网络管理员面试题.doc

网管面试题/158065/1416501：Windows Server 2003系统的4个主要版本中，不能作为域控制器来部署的是Web Edition。 2：域与工作组相比，主要优势在哪里？工作组和域是两种不同的网络管理模式。工作组（Work Group）就是将不同的计算机按功能分别列入不同的组中，以方便管理。加入工作组的方法只需本机管理员在Windows桌面上的“网上邻居”单击鼠标右键，在弹出菜单中选择【属性】命令，然后在“标识”选项卡的“计算机名”文本框中添入你想让自己计算机在工作组网上邻居中显示的计算机名称，在“工作组” 文本框中添入想加入的工作组名称即可，无须任何权限审核。如果输入的工作组名称是一个不存在的工作组，那么就相当于新建一个工作组，当然在组中也只有用户自己的计算机。不过要注意，计算机名和工作组名称的长度都不能超过15个英文字符，可以输入汉字，但是也不能超过7个汉字。域（Domain）是一种更加严格的网络管理模式，要把一台计算机加入到某域中，不仅需要进行比较复杂的配置，而且还仅允许域中有权限的账户进行操作。域相对工作组来说主要有以下几个方面的优势。集中用户账户管理 在工作组中，用户账户是不进行强度极限中管理的，用户账户仍然由工作组中的计算机各自负责管理，彼此互不信任。所以，在访问工作组中不同的计算机时，需要输入对方不同计算机上的合法账户信息（通过配置也可以是匿名访问）。而域用户账户是集中管理的，所有域用户账户都是在域控制器上集中管理的，而且各客户机都信任域控制器上管理的域账户，但各客户机都不具有域账户的管理权限。而且域账户是单击登录方式，这样做的好处是，用户一旦登录到域，则具有访问域中所有计算机共享资源的账户权限，无须输入任何账户信息。当然最后能否访问还是要看具体被访问计算机上共享资源的访问权限设置。集中资源管理尽管在工作组网络中也可以配置集中的资源服务器，如文件服务器、打印服务器等，但是服务器的访问权限和访问管理比较麻烦，需要针对不同计算机上的账户进行设置；而如果是域网络中的这些服务器，则只需要对域账户进行设置。统一安全策略部署在域网络中，可以通过域组策略对整个域网络中成员计算机的安全策略进行统一部署。如用户账户权利、密码策略和安全选项等。只要在域组策略中统一部署即可在全网络中生效。对于外部网络的远程访问，还可以进行统一的安全认证，确保整个网络计算机的安全。3：利用IIS不能创建DNS服务器4：下列关于全局编录服务器的说法正确的是（ ）。D. 它是一台域控制器，保存有域内对象的最常用属性解析：全局编录是存储林中所有Active Directory对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本，以及林中所有其他域中所有对象的部分副本。全局编录中包含的所有域对象的部分副本是用户搜索操作中最常使用的部分。作为其架构定义的一部分，这些属性被标记为包含到全局编录中。在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不会以不必要的域控制器参考影响网络性能。5：什么是只读域控制器？它有什么好处？解析：这是最新的Windows Server 2008才出现的新技术。但由此可以了解应试者对新技术和知识的学习能力。答案：只读域控制器（RODC）是Windows Server 2008操作系统中提供的一种新类型的域控制器，主要用于在分支环境中进行部署。通过RODC，集团公司可以降低在无法保证物理安全的远程位置（如分支机构）中部署域控制器的风险。因为除了账户密码外，RODC可以驻留可写域控制器驻留的所有Microsoft Active Directory域服务（AD DS）对象和属性。不过，客户端无法将更改直接写入RODC。由于更改不能直接写入RODC，因此不会发生本地更改，作为复制伙伴的可写域控制器不必从RODC导入更改。管理员角色分离指定可将任何域用户委派为RODC的本地管理员，而无须授予该用户对域本身或其他域控制器的任何用户权限。6：Windows Server 2003的活动目录中包括的身份验证方式是交互式登录、网络身份验证。解析：交互式登录就是由用户通过系统的登录界面，输入用户账户和密码的方式进行的登录，这种登录方式只限于域控制，因为只有在域控制器上才拥有域账户，才会需要用到活动目录。其他主机上的本地交互登录是不用活动目录的，因为在这些主机上不具有域账户。网络身份验证向用户尝试访问的任何网络服务确认用户的身份。要提供这种类型的身份验证，安全系统将包括下面这些身份验证机制：Kerberos V5、公钥证书、安全套接字层/传输层安全性（SSL/TLS）、摘要和NTLM与Windows NT 4.0系统兼容。7：下面关于“运行方式”的说法正确的是（使用“运行方式”有助于提高计算机的安全性、使用“运行方式”后，普通用户也可以执行管理员的管理任务尽管runas通常由Administrator账户使用，但并非仅限于Administrator账户。任何拥有多个账户的用户均可以利用备用凭据，使用runas运行程序、MMC控制台或“控制面板”选项。可以使用“运行方式”来完成管理任务，而无须使用管理凭据登录计算机，使得当前计算机更加安全。而且“运行方式”可以在本地，工作组和域网络中使用。8：在Windows Server 2003系统中，如何制作密钥盘?解析：在Windows XP/Server 2003中（Windows 2000系统也一样），尽管在登录系统前需要输入用户账户和密码，但这种安全保障还是比较低的，特别是在登录Windows XP系统时，在默认账户的情况下无须输入账户和密码，便可直接进入系统桌面。为了提高系统的安全性，一方面，可以对现有的账户文件（SAM）进行二次加密；另一方面，还可以在用户启动计算机前设置一道安全屏障，把整个计算机进行加密，要启动系统必须插入相应的密钥盘。这个加密工具就是syskey。但要注意，并不是在BIOS中设置的。答案：Syskey工具的具体使用方法如下。（1）在Windows 2000/XP/Server 2003系统的“运行”窗口中输入syskey命令，（2）设置了双重启动密码后在一定程度上增强了安全性，但是要真正做到绝对安全，最好还要随身带上一把系统开机“钥匙”。利用Syskey还能创建“开机钥匙”，在开机时，只有插入这把“钥匙”才能进入系统。9：可以把Windows XP直接升级为Windows Server 2003系统吗? 如果不能请简单说明理由。答：不能直接从Windows XP系统升级到Windows Server 2003系统。因为Windows XP与Windows Server 2003分属于不同的操作系统，核心有很大区别：前者属于桌面操作系统，而后者属于网络服务器操作系统。10：Windows Server 2003能默认安装IIS吗？如果不能请简单说明理由。答案：Windows Server 2003默认不安装IIS组件，这是出于安全考虑的，因为开启IIS后，如果不进行详细的安全配置，很容易成为黑客入侵的跳板。11：通过设置策略是否可以实现在关闭Windows Server 2003系统时，不需要选择关机的理由？如果不能请说明理由，如果能请简要给出配置方法。答：可通过组策略设置来取消选择关机的理由。12：创建域和删除域的命令是dcpromo。13：在Windows Server 2003域网络中，父域和子域的默认信任关系是双向可传递。信任是在域之间建立的关系，它可使一个域中的用户由处在另一个域中的域控制器来进行验证。Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。在Windows NT 4.0及其以前版本中，信任仅限于两个域之间，而且信任关系是单向且不可传递的。在Windows 2000和Windows Server 2003林中的所有信任都是可传递的双向信任。因此，只要创建了信任，信任关系中的两个域就都是受信任的。默认的父、子域之间具有双向可传递的信任关系，林中各域树的树根也将是默认双向可传递的信任关系。14：只有. Schema Admins 组的成员，才有权对林的架构做出修改，并影响到林中所有的域。析：它们是域控制器管理员组Administrators、本地域管理员组Domain Admins、林管理员组Enterprise Admins和林架构管理员组Schema Admins。它们之间并没有我们通常所误认为的权限包含关系，而是各具特定的权限。也就是说，它们的权限分工是不一样的。Administrators具有域中所有域控制器的完全控制权限，是本地内置作用域类型的安全组。在默认情况下，Domain Admins和Enterprise Admins组是Administrators组的成员。Domain Admins具有对本地域管理的完全控制权限，是全局作用域类型的安全组。在默认情况下，该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的Administrators组的成员。在默认情况下，Administrator账户也是该组的成员。Enterprise Admins组的成员具有对林中所有域的完全控制作用，是通用作用域类型的安全组。默认情况下，该组是林中所有域控制器上Administrators组的成员。在默认情况下，Administrator账户也是该组的成员。Schema Admins组的成员可修改Active Directory架构，也是通用作用域类型的安全组。在默认情况下，Administrator账户也是该组的成员。15：下面关于域和林关系的说法正确的是一个林中可以有多个域、. 一个域中的多个子域可以有连续的名称空间解析：在Active Directory中，域树是由一个或多个Windows 2000或Windows Server 2003域通过传递、双向信任，共享公用架构、配置和全局分类连接起来的。域树中域的分层结构形成了连续的名称空间，可以将多个域树连接起来形成林。域树中的第一个域称为根域。在相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。如，为的子域及的父域，而域为的父域，同时它也是该域树的根域。林包括多个域树。林中的域树不形成邻接的名称空间。例如，虽然和两个域树都是support的子域，而子域的DNS名称却分别为和，它们之间没有共享的名称空间。16：某大学用Windows Server 2003系统创建了一个林。甲机是域的DC，乙机是域的DC。而丙机完整的计算机名为C，则下列说法正确的是（A B C D ）。A. 若A用户属于域，则可以在域内的任一计算机上登录域。B.若A用户属于域，则可以在域内的任一计算机上登录域。C. 由于域是整个目录林的根域，所以丙机C的详细资料都保存在甲机上。D. 由于丙机C属于域，所以丙机的详细资料都保存在乙机上。17：甲域内的A用户要想访问乙域内的共享资源，则（AD）。A.乙域必须针对甲域有信任关系。B. 甲域必须针对乙域有信任关系。C. A用户必须从甲域的DC上获取访问该共享资源的访问授权。D. A用户必须从乙域的DC上获取访问该共享资源的访问授权。18：一台计算机已经加入了某个域，但此时该计算机的本地管理员在该计算机上进行了本地登录，则对于该域的域管理员来说，（C）。A. 可以同时管理该计算机与该计算机的本地管理员用户B. 无法管理该计算机，也无法管理该计算机的本地管理员用户C. 可以管理该计算机，但不可以管理该计算机的本地管理员用户D. 可以管理该计算机的本地管理员用户，但不可以管理该计算机本地管理员只能在本地计算机和用户账户拥有完全控制权限，而域管理员只对域网络中的计算机账户实行管理权限，而没有对域网络中计算机的本地用户账户具有管理权限。19：为Windows Server 2003域控制器改名可用的命令是（netdom computername）。20：下面命令中可以用于把Windows 2000 Server成员服务器升级为域控制器的是（DCPROMO.EXE ）21：架构主机和（A ）是专属于林中的主机角色的。A. 域命名主机B. PDC仿真主机C. 相对ID主机D. 基础结构主机解析：这道题考的是应试者对操作主机角色知识点的掌握。所以要求应试者对各种操作主机的角色有一个较全面的掌握。在Windows Server 2003系统中，操作主机角色有5种：架构主机角色、域命名主机角色、RID主机角色、PDC仿真主机角色和结构主机角色。其中前两个是林中的，后三者是域中的。在每个林中，林范围的操作主机角色必须只能出现一次。而在林中的每个域中，域范围的操作主机角色必须在每个域中出现一次。答案：A。相关链接：每个林必须具有“架构主机”和“域命名主机”两种角色。架构主机域控制器控制对架构的全部更新和修改。要更新林的架构，必须拥有架构主机的访问权。域命名主机控制林中域的添加或删除。在林中这些角色必须是唯一的，这意味着在整个林中，只能有一个架构主机和一个域命名主机。林中的每个域都必须有“相对ID（RID）主机”、“主域控制器（PDC）仿真主机”和“结构主机”3种主机角色。同样，在每个域中这些角色都必须是唯一的。RID主机将相对ID分配给域中每个不同的域控制器。在任何时候，林中的每个域中只能有一个域控制器作为RID主机。如果域包含在没有Windows 2000或Windows XP Professional客户端软件情况下运行的计算机，或者包含Windows NT备份域控制器（BDC），则由PDC仿真主机担当Windows NT的主域控制器。它处理来自客户端的密码更改并将其复制到BDC中。在任何时候，林中的每个域中只能有一个域控制器作为PDC仿真主机。基础结构主机负责更新从它所在的域中的对象到其他域中对象的引用。基础结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作定期接受所有域中对象的更新，从而使全局编录的数据始终保持最新。如果结构主机发现数据过时，则它从全局编录中申请更新的数据。基础结构主机再将这些更新的数据复制到域中的其他域控制器。在任何时候，每个域中只能有一个域控制器作为基础结构主机。22：在配置漫游用户配置文件和主文件夹时，账户名可使用（. %username% ）变量替代。23：对于Windows 2000 Server和Windows Server 2003域，默认普通域用户可以加入计算机到域中吗？并简要说明。解析：在Windows 2000 Server和Windows Server 2003域中，默认普通用户只能加入10个计算机账户到域中。而管理员组（Administrators）成员不受此限制。用户计算机加入域中不一定非要域管理员组成员才有资格，任意普通用户，只要在域中有合法账户都可以加入计算机账户到域中的，只不过在数量上是有限制的。答案：可以，但最多只能是把10台计算机加入到域中。而管理员组成员允许加入到域的计算机数量不受限制。24：在“活动目录用户和计算机”中，有关用户对象的说法正确的是（可以同时位于多个用户组，但只能位于一个容器中）。25：对于域内用户和计算机这两个对象的具体管理，你认为下述哪种做法不妥当？（D ）A. 如果某用户已从公司辞职则应暂时将其域账户停用而不是立即删除B. 应当提醒用户经常性地按要求定期更换自己的账户密码C. 为了防止域内用户非法登录本地计算机，最好将域内计算机的本地账户停用D. 域内用户可以被施以组策略来实现管理，但不要对域内计算机对象采用组策略管理26：一位域内用户试图通过一台域内计算机登录其所属域时，在他输入用户名和密码后，系统提示“找不到域或域不存在”，发生这种故障现象的原因可能是（CD ）。C. 为该域负责域名解析的DNS服务器损坏或DC死机D. 用户计算机与域网络的网络连接已断开27：在Windows 2000/Server 2003域中，下列关于本地组与全局域网之间的关系说法正确的是（本地组可以包含全局组，但全局组不可以包含本地组）。28：下面关于组织单位的说法正确的是（ABC ）。A. 域控制器是最大的组织单位B. 在组织单位可以创建用户和组账户D. 组织单位中的组策略是最优先应用的29：有关“创建域内用户”和“将计算机加入域”这两个问题，说法正确的是（A B C D ）。30：正确的DNS查询解析的顺序是（是否本机、HOSTS文件、缓存、DNS服务器31：DNS服务器代表DNS客户端向其他DNS服务器发出查询称为（ ），客户端自己向其他DNS服务器发出的查询称为（递归，迭代 ）。32：配置了一个与DNS集成的Windows Server 2003域控制器，客户端在加入域的时候提示找不到域控制器，原因可能有哪些？答案：出现客户端加入域时说找不到域控制器的错误现象，原因可能有以下几个方面：客户端与域控制器之间的网络不通。可以通过在客户端ping域控制器来检测。如果成功，则表示它们之间的网络是通的。域控制器端的防火墙没有允许“文件和打印机共享服务”，使得客户端与域控制器之间无法进行正常的网络通信。客户端的DNS服务器IP地址没有指向域控制器集成的DNS服务器IP地址，也就是域控制器IP地址。在加入域时输入了域的全称，而在客户端加入时应输入的是域名的NetBIOS名称。如域名为，则只需要输入grfw即可。因为客户端在没有加入之前，是不能利用DNS服务器进行DNS域名解析的，只能借助NetBIOS或者WINS服务进行NetBIOS名称解析。33：某用户在建好域控制器后发现客户端无法加入域。经检查，为原来与活动目录集成的DNS服务不能正常工作所致，解决的方法是（BD ）。B. 在域控制器上执行ipconfig/registerdns 命令D. 在客户机上停用netlogon 服务后再重启用该服务34：下面是域计算机成功加入到域的必要条件的是（A B C ）。A. 计算机必须正确配置了指向域DNS服务器的首选DNS服务器的IP地址B. _ldap._tcp.dc._msdcs.DNSDomainName服务（SRV）资源记录必须存在于DNS中C. 在_ldap._tcp.dc._msdcs.DNSDomainNameSRV资源记录的数据字段中指定的域控制器的DNS名称所对应的地址（A）资源记录必须存在于DNS中35：DNS服务器不呼应客户端的原因可能是（A B C D）。36：如果在安装Windows 2000 Server域时选择了跳过DNS服务器的安装，则下述说法正确的是（安装过程将继续进行直到完成，但客户端暂时无法加入该域 ）。37：主机的IP地址和主机域名之间的关系是（一个IP地址对多个域名 ）。IP地址与域名并不完全是一回事。B选项也是错误的，因为事实上现在同样一个域名，可以有几条不同的接入线路，也就对应了多个IP地址。在Web配置中也是经常遇到的。C选项看起来是正确的，因为一个IP地址可以通过多个不同端口来绑定不同的域名，这在配置Web服务器时经常用到。但也不一定，也就是前面说的，一个域名可以对应多个IP地址。38：域名服务器上存放着Internet主机的（域名和IP地址的对照表 ）。39：DHCP服务器的主要作用是（动态IP地址分配 ）。40：APIPA IP地址段为（54 ）。41：在无盘工作站中，客户端是通过（BOOTP ）来自动获得IP地址的。A. DHCP B. BOOTP C. BOOTUP D. MADCAPBOOTP使用两个不同的知名通信端口UDP67/68。UDP67用于服务器，UDP68用于BOOTP客户端。42：下面有关DHCP服务描述不正确的是（DHCP只能为客户端提供不固定的IP地址分配）。B. DHCP是不进行身份验证的协议C. 可以通过向DHCP服务器发送大量请求来实现对DNS服务器的攻击D. 未经授权的非Microsoft DHCP服务器可以向DHCP客户端租用IP地址但是在DHCP服务器上还是可以为特殊节点计算机提供固定保留地址的，如一些网络或应用服务器。所以这种说法是不正确的。B选项中的“DHCP是不进行身份验证的协议”是正确的，因为在DHCP服务器的作用域中，当用户连接到网络时，该用户无须提供凭据即可获得租约。无论哪个客户端都可以向DHCP服务器申请IP地址租约，而且无须进行身份验证。C选项中的“可以通过向DHCP服务器发送大量请求来实现对DNS服务器的攻击”的说法也是正确的，这也是DHCP服务器的一个安全漏洞。当把DHCP服务器配置成充当DHCP客户端的DNS代理服务器，并执行DNS动态更新时，恶意用户可能会通过向DHCP服务器发送大量租约请求的方法，对DHCP服务器和DNS服务器执行拒绝服务攻击。D选项中的“未经授权的非Microsoft DHCP服务器可以向DHCP客户端租用IP地址”的说法也是正确的。只要DHCP服务器的作用域包括申请租约的客户端就可以了，这是DHCP服务器的一个安全漏洞。43：有关DHCP客户端的描述不正确的是（DHCP客户端在每次启动时所获得的IP地址都将不一样 ）。解析：A选项中的“DHCP客户端可以自行释放已获得的IP地址”是正确的，只需要客户端用户在命令提示符下输入ipconfig /release命令，即可使DHCP客户端向DCP服务器发送DHCPRelease包，释放其原来的IP租约。B选项中的“DHCP客户端获得的IP地址可以被DHCP服务器收回”的说法肯定也是正确的，因为当客户端的租约期到后，DHCP服务器便收回客户端原来租约的IP地址。C选项中的“DHCP客户端在未获得IP地址前只能发送广播信息”的说法也是正确的。因为DHCP客户端在未正式IP地址租约时，为“未绑定”状态，只能以广播方式发送消息。D选项中的“DHCP客户端在每次启动时所获得的IP地址都将不一样”这个说法看似也是正确的，其实是存在不定因素的，所以是不正确的。因为两次不同的租约可能获得的IP地址仍可能是一样的。例如两次重启时，DEHCP服务器中的IP地址池中，可用的IP地址都仅有一个相同的IP地址，当然不是这种情况也有可能获得相同的IP地址。44：下面有关超级作用域的描述不正确的是（超级作用域可以管理其中的所有作用域 ）。A. 超级作用域可以作用于多个网络或子网B. 超级作用域中可以包括多个作用域C. 超级作用域支持DHCP中继功能在多网配置中，可以使用DHCP超级作用域来组合，并激活网络上使用的IP地址的单独作用域范围。DHCP服务器通过这种方式可为单个物理网络上的客户端激活并提供来自多个作用域的租约。但超级作用域只能管理本DHCP服务器上所创建的作用域。45：下面关于DHCP与MADCAP关系正确的是（ACD）。A. DHCP服务可同时支持DHCP和MADCAP协议C. DHCP客户端可能是，也可能不是MADCAP客户端D. DHCP服务器服务可用于部署MADCAP服务器解析：MADCAP描述了多播地址分配（或MADCAP）服务器如何动态地将IP地址提供给网络上的其他计算机（MADCAP客户端）。要支持多播作用域，则应该使用多播地址动态客户端分配协议（MADCAP）。Windows Server 2003 DHCP服务可同时支持DHCP和MADCAP。这些协议单独运行，而且不相互依存。DHCP客户端可能是，也可能不是MADCAP客户端，MADCAP客户端可能是，也可能不是DHCP客户端。DHCP服务器服务可用于部署MADCAP服务器，而不论DHCP服务器如何在网络上使用。46：有关DHCP日志的描述正确的是（ ）。B. DHCP日志中审核日志文件的存放路径为windirSystem32DhcpC. 审核日志行为仅适用于Windows 2000 DHCP和Windows Server 2003 DHCPD.Windows NT Server DHCP日志文件名只能是Dhcpsrv.log析：DHCP服务器的日志与其他的服务器（如DNS服务器）日志有比较大的区别。首先就是DHCP服务器日志是不能在事件查看器中查看的，而是需要在资源管理器中打开具体的DHCP日志文件来查看。DHCP审核日志位于%windir%System32Dhcp文件夹中。而且DHCP服务器审核日志仅适用于Windows 2000 DHCP和Windows Server 2003 DHCP。早期的Windows NT Server系统DHCP日志文件名固定为Dhcpsrv.log。，因为DHCP日志是不能在事件查看器中查看的，而只能在资源管理器%windir%System32Dhcp文件夹中打开相应日志文件进行查看的。47：Windows 2000/XP/Server 2003的DHCP客户的租约到期仍未能更新，新的尝试若还未成功，IP、子网掩码则在几分钟后由，变为（/16）。48：在Windows Server 2003系统中，DHCP服务器提供给客户端的默认租约期是（8天）。49：下面关于作用域和超级作用域的说法正确的是（不可以在同一DHCP服务器下，创建两个网络ID相同的作用域、超级作用域可以包括不同网络的多个作用域50：DHCP租约第一次自动更新的时间，是在租约期的（50%或重启时）进行的。51：配置DHCP中继代理时，必须手动配置的参数是（DHCP服务器IP）。52：在NTFS文件夹中，可以为用户配置（6 ）种标准权限；在NTFS文件中可以为用户配置（5 ）种标准权限。解析： 用户6种权限。它们分别是：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。而NTFS文件可以配置的用户访问权限共有5种权限。它们分别是：完全控制、修改、读取和运行、读取、写入。对比NTFS文件夹和文件的标准权限，可以看出，NTFS文件夹仅多了一“列出文件夹目录”权限，因为文件中没有目录，所以也就没有这个权限。（1）完全控制：这是NTFS文件和文件夹都拥有的一个标准权限。当一个用户对某个NTFS文件或文件夹拥有完全控制权限时，该用户就对该文件或文件夹拥有了所有的管理权利，比如，修改文件或文件夹权限、共享文件夹，以及获得文件或文件夹的所有权。（2）修改：当一个用户对某个NTFS文件或文件夹拥有修改的权限时，该用户就可以查看该文件内容、属性和权限，并且可以修改文件或文件夹属性，文件内容，甚至删除文件。（3）读取和运行：这也是NTFS文件和文件夹都拥有的一个标准权限，包含读和列出文件夹内容的所有操作。当一个用户对某个NTFS文件或文件夹拥有读取和运行权限时，该用户就可以查看该文件夹及其文件夹内子文件夹和文件的内容、属性和权限，还可以运行文件下的应用程序。（4）读取：这也是NTFS文件和文件夹都拥有的一个标准权限。当一个用户对某个NTFS文件或文件夹拥有读的权限时，该用户就可以查看该文件内容、属性和权限，但不能修改、删除文件。（5）写入：这也是NTFS文件和文件夹都拥有的一个标准权限。当一个用户对某个NTFS文件或文件夹拥有写入的权限时，该用户就可以查看该文件内容、属性和权限，并且可以修改文件或文件夹属性；在NTFS文件夹下能够创建子文件和子文件夹，但不能修改文件内容、删除文件。（6）列出文件夹目录：这是NTFS文件夹特有的一个标准权限，NTFS文件没有该权限。当一个用户对某个NTFS文件夹拥有列出文件夹内容的权限时，该用户就可以查看该文件夹及其文件夹内子文件夹和文件的内容、属性和权限，但不能修改、删除文件。53：在可ping通的情况下，（本机上的“文件和打印共享”服务 ）因素错误不会导致共享访问失败。需要在目标主机上开启Server（服务器）服务，而在本机上开启Workstation（工作站）服务。54：NTFS文件系统中要求用户可以创建新文件、修改文件内容，但不可以删除文件，则应采用的NTFS权限是写55：有一个NTFS格式文件夹Folder1，它下面有一文件File1。现对它们设置如下权限：将File1文件的NTFS权限设置为Everyone组具有只读权限，将文件夹Folder1的共享权限设置为Everyone组具有完全控制权限。则用户最终通过网络访问此文件时的权限是（只读）56：将系统D盘的文件系统由FAT32无损转换为NTFS的命令是（convert D:/fs:ntfs）。57：与FAT32文件系统相比，下述是NTFS文件系统的优点的是可以为文件（夹）设置访问权限、可以给文件（夹）提供加密和压缩等功能选项、更节省磁盘空间58：将一个已经设置好NTFS权限和共享权限的共享文件夹由NTFS分区移动至FAT32分区，其权限的变化是文件夹的NTFS权限和共享权限设置将全部失效59：某共享文件夹的NTFS权限和共享权限设置的并不一致，则对于登录该文件夹所在主机的本地用户而言，下列（文件夹的NTFS权限 ）有效。60：将某共享文件夹的“完全控制”权限分配给一个域用户，一种方法是直接将用户名添加入文件夹的访问列表；另一种方法是将用户名加入具有对此文件夹有“完全控制”权的本地组中，两者比较，正确理解的是第一种方法可以直接生效，第二种方法需用户重新登录后方可生效61：共享权限是本地级、文件级的吗？并简要说明理由。答案：文件共享是基于网络层面的，而不是在本地的。另外，文件共享只能设置文件夹，而不是单独设置某个文件共享。NTFS文件格式的用户访问权限适用于用户的网络访问和本地访问。它不仅可以对NTFS文件夹进行访问权限设置，还可对NTFS文件设置访问权限。62：磁盘配额的配置只能针对用户账户，而不能针对组账户，是否正确并简要说明理由。答案：只有NTFS格式的磁盘才可以配置磁盘配额，而且只能针对用户账户来配置磁盘配额，而不能针对组账户。这一点完全可以从添加配额项所打开的对话框中只有一个“用户”类型选项可选，而没有其他选项来得出。 63：在Windows 2000和Windows XP/Server 2003系统中，手动更新组策略的命令分别是（secedit，gpupdate）。64：在Windows Server 2003系统中，默认情况下，用户的口令设置默认必须符合复杂性要求，且不可更改此账号策略，是否正确。并简要说明理由。答案：这种说法是不正确的。首先，在Windows Server 2003系统中，默认情况下，对用户账户口令是有复杂性要求的。如果服务器系统只是成员服务器，则通过gpedit.msc打开的本地组策略中的密码策略也是可以修改的，密码复杂性策略是否可以修改要看服务器当前的角色和所打开的组策略对象。总体来说，这个策略项还是可以修改的，无论是域控制器，还是成员服务器。65：在Windows Server 2003系统中，终端服务客户端软件文件位于Winodws系统文件夹的（system32clientstsclientwin32 ）。66：如果想利用Windows Server 2003系统中RRAS的NAT功能，使局域网中的用户都能共享一条ADSL宽带上因特网，则需要新建（请求拨号 ）接口。67：关于远程安装服务（RIS），下面说法正确的是（ABCD ）。A. Windows 2000的RIS只能用于Windows 2000 Professional，不能用于Windows 2000 Server和Windows 2000 Adva