2026年Active-Directory域管理与用户维护试题含答案

2026年ActiveDirectory域管理与用户维护试题含答案一、单选题（共10题，每题2分）1.在ActiveDirectory中，以下哪个组件负责处理客户端的Kerberos认证请求？A.DomainControllerB.DNSServerC.DHCPServerD.CertificateAuthority2.当用户尝试从域外的计算机访问域资源时，以下哪种认证协议通常被使用？A.NTLMB.KerberosC.SPNEGOD.LM3.在ActiveDirectory中，用于存储用户和计算机账户信息的数据库称为？A.DNSDatabaseB.LDAPDatabaseC.NTDSDatabaseD.SYSVOL4.以下哪个命令用于将本地用户添加到ActiveDirectory的域用户组中？A.`netuser`B.`netlocalgroup`C.`dsadd`D.`netgroup`5.当ActiveDirectory中的用户账户被锁定时，管理员可以使用哪个工具解锁？A.ActiveDirectoryUsersandComputers(ADUC)B.ComputerManagementC.GroupPolicyManagementD.EventViewer6.在ActiveDirectory中，用于存储组策略对象的数据库称为？A.SYSVOLB.NTDSDatabaseC.GroupPolicyObjects(GPOs)D.DNSDatabase7.以下哪个ActiveDirectory对象类型代表用户账户？A.ComputerB.GroupC.OrganizationalUnit(OU)D.User8.当ActiveDirectory域控制器之间发生同步失败时，管理员可以使用哪个工具进行故障排除？A.`dcdiag`B.`repadmin`C.`netdom`D.`ntdsutil`9.在ActiveDirectory中，用于强制用户在下次登录时更改密码的属性是？A.`passwordNeverExpire`B.`passwordChangeRequired`C.`lockoutTime`D.`accountDisabled`10.以下哪个ActiveDirectory角色具有完全管理域的权限？A.DomainAdministratorB.EnterpriseAdministratorC.LocalAdministratorD.GroupPolicyCreator二、多选题（共5题，每题3分）1.在ActiveDirectory中，以下哪些组件属于域控制器的主要功能？A.处理Kerberos认证请求B.存储和同步域用户账户C.分配IP地址D.管理组策略对象2.当用户账户被锁定时，以下哪些原因可能导致？A.多次输入错误密码B.账户被管理员手动锁定C.账户被恶意软件攻击D.账户密码过期3.在ActiveDirectory中，以下哪些工具可以用于管理用户和计算机账户？A.ActiveDirectoryUsersandComputers(ADUC)B.PowerShellC.CommandPromptD.GroupPolicyManagementConsole(GPMC)4.当ActiveDirectory域控制器之间发生同步失败时，以下哪些命令可以用于故障排除？A.`dcdiag/test:GC`B.`repadmin/syncall`C.`netdom/sync`D.`ntdsutil/sync`5.在ActiveDirectory中，以下哪些策略可以用于增强安全性？A.强制密码复杂度B.设置密码过期时间C.禁用不必要的用户账户D.启用账户锁定策略三、判断题（共10题，每题1分）1.ActiveDirectory只能用于Windows域环境。（×）2.域控制器之间通过Kerberos协议进行通信。（√）3.用户账户密码可以被明文存储在ActiveDirectory中。（×）4.ActiveDirectory中的组织单位（OU）可以嵌套使用。（√）5.域管理员无法修改其他域控制器的配置。（×）6.组策略对象（GPO）可以应用到整个域或特定的组织单位。（√）7.ActiveDirectory中的用户账户可以被设置为全局管理员权限。（√）8.域控制器之间的同步失败会导致域功能降级。（√）9.用户账户被锁定后，只有域管理员可以解锁。（×）10.ActiveDirectory中的DNS服务器负责存储域控制器的主机记录。（√）四、简答题（共5题，每题4分）1.简述ActiveDirectory域控制器的主要功能。2.解释什么是组织单位（OU）及其在ActiveDirectory中的作用。3.描述如何将本地用户账户添加到ActiveDirectory域中。4.说明组策略对象（GPO）的常用配置选项及其作用。5.列举三种常见的ActiveDirectory故障排除方法。五、操作题（共2题，每题10分）1.假设你是一家公司的IT管理员，需要将一台名为“DC01”的服务器配置为ActiveDirectory域控制器，并加入名为“CONTOSO”的域。请列出主要步骤。2.某用户报告无法登录到ActiveDirectory域，怀疑是密码问题。请列出排查步骤并说明如何解决。答案及解析一、单选题答案1.A解析：域控制器（DomainController）负责处理客户端的Kerberos认证请求，确保用户可以安全地访问域资源。2.A解析：NTLM（NTLANManager）协议通常用于域外认证，因为Kerberos需要域控制器支持。3.C解析：NTDS（NTDirectoryServices）数据库是ActiveDirectory的核心数据库，存储用户、计算机、组等账户信息。4.B解析：`netlocalgroup`命令用于将用户添加到本地组，但在ActiveDirectory环境中，通常使用PowerShell或ADUC进行管理。5.A解析：ActiveDirectoryUsersandComputers（ADUC）是管理用户账户的工具，可以解锁被锁定的账户。6.B解析：NTDS数据库存储组策略对象（GPO）的配置信息，包括策略设置和文件。7.D解析：User对象类型代表用户账户，是ActiveDirectory中最常见的对象类型之一。8.B解析：`repadmin`命令用于管理ActiveDirectory复制，可以用于排查同步失败问题。9.B解析：`passwordChangeRequired`属性强制用户在下次登录时更改密码，增强安全性。10.A解析：DomainAdministrator角色拥有完全管理域的权限，可以执行所有域管理任务。二、多选题答案1.A,B,D解析：域控制器的主要功能包括处理Kerberos认证、存储和同步域账户、管理组策略对象等。DHCP服务器通常独立配置。2.A,B,C解析：多次输入错误密码、被管理员手动锁定、被恶意软件攻击都可能导致账户被锁定。密码过期不会导致锁定。3.A,B,C,D解析：ADUC、PowerShell、CommandPrompt、GPMC都是管理ActiveDirectory的常用工具。4.A,B,D解析：`dcdiag/test:GC`、`repadmin/syncall`、`ntdsutil/sync`都是排查同步问题的常用命令。`netdom/sync`不是标准命令。5.A,B,C,D解析：强制密码复杂度、设置密码过期时间、禁用不必要的账户、启用账户锁定策略都是增强安全性的有效方法。三、判断题答案1.×解析：ActiveDirectory可以用于混合环境，如Windows与Linux的集成。2.√解析：域控制器之间通过Kerberos协议进行认证和通信。3.×解析：ActiveDirectory中的密码存储为哈希值，不会明文存储。4.√解析：组织单位（OU）可以嵌套使用，实现更精细的权限管理。5.×解析：域管理员可以修改所有域控制器的配置。6.√解析：GPO可以应用到整个域或特定的OU，实现策略的灵活配置。7.√解析：用户账户可以被设置为全局管理员权限，拥有最高权限。8.√解析：同步失败会导致域功能降级，影响域的稳定性。9.×解析：任何具有足够权限的管理员都可以解锁被锁定的账户。10.√解析：DNS服务器存储域控制器的主机记录，支持Kerberos认证。四、简答题答案1.ActiveDirectory域控制器的主要功能-处理Kerberos认证请求，确保用户可以安全地访问域资源。-存储和同步域用户账户、计算机、组等信息。-管理组策略对象（GPO），将策略应用到域成员。-提供DNS服务，支持域控制器之间的通信。-作为客户端的认证中心，验证用户和计算机的身份。2.组织单位（OU）及其作用-组织单位（OU）是ActiveDirectory中的容器对象，用于组织和管理其他ActiveDirectory对象，如用户、计算机、组等。-OU可以继承父级的权限和策略，实现细粒度的权限管理。-通过OU，管理员可以更灵活地应用组策略对象（GPO），实现不同部门的策略差异。3.将本地用户账户添加到ActiveDirectory域中的步骤-在域控制器上打开ActiveDirectoryUsersandComputers（ADUC）。-右键点击目标OU，选择“新建”>“用户”。-输入用户名和密码，设置其他属性（如邮箱、电话等）。-点击“下一步”完成创建，用户账户即被添加到域中。-也可以使用PowerShell命令`New-ADUser`进行批量添加。4.组策略对象（GPO）的常用配置选项及其作用-安全设置：控制GPO的适用范围和权限。-计算机配置和用户配置：分别应用策略到计算机和用户。-登录/注销脚本：在用户登录或注销时执行脚本。-软件安装：自动部署软件到域成员。-窗口station：配置桌面环境，如壁纸、屏幕保护程序等。5.三种常见的ActiveDirectory故障排除方法-使用`dcdiag`命令检查域控制器的健康状态。-使用`repadmin`命令检查域控制器之间的复制状态。-使用`ntdsutil`工具进行NTDS数据库的维护和修复。五、操作题答案1.将服务器配置为ActiveDirectory域控制器的步骤-打开“服务器管理器”，点击“添加角色和功能”。-选择“下一步”进入安装向导，选择“添加角色”。-勾选“ActiveDirectory域服务”，点击“下一步”。-配置域名（如``），点击“下一步”。-完成安装，重