Актуализиране на правилата за анализатор на най-добри практики на AD DS в Windows Server 2008 R2

ВЪВЕДЕНИЕ

В Windows Server 2008 R2 има налична актуализация за анализатор на най-добри практики на услугите на Active Directory (AD DS). Тази актуализация добавя осем нови правила към анализатора на най-добри практики за AD DS. Освен това тази актуализация поправя проблема в съществуващо правило.

Анализатор на най-добри практики в AD DS

Анализаторът за най-добри практики в AD DS може да ви помогне да реализирате най-добрите практики в конфигурацията на вашия домейн. След като инсталирате анализатор на най-добри практики на AD DS в домейновите контролери, на които се изпълнява Windows Server 2008 R2, анализатор на най-добри практики сканира ролята на AD DS Server и докладва за най-добри практики. Можете да филтрирате или да изключите резултати от отчетите за анализиране на най-добри практики на AD DS, от които не се нуждаете. Можете също да изпълнявате задачи за анализатор на най-добри практики на AD DS с помощта на графичния потребителски интерфейс (GUI) на диспечера на сървърите или чрез кратки команди за интерфейса на командния ред на Windows PowerShell.

Правилата, които са променени от тази актуализация

Тази актуализация добавя или актуализира следните правила в анализатора на най-добри практики в AD DS:

Потребителските акаунти и тръстове не трябва да бъдат конфигурирани за шифроване "само за DES".
Назначението "достъп до този компютър от мрежата" трябва да бъде предоставено на следните групи за защита на всички домейнови контролери:
- Удостоверени потребители
- Вградени администратори
- Корпоративен домейнов контролер
Командата "отказване на достъпа до този компютър от мрежата" не трябва да се предоставя на следните групи за защита на всички домейнови контролери:
- Всички
- Удостоверени потребители
- Вградени администратори
- Корпоративен домейнов контролер
Проверете дали обектите за групови правила по подразбиране за правилата на ДОМЕЙНИ (GPO) са свързани с всички обекти на компютъра за домейнов контролер дори ако някои обекти на компютъра не са в организационната единица за вградени домейнови контролери .
Ролята "образец за инфраструктура" и ролята на глобален каталог (GC) не трябва да се разрешават на един и същ сървър. Тези роли обаче могат да бъдат разрешени на един и същ сървър, когато е изпълнено едно от следните условия:
- В гората съществува само един домейнов контролер.
- Всички домейнови контролери в гората са сървъри на глобален каталог.
Всички външни обекти за сигурност в даден домейн трябва да имат разрешени функции за филтриране на SID. За повече информация за филтрирането на Сид посетете следния уеб сайт на Microsoft:

Обща информация за филтрирането на Сид

Проблем, който е фиксиран в съществуващо правило

Правилото по-долу се прилага неправилно към записа на MaxPosPhaseCorrection:

Стойността на записа на MaxNegPhaseCorrection в домейновия контролер трябва да е равна на 48 часа.

Преди да приложите тази актуализация, траекторията на системния регистър е неправилна настройка на следното местоположение:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionСлед като приложите тази актуализация, пътят на системния регистър се коригира към следното местоположение:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Повече информация

Актуализиране на информацията

Как да получите тази актуализация

Тази актуализация е налична от уеб сайта за актуализиране на Microsoft:

http://update.microsoft.comСледващият файл е наличен за изтегляне от центъра на Microsoft за изтегляния: Download Download the update package now.изтеглете пакета за актуализиране сега. За повече информация как да изтеглите файлове за поддръжка на Microsoft, щракнете върху следния номер на статия, за да видите статията в базата знания на Microsoft:

119591 Как да получите файлове за поддръжка на Microsoft от онлайн услугиMicrosoft е сканирал този файл за вируси. Microsoft използва най-актуалния софтуер за откриване на вируси, който е наличен на датата, на която е публикуван файлът. Файлът се съхранява на сървърите, които са усъвършенствани за защита, които ви помагат да предотвратите всякакви неразрешени промени във файла.

Предпоставки

За да приложите тази актуализация, трябва да изпълнявате Windows Server 2008 R2. Освен това трябва да имате роля на сървъра за Domain Services за Active Directory (AD DS), инсталирана на компютъра.

Информация от системния регистър

За да използвате актуализацията в този пакет, не е необходимо да правите промени в системния регистър.

Изискване за рестартиране

Може да се наложи да рестартирате компютъра, след като приложите тази актуализация.

Актуализиране на информацията за заместване

Тази актуализация не замества издадената по-рано актуализация.

Препратки

За повече информация за анализатора за най-добри практики в AD DS посетете следния уеб сайт на Microsoft:

Обща информация за анализатора за най-добри практики в AD DSЗа повече информация как да сканирате в анализатор на най-добри практики, посетете следния уеб сайт на Microsoft:

Как да изпълнявате или филтрирате сканирания в анализатор на най-добри практики