การปรับปรุงสำหรับกฎ AD DS วิเคราะห์วิธีปฏิบัติที่ดีที่สุดใน Windows Server 2008 R2

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 980360 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

การปรับปรุงมีพร้อมใช้งานสำหรับบริการการโดเมน active Directory ใช้งานอยู่ (AD DS) ที่ดีที่สุดวิธีปฏิบัติวิเคราะห์ใน Windows Server 2008 R2 การปรับปรุงนี้เพิ่มกฎใหม่แปดเพื่อวิเคราะห์วิธีปฏิบัติที่ดีที่สุดสำหรับ AD DS นอกจากนี้ ปรับปรุงนี้แก้ไขปัญหาในกฎมีอยู่

วิเคราะห์วิธีสุด DS ad

ad DS วิเคราะห์วิธีปฏิบัติที่ดีที่สุดจะช่วยให้คุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการตั้งค่าคอนฟิกของโดเมนของคุณ

หลังจากที่คุณติดตั้ง AD DS วิเคราะห์วิธีปฏิบัติที่ดีที่สุดบนตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2 ตัววิเคราะห์คำวิธีปฏิบัติที่ดีที่สุดสแกนบทบาทของเซิร์ฟเวอร์ AD DS และรายงานการละเมิดวิธีปฏิบัติที่ดีที่สุด คุณสามารถกรอง หรือแยกออกผลลัพธ์จากการรายงาน AD DS วิเคราะห์วิธีปฏิบัติที่ดีที่สุดที่คุณไม่จำเป็น คุณยังสามารถทำงาน AD DS วิเคราะห์วิธีปฏิบัติที่ดีที่สุด โดยใช้อย่างใดอย่างหนึ่งในโปรแกรมจัดการเซิร์ฟเวอร์กราฟิกอินเตอร์เฟซ (GUI) หรือ โดยใช้ cmdlets สำหรับอินเทอร์เฟซ command-line PowerShell Windows

กฎที่มีการเปลี่ยนแปลง โดยการปรับปรุงนี้

การปรับปรุงนี้เพิ่ม หรือปรับปรุงกฎต่อไปนี้ใน AD DS วิเคราะห์วิธีปฏิบัติที่ดีที่สุด:
  1. บัญชีผู้ใช้และ trusts จะไม่สามารถกำหนดค่าสำหรับการเข้ารหัสลับ "DES อย่างเดียว"
  2. ควรได้รับ "เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย" ผู้ใช้ถูกกำหนดไปยังกลุ่มรักษาความปลอดภัยต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด:
    • ผู้ใช้ที่ได้รับการรับรองความถูกต้อง:
    • ผู้ดูแลที่มีอยู่แล้ว
    • ตัวควบคุมโดเมนขององค์กร
    กำหนด "ปฏิเสธเข้ากับคอมพิวเตอร์เครื่องนี้จากเครือข่าย" ด้านขวาของผู้ใช้จะไม่ได้รับไปยังกลุ่มรักษาความปลอดภัยต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด:
    • Everyone
    • ผู้ใช้ที่ได้รับการรับรองความถูกต้อง:
    • ผู้ดูแลที่มีอยู่แล้ว
    • ตัวควบคุมโดเมนขององค์กร
  3. ตรวจสอบที่จะนโยบายของตัวควบคุมโดเมนเริ่มต้นวัตถุของนโยบายกลุ่ม (GPO) ถูกเชื่อมโยงกับวัตถุคอมพิวเตอร์ตัวควบคุมโดเมนทั้งหมดแม้ว่าบางวัตถุคอมพิวเตอร์จะไม่ได้อยู่ใน built-inตัวควบคุมโดเมนหน่วยองค์กร
  4. บทบาทหลักของโครงสร้างพื้นฐานและบทบาทของแค็ตตาล็อกส่วนกลาง (GC) จะไม่สามารถเปิดใช้งานบนเซิร์ฟเวอร์เดียวกัน อย่างไรก็ตาม บทบาทเหล่านี้สามารถเปิดใช้งานบนเซิร์ฟเวอร์เดียวกันเมื่อมีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
    • ตัวควบคุมโดเมนเดียวเท่านั้นที่มีอยู่ในฟอเรสต์
    • ตัวควบคุมโดเมนทั้งหมดในฟอเรสต์มีเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง
  5. วัตถุที่ให้ความเชื่อถือที่ภายนอกทั้งหมดในโดเมนต้องมี SID กรองคุณลักษณะเปิดใช้งาน

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ SID ที่กรองข้อมูล แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

ปัญหาในกฎมีอยู่

กฎต่อไปนี้ใช้ไม่ถูกต้องไปยังรายการ MaxPosPhaseCorrection:
  • ค่าของการMaxNegPhaseCorrectionรายการบนตัวควบคุมโดเมนที่ควรจะเท่ากับ 48 ชั่วโมง
ก่อนที่คุณใช้การปรับปรุงนี้ เส้นทางรีจิสทรีถูกกำหนดเป็นตำแหน่งที่ตั้งต่อไปนี้อย่างไม่ถูกต้อง:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
หลังจากที่คุณใช้การปรับปรุงนี้ เส้นทางรีจิสทรีถูกแก้ไขตำแหน่งที่ตั้งต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

ข้อมูลเพิ่มเติม

ข้อมูลการปรับปรุง

วิธีการขอรับโปรแกรมปรับปรุงนี้

การปรับปรุงนี้จะพร้อมใช้งานจากการปรับปรุงเว็บไซต์ของ Microsoft:
http://update.microsoft.com
แฟ้มต่อไปนี้สามารถดาวน์โหลดได้จากศูนย์ดาวน์โหลดของ Microsoft::

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจโปรแกรมปรับปรุง

หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการดาวน์โหลดไฟล์การสนับสนุนของไมโครซอฟท์ โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base::
119591วิธีรับแฟ้มการสนับสนุนของไมโครซอฟท์จากบริการออนไลน์
Microsoft สแกนแฟ้มนี้เพื่อหาไวรัส Microsoft ใช้ซอฟต์แวร์ตรวจสอบไวรัสล่าสุด ณ วันที่มีการประกาศแฟ้มนั้นๆ แฟ้มดังกล่าวจะถูกจัดเก็บในเซิร์ฟเวอร์เพิ่มการรักษาความปลอดภัย ซึ่งช่วยป้องกันการเปลี่ยนแปลงแฟ้มโดยไม่ได้รับอนุญาต

ข้อกำหนดเบื้องต้น

เมื่อต้องการใช้การปรับปรุงนี้ คุณต้องใช้งาน Windows Server 2008 R2 นอกจากนี้ คุณต้องมีบทบาทเซิร์ฟเวอร์บริการการโดเมน active Directory ใช้งานอยู่ (AD DS) ที่ติดตั้งบนคอมพิวเตอร์

ข้อมูลรีจิสทรี

เมื่อต้องการใช้การปรับปรุงในแพคเกจนี้ คุณไม่จำเป็นต้องทำการเปลี่ยนแปลงรีจิสทรี

ข้อกำหนดในการเริ่มต้นระบบคอมพิวเตอร์ใหม่

คุณอาจต้องเริ่มต้นระบบคอมพิวเตอร์ใหม่หลังจากใช้การปรับปรุงนี้

ข้อมูลการทดแทนโปรแกรมปรับปรุง

โปรแกรมปรับปรุงนี้ไม่ได้ทดแทนการปรับปรุงที่ออกก่อนหน้านี้

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ AD DS วิเคราะห์วิธีปฏิบัติที่ดีที่สุด แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่สแกนในตัววิเคราะห์คำวิธีปฏิบัติที่ดีที่สุด แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

คุณสมบัติ

หมายเลขบทความ (Article ID): 980360 - รีวิวครั้งสุดท้าย: 22 ตุลาคม 2553 - Revision: 5.0
ใช้กับ
  • Windows HPC Server 2008 R2
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
Keywords: 
kbexpertiseinter kbinfo atdownload kbsurveynew kbhowto kbmt KB980360 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:980360

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com