Mcsa 70-742

MCSA Windows Server 2016
Number: 70-742
Passing Score: 700
Time Limit: 135 min
File Version: 1.0
Bewertete Fähigkeiten
Mit dieser Prüfung werden Ihre Fähigkeiten bei der Ausführung der unten aufgeführten technischen
Aufgaben bewertet. Die Prozentangaben geben Aufschluss über die relative Gewichtung der einzelnen
Schwerpunktthemen. Je höher der Prozentsatz, desto mehr Fragen wird die Prüfung zu diesem Bereich
enthalten. Sehen Sie sich Video-Tutorials zu den variety of question types in Microsoft-Prüfungen an.
Bitte beachten Sie, dass sich die Prüfungsfragen auf die Themen in den nachfolgenden Aufzählungen
beziehen, jedoch nicht darauf beschränkt sind.
1. Installieren und Konfigurieren von Active Directory-Domänendiensten (AD DS) (20–25 %)

2. Verwalten und Pflegen von AD DS (15–20 %)
3. Erstellen und Verwalten von Gruppenrichtlinien (25–30 %)
4. Implementieren von Active Directory-Zertifikatdiensten (Active Directory Certificate Services, AD CS)
(10–15 %)
5. Implementieren von Identitätsverbund- und -zugriffslösungen (15–20 %)
Sections
1. 1.1 Installieren und konfigurieren von DCs
2. 1.2 Benutzer und Computer
3. 1.3 Gruppen und OUs
4. 2.1 Dienstauthentifizierung und Kontorichtlinien
5. 2.2 AD warten
6. 2.3 AD in einer komplexen Umgebung
7. 3.1 GPOs
8. 3.2 Verarbeitung von GPOs
9. 3.3 GPO-Einstellungen
10. 3.4 Gruppenrichtlinienpräferenzen
11. 4.1 Installieren und Einrichten von AD CS
12. 4.2 Zertifikate verwalten
13. 5.1 AD FS
14. 5.2 WAP
15. 5.3 AD RMS
16. New
Implementieren von Identitätsverbund- und -Zugriffslösungen
QUESTION 1
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen datacom.de. Eine
Partnerorganisation hat eine Active Directory-Gesamtstruktur mit dem Namen certbase.de.
Die Gesamtstruktur datacom.de enthält einen Active Directory-Rechteverwaltungsdienste (AD RMS)-

Cluster auf einem Server mit dem Namen dat1.datacom.de.
Die Gesamtstruktur certbase.de enthält einen Active Directory-Rechteverwaltungsdienste (AD RMS)-

Cluster auf einem Server mit dem Namen cb1.certbase.de.
Sie müssen dem AD RMS-Cluster der Gesamtstruktur datacom.de das Akzeptieren von
Rechtekontozertifikaten (Rights Account Certificates, RACs) der Gesamtstruktur certbase.de ermöglichen.
Wie gehen Sie vor?
A. Importieren Sie die vertrauenswürdige Veröffentlichungsdomänendatei aus dat1.datacom.de in

certbase.de.
B. Importieren Sie die vertrauenswürdige Benutzerdomänendatei aus cb1.certbase.de in datacom.de.
C. Importieren Sie die vertrauenswürdige Veröffentlichungsdomänendatei aus cb1.certbase.de in
datacom.de.
D. Importieren Sie die vertrauenswürdige Benutzerdomänendatei aus dat1.datacom.de in certbase.de.
Correct Answer: B
Section: New
Explanation
Explanation/Reference:
QUESTION 2
Ihr Netzwerk enthält eine Active Directory-Domane mit dem Namen certbase.de. Die Domane enthält einen
Active Directory-Verbunddiensteserver (AD FS) mit dem Namen Server1.
Sie installieren und konfigurieren den Webanwendungsproxy auf einem eigenstandigen Server mit dem
Namen Server2.
Sie haben eine interne Webanwendung mit dem Namen WebApp1. AD FS verfügt über eine
Vertrauensstellung der vertrauenden Seite für WebApp1.
Sie müssen externen Benutzern Zugriff auf WebApp1 ermöglichen. Für die Authentifizierung gegenüber
WebApp1 muss die AD FS-Vorauthentifizierung verwendet werden.
Welches Tool verwenden Sie für das Veröffentlichen von WebApp1?
A. Die Remotezugriffs-Verwaltungskonsole auf Server1.

B. Die Konsole Routing und RAS auf Server1.
C. Die Remotezugriffs-Verwaltungskonsole auf Server2.
D. Die AD FS-Verwaltung auf Server1.
E. Die AD FS-Verwaltung auf Server2.
Correct Answer: C
Section: New
Explanation
QUESTION 3
Sie sind als Administrator für das Unternehmen CertBase tätig. Sie stellen im internen Netzwerk eine
Webanwendung mit dem Namen WebApp1 bereit. WebApp1 wird auf einem Windows Server 2016 Server
mit dem Namen Web1 gehostet.
Sie stellen eine Active Directory-Verbunddienste (AD FS)-Infrastruktur und einen Webanwendungsproxy
bereit, um Benutzern Zugriff auf WebApp1 zu ermöglichen.
Sie müssen sicherstellen, dass Remotebenutzer bei Web1 authentifiziert werden können.
Wie gehen Sie vor?
A. Veröffentlichen Sie WebApp1 mithilfe der Pass-Through-Vorauthentifizierung.

B. Veröffentlichen Sie WebApp1 im Webanwendungsproxy als Remotedesktopgateway-Anwendung.
C. Veröffentlichen Sie WebApp1 mithilfe der Clientzertifikat-Vorauthentifizierung.
D. Veröffentlichen Sie WebApp1 mithilfe der AD FS-Vorauthentifizierung.
Correct Answer: A
Section: New
Explanation
QUESTION 4
Ihr Netzwerk umfasst eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen
certbase.de. Die Konfiguration der relevanten Server der Domäne wird in der folgenden Tabelle gezeigt:
Im Umkreisnetzwerk befindet sich ein Server mit dem Namen Server6.
Auf jedem Server bestehen die folgenden lokalen Benutzerkonten:
Sie installieren den Rollendienst Webanwendungsproxy auf Server6.
Sie müssen den Webanwendungsproxy auf Server6 konfigurieren. Ihre Lösung muss das Prinzip der
Vergabe geringstmöglicher Berechtigungen befolgen.
Welches Konto geben Sie im Assistenten zum Konfigurieren des Webanwendungsproxys an?
(Wählen Sie zum Beantworten der Frage die entsprechenden Optionen im Antwortbereich aus.)
A. Server1 Benutzer2
B. Server2 Benutzer4
C. Server3 Benutzer3
D. Server4 Benutzer1
E. Server5 Benutzer4
Correct Answer: D
Section: New
Explanation
QUESTION 5
certbase.de. Die Domäne enthält einen Active Directory-Rechteverwaltungsdienste (AD RMS)-Cluster und
eine Zertifizierungsstelle.
Sie müssen sicherstellen, dass alle durch AD RMS geschützten Dokumente auch dann entschlüsselt
werden können, wenn das zum Verschlüsseln der Dokumente verwendete Konto gelöscht wird.
Wie gehen Sie vor?
A. Konfigurieren Sie das AD RMS-Clusterschlüsselkennwort manuell.

B. Erstellen Sie mithilfe von Windows Server-Sicherung eine Sicherung der durch AD RMS geschützten
Dateien.
C. Konfigurieren Sie in der AD RMS-Bereitstellung Administratoren.
D. Konfigurieren Sie die Schlüsselarchivierung der Zertifizierungsstelle.
Correct Answer: C
Section: New
Explanation
QUESTION 6
Sie sind als Administrator für das Unternehmen CertBase tätig. Das interne Netzwerk
umfasst einen Webserver, der mehrere Websites hostet. Die Websites verwenden HTTP
und HTTPS.
Sie stellen im Umkreisnetzwerk einen Webanwendungsproxy bereit.
Sie müssen sicherstellen, dass Benutzer über das Internet nur unter Verwendung von
HTTPS auf die Websites zugreifen können. Für den Zugriff über das Internet muss der
Webanwendungsproxy verwendet werden.
Welche zwei Schritte führen Sie durch?
(Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)
A. Konfigurieren Sie den Webanwendungsproxy für die OAUTH2-Vorauthentifizierung.

B. Erstellen Sie auf den externen DNS-Server Einträge, die auf die öffentliche IP-
Adresse des Webanwendungsproxys verweisen.
C. Veröffentlichen Sie die Websites mithilfe der Remotezugriffs-Verwaltungskonsole.
Konfigurieren Sie die Pass-Through-Authentifizierung und wählen Sie die Option
HTTP-zu-HTTPS-Umleitung aktivieren.
D. Erstellen Sie auf den externen DNS-Server Einträge, die auf die private IP-Adresse
des Webservers verweisen.
E. Konfigurieren Sie auf dem Webserver die HTTP-Umleitung an den
Webanwendungsproxy.
Correct Answer: BC
Section: New
Explanation
Webanwendungsproxy bietet Organisationen die Möglichkeit, Zugriff auf Anwendungen,
die auf Servern innerhalb der Organisation ausgeführt werden, für Endbenutzer
außerhalb der Organisation bereitzustellen. Der Prozess der Bereitstellung des Zugriffs
auf Anwendungen für externe Benutzer wird als Veröffentlichung bezeichnet. Im
Gegensatz zu herkömmlichen VPN-Lösungen, bei der Veröffentlichung mit
Webanwendungsproxy Endbenutzer erhalten nur Zugriff auf Anwendungen, die Sie
veröffentlichen.
QUESTION 7
Ihr Netzwerk enthält eine Active Directory-Gesamtstruktur mit dem Namen certbase.de.
Auf allen Domänencontrollern ist Windows Server 2012 R2 installiert.
Sie stellen einen neuen Server mit dem Namen Server1 bereit. Auf Server1 wird
Windows Server 2016 ausgeführt.
Ein Administrator namens Admin1 ist Mitglied der Gruppe Domänen-Benutzer. Sie fügen
Admin1 der Gruppe Administratoren auf Server1 hinzu.
Admin1 meldet sich an Server1 an und konfiguriert erfolgreich einen neuen Active
Directory-Rechteverwaltungsdienste (AD RMS)-Cluster.
Sie müssen sicherstellen, dass Clients den AD RMS-Cluster durch Abfragen von Active
Directory ermitteln können.
Wie gehen Sie vor?
A. Registrieren Sie einen Dienstverbindungspunkt (Service Connection Point, SCP).

B. Ändern Sie die Sicherheitseinstellungen des Computerkontos von Server1.
C. Aktualisieren Sie das Schema des Active Directory.
D. Aktualisieren Sie einen Domänencontroller auf Windows Server 2016.
Correct Answer: A
Section: New
Explanation
Der Dienstverbindungspunkt (Service Connection Point, SCP) für AD RMS identifiziert
die Verbindungs-URL für den Dienst zu den AD RMS-fähigen Clients in Ihrer
Organisation. Nachdem Sie den Dienstverbindungspunkt in den Active Directory-
Domänendiensten (Active Directory Domain Services, AD DS) registriert haben, können
Clients den AD RMS-Cluster ermitteln, um Nutzungslizenzen, Veröffentlichungslizenzen
oder Rechtekontozertifikate (Rights Account Certificate, RACs) anzufordern.
Wenn die Rolle "AD RMS" auf Ihrem Server konfiguriert ist, versucht die Installation, den
AD RMS-Dienstverbindungspunkt zu registrieren. Falls dies jedoch nicht möglich ist,
können Sie den Dienstverbindungspunkt auf dem Eigenschaftenblatt des Clusters an der
Konsole der Active Directory-Rechteverwaltungsdienste registrieren oder ändern.
Wenn Sie einen Dienstverbindungspunkt von einem AD RMS-Cluster in einer
untergeordneten Domäne registrieren, werden Sie möglicherweise in einer
Fehlermeldung darüber informiert, dass bei der Registrierung des
Dienstverbindungspunkts ein Fehler aufgetreten ist. In vielen Fällen war die
Registrierung erfolgreich. Sie erfolgt jedoch zunächst in der Domäne der obersten
Ebene, und das Replizieren zur untergeordneten Domäne, in der der AD RMS-Cluster
das Dienstverbindungspunktobjekt sucht, dauert einige Zeit. Sobald der
Dienstverbindungspunkt zu allen globalen Katalogservern in der Gesamtstruktur repliziert
wurde, wird die Meldung nicht mehr angezeigt.
Sie müssen mindestens Mitglied der Gruppe AD RMS-Organisationsadministratoren
und der Gruppe Organisations-Admins in AD DS oder einer entsprechenden Gruppe
sein, um dieses Verfahren ausführen zu können.
So registrieren oder ändern Sie einen Dienstverbindungspunkt

1. Melden Sie sich an einem Server des Clusters an, auf dem Sie einen
Dienstverbindungspunkt registrieren müssen.
2. Öffnen Sie die Konsole der Active Directory-Rechteverwaltungsdienste.
3. Klicken Sie mit der rechten Maustaste auf den AD RMS-Cluster, und klicken Sie dann
auf Eigenschaften.
4. Klicken Sie auf die Registerkarte SCP.
5. Aktivieren Sie das Kontrollkästchen SCP ändern.
6. Klicken Sie auf die Option SCP auf aktuellen Zertifizierungscluster festlegen, und
klicken Sie dann auf OK.
7. Klicken Sie auf Ja, um den Vorgang zu bestätigen.
QUESTION 8
Sie sind als Administrator für das Unternehmen CertBase tätig. Sie verwenden
Application Request Routing (ARR), um interne Webanwendungen mit NTLM-
Authentifizierung für das Internet verfügbar zu machen.
Sie wollen Microsoft Application Request Routing ersetzen und anstelle dessen den
Rollendienst Webanwendungsproxy verwenden.
Welche Serverrolle stellen Sie zuerst bereit?
A. Active Directory Lightweight Directory Services (AD LDS)

B. Active Directory-Rechteverwaltungsdienste (AD RMS)
C. Active Directory-Verbunddienste (AD FS)
D. Active Directory-Zertifikatdienste (AD CS)
Correct Answer: C
Section: New
Explanation
Microsoft Application Request Routing (ARR) 3 für IIS ist ein proxybasiertes
Routingmodul, das HTTP-Anforderungen basierend auf HTTP-Headern und
Servervariablen sowie Lastausgleichsalgorithmen an Anwendungsserver weiterleitet.
ARR benötigt das als Download erhältliche "URL Rewrite Modul" für die
Internetinformationsdienste.
Weitere Informationen finden Sie unter:
Using the Application Request Routing Module
YouTube: Web Application Proxy (WAP) and Application Request Routing (ARR)
QUESTION 9
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält zwei Standorte mit
den Namen Site1 und Site2. Die beiden Standorte sind über eine WAN-Verbindung miteinander verbunden.
Site1 enthält 10 Domänencontroller.
Sie führen den Assistenten zur Konfiguration der Active Directory-Domänendienste aus. Ihre Konfiguration
wird nachstehend gezeigt:
Server3 ist der einzige Server in Site2.
Welche Aussagen treffen zu?

(In der Abbildung werden Auswahlmöglichkeiten gezeigt. Klicken Sie auf die Schaltfläche Zeichnung und
vervollständigen Sie die Aussagen so, dass sie zutreffen.)
A. Mitglieder der Gruppe Site2 Admins können auf Server3 Inhalte des SYSVOL-Verzeichnisses
aktualisieren.
B. Mitglieder der Gruppe Site2 Admins können auf Server3 die Kennwortreplikationsrichtlinie ändern.
C. Mitglieder der Gruppe Site2 Admins können auf Server3 den Dienst "Active Directory-
Domänendienste" beenden und starten.
D. Wenn die WAN-Verbindung ausfällt, werden sich Mitglieder der Gruppe "Zulässige RODC-
Kennwortreplikationsgruppe" in Site2 nicht anmelden können.
E. Wenn die WAN-Verbindung ausfällt, werden sich Mitglieder der Gruppe "Zulässige RODC-
Kennwortreplikationsgruppe" in Site2 mit reduzierten Sicherheitsberechtigungen anmelden können.
F. Wenn die WAN-Verbindung ausfällt, werden sich Mitglieder der Gruppe "Zulässige RODC-
Kennwortreplikationsgruppe" in Site2 anmelden können, wenn sie sich schon zuvor angemeldet
haben.
Correct Answer: CF
Section: 1.1 Installieren und konfigurieren von DCs
Explanation
Erläuterungen:
Die Gruppe Site2 Admins ist als delegiertes Administratorkonto für den schreibgeschützten
Domänencontroller vorgesehen. Mitglieder dieser Gruppe erhalten lokale Administratorenrechte zur
Verwaltung des Servers, haben aber keine Berechtigungen in Bezug auf das Active Directory.
Kennwortreplikationsrichtlinie
Sie müssen bei der ersten Bereitstellung eines schreibgeschützten Domänencontrollers die
Kennwortreplikationsrichtlinie auf dem schreibbaren Domänencontroller konfigurieren, der als
Replikationspartner des RODC verwendet wird.
Die Kennwortreplikationsrichtlinie fungiert als Zugriffssteuerungsliste (Access Control List, ACL). Mit ihr wird
bestimmt, ob ein Kennwort von einem RODC zwischengespeichert werden darf. Wenn ein RODC eine
Anmeldeanforderung eines authentifizierten Benutzers oder Computers erhält, bestimmt er mit Bezug auf
die Kennwortreplikationsrichtlinie, ob das Kennwort für das Konto zwischengespeichert werden soll.
Nachfolgende Anmeldungen durch dasselbe Konto können dann effizienter ausgeführt werden.
Die Kennwortreplikationsrichtlinie listet die Konten auf, die zwischengespeichert werden dürfen, sowie die
Konten, die explizit von der Zwischenspeicherung ausgeschlossen sind. Die Liste der Benutzer- und
Computerkonten, die zwischengespeichert werden dürfen, lässt nicht darauf schließen, ob die Kennwörter
dieser Konten tatsächlich auf dem RODC zwischengespeichert wurden. Ein Administrator kann
beispielsweise vorab einige Konten angeben, die von einem RODC zwischengespeichert werden sollen.
Auf diese Weise kann der RODC diese Konten authentifizieren, selbst wenn die WAN-Verbindung mit dem
Hubstandort offline ist.
Die Zugangsdaten der Mitglieder der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" werden

standardmäßig zwischengespeichert.
QUESTION 10
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält zwei
Domänencontroller mit den Namen DC1 und DC2. Auf beiden Domänencontrollern ist das Betriebssystem
Windows Server 2016 installiert. DC1 ist Inhaber aller Betriebsmasterrollen.
DC1 fällt aufgrund eines Hardwaredefekts aus.
Sie planen, mithilfe eines automatisierten Prozesses 1000 neue Benutzerkonten zu erstellen.
Sie müssen sicherstellen, dass der automatisierte Prozess erfolgreich abgeschlossen werden kann.
Welchen Befehl führen Sie aus?
(Die verfügbaren Befehle und Parameter werden in der Abbildung gezeigt. Klicken Sie auf die Schaltfläche
Zeichnung.)
(Wählen Sie zwischen den Antworten A oder B, G oder H und eine Antwort zwischen C und F.)
A. Move-ADDirectoryServerOperationMasterRole
B. ntdsutil
C. PDCEmulator
D. InfrastructureMaster
E. RIDMaster
F. SchemaMaster
G. Seize PDC
H. -Force
Correct Answer: AEH

Explanation
Erläuterungen:
Für jedes Objekt einer Active Directory-Domäne wird eine SID (Security Identifier) benötigt, über die das
Objekt eindeutig identifiziert werden kann. Die SID setzt sich aus einem Domänenteil, der bei allen
Objekten der Domäne identisch ist, und einem relativen Teil, der für jedes Objekt eindeutig ist, zusammen.
Der RID-Master (Relative ID, RID) verwaltet einen Pool mit ID-Werten und vergibt an jeden
Domänencontroller einen Block mit 512 SID Werten, die dieser bei der Erstellung neuer Objekte nutzen
kann. Hat der Domänen-Controller weniger als 100 freie Nummer übrig, fordert er vom RID-Master einen
neuen Block IDs an.
QUESTION 11
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält eine Domäne mit
dem Namen certbase.de. Die Domäne enthält zwei Domänencontroller mit den Namen DC1 und DC2. DC1
ist Inhaber aller Betriebsmasterrollen.
Während des normalen, fehlerfreien Netzwerkbetriebs führen Sie die folgenden Befehle aus:
Move-ADDirectoryServerOperationMasterRole -Identity "DC2" –

OperationMasterRolePDCEmulator
Move–ADDirectoryServerOperationMasterRole -Identity "DC2" -

OperationMasterRoleRIDMaster
DC1 fällt mit einem Hardwaredefekt aus. Sie entfernen DC1 aus dem Netzwerk und führen anschließend
die folgenden Befehle aus:
Move-ADDirectoryServerOperationMasterRole -Identity "DC2" -

OperationMasterRoleSchemaMaster
Welche der gezeigten Aussagen treffen zu?
(Die Aussagen werden in der Abbildung dargestellt. Klicken Sie auf die Schaltfläche Zeichnung.)
Hot Area:
Correct Answer:

Explanation
Erläuterungen:
Mithilfe des Cmdlets Move-ADDirectoryServerOperationMasterRole können eine oder mehrere
Betriebsmasterrollen von dem aktuellen Rolleninhaber auf einen anderen Domänencontroller verschoben
werden.
Das Übertragen einer Rolle erfordert, dass der aktuelle Inhaber der Rolle kontaktiert werden kann. Um eine
Rolle zu übernehmen, wenn der aktuelle Inhaber nicht verfügbar ist, muss der Parameter Force
angegeben werden.
Um einer Gesamtstruktur neue Domänen hinzuzufügen, muss die Rolle Domänennamenmaster verfügbar
sein.
Um einer Domäne einen neuen Domänencontroller hinzuzufügen, müssen mindestens ein schreibbarer
Domänencontroller als Quelle für die Active Directory-Replikation und der RID-Master als Quelle für die
Vergabe eines RID-Pools verfügbar sein.
QUESTION 12
Hinweis: Diese Aufgabe gehört zu einer Reihe von Fragestellungen, die dasselbe Szenario verwenden. Das
Szenario wird bei jeder Aufgabe wiederholt. Jede Frage zu diesem Szenario bietet eine andere Lösung. Sie
müssen entscheiden, ob die Lösung geeignet ist, das Ziel zu erreichen.
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Die
Gesamtstruktur enthält eine einzelne Domäne mit vier Domänencontrollern. Auf allen Domänencontrollern
ist das Betriebssystem Windows Server 2016 installiert.
Sie müssen feststellen, auf welchem Domänencontroller die Betriebsmasterrolle Schemamaster ausgeführt
wird.
Lösung: Sie führen den Befehl netdom query fsmo aus.
Erfüllt das Vorgehen Ihr Ziel?
A. Ja
B. Nein
Correct Answer: A
Explanation
Erläuterungen:
Mit dem Snap-In Active Directory-Benutzer und –Computer können Sie die drei Betriebsmasterrollen der
Domäne (RID-Master, PDC-Emulator, Infrastrukturmaster) einsehen. Die gesamtstrukturweiten
Betriebsmaster können Sie mit diesen Snap-In nicht abrufen.
Für das Abrufen des aktuellen Schemamasters stehen mehrere Möglichkeiten zur Wahl. Der
Schemamaster kann z.B. mithilfe des Snap-Ins Active Directory-Schema eingesehen und übertragen
werden. Das Snap-In steht standardmäßig nicht zur Verfügung. Bevor es einer MMC hinzugefügt werden
kann, muss die zugrundeliegende Bibliotheksdatei durch Aufruf von regsvr32 schmmgmt.dll registriert
werden. Eine zweite Möglichkeit besteht in der Verwendung des Cmdlets Get-ADForest. Eine dritte
Möglichkeit besteht in dem Aufruf von netdom query fsmo.
Beispiele für das Ermitteln der Betriebsmasterrollen mithilfe der PowerShell:
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster
Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest,

OperationMasterRoles | Where-Object {$_.OperationMasterRoles} | Format-Table -
AutoSize
QUESTION 13
wird.
Lösung: Sie verwenden das Snap-In Active Directory-Benutzer und -Computer.
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:

AutoSize
QUESTION 14
wird.
Lösung: Sie verwenden das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:

AutoSize
QUESTION 15
wird.
Lösung: Sie verwenden das PowerShell Cmdlet Get-ADForest.
A. Ja
B. Nein
Correct Answer: A
Explanation
Erläuterungen:


AutoSize
QUESTION 16
certbase.de.
Sie müssen der Gesamtstruktur eine neue Domäne mit dem Namen merkur.de hinzufügen.
Zeichnung.)
(Wählen Sie eine Antwort zwischen A und C und entweder D oder E.)
A. Install-ADDSDomain
B. Install-ADDSDomainController
C. Install-ADDSForest
D. TreeDomain
E. ChildDomain
Correct Answer: AD
Explanation
Erläuterungen:
Mithilfe des Cmdlets Install-ADDSDomain kann in einer bestehenden Gesamtstruktur eine neue
Domäne installiert werden. Der Parameter DomainType gibt an, ob es sich um einen neuen
Domänenbaum ("TreeDomain") oder um eine untergeordnete Domäne ("ChildDomain") handelt.
QUESTION 17
certbase.de. Die Domäne enthält zwei Domänencontroller mit den Namen DC1 und DC2. DC2 ist ein
virtueller Computer auf einem Hyper-V-Host mit dem Namen Server1. DC1 stellt die Betriebsmasterrolle
PDC-Emulator bereit.
Sie wollen durch das Klonen eines Domänencontrollers einen neuen Domänencontroller mit dem Namen
DC3 erstellen.
Welche fünf Schritte führen Sie in Reihenfolge aus, bevor Sie den geklonten virtuellen Domänencontroller
importieren?
(Die verfügbaren Aktionen werden in der Abbildung dargestellt. Klicken Sie auf die Schaltfläche Zeichnung
und ordnen Sie die erforderlichen Schritte in der richtigen Reihenfolge an.
Es kann mehr als eine Antwortreihenfolge richtig sein. Sie erhalten Punkte für jede richtige Reihenfolge.)
Build List and Reorder:
Correct Answer:

Explanation
Erläuterungen:
Ab Windows Server 2012 können Administratoren durch Kopieren eines vorhandenen virtuellen
Domänencontrollers einfach und sicher Replikatsdomänencontroller bereitstellen. In einer virtuellen
Umgebung müssen Administratoren nicht mehr jedesmal ein mit "sysprep.exe" vorbereitetes
Serverabbild bereitstellen, den Server zu einem Domänencontroller heraufstufen und zusätzliche
Konfigurationsanforderungen erfüllen, um einen Replikatsdomänencontroller bereitzustellen.
Die Autorisierung zum Klonen virtualisierter Domänencontroller wird vom AD DS-Administrator gesteuert.
Damit Hypervisoradministratoren zusätzliche Domänencontroller durch Kopieren virtueller
Domänencontroller bereitstellen können, muss der AD DS-Administrator einen Domänencontroller
auswählen, autorisieren und anschließend vorbereitende Schritte für die Aktivierung des Controllers als
Quelle zum Klonen ausführen.
Da der virtuelle Computer in der Regel im Geltungsbereich des Hypervisoradministrators bereitgestellt wird,
können Hypervisoradministratoren virtuelle Replikatsdomänencontroller bereitstellen, indem virtualisierte
Domänencontroller kopiert werden, die zum Klonen durch den AD DS-Administrator autorisiert und
vorbereitet sind. Es können nur virtuelle Domänencontroller geklont werden, die Mitglied der neuen
Sicherheitsgruppe Klonbare Domänencontroller sind.
Wie funktioniert das Klonen eines virtuellen Domänencontrollers?

Der Klonprozess beinhaltet das Erstellen einer Kopie der virtuellen Festplatte eines vorhandenen virtuellen
Domänencontrollers (oder für komplexere Konfigurationen, des virtuellen Computers des
Domänencontrollers) und das Autorisieren der Festplatte für das Klonen in AD DS sowie das Erstellen einer
Konfigurationsdatei für das Klonen. Dadurch werden die Anzahl der Schritte und die benötigte Zeit für das
Bereitstellen eines virtuellen Replikatsdomänencontrollers reduziert, indem ansonsten wiederholt
auszuführende Bereitstellungsaufgaben eliminiert werden.
Der geklonte Domänencontroller stellt anhand folgender Kriterien fest, dass er eine Kopie eines anderen
Domänencontrollers ist:
1. Der vom virtuellen Computer bereitgestellte Wert der VM-Generations-ID unterscheidet sich vom Wert
der in der DIT gespeicherten VM-Generations-ID.
2. Die Datei "DCCloneConfig.xml" muss an einem der folgenden Speicherorte vorhanden sein:
Das Verzeichnis, in dem sich die DIT befindet

%windir%\NTDS
Der Stamm eines Wechselmedienlaufwerks
Sobald die Kriterien erfüllt sind, durchläuft der Domänencontroller den Klonprozess, um sich selbst als
Replikatsdomänencontroller bereitzustellen.
Der geklonte Domänencontroller verwendet den Sicherheitskontext des Quelldomänencontrollers (der

Domänencontroller, dessen Kopie er darstellt), um den Halter der Masterrolle für den Emulator des
primären Windows Server-Domänencontrollers (PDC) (auch als Flexible Single Master Operations bzw.
FSMO bezeichnet) zu kontaktieren. Auf dem PDC-Emulator muss Windows Server 2012 oder höher
ausgeführt werden, es muss jedoch nicht auf einem Hypervisor ausgeführt werden.
Nach dem Überprüfen, ob der anfordernde Domänencontroller für das Klonen autorisiert ist, erstellt der
PDC-Emulator eine neue Computeridentität mit neuem Konto sowie SID, Namen und Kennwort, die den
Computer als Replikatsdomänencontroller identifizieren, und sendet diese Informationen an den Klon
zurück. Der geklonte Domänencontroller bereitet dann die AD DS-Datenbankdateien vor, die als Replikat
dienen sollen, und bereinigt auch den Status des Computers.
Mit dem Cmdlet New-ADDCCloneConfigFile wird die Datei "DCCloneConfig.xml" erstellt und am
richtigen Speicherort abgelegt, damit sie zum Auslösen des Klonens verfügbar ist. Zudem werden
Voraussetzungsprüfungen durchgeführt, um ein erfolgreiches Klonen sicherzustellen. Das Cmdlet ist im
Active Directory-Modul für Windows PowerShell enthalten. Sie können es lokal auf einem virtualisierten
Domänencontroller ausführen, der zum Klonen vorbereitet ist, oder Sie können es mithilfe der Option "-
offline" remote ausführen. Sie können Einstellungen für die den geklonten Domänencontroller festlegen,
z. B. Name, Website und IP-Adresse.
Der folgende Technet Blog-Artikel enthält eine Schritt-für-Schritt Anleitung zum Thema: Step-by-Step:
Domain Controller Cloning
QUESTION 18
wird.
Lösung: Sie führen den PowerShell Befehl Get-ADDomainController –Discover –Service 2 aus.
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:

AutoSize
Dem Parameter Service des Cmdlets Get-ADDDomainController können folgende Werte

übergeben werden:
PrimaryDC | 1
GlobalCatalog | 2
KDC | 3
TimeService | 4
ReliableTimeService | 5
ADWS | 6
Die Ermittlung des Schemamasters ist demzufolge auf diesem Weg nicht möglich. Die 2 in der
Aufgabenstellung ermittelt die Domänencontroller, auf denen der Globale Katalog gespeichert ist.
QUESTION 19
certbase.de. Die Domäne enthält fünf Domänencontroller.
Das Unternehmen hat eine Zweigstelle, die von einem lokalen Supporttechniker mit dem Namen Tech1
verwaltet wird.
Tech1 installiert Windows Server 2016 auf einem Server mit dem Namen RODC1. RODC1 ist Mitglied
einer Arbeitsgruppe.
Sie müssen Tech1 die Konfiguration von RODC1 zu einem schreibgeschützten Domänencontroller (RODC)
der Domäne certbase.de ermöglichen.
Welche drei Schritte führen Sie durch?
(Jede korrekte Antwort stellt eine vollständige Lösung dar. Wählen Sie drei Antworten.)
A. Weisen Sie Tech1 an, den Konfigurations-Assistenten für die Active Directory-Domänendienste
auszuführen.
B. Verwenden Sie das Active Directory-Verwaltungscenter und erstellen Sie ein Computerkonto für einen
schreibgeschützten Domänencontroller.
C. Weisen Sie Tech1 an, dcpromo.exe auszuführen.
D. Weisen Sie Tech1 an, die Serverrolle Active Directory-Domänendienste (AD DS) auf RODC1 zu
installieren.
E. Ändern Sie die Sicherheitseinstellungen der Organisationseinheit (OU) Domänencontroller.
Correct Answer: ABD

Explanation
Erläuterungen:
Mithilfe des Active Directory-Verwaltungscenters kann ebenso wie mit dem Snap-In Active Directory-
Benutzer und -Computer ein Konto für einen schreibgeschützten Domänencontroller vorbereitet werden. Im
Rahmen des Assistenten kann ein Benutzer für die Delegation der Installation und Konfiguration der Active
Directory-Domänendienste angegeben werden.
QUESTION 20
hr Netzwerk umfasst eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen
certbase.de. Für einige Benutzer ist ein Wert für das Attribut Postfach festgelegt.
Sie planen das Befehlszeilenprogramm ldifde.exe zu verwenden, um den Wert des Attributs Postfach für
diese Benutzer zu entfernen.
Ihr Active Directory enthält einen Benutzer mit dem Namen Benutzer1. Das Konto befindet sich im
Container Users.
Wie konfigurieren Sie die LDF-Datei für das Entfernen des Wertes des Attributes Postfach für den Benutzer
Benutzer1?
(Die verfügbaren Parameter werden in der Abbildung gezeigt. Klicken Sie auf die Schaltfläche Zeichnung.)
(Wählen Sie eine Antwort zwischen A und C und eine zwischen D und F,)
A. CN=Benutzer1,CN=Users,DC=certbase,DC=de
B. certbase.de/Users/Benutzer1
C. Benutzer1
D. add
E. delete
F. modify
Correct Answer: AF
Section: 1.2 Benutzer und Computer
Explanation
Erläuterungen:
Ldifde.exe ist ein Komplexes Befehlszeilenprogramm, mit dem Daten aus dem Active Directory
exportiert und in das Active Directory importiert werden können. Im Unterschied zu csvde.exe ist es auch
möglich, bestehende Daten zu ändern und Schemaktualisierungen zu importieren.
Der folgende Screenshot veranschaulicht das Entfernen des Wertes des Attributes Postfach für den
Benutzer Benutzer1 der Domäne cblabs.de:
QUESTION 21
Szenario wird bei jeder Aufgabe wiederholt. Jede Frage zu diesem Szenario verfolgt ein anderes Ziel und
bietet eigene Antwortmöglichkeiten.
--Beginn des Szenarios--
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk umfasst eine Active Directory-
Gesamtstruktur mit dem Namen certbase.de. Zwischen certbase.de und einer Gesamtstruktur mit dem
Namen traincert.eu besteht eine Gesamstruktur-Vertrauensstellung.
Die Gesamtstruktur certbase.de enthält die folgenden Objekte:
Gruppe1 und Gruppe2 enthalten ausschließlich Benutzerkonten.
CertBase stellt einen neuen Mitarbeiter ein. Der Mitarbeiter erhält den Benutzernamen Benutzer3 und wird
von zu Hause aus arbeiten. Benutzer3 verwendet einen Windows 10 Computer mit dem Namen
Computer3. Computer3 ist derzeit Teil einer Arbeitsgruppe.
Ein Administrator mit dem Namen Admin1 ist Mitglied der Gruppe Domänen-Admins der Domäne
certbase.de.
Sie verwenden das Snap-In Active Directory-Benutzer und –Computer und erstellen in der Domäne
certbase.de eine Organisationseinheit (OU) mit dem Namen OU1. Anschließend erstellen Sie in OU1 einen
Kontakt mit dem Namen Kontakt1.
Ein Administrator der Domäne traincert.eu verwendet das Cmdlet Set-ADUser, um für ein Benutzerkonto
mit dem Namen Benutzer1 den Anmeldenamen benutzer1@merkur.de zu konfigurieren.
--Ende des Szenarios--
Sie wollen einen Offline-Domänenbeitritt durchführen, um Computer3 in die Domäne certbase.de

aufzunehmen.
Welchen Befehl führen Sie in der Domäne certbase.de und welchen Befehl führen Sie auf Computer3 aus?
(Die Auswahlmöglichkeiten werden in der Abbildung gezeigt. Klicken Sie auf die Schaltfläche Zeichnung.)

Correct Answer:

Explanation
Erläuterungen:
Ein Offline-Domänenbeitritt ist ein neuer Prozess, bei dem Computer einer Domäne beitreten, ohne mit
einem Domänencontroller Kontakt aufnehmen zu müssen. So können Computer auch dann einer Domäne
beitreten, wenn keine Verbindung mit einem Unternehmensnetzwerk besteht.
Für einen Offline-Domänenbeitritt führen Sie die entsprechenden Befehle mit einem Tool namens Djoin.exe
aus. Mit Djoin.exe stellen Sie die nötigen Computerkontodaten in den Active Directory-Domänendiensten
bereit. Mit diesem Tool fügen Sie außerdem die Computerkontodaten in das Windows-Verzeichnis auf dem
Zielcomputer ein, also dem Computer, der der Domäne beitreten soll.
Führen Sie Djoin.exe an einer Eingabeaufforderung mit erhöhten Rechten aus, um die Computerkonto-
Metadaten bereitzustellen. Bei Ausführung des Bereitstellungsbefehls werden die Computerkonto-
Metadaten in einer TXT-Datei erstellt, die Sie als Teil des Befehls angeben. Nach Ausführung des
Bereitstellungsbefehls können Sie Djoin.exe erneut ausführen, um die Computerkonto-Metadaten
anzufordern und in das Windows-Verzeichnis auf dem Zielcomputer einzufügen.
Für einen Offline-Domänenbeitritt sind die folgenden Schritte auszuführen:
Führen Sie den Befehl djoin.exe /provision aus, um die Computerkonto-Metadaten für den
Zielcomputer (Computer, der der Domäne beitreten soll) zu erstellen. Bei diesem Befehl müssen Sie
den Namen der Domäne angeben, zu der der Computer hinzugefügt werden soll.
Führen Sie den Befehl djoin.exe /requestODJ aus, um die Computerkonto-Metadaten in das
Windows-Verzeichnis des Zielcomputers einzufügen.
Beim Starten des Zielcomputers als virtuellen Computer oder nach einer vollständigen
Betriebssysteminstallation tritt der Computer der angegebenen Domäne bei.
QUESTION 22
certbase.de. Das Unternehmen plant, 500 Mitarbeiter für ein Projekt anzustellen, das auf 90 Tage
beschränkt ist.
Sie erstellen für jeden der zeitlich befristeten Mitarbeiter ein Benutzerkonto und legen die Konten in einer
Organisationseinheit (OU) mit dem Namen Temp ab.
Sie müssen verhindern, dass die befristeten Mitarbeiter nach Ablauf der 90 Tage weiterhin auf Ressourcen
der Domäne zugreifen können.
Wie gehen Sie vor?
A. Führen Sie das Cmdlet Get-ADUser aus und leiten Sie die Ausgabe an das Cmdlet Set-ADUser
weiter.
B. Erstellen Sie eine Gruppe, die alle Benutzerkonten der OU Temp enthält. Erstellen Sie ein
Kennworteinstellungsobjekt (Password Setting Object, PSO) für die neue Gruppe.
C. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie das GPO mit der OU Temp.
Ändern Sie die Kennwortrichtlinien des neuen GPOs.
D. Führen Sie das Cmdlet Get-ADOrganizationalUnit aus und leiten Sie die Ausgabe an das Cmdlet
Set-Date weiter.
Correct Answer: A
Explanation
Erläuterungen:
Wir können die betreffenden Benutzerkonten mithilfe des Cmdlets Get-ADUser abrufen und an das
Cmdlet Set-ADUser weiterreichen. Mit dem Parameter AccountExpirationDate des Cmdlets Set-
ADUser kann das Ablaufdatum festgelegt werden.
Beispiel:
Get-ADUser -Filter * -SearchBase "OU=Temp,DC=certbase,DC=de" | Set-ADUser -

AccountExpirationDate "31.12.2017"
QUESTION 23
Hinweis: Diese Aufgabe gehört zu einer Reihe von Fragestellungen, für die dieselben Antwortmöglichkeiten
zur Auswahl stehen. Eine Antwort kann für mehr als eine Frage der Serie richtig sein. Die Fragen sind
voneinander unabhängig. Die bereitgestellten Informationen und Details beziehen sich jeweils nur auf die
Aufgabe, die diese Informationen enthält.
certbase.de. Die Domäne enthält 5000 Benutzerkonten.
Sie haben ein Gruppenrichtlinienobjekt (GPO) mit dem Namen DomainPolicy, das mit der Domäne
verknüpft ist und ein Gruppenrichtlinienobjekt (GPO) mit dem Namen DCPolicy, das mit der
Organisationseinheit Domain Controllers verkknüpft ist.
Sie müssen sicherstellen, dass die Mitglieder der Gruppe Sicherungsoperatoren Domänencontroller sichern
können.
Wie gehen Sie vor?
A. Ändern Sie die Sicherheitseinstellungen im Abschnitt Computerkonfiguration des GPOs DCPolicy.

B. Ändern Sie die Sicherheitseinstellungen im Abschnitt Computerkonfiguration des GPOs DomainPolicy.
C. Ändern Sie die Administrativen Vorlagen im Abschnitt Computerkonfiguration des GPOs DomainPolicy.
D. Ändern Sie die Sicherheitseinstellungen im Abschnitt Benutzerkonfiguration des GPOs DCPolicy.
E. Ändern Sie die Einstellungen für die Ordnerumleitung im Abschnitt Benutzerkonfiguration des GPOs
DomainPolicy.
F. Ändern Sie die Administrativen Vorlagen im Abschnitt Benutzerkonfiguration des GPOs DomainPolicy.
G. Ändern Sie die Windows-Einstellungen der Voreinstellungen im Abschnitt Benutzerkonfiguration des
GPOs DomainPolicy.
H. Ändern Sie die Windows-Einstellungen der Voreinstellungen im Abschnitt Computerkonfiguration des
GPOs DomainPolicy.
Correct Answer: A
Explanation
Erläuterungen:
Wir müssen der Gruppe Sicherunugsoperatoren die Benutzerrechte „Sichern von Dateien und
Verzeichnissen“ und „Wiederherstellen von Dateien und Verzeichnissen“ zuweisen. Standardmäßig sind
diese Rechte den Gruppen Administratoren, Server-Operatoren und Sicherungs-Operatoren zugewiesen.
QUESTION 24

certbase.de.
Sie müssen sicherstellen, dass Benutzer1 die auf Computer1 gespeicherten Daten sichern kann. Ihre
Lösung muss verhindern, dass Benutzer1 Daten auf Computer1 wiederherstellt.
Wie gehen Sie vor?
A. Ändern Sie die Sicherheitseinstellungen der lokalen Gruppenrichtlinie auf Computer1.

B. Nehmen Sie Benutzer1 auf Computer1 in die Gruppe Hauptbenutzer auf.
C. Nehmen Sie Benutzer1 auf Computer1 in die Gruppe Sicherungs-Operatoren auf.
D. Nehmen Sie Benutzer1 in die Gruppe Sicherungs-Operatoren der Domäne auf.
Correct Answer: A
Explanation
Erläuterungen:
Wir können Benutzer1 auf Computer1 das Benutzerrecht "Sichern von Dateien und Verzeichnissen"
zuweisen.
Mit dem Benutzerrecht "Sichern von Dateien und Verzeichnissen" wird festgelegt, welche Benutzer die
Berechtigungen für Dateien und Verzeichnisse, die Registrierung und andere beständige Objekte umgehen
können, um eine Systemsicherung durchzuführen.
Dieses Benutzerrecht ist insbesondere mit dem Gewähren der folgenden Berechtigungen für einen
Benutzer oder eine Gruppe für alle Dateien und Ordner im System vergleichbar:
Ordner durchsuchen / Datei ausführen

Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Berechtigungen lesen
Seit Windows 8 / Windows Server 2012 muss ein Benutzer Mitglied der Gruppe Sicherungsoperatoren sein,
damit er sichern kann. Damit ist die Trennung zwischen Sichern und Wiederherstellen nicht mehr möglich.
In der Aufgabe wird nichts über das Betriebssystem auf Computer1 ausgesagt.
QUESTION 25
certbase.de. Auf allen Clientcomputern ist das Betriebssystem Windows 10 installiert.
Ein Clientcomputer mit dem Namen Computer1 war für fünf Monate ungenutzt.
Sie versuchen, sich mit Ihrem Domänenbenutzerkonto an Computer1 anzumelden und erhalten eine
Fehlermeldung.
Sie müssen sicherstellen, dass Sie sich mit Ihrem Domänenkonto an Computer1 anmelden können.
Wie gehen Sie vor?
A. Entfernen Sie Computer1 aus der Domäne und nehmen Sie ihn anschließend erneut in die Domäne
auf.
B. Verwenden Sie das Active Directory-Verwaltungscenter und setzen Sie das Computerkonto von
Computer1 zurück.
C. Verwenden Sie das Active Directory-Verwaltungscenter, deaktivieren Sie das Computerkonto von
Computer1 und aktivieren Sie es anschließend wieder.
D. Verwenden Sie Active Directory-Benutzer und –Computer und führen Sie den Assistenten zum
Zuweisen der Objektverwaltung aus.
Correct Answer: A
Explanation
Erläuterungen:
Durch die lange Zeit, in der Computer1 nicht verwendet wurde, ist die Vertrauensstellung zwischen dem
Client und der Domäne beschädigt. Um die Vertrauensstellung wiederherzustellen, muss Computer1 aus
der Domäne entfernt und der Domäne anschließend erneut hinzugefügt werden.
QUESTION 26
Domänendienste (AD DS) Domäne mit dem Namen certbase.de.
Sie müssen eine Liste aller Domänenbenutzerkonten abrufen, die innerhalb der letzten 30 Tage nicht für
die Anmeldung genutzt wurden.
(Die verfügbaren Befehle und Parameter werden in der Abbildung gezeigt. Wählen Sie eine Antwort
zwischen A und E und eine Antwort zwischen F und I.)
(Wählen Sie eine Antwort zwischen A und E und eine zwischen F und I.)
A. Dsget.exe
B. Get-LocalUser
C. Ldp.exe
D. Net user
E. Search-ADAccount
F. -AccountDisabled
G. -AccountExpiring
H. -AccountInactive
I. -PasswordExpired
Correct Answer: EH
Explanation
Erläuterungen:
Das Cmdlet Search-ADAccount ruft Active Directory-Benutzer, -Computer oder -Dienstkonten nach den
spezifizierten Kriterien ab.
Der Parameter AccountInactive spezifiziert die Suche nach Konten, die für einen angegebenen
Zeitraum inaktiv waren.
Siehe auch: Search-ADAccount
QUESTION 27

certbase.de.
Sie müssen sicherstellen, dass Benutzer2 Gruppe4 als Mitglied in die Gruppe Gruppe5 aufnehmen kann.
Was ändern Sie?
A. Den Gruppenbereich von Gruppe5.

B. Die Eigenschaft Verwaltet von von Gruppe4.
C. Den Gruppenbereich von Gruppe4.
D. Die Eigenschaft Verwaltet von von Gruppe5.
Correct Answer: D
Section: 1.3 Gruppen und OUs
Explanation
Erläuterungen:
Gruppe4 ist eine globale Gruppe. Bei Gruppe5 handelt es sich, um eine universelle Gruppe. Universelle
Gruppen können globale Gruppen als Mitglieder haben. Der Gruppenbereich ist kein Problem.
Die Eigenschaft Verwaltet von bietet für Gruppen eine Option, die es dem Verwalter ermöglicht, die
Gruppenmitgliedschaften zu pflegen:
QUESTION 28
certbase.de.
Sie müssen sicherstellen, dass Admin1 Gruppe2 als Mitglied in die Gruppe Gruppe3 aufnehmen kann.
Was ändern Sie?
A. Ändern Sie die Sicherheitseinstellungen von Gruppe3.

B. Ändern Sie den Gruppenbereich von Gruppe3.
C. Ändern Sie den Gruppentyp von Gruppe3.
D. Legen Sie Admin1 als Verwalter von Gruppe3 fest.
Correct Answer: B
Explanation
Erläuterungen:
Domänenlokale Gruppen können nicht Mitglied in universellen Gruppen sein. Wir müssen entweder den
Gruppenbereich von Gruppe2 oder den Bereich von Gruppe3 ändern.
QUESTION 29
Hinweis: Diese Aufgabe gehört zu einer Reihe von Fragestellungen, die dasselbe Szenario verwenden.
Jede Aufgabe dieser Reihe bietet einen anderen Lösungsweg. Sie müssen entscheiden, ob die Lösung
geeignet ist, das Ziel zu erreichen.
certbase.de. Die Domäne enthält einen Windows Server 2016 Computer mit dem Namen Server1. Das
Computerkonto von Server1 befindet sich in einer Organisationseinheit (OU) mit dem Namen OU1.
Sie erstellen ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 und verknüpfen es mit OU1.
Sie müssen einen Domänenbenutzer mit dem Namen Mark in die lokale Administratorengruppe von
Server1 aufnehmen.
Lösung: Sie konfigurieren im Abschnitt Computerkonfiguration von GPO1 die Einstellungen für
eingeschränkte Gruppen.

A. Ja
B. Nein
Correct Answer: A
Explanation
Erläuterungen:
Mithilfe der Einstellungen für Eingeschränkte Gruppen können Administratoren die Mitglieder von Gruppen
auf einem Mitgliedscomputer definieren. Zudem kann die Mitgliedschaft einer Gruppe in anderen Gruppen
gesteuert werden.
Wenn die Richtlinie Eingeschränkte Gruppen für eine Gruppe definiert ist, werden Gruppenmitglieder, die
nicht in der Richtlinie gelistet sind, aus der Gruppe entfernt.
Die folgende Einstellung definiert die Gruppe Domänen-Admins und den Benutzer Mark als Mitglied der
lokalen Gruppe Administratoren der Computer fest, auf die das GPO angewendet wird.
QUESTION 30
certbase.de.
Sie müssen sicherstellen, dass Admin1 Gruppe2 als Mitglied in die Gruppe Gruppe3 aufnehmen kann.
Was ändern Sie?
A. Ändern Sie die Sicherheitseinstellungen von Gruppe3.

B. Ändern Sie den Gruppentyp von Gruppe2.
C. Ändern Sie den Gruppenbereich von Gruppe2.
D. Nehmen Sie Admin1 in die Gruppe „Organisations-Admins“ auf.
Correct Answer: C
Explanation
Erläuterungen:
Domänenlokale Gruppen können nicht Mitglied in universellen Gruppen sein. Wir müssen entweder den
Gruppenbereich von Gruppe2 oder den Bereich von Gruppe3 ändern.
QUESTION 31
certbase.de.
Sie müssen sicherstellen, dass Admin1 Gruppe1 in eine globale Gruppe konvertieren kann.
Wie gehen Sie vor?

A. Nehmen Sie Admin1 in die Gruppe Organisations-Admins auf.
B. Entfernen Sie alle Mitglieder aus Gruppe1.
C. Ändern Sie die Sicherheitseinstellungen von Gruppe1.
D. Konvertieren Sie Gruppe1 in eine universelle Gruppe.
Correct Answer: D
Explanation
Erläuterungen:
Eine domänenlokale Gruppe kann nicht direkt in eine globale Gruppe konvertiert werden. Wenn Gruppe1
zunächst in eine universelle Gruppe konvertiert wird, kann sie anschließend in eine globale Gruppe
konvertiert werden.
QUESTION 32
Sie sind als Administrator für das Unternehmen CertBase tätig. Sie müssen sich vergewissern, ob die
Antwort eines DNS-Servers auf die Anfrage eines DNS-Clients DNSSEC-signiert ist.
Welches Tool verwenden Sie?
A. Nslookup.exe
B. Dnscmd.exe
C. Get-NetIPAddress
D. Resolve-DNSName
Correct Answer: D
Explanation
Erläuterungen:
Die folgenden Beispiele zeigen die DNS-Abfrageergebnisse, die von einem ausführenden DNS-
Clientcomputer mit dem Cmdlet Resolve-DnsName durchgeführt werden. Das Cmdlet Resolve-
DnsName wurde in Windows Server 2012 und Windows 8 eingeführt und kann zur Anzeige von DNS-
Abfragen mit DNSSEC-Daten verwendet werden.
Verwenden Sie nicht das Befehlszeilenprogramm nslookup, um die DNSSEC-Unterstützung für eine Zone
zu testen. Das Tool nslookup verwendet einen internen DNS-Client, der nicht DNSSEC-fähig ist.
Beispiel 1: Im folgenden Beispiel wird eine Abfrage an einen rekursiven DNS-Server für einen
Adressdatensatz (A) in der signierten Zone secure.contoso.com mit DO=0 gesendet.
PS C:\> Resolve-DnsName finance.secure.contoso.com –type A -server

dns1.contoso.com
Name Type TTL Section

IPAddress
---- ---- --- -------
---------
finance.secure.contoso.com A 2848 Answer
192.168.0.200
In diesem Beispiel wurde das DO-Bit nicht festgelegt, da der dnssecok-Parameter nicht enthalten war.
Beispiel 2: Im folgenden Beispiel wird das Flag „DO=1“ durch Hinzufügen des dnssecok-Parameters
festgelegt.
PS C:\> resolve-dnsname -name finance.secure.contoso.com -type A -server

dns1.contoso.com -dnssecok
Name Type TTL Section

IPAddress
---- ---- --- -------
---------
finance.secure.contoso.com A 2848 Answer
192.168.0.200
Name : finance.secure.contoso.com
QueryType : RRSIG
TTL : 2848
Section : Answer
TypeCovered : A
Algorithm : 8
LabelCount : 4
OriginalTtl : 3600
Expiration : 10/18/2013 8:23:41 PM
Signed : 10/8/2013 7:23:41 PM
Signer : secure.contoso.com
Signature : {86, 229, 217, 39...}
Name : .
QueryType : OPT
TTL : 32768
Section : Additional
Data : {}
Wenn DO=0 festgelegt ist, sendet der DNS-Server keine DNSSEC-Daten in der DNS-Antwort. Wenn DO=1
festgelegt ist, gibt der Client an, dass er DNSSEC-Daten empfangen kann, sofern diese verfügbar sind. Da
die Zone „secure.contoso.com“ signiert ist, wurde ein RRSIG-Ressourcendatensatz in die DNS-Antwort
eingefügt, wenn DO=1 festgelegt ist.
In den Beispielen 1 und 2 ist keine Überprüfung für die Zone „secure.contoso.com“ erforderlich, da die
Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) dementsprechend
konfiguriert wurde.
QUESTION 33
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk umfasst einen DNS-Server mit
dem Namen Server1. Auf Server1 wird das Betriebssystem Windows Server 2016 ausgeführt.
Sie müssen verhindern, dass Server1 rekursive Abfragen ausführt.
Welche drei Möglichkeiten stehen Ihnen zur Verfügung?
(Jede korrekte Antwort stellt eine vollständige Lösung dar. Wählen Sie drei Antworten.)
A. Erstellen Sie eine Reverse-Lookupzone mit dem Namen 0.in-addr.arpa.

B. Erstellen Sie eine Forward-Lookupzone mit dem Namen GlobalNames.
C. Verwenden Sie den DNS-Manager und ändern Sie die erweiterten Einstellungen.
D. Verwenden Sie den DNS-Manager und ändern Sie die Einstellungen für Weiterleitungen.
E. Erstellen Sie eine Forward-Lookupzone mit dem Namen ".".
F. Führen Sie dnscmd.exe mit dem Parameter /config aus.
Correct Answer: CEF

Explanation
Erläuterungen:
Der DNS-Server führt im Namen seiner DNS-Clients sowie im Namen von DNS-Servern, die DNS-
Clientabfragen an ihn weiterleiten, standardmäßig rekursive Abfragen durch. Die Rekursion ist eine
Namensauflösungstechnik, bei der ein DNS-Server im Namen des anfordernden Clients Abfragen zur
vollständigen Auflösung eines Namens an andere DNS-Server sendet und anschließend die Antwort an den
Client zurücksendet.
Angreifer können die Rekursion verwenden, um den DNS-Serverdienst zu verweigern. Wenn ein DNS-
Server in Ihrem Netzwerk keine rekursiven Abfragen empfangen soll, sollte die Rekursion daher auf diesem
Server deaktiviert werden.
Für das Deaktivieren rekursiver Abfragen können Sie den DNS-Manager oder das Befehlszeilenprogramm
dnscmd.exe verwenden. Durch Erstellen einer Stammzone (".") wird die Rekursion ebenfalls verhindert.
Im DNS-Manager kann in den Eigenschaften des DNS-Servers unter Erweitert die Option
Recursionsvorgang (und Weiterleitungen) deaktivieren aktiviert werden.
Dasselbe ist mit dnscmd.exe /config norecursion 1 möglich.
QUESTION 34
Ihr Netzwerk umfasst einen Server mit dem Namen Server1. Auf Server1 ist das Betriebssystem Windows
Server 2016 installiert. Für Server1 wird täglich eine Microsoft Azure-Backup Onlinesicherung durchgeführt.
Sie müssen die Elemente einsehen, die in der Sicherung enthalten sind.
Welches PowerShell Cmdlet verwenden Sie?
A. Get-OBPolicyState
B. Get-OBJob
C. Get-OBPolicy
D. Get-WBSummary
Correct Answer: C
Explanation
Erläuterungen:
Das Cmdlet Get-OBPolicy ruft die aktuelle Sicherungsrichtlinie einschließlich des Zeitplans der
Sicherungen, der in der Sicherung enthaltenen Dateien und der Aufbewahrungsrichtlinie ab.
QUESTION 35
certbase.de. Die Domäne enthält zwei Hyper-V Hosts mit den Namen Host1 und Host2. Auf beiden Servern
ist Windows Server 2016 installiert.
Host1 hostet eine virtuelle Maschine (VM) mit dem Namen VM1.
Sie planen, VM1 nach Host2 zu verschieben.
Sie müssen einen Bericht erstellen, der Konfigurationsprobleme von Host2 auflistet, die dem Verschieben
von VM1 im Wege stehen.
Welches PowerShell Cmdlet verwenden Sie?
A. Move-VM
B. Test-VHD
C. Debug-VM
D. Compare-VM
Correct Answer: D
Explanation
Erläuterungen:
Das Cmdlet Compare-VM vergleicht eine virtuelle Maschine und einen Hyper-V Host auf Kompatibilität und
gibt einen Kompatibilitätsbericht zurück.
Im folgenden Beispiel wird eine virtuelle Maschine mit dem Namen TestVM gegenüber einem Hyper-V-Host
mit dem Namen TestDestinationHost auf Kompatibilität geprüft.
Compare-VM-Name TestVM -DestinationHost TestDestinationHost
QUESTION 36
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Die Benutzer
greifen häufig auf die Website eines Partnerunternehmens zu. Der URL der Website lautet http://
partner.devtec.de.
Die Administratoren des Partnerunternehmens informieren Sie über geplante Wartungsarbeiten an ihrem
Webserver und teilen Ihnen mit, dass sich die IP-Adresse des Webservers ändern wird.
Nach Abschluss der Wartungsarbeiten berichten Benutzer des internen Netzwerks, dass ihre
Zugriffsversuche auf die Website des Partnerunternehmens fehlschlagen. Benutzer, die von zu Hause aus
arbeiten, haben jedoch keine Probleme beim Öffnen der Website.
Sie müssen sicherstellen, dass Ihr DNS-Server den Domänennamen partner.traincert.eu umgehend in
seine aktuelle IP-Adresse auflösen kann.
Wie gehen Sie vor?
A. Führen Sie ipconfig in Verbindung mit dem Parameter /flushdns aus.

B. Führen Sie ipconfig in Verbindung mit dem Parameter /renew aus.
C. Führen Sie dnscmd in Verbindung mit dem Parameter /clearcache aus.
D. Führen Sie das Cmdlet Set-DnsServerResourceRecordAging aus.
Correct Answer: C
Explanation
Erläuterungen:
Wir müssen den Zwischenspeicher des DNS-Servers leeren, um sicherzustellen, dass der Server nicht auf
den zwischengespeicherten, veralteten Eintrag zurückgreift, sondern eine erneute Abfrage des DNS-
Namens partner.traincert.eu durchführt. Das Leeren des Zwischenspeichers des DNS-Servers kann unter
anderem mit dem Befehl dnscmd /clearcache oder mit dem Cmdlet Clear-DnsServerCache
erfolgen.
Info: Mit ipconfig /flushdns wird der Cache des DNS-Clients, nicht der des Servers, geleert.
QUESTION 37
Ihr Netzwerk umfasst einen Server mit dem Namen Server1. Für Server1 wird täglich eine automatisierte
Microsoft Azure-Backup Onlinesicherung durchgeführt.
Sie benennen Server1 in Server2 um. Anschließend stellen Sie fest, dass keine Azure Onlinesicherungen
mehr durchgeführt werden.
Sie müssen sicherstellen, dass Microsoft Azure-Backup Onlinesicherungen für Server2 durchgeführt
werden.
Wie gehen Sie vor?
A. Verwenden Sie das Azure-Verwaltungsportal und laden Sie das Computerzertifikat von Server2 als
Verwaltungszertifikat hoch.
B. Führen Sie auf Server2 das Cmdlet Start-OBRegistration aus.
C. Führen Sie auf Server2 das Cmdlet Add-WBBackupTarget aus.
D. Verwenden Sie das Azure-Verwaltungsportal und ändern Sie die Konfiguration des Sicherungstresors.
Correct Answer: B
Explanation
Erläuterungen:
Mithilfe des Cmdlets Start-OBRegistration kann eine erneute Registrierung des umbenannten
Servers in Microsoft Azure-Backup vorgenommen werden.
QUESTION 38
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihre Firma implementiert
die Active Directory-Verbunddienste (AD FS).
Sie bestätigen, dass das Unternehmen alle Voraussetzungen für die Verwendung von
Microsoft Azure Multi-Factor Authentication (MFA) und AD FS erfüllt.
Sie müssen sicherstellen, dass Sie MFA als primäre Authentifizierungsmethode für AD
FS auswählen können.
Welche drei Schritte führen Sie in Reihenfolge aus?
A. Reihenfolge: 2, 3, 5
B. Reihenfolge: 1, 2, 5
C. Reihenfolge: 2, 3, 4
D. Reihenfolge: 3, 2, 4
Correct Answer: A
Section: New
Explanation
Wenn Ihre Organisation mit Azure AD verbunden ist, können Sie Azure Multi-Factor
Authentication (Azure MFA) für die Sicherung von AD FS-Ressourcen, sowohl lokal und
in der Cloud verwenden. Mit Azure MFA können Sie den Verzicht auf Kennwörter und
sicherere Authentifizierung ermöglichen. Ab Windows Server2016 können Sie jetzt Azure
MFA für die primäre Authentifizierung konfigurieren.
Im Gegensatz zu AD FS in Windows Server 2012 R2 ist der AD FS 2016 Azure MFA-

Adapter direkt in Azure AD integriert und erfordert keinen lokalen Azure MFA-Server. Der
Azure MFA-Adapter ist in Windows Server 2016 integriert, und es ist keine zusätzliche
Installation erforderlich.
Der folgende Technet-Artikel enthält eine Schritt-für-Schritt Anleitung zum Thema:
Konfigurieren von AD FS 2016 und Azure MFA

QUESTION 39
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk umfasst
eine Active Directory-Domäne mit dem Namen certbase.de.
Sie planen, einen neuen AD RMS-Cluster (Active Directory-Rechteverwaltungsdienste)

auf einem Server mit dem Namen Server1 bereitzustellen.
Sie müssen das AD RMS-Dienstkonto erstellen. Ihre Lösung muss dem Prinzip der
Vergabe geringstmöglicher Berechtigungen folgen.
Wie gehen Sie vor?
A. Erstellen Sie ein Domänenbenutzerkonto und fügen Sie das Konto der
Domänengruppe Konten-Operatoren hinzu.
B. Erstellen Sie auf Server1 ein lokales Benutzerkonto und fügen Sie es der lokalen
Gruppe Administratoren hinzu.
C. Erstellen Sie ein Domänenbenutzerkonto und fügen Sie das Konto der Gruppe
Domänen-Benutzer hinzu.
D. Erstellen Sie ein Domänenbenutzerkonto und fügen Sie es der lokalen Gruppe
Administratoren auf Server1 hinzu.
Correct Answer: C
Section: New
Explanation
Für Installation von AD RMS sind mindestens zwei Domänenkonten erforderlich: Ein
Dienstkonto und ein Administratorkonto. Die Anforderungen für diese Konten sind
nachstehend aufgeführt.
Konto Anforderungen
Dienstkonto
Das Konto, unter dem der AD RMS-Dienst ausgeführt wird, ist ein
Standarddomänenbenutzerkonto ohne zusätzliche Berechtigungen.
Administratorkonto
Das Konto, das zum Hinzufügen der AD RMS-Serverrolle verwendet wird, muss ein
Domänenbenutzerkonto sein, das Mitglied der lokalen Administratorgruppe ist.
Während der Installation muss das Konto auch zur Gruppe der Domänenadministratoren
gehören, um den AD RMS-Dienstverbindungspunkt (SCP) zu registrieren. Andernfalls
muss der SCP nach Abschluss der Installation registriert werden.
Wenn während der Installation eine SQL-Datenbank auf einem separaten Server zum
Speichern von Konfigurations- und Protokolldaten verwendet werden soll, muss das
Konto Berechtigungen zum Erstellen neuer Datenbanken (in der Regel durch Zuweisen
des Kontos zur Systemadministratorrolle auf dem SQL-Server) erhalten.
Implementieren von Active Directory-Zertifikatdiensten
QUESTION 1
Ihr Netzwerk ist vom Internet isoliert. Das Netzwerk enthält Computer, die Mitglied einer
Domäne sind, und Computer, die Mitglieder einer Arbeitsgruppe sind. Alle Computer sind
so konfiguriert, dass sie interne DNS-Server und WINS-Server für die Namensauflösung
verwenden.
Die Domäne verfügt über eine Zertifizierungsstelle (Certification Authority, CA).
Sie führen das Cmdlet Get-CaCrlDistributionPoint aus und erhalten die folgende
Befehlsausgabe:

(In der Abbildung werden Auswahlmöglichkeiten gezeigt. Klicken Sie auf die Schaltfläche
Zeichnung und vervollständigen Sie die Aussagen so, dass sie zutreffen.)
A. Auf die Zertifikatsperrliste ... allen Computern, die mit dem internen Netzwerk
verbunden sind.
Auf die Deltasperrliste ... Computern, die der Domäne angehören und mit dem
internen Netzwerk verbunden sind.
B. Auf die Zertifikatsperrliste ... allen Computern, die mit dem internen Netzwerk
verbunden sind.
Auf die Deltasperrliste ... allen Computern, die mit dem internen Netzwerk
verbunden sind.
C. Auf die Zertifikatsperrliste ... allen Computern aus dem Internet und dem internen
Netzwerk.
Auf die Deltasperrliste ... allen Computern aus dem Internet und dem internen
Netzwerk.
D. Auf die Zertifikatsperrliste ... allen Computern aus dem Internet und dem internen
Netzwerk.
Auf die Deltasperrliste ... allen Computern, die mit dem internen Netzwerk
verbunden sind.
E. Auf die Zertifikatsperrliste ... Computern, die der Domäne angehören und mit dem
Auf die Deltasperrliste ... allen Computern aus dem Internet und dem internen
Netzwerk.
F. Auf die Zertifikatsperrliste ... Computern, die der Domäne angehören und mit dem
Auf die Deltasperrliste ... Computern, die der Domäne angehören und mit dem
Correct Answer: B
Section: New
Explanation
Sperrlisten und Deltasperrlisten werden im Standardverzeichnis CertEnroll, in Active
Directory und in einer Dateifreigabe veröffentlicht.
Computer, die der Domäne angehören können die Sperrlisten über das Active Directory
abrufen.
Der UNC-Pfad der Dateifreigabe ist nicht in die Erweiterung "Sperrlisten-
Verteilungspunkt" der Zertifikate aufgenommen. Clients können die Freigabe daher nicht
für das Abrufen der Sperrlisten nutzen.
Alle Clientcomputer, die mit dem internen Netzwerk verbunden sind, können den HTTP-
Pfad für das CertEnroll-Verzeichnis für den Zugriff auf Sperrlisten und Deltasperrlisten
nutzen. Da der HTTP-Pfad die Variable ServerShortName (NetBIOS-Name) verwendet,
erhalten externe Clients über diesen Eintrag keinen Zugriff.
Die Eigenschaften der Standorte, von denen Benutzer eine Sperrliste abrufen können
korrespondieren wie folgt zwischen der Befehlsausgabe und der Verwaltungskonsole:
PublishToServer - Sperrlisten an diesem Ort veröffentlichen

PublishDeltaToServer - In alle Sperrlisten einbeziehen. Legt fest, wo dies bei
manueller Veröffentlichung im Active Directory veröffentlicht werden soll
AddToCertificateCdp - In Sperrlisten einbeziehen. Wird zur Suche von
Deltasperrlisten verwendet
AddToFreshestCrl - In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen
AddToCrlCdp - Deltasperrlisten an diesem Ort veröffentlichen
AddToCrlIdp - In die IDP-Erweiterung ausgestellter CRLs einbeziehen
QUESTION 2
Ihr Netzwerk enthält eine Active Directory-Domäne mit dem Namen certbase.de. Die
Domäne enthält eine Unternehmens-Stammzertifizierungsstelle (CA) auf einem Server,
auf dem Windows Server 2016 ausgeführt wird.
Sie müssen die Zertifizierungsstelle so konfigurieren, dass sie OCSP-Responder (Online

Certificate Status Protocol) unterstützt.
A. Installieren Sie eine untergeordnete, eigenständige Zertifizierungsstelle.

B. Ändern Sie die Einstellungen der Erweiterung "Zugriff auf
Stelleninformationen" (Authority Information Access, AIA) der Zertifizierungsstelle.
C. Konfigurieren Sie einen Registrierungs-Agenten.
D. Fügen Sie der Zertifizierungsstelle eine neue Zertifikatvorlage als auszustellende
Vorlage hinzu.
E. Ändern Sie die Einstellungen der Erweiterung "Sperrlisten-Verteilungspunkt" (CRL
Distribution Point, CDP) der Zertifizierungsstelle.
Correct Answer: BD
Section: New
Explanation
Erläuterungen:
Wir müssen der Zertifizierungsstelle die Zertifikatvorlage OCSP-Antwortsignatur als
auszustellende Zertifikatvorlage hinzufügen.
Zudem müssen wir die Erweiterung "Zugriff auf Stelleninformationen" (Authority

Information Access, AIA) für die Unterstützung des Online Certificate Status Protocols
(OCSP) konfigurieren.
Der folgende Technet Blog-Artikel enthält weitere Informationen zum Thema:
Implementing an OCSP responder

QUESTION 3
Ihr Netzwerk umfasst eine Active Directory-Domänendienste (AD DS) Domäne mit dem
Namen certbase.de. Auf allen Clientcomputern ist das Betriebssystem Windows 10
installiert.
Sie stellen eine eigenständige Stammzertifizierungsstelle (CA) mit dem Namen CA1
bereit.
Sie müssen die Domänencomputer für die automatische Registrierung einer

benutzerdefinierten Zertifikatvorlage konfigurieren.
Welchen Schritt führen Sie als erstes aus?
A. Ändern Sie die Einstellungen des Richtlinienmoduls von CA1.

B. Ändern Sie die Einstellungen des Beendigungsmoduls von CA1.
C. Installieren Sie eine untergeordnete eigenständige Zertifizierungsstelle (CA).
D. Installieren Sie eine untergeordnete Unternehmens-Zertifizierungsstelle (CA).
Correct Answer: D
Section: New
Explanation
Eine eigenständige Zertifizierungsstelle bietet weder Unterstützung für doppelte
Zertifikatvorlagen noch für die automatische Zertifikatsregistrierung. Wir benötigen eine
Zertifizierungsstelle vom Typ „Unternehmen“ als austellende Zertifizierungsstelle.
QUESTION 4
Ihr Netzwerk umfasst eine Unternehmenszertifizierungsstelle (CA) mit dem Namen
CBCA. Für CBCA sind Wiederherstellungs-Agenten konfiguriert.
Sie duplizieren die Zertifikatsvorlage Benutzer und nennen sie CBBenutzer.

Sie planen, Zertifikate basierend auf CBBenutzer auszustellen, um Benutzern die
Möglichkeit zu geben, E-Mail-Nachrichten und Dateien zu verschlüsseln.
Sie müssen sicherstellen, dass die Wiederherstellungs-Agenten auf alle verschlüsselten

Dateien und E-Mail-Nachrichten eines Benutzers zugreifen können, wenn der Benutzer
sein Zertifikat verliert.
Wie gehen Sie vor?
A. Stellen Sie ein Zertifikat auf Basis der Vorlage „Key Recovery Agent“ aus.
B. Ändern Sie die Einstellungen für Wiederherstellungs-Agents in den Eigenschaften
von CBCA.
C. Ändern Sie die Einstellungen für die Anforderungsverarbeitung in den Eigenschaften
von CBBenutzer
D. Fügen Sie CBCA die Vorlage „Key Recovery Agent“ als auszustellende
Zertifikatvorlage hinzu.
Correct Answer: C
Section: New
Explanation
Duplizierte Zertifikatvorlagen sind standardmäßig nicht für die Schlüsselarchivierung
konfiguriert.
Um sicherzustellen, dass der Schlüssel archiviert wird, muss die Option Privaten
Schlüssel für die Verschlüsselung archivieren auf dem Register
Anforderungesverarbeitung in den Eigenschaften der Zertifikatvorlage aktiviert werden:
QUESTION 5
Die Gesamtstruktur enthält eine Unternehmens-Stammzertifizierungsstelle (CA) auf
einem Server, auf dem Windows Server 2016 ausgeführt wird.
Sie planen, eine benutzerdefinierte Zertifikatorlage vom Typ „Untergeordnete

Zertifizierungsstelle“ zu erstellen und der Zertifizierungsstelle als auszustellendes
Zertifikat hinzuzufügen.
Sie müssen untergeordnete Zertifizierungsstellen daran hindern, Zertifikate vom Typ

„Untergeordnete Zertifizierungsstelle“ auszustellen.
Was konfigurieren Sie in der Vorlage?
A. Die Ausstellungsvoraussetzungen
B. Die Kryptografieeinstellungen
C. Die Erweiterung Basiseinschränkungen
D. Die Sicherheitseinstellungen
Correct Answer: D
Section: New
Explanation
Beim Installieren einer untergeordneten Zertifizierungsstelle fordert die untergeordnete
CA ein Zertifikat vom Typ "Untergeordnete Zertifizierungsstelle" an.
Wenn anstelle der standardmäßigen Vorlage, eine duplizierte Vorlage verwendet wird,
muss einerseits sichergestellt werden, dass der ausführende Administrator
Berechtigungen für das Registrieren des Zertifikates besitzt und andererseits muss eine
capolicy.inf Datei im Pfad C:\Windows erstellt werden, die die CA anweist anstelle des
Standardzertifikats ein Zertifikat mit dem Namen der duplizierten Vorlage anzufordern.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema:
Using a custom template for Subordinate CA’s
Eine untergeordnete Zertifizierungsstelle greift auf die Vorlagen der übergeordneten

Zertifizeirungsstelle zurück.
QUESTION 6
verkknüpft ist und ein Gruppenrichtlinienobjekt (GPO) mit dem Namen DCPolicy, das mit der
Sie müssen erzwingen, dass die Benutzer ihr Kennwort mindestens alle 30 Tage ändern.
Wie gehen Sie vor?

DomainPolicy.
GPOs DomainPolicy.
GPOs DomainPolicy.
Correct Answer: B
Section: 2.1 Dienstauthentifizierung und Kontorichtlinien
Explanation
Erläuterungen:
Die Einstellungen für die Kennwörter der Domänenbenutzer müssen in einem Gruppenrichtlinienobjekt
konfiguriert werden, das mit der Domäne verknüpft ist.
Sie können die Cmdlets Get-ADDefaultDomainPasswordPolicy und Set-

ADDefaultDomainPasswordPolicy verwenden, um die Einstellungen abzurufen bzw. festzulegen.
Beispiel:
Set-ADDefaultDomainPasswordPolicy -Identity fabrikam.com -PasswordHistoryCount

10 –MinPasswordLength 7 -MinPasswordAge 1.00:00:00 -MaxPasswordAge 30.00:00:00
-LockoutObservationWindow 0.00:10:00 -LockoutThreshold 15
Die Kontorichtlinien, die Sie in einem GPO konfigurieren, das mit einer Organisationseinheit verknüpft ist,
wirken sich auf die lokalen Kennworteinstellungen der in der OU enthaltenen Computer aus.
QUESTION 7
Sie sind als Administrator für das Unternehmen CertBase tätig. Sie stellen eine neue Active Directory-
Gesamtstruktur bereit.
Sie müssen sicherstellen, dass Sie ein gruppenverwaltetes Dienstkonto (group Managed Service Account,
gMSA) für mehrere Mitgliedsserver erstellen können.
Lösung: Sie führen auf einem Domänencontroller das PowerShell Cmdlet Add-KdsRootKey aus.
A. Ja
B. Nein
Correct Answer: A
Explanation
Erläuterungen:
Windows Server 2016-Domänencontroller erfordern einen Stammschlüssel, damit das Generieren von
gMSA-Kennwörtern gestartet werden kann. Die Domänencontroller warten bis zu zehn Stunden ab der
Erstellung, um allen Domänencontrollern zu ermöglichen, ihre AD-Replikation vor der Erstellung eines
gMSA zu konvergieren. Bei den zehn Stunden handelt es sich um eine Sicherheitsmaßnahme, um zu
verhindern, dass das Kennwort generiert wird, bevor alle Domänencontroller in der Umgebung in der Lage
sind, auf gMSA-Anforderungen zu reagieren. Wenn Sie zu früh versuchen, ein gMSA zu verwenden, wurde
der Schlüssel möglicherweise noch nicht für alle Windows Server 2016 Domänencontroller repliziert, daher
kann das Abrufen des Kennworts fehlschlagen, wenn der gMSA-Host versucht, das Kennwort abzurufen.
Fehler beim gMSA-Kennwortabruf können auch auftreten, wenn Domänencontroller mit begrenzten
Replikationszeitplänen verwendet werden oder wenn ein Replikationsproblem auftritt.
So erstellen Sie den KDS-Stammschlüssel mithilfe des Cmdlets „Add-KdsRootKey“
1. Führen Sie auf dem Windows Server 2016-Domänencontroller die Windows PowerShell über die
Taskleiste aus.
2. Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden
Befehle ein, und drücken Sie auf die EINGABETASTE: Add-KdsRootKey –
EffectiveImmediately
Tipp
Der Parameter „Effective time“ kann verwendet werden, um Schlüsseln vor der Verwendung die Zeit zu
geben, auf alle Domänencontroller aufgefüllt zu werden. Durch das Hinzufügen von „Add-KdsRootKey –
EffectiveImmediately“ wird ein Stammschlüssel zum Zieldomänencontroller hinzugefügt, der sofort
durch den KDS-Dienst verwendet wird. Andere Windows Server 2016-Domänencontroller können den
Stammschlüssel jedoch erst nach erfolgreicher Replikation verwenden.
Für Testumgebungen mit nur einem Domänencontroller können Sie einen KDS-Stammschlüssel erstellen
und die Startzeit in der Vergangenheit festlegen, um zu vermeiden, dass das Intervall auf die
Schlüsselgenerierung wartet, indem folgende Vorgehensweise verwendet wird. Überprüfen Sie, ob ein
4004-Ereignis im KDS-Ereignisprotokoll protokolliert wurde.
So erstellen Sie den KDS-Stammschlüssel in einer Testumgebung mit unmittelbarer Wirksamkeit
1. Führen Sie auf dem Windows Server 2016-Domänencontroller die Windows PowerShell über die
Taskleiste aus.
2. Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden
Befehle ein, und drücken Sie auf die EINGABETASTE:
$a=Get-Date
$b=$a.AddHours(-10)
Add-KdsRootKey –EffectiveTime $b
Oder verwenden Sie einen einzelnen Befehl:
Add-KdsRootKey –EffectiveTime ((Get-Date)AddHours(-10))
QUESTION 8
Lösung: Sie konfigurieren die eingeschränkte Kerberos-Delegierung für das Computerkonto jedes
Domänencontrollers.
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:
Eigenständige verwaltete Dienstkonten, die in Windows Server 2008 R2 und Windows 7 eingeführt wurden,
sind verwaltete Domänenkonten, die eine automatische Kennwortverwaltung sowie eine vereinfachte
Verwaltung von Dienstprinzipalnamen (Service Principal Names, SPNs) ermöglichen – einschließlich
Delegierung der Verwaltung an andere Administratoren.
Das gruppenverwaltete Dienstkonto bietet die gleiche Funktionalität innerhalb der Domäne, weitet diese
Funktionalität jedoch zudem auf mehrere Server aus. Beim Herstellen einer Verbindung mit einem Dienst,
der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die
Authentifizierungsprotokolle mit gegenseitiger Authentifizierung, dass alle Instanzen der Dienste den
gleichen Prinzipal verwenden. Falls gruppenverwaltete Dienstkonten als Dienstprinzipale verwendet
werden, wird das Kennwort für das Konto vom Windows-Betriebssystem verwaltet, anstatt die
Kennwortverwaltung dem Administrator zu überlassen.
Der Microsoft-Schlüsselverteilungsdienst ("kdssvc.dll") stellt den Mechanismus zum sicheren Abrufen des
aktuellen Schlüssels oder eines bestimmten Schlüssels mit einer Schlüssel-ID für ein Active Directory-
Konto bereit. Dieser Dienst ist neu in Windows Server 2012 und kann unter älteren Versionen des Windows
Server-Betriebssystems nicht ausgeführt werden. Vom Schlüsselverteilungsdienst werden geheime
Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel werden
regelmäßig geändert. Bei einem gruppenverwalteten Dienstkonto berechnet der Windows Server 2012-
Domänencontroller das Kennwort für den vom Schlüsselverteilungsdienst angegebenen Schlüssel – genau
wie andere Attribute des gruppenverwalteten Dienstkontos. Aktuelle und ältere Kennwortwerte können von
Windows Server 2012- und Windows 8-Mitgliedshosts durch Kontaktieren eines Windows Server 2012-
Domänencontrollers abgerufen werden.
Die Konfiguration der eingeschränkten Kerberos-Delegierung ist für das Erstellen gruppenverwalteter
Dienstkonten nicht erforderlich.
QUESTION 9
Lösung: Sie führen auf einem Domänencontroller das PowerShell Cmdlet Set-KdsConfiguration aus.
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:
Sie können ein gMSA erstellen, wenn das Gesamtstrukturschema auf Windows Server 2012 aktualisiert
wurde, der Hauptstammschlüssel für Active Directory bereitgestellt wurde und mindestens ein Windows
Server 2012-Domänencontroller in der Domäne vorhanden ist, in der das gMSA erstellt wird. Das Cmdlet
Set-KdsConfiguration wird im Rahmen der Vorbereitung auf die Nutzung von gruppenverwalteten
Dienstkonten nicht verwendet.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Erste Schritte mit
gruppenverwalteten Dienstkonten
QUESTION 10
Domäne. Die Domäne enthält zwei Mitgliedsserver mit den Namen Server1 und Server2. Auf beiden
Servern ist das Betriebssystem Windows Server 2016 installiert.
Sie planen, auf Server2 einen Dienst mit dem Namen „AppService“ bereitzustellen. Der Dienst greift auf
Daten zu, die auf Server1 gespeichert sind.
Sie müssen die eingeschränkte Kerberos-Delegierung konfigurieren und sicherstellen, dass „AppService1“
auf die Daten von Server1 zugreifen kann.
Was konfigurieren Sie im Active Directory-Verwaltungscenter?
A. Konfigurieren Sie die Eigenschaften des Computerkontos von Server1. Fügen Sie Server2 in den
Delegierungseinstellungen hinzu und klicken Sie dann auf AppService.
B. Konfigurieren Sie die Eigenschaften des Computerkontos von Server2. Aktivieren Sie auf dem Register
Delegierung die Option Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos).
C. Konfigurieren Sie die Eigenschaften des Computerkontos von Server1. Aktivieren Sie auf dem Register
Delegierung die Option Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos).
D. Konfigurieren Sie die Eigenschaften des Computerkontos von Server2. Fügen Sie Server1 in den
Delegierungseinstellungen hinzu und klicken Sie dann auf AppService.
Correct Answer: A
Explanation
Erläuterungen:
Wir müssen Server2 die Kerberos-Authentifizierung für den Dienst AppService delegieren. Die Delegierung
an Server2 wird in den Eigenschaften des Computerkontos von Server1 vorgenommen.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Eingeschränkte Kerberos-
Delegierung: Übersicht
QUESTION 11
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de. Die Domäne enthält eine
Webanwendung, die Kerberos-Authentifizierung verwendet.
Sie ändern den Domänennamen der Webanwendung.
Sie müssen sicherstellen, dass der Dienstprinzipalname (Service Principal Name, SPN) für die Anwendung
registriert wird.
A. Repladmin
B. Rdspnf
C. Ldifde
D. Active Directory-Benutzer und -Computer
Correct Answer: D
Explanation
Erläuterungen:
Ein SPN ist ein eindeutiger Bezeichner für einen Dienst in einem Netzwerk mit Kerberos-Authentifizierung.
SPNs bestehen aus einer Dienstklasse, einem Hostnamen und einem Port. In einem Netzwerk mit
Kerberos-Authentifizierung muss ein SPN für den Server unter einem integrierten Computerkonto wie
NetworkService oder LocalSystem oder unter einem Benutzerkonto registriert sein. SPNs werden
automatisch für integrierte Konten registriert. Wenn Sie einen Dienst unter einem Domänenbenutzerkonto
ausführen, müssen Sie den SPN manuell für das Konto registrieren, das Sie verwenden möchten.
Um einen SPN zu erstellen, können Sie das Befehlszeilen-Hilfsprogramm SetSPN verwenden.
Auch mit dem Snap-In Active Directory-Benutzer und -Computer können die für einen Computer
registrierten SPNs eingesehen und konfiguriert werden:
QUESTION 12
Lösung: Sie konfigurieren die eingeschränkte Kerberos-Delegierung für das Computerkonto jedes
Mitgliedservers.
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:
Eigenständige verwaltete Dienstkonten, die in Windows Server 2008 R2 und Windows 7 eingeführt wurden,
sind verwaltete Domänenkonten, die eine automatische Kennwortverwaltung sowie eine vereinfachte
Verwaltung von Dienstprinzipalnamen (Service Principal Names, SPNs) ermöglichen – einschließlich
Delegierung der Verwaltung an andere Administratoren.
Das gruppenverwaltete Dienstkonto bietet die gleiche Funktionalität innerhalb der Domäne, weitet diese
Funktionalität jedoch zudem auf mehrere Server aus. Beim Herstellen einer Verbindung mit einem Dienst,
der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die
Authentifizierungsprotokolle mit gegenseitiger Authentifizierung, dass alle Instanzen der Dienste den
gleichen Prinzipal verwenden. Falls gruppenverwaltete Dienstkonten als Dienstprinzipale verwendet
werden, wird das Kennwort für das Konto vom Windows-Betriebssystem verwaltet, anstatt die
Kennwortverwaltung dem Administrator zu überlassen.
Der Microsoft-Schlüsselverteilungsdienst ("kdssvc.dll") stellt den Mechanismus zum sicheren Abrufen des
aktuellen Schlüssels oder eines bestimmten Schlüssels mit einer Schlüssel-ID für ein Active Directory-
Konto bereit. Dieser Dienst ist neu in Windows Server 2012 und kann unter älteren Versionen des Windows
Server-Betriebssystems nicht ausgeführt werden. Vom Schlüsselverteilungsdienst werden geheime
Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel werden
regelmäßig geändert. Bei einem gruppenverwalteten Dienstkonto berechnet der Windows Server 2012-
Domänencontroller das Kennwort für den vom Schlüsselverteilungsdienst angegebenen Schlüssel – genau
wie andere Attribute des gruppenverwalteten Dienstkontos. Aktuelle und ältere Kennwortwerte können von
Windows Server 2012- und Windows 8-Mitgliedshosts durch Kontaktieren eines Windows Server 2012-
Domänencontrollers abgerufen werden.
Die Konfiguration der eingeschränkten Kerberos-Delegierung ist für das Erstellen gruppenverwalteter
Dienstkonten nicht erforderlich.
QUESTION 13
certbase.de. Die Funktionsebene der Domäne lautet Windows Server 2012 R2.
Ihr Unternehmen stellt einen neuen Sicherheitsadministrator für die Verwaltung sensibler Nutzerdaten ein.
Sie erstellen ein Benutzerkonto mit dem Namen SecAdmin1 für den neuen Administrator.
Sie müssen sicherstellen, dass das Passwort für SecAdmin1 mindestens 12 Zeichen lang ist und alle 10
Tage geändert wird. Ihre Lösung muss sicherstellen, dass die Kennworteinstellungen nur SecAdmin1
betreffen.
(Im Hilfetext finden Sie zusätzliche Antwortmöglichkeiten.)
A. Dsadd quota
B. Dsmod
C. Active Directory-Verwaltungscenter
D. Dsacls
E. Dsamain
F. Active Directory-Benutzer und -Computer
G. Ntdsutil
H. Gruppenrichtlinien-Verwaltungskonsole
Correct Answer: C
Explanation
Erläuterungen:
Mithilfe des Active Directory-Verwaltungscenters kann ein Kennworteinstellungsobjekt (Password Setting
Object, PSO) mit den gewünschten Einstellungen erstellt und anschließend mit dem Benutzer SecAdmin1
verknüpft werden.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Enabling and Using Fine-Grained
Password Policies in AD
QUESTION 14
certbase.de. Die Domäne enthält einen Domänencontroller mit dem Namen DC1.
Sie haben kürzlich eine Sicherung der Active Directory-Datenbank von DC1 an einem alternativen
Speicherort wiederhergestellt. Der Wiederherstellungsvorgang hat den Betrieb der Active Directory-
Domänendienste auf DC1 nicht unterbrochen.
Sie müssen die Active Directory-Daten der wiederhergestellten Sicherung über das Lightweight Directory
Access Protocol (LDAP) verfügbar machen.
A. Dsadd quota
B. Dsmod
D. Dsacls
E. Dsamain
G. Ntdsutil
Correct Answer: E
Section: 2.2 AD warten
Explanation
Erläuterungen:
Dsamain wird automatisch mit den Serverrollen Active Directory-Domänendienste oder Active Directory
Lightweight Directory Services installiert. Das Befehlszeilenprogramm verknüpft einen Active Directory-
Snapshot mit einem TCP Anschluss für die Protokolle LDAP, LDAP über SSL, GC LDAP und GC LDAP
über SSL und macht ihn so für Verbindungen mit den Standardtools (ldp.exe, Active Directory-Benutzer und
Computer etc.) verfügbar.
Der folgende Blog-Artikel enthält weitere Informationen zum Thema: Verwenden von Active Directory
Snapshots
QUESTION 15
certbase.de.
Sie müssen die Anzahl der Objekte, die ein bestimmter Benutzer in Active Directory erstellen kann,
beschränken.
A. Dsadd quota
B. Dsmod
D. Dsacls
E. Dsamain
G. Ntdsutil
Correct Answer: A
Explanation
Bei Verwendung von PowerShell Cmdlets und Befehlszeilenprogrammen kann es leicht passieren, dass ein
Benutzer versehentlich eine hohe Anzahl von Active Directory-Objekten erstellt. Um einem solchen
Szenario vorzubeugen, kann ein Administrator ein Kontingent erstellen, das einen Benutzer auf das
Erstellen einer limitierten Anzahl an Objekten in einer Active Directory-Partition beschränkt.
Mit dem folgenden Aufruf wird Sarah auf das Erstellen von max. 1000 Objekten in der
Konfigurationspartition beschränkt:
dsdd quota -part CN=configuration,dc=certbase,dc=de" -acct Sarah -qlimit 1000
QUESTION 16
certbase.de. Die Gesamtstrukturfunktionsebene lautet Windows Server 2012 R2.
Sie müssen sicherstellen, dass ein Domänen-Administrator gelöschte Active Directory- Objekte schnell
wiederherstellen kann.
A. Dsadd quota
B. Dsmod
D. Dsacls
E. Dsamain
G.
H.
Correct Answer: C
Explanation
Erläuterungen:
Im Active Directory-Verwaltungscenter kann der Active Directory-Papierkorb aktiviert werden:
QUESTION 17
Sie sind als Administrator für das Unternehmen CertBase tätig. Die Firma hat eine Hauptgeschäftsstelle
und eine Zweigstelle. Die beiden Standorte sind durch eine WAN-Verbindung verbunden.
Das Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Die
Gesamtstruktur enthält einen Domänencontroller mit dem Namen DC1. Alle Domänencontroller befinden
sich in der Hauptgeschäftsstelle.
Sie installieren in der Zweigstelle einen schreibgeschützten Domänencontroller (Read-Only Domain

Controller, RODC) mit dem Namen RODC1.
Sie erstellen ein neues Benutzerkonto für einen neuen Mitarbeiter mit dem Namen Mark. Anschliessend
fügen Sie das Benutzerkonto der Gruppe „Zulässige RODC-Kennwortreplikationsrichtlinie“ als Mitglied
hinzu.
Mark tritt am kommenden Montag seine Artbeitsstelle an.
Der Netzwerkadministrator teilt Ihnen mit, dass die WAN-Verbindung am kommenden Montag aufgrund von
Wartungsarbeiten nicht zur Verfügung steht.
Sie müssen sicherstellen, dass sich Mark am Montag in der Zweigstelle anmelden kann.
Zeichnung.)
(Wählen Sie eine Antwort zwischen A und C und eine zwischen D und G.)
A. repadmin
B. New-ADReplicationSiteLink
C. New-ADReplicationSiteLinkBridge
D. /rodcpwdrepl
E. /replicate
F. -InterSiteTransportProtocol IP
G. -InterSiteTransportProtocol SMTP
Correct Answer: AD
Explanation
Erläuterungen:
Repadmin /rodcpwdrepl löst die Kennwortreplikation von einem schreibbaren Windows Server-Quell-
Domänencontroller auf einen oder mehrere schreibgeschützte Ziel-Domänencontroller (RODCs) für die
angegebenen Benutzer aus.
Für jeden Ziel-RODC erzwingt der Quelldomänencontroller die Kennwortreplikationsrichtlinie (PRP), bevor
die eigentliche Replikation ausgeführt wird. Wenn die Richtlinie das Replizieren des Passworts für einen
bestimmten Benutzer nicht zulässt, schlägt die Operation für diesen Benutzer fehl.
Das folgende Beispiel löst die Replikation der Passwörter für das Benutzerkonto Mark von dem
Quelldomänencontroller source-dc01 zu allen RODCs aus, die das Präfix dest-rodc im Namen haben:
repadmin /rodcpwdrepl dest-rodc* source-dc01 cn=Mark, ou=OU1, dc=certbase,

dc=de
QUESTION 18
Sie sind als Administrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine
Hauptgeschäftsstelle und drei Zweigstellen.
Das Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de.
In der Hauptgeschäftsstelle befinden sich drei Domänencontroller. In den Zweigstellen befindet sich jeweils
ein Domänencontroller.
Bei einer Routineuntersuchung stellen Sie fest, dass neue Einstellungen der Standarddomänenrichtlinie in
einer der Zweigstellen nicht angewendet werden. Bei den übrigen Gruppenrichtlinienobjekten gibt es keine
Probleme.
Sie müssen die Replikation der Standarddomänenrichtlinie für die Zweigstelle überprüfen.
Welchen Schritt führen Sie auf einem Domänencontroller der Hauptgeschäftsstelle aus?
A. Führen Sie an der Windows PowerShell das Cmdlet Get-GPOReport aus.

B. Führen Sie repadmin.exe an der Eingabeaufforderung aus.
C. Führen Sie dcdiag.exe an der Eingabeaufforderung aus.
D. Führen Sie an der Windows PowerShell das Cmdlet Get-ADReplicationConnection aus.
Correct Answer: B
Explanation
Erläuterungen:
Mit repadmin.exe /showrepl kann ein Statusbericht abgerufen, der den Replikationsstatus der Active
Directory-Objekte einschließlich der Gruppenrichtlinienobjekte für jede Replikationsverbindung anzeigt. Der
Bericht ist nach Verzeichnispartitionen unterteilt.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Repadmin
QUESTION 19
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de.
Sie haben kürzlich 5.000 Objekte aus der Active Directory-Datenbank gelöscht.
Sie wollen auf einem Domänencontroller mit dem Namen DC1 den Speicherplatz verringern, der für die
Active Directory-Datenbank verwendet wird.
A. Dsadd quota
B. Dsmod
D. Dsacls
E. Dsamain
F. Active Directory-Benutzer und –Computer
G. Ntdsutil
Correct Answer: G
Explanation
Erläuterungen:
Für das Offline Defragmentieren und Komprimieren der Active Directory-Datenbank wird der Unterbefehl
Files des Befehlszeilenprogramms Ntdsutil verwendet.
Offlinedefragmentierung der AD DS-DatenbankOfflinedefragmentierung der AD DS-Datenbank
QUESTION 20
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de. Die Domäne enthält
einen Domänencontroller mit dem Namen DC1.
Sie haben kürzlich eine Sicherung der Active Directory-Datenbank von DC1 an einem alternativen
Speicherort wiederhergestellt.
Durch den Wiederherstellungsvorgang werden die Active Directory-Dienste auf DC1 nicht unterbrochen.
Sie wollen mithilfe von LDAP (Lightweight Directory Access Protocol) auf die Daten der wiederhergestellten
Active Directory-Datenbank zugreifen.
A. Dsadd quota
B. Dsmod
D. Dsacls
E. Dsamain
G. Ntdsutil
Correct Answer: E
Explanation
Erläuterungen:
Seit Windows Server 2008 ist es Administratoren möglich Snapshots (Momentaufnahmen) der Active
Directory Datenbank für die offline Verwendung zu erstellen. Sicherungen der Active Directory Datenbank
können mithilfe von dsamain.exe unter einem wählbaren TCP Anschluss gemountet und mit einem LDAP
Reader oder der Konsole Active Directory-Benutzer und -Computer (ADUC) durchforstet werden.
Snapshots unter Windows Server 2008
QUESTION 21
einen Domänencontroller mit dem Namen DC1. Auf DC1 ist das Betriebssystem Windows Server 2016
installiert.
Sie müssen auf DC1 eine Momentaufnahme der Active Directory-Datenbank erstellen.
A. Ntdsutil
B. Dsmod
D. Dsacls
E. Dsamain
G. Dsadd quota
Correct Answer: A
Explanation
Erläuterungen:
Für das Erstellen einer Momentaufnahme (Snapshot) der Active Directory-Datenbank wird der Unterbefehl
Snapshot des Befehlszeilenprogramms Ntdsutil verwendet.
Snapshots unter Windows Server 2008
QUESTION 22
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Funktionsebene der Gesamtstruktur lautet
Windows Server 2016. Für das Active Directory sind alle optionalen Features aktiviert.
Sie administrieren einen Failovercluster mit dem Namen Cluster1. Cluster1 hat zwei Knoten mit den
Namen Server1 und Server2.
Ein Auszubildender löscht versehentlich das Computerobjekt mit dem Namen Cluster1.
Sie stellen fest, dass Cluster1 offline ist.
Sie müssen die Funktionsfähigkeit von Cluster1 so schnell wie möglich wiederherstellen.
Wie gehen Sie vor?
A. Führen Sie an der Windows PowerShell das Cmdlet Enable-ADAccount aus.

B. Führen Sie mithilfe von ntdsutil.exe eine autorisierende Wiederherstellung durch.
C. Führen Sie mithilfe von ldp.exe eine Tombstone-Reanimierung durch.
D. Stellen Sie das gelöschte Objekt aus dem Active Directory-Papierkorb wieder her.
Correct Answer: D
Explanation
Erläuterungen:
In der Aufgabenstellung heißt es, dass alle optionalen Features des Active Directory aktiviert wurden. Dies
schließt den Active Directory-Papierkorb ein. Das gelöschte Objekt kann mithilfe des Active Directory-
Verwaltungscenters aus dem Papierkorb wiederhergestellt werden.
QUESTION 23
certbase.de. Die Funktionsebene der Domäne ist mit Windows Server 2012 R2 festgelegt.
Sie müssen die Sicherheit für mehrere Konten mit hohen Priviliegien konfigurieren. Sie haben folgende
Anforderungen:
Die Benutzer dürfen sich nicht über NTLM, Digestauthentifizierung oder CredSSP authentifizieren.
Die Benutzerkonten dürfen nicht mit eingeschränkter oder nicht eingeschränkter Kerberos-Delegierung
delegiert werden.
Wie gehen Sie vor?
A. Erstellen Sie eine universelle Gruppe für die Konten mit hohen Privilegien und konfigurieren Sie die
Sicherheitseinstellungen der Gruppe.
B. Nehmen Sie die Benutzer mit hohen Privilegien in die Gruppe Windows-Autorisierungszugriffsgruppe
auf.
C. Nehmen Sie die Benutzer mit hohen Privilegien in die Gruppe Protected Users auf.
D. Erstellen Sie für die Benutzer mit hohen Privilegien eine separate Organisationseinheit (OU) und
konfigurieren Sie die Sicherheitseinstellungen der OU.
Correct Answer: C
Section: 2.3 AD in einer komplexen Umgebung
Explanation
Erläuterungen:
Mitglieder der Gruppe Protected Users erhalten zusätzlichen Schutz gegen die Beeinträchtigung der
Anmeldeinformationen während des Authentifizierungsprozesses.
Die Sicherheitsgruppe wurde als Teil einer Strategie für den effizienten Schutz und eine effiziente
Verwaltung von Anmeldeinformationen innerhalb des Unternehmens entworfen. Für Mitglieder dieser
Gruppe gilt automatisch nicht konfigurierbarer Schutz für deren Konten. Eine Mitgliedschaft in der Gruppe
der geschützten Benutzer bedeutet standardmäßig eine restriktive und proaktive Sicherheit. Die einzige
Methode zum Ändern dieses Schutzes für ein Konto ist die Entfernung dieses Kontos aus der
Sicherheitsgruppe.
Diese domänenbezogene globale Gruppe löst nicht konfigurierbaren Schutz auf Geräten und
Hostcomputern aus, auf denen Windows Server 2012 R2 und Windows 8,1 läuft, sowie auf
Domänencontrollern in Domänen mit einem primären Domänencontroller, auf dem Windows Server 2012
R2 ausgeführt wird. Dadurch wird der Speicherbedarf von Anmeldeinformationen signifikant reduziert, wenn
Benutzer sich an Computern auf dem Netzwerk von einem nicht gefährdeten Computer aus anmelden.
Abhängig von der Domänenfunktionsebene des Kontos sind Mitglieder der Gruppe der geschützten
Benutzer aufgrund der Verhaltensänderungen in den Authentifizierungsmethoden, die in Windows
unterstützt werden, weiter geschützt.
Mitglieder der Gruppe der geschützten Benutzer können sich nicht über NTLM, Digestauthentifizierung
oder CredSSP authentifizieren. Auf einem Gerät mit Windows 8,1 werden Kennwörter nicht
zwischengespeichert, sodass ein Gerät, welches einen dieser SSPs (Security Support Providers) nutzt,
keine Authentifizierung an der Domäne durchführen kann, wenn das Konto Mitglied der Gruppe der
geschützten Benutzer ist.
Das Kerberos-Protokoll wird im Vor-Authentifizierungsprozess nicht die schwächere DES- oder RC4-
Verschlüsselung verwenden. Dies bedeutet, dass die Domäne mindestens für die Unterstützung der
AES-Verschlüsselungssammlungen konfiguriert sein muss.
Das Benutzerkonto kann nicht mit eingeschränkter oder nicht eingeschränkter Kerberos-Delegierung
delegiert werden. Dies bedeutet, dass vorherige Verbindungen zu anderen Systemen fehlschlagen
können, falls der Benutzer Mitglied der Gruppe der geschützten Benutzer ist.
Die Standardeinstellung für die Ticket-Granting-Ticket-Lebensdauer von vier Stunden kann über
Authentifizierungsrichtlinien und Silos konfiguriert werden, auf die Sie über das Active Directory-
Verwaltungscenter (ADAC) zugreifen können. Dies bedeutet, dass sich der Benutzer erneut
authentifizieren muss, wenn vier Stunden vergangen sind.
Voraussetzung für die korrekte Funktion der Gruppe Protected Users ist, dass die Domäne in der
Domänenfunktionsebene Windows Server 2012 R2 betrieben wird. Mit dem Cmdlet Get-ADDomain kann
die konfigurierte Domänenfunktionsebene abgerufen werden.
QUESTION 24
certbase.de. Die Domäne enthält einen DNS-Server mit dem Namen Server1. Auf Server1 ist das
Betriebssystem Windows Server 2016 installiert. Alle Domänencomputer verwenden Server1 für die DNS-
Namensauflösung.
Sie verwenden DNSSEC und signieren die Zone certbase.de.
Sie müssen die Domänencomputer so konfigurieren, dass Antworten auf DNS-Abfragen für die Zone
certbase.de überprüft werden.
Welche Richtlinieneinstellung konfigurieren Sie in einem Gruppenrichtlinienobjekt?
A. Netzwerklisten-Manager-Richtlinien
B. Netzwerkzugriffsschutz
C. Namensauflösungsrichtlinie
D. Richtlinien für öffentliche Schlüssel
Correct Answer: C
Explanation
Erläuterungen:
DNSSEC (Domain Name System Security Extensions) ist eine Sammlung von Erweiterungen zur Erhöhung
der Sicherheit des DNS-Protokolls durch die Überprüfung von DNS-Antworten. Insbesondere stellt
DNSSEC Ursprungsautorität, Datenintegrität und authentifizierte Bestätigung der Abwesenheit bereit. Mit
DNSSEC ist das DNS-Protokoll weniger anfällig für bestimmte Angriffsformen, insbesondere DNS-
Spoofingangriffe.
In der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) werden die
Konfigurationseinstellungen für DNSSEC auf DNS-Clientcomputern gespeichert.
QUESTION 25
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Die Benutzer
greifen häufig auf die Website eines externen Partnerunternehmens zu. Der URL der Website lautet http://
partner.traincert.eu.
Das Partnerunternehmen informiert Sie, dass Wartungen des Webservers geplant sind und dass der
Webserver eine neue IP-Adresse erhalten wird.
Nach Abschluss der Wartungsarbeiten berichten die Benutzer des internen Netzwerks, dass Ihnen der
Zugriff auf die Website des Partners nicht möglich ist. Einige Benutzer, die von zu Hause aus arbeiten,
berichten, dass sie keine Probleme beim Zugriff auf die Website haben.
Sie müssen sicherstellen, dass die DNS-Server den Namen partner.traincert.eu umgehend in seine
korrekte IP-Adresse auflösen können.
Wie gehen Sie vor?
A. Führen Sie dnscmd mit dem Parameter CacheLockingPercent aus.

B. Führen Sie das Cmdlet Set-DnsServerGlobalQueryBlockList aus.
C. Führen Sie ipconfig mit dem Parameter renew aus.
D. Führen Sie das Cmdlet Set-DnsServerCache aus.
Correct Answer: D
Explanation
Erläuterungen:
Um sicherzustellen, dass der DNS-Server den Namen partner.traincert.eu in seine neue IP-Adresse auflöst,
muss der derzeitig zwischengespeicherte Eintrag aus dem Cache des DNS-Servers entfernt oder so
modifiziert werden, dass er ungültig ist. Da weder das Cmdlet Clear-DnsServerCache noch der Befehl
dnscmd /ClearCache, mit denen der Cache geleert werden könnte, zur Wahl stehen, erscheint Set-
DnsServerCache als beste Wahl.
Mit Set-DnsServerCache -MaxTtl 0 kann der Servercache komplett deaktiviert werden so, dass der
DNS-Server den Namen bei jeder Abfrage erneut auflösen muss. Der Standardwert des Parameters MaxTtl
beträgt 86400 Sekunden (1 Tag).
QUESTION 26
Sie sind als Administrator für das Unternehmen CertBase tätig. Das Netzwerk umfasst eine Active
Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.
Das Unternehmen hat mehrere Standorte. Für jede Niederlassung ist ein Active Directory-Standort
konfiguriert. Alle Standorte sind über die Standortverknüpfung DEFAULTIPSITELINK verbunden.
Das Unternehmen plant die Eröffnung einer neuen Zweigstelle. Die Niederlassung wird einen
Domänencontroller und 100 Clientcomputer enthalten.
Sie installieren Windows Server 2016 auf einem Mitgliedserver in der neuen Zweigstelle. Der Server soll als
Domänencontroller genutzt werden.
Sie müssen den Domänencontroller in der neuen Zweigstelle bereitstellen. Ihre Lösung muss sicherstellen,
dass die Clientcomputer des neuen Standortes den lokalen Domänencontroller für die Authentifizierung
verwenden.
und ordnen Sie die erforderlichen Schritte in der richtigen Reihenfolge an.)
Select and Place:
Correct Answer:

Explanation
Erläuterungen:
Die Clientcomputer bestimmen den Domänencontroller für die Authentifizierung nach der
Standortzugehörigkeit, dabei wird zunächst versucht, einen Domänencontroller zu finden, der demselben
Active Directory-Standort angehört, wie der Client.
Wenn für das lokale Netzwerk bereits ein Active Directory-Standort und ein zugehöriges Active Directory-
Subnetz konfiguriert sind, wird ein Server diesem Standort beim Heraufstufen zu einem Domänencontroller
automatisch zugeordnet.
QUESTION 27
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Ein
Partnerunternehmen hat eine Active Directory-Gesamtstruktur mit dem Namen traincert.eu. Jede der
beiden Gesamtstrukturen enthält eine einzelne Domäne.
Sie müssen den Mitgliedern einer Gruppe namens Forschung der Domäne traincert.eu Zugriff auf
Ressourcen der Domäne certbase.de ermöglichen. Ihre Lösung muss dem Prinzip der Vergabe
geringstmöglicher Berechtigungen folgen.
Wie gehen Sie vor?
A. Erstellen Sie eine externe Vertrauensstellung von traincert.eu nach certbase.de. Aktivieren Sie geteilte
Active Directory-Berechtigungen in traincert.eu.
B. Erstellen Sie eine externe Vertrauensstellung von certbase.de nach traincert.eu. Aktivieren Sie geteilte
Active Directory-Berechtigungen in certbase.de.
C. Erstellen Sie eine unidirektionale Vertrauensstellung von certbase.de nach traincert.eu und aktivieren
Sie die ausgewählte Authentifizierung.
D. Erstellen Sie eine unidirektionale Vertrauensstellung von traincert.eu nach certbase.de und aktivieren
Sie die ausgewählte Authentifizierung.
Correct Answer: C
Explanation
Erläuterungen:
Die ausgewählte Authentifizierung kann für externe Vertrauensstellungen und Gesamtstruktur-
Vertrauensstellungen verwendet werden.
Wenn Sie für eine Gesamtstruktur-Vertrauensstellung Ausgewählte Authentifizierung auswählen, müssen

Sie manuell Berechtigungen für jede Domäne und Ressource in der lokalen Gesamtstruktur aktivieren, auf
die Benutzer in der zweiten Gesamtstruktur Zugriff haben sollen.
Um den Benutzer der vertrauten Domäne beispielsweise Zugriff auf die Ressourcen eines Dateiservers mit
dem Namen Server1 zu ermöglichen, muss den Benutzern der vertrauten Domäne zusätzlich zu den
Berechtigungen im Dateisystem in den Eigenschaften des Computerkontos von Server1 die Berechtigung
Authentifizierung zulassen erteilt werden.
Geteilte Active Directory-Berechtigungen dienen der Trennung von Exchange-Verwaltung und Active
Directory-Verwaltung. Diese Funktion ist hier nicht relevant.
QUESTION 28
Gesamtstruktur enthält zwei Domänen mit den Namen traincert.eu und certbase.de.
Die Domäne certbase.de enthält zwei Domänencontroller mit den Namen DC1 und DC2. Die beiden
Domänencontroller befinden sich an einem Active Directory-Standort mit dem Namen Site1. Dem Standort
ist das Subnetz 192.168.10.0/24 zugewiesen.
Sie stellen fest, dass DC2 nicht als globaler Katalogserver konfiguriert ist.
Sie müssen DC2 als globalen Katalogserver konfigurieren.
Wie gehen Sie vor?
A. Verwenden Sie das Snap-In Active Directory-Standorte und –Dienste und ändern Sie die Eigenschaften
des Subnets 192.168.10.0/24.
B. Führen Sie an der Windows PowerShell das Cmdlet Set-NetNatGlobal aus.
C. Verwenden Sie das Snap-In Active Directory-Standorte und –Dienste und ändern Sie die NTDS Settings
des Serverobjektes von DC2.
D. Führen Sie an der Windows PowerShell das Cmdlet Enable-ADOptionalFeature aus.
Correct Answer: C
Explanation
Erläuterungen:
Sie können das Snap-In „Active Directory-Standorte und Dienste“ verwenden, um einen Domänencontroller
für den den globalen Katalog zu aktivieren oder zu deaktivieren. Das Aktivieren des globalen Katalogs kann
zusätzlichen Replikationsdatenverkehr verursachen. Das Entfernen des globalen Katalogs erfolgt jedoch
graduell im Hintergrund und hat weder Auswirkungen auf die Replikation noch auf die Leistung.
So fügen Sie den globalen Katalog mithilfe des Snap-Ins „Active Directory-Standorte und Dienste“
hinzu oder entfernen diesen
1. Öffnen Sie „Active Directory-Standorte und -Dienste“.

2. Klicken Sie in der Konsolenstruktur auf das Serverobjekt, dem der globale Katalog hinzugefügt werden
soll oder von dem der globale Katalog entfernt werden soll.
3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Option NTDS Settings des ausgewählten
Serverobjekts, und klicken Sie dann auf Eigenschaften.
4. Aktivieren Sie das Kontrollkästchen Globaler Katalog, um den globalen Katalog hinzuzufügen, oder
deaktivieren Sie das Kontrollkästchen, um den globalen Katalog zu entfernen.
So fügen Sie den globalen Katalog mithilfe des Active Directory-Moduls für die Windows
PowerShell hinzu oder entfernen diesen
Set-ADObject "CN=NTDS Settings,CN=CB-DC1,CN=Servers,CN=Default-First-Site-

Name,CN=Sites,CN=Configuration,DC=certbase,DC=de" -Replace@{options='1'}
Um den globalen Katalog zu deaktivieren ersetzen Sie den Wert 1 durch 0.

QUESTION 29
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält eine
Stammdomäne mit dem Namen certbase.de und eine untergeordnete Domäne mit dem Namen
eu.certbase.de. Jede Domäne enthält zwei Domänencontroller, auf denen Windows Server 2012 R2
ausgeführt wird.
Die Gesamtstrukturfunktionsebene ist Windows Server 2012 R2. Die Domänenfunktionsebene von
certbase.de ist Windows Server 2012 R2 und die Domänenfunktionsebene von eu.certbase.de ist Windows
Server 2008 R2.
Sie müssen die Funktionsebene der Domäne certbase.de auf Windows Server 2016 heraufstufen. Der
administrative Aufwand Ihrer Lösung muss möglichst gering sein.
Welche Aktion führen Sie aus, bevor Sie die Domänenfunktionsebene heraufstufen?
A. Stufen Sie die Gesamtstrukturfunktionsebene herauf.

B. Stufen Sie die Funktionsebene der Domäne eu.certbase.de herauf.
C. Führen Sie ein Upgrade aller Domänencontroller der Gesamtstruktur durch.
D. Führen Sie ein Upgrade aller Domänencontroller der Domäne certbase.de durch.
Correct Answer: D
Explanation
Erläuterungen:
Mithilfe der Domänen- und Gesamtstrukturfunktionsebenen können domänen- oder gesamtstrukturweite
Features in der Active Directory-Domänendienstumgebung aktiviert werden. Je nach Netzwerkumgebung
sind verschiedene Ebenen der Domänen- und Gesamtstrukturfunktionalität verfügbar.
Wenn alle Domänencontroller in der Domäne oder Gesamtstruktur unter der aktuellen Version von
Windows Server ausgeführt werden und die Domänen- und Gesamtstrukturfunktionsebene auf den
höchsten Wert festgelegt ist, sind alle Features auf Domänenebene und alle Features auf
Gesamtstrukturebene verfügbar. Wenn die Domäne oder Gesamtstruktur Domänencontroller mit früheren
Versionen von Windows Server enthält, sind die AD DS-Features beschränkt.
Mit der Domänenfunktionalität werden Features aktiviert, die die gesamte Domäne, jedoch nur diese eine
Domäne, betreffen.
Bevor die Funktionsebene der Domäne certbase.de heraufgestuft werden kann, müssen alle
Domänencontroller der Domäne auf Windows Server 2016 oder höher aktualisiert werden.
QUESTION 30
Sie sind als Administrator für das Unternehmen CertBase tätig. Das Unternehmen hat zwei
Niederlassungen in den Städten München und Stuttgart.
Das Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de.
Die Gesamtstruktur enthält drei Domänencontroller. Die Konfiguration der Domänencontroller wird
nachstehend gezeigt:
Sie verlegen Server2 physikalisch von der Niederlassung München in die Niederlassung Stuttgart.
Sie stellen fest, dass Benutzer, die sich an Clientcomputern am Standort München anmelden, sowohl von
Server1 als auch von Server2 authentifiziert werden. Benutzer, die sich an den Clientcomputern am
Standort Stuttgart anmelden, werden ausschließlich von Server3 authentifiziert.
Sie müssen sicherstellen, dass die Benutzer des Standortes Stuttgart während des normalen
Netzwerkbetriebs von Server2 authentifiziert werden.
Wie gehen Sie vor?
A. Führen Sie an der Windows PowerShell das Cmdlet Set-ADReplicationSite aus.

B. Führen Sie an der Windows PowerShell das Cmdlet Move-ADDirectoryServer aus.
C. Ändern Sie auf Server2 die Konfiguration für das Internetprotokoll Version 4 (TCP/IPv4).
D. Verwenden Sie Active Directory-Benutzer und –Computer und ändern Sie die Einstellung „Ort“ in den
Eigenschaften von Server2.
Correct Answer: B
Explanation
Erläuterungen:
Server2 wurde physikalisch vom Standort München an den Standort Stuttgart verbracht. Da der Server
Netzwerkverkehr verarbeiten kann, muss die TCP/IP Konfiguration bereits an den neuen Standort
angepasst sein.
Für die Zuordnung von Server2 zum Standort Stuttgart, muss das Computerkonto von Server2 mithilfe des
Snap-Ins Active Directory-Standorte und -Dienste oder mithilfe des Cmdlets Move-ADDirectoryServer
an den neuen Standort verschoben werden. In der Regel erfolgt die Zuordnung automatisch auf Basis der
IP-Adresse. Bei Änderungen kann es erforderlich sein, die Zuordnung manuell anzupassen.
QUESTION 31
Gesamtstruktur enthält zwei untergeordnete Domänen und sechs Domänencontroller.
Die Konfiguration der Domänencontroller wird nachstehend gezeigt:
Sie müssen verhindern, dass Administratoren versehentlich einen der Active Directory-Standorte löschen.
Welches PowerShell Cmdlet bzw. welches Befehlszeilenprogramm verwenden Sie?
A. Set-ADSite
B. Set-ADReplicationSite
C. Set-ADDomain
D. Set-ADReplicationSiteLink
E. Set-ADGroup
F. Set-ADForest
G. Netdom
Correct Answer: B
Explanation
Erläuterungen:
Mit der folgenden Befehlszeile, wird für jeden Active Directory-Standort die Option Objekt vor zufälligem
Löschen schützen aktiviert:
Get-ADReplicationSite | Set-ADReplicationSite -ProtectedFromAccidentalDeletion

$True
QUESTION 32
certbase.de. Die Domäne enthält drei Benutzer mit den Namen Benutzer1, Benutzer2 und Benutzer3.
Sie müssen sicherstellen, dass die Benutzer die folgenden Benutzerprinzipalnamen (User Principal Names,
UPNs) für die Anmeldung an der Domäne verwenden können:
Welches PowerShell Cmdlet bzw. welches Befehlszeilenprogramm verwenden Sie?
A. Set-ADDomain
B. Add-DNSServerSecondaryZone
C. Setspn.exe
D. Set-ADUser
Correct Answer: D
Explanation
Erläuterungen:
Der Benutzerprinzipalname ist eine Eigenschaft eines Benutzerkontos und kann mit dem folgenden
beispielhaften Befehl festgelegt werden:
Set-ADUser -Identity Benutzer1 -UserPrincipalName Benutzer1@merkur.de
QUESTION 33
Sie haben eine Offline-Stammzertifizierungsstelle (CA) mit dem Namen CA1. CA1 wird
auf einer virtuellen Maschine (VM) gehostet. Sie schalten CA1 nur ein, wenn ein Update
für die CA eingespielt werden muss oder Sie einen Schlüssel für untergeordnete CAs
generieren müssen.
Sie starten CA1 und stellen fest, dass das Dateisystem beschädigt ist.
Sie beheben die Beschädigung des Dateisystems und stellen fest, dass Sie den privaten
Schlüssel der CA aus einer Sicherung wiederherstellen müssen.
Bei dem Versuch, das Cmdlet Restore-CARoleService auszuführen, erhalten Sie die
folgende Fehlermeldung:
"Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird."
Sie müssen CA1 so schnell wie möglich wiederherstellen.
Wie gehen Sie vor?
A. Beenden Sie den Dienst Active Directory-Domänendienste.

B. Führen Sie das Cmdlet Restore-CARoleService aus und geben Sie einen gültigen
Pfad zur Sicherung des privaten Schlüssels der Zertifizierungsstelle an.
C. Beenden Sie den Dienst Active Directory-Zertifikatdienste.
D. Führen Sie das Cmdlet Restore-CARoleService aus und geben Sie den Parameter
Force an.
Correct Answer: C
Section: (none)
Explanation
Sie können die Cmdlets Backup-CARoleService und Restore-CARoleService
verwenden, um die Datenbank und den privaten Schlüssel der Zertifizierungsstelle zu
sichern und wiederherzustellen. Vor der Wiederherstellung müssen Sie den Dienst der
Active Directory-Zertifikatdienste (AD CS) beenden.
Erstellen Und Verwalten von Gruppenrichtlinien
QUESTION 1
Ihr Netzwerk enthält eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.
Die Domäne enthält einen Benutzer mit dem Namen Benutzer1, eine Gruppe mit dem Namen Gruppe1 und
eine Organisationseinheit mit dem Namen OU1.
Sie müssen Benutzer1 die erforderlichen Berechtigungen erteilen, um Gruppenrichtlinienobjekte (GPOs)

mit OU1 zu verknüpfen.
Lösung: Sie nehmen Benutzer1 in die Gruppe Richtlinien-Ersteller-Besitzer auf.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Über das Register Delegierung des Containers Gruppenrichtlinienobjekte bzw. über die
Aufnahme von Benutzer1 in die Gruppe Richtlinien-Ersteller-Besitzer erhält Benutzer1
das Recht Gruppenrichtlinienobjekte (GPOs) zu erstellen. Benutzer1 kann dadurch
jedoch keine Gruppenrichtlinienobjekte verknüpfen. Um Gruppenrichtlinienobjekte mit
der Domäne oder mit bestimmten Organisationseinheiten verknüpfen zu können,
müssen wir Benutzer1 mithilfe des Assistenten zum Zuweisen der Objektverwaltung die
Aufgabe Verwaltet Gruppenrichtlinien-Verknüpfungen für den gewünschten Container
delegieren.

Group Policy: Ins And Outs Of Delegation And Control
QUESTION 2
Ihr Netzwerk enthält eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen
certbase.de.Die Domäne enthält einen Benutzer mit dem Namen Benutzer1, eine Gruppe mit dem Namen
Gruppe1 und eine Organisationseinheit mit dem Namen OU1.

Lösung: Sie nehmen Benutzer1 in die Gruppe Gruppe1 auf. Anschließend verwenden Sie den ADSI-Editor
und erteilen Gruppe1 Vollzugriff für das Objekt „CN=Policies, CN=System, DC=Certbase, DC=De“
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Berechtigungen für den Container „CN=Policies, CN=System, DC=Certbase, DC=De“
ermöglichen Benutzer1 nicht das Verknüpfen der GPOs mit Objekten der Domäne.
Stattdessen muss Benutzer1 Berechtigungen für die Objekte erhalten, mit denen er
GPOs verknüpfen soll.
Mithilfe des Snap-Ins Active Directory-Benutzer und –Computer und dem Assistenten
zum Zuweisen der Objektverwaltung können wir Benutzer1 die Aufgabe „Verwaltet
Gruppenrichtlinien-Verknüpfungen" für die Domäne oder eine bestimmte
Organisationseinheit erteilen.
QUESTION 3
Ihr Netzwerk enthält eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen
certbase.de.Die Domäne enthält einen Benutzer mit dem Namen Benutzer1, eine Gruppe mit dem Namen
Gruppe1 und eine Organisationseinheit mit dem Namen OU1.

Lösung: Sie verwenden den Assistenten zum Zuweisen der Objektverwaltung und delegieren Benutzer1 die
Aufgabe „Verwaltet Gruppenrichtlinien-Verknüpfungen" für die Domäne.

A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Mithilfe des Snap-Ins Active Directory-Benutzer und –Computer und dem Assistenten
zum Zuweisen der Objektverwaltung können wir Benutzer1 die Aufgabe „Verwaltet
Gruppenrichtlinien-Verknüpfungen für die Domäne oder eine bestimmte
Organisationseinheit erteilen.
QUESTION 4
Ihr Netzwerk enthält eine Active Directory-Gesamtstruktur mit einer einzelnen Domäne namens
certbase.de Die Gesamtstruktuffunktionsebene ist Windows Server 2016.
Sie planen, ein Gruppenrichtlinienobjekt mit dem Namen GPO1 zu erstellen und mit der Domäne zu
verknüpfen. GPO1 enthält ausschließlich Benutzereinstellungen.
GPO1 soll nur auf Benutzer angewendet werden, die Mitglied einer Gruppe mit dem Namen Gruppe1 sind.
Sie müssen sicherstellen, dass GPO1 nur auf Mitglieder von Gruppe1 angewendet wird. Ihre Lösung muss
das Prinzip der Vergabe geringsmöglicher Rechte befolgen.
Was konfigurieren Sie?
A. Weisen Sie der folgenden Gruppe die Berechtigungen Lesen und Gruppenrichtlinie übernehmen zu:
Gruppe1
Weisen Sie der folgenden Gruppe die Berechtigung Lesen zu: Authentifizierte Benutzer
Entfernen Sie die Gruppenrichtlinienobjekt-Berechtigungen der folgenden Gruppe: Authentifizierte
Benutzer
B. Weisen Sie der folgenden Gruppe die Berechtigungen Lesen und Gruppenrichtlinie übernehmen zu:
Domänencontroller
Weisen Sie der folgenden Gruppe die Berechtigung Lesen zu: Domänencontroller
Benutzer
C. Weisen Sie der folgenden Gruppe die Berechtigungen Lesen und Gruppenrichtlinie übernehmen zu:
Domänen-Benutzer
Weisen Sie der folgenden Gruppe die Berechtigung Lesen zu: Gruppe1
Entfernen Sie die Gruppenrichtlinienobjekt-Berechtigungen der folgenden Gruppe: Domänencomputer
D. Weisen Sie der folgenden Gruppe die Berechtigungen Lesen und Gruppenrichtlinie übernehmen zu:
Gruppe1
Weisen Sie der folgenden Gruppe die Berechtigung Lesen zu: Domänencomputer
Benutzer
Correct Answer: D
Section: New
Explanation
Das Gruppenrichtlinienobjekt GPO1 enthält ausschließlich Benutzereinstellungen und
soll nur auf Mitlieder von Gruppe1 angewendet werden. Gruppe1 benötigt die
Berechtigungen Lesen und Gruppenrichtlinie übernehmen für GPO1.
Leserechte für GPO1 müssen entweder für die Gruppe Authentifizierte Benutzer oder für
die Gruppe Domänencomputer vergeben werden. Domänencomputer sind Teil der
Gruppe Authentifizierte Benutzer. Da die Gesamtstruktur nur eine Domäne enthält und
möglichst geringe Berechtigungen vergeben werden sollen, erscheint die Gruppe
Domänencomputer als bessere Wahl. Fehlen dem Computer, auf dem die
Gruppenrichtlinienverwaltung genutzt wird Leserechte für die GPOs, kommt es zu
Darstellungsproblemen der GPOs innerhalb der Verwaltungskonsole, da die
Informationen nicht abgerufen werden können.
Eventuell vorhandene Berechtigungen für Benutzer, die nicht Mitglied von Gruppe1 sind
(Domänen-Benutzer) müssen aus der Sicherheitsfilterung entfernt werden.
Die folgenden Artikel enthalten weitere Informationen zum Thema:
Lösungen für GPO-Probleme nach Update MS 16-072 bzw. KB3163622

QUESTION 5
certbase.de.
Eine Organisationseinheit (OU) mit dem Namen OU1 enthält ein Benutzerkonto mit dem Namen Benutzer1
und einen Computer mit dem Namen Computer1. Eine Organisationseinheit (OU) mit dem Namen OU2
enthält ein Benutzerkonto mit dem Namen Benutzer2 und einen Computer mit dem Namen Computer2.
Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 ist mit der Domäne verknüpft. GPO1 enthält die
folgende Benutzereinstellung
Für die Voreinstellung ist die folgende Zielgruppenadressierung auf Elementebene konfiguriert.
A. Wenn sich Benutzer1 an Computer1 anmeldet, sieht er die Verknüpfung auf seinem Desktop: Ja
Wenn sich Benutzer1 an Computer2 anmeldet, sieht er die Verknüpfung auf seinem Desktop: Ja
B. Wenn sich Benutzer1 an Computer1 anmeldet, sieht er die Verknüpfung auf seinem Desktop: Ja
Wenn sich Benutzer2 an Computer1 anmeldet, sieht er die Verknüpfung auf seinem Desktop: Nein
C. Wenn sich Benutzer1 an Computer1 anmeldet, sieht er die Verknüpfung auf seinem Desktop: Nein
D. Wenn sich Benutzer1 an Computer1 anmeldet, sieht er die Verknüpfung auf seinem Desktop: Nein
E. Wenn sich Benutzer1 an Computer1 anmeldet, sieht er die Verknüpfung auf seinem Desktop: Ja
F. Wenn sich Benutzer1 an Computer1 anmeldet, sieht er die Verknüpfung auf seinem Desktop: Nein
Correct Answer: F
Section: New
Explanation
Die Zielgruppenadressierung auf Elementebene verwendet den Domänennamen
certbase.de. als Computernamen. Damit die Verknüpfung auf Computer1 bzw.
Computer2 erstellt wird, müsste der vollständige Computername in der Form
computer1.certbase.de bzw. computer2.certbase.de angegeben werden.
Platzhalter in der Form *.certbase.de werden von dem Element Computername nicht
unterstützt.
QUESTION 6
Sie müssen sicherstellen, dass Windows-Updates auf allen Clientcomputern im Netzwerk automatisch
heruntergeladen und installiert werden.
Wie gehen Sie vor?
(Im Hilfetext finden Sie zusätzliche Antwortmöglichkeiten.)

DomainPolicy.
Correct Answer: C
Section: New
Explanation
Wir sollen die Windows Update-Einstellungen für alle Computer konfigurieren
(DomainPolicy). Die Einstellungen werden auf Computer angewendet und befinden sich
im Pfad Computerkonfiguration\ Administrative Vorlagen\ Windows-Komponenten\
Windows Update.
QUESTION 7
certbase.de. Die Domäne enthält einen einzelnen Standort mit dem Namen Site1. Alle Computer befinden
sich in Site1.
Die in der Domäne konfigurierten Gruppenrichtlinienobjekte (GPOs) werden in der folgenden Tabelle
gezeigt:
Die relevanten Benutzer- und Computerkonten sind in der folgenden Tabelle gelistet:
Sie untersuchen, was geschieht, wenn Sie die Gruppenrichtlinien-Verknüpfung für A6 deaktivieren.
Welche Gruppenrichtlinienobjekte werden auf Benutzer2 angewendet, wenn sich der Benutzer bei
Computer1 anmeldet, nachdem die Verknüpfung für das GPO A6 deaktiviert wurde?
A. Nur A1 und A5
B. Nur A3, A1 und A5
C. A3, A1, A5 und A4
D. A3, A1, A5 und A7
Correct Answer: C
Section: New
Explanation
Das Konto von User2 befindet sich in der Organisationseinheit OU2. Das GPO A6 ist mit
OU3 verknüpft und wird unabhängig davon, ob es aktiviert oder deaktiviert ist, nicht auf
User2 angewendet.
Grundsätzlich werden Gruppenrichtlinienobjekte in der folgenden Reihenfolge

angewendet: Lokal, Standort, Domäne, Organisationseinheit und untergeordnete
Organisationseinheiten (L-S-D-OU). Daher haben Gruppenrichtlinienobjekte in
untergeordneten Organisationseinheiten Vorrang vor mit übergeordneten
Organisationseinheiten verknüpften Gruppenrichtlinienobjekten. Diese wiederum haben
Vorrang vor mit der Domäne verknüpften Gruppenrichtlinienobjekten, die Vorrang vor mit
dem Standort verknüpften Gruppenrichtlinienobjekten haben.
Durch das Erzwingen eines GPOs oder durch das Deaktivieren der Verberbung für eine
OU kann die Verarbeitungsreihenfolge verändert werden.
QUESTION 8
sich in Site1.
gezeigt:
Sie untersuchen, was geschieht, wenn Sie in A7 den “Loopbackverarbeitungsmodus für

Benutzergruppenrichtlinien” auf Ersetzen festlegen.
Welche(s) Gruppenrichtlinienobjekt(e) wird bzw. werden auf Benutzer2 angewendet, wenn sich der
Benutzer bei Computer1 anmeldet, nachdem die Loopbackverarbeitung konfiguriert wurde?
A. Nur A1 und A7
B. A3, A1, A5, A6 und A7
C. Nur A3, A5, A1 und A7
D. Nur A7
Correct Answer: B
Section: New
Explanation
Computer1 befindet sich in OU4. Durch die Richtlinieneinstellung
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie konfigurieren wird der
Satz von Gruppenrichtlinienobjekten für diesen Computer für jeden Benutzer
angewendet, der sich an einem Computer anmeldet, für den diese Einstellung gilt. Diese
Einstellung ist für Computer mit besonderem Zweck gedacht, z. B. für Computer in der
Öffentlichkeit, in Labors oder Klassenzimmern, wo die Benutzereinstellungen je nach
Computer geändert werden müssen.
Standardmäßig wird durch die Gruppenrichtlinienobjekte des Benutzers festgelegt,

welche Benutzereinstellungen angewendet werden. Wenn Sie diese
Richtlinieneinstellung aktivieren, bestimmen jedoch die Gruppenrichtlinienobjekte des
Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienobjekten
angewendet wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie einen der folgenden Modi
aus dem Feld "Modus" auswählen:
"Ersetzen" gibt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer
festgelegten Benutzereinstellungen die Benutzereinstellungen ersetzen, die
normalerweise auf den Benutzer angewendet werden.
"Zusammenführen" gibt an, dass die in den Gruppenrichtlinienobjekten für diesen

Computer festgelegten Benutzereinstellungen und die normalerweise angewendeten
Benutzereinstellungen kombiniert werden. Falls die Einstellungen in Konflikt stehen,
setzen die Benutzereinstellungen in den Gruppenrichtlinien des Computers die normalen
Einstellungen des Benutzers außer Kraft.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bestimmen die
Gruppenrichtlinienobjekte des Benutzers, welche Benutzereinstellungen angewendet
werden.
GPO-Verarbeitungsreihenfolge, wenn Loopback für A7 nicht aktiviert ist:
Benutzer2 (OU2) = L - A3 - A1 - A5 - A4
Computer1 (OU4) = L - A3 - A1 - A5 - A6 - A7
Wenn die Loopback-Verarbeitung für A7 aktiviert ist, werden die

Benutzerkonfigurationseinstellungen der Gruppenrichtlinienobjekte von Computer1 auf
den Benutzer angewendet, der sich bei Computer1 anmeldet. Egal, wo sich das
Benutzerkonto befindet.
GPO-Verarbeitungsreihenfolge, wenn Loopback für A7 aktiviert ist:
Benutzer2 (OU2) = L - A3 - A1 - A5 -- A6 - A7
Computer1 (OU4) = L - A3 - A1 - A5 - A6 - A7
QUESTION 9
certbase.de. Die Domäne enthält einen Computer mit dem Namen Computer1 und eine
Organisationseinheit (OU) mit dem Namen TestOU. Die OU enthält 10 Computerkonten, von Computern,
die für Testzwecke verwendet werden.
Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 ist mit der Organisationseinheit TestOU
verknüpft.
Sie konfigurieren die lokale Sicherheitsrichtlinie auf Computer1 und ändern das Zuweisen von
Benutzerrechten.
Sie müssen die Zuweisung von Benutzerrechten von Computer1 auf die 10 Testcomputer anwenden.
Wie gehen Sie vor?
A. Führen Sie auf Computer1 den Befehl gpresult.exe in Verbindung mit dem Parameter /x aus.
Verwenden Sie die Gruppenrichtlinienverwaltung und führen Sie den Assistenten zum Wiederherstellen
von Gruppenrichtlinienobjekten aus.
B. Führen Sie auf Computer1 den Befehl secedit.exe in Verbindung mit dem Parameter /export aus.
Bearbeiten Sie GPO1 und importieren Sie eine Sicherheitsvorlage.
C. Führen Sie auf Computer1 den Befehl secedit.exe in Verbindung mit dem Parameter /export aus.
Verwenden Sie die Gruppenrichtlinienverwaltung und führen Sie den Importeinstellungen-Assistenten
aus.
D. Führen Sie auf Computer1 den Befehl gpresult.exe in Verbindung mit dem Parameter /x aus.
Bearbeiten Sie GPO1 und importieren Sie eine Sicherheitsvorlage.
Correct Answer: B
Section: New
Explanation
Erläuterungen:
Mit dem Befehl secedit /export können die Einstellungen der lokalen
Sicherheitsrichtlinie von Computer1 in eine Sicherheitsvorlage (*.inf) exportiert werden.
Die Sicherheitsvorlage kann anschließend über das Kontextmenü des Knotens
Sicherheitseinstellungen in GPO1 importiert werden.
Der Importeinstellungen-Assistent der Gruppenrichtlinienverwaltung importiert
Einstellungen aus einer Sicherung eines Gruppenrichtlinienobjektes.
QUESTION 10
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen cblabs.de. Die Domäne enthält einen
Server mit dem Namen Server1. Auf Server1 ist das Betriebssystem Windows Server 2016 installiert. Das
Computerkonto von Server1 befindet sich in einer Organisationseinheit mit dem Namen OU1.
Sie öffnen die Gruppenrichtlinienverwaltung, wie nachstehend gezeigt:

Ein Administrator berichtet, dass die Einstellungen von GPO1 nicht auf Server1 angewendet werden.
Sie müssen sicherstellen, dass die Einstellungen von GPO1 auf Server1 angewendet werden.
Wie gehen Sie vor?
A. Deaktivieren Sie die Option Vererbung deaktvieren.

B. Aktivieren Sie die Verknüpfung von GPO1.
C. Entfernen Sie die Einträge der Sicherheitsfilterung.
D. Aktivieren Sie die Option Erzwungen für GPO1.
Correct Answer: B
Section: New
Explanation
Erläuterungen:
Die Gruppenrichtlinienobjekt-Verknüpfung für GPO1 mit der Domäne ist nicht aktiviert. Um sicherzustellen,
dass die Einstellungen angewendet werden, müssen wir die Verknüpfung aktivieren.
QUESTION 11
Sie sind als Administrator für das Unternehmen CertBase tätig. Sie stellen einen
Remotedesktopserver mit dem Namen RDP1 bereit. RDP1 verfügt über zwei Volumes
mit den Laufwerksbuchstaben C: und D:.
Sie wollen Benutzern Verbindungen mit RDP1 ermöglichen, um mehrere Anwendungen

zur Verfügung zu stellen.
Sie müssen sicherstellen, dass den Benutzern Volume D: nicht angezeigt wird, wenn sie
sich mit RDP1 verbinden.
Wie gehen Sie vor?
(Wählen Sie zum Beantworten der Frage die entsprechenden Optionen im

Antwortbereich aus.)
A. Typ der zu erstellenden Gruppenrichtlinieneinstellung: Geräte
Für die Gruppenrichtlinieneinstellung zu konfigurierende Aktion: Erstellen
B. Typ der zu erstellenden Gruppenrichtlinieneinstellung: Geräte
Für die Gruppenrichtlinieneinstellung zu konfigurierende Aktion: Löschen
C. Typ der zu erstellenden Gruppenrichtlinieneinstellung: Laufwerkzuordnungen
Für die Gruppenrichtlinieneinstellung zu konfigurierende Aktion: Löschen
D. Typ der zu erstellenden Gruppenrichtlinieneinstellung: Laufwerkzuordnungen
Für die Gruppenrichtlinieneinstellung zu konfigurierende Aktion: Ersetzen
E. Typ der zu erstellenden Gruppenrichtlinieneinstellung: Ordneroptionen
Für die Gruppenrichtlinieneinstellung zu konfigurierende Aktion: Aktualisieren
F. Typ der zu erstellenden Gruppenrichtlinieneinstellung: Ordner
Für die Gruppenrichtlinieneinstellung zu konfigurierende Aktion: Erstellen
Correct Answer: C
Section: New
Explanation
Die folgende Voreinstellung für Laufwerkzuordnungen löscht die Zuordnung von Volume
D: bei Anmeldung des Benutzers:
QUESTION 12
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen cblabs.de. Die
Konfiguration der relevanten Objekte der Domäne wird nachstehend gezeigt:
Das Konto von Benutzer1 befindet sich in OU1. GPO1 ist mit OU1 verknüpft.
Die relevanten Einstellungen von GPO1 werden in der folgenden Abbildung gezeigt:
Auf dem Desktop von Benutzer1 sind derzeit keine Verknüpfungen vorhanden.
Wie viele Verknüpfungen werden auf dem Desktop angezeigt, nachdem sich Benutzer1
an Computer1 angemeldet hat?
A. 1
B. 2
C. 3
D. 4
Correct Answer: C
Section: New
Explanation
Das Gruppenrichtlinienobjekt enthält insgesamt vier Voreinstellungen für Verknüpfungen
auf dem Desktop. Drei der Verknüpfungen verweisen auf das Volume C:. Für die vierte
Verknüpfung ist kein Ziel angegeben.
Die erste Verknüpfung ist vom Typ Erstellen. Die Aktion Erstellen erstellt eine
Verknüpfung mit dem angegebenen Namen, sofern noch keine vorhanden ist. Ist bereits
eine Verknüpfung mit dem angegebenen Namen vorhanden, läuft die Aktion ins Leere.
Die zweite Verknüpfung ist vom Typ Ersetzen. Die Aktion Ersetzen löscht eine
vorhandene Verknüpfung mit dem angegebenen Namen und erstellt sie anschließend
neu. Ist keine Verknüpfung mit dem angegebenen Namen vorhanden, wird sie neu
erstellt.
Die dritte Verknüpfung ist vom Typ Aktualisieren. Da keine Verknüpfung mit dem
Namen Verknüpfung3 besteht, wird eine neue Verknüpfung mit dem angegebenen
Namen erstellt.
Die vierte Verknüpfung ist vom Typ Löschen, wirkt sich jedoch nicht auf die
vorhandenen Verknüpfungen aus.

Configure a Shortcut Item
QUESTION 13
Hinweis: Diese Aufgabe gehört zu einer Reihe von Fragestellungen, die dasselbe
Szenario verwenden. Das Szenario wird bei jeder Aufgabe wiederholt. Jede Frage zu
diesem Szenario verfolgt ein anderes Ziel und bietet eigene Antwortmöglichkeiten.
Namen certbase.de. Die Domäne enthält einen einzelnen Standort mit dem Namen
Site1. Alle Computer befinden sich in Site1.
Die in der Domäne konfigurierten Gruppenrichtlinienobjekte (GPOs) werden in der

folgenden Tabelle gezeigt:
Sie untersuchen was geschieht, wenn Sie in A4 den “Loopbackverarbeitungsmodus für

Benutzergruppenrichtlinien” auf Ersetzen festlegen.
Welche(s) Gruppenrichtlinienobjekt(e) wird bzw. werden auf Benutzer2 angewendet,

wenn sich der Benutzer bei Computer1 anmeldet, nachdem die Loopbackverarbeitung
konfiguriert wurde?
A. A1, A5, A6, und A4

B. A3, A1, A4, und A7
D. Nur A4
Correct Answer: C
Section: New
Explanation
Computer1 befindet sich in OU4. Das Gruppenrichtlinienobjekt A4 ist mit OU2 verknüpft
und wird nicht auf Computer1 angewendet. Das Aktivieren des
Loopbackverarbeitungsmodus in A4 hat daher keine Auswirkungen auf die
Verarbeitungsreihenfolge der GPOs bei der Anmeldung von Benutzer2 an Computer1.
QUESTION 14
Szenario verwenden. Jede Aufgabe dieser Reihe bietet einen anderen Lösungsweg. Sie
Die Benutzerkonten aller Mitarbeiter der Vertriebsabteilung befinden sich in einer

Organisationseinheit (OU) mit dem Namen OUVertrieb.
Den Benutzern der Vertriebsabteilung ist mithilfe eines Gruppenrichtlinienobjekts (GPOs)

namens GPOVertrieb eine Anwendung mit dem Namen App1 zugewiesen.
Sie müssen für die Mitarbeiter der Vertriebsabteilung den Registrierungsschlüssel

\HKEY_CURRENT_USER\ Software\ App1\ Collaboration mit dem Wert 0 festlegen.
Lösung: Sie erstellen eine Gruppenrichtlinienvoreinstellung für Benutzer, die die Aktion
Aktualisieren verwendet.

A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Wir können eine Gruppenrichtlinienvoreinstellung vom Typ Registrierung verwenden,
um den Wert des Registrierungsschlüssels zu aktualisieren.
Die Aktion Aktualisieren ändert die Einstellungen eines vorhandenen

Registrierungswerts oder Schlüssels für Computer oder Benutzer. Diese Aktion
unterscheidet sich von Ersetzen darin, dass nur die Einstellungen aktualisiert werden,
die im Einstellungselement definiert sind. Alle anderen Einstellungen bleiben so, wie sie
im Registrierungswert oder -schlüssel konfiguriert sind. Wenn der Registrierungswert
oder Schlüssel nicht vorhanden ist, erstellt die Update-Aktion einen neuen
Registrierungswert oder Schlüssel.
QUESTION 15



Lösung: Sie erstellen eine Gruppenrichtlinienvoreinstellung für Benutzer, die die Aktion
Ersetzen verwendet.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Die Aktion Ersetzen löscht und erstellt einen Registrierungswert oder Schlüssel für
Computer oder Benutzer neu. Wenn das Ziel ein Registrierungswert ist, besteht das
Nettoergebnis der Aktion Ersetzen darin, alle vorhandenen Einstellungen zu
überschreiben, die dem Registrierungswert zugeordnet sind. Wenn das Ziel ein
Registrierungsschlüssel ist, besteht das Nettoergebnis darin, alle Werte und
Unterschlüssel im Schlüssel zu löschen, so dass nur ein Standardwertname ohne Daten
übrig bleibt. Wenn der Registrierungswert oder Schlüssel nicht vorhanden ist, erstellt die
Aktualiiseren-Aktion einen neuen Registrierungswert oder -schlüssel.
QUESTION 16



Lösung: Sie erstellen eine Gruppenrichtlinienvoreinstellung für Computer, die die Aktion
Erstellen verwendet.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Das Gruppenrichtlinienobjekt GPOVertrieb ist mit der Organisationseinheit OUVertrieb
verknüpft. Die OU enthält Benutzerkonten. Wir müssen daher eine Voreinstellung für
Benutzer anstelle einer Voreinstellung für Computer verwenden.
Die Aktion Erstellen erstellt einen neuen Registrierungswert oder Schlüssel für
Computer oder Benutzer. Wenn das Element bereits existiert, wird nichts unternommen.
Eine Voreinstellung mit der Aktion Erstellen stellt keine gültige Lösung dar.
QUESTION 17



Lösung: Sie erstellen eine Gruppenrichtlinienvoreinstellung für Computer, die die Aktion
Ersetzen verwendet.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Das Gruppenrichtlinienobjekt GPOVertrieb ist mit der Organisationseinheit OUVertrieb
verknüpft. Die OU enthält Benutzerkonten. Wir müssen daher eine Voreinstellung für
Benutzer anstelle einer Voreinstellung für Computer verwenden.
Die Aktion Ersetzen löscht und erstellt einen Registrierungswert oder Schlüssel für
Computer oder Benutzer neu. Wenn das Ziel ein Registrierungswert ist, besteht das
Nettoergebnis der Aktion Ersetzen darin, alle vorhandenen Einstellungen zu
überschreiben, die dem Registrierungswert zugeordnet sind. Wenn das Ziel ein
Registrierungsschlüssel ist, besteht das Nettoergebnis darin, alle Werte und
Unterschlüssel im Schlüssel zu löschen, so dass nur ein Standardwertname ohne Daten
übrig bleibt. Wenn der Registrierungswert oder Schlüssel nicht vorhanden ist, erstellt die
Aktualiiseren-Aktion einen neuen Registrierungswert oder -schlüssel.
QUESTION 18
Ihr Netzwerk enthält eine Active Directory-Domänendienste (AD DS) Domäne mit dem
Namen certbase.de.Die Domäne enthält einen Benutzer mit dem Namen Benutzer1,
eine Gruppe mit dem Namen Gruppe1 und eine Organisationseinheit mit dem Namen
OU1.
Sie müssen Benutzer1 die erforderlichen Berechtigungen erteilen, um

Gruppenrichtlinienobjekte (GPOs) mit OU1 zu verknüpfen.
Lösung: Sie verwenden das Active Directory-Verwaltungscenter, nehmen Benutzer1 in

Gruppe1 auf und erteilen Gruppe1 die Berechtigung Vollzugriff für OU1.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Die Vergabe der Berechtigung Vollzugriff an Gruppe1 übersteigt das Maß der
erforderlichen Berechtigungen deutlich, ermöglicht Benutzer1 aber das Verknüpfen von
Gruppenrichtlinienobjekten mit OU1 und stellt eine gültige Lösung für die Aufgabe dar.
QUESTION 19
Ihr Netzwerk umfasst einen Server mit dem Namen Server1. Server1 ist Mitglied einer
Arbeitsgruppe.
Sie müssen auf Server1 eine Gruppenrichtlinieneinstellung konfigurieren, die nur auf
Benutzer ohne Administratorrechte angewendet wird.
Wie gehen Sie vor?
A. Öffnen Sie den Editor für lokale Gruppenrichtlinien. Wählen Sie im Menü Datei den
Eintrag Optionen und ändern Sie die Einstellungen.
B. Führen Sie mmc.exe aus, fügen Sie das Snap-In Gruppenrichtlinienobjekt-Editor
hinzu und ändern Sie das Gruppenrichtlinienobjekt (GPO).
C. Öffnen Sie den Editor für lokale Gruppenrichtlinien. Wählen Sie im Menü Ansicht den
Eintrag Anpassen und ändern Sie die Einstellungen.
D. Öffnen Sie „Lokale Benutzer und Gruppen“, erstellen Sie eine neue Gruppe und
führen Sie das Cmdlet New-GPO aus.
Correct Answer: B
Section: New
Explanation
Beim Hinzufügen des Snap-Ins Gruppenrichtlinienobjekt-Editor kann das zu
bearbeitende GPO ausgewählt werden:
Auf dem Register Benutzer kann die Benutzerkonfiguration für Nicht-Administratoren zur
Bearbeitung ausgewählt werden
QUESTION 20
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de. Die
Benutzer haben keine administrativen Rechte für ihre Clientcomputer.
Sie ändern in einem Gruppenrichtlinienobjekt (GPO) eine Computereinstellung.
Sie müssen sicherstellen, dass die Einstellung so bald wie möglich auf fünf
Clientcomputer angewendet wird.
Wie gehen Sie vor?
A. Führen Sie auf einem Domänencontroller den Befehl gpupdate.exe aus und geben
Sie den Parameter /force an.
B. Führen Sie auf jedem Clientcomputer den Befehl gpresult.exe aus und geben Sie
den Parameter /r an.
C. Führen Sie auf jedem Clientcomputer das Cmdlet Get-Gpo aus und geben Sie den
Parameter -All an.
D. Führen Sie auf einem Domänencontroller den Befehl Invoke-GpUpdate aus.
Correct Answer: D
Section: New
Explanation
Das Invoke-GPUpdate Cmdlet aktualisiert Gruppenrichtlinieneinstellungen, einschließlich
Sicherheitseinstellungen, die auf Remotecomputern festgelegt sind, indem die
Ausführung des Befehls Gpupdate auf einem Remotecomputer geplant wird. Sie können
dieses Cmdlet im Skriptmodus kombinieren, um den Befehl Gpupdate für eine Gruppe
von Computern zu planen.
Die Aktualisierung kann so geplant werden, dass sofort eine Aktualisierung der
Richtlinieneinstellungen gestartet wird oder dass sie für einen bestimmten Zeitraum
(maximal 31 Tage) wartet. Um das Netzwerk nicht zu belasten, werden die
Aktualisierungszeiten durch eine zufällige Verzögerung ausgeglichen.
Der folgende Befehl aktualisiert die Gruppenrichtlinien für Computer1:
Invoke-GPUpdate -Computer Computer1 -Target Computer

QUESTION 21
Ihr Netzwerk enthält eine Active Directory-Domäne mit dem Namen certbase.de.
Sie müssen einen zentralen Speicher für administrative Gruppenrichtlinien-Vorlagen

erstellen.
Was verwenden Sie?
A. Dcgpofix.exe
B. Copy-Item
C. Copy-GPO
D. Gruppenrichtlinienverwaltungskonsole (GPMC)
Correct Answer: B
Section: New
Explanation
Beim zentralen Speicher handelt es sich um einen Dateispeicherort, der von den
Gruppenrichtlinientools überprüft und verwendet wird. Die Gruppenrichtlinientools
verwenden alle ADMX-Dateien, die sich im zentralen Speicher befinden. Die Dateien im
zentralen Speicher werden an alle Domänencontroller in der Domäne repliziert.
Um einen zentralen Speicher für ADMX- und ADML-Dateien zu erstellen, erstellen Sie
am folgenden Speicherort (Beispiel) auf dem Domänencontroller einen Ordner mit dem
Namen „PolicyDefinitions“:
\\contoso.com\SYSVOL\contoso.com\policiesKopieren Sie alle Dateien aus dem Ordner
„PolicyDefinitions“ auf einem Quellcomputer in den Ordner „PolicyDefinitions“ auf dem
Domänencontroller. Folgende Quellspeicherorte sind möglich:
Der Ordner „C:\Windows“ auf einem Windows 8.1- oder Windows 10-basierten
Clientcomputer
Der Ordner „C:\Program Files (x86)\Microsoft Group Policy\client“, wenn Sie separat
administrative Vorlagen heruntergeladen haben
Im Ordner „PolicyDefinitions“ auf dem Windows-Domänencontroller werden alle ADMX-
und ADML-Dateien für alle auf dem Clientcomputer aktivierten Sprachen gespeichert.
Die ADML-Dateien werden in einem sprachspezifischen Ordner gespeichert.

Beispielsweise werden ADML-Dateien in Englisch (Vereinigte Staaten) in einem Ordner
mit dem Namen „en-US“ gespeichert, koreanische ADML-Dateien werden im Ordner
„ko_KR“ gespeichert usw.
Wenn ADML-Dateien für zusätzliche Sprachen benötigt werden, müssen Sie den
Ordner, der die ADML-Dateien für die jeweilige Sprache enthält, in den zentralen
Speicher kopieren. Wenn Sie alle ADMX- und ADML-Dateien kopiert haben, sollte der
Ordner „PolicyDefinitions“ auf dem Domänencontroller die ADMX-Dateien sowie einen
oder mehrere Ordner mit sprachspezifischen ADML-Dateien enthalten.
QUESTION 22
Namen certbase.de. Auf allen Clientcomputern ist das Betriebssystem Windows 10
installiert.
Das Active Directory enthält 3 Organisationseinheiten (OUs) mit den Namen OU1, OU2
und OU3 auf oberster Ebene. OU1 enthält Benutzerkonten. OU2 enthält die
Computerkonten mehrerer Computer, die öffentlich zugänglich sind und von Beuschern
genutzt werden. OU3 enthält die Konten der Laptops der Mitarbeiter.
Sie erstellen zwei Gruppenrichtlinienobjekte (GPOs) mit den Namen GPO1 und GPO2.
Sie verknüpfen GPO1 mit OU1 und GPO2 mit OU2.
Sie müssen verhindern, dass die Benutzereinstellungen aus GPO1 angewendet werden,
wenn sich ein Benutzer an einem der öffentlich zugänglichen Computer anmeldet. Wenn
sich ein Benutzer an einem der Laptops anmeldet, sollen die Benutzereinstellungen aus
GPO1 angewendet werden.

A. Deaktivieren der Vererbung
B. Sicherheitsfilterung
C. Loopbackverarbeitung
D. Erzwingen der GPO-Verknüpfung
Correct Answer: C
Section: New
Explanation
Wir müssen den Loopbackverarbeitungsmodus in GPO2 aktivieren.
Durch die Richtlinieneinstellung Loopbackverarbeitungsmodus für

Benutzergruppenrichtlinie konfigurieren wird der Satz von Gruppenrichtlinienobjekten
für diesen Computer für jeden Benutzer angewendet, der sich an einem Computer
anmeldet, für den diese Einstellung gilt. Diese Einstellung ist für Computer mit
besonderem Zweck gedacht, z. B. für Computer in der Öffentlichkeit, in Labors oder
Klassenzimmern, wo die Benutzereinstellungen je nach Computer geändert werden
müssen.
Standardmäßig wird durch die Gruppenrichtlinienobjekte des Benutzers festgelegt,

welche Benutzereinstellungen angewendet werden. Wenn Sie diese
Richtlinieneinstellung aktivieren, bestimmen jedoch die Gruppenrichtlinienobjekte des
Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienobjekten
angewendet wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie einen der folgenden Modi
aus dem Feld "Modus" auswählen:
"Ersetzen" gibt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer
festgelegten Benutzereinstellungen die Benutzereinstellungen ersetzen, die
normalerweise auf den Benutzer angewendet werden.
"Zusammenführen" gibt an, dass die in den Gruppenrichtlinienobjekten für diesen

Computer festgelegten Benutzereinstellungen und die normalerweise angewendeten
Benutzereinstellungen kombiniert werden. Falls die Einstellungen in Konflikt stehen,
setzen die Benutzereinstellungen in den Gruppenrichtlinien des Computers die normalen
Einstellungen des Benutzers außer Kraft.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bestimmen die
Gruppenrichtlinienobjekte des Benutzers, welche Benutzereinstellungen angewendet
werden.
Die Abbildung zeigt den Pfad zur Einstellung:

QUESTION 23
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit drei Domänen. Die
Namen der Domänen lauten faberg.de, vertrieb.faberg.de und certbase.de.
Sie haben kürzlich einen Standort mit dem Namen Europa erstellt.
Die Gesamtstruktur enthält vier Benutzer. Die Domänenzugehörigkeit und die

Gruppenmitgliedschaften der vier Benutzer werden in der folgenden Tabelle gezeigt:
Sie müssen ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 erstellen und es
mit dem Standort Europa verknüpfen.
Welche(r) Benutzer können die geplanten Aufgaben durchführen?
A. Benutzer, die GPO1 erstellen können: Nur Benutzer1

Benutzer, die GPO1 mit Europa verknüpfen können: Nur Benutzer4
B. Benutzer, die GPO1 erstellen können: Nur Benutzer2
C. Benutzer, die GPO1 erstellen können: Nur Benutzer4
D. Benutzer, die GPO1 erstellen können: Nur Benutzer1 und Benutzer4
Benutzer, die GPO1 mit Europa verknüpfen können: Nur Benutzer1 und Benutzer4
E. Benutzer, die GPO1 erstellen können: Benutzer1, Benutzer2, Benutzer3 und
Benutzer4
Benutzer, die GPO1 mit Europa verknüpfen können: Nur Benutzer1 und Benutzer2
F. Benutzer, die GPO1 erstellen können: Benutzer1, Benutzer2, Benutzer3 und
Benutzer4
Benutzer, die GPO1 mit Europa verknüpfen können: Benutzer1, Benutzer2,
Benutzer3 und Benutzer4
Correct Answer: E
Section: New
Explanation
Gruppenrichtlinienobjekte werden pro Domäne gespeichert. Sie können jedoch auch
einen Standort, eine Domäne oder eine Organisationseinheit mit einem
Gruppenrichtlinienobjekt in einer anderen vertrauenswürdigen Domäne verknüpfen. Dies
wird jedoch nicht empfohlen, da dies die Leistung beeinträchtigen kann.
Neben den Administratoren einer Domäne haben standardmäßig die Mitglieder der
Gruppe Richtlinien-Ersteller-Besitzer das Recht, Gruppenrichtlinien zu erstellen. Jeder
der 4 Administratoren kann GPO1 (in seiner Domäne) erstellen.
Um ein vorhandenes Gruppenrichtlinienobjekt mit einem Standort, einer Domäne oder
einer Organisationseinheit zu verknüpfen, benötigen Sie die Berechtigung
Gruppenrichtlinienobjekte verknüpfen für diesen Standort, diese Domäne oder diese
Organisationseinheit. Standardmäßig haben nur Domänen- und Unternehmens-
Administratoren diese Berechtigung für Domänen und Organisationseinheiten.
Organisations-Admins können alle bestehenden GPOs mit allen bestehenden

Standorten verknüpfen.
Domänen-Admins der übergeordneten Stammdomäne faberg.de können neue Standorte

erstellen und GPOs mit Standorten verküpfen.
Die Domänen-Admins der untergeordneten Domäne vertrieb.faberg.de können keine

neuen Standorte erstellen und auch keine GPOs mit bestehenden Standorten
verknüpfen.
Linking GPOs to Active Directory Containers
QUESTION 24
certbase.de. Die Domäne enthält 1000 Desktopcomputer und 500 Laptops. Die Computerkonten der
Desktopcomputer und der Laptops befinden sich gemeinsam in einer Organisationseinheit (OU) mit dem
Namen OU1.
Sie erstellen ein PowerShell Skript mit dem Namen Skript1.ps1. Das Skript entfernt temporäre Dateien
und Cookies.
Sie müssen das Skript einmal wöchentlich auf den Laptops ausführen. Auf den Desktopcomputern darf das
Skript nicht ausgeführt werden.
Wie gehen Sie vor?
A. Erstellen Sie in GPO1 ein Einstellungselement für Dateien und konfigurieren Sie die
Zielgruppenadressierung auf Elementebene.
B. Erstellen Sie in GPO1 ein Einstellungselement für geplante Aufgaben und konfigurieren Sie die
C. Konfigurieren Sie in GPO1 die Sicherheitseinstellungen für das Dateisystem und verknüpfen Sie einen
WMI-Filter mit GPO1.
D. Fügen Sie GPO1 Skript1.ps1 als Startskript hinzu und verknüpfen Sie einen WMI-Filter mit GPO1.
Correct Answer: B
Section: 3.4 Gruppenrichtlinienpräferenzen
Explanation
Erläuterungen:
Mithilfe der Zielgruppenadressierung auf Elementebene können Sie den Bereich einzelner
Einstellungselemente ändern, sodass diese nur für ausgewählte Benutzer oder Computer gelten. Sie
können in einem einzigen Gruppenrichtlinienobjekt (Group Policy Object, GPO) mehrere
Einstellungselemente einschließen, die jeweils für ausgewählte Benutzer oder Computer angepasst sind
und so abgestimmt sind, dass die Einstellungen nur auf die relevanten Benutzer oder Computer
angewendet werden.
Aus jedem Zielelement ergibt sich der Wert Wahr oder Falsch. Sie können mehrere Zielelemente auf ein
Einstellungselement anwenden und die logische Operation (UND oder ODER) auswählen, mit der die
einzelnen Zielelemente mit dem jeweils vorhergehenden kombiniert werden sollen. Wenn der kombinierte
Wert aller Zielelemente für ein Einstellungselement falsch ist, werden die Einstellungen im
Einstellungselement nicht auf den Benutzer oder Computer angewendet. Mithilfe von Zielauflistungen
können Sie auch Klammerausdrücke erstellen.
QUESTION 25
Server1 aufnehmen.
Lösung: Sie konfigurieren die Voreinstellung Lokale Benutzer und Gruppen im Abschnitt
Computerkonfiguration von GPO1.

A. Ja
B. Nein
Correct Answer: A
Explanation
Erläuterungen:
Mit Einstellungselementen für lokale Gruppen können Sie lokale Gruppen zentral erstellen, löschen und
umbenennen. Außerdem können Sie mit diesen Einstellungselementen lokale Gruppenmitgliedschaften
ändern.
So erstellen Sie ein neues Einstellungselement für lokale Gruppen
1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das
Gruppenrichtlinienobjekt (GPO), das das neue bevorzugte Element enthält, und klicken Sie auf
Bearbeiten.
2. Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration oder Benutzerkonfiguration den
Ordner Einstellungen und anschließend den Ordner für die Einstellungen der Systemsteuerung.
3. Klicken Sie mit der rechten Maustaste auf den Knoten Lokale Benutzer und Gruppen, zeigen Sie auf
Neu, und wählen Sie dann Lokale Gruppe aus.
4. Wählen Sie im Dialogfeld Eigenschaften von Neue lokale Gruppe eine Aktion aus, die von der
Gruppenrichtlinie ausgeführt werden soll. (Weitere Informationen finden Sie unter "Aktionen" in diesem
Thema.)
5. Geben Sie die lokalen Gruppeneinstellungen ein, die von der Gruppenrichtlinie konfiguriert oder entfernt
werden sollen. (Weitere Informationen finden Sie unter "Lokale Gruppeneinstellungen" in diesem
Thema.)
6. Klicken Sie auf die Registerkarte Allgemein, konfigurieren Sie die gewünschten Optionen, und geben
Sie dann Ihre Kommentare im Feld Beschreibung ein.
7. Klicken Sie auf OK. Das neue bevorzugte Element wird im Detailbereich angezeigt.
QUESTION 26
Server1 aufnehmen.
Lösung: Sie führen auf einem Domänencontroller das Cmdlet Set-ADComputer aus.
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:
Mithilfe des Cmdlets Set-ADComputer können die Eigenschaften eines Domänencomputerkontos

geändert werden. Gruppenmitgliedschaften können mit dem Cmdlet nicht geändert werden.
Eine gültige Lösung wäre das Erstellen eines Voreinstellungselementes für lokale Gruppen.
ändern.
Bearbeiten.
Thema.)
Thema.)
QUESTION 27
Server1 aufnehmen.
Lösung: Sie konfigurieren die Kontorichtlinien im Abschnitt Computerkonfiguration von GPO1.
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:
Die Kontorichtlinien enthalten Werte für die Einstellungen der Kennwortrichtlinie, der
Kontosperrungsrichtlinie und der Kerberos-Richtlinie. Gruppenmitgliedschaften können mit den
Kontorichtlinien nicht geändert werden.
Eine gültige Lösung wäre das Erstellen eines Voreinstellungselementes für lokale Gruppen.
ändern.
Bearbeiten.
Thema.)
Thema.)
QUESTION 28
Ihr Netzwerk umfasst eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen cblabs.de.
Sie öffnen die Gruppenrichtlinienverwaltung. Die Verwaltungskonsole wird nachstehend gezeigt:
Sie stellen fest, dass einige der Einstellungen des Gruppenrichtlinienobjekts (GPOs) A1 nicht auf die
Benutzer innerhalb der Organisationseinheit (OU) OU1 angewendet werden.
Sie müssen sicherstellen, dass alle Einstellungen des GPOs A1 auf die Benutzer, deren Konten sich in
OU1 befinden, angewendet werden.
Wie gehen Sie vor?
A. Aktivieren Sie den Loopback-Verarbeitungsmodus für das GPO A1.

B. Deaktivieren Sie die Vererbung für OU1.
C. Ändern Sie die Reihenfolge der Richtlinienverarbeitung für OU1.
D. Ändern Sie den Objektstatus des GPOs A1.
Correct Answer: C
Section: 3.2 Verarbeitung von GPOs
Explanation
Erläuterungen:
Es sind zwei Gruppenrichtlinienobjekte mit OU1 verknüpft und beide Verknüpfungen sind aktiviert. Um
sicherzustellen, dass die Einstellungen des GPOs A1 nicht durch Einstellungen des GPOs A2
überschrieben werden, können wir entweder das GPO A1 erzwingen oder die Verarbeitungsreihenfolge der
Gruppenrichtlinienobjekte konfigurieren.
Wenn mehrere Gruppenrichtlinienobjekte mit einer OU verknüpft sind, wird die Verarbeitungsreihenfolge
durch die Verknüpfungsreihenfolge bestimmt. GPOs mit einer niedrigeren Verknüpfungsreihenfolge haben
eine höhere Prioriät als GPOs mit einer höheren Rangfolge. Die Abarbeitung der GPOs verläuft daher in
umgekehrter Reihenfolge der Verknüpfugseihenfolge.
QUESTION 29
certbase.de. Die Domäne enthält eine Organisationseinheit (OU) mit dem Namen OU1. Die OU enthält die
Computerkonten zweier Server und das Benutzerkonto eines Benutzers mit dem Namen Mark.
Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 ist mit OU1 verknüpft.
Sie haben eine Anwendung mit dem Namen App1. Die Anwendung wird durch eine Installationsdatei mit
dem Namen App1.exe installiert.
Sie müssen App1 mithilfe eines Gruppenrichtlinienobjekts für OU1 veröffentlichen.
Wie gehen Sie vor?
A. Erstellen Sie eine Config.zap-Datei und fügen Sie die Datei dem Knoten Dateisystem im Abschnitt
Computerkonfiguration von GPO1 hinzu.
B. Erstellen Sie eine Config.xml-Datei und fügen Sie dem Abschnitt Benutzerkonfiguration von GPO1
ein Softwareinstallationspaket hinzu.
C. Erstellen Sie eine Config.zap-Datei und fügen Sie dem Abschnitt Benutzerkonfiguration von GPO1
D. Erstellen Sie eine Config.xml-Datei und fügen Sie dem Abschnitt Computerkonfiguration von GPO1
Correct Answer: C
Section: 3.3 GPO-Einstellungen
Explanation
Erläuterungen:
Die Softwareverteilung über Gruppenrichtlinien ist seit Windows 2000 Server möglich. Softwarepakete
können veröffentlicht oder Benutzern und Computern zugewiesen werden. Wird ein Softwarepaket
zugewiesen, wird es zwangsweise installiert. Wird ein Softwarepaket veröffentlicht, kann der Benutzer die
Installation bei Bedarf eigenmächtig starten.
Neben MSI-Paketen können auch herkömmliche EXE-Dateien über die gruppenrichtlinienbasierte

Softwareverteilung veröffentlicht werden. Zu diesem Zweck können sogenannte ZAP-Dateien (Zero
Administartion Package, ZAP) erstellt werden. Eine ZAP-Datei ist eine Textdatei, die beschreibt, welche
EXE-Datei verteilt und und welche Installationszeile ausgeführt werden soll.
QUESTION 30
certbase.de. Die Domäne enthält ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1.
Sie konfigurieren das Voreinstellungselement Interneteinstellungen, wie in der folgenden Abbildung gezeigt:
Ein Benutzer berichtet, dass die Startseite seines Internet Explorers nicht mit http://www.certbase.de
festgelegt ist.
Sie vergewissern sich, dass die übrigen Einstellungen von GPO1 korrekt angewendet werden.
Sie müssen GPO1 so konfigurieren, dass die Startseite in Internet Explorer festgelegt wird.
Wie gehen Sie vor?
A. Bearbeiten Sie das Voreinstellungselement und drücken Sie F5.

B. Ändern Sie die Sicherheitseinstellungen von GPO1.
C. Ändern Sie die WMI-Filterung für GPO1.
D. Bearbeiten Sie das Voreinstellungselement so, dass die Zielgruppenadressierung auf Elementebene
verwendet wird.
Correct Answer: A
Explanation
Erläuterungen:
Die rot gestrichelte Linie unterhalb des Abschnitts Startseite signalisiert, dass die Einstellung nicht aktiviert
ist und in der Folge auch nicht angewendet wird. Um den Status des Abschnitts zu ändern, drücken Sie die
Taste F5. Ist die Einstellung aktiviert, wird dies durch eine grüne Linie angezeigt:
QUESTION 31
certbase.de. Die Domäne enthält einen einzelnen Standort mit dem Namen Site1. Alle Computer beifnden
sich in Site1.
gezeigt:
Welche fünf GPOs werden in Reihenfolge auf Benutzer1 angewendet, wenn sich Benutzer1 an Computer1
anmeldet?
(Die Auswahlmöglichkeiten werden in der Abbildung gezeigt. Klicken Sie auf die Schaltfläche Zeichnung
und ordnen Sie die relevanten GPOs in der richtigen Reihenfolge an.)
Select and Place:

Correct Answer:
Section: 3.1 GPOs

Explanation
Erläuterungen:
Das Konto von Benutzer1 befindet sich in der Organisationseinheit OU1. Im Allgemeinen werden
Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet: Lokal, Standort, Domäne,
Organisationseinheit und untergeordnete Organisationseinheiten (L-S-D-OU). Daher haben
Gruppenrichtlinienobjekte in untergeordneten Organisationseinheiten Vorrang vor mit übergeordneten
Organisationseinheiten verknüpften Gruppenrichtlinienobjekten. Diese wiederum haben Vorrang vor mit der
Domäne verknüpften Gruppenrichtlinienobjekten, die Vorrang vor mit dem Standort verknüpften
Gruppenrichtlinienobjekten haben.
Stellen Sie sich einfach vor, dass Gruppenrichtlinienobjekte durch Gruppenrichtlinien "von oben nach
unten" angewendet werden, wobei die Einstellungen jeweils überschrieben werden. In anspruchsvolleren
Szenarios können Sie die Rangfolge jedoch druch Deaktivieren der Vererbung oder der Erzwingung
einzelner GPOs außer Kraft setzen.
QUESTION 32
certbase.de. Die Domäne enthält einen einzelnen Standort mit dem Namen Site1. Alle Computer beifnden
sich in Site1.
gezeigt:
Sie müssen identifizieren, was geschieht, wenn Sie die für OU4 die Option Vererbung deaktivieren
aktivieren.
Welches GPO bzw. welche GPOs werden auf Benutzer1 angewendet, wenn sich Benutzer1 an Computer1
anmeldet, nachdem das Blockieren der Vererbung konfiguriert ist?
A. A1, A5 und A6
B. A3, A1, A5 und A7
C. A3 und A7
D. A7
Correct Answer: D
Section: 3.1 GPOs
Explanation
Erläuterungen:
Sie können die Vererbung für eine Domäne oder Organisationseinheit blockieren. Durch das Blockieren der
Vererbung wird verhindert, dass Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), die mit
übergeordneten Standorten, Domänen oder Organisationseinheiten verknüpft sind, automatisch an die
untergeordnete Ebene vererbt werden.
So blockieren Sie die Vererbung
1. Doppelklicken Sie in der Konsolenstruktur der Gruppenrichtlinien-Verwaltungskonsole (Group Policy

Management Console, GPMC) auf die Gesamtstruktur mit der Domäne oder Organisationseinheit, für
die Sie die Vererbung von Gruppenrichtlinienobjekt-Verknüpfungen blockieren möchten, und führen Sie
eine der folgenden Aktionen aus:
Zum Blockieren der Vererbung von Gruppenrichtlinienobjekt-Verknüpfungen für eine gesamte Domäne
doppelklicken Sie auf Domänen, und klicken Sie dann mit der rechten Maustaste auf die Domäne.
Zum Blockieren der Vererbung für eine Organisationseinheit doppelklicken Sie auf Domänen,
doppelklicken Sie auf die Domäne mit der entsprechenden Organisationseinheit, und klicken Sie dann
mit der rechten Maustaste auf die Organisationseinheit.
2. Klicken Sie auf Vererbung deaktivieren.
Der folgende Technet Blog-Artikel enthält umfangreiche Informationen zur Verarbeitung von GPOs:
Understanding Which GPOs to Apply
QUESTION 33
sich in Site1.
gezeigt:
Sie müssen identifizieren, was geschieht, wenn Sie die Gruppenrichtlinienobjekt-Verknüpfung für A6
deaktivieren.
Welches GPO bzw. welche GPOs werden auf Benutzer1 angewendet, wenn sich Benutzer1 an Computer1
anmeldet, nachdem die Verknüpfung für A6 deaktiviert ist?
A. A1 und A5
B. A3, A1, und A5
D. A3, A1, A5 und A7
Correct Answer: D
Section: 3.1 GPOs
Explanation
Erläuterungen:
Wenn die Gruppenrichtlinienobjekt-Verknüpfung deaktiviert wird, bleibt die Verknüpfung weiterhin

bestehen, die Einstellungen des Gruppenrichtlinienobjekts werden jedoch nicht mehr angewendet.
So deaktivieren Sie eine Gruppenrichtlinienobjekt-Verknüpfung
Erweitern Sie in der Konsolenstruktur der Gruppenrichtlinien-Verwaltungskonsole (Group Policy

Management Console, GPMC) die Gesamtstruktur mit der Domäne, dem Standort oder der
Organisationseinheit, für die bzw. den Sie die Verknüpfung deaktivieren möchten, und führen Sie eine der
folgenden Aktionen aus:
Klicken Sie mit der rechten Maustaste auf die Gruppenrichtlinienobjekt-Verknüpfung. Durch ein
Häkchen neben Verknüpfung aktiviert wird angezeigt, dass die Verknüpfung aktiviert ist.
Klicken Sie auf Verknüpfung aktiviert, um die Verknüpfung zu deaktivieren. Es wird kein Häkchen
angezeigt, wenn die Verknüpfung deaktiviert ist.
In der Verwaltungskonsole wird der „Verknüpfungspfeil“ abgeblendet:
QUESTION 34
sich in Site1.
gezeigt:
Sie müssen identifizieren, was geschieht, wenn Sie die Gruppenrichtlinienobjekt-Verknüpfung für A6
erzwingen.
Welche fünf GPOs werden in Reihenfolge auf Benutzer1 angewendet, wenn sich Benutzer1 an Computer1
anmeldet, nachdem die Verknüpfung erzwungen ist?
(Die Auswahlmöglichkeiten werden in der Abbildung gezeigt. Klicken Sie auf die Schaltfläche Zeichnung
und ordnen Sie die relevanten GPOs in der richtigen Reihenfolge an.)
Select and Place:

Correct Answer:
Section: 3.1 GPOs

Explanation
Erläuterungen:
Das Konto von Benutzer1 befindet sich in der Organisationseinheit OU1. Im Allgemeinen werden
Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet: Lokal, Standort, Domäne,
Organisationseinheit und untergeordnete Organisationseinheiten (L-S-D-OU). Daher haben
Gruppenrichtlinienobjekte in untergeordneten Organisationseinheiten Vorrang vor mit übergeordneten
Organisationseinheiten verknüpften Gruppenrichtlinienobjekten. Diese wiederum haben Vorrang vor mit der
Domäne verknüpften Gruppenrichtlinienobjekten, die Vorrang vor mit dem Standort verknüpften
Gruppenrichtlinienobjekten haben.
Wird ein Gruppenrichtlinienobjekt erzwungen, wird es in der Verarbeitungsreihenfolge an das Ende

verschoben. Sind mehrere GPOs erzwungen werden diese in umgekehrter Reihenfolge angewendet, d.h.
erzwungene Gruppenrichtlinienobjekte, die mit übergeordneten Organisationseinheiten verknüpft sind,
erhalten dann Vorrang vor erzwungenen Gruppenrichtlinienobjekten, die mit untergeordneten
Organisationseinheiten verknüpft sind.
QUESTION 35
verknüpft ist und ein Gruppenrichtlinienobjekt (GPO) mit dem Namen DCPolicy, das mit der
Organisationseinheit Domain Controllers verknüpft ist.
Sie müssen die Einstellungen der Anwendungssteuerungsrichtlinien verwenden, um die Nutzung mehrere
Anwendungen im Netzwerk zu verhindern.
Wie gehen Sie vor?

DomainPolicy.
GPOs DomainPolicy.
GPOs DomainPolicy.
Correct Answer: B
Section: 3.1 GPOs
Explanation
Erläuterungen:
Mithilfe von Anwendungssteuerungsrichtlinien können Sie steuern, welche Anwendungen auf einem lokalen
Computer ausgeführt werden dürfen, bzw. welche Anwendungen nicht ausgeführt werden können.
Anwendungssteuerungsrichtlinien können innerhalb eines Gruppenrichtlinienobjekts im folgenden Pfad

konfiguriert werden:
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Anwendungssteuerungsrichtlinien
QUESTION 36
Sie müssen für jeden Benutzer das Verzeichnis Dokumente so konfigurieren, dass die Inhalte auf einem
Dateiserver mit dem Namen Server1 gespeichert werden.
Wie gehen Sie vor?

DomainPolicy.
GPOs DomainPolicy.
GPOs DomainPolicy.
Correct Answer: E
Explanation
Erläuterungen:
Benutzereinstellungen und Benutzerdateien werden in der Regel im lokalen Benutzerprofil im Ordner
Benutzer gespeichert. Der Zugriff auf die Dateien in lokalen Benutzerprofilen kann nur vom aktuellen
Computer aus erfolgen. Daher ist es für Benutzer mit mehr als einem Computer schwierig, mit den Daten
zu arbeiten und die Einstellungen zwischen mehreren Computern zu synchronisieren. Dieses Problem kann
mit Hilfe von zwei Technologien gelöst werden: servergespeicherte Profile und Ordnerumleitung. Beide
Technologien haben ihre Vorteile und können separat oder zusammen verwendet werden, um einen
nahtlosen Übergang von einem Computer zu einem anderen Computer zu ermöglichen. Sie stellen
außerdem zusätzliche Optionen für Administratoren bereit, die Benutzerdaten verwalten.
Mithilfe der Ordnerumleitung können Administratoren den Pfad eines Ordners an einen neuen Speicherort
umleiten. Der Pfad kann ein Ordner auf dem lokalen Computer oder ein Verzeichnis in einer Dateifreigabe
im Netzwerk sein. Benutzer haben die Möglichkeit, die Dokumente auf einem Server so zu verwenden, als
wenn die Dokumente sich auf einem lokalen Laufwerk befänden. Die Dokumente im Ordner stehen dem
Benutzer über jeden Computer im Netzwerk zur Verfügung. Die Ordnerumleitung befindet sich in der
Konsolenstruktur unter Windows-Einstellungen, wenn die domänenbasierte Gruppenrichtlinie mit Hilfe der
Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) bearbeitet wird. Der
Pfad lautet [Gruppenrichtlinienobjektname]\Benutzerkonfiguration\Richtlinien\Windows-Einstellungen
\Ordnerumleitung.
QUESTION 37
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Der
Gesamtstruktur wurde kürzlich eine neue untergeordnete Domäne hinzugefügt.
Sie stellen fest, dass einer Ihrer Kollegen die Default Domain Policy geändert hat, um mehrere Windows-
Komponenten für die Computer der untergeordneten Domäne zu konfigurieren.
Eine Firmenrichtlinie schreibt vor, dass die Default Domain Policy ausschließlich für die Konfiguration
domänenweiter Sicherheitseinstellungen verwendet werden darf.
Sie erstellen ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren die Einstellungen für die
Windows-Komponenten in dem neuen GPO.
Sie müssen die Default Domain Policy wieder auf den ursprünglichen Stand zurücksetzen.
Wie gehen Sie vor?
A. Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf den Knoten
Starter-Gruppenrichtlinienobjekte und anschließend auf Sicherungen verwalten.
B. Führen Sie an einer Eingabeaufforderung den Befehl dcgpofix.exe aus.
C. Führen Sie an der Windows PowerShell das Cmdlet Copy-GPO aus.
D. Führen Sie ntdsutil.exe aus, um die Metadaten zu bereinigen und eine Semantikprüfung der
Datenbank durchzuführen.
Correct Answer: B
Section: 3.1 GPOs
Explanation
Erläuterungen:
Mithilfe des Befehlszeilenprogramms dcgpofix.exe können die Standard-Domänen-
Gruppenrichtlinienobjekte Default Domain Policy und Default Domain Controllers neu erstellt werden.
QUESTION 38
Gesamtstruktur enthält drei Domänen mit den Namen certbase.de intern.certbase.de und
extern.certbase.de sowie drei Active Directory-Standorte mit den Namen Site1, Site2 und Site3.
Ihre Abteilung verfügt über die folgenden drei Administratorkonten:

Sie erstellen ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1.
Welcher Administrator bzw. welche Administratoren können GPO1 mit Site2 verknüpfen?
A. Nur Admin1 und Admin2

B. Admin1, Admin2 und Admin3
C. Nur Admin3
D. Nur Admin1 und Admin3
Correct Answer: D
Section: 3.1 GPOs
Explanation
Erläuterungen:
Zum Verknüpfen eines vorhandenen Gruppenrichtlinienobjekts mit einem Standort, einer Domäne oder
einer Organisationseinheit müssen Sie über die Berechtigung zum Verknüpfen von
Gruppenrichtlinienobjekten für den Standort, die Domäne oder die Organisationseinheit verfügen.
Standardmäßig verfügen nur Domänenadministratoren und Organisationsadministratoren über diese
Berechtigung für Domänen und Organisationseinheiten. Organisationsadministratoren und
Domänenadministratoren der Gesamtstruktur-Stammdomäne verfügen über diese Berechtigung für
Standorte.
Zum Erstellen und Verknüpfen eines Gruppenrichtlinienobjekts müssen Sie über die Berechtigung zum
Verknüpfen von Gruppenrichtlinienobjekten für die gewünschte Domäne oder Organisationseinheit
verfügen, und Sie müssen über die Berechtigung zum Erstellen von Gruppenrichtlinienobjekten in dieser
Domäne verfügen. Standardmäßig verfügen nur Domänenadministratoren, Organisationsadministratoren
und Richtlinien-Ersteller-Besitzer über die Berechtigung zum Erstellen von Gruppenrichtlinienobjekten.
QUESTION 39
certbase.de. Die Domäne enthält eine Organisationseinheit (OU) mit dem Namen OU1. OU1 enthält die
Konten mehrerer Testcomputer.
Sie müssen einem Techniker mit dem Benutzernamen Tech1 das Erstellen von Gruppenrichtlinienobjekten
(GPOs) ermöglichen. Zudem muss er die erstellten GPOs mit OU1 verknüpfen können. Ihre Lösung muss
dem Prinzip der Vergabe geringstmöglicher Berechtigungen entsprechen.
A. Nehmen Sie Tech1 in die Gruppe Richtlinien-Ersteller-Besitzer auf.

B. Verwenden Sie die Konsole Gruppenrichtlinienverwaltung und ändern Sie die Delegierungseinstellungen
der Organisationseinheit OU1.
C. Nehmen Sie Tech1 in die Gruppe Protected Users auf.
D. Verwenden Sie die Konsole Gruppenrichtlinienverwaltung und ändern Sie die Delegierungseinstellungen
des Containers certbase.de.
E. Erstellen Sie eine neue universelle Sicherheitsgruppe und nehmen Sie Tech1 in die Gruppe auf.
Correct Answer: AB
Section: 3.1 GPOs
Explanation
Erläuterungen:
Mitglieder der Gruppe Richtlinien-Ersteller-Besitzer können Gruppenrichtlinienobjekte in der Domäne
erstellen und Gruppenrichtlinienobjekte, die sie selber erstellt haben, bearbeiten. Es ist den Mitgliedern der
Gruppe jedoch nicht möglich, GPOs mit Organisationseinheiten, Standorten oder der Domäne zu
verknüpfen.
Um einem Benutzer oder einer Gruppe das Recht zu erteilen, GPOs mit einer Organisationseinheit (OU) zu
verknüpfen, können wir den Assistenten zum Zuweisen der Objektverwaltung über die Eigenschaften der
betreffenden OU starten und dem Prinzipal die Aufgabe Verwaltet Gruppenrichtlinien-Verknüpfungen
zuweisen.
In dieser Aufgabe wird die Delegierung jedoch über die Konsole Gruppenrichtlinienverwaltung
vorgenommen:
QUESTION 40
certbase.de. Die Domäne enthält ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1. GPO1 ist mit
einer Organisationseinheit (OU) namens OU1 verknüpft.
GPO1 konfiguriert mehrere Desktop-Einschränkungen, die auf alle Computer angewendet werden.
Sie planen, für die Computer in OU1 einen Drucker bereitzustellen.
Sie müssen sicherstellen, dass jeder Benutzer, der sich an einem Computer anmeldet, dessen
Computerkonto sich in OU1 befindet und auf dem Windows 10 ausgeführt wird, mit dem neuen Drucker
verbunden wird.
Alle Desktop-Einschränkungen, die in GPO1 konfiguriert sind, müssen weiterhin auf die Computer in OU1
angewendet werden.
Wie gehen Sie vor?
A. Konfigurieren Sie ein Benutzer-Einstellungselement und einen WMI-Filter für GPO1.

B. Konfigurieren Sie ein Computer-Einstellungselement mit Zielgruppenadressierung auf Elementebene.
C. Konfigurieren Sie ein Computer-Einstellungselement und einen WMI-Filter für GPO1.
D. Konfigurieren Sie ein Benutzer-Einstellungselement mit Zielgruppenadressierung auf Elementebene.
Correct Answer: D
Explanation
Mithilfe von Zielen auf Einstellungselementebene können Sie den Bereich einzelner Einstellungselemente
ändern, so dass diese nur für ausgewählte Benutzer oder Computer gelten. Sie können in einem einzigen
Gruppenrichtlinienobjekt (Group Policy Object, GPO) mehrere Einstellungselemente einschließen, die
jeweils für ausgewählte Benutzer oder Computer angepasst sind und so abgestimmt sind, dass die
Einstellungen nur auf die relevanten Benutzer oder Computer angewendet werden.
So stimmen Sie ein vorhandenes Einstellungselement so ab, dass es nur für bestimmte Benutzer oder
Computer gilt
Bearbeiten.
Ordner Einstellungen, und wechseln Sie dann zur Einstellungserweiterung.
5. Doppelklicken Sie auf den Knoten für die Einstellungserweiterung, klicken Sie dann mit der rechten
Maustaste auf das Einstellungselement, und klicken Sie auf Eigenschaften.
6. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Gemeinsame Optionen.
7. Wählen Sie Zielgruppenadressierung auf Elementebene aus, und klicken Sie dann auf
Zielgruppenadressierung....
Klicken Sie auf Neues Element, klicken Sie auf einen Zielelementtyp, um ihn auf das
Einstellungselement anzuwenden, und konfigurieren Sie dann die Einstellungen für das Zielelement.
Wenn Sie mehrere Zielelemente konfigurieren, klicken Sie im Menü Elementoptionen auf die logische
Operation (Und oder Oder), mit der die Ergebnisse des Einstellungselements mit dem jeweils
vorhergehenden Einstellungselement kombiniert werden sollen.
Wiederholen Sie diese Schritte für jedes anzuwendende Zielelement.
6. Klicken Sie auf OK, und klicken Sie dann im Dialogfeld Eigenschaften auf OK.
QUESTION 41
certbase.de. In der Domäne besteht ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1. GPO1 ist
mit einer Organisationseinheit (OU) namens OU1 verknüpft.
GPO1 umfasst mehrere Einstellungen für Einschränkungen des Desktops und wird auf alle Computer in
OU1 angewendet.
Sie planen, den Computern in OU1 einen neuen Drucker bereitzustellen.
Sie müssen sicherstellen, dass jeder Benutzer, der sich an einem Windows 10 Computer anmeldet, der
sich in OU1 befindet, eine Verbindung mit dem neuen Drucker erhält.
Die Richtlinien für die Einschränkung des Desktops müssen weiterhin auf alle Computer in OU1
angewendet werden.

A. Ein Voreinstellungselement im Abschnitt Benutzerkonfiguration und einen WMI-Filter für GPO1.
B. Ein Voreinstellungselement mit Zielgruppenadressierung auf Elementebene im Abschnitt
Computerkonfiguration.
C. Ein Voreinstellungselement im Abschnitt Computerkonfiguration und einen WMI-Filter für GPO1.
D. Ein Voreinstellungselement mit Zielgruppenadressierung auf Elementebene im Abschnitt
Benutzerkonfiguration.
Correct Answer: D
Explanation
Erläuterungen:
GPO1 enthält Einstellungen im Abschnitt Computerkonfiguration, die weiterhin auf alle Computer in OU1
angewendet werden müssen. Dies bedeutet, dass wir keinen WMI-Filter für GPO1 erstellen dürfen, der den
allgemeinen Zielbereich des GPOs einschränkt.
Der Drucker soll allen Benutzern bereitgestellt werden, die sich an einem Windows 10 Computer anmelden,
dessen Computerkonto sich in OU1 befindet. Die Einstellungen müssen im Abschnitt Benutzerkonfiguration
vorgenommen und per Zielgruppenadressierung auf Elementebene auf Windows 10 Computer beschränkt
werden.
Der Hinweis, dass GPO1 mehrere Einstellungen für Einschränkungen des Desktops enthält, lässt darauf
schließen, dass der Loopbackverarbeitungsmodus für GPO1 bereits aktiviert ist. Die Desktopkonfiguration
befindet sich ebenfalls im Abschnitt Benutzerkonfiguration.
Zielgruppenadressierung auf Elementebene

Mithilfe der Zielgruppenadressierung auf Elementebene können Sie den Bereich einzelner
Einstellungselemente ändern, sodass diese nur für ausgewählte Benutzer oder Computer gelten. Sie
können in einem einzigen Gruppenrichtlinienobjekt (Group Policy Object, GPO) mehrere
Einstellungselemente einschließen, die jeweils für ausgewählte Benutzer oder Computer angepasst sind
und so abgestimmt sind, dass die Einstellungen nur auf die relevanten Benutzer oder Computer
angewendet werden.
QUESTION 42
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de. Das Netzwerk verwendet
mehrere IP-Subnetze. Eines der Subnetze verwendet die Netzwerk-ID 192.168.10.0/24.
Sie erstellen ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 und verknüpfen es mit der
Domäne.
Sie wollen nur den Computern im Subnetz 192.168.10.0/24 ein Laufwerk für eine bestimmte Dateifreigabe
zuweisen.
Wie gehen Sie vor?
A. Bearbeiten Sie GPO1 und konfigurieren Sie die Einstellungen im Knoten Netzwerkverbindungen der
Computerkonfiguration. Verknüpfen Sie einen WMI-Filter mit GPO1.
B. Bearbeiten Sie GPO1 und konfigurieren Sie eine Gruppenrichtlinieneinstellung im Abschnitt
Benutzerkonfiguration, die die Zielgruppenaddressierung auf Elementebene verwendet.
C. Bearbeiten Sie GPO1 und konfigurieren Sie eine Gruppenrichtlinieneinstellung im Abschnitt
Computerkonfiguration, die die Zielgruppenaddressierung auf Elementebene verwendet.
D. Bearbeiten Sie GPO1 und konfigurieren Sie die Ordnerumleitung im Abschnitt Benutzerkonfiguration.
Verknüpfen Sie einen WMI-Filter mit GPO1.
Correct Answer: B
Explanation
Erläuterungen:
Wir können im Abschnitt Benutzerkonfiguration von GPO1 eine Voreinstellung für eine
Laufwerkszuordnung konfigurieren und eine Zielgruppenaddressierung auf Elementebene Vornehmen, die
die Einstellung auf Computer im Subnetz 192.168.10.0/24 beschränkt.
QUESTION 43
certbase.de. In der Domäne besteht ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1. GPO1 ist
mit der Domäne verknüpft.
Für GPO1 sind Computerkonfigurationsrichtlinien, Benutzerkonfigurationsrichtlinien und

Benutzereinstellungen konfiguriert.
Sie müssen sicherstellen, dass die Benutzereinstellungen in GPO1 nur auf Benutzer angewendet werden,
die sich an Computern anmelden, auf denen Windows 10 installiert ist. Alle anderen Einstellungen in GPO1
müssen unabhängig davon, an welchem Computer sich ein Benutzer anmeldet, angewendet werden.
A. Die Sicherheitsfilterung von GPO1

B. Zielgruppenadressierung auf Elementebene
C. Sicherheitseinstellungen
D. Einen WMI-Filter
Correct Answer: B
Explanation
Erläuterungen:
Sowohl für Einstellungen (Voreinstellungen) im Abschnitt Computerkonfiguration als auch für Einstellungen
im Abschnitt Benutzerkonfiguration kann die Zielgruppenadressierung auf Elementebene konfiguriert
werden.
Mithilfe von Zielen auf Einstellungselementebene können Sie den Bereich einzelner Einstellungselemente
ändern, so dass diese nur für ausgewählte Benutzer oder Computer gelten. Sie können in einem einzigen
Gruppenrichtlinienobjekt (Group Policy Object, GPO) mehrere Einstellungselemente einschließen, die
jeweils für ausgewählte Benutzer oder Computer angepasst sind und so abgestimmt sind, dass die
Einstellungen nur auf die relevanten Benutzer oder Computer angewendet werden.
So stimmen Sie ein vorhandenes Einstellungselement so ab, dass es nur für bestimmte Benutzer oder
Computer gilt
Bearbeiten.
Ordner Einstellungen, und wechseln Sie dann zur Einstellungserweiterung.
10. Doppelklicken Sie auf den Knoten für die Einstellungserweiterung, klicken Sie dann mit der rechten
Maustaste auf das Einstellungselement, und klicken Sie auf Eigenschaften.
11. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Gemeinsame Optionen.
12. Wählen Sie Zielgruppenadressierung auf Elementebene aus, und klicken Sie dann auf
Zielgruppenadressierung....
1. Klicken Sie auf Neues Element, klicken Sie auf einen Zielelementtyp, um ihn auf das
Einstellungselement anzuwenden, und konfigurieren Sie dann die Einstellungen für das Zielelement.
2. Wenn Sie mehrere Zielelemente konfigurieren, klicken Sie im Menü Elementoptionen auf die logische
Operation (Und oder Oder), mit der die Ergebnisse des Einstellungselements mit dem jeweils
vorhergehenden Einstellungselement kombiniert werden sollen.
3. Wiederholen Sie diese Schritte für jedes anzuwendende Zielelement.
13. Klicken Sie auf OK, und klicken Sie dann im Dialogfeld Eigenschaften auf OK.
QUESTION 44
certbase.de. Die Domäne enthält einen Mitgliedsserver mit dem Namen Server1 und einen
Domänencontroller mit dem Namen DC1. Alle Server befinden sich in den USA.
Sie führen alle Verwaltungsaufgaben für die Domäne auf Server1 aus. Auf Server1 sind die benötigten
Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) installiert.
Sie wollen eine Anwendung mit dem Namen App1 bereitstellen. Der Hersteller von App1 stellt eine
administrative Vorlage für die Verwaltung der Einstellungen von App1 bereit.
Sie müssen sicherstellen, dass Sie ein Gruppenrichtlinienobjekt (GPO) für die Konfiguration der
administrativen Vorlage für App1 verwenden können.
Wie gehen Sie vor?
A. Kopieren Sie die ADMX-Datei und die ADML-Datei für die Verwaltung von App1 in die Netlogon-
Freigabe auf DC1.
B. Kopieren Sie die ADMX-Datei für die Verwaltung von App1 in die SYSVOL-Freigabe auf DC1. Kopieren
Sie die ADML-Datei für die Verwaltung von App1 in den Ordner C:\Windows\PolicyDefinitions
\en-us auf Server1.
C. Kopieren Sie die ADMX-Datei für die Verwaltung von App1 in den Ordner C:\Windows
\PolicyDefinitions auf DC1 und die ADML-Datei für die Verwaltung von App1 in den Ordner C:
\Windows\PolicyDefinitions\en-us auf DC1.
D. Kopieren Sie die ADMX-Datei für die Verwaltung von App1 in den Ordner C:\Windows
\PolicyDefinitions und die ADML-Datei für die Verwaltung von App1 in den Ordner C:\Windows
\PolicyDefinitions\en-us auf Server1.
Correct Answer: D
Explanation
Erläuterungen:
Antwort D enthält die korrekten Pfadangaben für ADMX- und ADML-Dateien, für den Fall, dass kein
zentraler Speicher konfiguriert ist:
QUESTION 45
Organisationseinheit (OU) mit dem Namen OU1. Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen
GPO1 ist mit OU1 verknüpft.
Sie erstellen einen Benutzer mit dem Namen Benutzer1 und erteilen ihm die Berechtigung Vollzugriff für
OU1.
Welche administrativen Aufgaben für Gruppenrichtlinienobjekte kann Benutzer1 ausführen?
A. Benutzer1 kann ein in der Domäne vorhandenes Gruppenrichtlinienobjekt mit OU1 verknüpfen.
B. Benutzer1 kann das Zuweisen von Benutzerrechten in GPO1 bearbeiten.
C. Benutzer1 kann GPO1 eine administrative Vorlage hinzufügen.
D. Benutzer1 kann ein neues Gruppenrichtlinienobjekt erstellen und dieses mit OU1 verknüpfen.
Correct Answer: A
Section: 3.1 GPOs
Explanation
Erläuterungen:
Die Berechtigung „Vollzugriff“ für OU1 ermöglicht es Benutzer1, in der Domäne vorhandene
Gruppenrichtlinienobjekte mit OU1 zu verknüpfen:
QUESTION 46
Sie sind als Administrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine
Marketingabteilung.
Das Netzwerk umfasst eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen
certbase.de.
Die Domäne enthält zwei Organisationseinheiten (OUs) auf oberster Ebene. Die Namen der beiden OUs
lauten Marketing_Computer und Marketing_Benutzer. Marketing_Computer enthält die Computerkonten der
Computer der Marketingabteilung und Marketing_Benutzer enthält die Benutzerkonten der Mitarbeiter der
Marketingabteilung.
Sie erstellen ein neues Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 und verknüpfen es mit der
OU Marketing_Computer.
Sie müssen allen Benutzern, die sich an den Computern der Marketingabteilung anmelden, eine VPN-
Verbindung bereitstellen. Die Benutzer müssen die Einstellungen der VPN-Verbindung ändern können.
An welcher Position in GPO1 konfigurieren Sie die VPN-Verbindung?
A. Computerkonfiguration\Einstellungen\Systemsteuerungseinstellungen\Netzwerkoptionen
B. Benutzerkonfiguration\Einstellungen\Systemsteuerungseinstellungen\Netzwerkoptionen
C. Computerkonfiguration\Richtlinien\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen
D. Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen
Correct Answer: A
Explanation
Erläuterungen:
Die VPN-Verbindung soll allen Benutzern zur Verfügung stehen, die sich an den Computern der
Marketingabteilung anmelden. Die Einstellungen müssen daher im Abschnitt Computerkonfiguration
vorgenommen werden.
Mithilfe der Voreinstellung „Netzwerkoptionen“ können sowohl VPN-Verbindungen als auch DFÜ-
Verbindungen erstellt, geändert, ersetzt und gelöscht werden:
QUESTION 47
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen cblabs.de. Die Domäne enthält einen
Mitgliedsserver mit dem Namen Server1 und einen Domänencontroller mit dem Namen DC1. Auf beiden
Servern ist das Betriebssystem Windows Server 2016 installiert.
Server1 wird zum Ausführen administrativer Aufgaben, einschließlich des Verwaltens von
Gruppenrichtlinien, verwendet.
Nachdem Sie Wartungsaufgaben auf DC1 ausgeführt haben, öffnen Sie auf Server1 ein
Gruppenrichtlinienobjekt (GPO). Der Gruppenrichtlinienverwaltungs-Editor wird nachstehend gezeigt:
Sie müssen alle Einstellungen für „Administrative Vorlagen“ anzeigen.
Wie gehen Sie vor?
A. Verwenden Sie den Gruppenrichtlinienverwaltungs-Editor und konfigurieren Sie die Filteroptionen für
GPO1.
B. Verwenden Sie den Datei-Explorer und löschen Sie den Ordner \\cblabs.de\SYSVOL\cblabs.de
\Policies.
C. Verwenden Sie den Datei-Explorer und kopieren Sie die administrativen Vorlagen von \\cblabs.de
\SYSVOL\cblabs.de\Policies in den Ordner PolicyDefinitions.
D. Verwenden Sie die Gruppenrichtlinienverwaltung und konfigurieren Sie die WMI-Filterung für GPO1.
Correct Answer: B
Explanation
Erläuterungen:
Aus der Abbildung geht hervor, dass in der Domäne ein zentraler Speicher für administrative
Vorlagendateien erstellt wurde. Die Gruppenrichtlinienverwaltungskonsole versucht, Vorlagen aus dem
zentralen Speicher im Pfad \\cblabs.de\SYSVOL\cblabs.de\Policies\PolicyDefinitions
abzurufen. Wenn der Pfad keine administrativen Vorlagen enthält, können diese im
Gruppenrichtlinienverwaltungs-Editor nicht angezeigt werden.
Um das Problem zu lösen, können wir entweder die administrativen Vorlagen aus dem Verzeichnis C:
\Windows\PolicyDefinitions in das Verzeichnis \\cblabs.de\SYSVOL\cblabs.de\Policies
\PolicyDefinitions kopieren oder den zentralen Speicher löschen.
Wenn wir den zentralen Speicher löschen, werden die administrativen Vorlagen aus dem lokalen Pfad C:
\Windows\PolicyDefinitions abgerufen.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Erstellen des zentralen Speichers
für administrative Vorlagen-Dateien für GPOs
QUESTION 48
certbase.de. Die Domäne enthält einen Benutzer mit dem Namen Benutzer1 und eine Organisationseinheit
(OU) mit dem Namen OU1.
Sie erstellen ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1.
Sie müssen sicherstellen, dass Benutzer1 GPO1 mit OU1 verknüpfen kann.
Wie gehen Sie vor?
A. Ändern Sie die Sicherheitseinstellungen von Benutzer1.

B. Nehmen Sie Benutzer1 in die Gruppe Richtlinien-Ersteller-Besitzer auf.
C. Ändern Sie die Sicherheitseinstellungen von OU1.
D. Ändern Sie die Sicherheitseinstellungen von GPO1.
Correct Answer: C
Section: 3.1 GPOs
Explanation
Erläuterungen:
So delegieren Sie Berechtigungen zum Verknüpfen von Gruppenrichtlinienobjekten
1. Führen Sie in der Konsolenstruktur der Gruppenrichtlinien-Verwaltungskonsole (Group Policy

Management Console, GPMC) eine der folgenden Aktionen aus:
Um die Berechtigung zum Verknüpfen von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs)
mit der Domäne oder einer Organisationseinheit zu delegieren, klicken Sie auf die Domäne bzw.
Organisationseinheit.
Um die Berechtigung zum Verknüpfen von Gruppenrichtlinienobjekten mit einem Standort zu
delegieren, klicken Sie auf den Standort.
2. Klicken Sie im Ergebnisfenster auf die Registerkarte Delegierung.
3. Wählen Sie in der Dropdownliste Berechtigung die Option Gruppenrichtlinienobjekte verknüpfen aus.
Klicken Sie auf Hinzufügen.
4. Klicken Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen auf Objekttypen, wählen Sie die
Typen von Objekten aus, an die Sie Berechtigungen für die Domäne, den Standort oder die
Organisationseinheit delegieren möchten, und klicken Sie dann auf OK.
5. Klicken Sie auf Pfade, wählen Sie entweder Gesamtes Verzeichnis oder die Domäne bzw.
Organisationseinheit mit dem Objekt aus, an das Sie Berechtigungen delegieren möchten, und klicken
Sie dann auf OK.
Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, an
das Sie Berechtigungen delegieren möchten, indem Sie eine der folgenden Aktionen ausführen:
Wenn Sie den Namen kennen, geben Sie ihn ein, und klicken Sie dann auf OK.
Klicken Sie zur Suche nach dem Namen auf Erweitert, geben Sie die Suchkriterien ein, und klicken Sie
auf Suche starten. Wählen Sie den Namen aus dem Listenfeld aus, klicken Sie auf OK und dann erneut
auf OK.
6. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen in der Dropdownliste Berechtigungen die
Berechtigungsstufe aus, die für diese Gruppe oder diesen Benutzer gelten soll, und klicken Sie dann
auf OK.
QUESTION 49
certbase.de. Die Domäne enthält 20 Domänencontroller.
Sie stellen fest, dass einige Gruppenrichtlinienobjekte (GPOs) nicht von allen Domänencontrollern
angewendet werden.
Sie müssen sich vergewissern, ob alle GPOs erfolgreich auf alle Domänencontroller repliziert wurden.
Wie gehen Sie vor?
A. Konfigurieren Sie den BurFlags-Registrierungsschlüssel und führen Sie anschließend einen Neustart
des Dateireplikationsdienstes (File Replication Service, FRS) durch. Führen Sie auf jedem
Domänencontroller dcdiag.exe aus.
B. Konfigurieren Sie den BurFlags-Registrierungsschlüssel und führen Sie anschließend einen Neustart
des Dateireplikationsdienstes (File Replication Service, FRS) durch. Sehen Sie das Ereignisprotokoll
Directory Service ein.
C. Öffnen Sie die Gruppenrichtlinienverwaltung und sehen Sie das Register Status für die Domäne ein.
D. Führen Sie repadmin.exe für jedes Gruppenrichtlinienobjekt (GPO) aus.
Correct Answer: C
Section: 3.1 GPOs
Explanation
Erläuterungen:
In der Gruppenrichtlinienverwaltung wird der Status der Active Directory-Replikation bei Auswahl der
Domäne auf dem Register Status angezeigt:
Anmerkung: Windows 2000 Server und Windows Server 2003 verwenden den Dateireplikationsdienst (File
Replication Service, FRS) für die Replikation des SYSVOL-Verzeichnisses. Ab Windows Server 2008 kann
anstelle von FRS die DFS Replikation verwendet werden. Voraussetzung ist jedoch, dass die
Domänenfunktionsebene mit Windows Server 2008 oder höher festgelegt ist.
Ab Windows Server 2012 wird für neu installierte Domänen standardmäßig DFS-R verwendet.
QUESTION 50
Sie müssen einen zentralen Speicher für administrative Vorlagen für Gruppenrichtlinien erstellen..
A. Server-Manager
B. Datei-Explorer
C. Dcgpofix.exe
D. Gruppenrichtlinienverwaltung (GPMC)
Correct Answer: B
Explanation
Erläuterungen:
Wenn ein zentraler Speicher für administrative Vorlagen erstellt wurde, ruft die
Gruppenrichtlinienverwaltungskonsole Vorlagen aus dem Pfad \\certbase.de\SYSVOL\certbase.de
\Policies\PolicyDefinitions ab. Wenn der Pfad nicht vorhanden ist, ruft die
Gruppenrichtlinienverwaltung administrative Vorlagen aus dem lokalen Pfad C:\Windows
\PolicyDefinitions ab.
Ein zentraler Speicher entsteht durch das Kopieren von C:\Windows\PolicyDefinitions nach C:
\Windows\SYSVOL\domain\Policies. Das kann mit dem Datei-Explorer geschehen.
QUESTION 51
Ihr Netzwerk umfasst eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen cblabs.de.
Für die Administration verwenden Sie einen Computer mit dem Namen Computer1. Auf Computer1 ist das
Betriebssystem Windows Server 2016 installiert.
Sie verwenden Computer1, um ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 zu bearbeiten.
GPO1 wird in der nachstehenden Abbildung gezeigt:
Sie erhalten eine neue administrative Vorlage mit dem Namen Vorlage1. Vorlage1 verwendet die Sprache
English (United States) und umfasst die Dateien Vorlage.admx und Vorlage1.adml.
Sie müssen sicherstellen, dass die Einstellungen aus Vorlage1 unterhalb des Knotens Administrative
Vorlagen angezeigt werden.
An welchen Speicherort kopieren Sie die Dateien von Vorlage1?
Select and Place:

Correct Answer:

Explanation
Erläuterungen:
Aus der Abbildung geht hervor, dass in der Domäne ein zentraler Speicher für administrative
Vorlagendateien erstellt wurde. Die Gruppenrichtlinienverwaltungskonsole versucht, Vorlagen aus dem
zentralen Speicher im Pfad \\cblabs.de\SYSVOL\cblabs.de\Policies\PolicyDefinitions
abzurufen. Sprachdateien (.adml) befinden sich in einem Unterordner, der nach dem Language Code der
Sprache bezeichnet ist. Wenn der Pfad keine administrativen Vorlagen enthält, können diese im
Gruppenrichtlinienverwaltungs-Editor nicht angezeigt werden.
Wenn wir den zentralen Speicher löschen, werden die administrativen Vorlagen aus dem lokalen Pfad C:
\Windows\PolicyDefinitions abgerufen.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Erstellen des zentralen Speichers
für administrative Vorlagen-Dateien für GPOs
QUESTION 52
certbase.de. Die Domäne enthält die in der folgenden Abbildung gezeigten Computer:
Die Domäne enthält einen Benutzer mit dem Namen Benutzer1.
Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 ist mit der Domäne verknüpft. GPO1 enthält
eine Voreinstellung für Benutzer. Die Konfiguration der Voreinstellung wird nachstehend gezeigt:
Für die Benutzervoreinstellung ist die folgende Zielgruppenadressierung auf Elementebene konfiguriert:
Hot Area:
Correct Answer:

Explanation
Erläuterungen:
Damit die Verknüpfung auf dem Desktop von Benutzer1 erstellt bzw. aktualisiert wird, muss der
Clientcomputer beide Bedingungen der Zielgruppenadressierung auf Elementebene erfüllen. Computer1
erfüllt die Bedingung für den IP-Adressbereich nicht. Computer2 erfüllt die Bedingung für den freien
Speicherplatz nicht. Computer3 erfüllt beide Bedingungen.
QUESTION 53
Namen certbase.de. Die Domäne enthält zwei Server mit den Namen Server1 und
Server2. Auf beiden Servern ist das Betriebssystem Windows Server 2016 installiert.
Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 ist mit der Domäne
verknüpft. In GPO1 sind mehrere Computereinstellungen konfiguriert.
GPO1 hat folgende Eigenschaften:
Einer Ihrer Kollegen stellt fest, dass GPO1 zwar auf Server2, nicht aber auf Server1
angewendet wird.
Welche Konfiguration verhindert möglicherweise, dass GPO1 auf Server1 angewendet

wird?
A. Die Berechtigungen auf das Computerobjekt von Server1.

B. Die Berechtigungen auf GPO1.
C. Die Einstellungen des Loopbackverarbeitungsmodus von GPO1.
D. Die Berechtigungen auf den Container Computers.
Correct Answer: B
Section: New
Explanation
Damit ein Benutzer oder ein Computer die Einstellungen eines
Gruppenrichtlinienobjektes übernehmen kann, benötigt der Benutzer bzw. der Computer
die Berechtigungen Lesen und Gruppenrichtlinie übernehmen für das GPO.
Standardmäßig sind diese Berechtigungen dem Prinzipal Authentifizierte Benutzer
zugewiesen.
Hinweis: Die abgebildeten Eigenschaften von GPO1 sind mit dem Cmdlet Get-GPO
GPO1 ermittelt worden.
QUESTION 54
Ihr Netzwerk enthält zwei Active Directory-Gesamtstrukturen mit den Namen faberg.de
und certbase.de. Jede Gesamtstruktur enthält eine einzelne Domäne.
Sie haben in certbase.de ein Gruppenrichtlinienobjekt (GPO) mit dem Namen CB_GPO1
erstellt.
Sie müssen die Einstellungen von CB_GPO1 auf die Computer der Domäne faberg.de
anwenden.
Wie gehen Sie vor?
A. Erstellen Sie in certbase.de eine Sicherung des Gruppenrichtlinienobjekts CB_GPO.

Verwenden Sie in faberg.de die Gruppenrichtlinienverwaltung, erstellen und
verknüpfen Sie ein neues GPO und führen Sie den Importeinstellungen-Assistenten
aus.
B. Erstellen Sie in certbase.de eine Sicherung des Gruppenrichtlinienobjekts CB_GPO.
Führen Sie in faberg.de zunächst das Cmdlet Restore-GPO und anschließend das
Cmdlet New-GPLink aus.
C. Kopieren Sie den Inhalt des Verzeichnisses \\certbase.de\SYSVOL\certbase.de
\Policies nach \\faberg.de\SYSVOL\faberg.de\Policies. Führen Sie in faberg.de das
Cmdlet New-GPLink aus.
D. Erstellen Sie in certbase.de eine Sicherung des Gruppenrichtlinienobjekts CB_GPO.
Verwenden Sie in faberg.de die Gruppenrichtlinienverwaltung, erstellen und
verknüpfen Sie ein neues GPO und führen Sie den Assistenten zum Wiederherstellen
von Gruppenrichtlinienobjekten aus.
Correct Answer: A
Section: New
Explanation
Um die Einstellungen eines Gruppenrichtlinienobjekts über die die Grenzen einer
Gesamtstruktur hinweg zu übertragen, muss der Administrator die Einstellungen aus
einer Sicherung des GPOs der der Quelldomäne in ein GPO der Zieldomäne
importieren. Eine Sicherung eines Gruppenrichtlinienobjekts aus Gesamtstruktur A kann
nicht direkt in einer Gesamtstruktur B wiederhergestellt werden.
Importing GPOs from a Test to a Production Forest

QUESTION 55
Namen certbase.de. Die Domäne enthält zwei Server mit den Namen Server1 und
Server2. Auf beiden Servern ist das Betriebssystem Windows Server 2016 installiert.
Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 ist mit der Domäne
verknüpft. In GPO1 sind mehrere Computereinstellungen konfiguriert.
GPO1 hat folgende Eigenschaften:

Einer Ihrer Kollegen stellt fest, dass GPO1 zwar auf Server2, nicht aber auf Server1
angewendet wird.
Welche Konfiguration verhindert möglicherweise, dass GPO1 auf Server1 angewendet

wird?
A. Die Berechtigungen auf das Domänenobjekt von certbase.de.

B. Die WMI-Filter-Einstellungen.
C. Die Einstellungen „Erzwungen“ von GPO1.
D. Die Einstellungen „Objektstatus“ von GPO1.
Correct Answer: B
Section: New
Explanation
WMI-Filter können verwendet werden, um sicherzustellen, dass ein
Gruppenrichtlinienobjekt nur für Geräte gilt, die eine bestimmte Windows-Version oder
andere spezifische Kriterien erfüllen, z. B. eine bestimmte CPU-Geschwindigkeit oder
eine bestimmte Menge freien Speicherplatzes.
Create WMI Filters for the GPO

QUESTION 56
Domäne enthält einen Domänencontroller mit dem Namen DC1.
Sie erstellen und verknüpfen ein Gruppenrichtlinienobjekt (GPO) namens GPO1 mit
einer Organisationseinheit (OU) namens SalesOU. Alle Computerkonten befinden sich
im Container Computers. Alle Benutzerkonten der Mitarbeiter der Vertriebsabteilung
befinden sich in der Organisationseinheit SalesOU.
Sie haben eine Branchenanwendung namens SalesApp. Die Anwendung wird mithilfe
eines Windows Installer-Pakets installiert.
Sie müssen SalesApp nur für die Benutzer der Vertriebsabteilung verfügbar machen.
E. Reihenfolge: 4, 2, 6
F. Reihenfolge: 4, 2, 7
Correct Answer: D
Section: New
Explanation
In der Aufgabe heißt es, dass die App nur für die Benutzer der Vertriebsabteilung
verfügbar gemacht werden soll. Das Windows Installer-Paket (MSI-Paket) muss daher
im Abschnitt Benutzerkonfiguration für Benutzer veröffentlicht werden.
QUESTION 57
Ihr Netzwerk umfasst eine Active Directory-Domänendienste (AD DS)-Domäne mit dem
Namen certbase.de. Die Domäne enthält eine Organisationseinheit (OU) mit dem
Namen OU1. Die OU enthält die Computerkonten aller Dateiserver des Unternehmens.
Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 ist mit OU1 verknüpft.
Sie nehmen einige wichtige Sicherheitsänderungen in GPO1 vor.

Sie müssen sicherstellen, dass die geänderten Sicherheitseinstellungen so schnell wie
möglich auf alle Dateiserver angewendet werden.
Welchen Schritt führen Sie in der Konsole Gruppenrichtlinienverwaltung aus?
A. Klicken Sie zunächst mit der rechten Maustaste auf die Organisationseinheit OU1 und
klicken Sie anschließend auf Gruppenrichtlinienupdate.
B. Klicken Sie zunächst mit der rechten Maustaste auf GPO1 und klicken Sie
anschließend auf Erzwungen.
C. Klicken Sie zunächst mit der rechten Maustaste auf Gruppenrichtlinienergebnisse und
klicken Sie anschließend auf Gruppenrichtlinienergebnis-Assistent.
D. Klicken Sie zunächst mit der rechten Maustaste auf die Organisationseinheit OU1 und
klicken Sie anschließend auf Aktualisieren.
Correct Answer: A
Section: New
Explanation
Gruppenrichtlinieneinstellungen werden automatisch alle 90 Minuten mit einem zufälligen
Offset von 0 bis 30 Minuten aktualisiert, damit nicht alle Computer in der Domäne ihre
Gruppenrichtlinieneinstellungen gleichzeitig aktualisieren. Wenn Sie neue
Gruppenrichtlinieneinstellungen anwenden möchten, ohne auf die nächste geplante
Aktualisierung zu warten, können Sie eine Aktualisierung erzwingen, indem Sie das
Befehlszeilen-Tool gpupdate lokal ausführen.
Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) hat unter Windows Server 2012
eine neue Funktion eingeführt, die es Administratoren ermöglicht, eine
Gruppenrichtlinienaktualisierung remote auf allen Computern innnerhalb einer Active
Directory (AD)-Organisationseinheit (OU) zu erzwingen. Darüber hinaus gab es auch ein
neues PowerShell-Cmdlet (Invoke-GPUpdate), mit dem Sie programmgesteuert
dasselbe tun können
Erzwingen einer Gruppenrichtlinienaktualisierung auf allen Computern innerhalb
einer Organisationseinheit mithilfe der Konsole Gruppenrichtlinienverwaltung
(GPMC):
Klicken Sie in der Gruppenrichtlinienverwaltungskonsole mit der rechten Maustaste auf
die gewünschte Organisationseinheit und wählen Sie im Menü die Option
Gruppenrichtlinienupdate aus.
Bestätigen Sie die Aktion im aufkommenden Dialogfeld, indem Sie auf OK klicken.
QUESTION 58
Ihr Netzwerk umfasst eine Active Directory-Domänendienste (AD DS)-Domäne mit dem
Namen certbase.de. Auf allen Clientcomputern der Domäne ist eine Anwendung mit dem
Namen App1 bereitgestellt.
App1 erstellt auf allen Clientcomputern einen Wert für einen Registrierungsschlüssel
namens LocalStorage.
Sie müssen den Registrierungsschlüssel auf allen Clientcomputern der Domäne löschen,
die auf dem Systemlaufwerk weniger als 100 GB freien Speicherplatz haben.
Wie gehen Sie vor?

A. Konfigurieren Sie ein Gruppenrichtlinienobjekt (GPO) mit einer Richtlinie für
Softwareeinschränkungen und verknüpfen Sie das GPO mit einem WMI-Filter.
B. Konfigurieren Sie eine Gruppenrichtlinieneinstellung, die die Sicherheitseinstellungen
des Registrierungsschlüssels ändert.
C. Konfigurieren Sie eine administrative Vorlagendatei (ADMX), die den
Registrierungsschlüssel LocalStorage enthält und fügen Sie die Vorlage einem
Gruppenrichtlinienobjekt hinzu.
D. Konfigurieren Sie eine Gruppenrichtlinienvoreinstellung mit einer
Correct Answer: D
Section: New
Explanation
Wir können ein Gruppenrichtlinienobjekt mit einer Voreinstellung für
Registrierungseigenschaften erstellen, die den Registrierungsschlüssel löscht. Durch
erstellen einer Zielgruppenadressierung auf Elementebene kann sichergestellt werden,
dass die Voreinstellung nur auf Computer im Wirkungsbereich des GPOs angewendet
wird, die auf dem Systemlaufwerk weniger als 100 GB verbleibenden Speicherplatz
haben.
Verwakten und Pflegen von AD DS
QUESTION 1
Die Domäne enthält einen Server mit dem Namen Server1. Auf Server1 ist das Betriebssystem Windows
Server 2016 installiert.
Sie erstellen auf Server1 einen lokalen Benutzer mit dem Namen Benutzer1. Benutzer1 ist Mitglied der
lokalen Administratorengruppe.
Server1 weist die folgenden lokalen Gruppenrichtlinien auf:
Richtlinie für „Lokaler Computer“

Richtlinie für „Lokaler Computer\Benutzer1“
Richtlinie für „Lokaler Computer\Administratoren“
Sie müssen Benutzer1 zwingen, sein Kennwort alle 14 Tage zu ändern.
Lösung: Sie erstellen in der Domäne ein Kennworteinstellungsobjekt (Password Setting Object, PSO).
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 2

Lösung: Sie konfigurieren die Kennwortrichtlinien in einem Gruppenrichtlinienobjekt (GPO), das mit der
Organisationseinheit „Domain Controllers“ verknüpft ist.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 3

Lösung: Sie konfigurieren die Kennwortrichtlinien in der Richtlinie für „Lokaler Computer“
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
QUESTION 4

Lösung: Sie konfigurieren die Kennwortrichtlinien in der Richtlinie für „Lokaler Computer\Benutzer1“
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 5
Gesamtstruktur enthält einen Mitgliedserver mit dem Namen Server1.
Auf Server1 sind mehrere Branchenanwendungen installiert. Jede Anwendung wird als Dienst im
Sicherheitskontext des Kontos Netzwerkdienst ausgeführt.
Sie müssen die Branchenanwendungen so konfigurieren, dass sie mit einem virtuellen Konto ausgeführt
werden.
Wie gehen Sie vor?
A. Verwenden Sie das Microsoft Application Toolkit (ACT) und erstellen Sie einen Shim.
B. Verwenden Sie die Konsole „Dienste“ und ändern Sie für jeden der Dienste die Eigenschaften auf dem
Register „Anmelden“.
C. Führen Sie das Windows PowerShell Cmdlet New-ADServiceAccount aus.
D. Führen Sie das Windows PowerShell Cmdlet Install-ADServiceAccount aus.
Correct Answer: B
Section: New
Explanation
QUESTION 6
Sie sind als Administrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Niederlassung
in London.
certbase.de.
Die Domäne enthält eine Organisationseinheit (OU) mit dem Namen London. Die OU enthält die
Benutzerkonten aller Benutzer, die am Standort London beschäftigt sind. Der Büroleiter der Niederlassung
kennt alle Benutzer persönlich.
Sie müssen sicherstellen, dass der Büroleiter jedem Benutzer ein neues Kennwort bereitstellen kann, falls
dieser sein Kennwort vergessen hat.
Wie gehen Sie vor?
A. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Domäne. Filtern Sie das
GPO nach den Benutzern innerhalb der Organisationseinheit London. Erteilen Sie dem Büroleiter die
Berechtigung Gruppenrichtlinie übernehmen für das GPO und konfigurieren Sie die
Kennwortrichtlinieneinstellungen des Gruppenrichtlinienobjekts.
B. Konfigurieren Sie die Sicherheitseinstellungen für jedes Benutzerkonto innerhalb der
Organisationseinheit London und erteilen Sie dem Büroleiter die Berechtigung Kennwort zurücksetzen.
C. Konfigurieren Sie die Sicherheitseinstellungen für jedes Benutzerkonto innerhalb der
Organisationseinheit London und erteilen Sie dem Büroleiter die Berechtigung Kennwort ändern.
D. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Organisationseinheit
London. Erteilen Sie dem Büroleiter die Berechtigung Gruppenrichtlinie übernehmen für das GPO und
konfigurieren Sie die Kennwortrichtlinieneinstellungen des Gruppenrichtlinienobjekts.
Correct Answer: B
Section: New
Explanation
QUESTION 7
certbase.de. Die Domäne enthält einen Domänencontroller mit dem Namen DC1. Auf DC1 ist das
Sie starten DC1 im Verzeichnisdienste-Wiederherstellungsmodus (Directory Services Restore Mode,

DSRM).
Sie müssen die Größe der Active Directory-Datenbank reduzieren.
und ordnen Sie die erforderlichen Schritte in der richtigen Reihenfolge an.)
E. Reihenfolge: 3, 4, 5
F. Reihenfolge: 3, 6, 5
Correct Answer: A
Section: New
Explanation
QUESTION 8
Gesamtstruktur enthält eine einzelne Domäne. Die Gesamtstrukturfunktionsebene ist Windows Server
2016. Der Active Directory-Papierkorb ist aktiviert.
Sie müssen ein Verfahren planen, mit dem die Werte von Benutzerobjektattributen wiederhergestellt
werden können, wenn sie versehentlich geändert wurden.
Welche Cmdlets beziehen Sie in Ihre Planung ein?
A. Cmdlet zum Aufzeichnen der Attributwertänderungen: Add-History

Cmdlets zum Wiederherstellen der Attributwerte: Enable-ADOptionalFeature und Restore-ADObject
B. Cmdlet zum Aufzeichnen der Attributwertänderungen: Enable-ADOptionalFeature
Cmdlets zum Wiederherstellen der Attributwerte: Move-ADObject und Restore-ADObject
C. Cmdlet zum Aufzeichnen der Attributwertänderungen: New-AdlStore
Cmdlets zum Wiederherstellen der Attributwerte: Move-ADObject und Restore-ADObject
D. Cmdlet zum Aufzeichnen der Attributwertänderungen: New-ADSnapshot
Cmdlets zum Wiederherstellen der Attributwerte: Mount-ADDatabase und Repair-ADAttribute
E. Cmdlet zum Aufzeichnen der Attributwertänderungen: New-VirtualDiskSnapshot
Cmdlets zum Wiederherstellen der Attributwerte: Enable-ADOptionalFeature und Repair-ADAttribute
Correct Answer: D
Section: New
Explanation
QUESTION 9
Sie sind als Administrator für das Unternehmen CertBase tätig. Das Untenehmen hat mehrere
Zweigstellen.
Das Netzwerk enthält eine Active Directory-Domäne mit dem Namen certbase.de.
In einer der Zweigstellen wird ein neuer Techniker angestellt. Der Techniker soll der Domäne Computer
hinzuzufügen.
Nachdem der Techniker mehrere Computer erfolgreich der Domäne hinzugefügt hat, kann er ihr keine
weiteren Computer hinzufügen.
Sie müssen sicherstellen, dass der Techniker eine unbegrenzte Anzahl von Computern zur Domäne
hinzufügen kann.
Wie gehen Sie vor?
A. Konfigurieren Sie das Benutzerkonto des Technikers als verwaltetes Dienstkonto.

B. Führen Sie den Assistenten zum Zuweisen der Objektverwaltung für den Container Computer aus.
C. Führen Sie den Befehl redircmp.exe aus.
D. Nehmen Sie das Benutzerkonto des Technikers in die Gruppe Domänencomputer auf.
Correct Answer: B
Section: New
Explanation
QUESTION 10
dem Namen certbase.de. Die Domäne enthält drei Domänencontroller.
Bei einem Domänencontroller mit dem Namen HAM-DC-1 tritt ein Fehler auf. Sie können den
Domänencontroller nicht reparieren.
Sie müssen die Replikation anderer Domänencontroller nach HAM-DC-1 verhindern.
Lösung: Sie entfernen in Active Directory-Benutzer und –Computer das Computerkonto von HAM-DC-1.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
QUESTION 11
Lösung: Sie entfernen in Active Directory-Standorte und -Dienste das Objekt HAM-DC-1.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
QUESTION 12
Lösung: Sie verwenden das Befehlszeilenprogramm ntdsutil.exe und führen eine Metadaten-Bereinigung
durch.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 13
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de. Auf
allen Clientcomputern ist Windows 10 installiert.
Ein Clientcomputer mit dem Namen Computer1 wurde über einen Zeitraum von fünf
Monaten ungenutzt in einem Lager aufbewahrt.
Sie verbinden Computer1 mit dem Netzwerk und versuchen, sich an der Domäne
anzumelden. Der Anmeldevorgang schlägt fehl und Sie erhalten eine Fehlermeldung.
Sie müssen sicherstellen, dass Sie sich über Computer1 an der Domäne anmelden
können.
Wie gehen Sie vor?
A. Verwenden Sie die Windows PowerShell auf Computer1 und führen Sie das Cmdlet
Test-ComputerSecureChannel aus.
B. Verwenden Sie das Active Directory-Verwaltungscenter, deaktivieren Sie das
Computerkonto von Computer1 und aktivieren Sie es anschließend wieder
C. Verwenden Sie die Windows PowerShell auf Computer1 und führen Sie das Cmdlet
Restore-Computer aus.
D. Verwenden Sie die Windows PowerShell auf Computer1 und führen Sie das Cmdlet
Set-ADComputer aus.
Correct Answer: A
Section: New
Explanation
Das Cmdlet Test-ComputerSecureChannel überprüft, ob der sichere Kanal zwischen
dem lokalen Computer und seiner Domäne ordnungsgemäß funktioniert, indem der
Status seiner Vertrauensstellungen überprüft wird. Wenn eine Verbindung fehlschlägt,
können Sie den Parameter Repair verwenden, um zu versuchen, sie
wiederherzustellen.
Test-ComputerSecureChannel gibt $True zurück, wenn der Kanal korrekt funktioniert,
und $False, wenn dies nicht der Fall ist. Mit diesem Ergebnis können Sie das Cmdlet in
bedingten Anweisungen in Funktionen und Skripts verwenden.
Das Cmdlet funktioniert ähnlich wie das Befehlszeilenprogramm netdom.exe. Sowohl
netdom.exe als auch Test-ComputerSecureChannel verwenden den NetLogon-Dienst,
um die Aktionen auszuführen.
Der nachstehende Befehl setzt den Kanal zwischen dem lokalen Computer und seiner
Domäne zurück.
Test-ComputerSecureChannel -Repair
QUESTION 14
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Auf allen
Domänencontrollern ist das Betriebssystem Windows Server 2016 installiert. Auf allen
Clientcomputern wird Windows 10 ausgeführt.
Einige Benutzer berichten über Probleme bei der Anmeldung an Domänencontrollern.

Sie vermuten, dass das Problem durch fehlerhafte Dienstidentifizierungseinträge (SRV)
verursacht wird.
Welche zwei Befehle können Sie für das Überprüfen der Dienstidentifizierungseinträge
(SRV) verwenden?
(Jede korrekte Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei Antworten.)
A. Dnscmd /DirectoryPartitionInfo
B. Dcdiag.exe /test:connectivity
C. Dnscmd /IpValidate
D. Dcdiag.exe /DnsRecordRegistration
E. Dnscmd /info
F. Dcdiag.exe /test:DNS
Correct Answer: DF
Section: New
Explanation
Ein SRV-Eintrag ist ein Domain Name System (DNS)-Ressourceneintrag, der verwendet
wird, um Computer zu identifizieren, die bestimmte Dienste hosten.
QUESTION 15
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Funktionsebene der
Gesamtstruktur lautet Windows Server 2016.
Das Netzwerk umfasst mehrere Linux-Server, die für die Authentifizierung und
Autorisierung des Zugriffs mit Kerberos V5 verwendet werden.
Sie müssen sicherstellen, dass die Benutzer mit ihren Active Directory-
Anmeldeinformationen auf die Ressourcen auf den Linux-Servern zugreifen können. Der
administrative Aufwand Ihrer Lösung muss möglichst gering sein.
Was implementieren Sie?
A. Eine Bereichsvertrauensstellung
B. Die Active Directory-Verbunddienste (AD FS)
C. Einen Webanwendungsproxy
D. Eine externe Vetrauensstellung
Correct Answer: A
Section: New
Explanation
Das wichtigste Werkzeug rund um Kerberos ist Active Directory-Domänen und -
Vertrauensstellungen. Damit können neue Vertrauensstellungen zwischen Systemen
konfiguriert werden. Bei den Eigenschaften einer Domäne findet man im Register
Vertrauensstellungen die Schaltfläche Neue Vertrauensstellung. Darüber kann ein
Assistent gestartet werden, mit dem sich Vertrauensstellungen definieren lassen.
Der Assistent bietet bereits auf der Startseite die Option an, eine Vertrauensstellung mit
einem Kerberos V5-Bereich aufzubauen. Damit lassen sich Trusts zwischen Domänen
im Active Directory und bestehenden Kerberos-Infrastrukturen auf UNIX-/Linux-Basis
definieren. Für die Vertrauensstellung muss der Domänenname der entsprechenden
Kerberos-Infrastruktur angegeben werden. Wenn es sich um keinen Windows-
kompatiblen Namen handelt, schlägt der Assistent automatisch die Definition einer
Bereichsvertrauensstellung zwischen zwei Kerberos-Realms vor.
Für diese Vertrauensstellung kann anschließend definiert werden, ob sie transitiv oder
nicht transitiv arbeiten soll. Transitive Vertrauensstellungen können auch über die
Grenzen der Domäne hinaus arbeiten, für die die Vertrauensstellung aufgebaut wird.
Transitive Vertrauensstellung haben den Vorteil, dass gegebenenfalls weniger explizite
Vertrauensstellungen zwischen dem Active Directory und der externen Kerberos-
Infrastruktur aufgebaut werden müssen. Der Nachteil ist aber die geringere Kontrolle
über die Sicherheit, weil damit eine Vertrauensstellung auch für Benutzer aus anderen
Domänen gilt.
QUESTION 16
Domäne enthält einen schreibgeschützten Domänencontroller (RODC) mit dem Namen
RODC1.
Die Domäne enthält die folgenden Benutzerkonten:
Gruppe1 ist Mitglied der Gruppe Sicherungs-Operatoren.
Für RODC1 ist die folgende Kennwortreplikationsrichtlinie konfiguriert:

(Die Aussagen sind in der Abbildung dargestellt. Klicken Sie auf die Schaltfläche
Zeichnung. Sie dürfen in jeder Zeile nur eine Markierung setzen. Für jede korrekte
Markierung erhalten Sie einen Punkt.)
A. Nach der Authentifizierung von Benutzer1 durch RODC1 wird das Kennwort auf
RODC1 zwischengespeichert: Ja
Nach der Authentifizierung von Benutzer2 durch RODC1 wird das Kennwort auf
B. Nach der Authentifizierung von Benutzer1 durch RODC1 wird das Kennwort auf
RODC1 zwischengespeichert: Nein
C. Nach der Authentifizierung von Benutzer1 durch RODC1 wird das Kennwort auf
D. Nach der Authentifizierung von Benutzer1 durch RODC1 wird das Kennwort auf
E. Nach der Authentifizierung von Benutzer1 durch RODC1 wird das Kennwort auf
F. Nach der Authentifizierung von Benutzer1 durch RODC1 wird das Kennwort auf
Correct Answer: D
Section: New
Explanation
Benutzer1 ist Mitglied von Gruppe1 und Gruppe1 ist Mitglied der Gruppe Sicherungs-
Operatoren. Für die Gruppe Sicherungs-Operatoren ist das Replizieren der Kennwörter
nicht zugelassen. Ein verweigertes Recht hat Vorrang vor einem an anderer Stelle
gewährtem Recht.
Benutzer2 ist Mitglied von Gruppe2. Für Mitglieder von Gruppe2 ist das Replizieren der
Kennwörter zugelassen.
Benutzer3 ist Mitglied von Gruppe1 und von Gruppe2. Gruppe1 ist Mitglied der Gruppe
Sicherungs-Operatoren. Für die Gruppe Sicherungs-Operatoren ist das Replizieren der
Kennwörter nicht zugelassen. Ein verweigertes Recht hat Vorrang vor einem an anderer
Stelle gewährtem Recht.
QUESTION 17
Szenario verwenden. Das Szenario wird bei jeder Aufgabe wiederholt. Jede Frage zu
diesem Szenario verfolgt ein anderes Ziel und bietet eigene Antwortmöglichkeiten.
eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Zwischen
certbase.de und einer Gesamtstruktur mit dem Namen traincert.eu besteht eine
Gesamstruktur-Vertrauensstellung.
CertBase stellt einen neuen Mitarbeiter ein. Der Mitarbeiter erhält den Benutzernamen
Benutzer3 und wird von zu Hause aus arbeiten. Benutzer3 verwendet einen Windows 10
Computer mit dem Namen Computer3. Computer3 ist derzeit Teil einer Arbeitsgruppe.
Ein Administrator mit dem Namen Admin1 ist Mitglied der Gruppe Domänen-Admins der
Domäne certbase.de.
Sie verwenden das Snap-In Active Directory-Benutzer und –Computer und erstellen in
der Domäne certbase.de eine Organisationseinheit (OU) mit dem Namen OU1.
Anschließend erstellen Sie in OU1 einen Kontakt mit dem Namen Kontakt1.
Ein Administrator der Domäne traincert.eu verwendet das Cmdlet Set-ADUser, um für
ein Benutzerkonto mit dem Namen Benutzer1 den Anmeldenamen
benutzer1@merkur.de zu konfigurieren.
Admin1 versucht die Organisationseinheit OU1 zu löschen und erhält eine

Fehlermeldung.
Sie müssen sicherstellen, dass Admin1 OU1 erfolgreich löschen kann.

A. Löschen Sie Kontakt1.
B. Nehmen Sie Admin1 in die Gruppe Organisations-Admins auf.
C. Ändern Sie die Objekteinstellungen für OU1.
D. Deaktivieren Sie den Active Directory-Papierkorb.
Correct Answer: C
Section: New
Explanation
Wir müssen die Objekteinstellungen von OU1 ändern und die Option Objekt vor
zufälligem Löschen schützen deaktivieren.
QUESTION 18
Namen certbase.de. Ihr Benutzerkonto ist Mitglied der Gruppe Domänen-Admins.
Sie haben 100 Laptops, auf denen ein Standardimage des Unternehmens installiert ist.
Die Laptops sind Teil einer Arbeitsgruppe und haben per Zufall generierte Namen.
Ein Techniker mit dem Namen Tech1 hat die Aufgabe, die Laptops in die Domäne
aufzunehmen. Die Computerkonten der Laptops sollen der Organisationseinheit (OU)
der Abteilung des jeweiligen Benutzers zugewiesen werden. Die Namen der Laptops
müssen mit vier Zeichen beginnen, die die Abteilung kennzeichnen, anschließend soll
eine vierstellige Zahl folgen.
Tech1 ist auschließlich Mitglied der Gruppe Domänen-Benutzer.
Ihre Lösung muss sicherstellen, dass die Laptops die richtigen Namen erhalten und dass
die Computerkonten der Laptops den richtigen Organisationseinheiten zugewiesen
werden.
Lösung: Sie verwenden das Snap-In Active Directory-Benutzer und -Computer und
erstellen für jeden Laptop ein Computerkonto vorab. Sie weisen Tech1 an, sich bei
jedem Laptop anzumelden und das Befehlszeilenprogramm djoin.exe auszuführen.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Seit Windows Server 2008 R2 lassen sich mit dem Tool Djoin.exe Computerkonten
auch dann einer Domäne hinzufügen, wenn diese aktuell keine Verbindung mit dem
Domänencontroller haben. Sobald der Client eine Verbindung aufbaut, wendet er die
notwendigen Einstellungen und Berechtigungen an, die für eine Domänenaufnahme
notwendig sind. So ist es zum Beispiel möglich, Clients von Niederlassungen in
Domänen aufzunehmen, wenn aktuell keine Verbindung zur Domäne besteht.
Djoin.exe erlaubt über den Parameter /machine die Angabe eines Zielcomputernamens
und über den Parameter machineou die Angabe einer Ziel-Organisationseinheit für das
zu erstellende Computerkonto.
Siehe auch:
Djoin
QUESTION 19
Namen certbase.de. Ihr Benutzerkonto ist Mitglied der Gruppe Domänen-Admins.
Sie haben 100 Laptops, auf denen ein Standardimage des Unternehmens installiert ist.
Die Laptops sind Teil einer Arbeitsgruppe und haben per Zufall generierte Namen.
Ein Techniker mit dem Namen Tech1 hat die Aufgabe, die Laptops in die Domäne
aufzunehmen. Die Computerkonten der Laptops sollen der Organisationseinheit (OU)
der Abteilung des jeweiligen Benutzers zugewiesen werden. Die Namen der Laptops
müssen mit vier Zeichen beginnen, die die Abteilung kennzeichnen, anschließend soll
eine vierstellige Zahl folgen.
Ihre Lösung muss sicherstellen, dass die Laptops die richtigen Namen erhalten und dass
die Computerkonten der Laptops den richtigen Organisationseinheiten zugewiesen
werden.
Lösung:Sie verwenden das Snap-In Active Directory-Benutzer und -Computer und

erstellen für jeden Laptop ein Computerkonto vorab. Sie weisen Tech1 an, sich bei
jedem Laptop anzumelden, den Laptop umzubenennen und ihn anschließend mithilfe
der Systemsteuerung in die Domäne aufzunehmen.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Seit Windows Server 2008 R2 lassen sich mit dem Tool Djoin.exe Computerkonten
auch dann einer Domäne hinzufügen, wenn diese aktuell keine Verbindung mit dem
Domänencontroller haben. Sobald der Client eine Verbindung aufbaut, wendet er die
notwendigen Einstellungen und Berechtigungen an, die für eine Domänenaufnahme
notwendig sind. So ist es zum Beispiel möglich, Clients von Niederlassungen in
Domänen aufzunehmen, wenn aktuell keine Verbindung zur Domäne besteht.
Djoin.exe erlaubt über den Parameter /machine die Angabe eines Zielcomputernamens
und über den Parameter machineou die Angabe einer Ziel-Organisationseinheit für das
zu erstellende Computerkonto.
Siehe auch:
Djoin
QUESTION 20
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de.
Die Gesamtstruktur beinhaltet 10 Domänen. Die Stammdomäne enthält einen globalen
Katalogserver mit dem Namen DC1.
Sie entfernen den globalen Katalog (Global Catalog, GC) von DC1.
Sie müssen die Größe der Active Directory-Datenbank auf DC1 verringern.
Lösung: Sie beenden den Dienst Active Directory-Domänendienste auf DC1. Sie starten
ntdsutil.exe und verwenden die Option „Metadata cleanup“. Anschließend starten Sie
den Dienst Active Directory-Domänendienste auf DC1.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Active Directory führt die Online-Defragmentierung der Datenbank in bestimmten
Intervallen automatisch als Teil des Garbage Collection-Prozesses durch. Dies geschieht
standardmäßig alle 12 Stunden. Die Online-Defragmentierung reduziert nicht die Größe
der Datenbankdatei (Ntds.dit), sondern optimiert den Datenspeicher in der Datenbank
und stellt Speicherplatz im Verzeichnis für neue Objekte wieder her.
Durch Ausführen einer Offlinedefragmentierung wird eine neue Version der

Datenbankdatei ohne interne Fragmentierung erstellt. Es erstellt auch alle Indizes neu.
Je nachdem, wie fragmentiert die ursprüngliche Datenbankdatei war, ist die neue Datei
möglicherweise viel kleiner.
Um die Offline-Defragmentierung der Active Directory-Datenbank durchzuführen,

müssen Sie den Befehl compact aus dem Untermenü files des Befehlszeilen-
Dienstprogramms ntdsutil.exe ausführen.
Voraussetzung für die Offlinedefragmentierung ist, dass die Datenbank nicht in

Verwendung ist. Zu diesem Zweck wird der Domänencontroller im Modus für die
Verzeichnisdienstwiederherstellung gestartet.
Der folgende Technet-Artikel bietet eine Schritt-für-Schritt Anleitung zum Thema:
How to perform offline defragmentation of the Active Directory database
QUESTION 21
Lösung: Sie starten DC1 im Modus für die Verzeichnisdienstwiederherstellung. Sie

führen compact.exe aus und starten DC1 anschließend neu.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation




QUESTION 22
Lösung: Sie starten DC1 im abgesicherten Modus. Sie führen ntdsutil.exe aus und
verwenden die Option files. Anschließend starten Sie DC1 neu.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation



Der Reparaturmodus für die Verzeichnisdienste (Directory Services Restore Mode,

DSRM) ist nicht identisch mit dem abgesicherten Modus. Im abgesicherten Modus
werden die Active Directory-Domänendienste ausgeführt, im Reparaturmodus für die
Verzeichnisdienste hingegen, sind die Dienste nicht gestartet.

QUESTION 23
Lösung: Sie beenden den Dienst Active Directory-Domänendienste und führen

defrag.exe aus. Anschließend starten Sie den Dienst Active Directory-Domänendienste.

A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation




QUESTION 24
Lösung: Sie starten DC1 im Reparaturmodus für die Verzeichnisdienste. Sie führen
ntdsutil.exe aus und verwenden die Option files. Anschließend führen Sie für DC1 einen
Neustart durch.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation



QUESTION 25
Ihr Netzwerk umfasst zwei Active Directory-Gesamtstrukturen mit den Namen
traincert.eu und certbase.de. In jeder Gesamtstruktur sind zwei Standorte erstellt. An
jedem Standort befinden sich zwei Domänencontroller.
Sie müssen alle Domänencontroller in beiden Gesamtstrukturen als globale

Katalogserver konfigurieren.
Welches Snap-In verwenden Sie?
A. Active Directory-Standorte und –Dienste

B. Active Directory-Benutzer und -Computer
C. Active Directory-Domänen und -Vertrauensstellungen
D. Active Directory-Verbunddienste
Correct Answer: A
Section: New
Explanation
Sie können das Snap-In „Active Directory-Standorte und Dienste“ verwenden, um einen
Domänencontroller für den den globalen Katalog zu aktivieren oder zu deaktivieren. Das
Aktivieren des globalen Katalogs kann zusätzlichen Replikationsdatenverkehr
verursachen. Das Entfernen des globalen Katalogs erfolgt jedoch graduell im
Hintergrund und hat weder Auswirkungen auf die Replikation noch auf die Leistung.
So fügen Sie den globalen Katalog mithilfe des Snap-Ins „Active Directory-
Standorte und Dienste“ hinzu oder entfernen diesen
Öffnen Sie „Active Directory-Standorte und -Dienste“.
Klicken Sie in der Konsolenstruktur auf das Serverobjekt, dem der globale Katalog
hinzugefügt werden soll oder von dem der globale Katalog entfernt werden soll.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die Option NTDS-
Einstellungen des ausgewählten Serverobjekts, und klicken Sie dann auf
Eigenschaften.
Aktivieren Sie das Kontrollkästchen Globaler Katalog, um den globalen Katalog
hinzuzufügen, oder deaktivieren Sie das Kontrollkästchen, um den globalen Katalog zu
entfernen.
So fügen Sie den globalen Katalog mithilfe des Active Directory-Moduls für die
Windows PowerShell hinzu oder entfernen diesen
Set-ADObject "CN=NTDS Settings,CN=CB-DC1,CN=Servers,CN=Default-First-Site-
Name,CN=Sites,CN=Configuration,DC=certbase,DC=de" -Replace@{options='1'}
Um den globalen Katalog zu deaktivieren ersetzen Sie den Wert 1 durch 0.
QUESTION 26
Das Benutzerkonto eines Benutzers mit dem Namen Benutzer1 befindet sich in einer
Organisationseinheit (OU) mit dem Namen OU1.
Sie müssen Benutzer1 ermöglichen den Namen benutzer1@traincert.eu für die

Anmeldung zu verwenden.
Lösung: Sie führen an der Windows PowerShell den folgenden Befehl aus:
Set-ADObject 'CN=Benutzer1,OU=OU1,DC=certbase,DC=de' -Add @

{UserPrincipalName='benutzer1@traincert.eu'} -Remove @
{UserPrincipalName='benutzer1@certbase.de'}
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Im ersten Schritt sollten Sie das alternative UPN-Suffix traincert.eu mithilfe des Snap-Ins
Active Directory-Domänen und -Vertrauensstellungen oder des PowerShell-Cmdlets Set-
ADForest hinzufügen.
Beispiel:
Set-ADForest -Identity certbase.de -UPNSuffixes @{add="traincert.eu"}
Im zweiten Schritt müssen wir den Benutzeranmeldename von Benutzer1 ändern. Dazu
können wir das Snap-In Active Directory-Benutzer und -Computer, das Active Directory-
Verwaltungscenter, das Cmdlet Set-AdObject oder das Cmdlet Set-ADUser verwenden.
Beispiel:

oder
Set-ADUser -UserPrincipalName benutzer1@traincert.eu -Identity Benutzer1
Hinweis:
Benutzer1 kann sich auch dann mit dem UPN-Suffix anmelden, wenn das neu
zugewiesene UPN-Suffix nicht als alternatives UPN-Suffix für die Gesamtstruktur
registriert ist.
Benutzer1 kann weiterhin auch das "original" certbase.de-Suffix verwenden, nachdem

sein UPN-Suffix geändert wurde.
Wenn das neue UPN-Suffix der Gesamtstruktur hinzugefügt, aber nicht als
Benutzeranmeldename für Benutzer1 festgelegt wird, kann Benutzer1 sich nicht mit
dem neuen UPN-Suffix anmelden.
QUESTION 27

Lösung: Sie führen an der Windows PowerShell den folgenden Befehl aus:
Set-ADUser Benutzer1 -UserPrincipalName Benutzer1@Traincert.eu
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Beispiel:
Beispiel:

oder
Hinweis:
registriert ist.

QUESTION 28

Lösung: Sie verwenden das Snap-In Active Directory-Domänen und -

Vertrauensstellungen und konfigurieren ein alternatives UPN-Suffix. Sie verwenden das
Active Directory-Verwaltungscenter und konfigurieren die Einstellung "Benutzer-UPN-
Anmeldung" für Benutzer1.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Beispiel:

Beispiel:

oder
Hinweis:
registriert ist.

QUESTION 29

Lösung: Sie verwenden Active Directory-Benutzer und -Computer und legen für
Benutzer1 die Eigenschaft „E-Mail“ mit „benutzer1@traincert.eu“ fest.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Beispiel:
Beispiel:

oder
Hinweis:
registriert ist.

QUESTION 30
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält

eine Domäne mit dem Namen certbase.de. Die Domäne enthält drei
Domänencontroller.
Bei einem Domänencontroller mit dem Namen HAM-DC-1 tritt ein Fehler auf. Sie können
den Domänencontroller nicht reparieren.
Lösung: Sie verwenden das Snap-In Active Directory-Domänen und -

Vertrauensstellungen und übertragen die Betriebsmasterrollen von HAM-DC-1.

A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Mithilfe des Snap-Ins Active Directory-Domänen und -Vertrauensstellungen können die
Betriebsmasterrollen nicht übertragen werden. Das Übertragen von Betriebsmasterrollen
verhindert zudem nicht die Replikation.
QUESTION 31
Gesamtstruktur enthält eine einzelne Domäne. Die Domäne enthält einen Server mit dem Namen Server1.
Ein Administrator mit dem Namen Admin1 plant, Server1 als eigenständige Zertifizierungsstelle (CA) zu
konfigurieren.
Sie müssen identifizieren, in welcher Gruppe Admin1 Mitglied sein muss, um erfolgreich eine eigenständige
Zertifizierungsstelle zu konfigurieren. Ihre Lösung muss dem Prinzip der Vergabe geringstmöglicher
Berechtigung entsprechen.
In welcher Gruppe muss Admin1 Mitglied sein?
A. Administratoren auf Server1.

B. Domänen-Admins in der Domäne certbase.de.
C. Zertifikatherausgeber auf Server1
D. Schlüsseladministratoren in der Domäne certbase.de.
Correct Answer: A
Section: 4.1 Installieren und Einrichten von AD CS
Explanation
Erläuterungen:
Für die Installation einer eigenständigen Zertifizierungsstelle müssen Sie mindestens Mitglied der lokalen
Gruppe Administratoren oder einer entsprechenden Gruppe sein.
Für die Installation einer Unternehmenszertifizierungsstelle, müssen Sie mindestens Mitglied der Gruppe
Organisations-Admins oder einer entsprechenden Gruppe sein.
QUESTION 32
certbase.de. Sie planen die Implementierung einer neuen Zertifizierungshierarchie.
Um bestmöglichen Schutz vor einer Kompromittierung der gesamten Zertifizierungshierarchie zu erreichen,

wollen Sie die Stammzertifizierungsstelle im Offlinemodus betreiben.
Die Stammzertifizierungsstelle soll nur dann online geschaltet werden, wenn Signaturzertifikate für
untergeordnete Zertifizierungsstellen ausgestellt, erneuert oder gesperrt werden müssen.
Welchen Zertifizierungsstellentyp verwenden Sie für die Stammzertifizierungsstelle?
A. Unternehmens-Stammzertifizierungsstelle
B. Untergeordnete Unternehmenszertifizierungsstelle
C. Eigenständige Stammzertifizierungsstelle
D. Eigenständige untergeordnete Zertifizierungsstelle
Correct Answer: C
Explanation
Erläuterungen:
Die Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) von Microsoft unterstützt ein
hierarchisch aufgebauten Zertifizierungsstellenmodell.
In ihrer einfachsten Form besteht eine Zertifizierungshierarchie aus einer einzelnen Zertifizierungsstelle. In
der Regel umfasst eine Hierarchie jedoch mehrere Zertifizierungsstellen mit eindeutig definierten
Beziehungen zwischen über- und untergeordneten Zertifizierungsstellen. In diesem Modell werden die
untergeordneten Zertifizierungsstellen durch die von der jeweiligen übergeordneten Zertifizierungsstelle
ausgestellten Zertifikate zertifiziert, durch die der öffentliche Schlüssel einer Zertifizierungsstelle an die
Identität gebunden wird. Die oberste Zertifizierungsstelle in einer Hierarchie wird als
Stammzertifizierungsstelle bezeichnet. Die Zertifizierungsstellen unterhalb der Stammzertifizierungsstellen
werden als untergeordnete Zertifizierungsstellen bezeichnet.
Aufbauen einer Zertifizierungshierarchie

Der erste Schritt zum Aufbauen einer Zertifizierungshierarchie ist die Installation einer
Stammzertifizierungsstelle (Certification Authority, CA) durch einen Domänen-Admin.
Bei der Installation einer Stammzertifizierungsstelle für Zertifikatdienste wird ein Zertifikat der
Stammzertifizierungsstelle generiert, das den öffentlichen Schlüssel und die digitale Signatur der
Zertifizierungsstelle enthält. Diese werden durch den privaten Schlüssel der Stammzertifizierungsstelle
erstellt.
Nachdem eine Vertrauensstellung gegenüber einer Stammzertifizierungsstelle aufgebaut wurde, können

Sie Zertifizierungsstellen (Certification Authority, CA) installieren, die der Stammzertifizierungsstelle
untergeordnet sind. Sie können auch untergeordnete Zertifizierungsstellen installieren, die anderen
untergeordneten Zertifizierungsstellen untergeordnet sind. So können Sie Beziehungen zwischen über- und
untergeordneten Zertifizierungsstellen schaffen, die verschiedene Funktionen in der Infrastruktur
öffentlicher Schlüssel (Public Key Infrastructure, PKI) einer Organisation haben. Der einzig bedeutsame
Unterschied zwischen der Installation einer Stammzertifizierungsstelle und der einer untergeordneten
Zertifizierungsstelle besteht darin, dass von einer untergeordneten Zertifizierungsstelle eine
Zertifikatanforderung für die Weiterleitung an eine andere Zertifizierungsstelle generiert und kein
selbstsigniertes Zertifikat erstellt wird. Diese Anforderung kann automatisch über Active Directory an online
geschaltete Zertifizierungsstellen weitergeleitet werden. Falls diese offline sind, muss die Anforderung
manuell weitergeleitet werden. In beiden Fällen muss das resultierende Zertifikat auf der neuen
untergeordneten Zertifizierungsstelle installiert werden, bevor sie verwendet werden kann.
Um die Stammzertifizierungsstelle und damit die Zertifizierungshierarchie insgesamt vor Kompromittierung

zu schützen, können Sie diese in einem physikalisch sicheren Bereich oder sogar offline betreiben.
Bei der Verwendung einer Stammzertifizierungsstelle im Offlinemodus ergeben sich allerdings Fragen in
Zusammenhang mit der Sperrüberprüfung ausgestellter Zertifikate.
QUESTION 33
Gesamtstruktur enthält mehrere Domänen.
Ein Administrator mit dem Benutzernamen Admin1 installiert Windows Server 2016 auf einem Server mit
dem Namen Server1. Anschließend nimmt er Server1 in die Domäne certbase.de auf.
Admin1 plant, auf Server1 eine Unternehmens-Stammzertifizierungsstelle (CA) zu implementieren.
Sie müssen sicherstellen, dass Admin1 auf Server1 eine Unternehmens-Stammzertifizieurngsstelle

installieren kann. Ihre Lösung muss dem Prinzip der Vergabe geringstmöglicher Berechtigungen
entsprechen.
In welche Gruppe nehmen Sie Admin1 auf?
A. In die Gruppe Server-Operatoren der Domäne certbase.de.

B. In die Gruppe Zertifikatherausgeber auf Server1.
C. In die Gruppe Unternehmensschlüsseladministratoren der Domäne certbase.de.
D. In die Gruppe Organisations-Admins der Domäne certbase.de.
Correct Answer: D
Explanation
Erläuterungen:
Für die meisten Organisationen ist ein Zertifikat einer Stammzertifizierungsstelle (Certification Authority,
CA) der erste installierte Active Directory-Zertifikatsdienste-Rollendienst (Active Directory Certificate
Services, AD CS). In einer einfachen Public Key-Infrastruktur (Public Key Infrastructure, PKI) kann eine
Stammzertifizierungsstelle die einzige Zertifizierungsstelle sein, die von einer Organisation bereitgestellt
wird.
Unabhängig davon, ob Sie nur eine Zertifizierungsstelle oder mehrere Zertifizierungsstellen installieren,
stellt das Stamm-Zertifizierungsstellenzertifikat die Grundlage aller Zertifizierungsstellen dar und bestimmt
die grundlegenden Regeln für die Zertifikatausstellung und Verwendung der gesamten PKI. Während die
Stammzertifizierungsstelle Standards definiert, was in einer PKI-Hierarchie zulässig ist und was nicht,
wendet AD CS diese Standards auf alle anderen Zertifizierungsstellen und AD CS-Rollendienste an.
Eine Stammzertifizierungsstelle kann eine eigenständige Zertifizierungsstelle oder eine

Unternehmenszertifizierungsstelle sein. Wenn es in einer Organisation mehrere Zertifizierungsstellen gibt,
versuchen viele Organisationen, die Stammzertifizierungsstelle vor Zugriff von außen zu schützen, indem
sie sie nur dann online schalten, wenn sie für die Verarbeitung einer Zertifikatanforderung von einer
untergeordneten Zertifizierungsstelle benötigt wird.
Sie müssen mindestens Mitglied der lokalen Gruppe Administratoren oder einer entsprechenden Gruppe
sein, um eine Stammzertifizierungsstelle installieren zu können. Wenn es sich um eine
Unternehmenszertifizierungsstelle handelt, müssen Sie mindestens Mitglied der Gruppe Organisations-
Admins oder einer entsprechenden Gruppe sein.
QUESTION 34
Zertifizierungsstelle (CA).
Das Zertifikat der Zertifizierungsstelle ist fünf Jahre gültig und läuft in Kürze ab.
Sie müssen das Zertifikat der Zertifizierungsstelle erneuern. Sie müssen sicherstellen, dass das neue
Zertifikat eine Gültigkeit von 10 Jahren hat.
Welche Aktion führen Sie aus, bevor Sie das Zertifikat erneuern?
A. Erstellen Sie mit dem Microsoft Editor eine Datei namens CAPolicy.inf und speichern Sie die Datei
im Ordner C:\Windows.
B. Erstellen Sie mit Microsoft XML Notepad eine Datei namens CAPolicy.xml und speichern Sie die
Datei im Ordner C:\Windows\System32\ADCS.
C. Erstellen Sie mit dem Windows System Image Manager (Windows SIM) eine Datei namens
Unattend.xml und speichern Sie die Datei im Ordner C:\Windows\System32\Config.
D. Erstellen Sie mit dem Windows-Designer für die Imageerstellung und –konfiguration eine Datei namens
Unattend.ini und speichern Sie die Datei im Ordner C:\Windows\Panther.
Correct Answer: A
Explanation
Erläuterungen:
Die Gültigkeitsdauer des Zertifizierungsstellenzertifikats wird in der Datei CAPolicy.inf definiert. Die
Datei befindet sich im Pfad C:\Windows.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Vorbereiten der Datei
CAPolicy.inf
QUESTION 35
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de. Sie installieren eine
eigenständige Stammzertifizierungsstelle mit dem Namen CA1 auf einem Windows Server 2016 Server mit
dem Namen Server1.
Sie müssen sicherstellen, dass Domänencomputer automatisch für ein Zertifikat auf Basis einer
benutzerdefinierten Vorlage registriert werden.
A. Ändern Sie das Beendigungsmodul in den Einstellungen von CA1.

B. Installieren Sie eine eigenständige untergeordnete Zertifizierungsstelle.
C. Ändern Sie das Richtlinienmodul in den Einstellungen von CA1.
D. Installieren Sie eine untergeordnete Unternehmenszertifizierungsstelle.
Correct Answer: D
Explanation
Erläuterungen:
Viele Zertifikate können verteilt werden, ohne dass die Registrierung vom Client überhaupt wahrgenommen
wird. Dazu zählen die meisten Zertifikattypen, die an Computer und Dienste ausgestellt werden, sowie viele
an Benutzer ausgestellte Zertifikate.
Gehen Sie folgendermaßen vor, um Clients automatisch für Zertifikate in einer Domänenumgebung zu
registrieren:
Konfigurieren Sie eine Zertifikatvorlage mit Berechtigungen zur automatischen Registrierung.

Konfigurieren Sie eine Richtlinie zur automatischen Registrierung für die Domäne.
Eine eigenständige Zertifikatvorlage unterstützt keine Zertifikatvorlagen. Für die automatische

Zertifikatsregistrierung ist eine Zertifizierungsstelle vom Typ Unternehmen erforderlich.
QUESTION 36
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk umfasst eine eigenständige
Zertifizierungsstelle (CA).
Eine neue Firmenvorgabe erfordert, dass alle Änderungen der Konfiguration der Zertifizierungsstelle
protokolliert werden.
Sie müssen sicherstellen, dass die Zertifizierungsstelle der neuen Vorgabe entspricht.
A. Verwenden Sie die Verwaltungskonsole der Zertifizierungsstelle und ändern Sie die
Sicherheitseinstellungen der Zertifizierungsstelle.
B. Verwenden Sie den Editor für lokale Gruppenrichtlinien und konfigurieren Sie die Überwachung für den
Objektzugriff.
C. Verwenden Sie die Verwaltungskonsole der Zertifizierungsstelle und ändern Sie die
Überwachungseinstellungen der Zertifizierungsstelle.
D. Verwenden Sie die Verwaltungskonsole der Zertifizierungsstelle und ändern Sie die
Zertifikatverwaltungseinstellungen der Zertifizierungsstelle.
E. Verwenden Sie den Editor für lokale Gruppenrichtlinien und konfigurieren Sie die Überwachung von
Richtlinienänderungen.
Correct Answer: BC
Explanation
Erläuterungen:
Zusätzlich zu den Überwachungseinstellungen der Zertifizierungsstelle muss die Überwachung des
Objektzugriffs konfiguriert werden.
QUESTION 37
certbase.de. Die Domänenbenutzer verwenden Smartcards für die Anmeldung an ihren Clientcomputern.
Einige Benutzer berichten, dass die Anmeldung viel Zeit benötigt. Das Zeitlimit für die Anmeldung wird
zudem häufig überschritten so, dass der Anmeldeprozess erneut gestartet werden muss.
Sie stellen fest, dass es Probleme bei der Überprüfung der Zertifikatsperrlisten (CRL) der
Smartcardzertifikate gibt.
Sie müssen die Probleme lösen, ohne die Sicherheit der Smartcard-Anmeldungen zu beeinträchtigen.
Wie gehen Sie vor?
A. Bearbeiten Sie die Eigenschaften der Zertifikatvorlage der Smartcard-Zertifikate und ändern Sie die
Einstellungen der Anforderungsverarbeitung.
B. Bearbeiten Sie die Eigenschaften der Zertifikatvorlage der Smartcard-Zertifikate und ändern Sie die
Einstellungen der Ausstellungsvoraussetzungen.
C. Deaktivieren Sie das Überprüfen der Sperrlisten auf den Clientcomputern.
D. Implementieren Sie einen Online-Responder (OCSP).
Correct Answer: D
Explanation
Erläuterungen:
Die meisten Anwendungen, die von X.509-Zertifikaten abhängen, müssen den Status der verwendeten
Zertifikate bei einer Authentifizierung, Signierung oder Verschlüsselung überprüfen. Diese Überprüfung der
Zertifikatgültigkeit und -sperrung wird bei allen Zertifikaten in einer Zertifikatkette bis hin zum
Stammzertifikat ausgeführt. Wenn das Stammzertifikat oder ein Zertifikat in der Kette ungültig ist, sind die
Zertifikate unterhalb des ungültigen Zertifikats in der Kette auch ungültig.
Folgendes wird überprüft:
Die Signatur eines jeden Zertifikats ist gültig.

Die aktuellen Datums- und Zeitangaben liegen innerhalb des Gültigkeitszeitraums eines jeden
Zertifikats.
Kein Zertifikat ist beschädigt oder unzulässig.
Darüber hinaus wird der Sperrstatus eines jeden Zertifikats in der Zertifikatkette überprüft. Die
Sperrüberprüfung kann mithilfe der Antwort einer Zertifikatsperrliste (Certificate Revocation List, CRL) oder
des Online Certificate Status-Protokolls (OCSP) erfolgen.
Der Microsoft Online-Responder implementiert das Online Certificate Status-Protokoll, mit dem der
Empfänger eines Zertifikats mithilfe von HTTP (Hypertext Transfer Protocol) eine
Zertifikatstatusanforderung an einen OCSP-Responder senden kann. Der OCSP-Responder sendet eine
definitive, digital signierte Antwort mit dem Zertifikatstatus zurück. Die pro Anforderung abgerufene
Datenmenge bleibt unabhängig von der Anzahl der gesperrten Zertifikate in der Zertifizierungsstelle stets
konstant.
QUESTION 38
certbase.de. Sie stellen eine neue Unternehmenszertifizierungsstelle (CA) mit dem Namen CA1 bereit. Sie
planen, Zertifikate auf Basis der Vorlage Benutzer auszustellen.
Sie müssen sicherstellen, dass die ausgestellten Zertifikate eine Gültigkeit von zwei Jahren haben und die
automatische Registrierung unterstützen.
A. Führen Sie das Befehlszeilenprogramm certutil.exe in Verbindung mit dem Parameter resubmit
aus.
B. Duplizieren Sie die Zertifikatvorlage Benutzer.
C. Fügen Sie der Zertifizierungsstelle CA1 eine neue Zertifikatvorlage für die Ausstellung hinzu.
D. Ändern Sie die Anforderungsverarbeitung der Zertifikatvorlage Benutzer.
Correct Answer: B
Section: 4.2 Zertifikate verwalten
Explanation
Erläuterungen:
Zertifikate auf Basis der Standardvorlage Benutzer haben eine Gültigkeit von einem Jahr. Die
Standardvorlage bietet zudem keine Unterstützung für die automatische Zertifikatregistrierung.
QUESTION 39
certbase.de. Die Domäne enthält eine Unternehmenszertifizierungsstelle (CA) mit dem Namen CA1.
Mehrere Computer haben sich erfolgreich für ein Zertifikat registriert, das in einem Jahr ablaufen wird. Die
Zertifikate basieren auf einer Vorlage mit dem Namen Secure_Computer. Die Vorlage verwendet die
Schemaversion 2.
Sie müssen sicherstellen, dass neue Zertifikate, die auf Basis der Vorlage Secure_Computer ausgestellt
werden, für drei Jahre gültig sind.
Wie gehen Sie vor?
A. Ändern Sie die Gültigkeitsdauer der Zertifikatvorlage.

B. Weisen Sie die Benutzer an, das Befehlszeilenprogramm certreq.exe für das Anfordern von
Zertifikaten zu verwenden.
C. Weisen Sie die Benutzer an, das Snap-In Zertifikate für das Anfordern von Zertifikaten zu verwenden.
D. Ändern Sie die Gültigkeitsdauer des Zertifikats der Stammzertifizierungsstelle.
Correct Answer: A
Explanation
Erläuterungen:
Da es keine Standardvorlage mit dem Namen Secure_Computer gibt, muss es sich hier um eine duplizierte
Vorlage handeln. Für duplizierte Vorlagen, können Eigenschaften wie die Gültigkeitsdauer geändert
werden.
QUESTION 40
certbase.de. Die Domäne enthält eine Unternehmenszertifizierungsstelle (CA) mit dem Namen CA1.
Sie haben eine Zertifikatvorlage mit dem Namen UserAutoEnroll erstellt. Die Vorlage basiert auf der
Vorlage Benutzer. Domänenbenutzer haben die Berechtigung für die automatische Registrierung von
Zertifikaten auf Basis der Vorlage UserAutoEnroll.
Für einen Benutzer mit dem Namen Tom ist eine E-Mail Adresse in seinem Active Directory-Konto
eingetragen. Für eine Benutzerin mit dem Namen Sarah ist keine E-Mail Adresse angegeben.
Sie stellen fest, dass für Tom automatisch ein Zertifikat auf Basis der Vorlage UserAutoEnroll ausgestellt
wurde. Eine Anforderung von Sarah für ein Zertifikat auf Basis der Vorlage UserAutoEnroll ist jedoch
fehlgeschlagen.
Sie müssen sicherstellen, dass sich alle Benutzer erfolgreich für ein Zertifikat auf Basis der Vorlage
UserAutoEnroll registrieren können.
Welche Einstellung konfigurieren Sie in den Eigenschaften der Zertifikatvorlage UserAutoEnroll?
A. Ausstellungsvoraussetzungen
B. Anforderungsverarbeitung
C. Kryptografie
D. Antragstellername
Correct Answer: D
Explanation
Erläuterungen:
Standardmäßig wird die E-Mail Adresse des Benutzers bei der Registrierung eines Zertifikats auf Basis der
Vorlage Benutzer in den Antragstellernamen und in den alternativen Antragstellernamen einbezogen.
Die Abbildung zeigt die Standardeinstellungen:
QUESTION 41
certbase.de. Das Unternehmen verwendet die Active Directory-Zertifikatdienste.
Sie müssen sicherstellen, dass Clientcomputer ein Zertifikat innerhalb von 30 Minuten nach einer Sperrung
als gesperrt identifizieren können.
A. Einen Schlüsselwiederherstellungs-Agenten
B. Das Veröffentlichungsintervall der Sperrliste
C. Das Veröffentlichungsintervall für Deltasperrlisten
D. Zertifikatvorlagen
Correct Answer: C
Explanation
Erläuterungen:
Zertifikate werden gesperrt oder widerrufen, wenn deren zugehörige Schlüssel z. B. nicht mehr sicher sind,
weil sie in falsche Hände geraten sind. In solchen Fällen muss das Zertifikat noch vor dem eigentlichen
Ablaufdatum gesperrt werden, damit der Schlüssel nicht weiter verwendet wird.
Eine Zertifikatsperrliste (Certificate Revocation List, CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten
beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum.
Sie müssen einen regulären Veröffentlichungszeitplan für Zertifikatsperrdaten erstellen, damit Clients
jederzeit auf eine präzise Zertifikatsperrliste (Certificate Revocation List, CRL) zugreifen können. Wenn Sie
diesen Zeitplan erstellen, müssen Sie den Bedarf an präzisen aktuellen Daten den Auswirkungen, die
häufige Downloads neuer Zertifikatsperrlisten auf Clients haben können, gegenüberstellen.
So planen Sie die Veröffentlichung der Zertifikatsperrliste
1. Öffnen Sie das Zertifizierungsstellen-Snap-In.

2. Klicken Sie in der Konsolenstruktur auf Gesperrte Zertifikate.
3. Klicken Sie im Menü Aktion auf Eigenschaften.
4. Geben Sie unter Veröffentlichungsintervall der Sperrliste einen entsprechenden Wert ein, und klicken
Sie auf die Zeiteinheit, die für die automatische Veröffentlichung der Zertifikatsperrliste verwendet
werden soll.
Sie können den Veröffentlichungszeitplan für Zertifikatsperrlisten erweitern, indem Sie auch einen Zeitplan
für die Veröffentlichung von Deltasperrlisten erstellen.
So planen Sie die Veröffentlichung der Deltasperrliste
1. Öffnen Sie das Zertifizierungsstellen-Snap-In.

2. Klicken Sie in der Konsolenstruktur auf Gesperrte Zertifikate.
3. Klicken Sie im Menü Aktion auf Eigenschaften.
4. Aktivieren Sie das Kontrollkästchen Deltasperrlisten veröffentlichen.
5. Geben Sie unter Veröffentlichungsintervall der Sperrliste einen entsprechenden Wert ein, und klicken
Sie auf die Zeiteinheit, die für die automatische Veröffentlichung der Deltasperrliste verwendet werden
soll.
Die Abbildung zeigt die Standardeinstellungen:
QUESTION 42
certbase.de. Die Domäne enthält eine Unternehmens-Stammzertifizierungsstelle (CA) mit dem Namen
CA1.
Sie nutzen eine Testumgebung, die physikalisch vom Unternehmensnetzwerk und vom Internet isoliert ist.
Sie stellen in der Testumgebung einen Webserver bereit.
Sie duplizieren die Zertifikatvorlage Webserver auf CA1 und benennen die neue Vorlage mit WebCertTest.
Sie müssen für den Webserver der Testumgebung ein Zertifikat anfordern, das keine Sperrinformationen
von CA1 enthält.
A. Konfigurieren Sie die Eigenschaften von CA1 und lassen Sie zu, dass Zertifikate im Dateisystem
veröffentlicht werden.
B. Konfigurieren Sie die Eigenschaften von CA1 und aktivieren Sie die Option Registrierungs-Agents
einschränken. Fügen Sie den Registrierungs-Agents anschließend die Vorlage WebCertTest hinzu.
C. Konfigurieren Sie die Eigenschaften der Vorlage WebCertTest und weisen Sie dem Gastkonto die
Berechtigung Registrieren zu.
D. Konfigurieren Sie die Eigenschaften der Vorlage WebCertTest und legen Sie die
Kompatibilitätseinstellungen der Zertifizierungsstelle mit Windows Server 2016 fest.
Correct Answer: D
Explanation
Erläuterungen:
Standardmäßig sind die Kompatibilitätseinstellungen einer duplizierten Vorlage vom Typ Webserver auf
Zertifizierungsstellen ab Windows Server 2003 eingestellt. Die Kompatibilitätseinstellungen legen fest,
welche Optionen für eine Vorlage zur Verfügung stehen.
Legt man die Kompatibilität mit mindestens Windows Server 2008 R2 fest, steht auf dem Register Server
die Option Sperrinformationen nicht in ausgestellte Zertifikate einschließen zur Auswahl.
QUESTION 43
Ihr Netzwerk umfasst ein Umkreisnetzwerk. Das Umkreisnetzwerk enthält Webserver, die verschiedene
Webanwendungen bereitstellen. Die Benutzer verwenden HTTPS-Verbindungen für den Zugriff auf die
Anwendungen.
Die Webserver verwenden Zertifikate von einer internen Unternehmensstammzertifizierungsstelle (CA). Die
Zertifikate basieren auf einer angepassten Vorlage mit dem Namen WebApps. Die Zertifikatsperrliste
(Certificate Revocation List, CRL) wird in Active Directory veröffentlicht.
Internetbenutzer berichten, dass sie beim Zugriff auf die Webanwendungen Warnungen angezeigt
bekommen. Benutzer des internen Netzwerks erhalten keine Warnungen beim Öffnen der
Webanwendungen.
Sie müssen sicherstellen, dass Internetnutzer beim Öffnen der Webanwendungen keine Warnungen
angezeigt bekommen.
Wie gehen Sie vor?
A. Installieren Sie den Rollendienst Zertifikatregistrierungs-Webdienst auf einem Server im

Umkreisnetzwerk.
B. Ändern Sie die Zertifikatvorlage WebApps und stellen Sie die Zertifikate, die von den Webservern
genutzt werden, erneut aus.
C. Installieren Sie den Rollendienst Webanwendungsproxy auf einem Server im Umkreisnetzwerk.
Erstellen Sie einen Sperrlisten-Verteilungspunkt für die Zertifizierungsstelle.
D. Ändern Sie den Sperrlisten-Verteilungspunkt und stellen Sie die Zertifikate, die von den Webservern
genutzt werden, erneut aus.
Correct Answer: D
Explanation
Erläuterungen:
Die Internetbenutzer können keine Sperrlisten zur Überprüfung der Serverzertifikate abrufen. Wir sollten
der Liste der Sperrlisten-Verteilungspunkte einen HTTP-Pfad hinzufügen, der auf einen Speicherort auf
einem der Webserver verweist. Clients im Internet können die Sperrliste dann über einen Webserver
abrufen:
QUESTION 44
Unternehmenszertifizierungsstelle mit dem Namen CA1.
Sie erstellen ein Duplikat der Zertifikatsvorlage Computer und benennen die neue Vorlage mit Computer1.
Sie müssen sicherstellen, dass alle auf Basis von Computer1 ausgestellten Zertifikate eine Schlüsselgröße
von 4.096 Bit haben.
Wie gehen Sie vor?
A. Ändern Sie die Sicherheitseinstellungen in den Eigenschaften von CA1.

B. Ändern Sie die Schlüsselnachweiseinstellungen in den Eigenschaften der Vorlage Computer.
C. Ändern Sie die Kryptografieeinstellungen in den Eigenschaften der Vorlage Computer1.
D. Ändern Sie die Einstellungen für die Anforderungsverarbeitung in den Eigenschaften von CA1.
Correct Answer: C
Explanation
Erläuterungen:
Die Schlüssellänge kann in den Kryptografieeinstellungen der duplizierten Vorlage geändert werden:
QUESTION 45
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk umfasst einen Windows
Server 2016 Server mit dem Namen Server1. Sie stellen auf Server1 eine Zertifizierungsstelle (CA) bereit.
Sie müssen die Zertifizierungsstelle für die Unterstützung der Wiederherstellung von Zertifikaten
konfigurieren.

A. Ändern Sie die Erweiterungen der Zertifikatvorlage OCSP-Antwortsignatur.
B. Fügen Sie der Zertifizierungsstelle die Vorlage „Key Recovery Agent“ als auszustellende
Zertifikatvorlage hinzu.
C. Weisen Sie dem Benutzerkonto, das für die Wiederherstellung von Zertifikaten verwendet wird, die
Berechtigung „Zertifikate anfordern“ zu.
D. Ändern Sie die Einstellungen für „Wiederherstellungs-Agents“ in den Eigenschaften der
Zertifizierungsstelle.
Correct Answer: B
Explanation
Erläuterungen:
Der Benutzer, der die Schlüsselwiederherstellung eines verloren gegangenen Zertifikats durchführen soll,
benötigt ein Zertifikat auf Basis der Vorlage "Key Recovery Agent". Das Zertifikat muss im persönlichen
Zertifikatspeicher des Key Recovery Agent auf dem Computer gespeichert werden, auf dem das Verfahren
zur Schlüsselwiederherstellung ausgeführt wird.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Wiederherstellen eines verloren
gegangenen Schlüssels
QUESTION 46
Unternehmenszertifizierungsstelle (CA).
Sie erstellen ein Duplikat der Zertifikatvorlage Basis-EFS mit dem Namen Vorlage1. Anschließend fügen
Sie Vorlage1 der Zertifizierungsstelle als auszustellende Vorlagen hinzu.
Die Umgebung ist so konfiguriert, dass Benutzer automatisch ein neues Zertifikat beziehen, wenn sie sich
an einem Computer der Domäne anmelden.
Sie müssen es den Benutzern ermöglichen, automatisch ein Zertifikat auf Basis von Vorlage1 zu beziehen.
A. Konfigurieren Sie die Einstellungen für die Anforderungsverarbeitung von Vorlage1.

B. Konfigurieren Sie die Einstellungen für die Anforderungsverarbeitung der Zertifizierungsstelle.
C. Konfigurieren Sie die Einstellungen für die Veröffentlichung der Zertifizierungsstelle.
D. Konfigurieren Sie die Sicherheitseinstellungen von Vorlage1.
Correct Answer: D
Explanation
Erläuterungen:
Die Benutzer benötigen die Berechtigung Automatisch registrieren, um automatisch ein Zertifikat auf Basis
von Vorlage1 zu beziehen.
QUESTION 47
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk umfasst einen Sever mit dem
Namen Web1. Auf Web1 ist das Betriebssystem Windows Server 2016 installiert.
Sie müssen auf Web1 alle SSL-Zertifikate auflisten, die innerhalb der nächsten 60 Tage ablaufen.
Lösung: Sie führen den folgenden Befehl aus:
Get-ChildItem Cert:\LocalMachine\My | ? {$_.NotAfter -lt (Get-Date).AddDays

(60)}
A. Ja
B. Nein
Correct Answer: A
Explanation
Erläuterungen:
Die Befehlszeile ruft alle Zertifikate aus dem Speicher Eigene Zertifikate des lokalen Computers ab und
filtert anschließend diejenigen heraus, die innerhalb der nächsten 60 Tage ablaufen.
Der folgende TechNet-Artikel enthält weitere Informationen zum Thema: Get-ChildItem für Zertifikat
QUESTION 48
Get-ChildItem Cert:\CurrentUser\My | ? {$_.NotAfter -lt (Get-Date).AddDays(60)}
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:
Die Befehlszeile ruft alle Zertifikate aus dem Speicher Eigene Zertifikate des aktuellen Benutzers ab und
filtert anschließend diejenigen heraus, die innerhalb der nächsten 60 Tage ablaufen. Die SSL-Zertifikate
sind im Speicher des lokalen Computers gespeichert, nicht im Speicher eines Benutzers.
QUESTION 49
Get-ChildItem Cert:\LocalMachine\Trust| ? {$_.NotAfter -lt (Get-Date).AddDays

(60)}
A. Ja
B. Nein
Correct Answer: B
Explanation
Erläuterungen:
Die Befehlszeile fragt den falschen Speicher ab. Wir müssen die Zertifikate aus dem Speicher Eigene
Zertifikate des lokalen Computers (LocalMachine\My) abrufen.
QUESTION 50
Ihr Unternehmen hat eine Marketingabteilung und eine Sicherheitsabteilung. Das Netzwerk umfasst eine
Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne enthält eine
Das Active Directory enthält zwei Organisationseinheiten (OUs) mit den Namen MKT_Benutzer und
MKT_Computer. Die OU MKT_Benutzer enthält die Benutzerkonten der Marketingsabteilung und die OU
MKT_Computer enthält die Computerkonten der Marketingabteilung.
Ein Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO1 ist mit der OU MKT_Benutzer verknüpft. Ein
Gruppenrichtlinienobjekt (GPO) mit dem Namen GPO2 ist mit der OU MKT_Computer verknüpft.
Sie planen, eine Webanwendung für die Benutzer der Marketingabteilung bereitzustellen. Die Anwendung
erfordert Zertifikate für die Authentifizierung.
Die Sicherheitsabteilung konfiguriert die Zertifizierungsstelle für die Unterstützung der geplanten
Bereitstellung.
Sie müssen sicherstellen, dass die Webanwendung die Benutzer der Marketingabteilung authentifizieren
kann.
Wie gehen Sie vor?
A. Konfigurieren Sie im Abschnitt Benutzerkonfiguration von GPO1 eine Voreinstellung für

Interneteinstellungen.
B. Konfigurieren Sie im Abschnitt Benutzerkonfiguration von GPO1 die Einstellung Zertifikatdienstclient –
Automatische Registrierung.
C. Konfigurieren Sie im Abschnitt Computerkonfiguration von GPO2 die Einstellung Zertifikatdienstclient –
Zertifikatregistrierungsrichtlinie.
D. Konfigurieren Sie im Abschnitt Computerkonfiguration von GPO2 die Einstellung Zertifikatdienstclient –
Automatische Registrierung.
Correct Answer: B
Explanation
Erläuterungen:
Die Webanwendung verwendet Zertifikate für die Authentifizierung der Benutzer. Mit der Konfiguration der
Einstellung Zertifikatdienstclient – Automatische Registrierung können wir sicherstellen, dass sich die
Benutzer automatisch für ein Benutzerzertifikat registrieren.
QUESTION 51
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk umfasst eine
Sie erstellen eine globale Sicherheitsgruppe mit dem Namen Gruppe1.
Sie müssen den Mitgliedern von Gruppe1 das Ausstellen und Verwalten von Zertifikaten ermöglichen. Ihre
Lösung muss verhindern, dass die Mitglieder von Gruppe1 Zertifikate verwalten können, die von Mitgliedern
der Gruppe Domänen-Admins angefordert wurden.
A. Konfigurieren Sie die Einstellungen des Richtlinenmoduls in den Eigenschaften der Zertifizierungsstelle.
B. Verwenden Sie die Zertifikatvorlagenkonsole und ändern Sie die Sicherheitseinstellungen der
Zertifikatvorlage Administrator.
C. Konfigurieren Sie die Sicherheitseinstellungen in den Eigenschaften der Zertifizierungsstelle.
D. Konfigurieren Sie die Einstellungen für Registrierungs-Agents in den Eigenschaften der
E. Konfigurieren Sie die Einstellungen für Zertifikatverwaltungen in den Eigenschaften der
F. Verwenden Sie die Zertifikatvorlagenkonsole und ändern Sie die Sicherheitseinstellungen der
Zertifikatvorlage Benutzer.
Correct Answer: CE
Explanation
Erläuterungen:
Gruppe1 muss in den Sicherheitseinstellungen der Zertifizierungsstelle das Recht "Zertifikate ausstellen
und verwalten" gewährt werden. Anschließend können auf dem Register Zertifikatverwaltungen
Einschränkungen konfiguriert werden.
Zertifikatverwaltungen einschränken
Eine Zertifikatverwaltung kann die Zertifikatregistrierung und Sperranforderungen genehmigen, Zertifikate

ausstellen und verwalten. Diese Rolle kann konfiguriert werden, indem einem Benutzer oder einer Gruppe
die Berechtigung zur Ausstellung und Verwaltung von Zertifikaten zugewiesen wird.
Wenn Sie Benutzern oder Gruppen diese Berechtigung zuweisen, können Sie diesen auch die Möglichkeit
geben, Zertifikate nach Gruppen und Zertifikatvorlagen zu verwalten. Möglicherweise möchten Sie z. B.
eine Einschränkung implementieren, dass sie nur für Benutzer in einem bestimmten Büro oder einer
bestimmten Organisationseinheit, die Basis einer Sicherheitsgruppe, Anforderungen genehmigen oder
Zertifikate zur Smartcard-Anmeldung sperren können.
Diese Einschränkung basiert auf einer Teilmenge der Zertifikatvorlagen, die für die Zertifizierungsstelle und
die Benutzergruppen aktiviert wurden, die über Registrierungsberechtigungen für diese Zertifikatvorlage von
dieser Zertifizierungsstelle verfügen.
QUESTION 52
certbase.de. Die Domäne enthält eine Unternehmenszertifizierungsstelle (CA).
Ein Benutzer mit dem Namen Admin1 ist Mitglied der Gruppe Domänen-Admins.
Sie müssen sicherstellen, dass Schlüssel der Zertifizierungsstelle archiviert werden können. Ihre Lösung
muss Admin1 als Key Recovery Agent verwenden.
und ordnen Sie die erforderlichen Schritte in der richtigen Reihenfolge an. Zum Erreichen des Ziels kann
mehr als eine Reihenfolge der Aktionen geeignet sein.)
Select and Place:

Correct Answer:

Explanation
Erläuterungen:
Bevor ein Key Recovery Agent ein Schlüsselwiederherstellungszertifikat verwenden kann, muss sich der
Key Recovery Agent für das Schlüsselwiederherstellungszertifikat (Key Recovery Agent) registrieren und
als Wiederherstellungs-Agent für die Zertifizierungsstelle (Certification Authority, CA) registriert sein. Die
Vorlage "Key Recovery Agent" steht standardmäßig nicht als auszustellende Vorlage bereit und muss der
CA zunächst hinzugefügt werden.
Domänen-Admins haben die Berechtigungen Lesen, Schreiben und Registrieren für die Vorlage "Key
Recovery Agent", jedoch nicht das Recht "Automatisch registrieren". Entweder man ändert die
Sicherheitseinstellungen so, dass das Zertifikat automatisch ausgestellt wird (7, 5, 3), oder man genehmigt
die ausstehende Anforderung manuell (5, 3, 6).
Zusätzlich zu den Schritten der Lösung müssen die Zertifizierungsstelle und relevante Zertifikatvorlagen für
die Schlüsselarchivierung konfiguriert werden.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Verwalten der
Schlüsselarchivierung und -wiederherstellung
QUESTION 53
Ihr Netzwerk umfasst eine Active Directory-Domäne mit dem Namen certbase.de. Das
Konto eines Benutzers mit dem Namen Benutzer1 befindet sich in einer
Organisationseinheit (OU) mit dem Namen OU1. Ein Computer mit dem Namen
Computer2 befindet sich in OU2.
Die mit OU1 und OU2 verknüpften Gruppenrichtlinienobjekte (GPOs) werden

nachstehend gezeigt:
Die Einstellungen von GPO1 werden nachstehend gezeigt:
Die Einstellungen von GPO2 werden nachstehend gezeigt:
A. Benutzer1 meldet sich an Computer2 an. Die Gruppenrichtlinieneinstellungen für

Benutzer werden alle 45 Minuten aktualisiert: Ja
Benutzer1 meldet sich an Computer2 an. Die Gruppenrichtlinieneinstellungen für
Computer werden alle 30 Minuten aktualisiert: Ja
B. Benutzer1 meldet sich an Computer2 an. Die Gruppenrichtlinieneinstellungen für
Benutzer werden alle 45 Minuten aktualisiert: Ja
Computer werden alle 30 Minuten aktualisiert: Nein
C. Benutzer1 meldet sich an Computer2 an. Die Gruppenrichtlinieneinstellungen für
Benutzer werden alle 45 Minuten aktualisiert: Nein
Computer werden alle 30 Minuten aktualisiert: Ja
D. Benutzer1 meldet sich an Computer2 an. Die Gruppenrichtlinieneinstellungen für
Benutzer werden alle 45 Minuten aktualisiert: Nein
Computer werden alle 30 Minuten aktualisiert: Nein
Correct Answer: C
Section: New
Explanation
Die Richtlinieneinstellung Gruppenrichtlinien-Aktualisierungsintervall für Computer
festlegen legt fest, wie oft Gruppenrichtlinien für Computer (im Hintergrund) aktualisiert
werden, wenn der Computer verwendet wird. Diese Richtlinieneinstellung gibt die
Hintergrundaktualisierungsrate nur für Gruppenrichtlinien im Ordner
"Computerkonfiguration" an.
Zusätzlich zu den Hintergrundaktualisierungen wird die Gruppenrichtlinie für den

Computer bei jedem Systemstart aktualisiert.
Standardmäßig werden Computergruppenrichtlinien alle 90 Minuten im Hintergrund (mit

einem zufälligen Versatz von 0 bis 30 Minuten) aktualisiert.
Wenn Sie diese Einstellung aktivieren, können Sie eine Aktualisierungsrate von 0 bis
64.800 Minuten (45 Tage) angeben. Wenn Sie 0 Minuten angeben, wird eine
Aktualisierung alle 7 Sekunden angestrebt. Da Aktualisierungen jedoch die Benutzer
beim Arbeiten beeinträchtigen und zur einer Erhöhung des Netzwerkdatenverkehrs
führen können, sind sehr kurze Aktualisierungsintervalle für die meisten Installationen
nicht geeignet.
Wenn Sie diese Einstellung deaktivieren, werden Gruppenrichtlinien alle 90 Minuten

(dies ist der Standardwert) aktualisiert. Verwenden Sie die Richtlinie
"Hintergrundaktualisierung der Gruppenrichtlinien deaktivieren", wenn die
Gruppenrichtlinien nie aktualisiert werden sollen, während der Computer verwendet
wird.
Mit der Richtlinieneinstellung "Gruppenrichtlinien-Aktualisierungsintervall für Computer

festlegen" können Sie außerdem angeben, inwieweit das tatsächliche
Aktualisierungsintervall variiert. Das Aktualisierungsintervall unterscheidet sich von Client
zu Client um eine zufällige Anzahl von Minuten, damit Clients mit demselben
Aktualisierungsintervall nicht gleichzeitig Aktualisierungen anfordern. Mithilfe der von
Ihnen im Feld für die Zufallszeit eingegebene Zahl wird die Obergrenze für den
Schwankungsbereich festgelegt. Wenn Sie beispielsweise 30 Minuten eingeben, wird
vom System eine Schwankung von 0 bis 30 Minuten ausgewählt. Wenn Sie einen hohen
Wert eingeben, wird eine hohe Schwankungsbreite verwendet, sodass es
unwahrscheinlich ist, dass sich Clientanforderungen überschneiden. Allerdings können
Aktualisierungen dadurch erheblich verzögert werden.
Diese Einstellung bestimmt eine Aktualisierungsrate für die Computergruppenrichtlinien.

Verwenden Sie die Einstellung "Gruppenrichtlinien-Aktualisierungsintervall für Benutzer
festlegen" (unter "Benutzerkonfiguration\Administrative Vorlagen\System
\Gruppenrichtlinien"), wenn Sie eine Aktualisierungsrate für Benutzerrichtlinien festlegen
möchten.
Diese Einstellung wird nur angewendet, wenn die Richtlinieneinstellung

"Hintergrundaktualisierung der Gruppenrichtlinien deaktivieren" nicht aktiviert ist.
QUESTION 54
Ihre Firma hat eine Hauptniederlassung und drei Zweigstellen. Das Firmennetzwerk
enthält eine Active Directory-Domäne mit dem Namen certbase.de.
Die Hauptniederlassung enthält drei Domänencontroller. Jede Zweigstelle enthält einen

Domänencontroller.
Sie stellen fest, dass die neuen Einstellungen der Standarddomänenrichtlinie in einer der
Zweigstellen nicht angewendet werden. Alle anderen Gruppenrichtlinienobjekte (GPOs)
werden angewendet.
Sie müssen die Replikation der Standarddomänenrichtlinie für die Zweigstelle

überprüfen.
Welchen Schritt führen Sie auf einem Domänencontroller der Hauptniederlassung aus?
A. Öffnen Sie die Gruppenrichtlinienverwaltung, klicken Sie unterhalb von certbase.de

auf Default Domain Policy und prüfen Sie die Informationen auf dem Register
„Bereich“.
B. Öffnen Sie die Eingabeaufforderung und führen Sie dcdiag.exe aus.
C. Öffnen Sie die Gruppenrichtlinienverwaltung, klicken Sie im Container
„Gruppenrichtlinienobjekte“ auf Default Domain Policy und prüfen Sie die
Informationen auf dem Register „Status“.
D. Öffnen Sie die Windows PowerShell und führen Sie das Cmdlet Get-
ADReplicationConnection aus.
Correct Answer: C
Section: New
Explanation
Auf dem Register Status wird der Status der Active Directory- und der SYSVOL-
Replikation für das gewählte GPO bzw. für die Domäne angezeigt:
QUESTION 55
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk enthält eine
Active Directory-Domäne mit dem Namen certbase.de.
Sie stellen fest, dass Benutzer Kennwörter verwenden können, die nur Zahlen
enthalten.
Sie müssen sicherstellen, dass alle Benutzerkennwörter in der Domäne mindestens drei
der folgenden Zeichenarten enthalten:
Zahlen
Großbuchstaben
Kleinbuchstaben
Sonderzeichen
A. Die Default Domain Policy

B. Die lokale Richtlinie auf jedem Clientcomputer
C. Die Default Domain Controllers Policy
D. Die lokale Richtlinie auf jedem Domänencontroller
Correct Answer: A
Section: New
Explanation
Wir können die Default Domain Policy bearbeiten und die Richtlinieneinstellung
Kennwort muss Komplexitätsvoraussetzungen entsprechen aktivieren.
Wenn diese Richtlinie aktiviert ist, müssen Kennwörter die folgenden
Mindestvoraussetzungen erfüllen:
Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen
enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert
oder erstellt werden.
QUESTION 56
Sie sind als Administrator für das Unternehmen CertBase tätig. Ihr Netzwerk enthält eine
Active Directory-Domäne mit dem Namen certbase.de.
Sie erstellen in der Domäne eine Sicherheitsgruppe mit dem Namen Gruppe1 und fügen
der Gruppe mehrere Benutzer hinzu.
Sie müssen alle Benutzer, die Mitglied von Gruppe1 sind, zwingen, ihr Kennwort alle 35
Tage zu ändern. Ihre Lösung darf ausschließlich die Mitglieder von Gruppe1 betreffen.
Wie gehen Sie vor?
A. Führen Sie an der Windows PowerShell zunächst das Cmdlet Set-ADDomain und
anschließend das Cmdlet Set-ADAccountPassword aus.
B. Ändern Sie die Einstellungen für die Kennwortrichtlinie in einem
Gruppenrichtlinienobjekt (GPO), das mit der Domäne verknüpft ist. Filtern Sie das
Gruppenrichtlinienobjekt so, dass es nur auf Gruppe1 angewendet wird.
C. Erstellen Sie einen Anbieter für die formularbasierte Authentifizierung und legen Sie
anschließend die Anmeldeinformationen für die Formularauthentifizierung fest.
D. Verwenden Sie das Active Directory-Verwaltungscenter und erstellen Sie ein
Kennworteinstellungsobjekt (Password Setting Object, PSO).
Correct Answer: D
Section: New
Explanation
Seit Windows Server 2008 ist es möglich, separate Kennwort- und
Kontosperrungsrichtlinien für verschiedene Benutzer oder Benutzergruppen innerhalb
einer gemeinsamen Domäne zu definieren.
Abgestimmte Kennwortrichtlinien (Fine grained Password Policies) werden nicht über

Gruppenrichtlinienobjekte (GPOs) implementiert, sondern direkt im Active Directory als
Kennworteinstellungsobjekte (Password Setting Objects, PSOs) erstellt und mit
Gruppen- oder Benutzerkonten verknüpft.
Ein Benutzer- oder Gruppenobjekt kann mit mehreren Kennworteinstellungsobjekten
verknüpft sein, entweder aufgrund der Mitgliedschaft in mehreren Gruppen, auf die
verschiedene Kennworteinstellungsobjekte angewendet sind, oder weil mehrere
Kennworteinstellungsobjekte direkt auf das Objekt angewendet sind. Es kann jedoch nur
ein Kennworteinstellungsobjekt als effektive Kennwortrichtlinie angewendet werden. Nur
die Einstellungen aus diesem Kennworteinstellungsobjekt können sich auf den Benutzer
oder die Gruppe auswirken. Die Einstellungen aus anderen
Kennworteinstellungsobjekten, die mit dem Benutzer oder der Gruppe verknüpft sind,
können nicht zusammengeführt werden.
Kennworteinstellungsobjekte werden nur auf Domänenbenutzer bzw. Gruppen

angewendet. Auf lokale Benutzerkonten, die auf Mitgliedservern erstellt werden, haben
sie keine Auswirkungen.
Um Kennworteinstellungen auf lokale Benutzer eines Domänencomputers anzuwenden,

können die Kennwortrichtlinien eines Gruppenrichtlinienobjektes (GPOs) genutzt
werden, das mit der Organisationseinheit verknüpft ist, die das Computerobjekt des
Mitgliedservers enthält. Alternativ können die Kennwortrichtlinien mithilfe des Editors für
lokale Gruppenrichtlinien im Abschnitt Computerrichtlinien konfiguriert werden.
Der folgende Blog-Artikel enthält weitere Informationen zum Thema:
Abgestimmte Kennwortrichtlinien
QUESTION 57
Namen cblabs.de. Die Domäne enthält eine Sicherheitsgruppe mit dem Namen
glbEntwicklung und eine Organisationseinheit (OU) mit dem Namen ouEntwicklung.
Alle Mitarbeiter der Entwicklungsabteilung sind Mitglied der Gruppe glbEntwicklung. Alle
Benutzerkonten der Mitarbeiter der Entwicklungsabteilung befinden sich in der OU
ouEntwicklung.
Sie müssen sicherstellen, dass die Mitarbeiter der Entwicklungsabteilung ihre

Kennwörter alle 28 Tage ändern und ein komplexes, mindestens 12 Zeichen langes
Kennwort verwenden.
Wie gehen Sie vor?
A. Verwenden Sie die Gruppenrichtlinienverwaltung, erstellen Sie ein

Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Organisationseinheit
ouEntwicklung. Konfigurieren Sie die Kennwortrichtlinien in dem neuen GPO.
B. Verwenden Sie das Active Directory-Verwaltungscenter und erstellen Sie ein neues
Kennworteinstellungsobjekt (Password Setting Objects, PSO).
C. Verwenden Sie das Snap-In Active Directory-Benutzer und -Computer und ändern Sie
die Eigenschaften des Password Settings Containers.
D. Verwenden Sie die Gruppenrichtlinienverwaltung, erstellen Sie ein
Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Domäne. Konfigurieren
Sie die Kennwortrichtlinien in dem neuen GPO und filtern Sie es so, dass es nur auf
glbEntwicklung angewendet wird.
Correct Answer: B
Section: New
Explanation
Seit Windows Server 2008 ist es möglich, separate Kennwort- und
Kontosperrungsrichtlinien für verschiedene Benutzer oder Benutzergruppen innerhalb
einer gemeinsamen Domäne zu definieren.
Abgestimmte Kennwortrichtlinien (Fine grained Password Policies) werden nicht über

Gruppenrichtlinienobjekte (GPOs) implementiert, sondern direkt im Active Directory als
Kennworteinstellungsobjekte (Password Setting Objects, PSOs) erstellt und mit
Gruppen- oder Benutzerkonten verknüpft.
Ein Benutzer- oder Gruppenobjekt kann mit mehreren Kennworteinstellungsobjekten

verknüpft sein, entweder aufgrund der Mitgliedschaft in mehreren Gruppen, auf die
verschiedene Kennworteinstellungsobjekte angewendet sind, oder weil mehrere
Kennworteinstellungsobjekte direkt auf das Objekt angewendet sind. Es kann jedoch nur
ein Kennworteinstellungsobjekt als effektive Kennwortrichtlinie angewendet werden. Nur
die Einstellungen aus diesem Kennworteinstellungsobjekt können sich auf den Benutzer
oder die Gruppe auswirken. Die Einstellungen aus anderen
Kennworteinstellungsobjekten, die mit dem Benutzer oder der Gruppe verknüpft sind,
können nicht zusammengeführt werden.
Kennworteinstellungsobjekte werden nur auf Domänenbenutzer bzw. Gruppen

angewendet. Auf lokale Benutzerkonten, die auf Mitgliedservern erstellt werden, haben
sie keine Auswirkungen.
Um Kennworteinstellungen auf lokale Benutzer eines Domänencomputers anzuwenden,

können die Kennwortrichtlinien eines Gruppenrichtlinienobjektes (GPOs) genutzt
werden, das mit der Organisationseinheit verknüpft ist, die das Computerobjekt des
Mitgliedservers enthält. Alternativ können die Kennwortrichtlinien mithilfe des Editors für
lokale Gruppenrichtlinien im Abschnitt Computerrichtlinien konfiguriert werden.
Der folgende Blog-Artikel enthält weitere Informationen zum Thema:
Abgestimmte Kennwortrichtlinien
QUESTION 58
Domäne enthält einen schreibgeschützten Domänencontroller (RODC) mit dem Namen
RODC1.
Sie müssen eine Liste aller Konten abrufen, deren Kennwörter auf RODC1
zwischengespeichert sind.
A. netdom.exe
B. ntdsutil.exe
C. repadmin.exe
D. dcdiag.exe
Correct Answer: C
Section: New
Explanation
Sie können das Snap-In Active Directory-Benutzer und -Computer oder das
Befehlszeilenprogramm repadmin.exe verwenden, um die Konten einzusehen, deren
Kennwörter auf einem schreibgeschützten Domänencontroller zwischengespeichert sind.
Der folgende Aufruf ruft die entsprechenden Konten für den schreibgeschützten
Domänencontroller RODC1 der Domäne certbase.de ab:
repadmin /prp view rodc1.certbase.de reveal
Administering the Password Replication Policy

Instalieren und Konfigurieren von Active Directory- Domänendiensten (AD DS)
QUESTION 1
Ihr Benutzerkonto ist Mitglied der Gruppe Domänen-Admins.
Sie haben 100 Laptops, auf denen ein Standardimage des Unternehmens installiert ist. Die Laptops sind
Teil einer Arbeitsgruppe und haben per Zufall generierte Namen.
Ein Techniker mit dem Namen Tech1 hat die Aufgabe, die Laptops in die Domäne aufzunehmen. Die
Computerkonten der Laptops sollen der Organisationseinheit (OU) der Abteilung des jeweiligen Benutzers
zugewiesen werden. Die Namen der Laptops müssen mit vier Zeichen beginnen, die die Abteilung
kennzeichnen, anschließend soll eine vierstellige Zahl folgen.
Ihre Lösung muss sicherstellen, dass die Laptops die richtigen Namen erhalten und dass die
Computerkonten der Laptops den richtigen Organisationseinheiten zugewiesen werden.
Lösung: Sie erstellen ein Skript zum Erstellen der Dateien für einen Offline-Domänenbeitritt und übergeben
Tech1 die Dateien. Sie weisen Tech1 an, sich bei jedem Laptop anzumelden und das
Befehlszeilenprogramm djoin.exe auszuführen.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 2
Lösung: Sie weisen Tech1 an, sich an jedem Laptop anzumelden, mithilfe von „System“ in der
Systemsteuerung jeden Laptop umzubenennen und dann jeden Laptop mithilfe des Befehls „netdom join“
der Domäne hinzuzufügen.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 3
Lösung: Sie weisen Tech1 an, sich an seinem Computer anzumelden und für jeden Laptop das PowerShell
Cmdlet Add-Computer auszuführen.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 4
Sie sind als Administrator für das Unternehmen CertBase tätig. Sie erstellen ein Benutzerkonto, das
zukünftig als Vorlage für die Erstellung neuer Benutzerkonten verwendet wird.
Welche Einstellung wird kopiert, wenn Sie das Benutzerkonto mithilfe von Active Directory-Benutzer und –
Computer kopieren?
A. Das Attribut Benutzeranmeldename

B. Das Attribut Abteilung
C. Berechtigungen
D. Das Attribut Büro
Correct Answer: B
Section: New
Explanation
QUESTION 5
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Sie verwenden
Ldp.exe und stellen eine Verbindung mit der Gesamtstrukur her und erhalten die nachstehend gezeigte
Ausgabe:
A. Die Gesamtstruktur enthält eine Active Directory-Partitionen.
In certbase.de ist für Domänencontroller mindestens Windows Server 2016 erforderlich.
B. Die Gesamtstruktur enthält zwei Active Directory-Partitionen.
In certbase.de ist für Domänencontroller mindestens Windows Server 2008 R2 erforderlich.
C. Die Gesamtstruktur enthält zwei Active Directory-Partitionen.
D. Die Gesamtstruktur enthält fünf Active Directory-Partitionen.
E. Die Gesamtstruktur enthält sechs Active Directory-Partitionen.
F. Die Gesamtstruktur enthält sieben Active Directory-Partitionen.
Correct Answer: D
Section: New
Explanation
QUESTION 6
certbase.de. Die Domäne enthält zwei Domänencontroller mit den Namen DC1 und DC2.
DC1 führt die Betriebsmasterrolle RID-Master aus.
DC1 fällt aufgrund eines Hardwarefehlers aus und kann nicht repariert werden.
Sie müssen die RID-Betriebsmasterrolle nach DC2 verschieben.
Lösung: Sie verwenden die Eingabeaufforderung auf DC2 und führen das Befehlszeilenprogramm
ntdsutil.exe aus. Sie stellen eine Verbindung mit DC2 her und verwenden die Option Transfer RID master.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 7
Lösung: Sie verwenden die Windows PowerShell auf DC2 und führen den Befehl Move-
ADDirectoryServerOperationMasterRole –OperationMaster RIDMaster –Identity dc2.datacom.de aus.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 8
Lösung: Sie öffnen das Snap-In Active Directory-Benutzer und –Computer auf DC2, klicken auf
Betriebsmaster…, überprüfen, ob dc2.certbase.de auf der Registerkarte RID aufgeführt ist, und klicken auf
Ändern.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 9
Organisationseinheit (OU) mit dem Namen OU1. OU1 enthält ein Benutzerkonto mit dem Namen
Benutzer1.
Sie müssen feststellen, warum Benutzer1 keinen Zugriff auf einen freigegebenen Ordner erhält.
Sie benötigen eine Liste aller Gruppen, in denen Benutzer1 direkt oder indirekt Mitglied ist.
Lösung: Sie führen den Befehl Get-ADGroup –Identity Benutzer1 –Property MemberOf aus.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 10
Benutzer1.
Lösung: Sie weisen Benutzer1 an, sich anzumelden und den Befehl whoami.exe /groups auszuführen. .
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
QUESTION 11
Benutzer1.
Lösung: Sie führen den Befehl Get-ADUser –Identity Benutzer1 –Property MemberOf aus.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
QUESTION 12
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält
eine einzelne Domäne mit dem Namen certbase.de. Die Funktionsebene der
Gesamtstruktur ist mit Windows Server 2016 festgelegt.
In der Gesamtstruktur ist die dynamische Zugriffssteuerung aktiviert.
Die Domäne enthält zwei Domänencontroller mit den Namen DC1 und DC2. Privilegierte
Benutzerkonten, die für die Administration des Active Directory verwendet werden, sind
Mitglied einer Gruppe mit dem Namen certbase\AD_Admins.
Sie erstellen eine Authentifizierungsrichtlinie mit dem Namen Richtlinie1 und ein
Authentifizierungsrichtliniensilo mit dem Namen Silo1.
Sie müssen sicherstellen, dass sich die Konten der Gruppe certbase\AD_Admins nur an
Domänencontrollern anmelden können.
Welche drei Schritte führen Sie durch?
(Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie drei Antworten.)
A. Fügen Sie die privilegierten Benutzerkonten und die Domänencontroller im Abschnitt

Zulässige Konten von Silo1 hinzu.
B. Erstellen Sie in Richtlinie1 eine Zugriffssteuerungsbedingung.
C. Weisen Sie Silo1 den privilegierten Benutzerkonten und den Domänencontrollern zu.
D. Fügen Sie die Domänencontroller der Gruppe certbase\AD_Admins hinzu.
E. Erstellen Sie ein verwaltetes Dienstkonto und fügen Sie das Konto im Abschnitt
Zulässige Konten von Silo1 hinzu.
Correct Answer: ABC

Section: New
Explanation
Authentifizierungsrichtliniensilos und die zugehörigen Richtlinien bieten eine Möglichkeit,
Anmeldeinformationen mit umfassenden Rechten auf Systeme zu beschränken, die nur
für ausgewählte Benutzer, Computer oder Dienste relevant sind. Silos können definiert
und in Active Directory-Domänendienste (AD DS) mithilfe des Active Directory-
Verwaltungscenters und Active Directory Windows PowerShell-Cmdlets verwaltet
werden.
Authentifizierungsrichtliniensilos sind Container, denen Administratoren Benutzerkonten,

Computerkonten und Dienstkonten zuweisen können. Gruppen von Konten können dann
über die Authentifizierungsrichtlinien verwaltet werden, die auf diesen Container
angewendet wurden. Dies reduziert die Notwendigkeit des Administrators, den Zugriff
auf Ressourcen für einzelne Konten zu verfolgen und verhindert, dass böswillige
Benutzer Zugriff auf andere Ressourcen durch den Diebstahl von Anmeldeinformationen
erhalten.
Mit diesen Funktionen können Sie die Verwendung von privilegierten Konten auf
ausgewählte Hosts begrenzen. Sie könnten z. B. ein Silo für Administratoren einer neuen
Gesamtstruktur erstellen, das Enterprise, Schema und Domänenadministratoren enthält.
Sie können dann das Silo mit einer Authentifizierungsrichtlinie konfigurieren, sodass
Kennwort- und Smartcard-basierte Authentifizierung von Systemen, die keine
Domänencontroller oder domänenadministratorkonsolen sind, fehlschlägt.
Die folgenden Technet-Artikel enthalten weitere Informationen zum Thema:
Authentifizierungsrichtlinien und Authentifizierungsrichtliniensilos
Konfigurieren geschützter Konten

QUESTION 13
Namen certbase.de. Das Unternehmen plant, 500 Mitarbeiter für ein Projekt anzustellen,
das auf 90 Tage beschränkt ist.
Sie erstellen für jeden der zeitlich befristeten Mitarbeiter ein Benutzerkonto und legen die
Konten in einer Organisationseinheit (OU) mit dem Namen Temp ab.
Sie müssen verhindern, dass die befristeten Mitarbeiter nach Ablauf der 90 Tage
weiterhin auf Ressourcen der Domäne zugreifen können.
Wie gehen Sie vor?
A. Erstellen Sie eine Gruppe, die alle Benutzerkonten der OU Temp enthält. Erstellen
Sie ein Kennworteinstellungsobjekt (Password Setting Object, PSO) für die neue
Gruppe.
B. Führen Sie das Cmdlet Get-ADUser aus und leiten Sie die Ausgabe an das Cmdlet
Set-ADAccountExpiration weiter.
C. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie das GPO mit der
OU Temp. Ändern Sie die Kontosperrungsrichtlinie des neuen GPOs.
D. Führen Sie das Cmdlet Get-ADOrganizationalUnit aus und leiten Sie die Ausgabe
an das Cmdlet Set-Date weiter.
Correct Answer: B
Section: New
Explanation
Wir können die betreffenden Benutzerkonten mithilfe des Cmdlets Get-ADUser abrufen
und an das Cmdlet Set-ADAccountExpiration weiterreichen. Mit dem Cmdlet Set-
ADAccountExpiration kann das Ablaufdatum eines Active Directory-Kontos festgelegt
werden.
Beispiel:
Get-ADUser -Filter * -SearchBase "OU=OU1,DC=certbase,DC=de" | Set-

ADAccountExpiration –DateTime "31.12.2020"
QUESTION 14
Die Gesamtstruktur enthält die Stammdomäne und zwei untergeordnete Domänen mit
den Namen child1.certbase.de und child2.certbase.de.
Child1 enthält drei Domänencontroller mit den Namen DC1, DC2 und DC3. Child2
enthält einen Domänencontroller namens DC4.
Sie haben zwei Konten mit den Benutzernamen child1\Admin1 und child2\Admin2, die
Sie zum Ausführen von Verwaltungsaufgaben verwenden. Derzeit können die Konten
nur die Mitgliedsserver in ihrer jeweiligen Domäne verwalten.
Sie planen, DC3 herabzustufen und die Domäne child2 zu entfernen.
Sie müssen sicherstellen, dass Admin1 DC3 herabstufen kann und dass Admin2 DC4
herabstufen kann. Ihre Lösung muss das Prinzip der Vergabe der geringstmöglichen
Berechtigung berücksichtigen.
Zu welchen Gruppen fügen Sie Admin1 und Admin2 hinzu?
(Wählen Sie zum Beantworten der Frage die entsprechenden Optionen im

Antwortbereich aus.)
A. Admin1: Child1\Domänen-Admins
Admin2: Certbase\Organisations-Admins
B. Admin1: Child1\Domänen-Admins
Admin2: Child2\Domänen-Admins
C. Admin1: Child1\Server-Operatoren
Admin2: Child2\Server-Operatoren
D. Admin1: Child1\Server-Operatoren
E. Admin1: Certbase\Domänen-Admins
Admin2: Certbase\Domänen-Admins
F. Admin1: Certbase\Organisations-Admins
Correct Answer: A
Section: New
Explanation
Für das Tieferstufen des Domänencontrollers dc3.child1.certbase.de ist die
Mitgliedschaft in der Gruppe Domänen-Admins der Domäne child1.certbase.de
erforderlich.
Da DC4 der letzte Domänencontroller der Domäne child2.certbase.de ist und mit dem
Domänencontroller auch die Domäne aus der Gesamtstruktur entfernt wird, ist für das
Tiederstufen die Mitgliedschaft in der Gruppe Organisations-Admins der Gesamtstruktur
erforderlich.
Herabstufen von Domänencontrollern und Domänen

QUESTION 15
Ihr Netzwerk enthält eine Active Directory-Domäne mit dem Namen certbase.de. Alle
Benutzerkonten befinden sich in einer Organisationseinheit (OU) mit dem Namen
CBBenutzer.
Sie planen, die Beschreibung aller Benutzer zu ändern, in deren Handynummer die
Zeichenfolge 514 enthalten ist.
Sie müssen eine Liste der Benutzer anzeigen, deren Beschreibung geändert wird.
A. Get-ADUser -Filter "mobilePhone -Like '*514*'"

B. Get-ADOrganizationalUnit -LDAPFilter "(mobilePhone='*514*')"
C. Get-ADOrganizationalUnit -Filter "mobilePhone-Like '*514*'"
D. Get-ADUser -LDAPFilter "(mobilePhone='*514*')"
Correct Answer: A
Section: New
Explanation
Der folgende Befehlsaufruf ermittelt die Benutzer, die im Attribut mobile eine
Zeichenkette hinterlegt haben, die die Ziffernfolge 514 enthält:
QUESTION 16
Ihr Netzwerk enthält eine Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält
zwei Domänen mit den Namen certbase.de und traincert.eu. Die Funktionsebene der
Gesamtstruktur und der Domänen ist Windows Server 2008 R2.
Die Domäne certbase.de enthält eine globale Gruppe mit dem Namen Gruppe1.
Gruppe1 enthält die Benutzerkonten der Domäne certbase.de.
Sie müssen sicherstellen, dass Sie Gruppe1 Benutzerkonten der Domäne traincert.eu
hinzufügen können.
Wie gehen Sie vor?

A. Führen Sie das Cmdlet Set-LocalGroup aus.
B. Erteilen Sie der Gruppe Domänencontroller der Domäne traincert.eu Berechtigungen
für Gruppe1.
C. Konvertieren Sie den Gruppenbereich von Gruppe1 nach Lokal (in Domäne).
D. Ändern Sie den Gruppentyp von Gruppe1 in Verteilung
Correct Answer: C
Section: New
Explanation
Einer globalen Gruppe können nur Benutzerkonten der eigenen Domäne als Mitglieder
hinzugefügt werden. Um sicherzustellen, dass der Gruppe auch Konten aus anderen
Domänen der Gesamtstruktur hinzugefügt werden können, muss der Gruppenbereich
geändert werden.
Eine globale Gruppe kann nicht direkt in eine domänenlokale Gruppe konvertiert werden.
Gruppe1 muss zunächst in eine universelle Gruppe konvertiert werden, bevor
anschließend die Änderung in eine domänenlokale Gruppe möglich ist.
QUESTION 17
eine Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.
Sie haben einen Windows Server 2016 Nano Server mit dem Namen Nano1. Nano1 ist
Mitglied einer Arbeitsgruppe.
Sie müssen Nano1 der Domäne certbase.de als Mitglied hinzufügen.
Welche zwei Befehle führen Sie aus?
A. Erster Befehl: Add-Computer mit dem Parameter DomainName

Zweiter Befehl: Restart-Computer mit dem Parameter force
B. Erster Befehl: Djoin.exe mit dem Parameter Provision
Zweiter Befehl: Djoin.exe mit dem Parameter RequestODJ
C. Erster Befehl: Netdom.exe mit dem Parameter JOIN
Zweiter Befehl: Djoin.exe mit dem Parameter RequestODJ
D. Erster Befehl: Add-Computer mit dem Parameter DomainName
Zweiter Befehl: Shutdown.exe mit dem Parameter r
E. Erster Befehl: New-NanoServerImage mit dem Parameter DomainName
Zweiter Befehl: Dism.exe mit dem Parameter Commit-Image
F. Erster Befehl: Nltest.exe mit dem Parameter SCRESET
Zweiter Befehl: Shutdown.exe mit dem Parameter r
Correct Answer: B
Section: New
Explanation
Es soll ein bereits bestehender, betriebsbereiter Nano Server, der Mitglied einer
Arbeitsgruppe ist, in eine Domäne aufgenommen werden. Alle Lösungen, die darauf
basieren, eine neues Nano Server-Image zu erstellen, scheiden daher aus.
Mitglife des Befehlszeilenprogramms Djoi.exe können wir den Domänenbeitritt in zwei

Schritten durchführen.
Im ersten Schritt wird ein Computerkonto in der Domäne vorbereitet. Der folgende Befehl
erstellt das Konto und generiert einen Blob (Binary Large Object), der später für den
Offlinedomänenbeitritt des Nano Servers verwendet wird:
Der Befehl muss auf einem Computer ausgeführt werden, der bereits Mitglied der
Domäne ist. :
djoin /provision /domain certbase.de /machine Nano1 /savefile D:\nano

\blob_Nano1.txt
Inhalt der Datei sind das Kennwort der Maschine, Name der Domäne und des
Domänencontrollers, sowie die SID der Domäne. Der Inhalt ist verschlüsselt und von
Außenstehenden nicht lesbar. Kopieren Sie die Datei auf den Nano Server.
Im zweiten Schritt wird der folgende Befehl auf dem Nano Server ausgeführt:
djoin /requestODJ /loadfile c:\blob_Nano1.txt /windowspath {SystemRoot} /localos
Nach einem Neustart, wird der Computer automatisch in die Domäne aufgenommen,
sobald eine Verbindung zu einem Domänencontroller besteht.
QUESTION 18
Ihr Netzwerk umfasst einen Server mit dem Namen Server1. Auf Server1 sind das Betriebssystem
Windows Server 2016 und der Rollendienst Webanwendungsproxy installiert.
Sie verwenden den Webanwendungsproxy, um eine Anwendung mit dem Namen App1 zu veröffentlichen.
Sie wollen den URL ändern, den die Benutzer verwenden, wenn sie an Remotestandorten tätig sind und
sich mit App1 verbinden.
(Wählen Sie eine Antwort zwischen A und C und eine Antwort zwischen D und E.)
A. Set-WebApplicationProxySslCertificate
B. Set-WebApplicationProxyApplication
C. Set-WebApplicationProxyConfiguration
D. -ADFSUrl
E. -BackendServerUrl
F. -ExternalUrl
Correct Answer: BF
Section: 5.2 WAP
Explanation
Erläuterungen:
Mithilfe des Cmdlets Set-WebApplicationProxyApplication können die Einstellungen einer durch

den Webanwendungsproxy veröffentlichten Anwendung geändert werden.
Der Parameter ExternalUrl legt den URL der externen Adresse der Webanwendung fest und stellt
sicher, dass der URL nicht bereits von einer anderen Webanwendung verwendet wird.
Das folgende Beispiel ändert den externen URL der durch die ID angegebenen Webanwendung in https://
sp.contoso.com/:
Set-WebApplicationProxyApplication -ID 874A4543-7983-77A3-1E6D-1163E7419AC1 -

ExternalUrl https://sp.contoso.com/
QUESTION 19
Ihr Netzwerk enthält einen Server mit dem Namen Server1. Auf Server1 ist das Betriebssystem Windows
Server 2016 mit dem Rollendienst Webanwendungsproxy installiert.
Sie veröffentlichen eine Anwendung mit dem Namen App1. App1 verwendet die Windows-integrierte
Authentifizierung.
Ihre Konfiguration wird nachstehend gezeigt:

(Wählen Sie eine Antwort zwischen A und C und eine Antwort zwischen D und E.)
A. das externe Zertifikat ändern

B. den SPN des Back-End-Servers konfigurieren
C. die HTTP-zu-HTTPS-Umleitung aktivieren
D. https://app1.certbase.de/app1
E. https://server2.certbase.de/app1
F. https://server2.certbase.de/publish/app1
Correct Answer: BF
Section: 5.2 WAP
Explanation
Erläuterungen:
Mit dem Webanwendungsproxy können Hostnamen in URLs übersetzt werden, jedoch keine Pfadnamen.
Daher können Sie unterschiedliche Hostnamen eingeben, während der Pfadname gleich sein muss.
Beispielsweise können Sie die externe URL "https://apps.contoso.com/app1/" und die Back-End-Server-
URL "https://app-server/app1/" eingeben. Das Eingeben der externen URL "https://apps.contoso.com/
app1/" und der Back-End-Server-URL "https://apps.contoso.com/internal-app1/" ist jedoch nicht möglich.
Der folgende Technet Artikel enthält weitere Informationen zum Thema: Webanwendungsproxy: Die URLs
des externen Servers und des Back-End-Servers sind nicht identisch, und die URL-Übersetzung ist
deaktiviert.
QUESTION 20
Gesamtstruktur enthält einen Mitgliedserver mit dem Namen Server1. Auf Server1 ist das Betriebssystem
Windows Server 2016 installiert. Auf allen Domänencontrollern ist das Betriebssystem Windows Server
2012 R2 installiert.
Die Konfiguration der Active Directory-Umgebung wird nachstehend gezeigt:
PS C:\> (Get-ADForest).ForestMode
Windows2008R2Forest
PS C:\>
PS C:\> (Get-ADDomain).DomainMode
Windows2008R2Domain
PS C:\>
Sie planen die Bereitstellung einer Active Directory-Verbunddienste (AD FS) Serverfarm auf Server1 und
das Konfigurieren des Geräteregistrierungsdienstes.
Sie müssen die Active Directory-Umgebung für die Unterstützung der geplanten Bereitstellung
konfigurieren.
Lösung: Sie aktualisieren einen Domänencontroller auf Windows Server 2016.

A. Ja
B. Nein
Correct Answer: A
Section: 5.1 AD FS
Explanation
Erläuterungen:
Um die Active Directory-Verbunddienste (AD FS) in Verbindung mit dem Geräteregistrierungsdienst auf
einem Windows Server 2016 Computer verwenden zu können, muss das Schema der Gesamtstruktur auf
Windows Server 2016 aktualisiert werden.
Der folgende Artikel enthält weitere Informationen zum Thema: Windows 10 Sign on – enabling device
authentication with AD FS
QUESTION 21
Windows2008R2Forest
PS C:\>
Windows2008R2Domain
PS C:\>
konfigurieren.
Lösung: Sie stufen die Funktionsebene der Domäne auf Windows Server 2012 R2 herauf.
A. Ja
B. Nein
Correct Answer: B
Section: 5.1 AD FS
Explanation
Erläuterungen:
QUESTION 22
Windows2008R2Forest
PS C:\>
Windows2008R2Domain
PS C:\>
konfigurieren.
Lösung: Sie stufen die Funktionsebene der Gesamtstruktur auf Windows Server 2012 R2 herauf.
A. Ja
B. Nein
Correct Answer: B
Section: 5.1 AD FS
Explanation
Erläuterungen:
QUESTION 23
Gesamtstruktur enthält eine Active Directory-Verbunddienste (AD FS)-Farm.
Sie installieren Windows Server 2016 auf einem Server mit dem Namen Server2.
Sie wollen Server2 als Knoten der Verbunddienstefarm konfigurieren.
Welche Cmdlets führen Sie aus?

A. Erstes Cmdlet: Install-AdfsFarm
Zweites Cmdlet: New-AdfsOrganization
B. Erstes Cmdlet: Install-AdfsFarm
Zweites Cmdlet: Add-AdfsFarmNode
C. Erstes Cmdlet: Install-Package
Zweites Cmdlet: Set-AdfsProperties
D. Erstes Cmdlet: Install-Package
Zweites Cmdlet: Set-AdfsFarmInformation
E. Erstes Cmdlet: Install-WindowsFeature
Zweites Cmdlet: Set-AdfsFarmInformation
F. Erstes Cmdlet: Install-WindowsFeature
Zweites Cmdlet: Add-AdfsFarmNode
Correct Answer: F
Section: 5.1 AD FS
Explanation
Erläuterungen:
Mithilfe von Install-WindowsFeature können die Active Directory-Verbunddienste auf dem neuen Server
installiert werden. Mit dem Cmdlet Install-AdfsFarm kann der erste Knoten einer AD FS-Serverfarm
installiert werden. Mit dem Cmdlet Add-AdfsFarmNode können einer bestehenden Farm weitere Knoten
hinzugefügt werden.
QUESTION 24
Ihr Netzwerk umfasst einen Server mit dem Namen Server1. Auf Server1 ist das Betriebssystem Windows
Server 2016 mit dem Rollendienst Webanwendungsproxy installiert.
Sie planen die Bereitstellung eines Remotedesktop-Gatewayservers. Benutzer werden verschiedene

Gerätetypen, einschließlich Windows-, iOS- und Android-Geräten, für Verbindungen mit dem RD-
Gatewayserver verwenden.
Sie müssen den RD-Gatewayserver mithilfe des Webanwendungsproxies veröffentlichen.
Welche Cmdlets führen Sie aus?
(Die Auswahlmöglichkeiten werden in der Abbildung gezeigt. Wählen Sie eine Antwort zwischen A und C
und eine Antwort zwischen D und G.)
A. Add-WebApplicationProxyApplication
B. Set-WebApplicationProxyApplication
C. Set-WebApplicationProxyConfiguration
D. ADFS
E. ADFSforOAuth
F. ClientCertificate
G. PassThrough
Correct Answer: AG
Section: 5.2 WAP
Explanation
Erläuterungen:
Tom Murphy beschreibt das Veröffentlichen eines RD-Gatewayservers mithilfe des
Webanwendungsproxies sehr ausführlich in einem zweiteiligen Blogartikel: Securing RD Gateway with Web
Application Proxy - Part 2
Wenn Clients mit erweitertem Funktionsumfang (Rich Clients), wie RemoteApp- und Desktopverbindungen
oder iOS-Remotedesktopverbindungen unterstützt werden sollen, kann keine Vorauthentifizierung genutzt
werden. In diesem Fall ist die PassThrough-Authentifizierung zu verwenden.
Siehe auch: Publishing Remote Desktop Gateway through Web Application Proxy
QUESTION 25
Gesamtstruktur enthält einen Mitgliedsserver mit dem Namen Server1. Auf Server1 ist das Betriebssystem
Windows Server 2016 installiert. Server1 befindet sich im Umkreisnetzwerk des Unternehmens.
Sie installieren die Active Directory-Verbunddienste (AD FS) auf Server1. Sie erstellen eine
Verbundserverfarm und verwenden ein Zertifikat mit dem allgemeinen Namen sts.certbase.de.
Sie müssen die zertifikatsbasierte Authentifizierung für Internetclients ermöglichen.
Welche zwei eingehenden TCP-Ports öffnen Sie auf der Firewall?
A. 389
B. 443
C. 3389
D. 8531
E. 49443
Correct Answer: BE
Section: 5.2 WAP
Explanation
Erläuterungen:
Um über das Internet Zugriff auf den AD FS-Dienst zu ermöglichen, müssen Sie den Rollendienst
Webanwendungsproxy für die Veröffentlichung der Verbunddienste und das Verarbeiten von
Authentifizierungsanforderungen konfigurieren.
Sowohl die Firewall zwischen dem Webanwendungsproxy und der Verbundserverfarm als auch die Firewall
zwischen den Clients und dem Webanwendungsproxy müssen TCP-Port 443 für eingehende Verbindungen
erlauben.
Wenn der Client ein Zertifikat für die Authentifizierung verwendet, muss zudem Port 49443 TCP für
eingehende Verbindungen zwischen den Clients und dem Webanwendungsproxy geöffnet werden. Auf der
Firewall zwischen dem Webanwendungsproxy und den Verbundservern ist dieser Port nicht erforderlich.
QUESTION 26
Gesamtstruktur enthält eine Active Directory-Verbunddienste (AD FS) Serverfarm. Die Farm enthält einen
Windows Server 2012 R2 Computer mit dem Namen Server1.
Sie fügen der Verbunddienstefarm einen Server mit dem Namen Server2 hinzu. Auf Server2 ist das
Sie entfernen Server1 aus der Farm.
Sie müssen sicherstellen, dass Sie die Rollentrennung für die Verwaltung der Farm nutzen können.
Wie gehen Sie vor?
A. Update-AdfsRelyingPartyTrust
B. Invoke-AdfsFarmBehaviorLevelRaise
C. Set-AdfsFarmInformation
D. Set-AdfsProperties
Correct Answer: B
Section: 5.1 AD FS
Explanation
Erläuterungen:
Der Wechsel von AD FS unter Windows Server 2012 R2 zu AD FS auf Windows Server 2016 ist denkbar
einfach geworden.
Sie können einen neuen Windows Server 2016-Server zu einer Windows Server 2012 R2-Farm
hinzufügen. Die Farm funktioniert ohne Unterbrechung mit den Features der Windows Server 2012 R2
Farm weiter. Wenn alle Windows Server 2012 R2 Server aus der Farm entfernt sind, kann der
Betriebsmodus der Farm mithilfe des Cmdlets Invoke-AdfsFarmBehaviorLevelRaise angehoben
werden so, dass die mit Windows Server 2016 neu hinzugekommenen Features nutzbar werden.
QUESTION 27
Server 2016 installiert. Der Server ist als Webanwendungsproxy konfiguriert.
Sie müssen Microsoft Exchange Server 2013-Dienste über den Webanwendungsproxy veröffentlichen. Ihre
Lösung muss die Vorauthentifizierung verwenden, wenn immer es möglich ist.
Wie konfigurieren Sie die Vorauthentifizierung für die einzelnen Exchange-Dienste?
(In der Abbildung werden Auswahlmöglichkeiten gezeigt. Klicken Sie auf die Schaltfläche Zeichnung und
wählen Sie für jeden Dienst die passende Vorauthentifizierung.)
(Wählen Sie zwischen den Antworten A oder B, C oder D und E oder F.)
A. Exchange ActiveSync: Active Directory-Verbunddienste (AD FS)

B. Exchange ActiveSync: Pass-Through
C. Outlook Web App: Active Directory-Verbunddienste (AD FS)
D. Outlook Web App: Pass-Through
E. Outlook Anywhere: Active Directory-Verbunddienste (AD FS)
F. Outlook Anywhere: Pass-Through
Correct Answer: BCF

Section: 5.2 WAP
Explanation
Erläuterungen:
Webanwendungsproxy bietet Organisationen die Möglichkeit, Zugriff auf Anwendungen, die auf Servern
innerhalb der Organisation ausgeführt werden, für Endbenutzern außerhalb der Organisation
bereitzustellen. Der Prozess der Bereitstellung des Zugriffs auf Anwendungen für externe Benutzer wird als
Veröffentlichung bezeichnet.
Authentifizieren von Benutzern und Geräten

Beim Veröffentlichen von Anwendungen über den Webanwendungsproxy, wird der Prozess, durch den
Benutzer und Geräte authentifiziert sind, bevor sie auf Anwendungen zugreifen können, als
Vorauthentifizierung bezeichnet.
Webanwendungsproxy unterstützt zwei Arten der Vorauthentifizierung:
AD FS Vorauthentifizierung – Verwendung von AD FS für die Vorauthentifizierung. Benutzer werden

über AD FS authentifiziert, bevor sie an die veröffentlichte Web-Anwendung weitergeleitet werden.
Dadurch wird sichergestellt, dass der gesamte Datenverkehr mit der veröffentlichten Webanwendung
authentifiziert ist.
Pass-Through-Vorauthentifizierung – Benutzer müssen keine Anmeldeinformationen eingeben, bevor
sie Verbindungen mit veröffentlichten Webanwendungen herstellen. Die Benutzer werden direkt an die
Webanwenudng weitergeleitet.
Anmerkung:
Die Pass-Through-Vorauthentifizierung hat keinerlei Einfluss darauf, wie und ob die Webanwendung
Benutzer authentifiziert.
Veröffentlichen von Exchange Server

Die folgende Tabelle beschreibt die Exchange-Dienste, die Sie durch Webanwendungsproxy
veröffentlichen können, sowie die unterstützte Vorauthentifizierung für diese Dienste:
QUESTION 28
Server 2016 installiert. Der Server ist als Webanwendungsproxy konfiguriert.
Sie müssen Microsoft Exchange Server-ActiveSync über den Webanwendungsproxy veröffentlichen. Für
den ActiveSync-Dienst soll die Vorauthentifizierung verwendet werden.
Wie konfigurieren Sie Server1?
(In der Abbildung werden Auswahlmöglichkeiten gezeigt. Wählen Sie für jeden Dienst die passende
Vorauthentifizierung.)
A. Vorauthentifizierungsmethode: Active Directory-Verbunddienste (AD FS)

B. Vorauthentifizierungsmethode: Pass-Through
C. Vorauthentifizierungstyp: HTTP Basic
D. Vorauthentifizierungstyp: OAuth2
E. Vorauthentifizierungstyp: Web and MS-OFBA
Correct Answer: BC
Section: 5.2 WAP
Explanation
Erläuterungen:
Die folgende Tabelle beschreibt die Exchange-Dienste, die Sie durch Webanwendungsproxy
veröffentlichen können, sowie die unterstützte Vorauthentifizierung für diese Dienste:
Für ActiveSync wird das Autorisierungsprotokoll HTTP Basic verwendet.
Siehe auch: Web Application Proxy in Windows Server 2016
QUESTION 29
Gesamtstruktur mit dem Namen certbase.de.
Das Unternehmen verwendet eine benutzerdefinierte Anwendung mit dem Namen ERP1. ERP1 greift auf
einen Active Directory Lightweight Directory Services (AD LDS)-Server mit dem Namen Server1 für die
Benutzerauthentifizierung zu.
Sie haben einen Mitgliedserver mit dem Namen Server2. Auf Server2 ist das Betriebssystem Windows
Sie installieren die Active Directory-Verbunddienste (AD FS) auf Server2 und erstellen eine AD FS-Farm.
Sie müssen AD FS für die Authentifizierung von Benutzern über den AD LDS-Server konfigurieren.
Welche PowerShell Cmdlets führen Sie aus?
(Sie müssen ein Cmdlet aus der Liste Erstes Cmdlet und eins aus der Liste Zweites Cmdlet auswählen.)
A. Add-AdfsRelyingPartyTrust
B. New-AdfsLdapServerConnection
C. Set-AdfsEndpoint
D. Add-AdfsLocalClaimsProviderTrust
E. Enable-AdfsRelyingPartyTrust
F. Set-AdfsEndpoint
Correct Answer: BD
Section: 5.1 AD FS
Explanation
Erläuterungen:
In vielen Unternehmen wird eine Kombination aus Active Directory, AD LDS oder Drittanbieter-LDAP-
Verzeichnissen für die Identitätsverwaltung genutzt.
Durch die ergänzende AD FS-Unterstützung für das Authentifizieren von Benutzern, die in LDAP-v3-
kompatiblen Verzeichnissen gespeichert sind, wird ein einheitlicher Prozess für dei Authentifizierung
erreicht.
AD FS unterstützt LDAP-v3-kompatible Verzeichnisse.
Um die AD FS-Farm zum Authentifizieren von Benutzern aus einem LDAP-Verzeichnis zu konfigurieren,
können Sie die folgenden Schritte ausführen:
1. Konfigurieren Sie zunächst eine Verbindung mit dem LDAP-Verzeichnis mit dem New-
AdfsLdapServerConnection Cmdlet.
2. Als Nächstes können Sie in einem optionalen Schritt den AD FS-Ansprüchen LDAP-Attribute zuordnen.
Verwenden Sie hierzu das Cmdlet New-AdfsLdapAttributeToClaimMapping.
3. Abschließend müssen Sie den LDAP-Speicher in AD FS als lokalen Anspruchsanbieter registrieren.
Verwenden Sie hierzu das Cmdlet Add-AdfsLocalClaimsProviderTrust.
Der folgende Artikel enthält weitere Informationen zum Thema: Konfigurieren von AD FS zum
Authentifizieren von Benutzern, die in LDAP-Verzeichnissen gespeichert sind.
QUESTION 30
Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Ihr Netzwerk umfasst einen
Windows Server 2016 Computer mit dem Namen Server1.
Sie müssen Server1 als Webanwendungsproxy konfigurieren.
Welche Serverrolle bzw. welchen Rollendienst installieren Sie auf Server1?
A. Remotezugriff
B. Active Directory-Verbunddienste
C. Webserver (IIS)
D. Netzwerkrichtlinien- und Zugriffsdienste
E. DirectAccess und VPN (RAS)
Correct Answer: A
Section: 5.2 WAP
Explanation
Erläuterungen:
Der Rollendienst Webanwendungsproxy bietet Reverseproxyfunktionen für Webanwendungen in Ihrem
Unternehmensnetzwerk, damit Benutzer auf jedem Gerät von außerhalb des Unternehmensnetzwerks
darauf zugreifen können. Der Webanwendungsproxy ist der Nachfolger des Verbunddiensteproxy (AD FS
Proxy).
Die Installation erfolgt als Teil der Rolle Remotezugriff:
QUESTION 31

Windows2008R2Forest
PS C:\>
Windows2008R2Domain
PS C:\>
konfigurieren.
Lösung: Sie führen adprep.exe von einem Windows Server 2016-Installationsmedium aus.
A. Ja
B. Nein
Correct Answer: A
Section: 5.1 AD FS
Explanation
Erläuterungen:
QUESTION 32
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur. Die Gesamtstruktur enthält eine Active
Directory-Verbunddienste (AD FS)-Bereitstellung.
Sie führen folgende Schritte durch:
Sie erstellen einen Microsoft Office 365-Mandanten mit dem Namen certbase.onmicrosoft.com.
Sie verwenden Microsoft Azure Active Directory Connect (AD Connect), um alle Benutzer und
Benutzerprinzipalnamen der Gesamtstruktur certbase.de nach Office 365 zu synchronisieren.
Sie müssen den Identitätsverbund für Office 365 und die On-Premises Active Directory-Gesamtstruktur
konfigurieren.
(Die verfügbaren Aktionen werden in der Abbildung dargestellt. Ordnen Sie die erforderlichen Schritte in der
richtigen Reihenfolge an.)

Correct Answer:
Section: 5.1 AD FS
Explanation
Erläuterungen:
Das Cmdlet Connect-MsolService versucht, eine Verbindung mit dem Microsoft Onlinedienst
herzustellen. Der Aufrufer muss seine Anmeldeinformationen bereitstellen (ein PSCredential-Objekt).
Mit dem Cmdlet Set-MsolADFSContext werden die Anmeldeinformationen für das Herstellen einer
Verbindung mit dem Active Directory-Verbunddienste (AD FS) Server festgelegt. Sie müssen dieses
Cmdlet ausführen, bevor Sie andere Cmdlets für einmaliges Anmelden (dem so genannten
Identitätsverbund) ausführen. Wenn dieses Cmdlet ohne Parameter aufgerufen wird, wird der Benutzer
aufgefordert, die Anmeldeinformationen für die Verbindung mit den verschiedenen Systemen einzugeben.
Wenn der AD FS-Server remote verwendet wird, muss der Benutzer den Computernamen des primären
AD FS-Servers angeben.
Mit dem Cmdlet Convert-MsolDomainToFederated wird die angegebene Domäne von der
Standardauthentifizierung in den Modus mit Unterstützung für einmaliges Anmelden konvertiert (den so
genannten Identitätsverbund). Mit dem Cmdlet werden auch die Einstellungen für die Vertrauensstellung
der vertrauenden Seite zwischen dem AD FS-Server und Office 365 konfiguriert. Die Konvertierung einer
Domäne aus Standardauthentifizierung in einmaliges Anmelden erfordert auch die Konvertierung aller
Benutzer. Diese Konvertierung erfolgt automatisch bei der nächsten Anmeldung der Benutzer. Der
Administrator muss nicht tätig werden.
QUESTION 33
certbase.de. Die Domäne enthält zwei Mitgliedsserver mit den Namen Server1 und Server2. Auf Server1
wird Windows Server 2012 R2 ausgeführt. Der Server ist als Active Directory-Verbunddienste (AD FS)-
Server konfiguriert. Auf Server2 ist Windows Server 2016 installiert.
Sie installieren die Active Directory-Verbunddienste (AD FS) auf Server2 und fügen Server2 der
Verbunddienstefarm hinzu.
Sie öffnen die AD FS-Verwaltungskonsole auf Server2. Die Konsole wird nachstehend gezeigt:
Sie müssen sicherstellen, dass der AD FS-Knoten in der Verwaltungskonsole auf Server2 angezeigt wird.
Welches Cmdlet führen Sie auf jedem Server aus?
Correct Answer:
Section: 5.1 AD FS
Explanation
Erläuterungen:
Solange der neu hinzugefügte Windows Server 2016 Verbunddiensteserver nicht als primärer Server der
Farm festgelegt ist, wird in der AD FS-Verwaltungskonsole nichts angezeigt.
Um Server2 als primären Server der Farm und Server1 als sekundären Server der Farm festzulegen, muss
auf beiden Servern das Cmdlet Set-AdfsSyncProperties mit dem Parameter -Role ausgeführt
werden.
Der folgende Technet-Artikel enthält weitere Informationen zum Thema: Upgrade von ADFS in Windows
Server2016 mithilfe einer WID-Datenbank
QUESTION 34
certbase.de. Sie planen die Implementierung der Active Directory-Verbunddienste (AD FS).
Welchen der folgenden Server positionieren Sie im Umkreisnetzwerk des Unternehmens?
A. Webanwendungsproxy
B. Server der vertrauenden Partnerorganisation
C. Verbundserver
D. Anspruchsanbieter-Server
Correct Answer: A
Section: 5.2 WAP
Explanation
Erläuterungen:
Der Webanwendungsproxy ist ein Rollendienst der Serverrolle Remotezugriff, mit dem Sie
Reverseproxyfunktionen für Unternehmenswebanwendungen und -dienste bereitstellen können.
Bei Verwendung vom Webanwendungsproxy mit Active Directory-Verbunddienste (Active Directory

Federation Services, AD FS) können Sie das Risiko der Ausweitung Ihrer Anwendungen auf das Internet
verwalten, indem Sie von den Features von AD FS wie Arbeitsplatzbeitritt, mehrstufige Authentifizierung
(MFA) und mehrstufige Zugriffssteuerung profitieren.
Im folgenden Diagramm ist die Topologie dargestellt, die für die Veröffentlichung von Microsoft-
Anwendungen und anderen Branchenanwendungen mit Webanwendungsproxy und AD FS verwendet wird:
QUESTION 35
certbase.de. Die Domäne enthält einen Active Directory-Verbunddienste (AD FS)-Server mit dem Namen
ADFS1, einen Webanwendungsproxyserver mit dem Namen WAP1 und einen Webserver mit dem Namen
Web1.
Sie müssen mithilfe des Webanwendungsproxies eine Website auf Web1 veröffentlichen. Die Benutzer
werden die OAuth2 Vorauthentifizierung verwenden.
A. Fügen Sie der Website auf Web1 Bindungen hinzu.

B. Fügen Sie Web1 Handlerzuordnungen hinzu.
C. Aktivieren Sie auf ADFS1 einen Endpunkt.
D. Erstellen Sie auf ADFS1 eine Anspruchsanbietervertrauensstellung.
Correct Answer: C
Section: 5.2 WAP
Explanation
Erläuterungen:
Sie müssen in der AD FS-Verwaltungskonsole sicherstellen, dass der Proxy für den OAuth-Endpunkt
aktiviert ist. Öffnen Sie dazu die AD FS-Verwaltungskonsole, erweitern Sie den Knoten Dienst, klicken Sie
auf Endpunkte, suchen Sie in der Liste Endpunkte nach dem OAuth-Endpunkt, und vergewissern Sie sich,
dass in der Spalte Proxy aktiviert der Wert Ja angezeigt wird.
Der folgende TechNet-Artikel enthält weitere Informationen zum Thema: Veröffentlichen einer Anwendung,
für die OAuth2 verwendet wird, z. B. eine Windows Store-App
QUESTION 36
Ihr Netzwerk umfasst eine Active Directory-Gesamtstruktur mit dem Namen certbase.de. Die Domäne
enthält einen Active Directory-Rechteverwaltungsdienste (AD RMS)-Cluster.
Ihr Unternehmen geht eine Partnerschaft mit der Firma Faberg GmbH ein. Das Netzwerk der Faberg
GmbH enthält eine Active Directory-Gesamtstruktur mit dem Namen faberg.de und eine AD RMS-
Bereitstellung.
Sie müssen sicherstellen, dass die Benutzer der Domäne certbase.de Dokumente einsehen können, die
von den Benutzern der Domäne faberg.de durch die Active Directory-Rechteverwaltungsdienste geschützt
wurden.
Lösung: Sie konfigurieren certbase.de in den Active Directory-Rechteverwaltungsdiensten von faberg.de als
vertrauenswürdige Veröffentlichungsdomäne.
A. Ja
B. Nein
Correct Answer: B
Section: 5.3 AD RMS
Explanation
Erläuterungen:
CertBase muss Faberg vertrauen. Wir müssen faberg.de in den Active Directory-
Rechteverwaltungsdiensten von certbase.de als vertrauenswürdige Veröffentlichungsdomäne konfigurieren.
Vertrauenswürdige Veröffentlichungsdomäne
Eine vertrauenswürdige Veröffentlichungsdomäne ermöglicht einem AD RMS-Cluster die Ausstellung von
Nutzungslizenzen für Veröffentlichungslizenzen, die durch einen anderen AD RMS-Cluster ausgestellt
wurden. Vertrauenswürdige Veröffentlichungsdomänen werden durch Importieren des Server-
Lizenzgeberzertifikats und des privaten Schlüssels des Servers hinzugefügt, dem vertraut werden soll.
QUESTION 37
Bereitstellung.
wurden.
Lösung: Sie konfigurieren faberg.de in den Active Directory-Rechteverwaltungsdiensten von certbase.de als
vertrauenswürdige Benutzerdomäne.
A. Ja
B. Nein
Correct Answer: B
Section: 5.3 AD RMS
Explanation
Erläuterungen:
Das Hinzufügen einer vertrauenswürdigen Benutzerdomäne ermöglicht dem AD RMS-Stammcluster die
Verarbeitung von Anforderungen für Client-Lizenzgeberzertifikate oder Nutzungslizenzen von Benutzern,
deren Rechtekontozertifikate (Rights Account Certificate, RACs) von einem anderen AD RMS-
Stammcluster ausgestellt wurden.
Certbase.de müsste in den Active Directory-Rechteverwaltungsdiensten von faberg.de als

vertrauenswürdige Benutzerdomäne konfiguriert werden.
QUESTION 38
Bereitstellung.
wurden.
Lösung: Sie konfigurieren faberg.de in den Active Directory-Rechteverwaltungsdiensten von certbase.de als
vertrauenswürdige Veröffentlichungsdomäne.
A. Ja
B. Nein
Correct Answer: A
Section: 5.3 AD RMS
Explanation
Erläuterungen:
Eine vertrauenswürdige Veröffentlichungsdomäne ermöglicht einem AD RMS-Cluster die Ausstellung von
Nutzungslizenzen für Veröffentlichungslizenzen, die durch einen anderen AD RMS-Cluster ausgestellt
wurden. Vertrauenswürdige Veröffentlichungsdomänen werden durch Importieren des Server-
Grundlegendes zu AD RMS-Vertrauensrichtlinien
Sie können Vertrauensrichtlinien hinzufügen, sodass AD RMS Lizenzierungsanforderungen für Inhalt
verarbeiten kann, der von einem anderen AD RMS-Cluster durch Rechte geschützt wurde.
Vertrauensrichtlinien können wie folgt definiert werden:
Vertrauenswürdige Benutzerdomänen Das Hinzufügen einer vertrauenswürdigen Benutzerdomäne

ermöglicht dem AD RMS-Stammcluster die Verarbeitung von Anforderungen für Client-
Lizenzgeberzertifikate oder Nutzungslizenzen von Benutzern, deren Rechtekontozertifikate (Rights
Account Certificate, RACs) von einem anderen AD RMS-Stammcluster ausgestellt wurden.
Vertrauenswürdige Benutzerdomänen werden durch Importieren des Server-Lizenzgeberzertifikats des
AD RMS-Clusters hinzugefügt, dem vertraut werden soll.
Vertrauenswürdige Veröffentlichungsdomänen Das Hinzufügen einer vertrauenswürdigen
Veröffentlichungsdomäne ermöglicht einem AD RMS-Cluster die Ausstellung von Nutzungslizenzen für
Veröffentlichungslizenzen, die durch einen anderen AD RMS-Cluster ausgestellt wurden.
Vertrauenswürdige Veröffentlichungsdomänen werden durch Importieren des Server-
Windows Live ID Das Einrichten einer Vertrauensstellung mit dem RMS-Onlinedienst von Microsoft
ermöglicht einem AD RMS-Benutzer das Senden von durch Rechte geschütztem Inhalt an einen
Benutzer mit einer Windows Live ID. Daraufhin kann der Windows Live ID-Benutzer auf den durch
Rechte geschützten Inhalt des AD RMS-Clusters zugreifen, der dem RMS-Onlinedienst von Microsoft
vertraut. Der Windows Live ID-Benutzer kann jedoch keinen Inhalt erstellen, der vom AD RMS-Cluster
durch Rechte geschützt wird.
Verbundvertrauensstellung Das Einrichten einer Verbundvertrauensstellung zwischen zwei
Gesamtstrukturen erfolgt mithilfe der Active Directory-Verbunddienste. Dies ist dann hilfreich, wenn in
einer Gesamtstruktur AD RMS nicht installiert ist, die zugehörigen Benutzer jedoch auf durch Rechte
geschützten Inhalt einer anderen Gesamtstruktur zugreifen müssen.
QUESTION 39
einen Windows Server 2016 Server mit dem Namen RMS1.
Sie installieren die Serverrolle Active Directory-Rechteverwaltungsdienste (AD RMS) auf RMS1.
Ihr Unternehmen plant eine Partnerschaft mit der Faberg GmbH. Sie möchten den Mitarbeitern der Faberg
GmbH Zugriff auf durch RMS1 geschützte Dokumente ermöglichen.
Sie erstellen eine Verbundvertrauensstellung mit Faberg.
Sie müssen sicherstellen, dass die Benutzer der Faberg GmbH auf die geschützten Inhalte zugreifen
können.
Welche Aktion führen Sie auf RMS1 aus?
A. Installieren Sie das Feature Windows Identity Foundation 3.5.

B. Installieren Sie den Rollendienst Unterstützung für Identitätsverbund.
C. Konfigurieren Sie mithilfe von Microsoft Federation Gateway eine Identitäsverbundbeziehung.
D. Konfigurieren Sie eine Regel für eingehende Ansprüche.
Correct Answer: B
Section: 5.3 AD RMS
Explanation
Erläuterungen:
Der Rollendienst Unterstützung für Identitätsverbund nutzt Partnervertrauensstellungen zwischen Ihrer
Organisation und anderen Organisationen, um Benutzeridentitäten nachzuweisen und Zugriff auf
geschützte Informationen beider Organisationen zu gewähren. Beispielsweise können im Rahmen einer
Vertrauensstellung, die mit den Active Directory-Verbunddiensten erstellt wurde, Benutzeridentitäten für AD
RMS nachgewiesen werden.
QUESTION 40
Ihr Netzwerk enthält einen Active Directory-Rechteverwaltungsdienste (AD RMS)-Cluster mit dem Namen
RMS1. Es sind mehrere Dokumente durch RMS1 geschützt.
RMS1 fällt aus und kann nicht wiederhergestellt werden.
Sie installieren die Serverrolle Active Directory-Rechteverwaltungsdienste auf einem neuen Server mit dem
Namen RMS2. Anschließend stellen Sie die AD RMS-Datenbank von RMS1 auf RMS2 wieder her.
Benutzer berichten, dass sie die geschützten Dokumente nicht öffnen und neue Dokumente nicht schützen
können.
Sie müssen sicherstellen, dass die Benutzer auf die geschützten Dokumente zugreifen können.
Wie gehen Sie vor?
A. Aktualisieren Sie den Dienstverbindungspunkt (Service Connection Point, SCP) für RMS1 in der
Konsole Active Directory-Rechteverwaltungsdienste.
B. Registrieren Sie über RMS2 einen Dienstprinzipalnamen (Service Principal Name, SPN) in Active
Directory.
C. Erstellen Sie in DNS einen Aliasnamen (CNAME) für RMS2.
D. Ändern Sie in DNS den Dienstidentifizierungseintrag (SRV) für RMS1.
Correct Answer: A
Section: 5.3 AD RMS
Explanation
Erläuterungen:
Der Dienstverbindungspunkt (Service Connection Point, SCP) für AD RMS identifiziert die Verbindungs-
URL für den Dienst zu den AD RMS-fähigen Clients in Ihrer Organisation. Nachdem Sie den
Dienstverbindungspunkt in den Active Directory-Domänendiensten (Active Directory Domain Services, AD
DS) registriert haben, können Clients den AD RMS-Cluster ermitteln, um Nutzungslizenzen,
Veröffentlichungslizenzen oder Rechtekontozertifikate (Rights Account Certificate, RACs) anzufordern.
Wenn die Rolle "AD RMS" auf Ihrem Server konfiguriert ist, versucht die Installation, den AD RMS-
Dienstverbindungspunkt zu registrieren. Falls dies jedoch nicht möglich ist, können Sie den
Dienstverbindungspunkt auf dem Eigenschaftenblatt des Clusters an der Konsole der Active Directory-
Rechteverwaltungsdienste registrieren oder ändern.
Wenn Sie einen Dienstverbindungspunkt von einem AD RMS-Cluster in einer untergeordneten Domäne
registrieren, werden Sie möglicherweise in einer Fehlermeldung darüber informiert, dass bei der
Registrierung des Dienstverbindungspunkts ein Fehler aufgetreten ist. In vielen Fällen war die Registrierung
erfolgreich. Sie erfolgt jedoch zunächst in der Domäne der obersten Ebene, und das Replizieren zur
untergeordneten Domäne, in der der AD RMS-Cluster das Dienstverbindungspunktobjekt sucht, dauert
einige Zeit. Sobald der Dienstverbindungspunkt zu allen globalen Katalogservern in der Gesamtstruktur
repliziert wurde, wird die Meldung nicht mehr angezeigt.
Sie müssen mindestens Mitglied der Gruppe AD RMS-Organisationsadministratoren und der Gruppe
Organisations-Admins in AD DS oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen
zu können.
So registrieren oder ändern Sie einen Dienstverbindungspunkt
1. Melden Sie sich an einem Server des Clusters an, auf dem Sie einen Dienstverbindungspunkt
registrieren müssen.
2. Öffnen Sie die Konsole der Active Directory-Rechteverwaltungsdienste.
3. Klicken Sie mit der rechten Maustaste auf den AD RMS-Cluster, und klicken Sie dann auf
Eigenschaften.
4. Klicken Sie auf die Registerkarte SCP.
5. Aktivieren Sie das Kontrollkästchen SCP ändern.
6. Klicken Sie auf die Option SCP auf aktuellen Zertifizierungscluster festlegen, und klicken Sie dann auf
OK.
7. Klicken Sie auf Ja, um den Vorgang zu bestätigen.
Hinweis:
Die englischen Antworten lauten:

A. From Active Directory Rights Management, update the Service Connection Point (SCP) for RMS1.
B. From DNS, create an alias (CNAME) record for RMS2.
C. From DNS, modify the service location (SRV) record for RMS1.
D. From RMS2, register a service principal name (SPN) in Active Directory.
Laut der im Internet veröffentlichten englischen Frage soll Antwort D richtig sein. Ein Test in der Praxis
zeigt, dass sich bei einem RMS-Server mit dem Betriebssystem Windows Server 2016 der SCP gar nicht
ändern lässt. Die auf CertBase veröffentlichte Hilfe, die oben wiedergegeben wurde, bezieht sich auf
Windows Server 2008 R2: Registrieren eines Dienstverbindungspunkts oder die englische Originalfassung:
Register a Service Connection Point, die sich laut Webseite auf Windows Server 2008 R2 und Windows
Server 2012 bezieht, laut URL aber auf Windows Server 2008 und Windows Server 2008 R2..
In der Aufgabe wird nichts über das Betriebssystem ausgesagt.
QUESTION 41
Ein früherer Administrator hat auf einem Server mit dem Namen Server1 eine Teststellung für die Active
Directory-Rechteverwaltungsdienste (AD RMS) implementiert. Nach dem Abschluss des Tests wurde die
Serverrolle Active Directory-Rechteverwaltungsdienste (AD RMS) von Server1 entfernt.
Sie versuchen die Active Directory-Rechteverwaltungsdienste (AD RMS) erneut bereitzustellen.
Während der Konfiguration der Active Directory-Rechteverwaltungsdienste (AD RMS) erhalten Sie eine
Fehlermeldung mit dem Hinweis, dass ein bestehender AD RMS-Dienstverbindungspunkt (Service
Connection Point, SCP) gefunden wurde.
Sie müssen sicherstellen, dass Clients ausschließlich Verbindungen mit der neuen AD RMS-Bereitstellung
herstellen.
Wie gehen Sie vor?
A. Entfernen Sie die DNS-Einträge für Server1.

B. Erhöhen Sie die Priorität der DNS-Einträge der neuen AD RMS-Bereitstellung.
C. Entfernen Sie das Computerobjekt von Server1 aus dem Active Directory.
D. Entfernen Sie den Dienstverbindungspunkt (Service Connection Point, SCP) aus dem Active Directory.
Correct Answer: D
Section: 5.3 AD RMS
Explanation
Erläuterungen:
Der Dienstverbindungspunkt (Service Connection Point, SCP) für AD RMS identifiziert die Verbindungs-
URL für den Dienst zu den AD RMS-fähigen Clients in Ihrer Organisation. Nachdem Sie den
Dienstverbindungspunkt in den Active Directory-Domänendiensten (Active Directory Domain Services, AD
DS) registriert haben, können Clients den AD RMS-Cluster ermitteln, um Nutzungslizenzen,
Veröffentlichungslizenzen oder Rechtekontozertifikate (Rights Account Certificate, RACs) anzufordern.
Wenn die Rolle "AD RMS" auf Ihrem Server konfiguriert ist, versucht die Installation, den AD RMS-
Dienstverbindungspunkt zu registrieren. Falls dies jedoch nicht möglich ist, können Sie den
Dienstverbindungspunkt auf dem Eigenschaftenblatt des Clusters an der Konsole der Active Directory-
Rechteverwaltungsdienste registrieren oder ändern.
In einer Active Directory-Gesamtstruktur kann es nur einen AD RMS-Dienstverbindungspunkt geben. Der

Dienstverbindungspunkt der vorherigen AD RMS-Bereitstellung wurde beim Entfernen der Rolle nicht
gelöscht. Bevor ein neuer SCP registriert werden kann, muss der alte Eintrag, z.B. mithilfe der Konsole
Active Directory-Standorte und -Dienste, aus dem Active Directory gelöscht werden.
QUESTION 42
certbase.de. Die Domäne enthält einen Server mit dem Namen Server1. Auf Server1 ist Windows Server
2016 mit der Serverrolle Active Directory-Rechteverwaltungsdienste (AD RMS) installiert.
Die Domäne enthält eine domänenlokale Gruppe mit dem Namen Gruppe1.
Sie erstellen eine Vorlage für Benutzerrechterichtlinien mit dem Namen Vorlage1.
Sie müssen sicherstellen, dass alle Mitglieder von Gruppe1 Vorlage1 verwenden können.
Wie gehen Sie vor?
A. Konvertieren Sie Gruppe1 in eine universelle Gruppe und weisen Sie Gruppe1 Berechtigungen für
Vorlage1 zu.
B. Konvertieren Sie Gruppe1 in eine globale Gruppe und konfigurieren Sie das Attribut E-Mail für Gruppe1.
C. Konfigurieren Sie das Attribut E-Mail für Gruppe1. Konfigurieren Sie das Attribut E-Mail für alle
Benutzer, die Mitglied von Gruppe1 sind.
D. Konfigurieren Sie das Attribut E-Mail für alle Benutzer, die Mitglied von Gruppe1 sind. Weisen Sie
Gruppe1 Berechtigungen für Vorlage1 zu.
Correct Answer: D
Section: 5.3 AD RMS
Explanation
Erläuterungen:
Mithilfe von Vorlagen für Benutzerrechterichtlinien werden die Rechte gesteuert, über die ein Benutzer oder
eine Gruppe für bestimmte Teile von durch Rechte geschütztem Inhalt verfügt. AD RMS speichert die
Vorlagen für Benutzerrechterichtlinien in der Konfigurationsdatenbank.
Beim Veröffentlichen von geschütztem Inhalt wählt der Autor aus den auf dem lokalen Computer
verfügbaren Vorlagen die anzuwendende Vorlage für Benutzerrechterichtlinien aus.
Alle Benutzer und Gruppen, die AD RMS zum Abrufen von Lizenzen und zum Veröffentlichen von Inhalten
verwenden, müssen über eine in Active Directory konfigurierte E-Mail-Adresse verfügen.
QUESTION 43
Namen certbase.de. Die Domäne enthält zwei Domänencontroller mit den Namen DC1
und DC2.
Lösung: Sie verwenden die Eingabeaufforderung auf DC2 und führen das
Befehlszeilenprogramm dsmgmt.exe aus. Sie stellen eine Verbindung mit DC2 her und
verwenden die Option Seize RID master.
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Da der Inhaber der Rolle RID-Master ausgefallen ist, kann die Rolle von DC1 nicht
mithilfe der Option Transfer RID master nach DC2 übertragen werden. Anstelle dessen
müssen wir die Rolle auf DC2 mithilfe der Option Seize RID master übernehmen.
QUESTION 44
Namen certbase.de.
Das Konto eines Benutzers mit dem Namen Benutzer1 befindet sich in einer
Benutzer1 berichtet über Probleme beim Zugriff auf einen freigegebenen Ordner. Um
das Problem zu untersuchen, wollen Sie eine Liste aller Gruppen erstellen, in denen
Benutzer1 entweder direkt oder indirekt Mitglied ist.
Lösung: Sie führen das folgende PowerShell Cmdlet aus:
Get-ADGroup -Identity Benutzer1 -Property MemberOf.
A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Das Cmdlet Get-ADGroup ruft eine Gruppe ab oder führt eine Suche zum Abrufen
mehrerer Gruppen durch.
Der Parameter Identity gibt die Active Directory-Gruppe an, die abgerufen werden soll.
Sie können eine Gruppe anhand ihres definierten Namens (Distinguished Name, DN),
ihrer GUID, ihrer Sicherheits-ID (Security Identifier, SID), ihres Kontonamens oder ihres
Prinzipalnamens identifizieren.
Die Lösung verwendet das Cmdlet Get-ADGroup und gibt ein Benutzerkonto als Identität
an. Dies führt zu einem Fehler.
QUESTION 45
Namen certbase.de.
Get-ADUser -Identity Benutzer1 -Property MemberOf.

A. Ja
B. Nein
Correct Answer: B
Section: New
Explanation
Die Lösung ruft die Eigenschaften von Benutzer1 einschließlich des Attributes MemberOf
ab. Dabei werden jedoch nur die direkten Gruppenmitgliedschaften von Benutzer1
ermittelt. Die indirekten Gruppenmitgliedschaften werden nicht ermittelt.
Ist Benutzer1 z. B. Mitglied von Gruppe1 und Gruppe1 ist Mitglied von Gruppe2, enthält
das Attribut MemberOf nur Gruppe1. Das Gruppe1 und damit auch Benutzer1, Mitglied
von Gruppe2 ist, geht aus der Befehlsausgabe nicht hervor.
QUESTION 46
Namen certbase.de.
dsget user "cn=Benutzer1,ou=OU1,dc=certbase,dc=de" -memberof -expand
A. Ja
B. Nein
Correct Answer: A
Section: New
Explanation
Dsget ist ein Befehlszeilentool, das seit Windows Server 2008 in Windows Server
integriert ist. Es ist verfügbar, wenn Sie die AD DS-Serverrolle installiert haben. Um
dsget zu verwenden, müssen Sie den Befehl dsget über eine Eingabeaufforderung mit
erhöhten Rechten ausführen.
Wenn Sie dsget user verwenden und den Parameter -memberof angeben, werden alle
anderen Parameter überschrieben, und nur die Mitgliedschaftsliste für den Benutzer wird
angezeigt.
Um die Liste rekursiv erweiterter Gruppen anzuzeigen, denen ein Benutzer angehört,
verwenden Sie den Parameter -expand zusammen mit dem Parameter -memberof.
Dsget user
QUESTION 47
Sie sind als Administrator für das Unternehmen CertBase tätig. Sie erstellen ein
Benutzerkonto, das zukünftig als Vorlage für die Erstellung neuer Benutzerkonten
verwendet wird.
Welche Einstellung wird kopiert, wenn Sie das Benutzerkonto mithilfe von Active
Directory-Benutzer und –Computer kopieren?
A. Die für den Benutzer veröffentlichten Zertifikate.

B. Die Gruppenmitgliedschaften.
C. Die Benutzereigenschaft Büro.
D. Die Benutzereigenschaft Beschreibung.
Correct Answer: B
Section: New
Explanation
Beim Kopieren eines Benutzerkontos werden unter anderem die Einstellungen auf dem
Register Organisation sowie Gruppenmitgliedschaften kopiert.

Sprache

Mcsa 70-742

Hochgeladen von

Dokumentinformationen

Beschreibung:

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Beschreibung:

Copyright:

Verfügbare Formate

Mcsa 70-742

Originaltitel:

Hochgeladen von

Beschreibung:

Copyright:

Verfügbare Formate

MCSA Windows Server 2016

1. Installieren und Konfigurieren von Active Directory-Domänendiensten (AD DS) (20–25 %)

Die Gesamtstruktur datacom.de enthält einen Active Directory-Rechteverwaltungsdienste (AD RMS)-

Die Gesamtstruktur certbase.de enthält einen Active Directory-Rechteverwaltungsdienste (AD RMS)-

Wie gehen Sie vor?

A. Importieren Sie die vertrauenswürdige Veröffentlichungsdomänendatei aus dat1.datacom.de in

Welches Tool verwenden Sie für das Veröffentlichen von WebApp1?

A. Die Remotezugriffs-Verwaltungskonsole auf Server1.

Wie gehen Sie vor?

A. Veröffentlichen Sie WebApp1 mithilfe der Pass-Through-Vorauthentifizierung.

Im Umkreisnetzwerk befindet sich ein Server mit dem Namen Server6.

Auf jedem Server bestehen die folgenden lokalen Benutzerkonten:

Sie installieren den Rollendienst Webanwendungsproxy auf Server6.

Wie gehen Sie vor?

A. Konfigurieren Sie das AD RMS-Clusterschlüsselkennwort manuell.

Sie stellen im Umkreisnetzwerk einen Webanwendungsproxy bereit.

A. Konfigurieren Sie den Webanwendungsproxy für die OAUTH2-Vorauthentifizierung.

Wie gehen Sie vor?

A. Registrieren Sie einen Dienstverbindungspunkt (Service Connection Point, SCP).

So registrieren oder ändern Sie einen Dienstverbindungspunkt

Welche Serverrolle stellen Sie zuerst bereit?

A. Active Directory Lightweight Directory Services (AD LDS)

Weitere Informationen finden Sie unter:

Using the Application Request Routing Module

Server3 ist der einzige Server in Site2.

Welche Aussagen treffen zu?

Die Zugangsdaten der Mitglieder der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" werden

DC1 fällt aufgrund eines Hardwaredefekts aus.

Welchen Befehl führen Sie aus?

Correct Answer: AEH

Move-ADDirectoryServerOperationMasterRole -Identity "DC2" –

Move–ADDirectoryServerOperationMasterRole -Identity "DC2" -

Move-ADDirectoryServerOperationMasterRole -Identity "DC2" -

Welche der gezeigten Aussagen treffen zu?

Section: 1.1 Installieren und konfigurieren von DCs

Lösung: Sie führen den Befehl netdom query fsmo aus.

Erfüllt das Vorgehen Ihr Ziel?

Beispiele für das Ermitteln der Betriebsmasterrollen mithilfe der PowerShell:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest,

Lösung: Sie verwenden das Snap-In Active Directory-Benutzer und -Computer.

Erfüllt das Vorgehen Ihr Ziel?

Beispiele für das Ermitteln der Betriebsmasterrollen mithilfe der PowerShell:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest,

Lösung: Sie verwenden das Snap-In Active Directory-Domänen und -Vertrauensstellungen.

Erfüllt das Vorgehen Ihr Ziel?

Beispiele für das Ermitteln der Betriebsmasterrollen mithilfe der PowerShell:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest,

Lösung: Sie verwenden das PowerShell Cmdlet Get-ADForest.

Erfüllt das Vorgehen Ihr Ziel?

Beispiele für das Ermitteln der Betriebsmasterrollen mithilfe der PowerShell:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest,