Windows网络管理员面试题目解析.doc

Windows网络服务器管理面试题解析 Windows平台是目前应用最广的服务器平台之一，因此Windows网络服务器的管理也是网络管理员进行日常网络管理的重点和难点之一。Windows网络服务器的管理涉及到许多方面，其中主要包括域管理、域控制器管理、用户和组管理、文件和磁盘系统管理、远程服务器管理和组策略管理等。在各类网管考试和面试题中占有最多的部分，所以本章所占的篇幅也是最多的。目前虽然Windows Server 2008服务器系统已经发布，但大多数用户仍是采用以前版本的Windows 2000和Windows Server 2003家族服务器系统，所以本章也主要介绍基于这两种当前主流应用的Windows网络服务器系统的管理的面试题解析。12.1 Windows网络服务器基础面试题1：Windows Server 2003系统的4个主要版本中，不能作为域控制器来部署的是（ ）。A. Web EditionB. Standard EditionC. Enterprise EditionD. Datacenter Edition 解析：只要知道Windows Server 2003系统有哪4个版本和每个版本的主要用途，就可以很容易地答出本题。Windows Server 2003系统有4个主要版本（实际上是6个版本）：Windows Server 2003 Web服务器版本（Web Edition）、Windows Server 2003标准版（Standard Edition）、Windows Server 2003企业版（Enterprise Edition，包括32位和64位两个版本）以及Windows Server 2003数据中心版（Datacenter Edition，包括32位和64位两个版本）。Windows Server 2003 Web Edition版本是专门针对Web服务优化的。它支持双路处理器，2GB的内存。Windows Server 2003 Web Edition唯一和其他版本不同的是：它只能是AD域中的成员服务器，而不能够做DC（域控制器）。Windows Server 2003 Standard Edition是专门针对中小型企业应用需求而优化。它支持双路处理器，4GB的内存。它除了具备Windows Server 2003 Web Edition所有功能外，还支持像证书服务、UDDI服务、传真服务及IAS因特网验证服务等许多功能，当然最大的区别就是，它可以成为DC。Windows Server 2003 Enterprise Edition是直接针对大中型企业应用的高端产品。它最多能够支持8路处理器，32GB内存和28节点的集群。它是Windows Server 2003 Standard Edition的扩展版本，增加了终端服务会话目录、集群和热添加（Hot-AdD.内存和NUMA非统一内存访问存取）等技术的支持。这个版本还另外增加了一个支持64位计算的版本。Windows Server 2003 Datacenter Edition是Windows Server 2003家族中性能最高的产品。它的市场对象一直定位在最高端应用上，支持高达832路处理器，64GB的内存和28节点的集群。与Windows Server 2003 Enterprise Edition相比，Windows Server 2003 Datacenter Edition增加了一套Windows Datacenter Program程序包，这个产品同样也为另外一个64位版本提供。由此，可以很容易得到本题的正确答案为A，也就是只有Windows Server 2003 Web Edition版本不支持DC。因为Windows Server 2003 Standard Edition版本都已开始支持DC了，而后面的Windows Server 2003 Enterprise Edition和Windows Server 2003 Datacenter Edition两个版本都是基于Windows Server 2003 Standard Edition的扩展，所以同样支持DC功能。答案：A。面试题2：域与工作组相比，主要优势在哪里？解析：这是管理员经常问到的，也是在各种考试和面试中经常考到的。但多数人是答不全的。答案：工作组和域是两种不同的网络管理模式。工作组（Work Group）就是将不同的计算机按功能分别列入不同的组中，以方便管理。加入工作组的方法只需本机管理员在Windows桌面上的“网上邻居”单击鼠标右键，在弹出菜单中选择【属性】命令，然后在“标识”选项卡的“计算机名”文本框中添入你想让自己计算机在工作组网上邻居中显示的计算机名称，在“工作组” 文本框中添入想加入的工作组名称即可，无须任何权限审核。如果输入的工作组名称是一个不存在的工作组，那么就相当于新建一个工作组，当然在组中也只有用户自己的计算机。不过要注意，计算机名和工作组名称的长度都不能超过15个英文字符，可以输入汉字，但是也不能超过7个汉字。域（Domain）是一种更加严格的网络管理模式，要把一台计算机加入到某域中，不仅需要进行比较复杂的配置，而且还仅允许域中有权限的账户进行操作。域相对工作组来说主要有以下几个方面的优势。1集中用户账户管理在工作组中，用户账户是不进行强度极限中管理的，用户账户仍然由工作组中的计算机各自负责管理，彼此互不信任。所以，在访问工作组中不同的计算机时，需要输入对方不同计算机上的合法账户信息（通过配置也可以是匿名访问）。而域用户账户是集中管理的，所有域用户账户都是在域控制器上集中管理的，而且各客户机都信任域控制器上管理的域账户，但各客户机都不具有域账户的管理权限。而且域账户是单击登录方式，这样做的好处是，用户一旦登录到域，则具有访问域中所有计算机共享资源的账户权限，无须输入任何账户信息。当然最后能否访问还是要看具体被访问计算机上共享资源的访问权限设置。2集中资源管理尽管在工作组网络中也可以配置集中的资源服务器，如文件服务器、打印服务器等，但是服务器的访问权限和访问管理比较麻烦，需要针对不同计算机上的账户进行设置；而如果是域网络中的这些服务器，则只需要对域账户进行设置。3统一安全策略部署在域网络中，可以通过域组策略对整个域网络中成员计算机的安全策略进行统一部署。如用户账户权利、密码策略和安全选项等。只要在域组策略中统一部署即可在全网络中生效。对于外部网络的远程访问，还可以进行统一的安全认证，确保整个网络计算机的安全。面试题3：利用IIS不能创建（ ）。A. WWW服务器 B. DNS服务器C. FTP服务器 D. SMTP服务器解析：这道题其实很简单，只要有过使用IIS组建各种服务器经验即可答出。用IIS可以组建网站的Web服务器（也就是WWW服务器）、用于文件传输的FTP服务器和SMTP虚拟邮件发送服务器。但是DNS服务器却不是在IIS中创建的。答案：B。面试题4：下列关于全局编录服务器的说法正确的是（ ）。A. 它是一台独立服务器，保存有域内对象的所有属性B. 它是一台独立服务器，保存有域内对象的最常用属性C. 它是一台域控制器，保存有域内对象的所有属性D. 它是一台域控制器，保存有域内对象的最常用属性解析：全局编录是存储林中所有Active Directory对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本，以及林中所有其他域中所有对象的部分副本。全局编录中包含的所有域对象的部分副本是用户搜索操作中最常使用的部分。作为其架构定义的一部分，这些属性被标记为包含到全局编录中。在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不会以不必要的域控制器参考影响网络性能。答案：D。面试题5：什么是只读域控制器？它有什么好处？解析：这是最新的Windows Server 2008才出现的新技术。但由此可以了解应试者对新技术和知识的学习能力。答案：只读域控制器（RODC）是Windows Server 2008操作系统中提供的一种新类型的域控制器，主要用于在分支环境中进行部署。通过RODC，集团公司可以降低在无法保证物理安全的远程位置（如分支机构）中部署域控制器的风险。因为除了账户密码外，RODC可以驻留可写域控制器驻留的所有Microsoft Active Directory域服务（AD DS）对象和属性。不过，客户端无法将更改直接写入RODC。由于更改不能直接写入RODC，因此不会发生本地更改，作为复制伙伴的可写域控制器不必从RODC导入更改。管理员角色分离指定可将任何域用户委派为RODC的本地管理员，而无须授予该用户对域本身或其他域控制器的任何用户权限。12.2 Windows服务器管理在本节中主要以Windows Server 2003操作系统为主，介绍与域控制器、DNS、DHCP、用户、文件、磁盘和组策略等各方面与管理相关的面试题。12.2.1 网络服务器的基本管理面试题6：Windows Server 2003的活动目录中包括的身份验证方式是（ ）。A. 本地身份验证 B. 交互式登录 C. 网络身份验证 D. 匿名身份验证解析：这道题并不容易答出，因为许多人并没有对活动目录所支持的身份验证类型进行总结。其实在Windows Server 2003家族的活动目录服务中所支持的身份验证方式就只包括：交互式登录和网络身份验证两种。交互式登录就是由用户通过系统的登录界面，输入用户账户和密码的方式进行的登录，这种登录方式只限于域控制，因为只有在域控制器上才拥有域账户，才会需要用到活动目录。其他主机上的本地交互登录是不用活动目录的，因为在这些主机上不具有域账户。网络身份验证向用户尝试访问的任何网络服务确认用户的身份。要提供这种类型的身份验证，安全系统将包括下面这些身份验证机制：Kerberos V5、公钥证书、安全套接字层/传输层安全性（SSL/TLS）、摘要和NTLM与Windows NT 4.0系统兼容。答案：B C。面试题7：下面关于“运行方式”的说法正确的是（ ）。A. 使用“运行方式”有助于提高计算机的安全性B. 使用“运行方式”后，普通用户也可以执行管理员的管理任务C. “运行方式”只能由管理员使用D. “运行方式”只能在本地运行解析：题中所说的“运行方式”是指用户登录的一种方式，其英文名称为“runas”。在使用该方式时，只需在相应程序上单击鼠标右键，并在弹出菜单中选择【运行方式】命令，打开如图12-1所示的对话框。在其中选择要使用的用户名（账户）即可。注意账户的格式是：计算机或域名用户账户名。图12-1 “运行身份”对话框 在使用“运行方式”时，可以使用不同于登录所用的账户和安全上下文的方式打开并运行程序。因此，可以使用普通用户账户登录，然后使用“运行方式”在管理账户上下文中打开管理程序。尽管runas通常由Administrator账户使用，但并非仅限于Administrator账户。任何拥有多个账户的用户均可以利用备用凭据，使用runas运行程序、MMC控制台或“控制面板”选项。可以使用“运行方式”来完成管理任务，而无须使用管理凭据登录计算机，使得当前计算机更加安全。而且“运行方式”可以在本地，工作组和域网络中使用。答案：A B。面试题8：在Windows Server 2003系统中，如何制作密钥盘?解析：在Windows XP/Server 2003中（Windows 2000系统也一样），尽管在登录系统前需要输入用户账户和密码，但这种安全保障还是比较低的，特别是在登录Windows XP系统时，在默认账户的情况下无须输入账户和密码，便可直接进入系统桌面。为了提高系统的安全性，一方面，可以对现有的账户文件（SAM）进行二次加密；另一方面，还可以在用户启动计算机前设置一道安全屏障，把整个计算机进行加密，要启动系统必须插入相应的密钥盘。这个加密工具就是syskey。但要注意，并不是在BIOS中设置的。答案：Syskey工具的具体使用方法如下。（1）在Windows 2000/XP/Server 2003系统的“运行”窗口中输入syskey命令，打开如图12-2所示的对话框（此处以Windows XP系统为例进行介绍）。选择“启用加密”单选按钮，并单击【确定】按钮，虽然看不到任何提示，但其实已经完成了对账户数据库SAM文件的二次加密。图12-2 “保证Windows XP账户数据库的安全”对话框 （2）如果在图12-2中单击【更新】按钮，则打开如图12-3所示的对话框。在该对话框中，可以为计算机设置双启动密码，选择“密码启动”单选按钮，并在下面的文本框中输入启动计算机时所需输入的密码，最后单击【确定】按钮即可。这样下次在启动计算机时就会要求用户输入启动密码，否则系统无法启动。这就相当于在输入登录账户信息前多加了一个保护密码，使系统更加安全。图12-3 “启动密码”对话框 （3）设置了双重启动密码后在一定程度上增强了安全性，但是要真正做到绝对安全，最好还要随身带上一把系统开机“钥匙”。利用Syskey还能创建“开机钥匙”，在开机时，只有插入这把“钥匙”才能进入系统。方法是在“启动密码”对话框中选择“系统产生的密码”单选按钮，如果选择的是“在软盘上保存启动密码”单选按钮，并根据提示插入空白的软盘，系统就会自动产生一个密码并保存在软盘上。这样下次启动时就需要插入这个密钥盘（无须输入密码，因为密码是由系统自动产生的）。如果选择的是“在本机上保存启动密码”单选按钮，则只是可以限制远程在其他机上非法启动本机。面试题9：可以把Windows XP直接升级为Windows Server 2003系统吗? 如果不能请简单说明理由。解析：这道题考的是不同系统之间的升级问题。因为Windows XP与Windows Server 2003分属于不同的操作系统，核心有很大区别：前者属于桌面操作系统，而后者属于网络服务器操作系统。桌面版是不能直接升级到服务器版的，例如，Windows 2000 Profeesional不能直接升级到Windows 2000 Server或Windows 2000 Advanced Server。答案：不能直接从Windows XP系统升级到Windows Server 2003系统。因为Windows XP与Windows Server 2003分属于不同的操作系统，核心有很大区别：前者属于桌面操作系统，而后者属于网络服务器操作系统。面试题10：Windows Server 2003能默认安装IIS吗？如果不能请简单说明理由。解析：这道题是考应试者对知识点细节的用心程度。因为一般人很少注意，操作系统默认安装了哪些组件。微软出于安全考虑，在Windows Server 2003系统中，默认是没有安装IIS的。如需要使用IIS，则选择【控制面板】【添加或删除程序】命令来手动添加IIS组件。答案：Windows Server 2003默认不安装IIS组件，这是出于安全考虑的，因为开启IIS后，如果不进行详细的安全配置，很容易成为黑客入侵的跳板。面试题11：通过设置策略是否可以实现在关闭Windows Server 2003系统时，不需要选择关机的理由？如果不能请说明理由，如果能请简要给出配置方法。解析：在Windows Server 2003系统中，发现每次在关闭计算机时，系统总会弹出关机原因提示窗口，而且如果不说明原因就无法将计算机关闭。其实我们自己可以通过组策略来屏蔽这项功能，使关机恢复成以前版本系统那样的快捷。答案：可通过组策略设置来取消选择关机的理由。具体方法如下。（1）在Windows Server 2003系统计算机的“运行”窗口中输入组策略编辑命令“gpedit.msc”，然后单击【确定】按钮，打开如图12-4所示的本地计算机组策略辑控制台。（2）在左侧导航栏中，依次展开：计算机配置管理模板系统，然后在右侧详细窗口中找到“显示关闭事件跟踪程序”策略选项，参见图12-4。（点击查看大图）图12-4 组策略中的“显示关闭事件跟踪程序”策略选项（3）鼠标左键双击显示“显示关闭事件跟踪程序”策略选项，打开如图12-5所示的属性设置对话框，选择“已禁用”单选按钮，并单击【确定】按钮就能使设置生效了。下次关机时就不用再选择关机理由了。图12-5 显示“关闭事件跟踪程序”属性对话框如果选择“未配置”单选按钮，也将出现关闭事件跟踪程序的默认行为。在默认情况下，在Windows XP Professional上不显示关闭事件跟踪程序，而在Windows Server 2003家族上则显示。12.2.2 域和林的管理面试题12：创建域和删除域的命令是（ ）。A. dcpromote B. dcpromo C. promote D. promo解析：这道题也很简单，只要是通过命令方式安装和删除域的都知道，那就是dcpromo命令。不过，现在大多数都不是通过命令方式来创建和删除域的，而是直接通过“配置您的服务器向导”进行。答案：B。面试题13：在Windows Server 2003域网络中，父域和子域的默认信任关系是（ ）。A. 双向可传递 B. 双向不可传递C. 单向可传递 D. 单向不可传递解析：这道题考的是域信息关系方面的知识。信任是在域之间建立的关系，它可使一个域中的用户由处在另一个域中的域控制器来进行验证。Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。在Windows NT 4.0及其以前版本中，信任仅限于两个域之间，而且信任关系是单向且不可传递的。在Windows 2000和Windows Server 2003林中的所有信任都是可传递的双向信任。因此，只要创建了信任，信任关系中的两个域就都是受信任的。从“双向信任”这一特点我们就可以排除C和D两个选项，从“可传递”这一特点又可以排除选项B。事实上也是这样的，默认的父、子域之间具有双向可传递的信任关系，林中各域树的树根也将是默认双向可传递的信任关系。答案：A。面试题14：只有（ ）组的成员，才有权对林的架构做出修改，并影响到林中所有的域。A. AdministratorsB. Domain AdminsC. Enterprise AdminsD. Schema Admins解析：这道题其实考的是应试者对几类域管理员组账户权限的理解。在Windows Server 2003域网络中，有几种管理员权限的组账户，它们是域控制器管理员组Administrators、本地域管理员组Domain Admins、林管理员组Enterprise Admins和林架构管理员组Schema Admins。但要注意的是，它们之间并没有我们通常所误认为的权限包含关系，而是各具特定的权限。也就是说，它们的权限分工是不一样的。Administrators具有域中所有域控制器的完全控制权限，是本地内置作用域类型的安全组。在默认情况下，Domain Admins和Enterprise Admins组是Administrators组的成员。Domain Admins具有对本地域管理的完全控制权限，是全局作用域类型的安全组。在默认情况下，该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的Administrators组的成员。在默认情况下，Administrator账户也是该组的成员。Enterprise Admins组的成员具有对林中所有域的完全控制作用，是通用作用域类型的安全组。默认情况下，该组是林中所有域控制器上Administrators组的成员。在默认情况下，Administrator账户也是该组的成员。Schema Admins组的成员可修改Active Directory架构，也是通用作用域类型的安全组。在默认情况下，Administrator账户也是该组的成员。答案：D。面试题15：下面关于域和林关系的说法正确的是（ ）。A. 一个域可以属于多个林之中B. 一个林中可以有多个域C. 一个域中的多个子域可以有连续的名称空间D. 一个林中的多个域树可以有连续的名称空间解析：在Active Directory中，域树是由一个或多个Windows 2000或Windows Server 2003域通过传递、双向信任，共享公用架构、配置和全局分类连接起来的。域树中域的分层结构形成了连续的名称空间，可以将多个域树连接起来形成林。域树中的第一个域称为根域。在相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。如，为的子域及的父域，而域为的父域，同时它也是该域树的根域。林包括多个域树。林中的域树不形成邻接的名称空间。例如，虽然和两个域树都是support的子域，而子域的DNS名称却分别为和，它们之间没有共享的名称空间。答案：B C。面试题16：某大学用Windows Server 2003系统创建了一个林。甲机是域的DC，乙机是域的DC。而丙机完整的计算机名为C，则下列说法正确的是（ ）。A. 若A用户属于域，则可以在域内的任一计算机上登录域。B. 若A用户属于域，则可以在域内的任一计算机上登录域。C. 由于域是整个目录林的根域，所以丙机C的详细资料都保存在甲机上。D. 由于丙机C属于域，所以丙机的详细资料都保存在乙机上。解析：对于这类题只能对各个选项进行一一分析和排除。因为在Windows Server 2003域网络中，父域和子域之间默认是双向信任的，所以A选项是正确的。B选项肯定是正确的，因为域用户本来就可以在域中任何计算机上进行域登录。C和D选项也是正确的，因为域根和相应域的DC上都保存了整个域树中各计算机对象的详细资料。答案：A B C D。面试题17：甲域内的A用户要想访问乙域内的共享资源，则（ ）。A. 乙域必须针对甲域有信任关系。B. 甲域必须针对乙域有信任关系。C. A用户必须从甲域的DC上获取访问该共享资源的访问授权。D. A用户必须从乙域的DC上获取访问该共享资源的访问授权。解析：这是考查域之间的信任关系的题。当A域信任B域时，则B域中的用户就可以访问A域中的资源。所以A选项是正确的。同时，可以得出B选项是错误的，信任关系反了。C选项明显是错误的，因为所要访问的共享资源不是甲域的，也就没办法从甲域上获得所需访问的共享资源的访问权限。同时可以得出D选项是正确的。答案：A D。面试题18：一台计算机已经加入了某个域，但此时该计算机的本地管理员在该计算机上进行了本地登录，则对于该域的域管理员来说，（ ）。A. 可以同时管理该计算机与该计算机的本地管理员用户B. 无法管理该计算机，也无法管理该计算机的本地管理员用户C. 可以管理该计算机，但不可以管理该计算机的本地管理员用户D. 可以管理该计算机的本地管理员用户，但不可以管理该计算机解析：这道题考的是本机管理员和域管理员之间的关系。本地管理员只能在本地计算机和用户账户拥有完全控制权限，而域管理员只对域网络中的计算机账户实行管理权限，而没有对域网络中计算机的本地用户账户具有管理权限。答案：C。12.2.3 域控制器管理面试题19：为Windows Server 2003域控制器改名可用的命令是（ ）。A. dcpromo B. netdom computername C. Ntdsutil D. Rendom解析：这道题与上题类似，但考的是域控制器的重命名命令。我们只要对这些命令都很熟悉就可以很容易得出正确答案。A选项是域安装与删除命令，C选项是活动目录数据删除和服务器角色转移等功能的命令，D选项是域重命名的命令。所以，B选项才是域控制器重命名工具命令。答案：B。面试题20：下面命令中可以用于把Windows 2000 Server成员服务器升级为域控制器的是（ ）。A. PROMOTE.EXE B. DCPROMO.EXEC. DCUPGRADE.EXE D. 以上都不是解析：这道题其实与上面的面试题19是一样的，只是问法不一样。要注意不同的提问形式。这里所问的其实就是域控制器的创建，或者说是安装活动目录所需用到的命令。答案：B。面试题21：架构主机和（ ）是专属于林中的主机角色的。A. 域命名主机B. PDC仿真主机C. 相对ID主机D. 基础结构主机解析：这道题考的是应试者对操作主机角色知识点的掌握。所以要求应试者对各种操作主机的角色有一个较全面的掌握。在Windows Server 2003系统中，操作主机角色有5种：架构主机角色、域命名主机角色、RID主机角色、PDC仿真主机角色和结构主机角色。其中前两个是林中的，后三者是域中的。在每个林中，林范围的操作主机角色必须只能出现一次。而在林中的每个域中，域范围的操作主机角色必须在每个域中出现一次。答案：A。相关链接：每个林必须具有“架构主机”和“域命名主机”两种角色。架构主机域控制器控制对架构的全部更新和修改。要更新林的架构，必须拥有架构主机的访问权。域命名主机控制林中域的添加或删除。在林中这些角色必须是唯一的，这意味着在整个林中，只能有一个架构主机和一个域命名主机。林中的每个域都必须有“相对ID（RID）主机”、“主域控制器（PDC）仿真主机”和“结构主机”3种主机角色。同样，在每个域中这些角色都必须是唯一的。RID主机将相对ID分配给域中每个不同的域控制器。在任何时候，林中的每个域中只能有一个域控制器作为RID主机。如果域包含在没有Windows 2000或Windows XP Professional客户端软件情况下运行的计算机，或者包含Windows NT备份域控制器（BDC），则由PDC仿真主机担当Windows NT的主域控制器。它处理来自客户端的密码更改并将其复制到BDC中。在任何时候，林中的每个域中只能有一个域控制器作为PDC仿真主机。基础结构主机负责更新从它所在的域中的对象到其他域中对象的引用。基础结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作定期接受所有域中对象的更新，从而使全局编录的数据始终保持最新。如果结构主机发现数据过时，则它从全局编录中申请更新的数据。基础结构主机再将这些更新的数据复制到域中的其他域控制器。在任何时候，每个域中只能有一个域控制器作为基础结构主机。12.2.4 用户和组管理面试题22：在配置漫游用户配置文件和主文件夹时，账户名可使用（ ）变量替代。A. username B. %username% C. %username D. username%解析：这道题比较简单，在4个答案选项中的主体部分都相同，即使真的不知道是哪个正确，只要知道变量的表示方法就知道正确答案了。变量两端都是有“%”符号的。所以本题正确答案为B。答案：B。面试题23：对于Windows 2000 Server和Windows Server 2003域，默认普通域用户可以加入计算机到域中吗？并简要说明。解析：这道题考的是域网络管理的基本常识。在Windows 2000 Server和Windows Server 2003域中，默认普通用户只能加入10个计算机账户到域中。而管理员组（Administrators）成员不受此限制。在本题中要明确的一点就是，用户计算机加入域中不一定非要域管理员组成员才有资格，任意普通用户，只要在域中有合法账户都可以加入计算机账户到域中的，只不过在数量上是有限制的。答案：可以，但最多只能是把10台计算机加入到域中。而管理员组成员允许加入到域的计算机数量不受限制。面试题24：在“活动目录用户和计算机”中，有关用户对象的说法正确的是（ ）。A. 可以同时位于多个用户组或多个容器中B. 可以同时位于多个用户组，但只能位于一个容器中C. 可以同时位于多个容器，但只能位于一个用户组中D. 只能位于一个容器或一个用户组中解析：这道题的关键是要理解，域用户账户只能由域控制器来进行统一管理，其他组织单位均无权管理域账户。所以，在一个域中，用户账户是唯一的。但用户和组的关系不是一一对应的，一个用户可以隶属于多个组中。根据以上分析就可以很容易地得出本题的正确答案。答案：B。面试题25：对于域内用户和计算机这两个对象的具体管理，你认为下述哪种做法不妥当？（ ）A. 如果某用户已从公司辞职则应暂时将其域账户停用而不是立即删除B. 应当提醒用户经常性地按要求定期更换自己的账户密码C. 为了防止域内用户非法登录本地计算机，最好将域内计算机的本地账户停用 D. 域内用户可以被施以组策略来实现管理，但不要对域内计算机对象采用组策略管理解析：这是一道与实际网络管理经验结合的用户管理知识题。下面直接给出正确答案。A、B、C选项都是正确的，D选项不正确，因为计算机账户同样可以通过组策略来管理，而且更方便。答案：D。面试题26：一位域内用户试图通过一台域内计算机登录其所属域时，在他输入用户名和密码后，系统提示“找不到域或域不存在”，发生这种故障现象的原因可能是（ ）。A. 用户输入的用户名和密码不匹配或不正确B. 用户在“登录到”对话框中选择了错误的域名C. 为该域负责域名解析的DNS服务器损坏或DC死机D. 用户计算机与域网络的网络连接已断开解析；这也是一道与实际网络管理经验结合的用户管理知识题。A选项不正确，因为如果是输错了用户和密码，不会提示“找不到域或域不存在”，而是直接告诉用户名和密码错误。B选项与A选项基本上是一样，如果选错了域，同样会出现用户名和密码错误提示，而不会出现“找不到域或域不存在”。C选项是可能的原因之一，因为当DNS或者DC工作不正常时，在进行域网络连接时得不到正确的域名解析，或者找不到DC，这样就会出现域找不到或不存在的错误的提示。D选项也是可能的原因之一，因为用户计算机与域网断开后就得不到DNS服务提供的名称解析，也找不到DC。答案：C D。面试题27：在Windows 2000/Server 2003域中，下列关于本地组与全局域网之间的关系说法正确的是（ ）。A. 本地组可以被赋予权限，但全局组不可以被赋予权限B. 本地组不可以被赋予权限，但全局组可以被赋予权限C. 本地组可以包含全局组，但全局组不可以包含本地组D. 本地组不可以包含全局组，但全局组可以包含本地组解析：全局组成员可包括只在其中定义该组的域中的其他组和账户，而且可在林中的任何域中指派权限。全局组成员可以全局使用，即可在本域和有信任关系的其他域中使用。本地组成员可包括Windows Server 2003、Windows 2000或Windows NT域中的其他组（如全局域组、Windows Server 2003中域的通用组）、账户，而且只能在域内指派权限。本地域组的权限是自身配置的，全局组的权限是来自其隶属于的本地组而得到的。答案：C。面试题28：下面关于组织单位的说法不正确的是（ ）。A. 域控制器是最大的组织单位B. 在组织单位可以创建用户和组账户C. 组织单位的组策略中可以配置用户账户策略 D. 组织单位中的组策略是最优先应用的解析：这道题可以用排除法来解答。A选项是正确的。域控制器是域网络中的组织单位，在域控制器之下还可以创建小的组织单位。B选项也是正确的。用户和组账户可以“Active Directory用户和计算机”管理工具的各容器中创建用户和组账户。C选项是错误的。因为域的账户策略只能由域控制器级别进行管理的，而不能由其他更小的组织单位来管理。D选项是正确的。组策略的应用顺序是：本地组策略对象站点组策略对象域组第一域组策略组织单位组策略。越往后优先级别越高，当后面的策略项与前面的策略项相冲突时，以后面的为准。答案：C。面试题29：有关“创建域内用户”和“将计算机加入域”这两个问题，说法正确的是（ ）。A. 某域的Domain Admins组成员可以创建该域的域内用户。B. 某林的Enterprise Admins组成员可以创建该林中任意域的域内用户。C. 将计算机加入某个域时，应输入该域的Domain Admins组成员的用户名及其口令。D. 将计算机加入某个域时，可以输入该域所属林的Enterprise Admins组成员的用户名及其口令。答案：A B C D。12.2.5 DNS服务器管理面试题30：正确的DNS查询解析的顺序是（ ）。A. 缓存、是否本机、HOSTS文件、DNS服务器B. 是否本机、缓存、HOSTS文件、DNS服务器C. 缓存、是否本机、DNS服务器、HOSTS文件D. 是否本机、HOSTS文件、缓存、DNS服务器解析：这道题考的是DNS名称查询解析的基本原理。DNS名称查询解析可以分为两个基本步骤，如图12-6所示。（点击查看大图）图12-6 DNS名称查询解析的基本原理 （1）本地解析。（2）DNS服务器解析。在本地解析过程中首先检查请示名称解析的是否为本机，然后检查主机配置文件（HOSTS文件），如果是本地配置主机文件，则来自该文件的任何主机名称到地址的映射，在DNS客户服务启动时将预先加载到缓存中。如果主机配置文件没有找到，则继续在以前的DNS查询应答的响应缓存中查找。如果此查询与缓存中的名称还不匹配，则解析过程交给DNS服务器继续进行。本地DNS服务器解析不了，则还可通过DNS名称解析转发，交给其他DNS进行解析。这就是图12-6所示的DNS名称查询解析的全过程。答案：D。面试题31：DNS服务器代表DNS客户端向其他DNS服务器发出查询称为（ ），客户端自己向其他DNS服务器发出的查询称为（ ）。A. 迭代，递归 B. 迭代，迭代C. 递归，迭代 D. 递归，递归解析：这是一道考应试者对DNS名称解析服务原理理解的题。也就是“递归”和“迭代”这两种查询方式的区别。在DNS名称解析中规定：DNS服务器代表请求客户端查询或联系其他DNS服务器，以便完全解析该名称，并随后将应答返回至客户端，这一过程称为“递归”。而客户端自己尝试联系其他的DNS服务器所进行的名称解析过程称为“迭代”。答案：C。面试题32：配置了一个与DNS集成的Windows Server 2003域控制器，客户端在加入域的时候提示找不到域控制器，原因可能有哪些？解析：这道是对应试者在域网络配置时经验方面综合测试的题，同时也是网管员中问得最多的一个问题。要全面考虑网络本身、防火墙和域名解析等。答案：出现客户端加入域时说找不到域控制器的错误现象，原因可能有以下几个方面：客户端与域控制器之间的网络不通。可以通过在客户端ping域控制器来检测。如果成功，则表示它们之间的网络是通的。域控制器端的防火墙没有允许“文件和打印机共享服务”，使得客户端与域控制器之间无法进行正常的网络通信。客户端的DNS服务器IP地址没有指向域控制器集成的DNS服务器IP地址，也就是域控制器IP地址。在加入域时输入了域的全称，而在客户端加入时应输入的是域名的NetBIOS名称。如域名为，则只需要输入grfw即可。因为客户端在没有加入之前，是不能利用DNS服务器进行DNS域名解析的，只能借助NetBIOS或者WINS服务进行NetBIOS名称解析。面试题33：某用户在建好域控制器后发现客户端无法加入域。经检查，为原来与活动目录集成的DNS服务不能正常工作所致，解决的方法是（ ）。A. 在域控制器上执行ipconfig/flushdns 命令B. 在域控制器上执行ipconfig/registerdns 命令C. 在域控制器上停用netlogon 服务后再重启用该服务D. 在客户机上停用netlogon 服务后再重启用该服务解析：这是一道与DNS服务器管理的经验题。DNS服务工作不正常可以通过两种途经来尝试修改，一种是通过执行ipconfig /registerdns 命令来为DNS服务重新注册，另一种是通过重新启动net logon 服务来实现。因为在默认情况下，netlogon服务为域控制器上主控的应用程序目录分区注册域控制器定位程序（Locator）DNS资源记录，它还为域控制器上主控的域分区注册域控制器定位程序（Locator）DNS资源记录，这两种注册方式是相同的。答案：B D。面试题34：下面是域计算机成功加入到域的必要条件的是（ ）。A. 计算机必须正确配置了指向域DNS服务器的首选DNS服务器的IP地址B. _ldap._tcp.dc._msdcs.DNSDomainName服务（SRV）资源记录必须存在于DNS中C. 在_ldap._tcp.dc._msdcs.DNSDomainNameSRV资源记录的数据字段中指定的域控制器的DNS名称所对应的地址（A）资源记录必须存在于DNS中D. 主DNS服务器必须位于域控制器上答案：A B C。面试题35：DNS服务器不呼应客户端的原因可能是（ ）。A. DNS服务器的网络连接有问题B. DNS服务器已被配置为限制对其已配置的IP地址的特定列表提供服务C. DNS服务器被配置成禁止使用其自动创建的默认反向查找区域D. 将 DNS 服务器配置为使用非默认的服务端口解析：我们一一来分析。A选项是可能的原因之一，DNS服务器的网络连接不通，当然不能响应DNS客户端的请求了。B选项也是可能的原因之一，如果在DNS服务器配置中限制了对某些IP地址提供服务时，这些DNS客户端的请求DNS服务器就不会响应了。C选项也是可能的原因之一，如果默认的反向查找区域被禁止后，则该区域中的一些以IP地址方式向DNS服务器发出的请求就会得到DNS服务器的响应了。反向查找是指根据客户端的IP地址来解析其域计算机名的功能。D选项也是可能的原因之一。默认情况下，nslookup命令使用户数据报协议（UDP）53号端口向目标DNS服务器发送查询。如果改变了，而客户端的DNS请求仍是通过这个默认端口进行的，这样就会导致请求发送到DNS服务器失败。答案：A B C D。面试题36：如果在安装Windows 2000 Server域时选择了跳过DNS服务器的安装，则下述说法正确的是（ ）。A. 安装过程将继续进行直到完成，但客户端暂时无法加入该域B. 安装过程将继续进行直到完成，客户端也能加入该域C. 安装过程将被迫中断，直到设置好可用的DNS服务器后才会继续D. 以上答案都不正确解析：这对于有过Windows 2000 Server域控制器安装经验的人来说，就比较容易得出正确答案了。在安装过程中如果取消了同时安装DNS服务器，域控制器还是可以继续向前安装的，但在域网络中安装、配置其他DNS服务器之前，客户端是不能加入域中的。答案：A。面试题37：主机的IP地址和主机域名之间的关系是（ ）。A. 两者完全是一回事 B. 一一对应C. 一个IP地址对多个域名 D. 一个域名对多个IP地址E. 以上答案都不对解析：这道题可以用排除法来得出正确答案。A选项肯定是错误的，IP地址与域名并不完全是一回事。B选项也是错误的，因为事实上现在同样一个域名，可以有几条不同的接入线路，也就对应了多个IP地址。在Web配置中也是经常遇到的。C选项看起来是正确的，因为一个IP地址可以通过多个不同端口来绑定不同的域名，这在配置Web服务器时经常用到。但也不一定，也就是前面说的，一个域名可以对应多个IP地址。D选项与C选项类似，但也不是绝对的，就像C选项那样，一个IP地址可以对应着多个不同的域名。答案：E。面试题38：域名服务器上存放着Internet主机的（ ）。A. 域名 B. 域名和IP地址 C.IP地址 D. 域名和IP地址的对照表解析：这道题很好理解，可以很快得出正确答案D。因为在访问网站时，直接输入IP地址或直接输入域名，都可以打开。所以就需要服务器上有着域名与IP地址的对照表，当用户输入的是IP地址时，可以马上解析出对应网站的域名，如果输入的是域名则无须转换，直接打开相应的网站。要注意的是题中的B选项，仅有域名与IP地址，没有一个对照关系，就不能相互转换了。答案：D。12.2.6 DHCP服务器管理面试题39：DHCP服务器的主要作用是（ ）。A. 动态IP地址分配B. 域名解析C.IP地址解析 D. 分配MAC地址解析：这道非常简单，基本上可以正确答出，那就是A。首先了解DHCP的全称是“Dynamic Host Configuratio