本地用户管理

　　问:用户账户的配置文件是在什么时候被建立的?

　　答:这里要区分来看。

　　对于普通用户，是在系统安装完成之后，由具有创建用户权限的用户来创建，然后，用被创建的用户来登录，成功验证身份之后，会在Documents and Settings下生成与用户名相同的文件夹。

　　对于Administrator，它的账户的建立是在系统安装时完成的，这一点，有别于普通用户。它的配置文件同样存储在Documents and Settings文件夹之下。

　　问:在没有安装域的模式下是否可以配置Romaing User?

　　答:在没有域的情况下，不能成功地创建漫游用户，因为要想成功登录对方的机器，就需要对方的SAM中有该用户存在，这样两者的SID不同，不能完成漫游用户的功能。而域模式下之所以能成功地完成漫游用户，是因为SID在域范围内是唯一的，所以不会有冲突。

　　问:用户可以访问资源的决定性因素是什么?

　　答:决定性因素是该资源是否允许这个用户访问，换句话说就是，这个用户是否有对资源的许可。

　　给用户赋予很大的权力，比如加入Administrators组当中，并不能保证一定能够访问所有资源，关键是该资源是否允许用户访问。当然，如果具有管理员权限，即使在许可里没有被设置，也可以自行来更改许可，但实际上是在更改许可，所以，决定性的因素是许可。

　　问:Group1组对Test文件夹具有“读”的权限，User1隶属于Group1这个组，可当User1去访问Test文件夹时，却去了“Access Denied”,为什么?

　　答:当用户对资源提出访问请求时，Windows 2000首先确认这个用户是否具有访问权，然后，还要获取用户所隶属的各个组对资源具备什么样的权限，最终才能决定用户对此资源是否具备访问权。在刚才的问题中，如果只看Group1，那么User1肯定具备访问权，但Use r1可能还隶属于其它的Group，所以，按照W2K的审核流程，它还会去判断User1所属的其它组是否对该资源具备访问权，如果其中有一个组不具备访问权(Deny)，那么按照Deny优先的原则，这个用户在访问该资源时就会出现“Access Denied”。

　　问:有一个场景:在A机中有一共享文件夹Folder1，其共享权限为Everyone Full Control，同时，它的Security为Everyone Allow Read,那么当其他用户通过网络访问该文件夹时会具有什么样的权限?

　　答:当同一个文件夹的共享许可和NTFS安全许可有大小冲突时(比如:Share是FC，Security是Read)，当用户通过网络访问该文件时，首先接受的是Share的权限(FC)，但并不是说明用户就可以对这个文件夹为所欲为，因为当用户想要删除该文件时，又会受到Security许可的约束，而Security许可只允许用户对文件夹Read，这样一来，通过网络访问这个文件夹的用户，实际上对这个文件夹只具备Read权限。

　　所以，当Share和Security许可有大小冲突时，是取比较严格的权限(取小)。

　　问:磁盘配额的生效时间和范围?

　　答:磁盘配额是在指定配额后，当用户登录时，才会看到结果。

　　磁盘配额不对Administrators组成员生效。

　　只有磁盘(Partition)有配额，文件、文件夹没有配额。

　　问:压缩和加密在复制和移动时有什么变化?

　　答:首先，压缩和加密是互斥的，即同一时间，只能选择一项。

　　复制移动压缩继承目标文件夹属性继承目标文件夹属性加密继承目标文件夹属性保持原属性不变，接下来，用这样一张表格可以说明它们之间的区别:

　　问:你在系统建立初期，就定义了审核。公司有一员工向你反映，他在登录系统时账户被系统锁定，他不知道是什么原因引起的，请你帮助解决。

　　A.进入“管理工具”，查找“本地用户和计算机”，查看有哪个用户账户被锁定，如果已锁，将其解锁。

　　B.使用管理员身份进入“事件查看器”，找到“安全事件”，找到被锁定的事件，查看相应的用户账号，如果账户已锁，将其解锁。

　　C.使用普通用户身份进入“事件查看器”，找到“安全事件”，找到被锁定的事件，查看相应的用户账号，如果账户已锁，将其解锁。

　　D.删除原有账户，重新建立账户。

　　答:如果事先已做登录审核，那么会自动记录用户的登录行为，这样可以快速找到被锁定的账户。查看“安全事件”需要具有管理员权限，所以选择B。

　　主要关于Win 2000的TCP/IP协议问题

　　问:公司需要使用TCP/IP协议作为通信协议，在IP地址的使用上，行政部的服务器使用10.168.3.25的IP地址，财务部服务器使用10.168.10.65的IP地址，人力资源部使用10.168.192.54作为服务器的地址，所有的服务器缺省网关都是10.168.0.1，那么在这个公司的几个部门中，应该如何来设置子网掩码?

　　A.255.255.0.0　　B.255.255.255.0　　C.255.0.0.0　D.255.255.255.224

　　答:为了使各服务器之间可以保证互相通信，并可以通过缺省网关连接其它网络，那么就应该保证它们的NETID相同。又由于NETID是用IP地址与子网掩码“与”出来的，所以子网掩码应该在“与”之后，保证所有的机器的NETID相同，这样，使用选项“A”来作掩码可以使所有的服务器的NETID相同，所以选择“A”。

　　问:由于公司的需要，把一个135.122.0.0/16划分了2个子网，划分后新的子网的掩码和表示方法是什么?

　　A.子网掩码是224,表示为135.122.64.0/16和135.122.128.0/16

　　B.子网掩码是192，表示为135.122.64.0/16和135.122.128.0/16

　　C.子网掩码是224，表示为135.122.64.0/18和135.122.128.0/18

　　D.子网掩码是192，表示为135.122.64.0/18和135.122.128.0/18

　　答:划分两个子网，所以子网掩码应为192，并且由于向主机借了2位，所以在表示时应由原来的“/16”,变为“/18”,表示向主机借过2位。所以应选择“D”。

　　问:公司的发展已由原来的小企业，发展为中型企业，出于网络性能的考虑，在各子公司之间使用路由器来连接，为了保证各公司之间的通信正常，应该如何去设置路由器?