ข้อความนำ
การอัปเดตพร้อมใช้งานสำหรับตัววิเคราะห์วิธีปฏิบัติที่ดีที่สุดของ Active Directory Domain Services (AD DS) ใน Windows Server ๒๐๐๘ R2 การอัปเดตนี้เพิ่ม8กฎใหม่ให้กับตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดสำหรับ AD DS นอกจากนี้การอัปเดตนี้แก้ไขปัญหาในกฎที่มีอยู่แล้ว
ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS
AD DS ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดสามารถช่วยให้คุณใช้แนวทางปฏิบัติที่ดีที่สุดในการกำหนดค่าโดเมนของคุณ หลังจากที่คุณติดตั้งตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS บนตัวควบคุมโดเมนที่ใช้ Windows Server ๒๐๐๘ R2 ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดจะสแกนบทบาทของเซิร์ฟเวอร์ AD DS และรายงานการละเมิดแนวทางปฏิบัติที่ดีที่สุด คุณสามารถกรองหรือไม่รวมผลลัพธ์จากรายงานตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS ที่คุณไม่ต้องการ คุณยังสามารถทำงานตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS ได้โดยใช้ส่วนติดต่อผู้ใช้แบบกราฟิกของตัวจัดการเซิร์ฟเวอร์ (GUI) หรือโดยการใช้ cmdlets สำหรับอินเทอร์เฟซสำหรับบรรทัดคำสั่งของ Windows PowerShell
กฎที่มีการเปลี่ยนแปลงโดยการอัปเดตนี้
การอัปเดตนี้เพิ่มหรืออัปเดตในกฎต่อไปนี้ใน AD DS ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุด:
-
บัญชีผู้ใช้และความเชื่อถือไม่ควรถูกกำหนดค่าสำหรับการเข้ารหัสลับ "DES only"
-
ผู้ใช้ที่ได้รับมอบหมายสิทธิ์การใช้งาน "เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย" จะได้รับมอบหมายให้กับกลุ่มความปลอดภัยต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด:
-
ผู้ใช้ที่รับรองความถูกต้อง
-
ผู้ดูแลระบบที่มีอยู่แล้วภายใน
-
ตัวควบคุมโดเมนขององค์กร
ไม่ควรให้สิทธิ์ "ปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย" ที่กำหนดสิทธิ์การใช้งานที่ถูกต้องให้กับกลุ่มความปลอดภัยต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด:
-
ทุกคน
-
ผู้ใช้ที่รับรองความถูกต้อง
-
ผู้ดูแลระบบที่มีอยู่แล้วภายใน
-
ตัวควบคุมโดเมนขององค์กร
-
-
ตรวจสอบความถูกต้องของโดเมนเริ่มต้น domain policy object policy OBJECT (GPO) ถูกลิงก์ไปยังวัตถุคอมพิวเตอร์ตัวควบคุมโดเมนทั้งหมดแม้ว่าวัตถุคอมพิวเตอร์บางวัตถุไม่ได้อยู่ในหน่วยขององค์กรตัวควบคุมโดเมนที่มีอยู่แล้วภายใน
-
บทบาทหลักของโครงสร้างพื้นฐานและบทบาทของแค็ตตาล็อกส่วนกลาง (GC) ไม่ควรเปิดใช้งานบนเซิร์ฟเวอร์เดียวกัน อย่างไรก็ตามบทบาทเหล่านี้สามารถเปิดใช้งานบนเซิร์ฟเวอร์เดียวกันได้เมื่อมีเงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้:
-
มีตัวควบคุมโดเมนเดียวเท่านั้นที่มีอยู่ในฟอเรสต์
-
ตัวควบคุมโดเมนทั้งหมดในฟอเรสต์คือเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง
-
-
วัตถุเชื่อถือภายนอกทั้งหมดในโดเมนต้องมีการเปิดใช้งานฟีเจอร์การกรอง SID สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกรอง SID แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
ปัญหาที่ได้รับการแก้ไขในกฎที่มีอยู่
กฎต่อไปนี้จะถูกนำไปใช้อย่างไม่ถูกต้องไปยังรายการ MaxPosPhaseCorrection:
-
ค่าของรายการMaxNegPhaseCorrectionบนตัวควบคุมโดเมนควรเท่ากับ๔๘ชั่วโมง
ก่อนที่คุณจะใช้การอัปเดตนี้เส้นทางรีจิสทรีจะถูกตั้งค่าเป็นตำแหน่งที่ตั้งต่อไปนี้อย่างไม่ถูกต้อง:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionหลังจากที่คุณใช้การอัปเดตนี้เส้นทางรีจิสทรีจะได้รับการแก้ไขไปยังตำแหน่งที่ตั้งต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
ข้อมูลเพิ่มเติม
ข้อมูลการปรับปรุง
วิธีขอรับการปรับปรุงนี้
การอัปเดตนี้พร้อมใช้งานจาก Microsoft Update เว็บไซต์:
http://update.microsoft.comไฟล์ต่อไปนี้จะพร้อมใช้งานสำหรับการดาวน์โหลดจากศูนย์ดาวน์โหลดของไมโครซอฟท์:Download the update package now.ดาวน์โหลดแพคเกจการอัปเดตในขณะนี้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดไฟล์สนับสนุนของไมโครซอฟท์ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ microsoft:
119591 วิธีการขอรับไฟล์สนับสนุนของ Microsoft จากบริการออนไลน์ Microsoft สแกนไฟล์นี้สำหรับไวรัส Microsoft ใช้ซอฟต์แวร์ตรวจจับไวรัสล่าสุดที่พร้อมใช้งานในวันที่ที่มีการโพสต์ไฟล์ ไฟล์จะถูกเก็บไว้บนเซิร์ฟเวอร์ที่สนับสนุนการรักษาความปลอดภัยซึ่งช่วยป้องกันการเปลี่ยนแปลงใดๆที่ไม่ได้รับอนุญาตไปยังไฟล์
ข้อกำหนดเบื้องต้น
เมื่อต้องการใช้การอัปเดตนี้คุณต้องใช้ Windows Server ๒๐๐๘ R2 นอกจากนี้คุณต้องมีบทบาทเซิร์ฟเวอร์บริการโดเมนของ Active Directory (AD DS) ที่ติดตั้งอยู่บนคอมพิวเตอร์
ข้อมูลรีจิสทรี
ถ้าต้องการใช้โปรแกรมอัปเดตในแพ็คเกจนี้ คุณไม่จำเป็นต้องแก้ไขรีจิสทรี
ความต้องการในการเริ่มระบบใหม่
คุณอาจต้องเริ่มการทำงานของคอมพิวเตอร์ใหม่หลังจากที่คุณใช้การอัปเดตนี้
ข้อมูลการทดแทนโปรแกรมอัปเดต
การปรับปรุงนี้ไม่ได้แทนที่การปรับปรุงซอฟต์แวร์ก่อนหน้า
อ้างอิง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการวิเคราะห์วิธีปฏิบัติที่ดีที่สุดของ AD DS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
ข้อมูลทั่วไปเกี่ยวกับ AD DS ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสแกนในตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดแวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
วิธีการเรียกใช้หรือกรองการสแกนในตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุด