaine Supinfo
B. Créer une GPO desactivant tous les services inutiles au démarrage. Lier la GPO à l'OU Msft
C. Desactiver les services à partir d'Active Directory, Sites et services
D. Desactiver les services sur les 2 serveurs de l'OU Msft.

Explications :
En liant la GPO à l'OU Msft, nous sommes assurés que tous les serveurs ajoutés ultérieurement à cette OU bénéficieront de cette GPO arrêtant leurs services inutiles au démarrage.



 

1398. Vous êtes l'administrateur réseau du domaine Windows 2000 de la société Supinfo. La société est consituée de 3 unités organisationnelles (OU): Paris, Pékin, Fort-de-France. L'OU de Paris contient 2 OU: Msft et Dnet. Vous désirez déployer un logiciel pour l'OU Paris. Ce logiciel apparait bien dans le menu Démarrer de l'OU Dnet. Par contre, il n'apparait pas dans l'OU Msft.

Que devez-vous faire pour que le raccourci apparaisse également pour l'OU Msft ?

A. Changer les permissions sur la GPO de sorte à ce que les membres de l'OU Paris aient la permission "modifier"
B. Configurer l'OU Paris de sorte à ce que l'héritage des stratégies ne soit pas bloqué.
C. Changer les permissions sur la GPO de sorte à ce que les membres de l'OU Msft aient la permission "modifier"
D. Configurer l'OU Msft de sorte à ce que l'héritage des stratégies ne soit pas bloqué.

Explications :
La seule explication possible du problème est que l'OU Msft bloquait l'héritage des stratégies.