Update für AD DS Best Practices Analyzer Regeln in Windows Server 2008 R2

Einführung

Ein Update ist verfügbar für Active Directory-Domänendienste (AD DS) Best Practices Analyzer in Windows Server 2008 R2. Dieses Update fügt acht neue Regeln, Best Practices Analyzer für AD DS. Außerdem behebt dieses Update ein Problem in einer vorhandenen Regel.

AD DS Best Practices Analyzer

AD DS Best Practices Analyzer helfen Ihnen best Practices in der Konfiguration der Domäne implementieren.

Nach der Installation von AD DS Best Practices Analyzer auf Domänencontrollern, die Windows Server 2008 R2 ausführen Best Practices Analyzer überprüft die AD DS-Serverrolle und meldet Verstöße gegen bewährte Methoden. Filtern oder auszuschließenden Ergebnisse aus AD DS Best Practices Analyzer-Berichte, die Sie nicht benötigen. Sie können auch die AD DS Best Practices Analyzer mit entweder der Server-Manager-Benutzeroberfläche (GUI) oder mithilfe von Cmdlets für die Windows PowerShell-Befehlszeilenschnittstelle Aufgaben.

Regeln, die durch dieses Update geändert werden

Dieses Update hinzugefügt oder aktualisiert in AD DS Best Practices Analyzer die folgenden Regeln:
  1. Benutzerkonten und Vertrauensstellungen sollte nicht für "Nur DES" Verschlüsselung konfiguriert.
  2. Die folgenden Sicherheitsgruppen auf alle Domänencontroller sollte der "Auf diesen Computer vom Netzwerk aus zugreifen" Benutzerrechte erteilt werden:
    • Authentifizierte Benutzer
    • Integrierte Administratoren
    • Domänencontroller der Organisation
    Die Benutzerrechte "Zugriff auf diesen Computer vom Netzwerk aus verweigern" sollte die folgenden Sicherheitsgruppen auf alle Domänencontroller nicht gewährt werden:
    • Alle
    • Authentifizierte Benutzer
    • Integrierte Administratoren
    • Domänencontroller der Organisation
  3. Überprüfen Sie, ob alle Domänencontrollerobjekte Computer Standarddomänencontrollerrichtlinie Gruppenrichtlinienobjekte (GPO) verknüpft werden, wenn auch einige Computerobjekte nicht integrierte Domänencontroller -Organisationseinheit sind.
  4. Die Infrastrukturmasterfunktion und globalen Katalog (GC) Rolle sollte nicht auf demselben Server aktiviert. Jedoch können diese Rollen auf demselben Server aktiviert werden, wenn Folgendes zutrifft:
    • Nur ein Domänencontroller vorhanden in der Gesamtstruktur.
    • Alle Domänencontroller in der Gesamtstruktur sind globale Katalogserver.
  5. Alle externen Vertrauensstellung Objekte in einer Domäne müssen die SID-Filterung aktiviert haben.

    Weitere Informationen zur SID-Filterung finden Sie auf der folgenden Microsoft-Website:

Problem behoben in einer vorhandenen Regel

Die folgende Regel wird MaxPosPhaseCorrection Eintrag falsch zugewiesen:
  • Der Wert des Eintrags MaxNegPhaseCorrection auf dem Domänencontroller sollte 48 Stunden.
Bevor Sie dieses Update anwenden, wird ein Registrierungspfad an falsch festgelegt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
Nachdem Sie dieses Update anwenden, ist der Registrierungspfad an korrigiert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Weitere Informationen

Update-Informationen

Wie Sie dieses Update erhalten:

Dieses Update steht auf der Microsoft Update-Website:Die folgende Datei steht zum Download im Microsoft Download Center zur Verfügung:

Download Laden Sie das Update-Paket jetzt herunter.

Für weitere Informationen darüber, wie Sie Microsoft Support-Dateien herunterladen können, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
119591 so erhalten Sie Microsoft Support-Dateien
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die zum Zeitpunkt der Veröffentlichung der Datei aktuell verfügbare Virenerkennungssoftware verwendet. Die Datei wird auf Servern mit erhöhter Sicherheit gespeichert, wodurch nicht autorisierten Änderungen an der Datei vorgebeugt wird.

Voraussetzungen

Um dieses Update anwenden, müssen Sie Windows Server 2008 R2 ausgeführt werden. Außerdem müssen Sie die Active Directory-Domänendienste (AD DS)-Serverfunktion auf dem Computer installiert.

Informationen zur Registrierung

Sie müssen keine Änderungen an den Windows Register vorgenommen werden, um dieses Update auzuführen.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie dieses Update angewandt haben.

Ersetzte Updates

Dieses Update ersetzt kein zuvor veröffentlichtes Update.

Referenzen

Weitere Informationen zu AD DS Best Practices Analyzer finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zum Scannen in Best Practices Analyzer finden Sie auf der folgenden Microsoft-Website:
Eigenschaften

Artikelnummer: 980360 – Letzte Überarbeitung: 12.01.2017 – Revision: 1

Feedback