最常问的 Active Directory 面试问题

以下是最常被问到的 Active Directory 面试问题及其最佳答案。

1) 您对 Active Directory 这个术语的理解是什么？

Active Directory 术语指定了基于 Microsoft Windows 的服务器和计算机中使用的索引结构或元数据，用于存储有关域和网络的数据和信息。

Active Directory 类似于一个数据库，其中存储用户、计算机以及其他网络对象信息。它可以管理和维护整个网络。

2) 什么是域？

域是用户组的网络资源的集合。用户只需登录到域即可访问资源，这些资源可能位于网络上的不同服务器上。“域”指定了一个系统地址，该地址可能为您提供大量信息。域地址可能看起来像 211.170.469。域的概念是在 Windows NT 中引入的，其中用户可以使用单个用户名和密码组合来授予对多个计算机资源的访问权限。

3) 目录服务中使用的默认协议是什么？

目录服务中使用的非付费默认协议是 LDAP。LDAP 代表轻量级目录访问协议。

4) 域本地组、全局组和通用组之间有什么区别？

域本地组的作用域扩展到本地域，用于分配本地资源的权限。域本地组与全局组的区别在于，可以从任何域的用户帐户、全局组和通用组添加到域本地组。但是，由于其作用域有限，成员只能在创建该组的域内分配权限。

5) Sysvol 文件夹是什么？有什么用？

Sysvol 文件夹用于存储域公共文件的服务器副本，并将策略和登录脚本传递给域成员。它将所有组策略从一个域复制到特定域内的其他域控制器。

6) 用户可以创建新的通用用户组吗？

通用组仅在原生模式的 Windows Server 2003 环境中可用。它需要将所有域控制器升级到 Windows Server 2003 Active Directory 才能创建新的通用用户组。

7) 您对 AD 中的“林”这个术语的理解是什么？

林这个术语描述了一个 AD 域的集合，这些域共享一个独立的 AD 架构。林中的所有 DC 都共享此架构，并在它们之间以分层方式进行复制。

8) AD 中企业管理员组和域管理员组之间有什么区别？

以下是 AD 中企业管理员组和域管理员组之间的区别列表

9) 什么是 ARP？您如何理解 ARP 缓存中毒？

ARP 是地址解析协议的缩写。它是一种用于将 Internet 协议地址 (IP 地址) 映射到本地网络中可识别的物理计算机地址的协议。

ARP 缓存中毒是一个过程，其中一个表（通常称为 ARP 缓存）用于维护 MAC 地址与其对应的 IP 地址之间的关联。ARP 提供协议规则，用于在这两个方向上进行此关联并提供地址转换。

10) 您对 Kerberos 有何理解？

Kerberos 是一种用于网络的验证协议。它旨在通过使用密钥加密技术为客户端应用程序提供安全的验证。

11) 什么是 LSDOU？

LSDOU 是一种组策略继承模型，其中策略应用于本地计算机、站点、域和组织单位。这就是为什么它被称为 LSDOU。

12) 什么是 Active Directory 架构？

Active Directory 架构是 Active Directory 网络的蓝图。在 Active Directory 网络中创建的所有对象都引用 Active Directory 架构以获取其对象类型。

13) Active Directory 架构有哪些不同的组成部分？

有三个主要组成部分用于构成 AD 架构

• 对象：对象是 Active Directory 用于存储其网络中资源信息的实体。在 Active Directory 中，对象用作网络中资源的引用。例如，如果一台计算机属于 Active Directory 网络，则会有一个计算机对象代表这台实际计算机。计算机对象还将存储有关计算机的一些信息，例如操作系统、运行状态等。
• 类：在 Active Directory 架构中，属性被分组并分类到对象类中。因此，对象类是对象定义的层次化分类。Active Directory 架构中有三种类型的类
  1. 抽象类
  2. 结构类
  3. 辅助类
• 属性：属性是用于存储 Active Directory 环境中对象信息的实体。例如，用户对象可以具有诸如名字、姓氏、电话号码、地址和其他存储用户数据的属性。一些属性还存储有关对象本身以外的其他属性的信息。有几种类型的属性，例如链接属性、索引属性和全局属性。

14) Windows Server 2012 的 Active Directory (AD) 中新增了哪些功能？

以下是 Windows Server 2012 的 Active Directory 中新增功能列表

• 带有改进向导的 dcpromo (域控制器推广程序)：在安装过程中，它使用户能够查看所有步骤并查看详细结果。
• 增强的管理中心：在较新版本的 Windows 2012 中，管理中心与早期版本的 Active Directory 相比设计得更好。Exchange 管理控制台设计精良。
• 回收站支持 GUI：Windows Server 12 提供了许多方式，可以通过 Active Directory 管理中心的 GUI 启用 Active Directory 回收站，而这在早期版本中是不可能的。
• 精细密码策略 (FGPP)：在 Windows Server 12 中实现 FGPP 比早期版本更容易。它还使我们能够在同一域中创建不同的密码策略。
• Windows PowerShell 历史记录查看器：它还提供与 Active Directory 管理中心 UI 中执行的操作相关的 Windows PowerShell 命令。

15) 系统状态数据包含哪些内容？

系统状态数据包含以下内容

• 注册表
• 启动文件
• 系统文件
• 注册表数据库
• 内存分页文件
• AD 信息
• SYSVOL 文件夹
• 群集服务信息等。

16) Active Directory 的主要组成部分是什么？

Active Directory 主要有两个组成部分

• 物理结构：它包含域控制器和站点。
• 逻辑结构：它包含树、林、域和 OU。

17) 您如何理解墓碑保留期？

墓碑保留期用于确定已删除对象在 Active Directory 中保留多长时间。Active Directory 中已删除的对象存储在一个称为 TOMBSTONE 的特殊对象中。默认情况下，Windows 使用 60 天的墓碑保留期，如果林配置中未设置时间。

18) 您如何理解子域控制器或 CDC？

CDC 或子域控制器代表子域控制器。它是根域控制器下的子域控制器，用于共享命名空间。

19) APIPA 的完整形式是什么？有什么用？

APIPA 是自动专用 IP 寻址的缩写。它是 Windows 98、98 SE、Me 和 2000 的一个重要功能。它用于自动为安装了该功能的计算机分配 Internet 协议地址。

20) 您如何理解 RID Master？

RID Master 代表相对标识符 Master。它用于为 Active Directory 中创建的对象分配唯一 ID。

21) 您如何理解 Infrastructure Master？

Infrastructure Master 的作用是更新从本地域中的对象到其他域中的对象的引用。每个域中只能有一个 Infrastructure Master DC。换句话说，我们可以说 Infrastructure Master 负责更新用户、组以及全局目录的信息。

22) 您如何理解组织单位？

组织单位是一个影响策略、安全、能力和管理费用的设计因素。组织单位是一种 LDAP 容器，可以反映为具有与域相似属性的子域元素。

23) Active Directory 回收站有什么用？

Active Directory 回收站是 Windows Server 2008 AD 的一个特性。它用于在不使用备份的 AD 数据库或重启域控制器的情况下，意外删除的 Active Directory 对象可以进行恢复。

24) 您如何理解域树和域林？

域树和域林都是 Active Directory 的两个重要概念。域树是共享公共命名空间的多个域的集合。例如，jobs.career.com 和 career.com 这两个域都属于 career.com 域树。如果您创建的域不包含父域或林根域的完整名称，则它被视为一个单独的域树的一部分。

林是多个域树的集合。career.com 域树中的域和 colleges.com 域树中的域可能属于同一个林。域树基于公共命名空间，但林不是。林以林中创建的第一个域命名。假设 career.com 是创建的第一个域，那么林将自动命名为 career.com。之后，您可以为 jobs.career.com 和 colleges.com 创建其他域，所有这些都属于 career.com 林。

25) Active Directory 中复制的目的是什么？

复制的主要目的是为了提高可用性、性能和数据保护，在整个组织中共享索引中存储的数据。

26) Active Directory 使用哪些不同的端口？

以下是 Active Directory 使用的端口列表

• RPC 端点映射器：端口 135 TCP, UDP
• NetBIOS 名称服务：端口 137 TCP, UDP
• NetBIOS 数据报服务：端口 138 UDP
• NetBIOS 会话服务：端口 139 TCP
• SMB over IP (Microsoft-DS)：端口 445 TCP, UDP
• LDAP：端口 389 TCP, UDP
• LDAP over SSL：端口 636 TCP
• 全局目录 LDAP：端口 3268 TCP
• 全局目录 LDAP over SSL：端口 3269 TCP
• Kerberos：端口 88 TCP, UDP
• DNS：端口 53 TCP, UDP
• WINS 解析：端口 1512 TCP, UDP
• WINS 复制：42 TCP, UDP
• RPC：动态分配的端口 TCP，除非另有限制

27) 您最想使用哪些工具来编辑 AD？

Adsiedit.msc 是用于 Active Directory 的最佳低级编辑工具之一。它是一个 Microsoft 管理控制台管理单元，具有图形用户界面，可帮助管理员执行简单的任务，例如使用目录服务添加、编辑和删除对象。Adsiedit.msc 工具使用应用程序编程接口访问 Active Directory。

28) 使用命令提示符管理信任关系使用哪个程序？

Netdom.exe 是 Active Directory 中的一个程序或命令行应用程序，管理员使用它来管理 Active Directory。此应用程序允许管理员从命令提示符管理 Active Directory 中的信任关系。它还允许管理员将计算机加入域以进行批量管理信任关系，验证信任关系以及安全 Active Directory 通道。

29) SID 的完整形式是什么？有什么用？

SID 是安全标识符的缩写。它是一个唯一的变长标识符，用于识别受托人或受保护的委托人。

30) 您如何理解 PDC 模拟器？如何知道 PDC 模拟器是否正常工作？

PDC 模拟器用作“仲裁者”并控制域的时间同步。每个域有一个 PDC 模拟器，当发生身份验证失败尝试时，它会被转发到 PDC 模拟器。

以下是一些可以用来判断 PDC 模拟器是否正常工作的参数

• 如果时间不同步
• 如果用户帐户未被锁定
• 如果 Windows NT BDC 未收到更新
• 如果 Windows 2000 之前的计算机无法更改其密码

31) 什么是 Active Directory 架构？

Active Directory 架构是 Active Directory 网络的蓝图。在 Active Directory 网络中创建的所有对象都引用 Active Directory 架构以获取其对象类型。

32) Active Directory 架构有哪些不同的组成部分？

• 对象：对象是 Active Directory 用于存储其网络中资源信息的实体。在 Active Directory 中，对象用作网络中资源的引用。例如，如果一台计算机属于 Active Directory 网络，则会有一个计算机对象代表这台实际计算机。计算机对象还将存储有关计算机的一些信息，例如操作系统、运行状态等。
• 类：在 Active Directory 架构中，属性被分组并分类到对象类中。因此，对象类是对象定义的层次化分类。Active Directory 架构中有三种类型的类
  1. 抽象类
  2. 结构类
  3. 辅助类
• 属性：属性是用于存储 Active Directory 环境中对象信息的实体。例如，用户对象可以具有诸如名字、姓氏、电话号码、地址和其他存储用户数据的属性。一些属性还存储有关对象本身以外的其他属性的信息。有几种类型的属性，例如链接属性、索引属性和全局属性。

33) Windows Server 2012 的 Active Directory (AD) 中新增了哪些功能？

以下是 Windows Server 2012 的 Active Directory 中新增功能列表

• 带有改进向导的 dcpromo (域控制器推广程序)：在安装过程中，它使用户能够查看所有步骤并查看详细结果。
• 增强的管理中心：在较新版本的 Windows 2012 中，管理中心与早期版本的 Active Directory 相比设计得更好。Exchange 管理控制台设计精良。
• 回收站支持 GUI：Windows Server 12 提供了许多方式，可以通过 Active Directory 管理中心的 GUI 启用 Active Directory 回收站，而这在早期版本中是不可能的。
• 精细密码策略 (FGPP)：在 Windows Server 12 中实现 FGPP 比早期版本更容易。它还使我们能够在同一域中创建不同的密码策略。
• Windows PowerShell 历史记录查看器：它还提供与 Active Directory 管理中心 UI 中执行的操作相关的 Windows PowerShell 命令。

34) 系统状态数据包含哪些内容？

系统状态数据包含以下内容

• 注册表
• 启动文件
• 系统文件
• 注册表数据库
• 内存分页文件
• AD 信息
• SYSVOL 文件夹
• 群集服务信息等。

35) Active Directory 的主要组成部分是什么？

Active Directory 主要有两个组成部分

• 物理结构：它包含域控制器和站点。
• 逻辑结构：它包含树、林、域和 OU。

36) 您如何理解墓碑保留期？

墓碑保留期用于确定已删除对象在 Active Directory 中保留多长时间。Active Directory 中已删除的对象存储在一个称为 TOMBSTONE 的特殊对象中。默认情况下，Windows 使用 60 天的墓碑保留期，如果林配置中未设置时间。

37) 您如何理解子域控制器或 CDC？

CDC 或子域控制器代表子域控制器。它是根域控制器下的子域控制器，用于共享命名空间。

38) APIPA 的完整形式是什么？有什么用？

APIPA 是自动专用 IP 寻址的缩写。它是 Windows 98、98 SE、Me 和 2000 的一个重要功能。它用于自动为安装了该功能的计算机分配 Internet 协议地址。

39) 您如何理解 RID Master？

RID Master 代表相对标识符 Master。它用于为 Active Directory 中创建的对象分配唯一 ID。