ข้ามไปที่เนื้อหาหลัก
การสนับสนุน
ลงชื่อเข้าใช้
ลงชื่อเข้าใช้ด้วย Microsoft
ลงชื่อเข้าใช้หรือสร้างบัญชี
สวัสดี
เลือกบัญชีอื่น
คุณมีหลายบัญชี
เลือกบัญชีที่คุณต้องการลงชื่อเข้าใช้

ข้อความนำ

การอัปเดตพร้อมใช้งานสำหรับตัววิเคราะห์วิธีปฏิบัติที่ดีที่สุดของ Active Directory Domain Services (AD DS) ใน Windows Server ๒๐๐๘ R2 การอัปเดตนี้เพิ่ม8กฎใหม่ให้กับตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดสำหรับ AD DS นอกจากนี้การอัปเดตนี้แก้ไขปัญหาในกฎที่มีอยู่แล้ว

ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS

AD DS ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดสามารถช่วยให้คุณใช้แนวทางปฏิบัติที่ดีที่สุดในการกำหนดค่าโดเมนของคุณ หลังจากที่คุณติดตั้งตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS บนตัวควบคุมโดเมนที่ใช้ Windows Server ๒๐๐๘ R2 ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดจะสแกนบทบาทของเซิร์ฟเวอร์ AD DS และรายงานการละเมิดแนวทางปฏิบัติที่ดีที่สุด คุณสามารถกรองหรือไม่รวมผลลัพธ์จากรายงานตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS ที่คุณไม่ต้องการ คุณยังสามารถทำงานตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS ได้โดยใช้ส่วนติดต่อผู้ใช้แบบกราฟิกของตัวจัดการเซิร์ฟเวอร์ (GUI) หรือโดยการใช้ cmdlets สำหรับอินเทอร์เฟซสำหรับบรรทัดคำสั่งของ Windows PowerShell

กฎที่มีการเปลี่ยนแปลงโดยการอัปเดตนี้

การอัปเดตนี้เพิ่มหรืออัปเดตในกฎต่อไปนี้ใน AD DS ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุด:

  1. บัญชีผู้ใช้และความเชื่อถือไม่ควรถูกกำหนดค่าสำหรับการเข้ารหัสลับ "DES only"

  2. ผู้ใช้ที่ได้รับมอบหมายสิทธิ์การใช้งาน "เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย" จะได้รับมอบหมายให้กับกลุ่มความปลอดภัยต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด:

    • ผู้ใช้ที่รับรองความถูกต้อง

    • ผู้ดูแลระบบที่มีอยู่แล้วภายใน

    • ตัวควบคุมโดเมนขององค์กร

    ไม่ควรให้สิทธิ์ "ปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย" ที่กำหนดสิทธิ์การใช้งานที่ถูกต้องให้กับกลุ่มความปลอดภัยต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด:

    • ทุกคน

    • ผู้ใช้ที่รับรองความถูกต้อง

    • ผู้ดูแลระบบที่มีอยู่แล้วภายใน

    • ตัวควบคุมโดเมนขององค์กร

  3. ตรวจสอบความถูกต้องของโดเมนเริ่มต้น domain policy object policy OBJECT (GPO) ถูกลิงก์ไปยังวัตถุคอมพิวเตอร์ตัวควบคุมโดเมนทั้งหมดแม้ว่าวัตถุคอมพิวเตอร์บางวัตถุไม่ได้อยู่ในหน่วยขององค์กรตัวควบคุมโดเมนที่มีอยู่แล้วภายใน

  4. บทบาทหลักของโครงสร้างพื้นฐานและบทบาทของแค็ตตาล็อกส่วนกลาง (GC) ไม่ควรเปิดใช้งานบนเซิร์ฟเวอร์เดียวกัน อย่างไรก็ตามบทบาทเหล่านี้สามารถเปิดใช้งานบนเซิร์ฟเวอร์เดียวกันได้เมื่อมีเงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้:

    • มีตัวควบคุมโดเมนเดียวเท่านั้นที่มีอยู่ในฟอเรสต์

    • ตัวควบคุมโดเมนทั้งหมดในฟอเรสต์คือเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง

  5. วัตถุเชื่อถือภายนอกทั้งหมดในโดเมนต้องมีการเปิดใช้งานฟีเจอร์การกรอง SID สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกรอง SID แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

    ข้อมูลทั่วไปเกี่ยวกับการกรอง SID

ปัญหาที่ได้รับการแก้ไขในกฎที่มีอยู่

กฎต่อไปนี้จะถูกนำไปใช้อย่างไม่ถูกต้องไปยังรายการ MaxPosPhaseCorrection:

  • ค่าของรายการMaxNegPhaseCorrectionบนตัวควบคุมโดเมนควรเท่ากับ๔๘ชั่วโมง

ก่อนที่คุณจะใช้การอัปเดตนี้เส้นทางรีจิสทรีจะถูกตั้งค่าเป็นตำแหน่งที่ตั้งต่อไปนี้อย่างไม่ถูกต้อง:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionหลังจากที่คุณใช้การอัปเดตนี้เส้นทางรีจิสทรีจะได้รับการแก้ไขไปยังตำแหน่งที่ตั้งต่อไปนี้:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

ข้อมูลเพิ่มเติม

ข้อมูลการปรับปรุง

วิธีขอรับการปรับปรุงนี้

การอัปเดตนี้พร้อมใช้งานจาก Microsoft Update เว็บไซต์:

http://update.microsoft.comไฟล์ต่อไปนี้จะพร้อมใช้งานสำหรับการดาวน์โหลดจากศูนย์ดาวน์โหลดของไมโครซอฟท์:DownloadDownload the update package now.ดาวน์โหลดแพคเกจการอัปเดตในขณะนี้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดไฟล์สนับสนุนของไมโครซอฟท์ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ microsoft:

119591 วิธีการขอรับไฟล์สนับสนุนของ Microsoft จากบริการออนไลน์ Microsoft สแกนไฟล์นี้สำหรับไวรัส Microsoft ใช้ซอฟต์แวร์ตรวจจับไวรัสล่าสุดที่พร้อมใช้งานในวันที่ที่มีการโพสต์ไฟล์ ไฟล์จะถูกเก็บไว้บนเซิร์ฟเวอร์ที่สนับสนุนการรักษาความปลอดภัยซึ่งช่วยป้องกันการเปลี่ยนแปลงใดๆที่ไม่ได้รับอนุญาตไปยังไฟล์

ข้อกำหนดเบื้องต้น

เมื่อต้องการใช้การอัปเดตนี้คุณต้องใช้ Windows Server ๒๐๐๘ R2 นอกจากนี้คุณต้องมีบทบาทเซิร์ฟเวอร์บริการโดเมนของ Active Directory (AD DS) ที่ติดตั้งอยู่บนคอมพิวเตอร์

ข้อมูลรีจิสทรี

ถ้าต้องการใช้โปรแกรมอัปเดตในแพ็คเกจนี้ คุณไม่จำเป็นต้องแก้ไขรีจิสทรี

ความต้องการในการเริ่มระบบใหม่

คุณอาจต้องเริ่มการทำงานของคอมพิวเตอร์ใหม่หลังจากที่คุณใช้การอัปเดตนี้

ข้อมูลการทดแทนโปรแกรมอัปเดต

การปรับปรุงนี้ไม่ได้แทนที่การปรับปรุงซอฟต์แวร์ก่อนหน้า

อ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการวิเคราะห์วิธีปฏิบัติที่ดีที่สุดของ AD DS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

ข้อมูลทั่วไปเกี่ยวกับ AD DS ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสแกนในตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดแวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

วิธีการเรียกใช้หรือกรองการสแกนในตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุด

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ข้อมูลนี้เป็นประโยชน์หรือไม่

คุณพึงพอใจกับคุณภาพภาษาเพียงใด
สิ่งที่ส่งผลต่อประสบการณ์ใช้งานของคุณ
เมื่อกดส่ง คำติชมของคุณจะถูกใช้เพื่อปรับปรุงผลิตภัณฑ์และบริการของ Microsoft ผู้ดูแลระบบ IT ของคุณจะสามารถรวบรวมข้อมูลนี้ได้ นโยบายความเป็นส่วนตัว

ขอบคุณสำหรับคำติชมของคุณ!

×