ÚVOD
V systému Windows Server 2008 R2 je k dispozici Analyzátor osvědčených postupů služby AD DS (Active Directory Domain Services). Tato aktualizace přidá 8 nových pravidel k analyzátoru osvědčených postupů pro AD DS. Tato aktualizace navíc opravuje problém ve stávajícím pravidle.
Analyzátor osvědčených postupů služby AD DS
Analyzátor osvědčených postupů služby AD DS vám pomůže při implementaci osvědčených postupů v konfiguraci vaší domény. Po instalaci analyzátoru osvědčených postupů služby AD DS na řadičích domény, na kterých je nainstalovaný Windows Server 2008 R2, Analyzátor osvědčených postupů zkontroluje roli serveru AD DS a ohlásí porušení osvědčených postupů. Výsledky v sestavách analyzátoru osvědčených postupů služby AD DS můžete filtrovat nebo vyloučit, které nepotřebujete. Úlohy Analyzátoru osvědčených postupů služby AD DS můžete také provést pomocí grafického uživatelského rozhraní (GUI) správce serveru nebo pomocí rutin pro rozhraní příkazového řádku Windows PowerShell.
Pravidla změněná touto aktualizací
Tato aktualizace přidá nebo aktualizuje následující pravidla v analyzátoru osvědčených postupů služby AD DS:
-
Uživatelské účty a vztahy důvěryhodnosti by neměly být nakonfigurovány pro šifrování "DES-Only".
-
Oprávnění k přístupu k tomuto počítači ze sítě by mělo být přiděleno následujícím skupinám zabezpečení na všech řadičích domény:
-
Ověření uživatelé
-
Přednastavení správci
-
Podnikový řadič domény
Oprávnění Odepřít přístup k tomuto počítači ze sítě se uživateli neuděluje následujícím skupinám zabezpečení na všech řadičích domény:
-
Směr
-
Ověření uživatelé
-
Přednastavení správci
-
Podnikový řadič domény
-
-
Ověřte, jestli jsou objekty zásad skupiny (GPO) výchozích zásad řadičů domény propojené se všemi objekty počítačů řadiče domény, a to i v případě, že některé objekty počítače nejsou v organizační jednotce předdefinovaných řadičů domény .
-
Roli hlavního serveru infrastruktury a roli globálního katalogu (GC) byste neměli povolit na stejném serveru. Tyto role však lze povolit na stejném serveru, pokud platí jedna z následujících podmínek:
-
V doménové struktuře je jenom jeden řadič domény.
-
Všechny řadiče domény v doménové struktuře jsou servery globálního katalogu.
-
-
U všech objektů externích vztahů důvěryhodnosti v doméně musí být povolena funkce filtrování identifikátorů SID. Další informace o filtrování identifikátorů SID najdete na následujícím webu společnosti Microsoft:
Problém opravený v existujícím pravidle
Nesprávné použití následujícího pravidla u položky MaxPosPhaseCorrection:
-
Hodnota položky MaxNegPhaseCorrection v řadiči domény by měla být 48 hodin.
Než použijete tuto aktualizaci, bude cesta registru nesprávně nastavena do následujícího umístění:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionPo instalaci této aktualizace se cesta registru opraví do následujícího umístění:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
Další informace
Aktualizace informací
Získání této aktualizace
Tato aktualizace je k dispozici na webu Microsoft Update:
http://update.microsoft.comNa webu služby Stažení softwaru je k dispozici ke stažení následující soubor:Download the update package now.Stáhnout balíček aktualizace. Další informace o tom, jak stahovat soubory podpory Microsoftu, najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591 Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb onlineMicrosoft tento soubor zkontroloval na výskyt virů. Společnost Microsoft použila nejnovější antivirový software, který byl k dispozici v den, kdy byl soubor publikován. Soubor je uložený na zabezpečených serverech se zabezpečením, které zabraňují neoprávněným změnám souboru.
Požadavky
Abyste mohli nainstalovat tuto aktualizaci, musíte mít Windows Server 2008 R2. Kromě toho musíte mít v počítači nainstalovanou roli serveru služby AD DS (Active Directory Domain Services).
Informace v registru
Použití aktualizace v tomto balíčku nevyžaduje žádné úpravy registru.
Požadavky na restartování
Po instalaci této aktualizace může být nutné restartovat počítač.
Informace o nahrazení aktualizace
Tato aktualizace nenahrazuje dříve vydanou aktualizaci.
Odkazy
Další informace o analyzátoru osvědčených postupů služby AD DS najdete na následujícím webu společnosti Microsoft:
Obecné informace o analyzátoru osvědčených postupů služby AD DSDalší informace o tom, jak hledat v analyzátoru osvědčených postupů, najdete na následujícím webu společnosti Microsoft:
Spuštění nebo filtrování kontrol v analyzátoru osvědčených postupů