EINFÜHRUNG
Ein Update steht für Active Directory-Domänendienste (AD DS) Best Practices Analyzer in Windows Server 2008 R2 zur Verfügung. Mit diesem Update werden dem Best Practices Analyzer für AD DS acht neue Regeln hinzugefügt. Darüber hinaus behebt dieses Update ein Problem in einer vorhandenen Regel.
AD DS Best Practices Analyzer
Mithilfe von AD DS Best Practices Analyzer können Sie bewährte Methoden bei der Konfiguration Ihrer Domäne implementieren. Nach der Installation von AD DS Best Practices Analyzer auf den Domänencontrollern, auf denen Windows Server 2008 R2 ausgeführt wird, scannt Best Practices Analyzer die AD DS-Server Rolle und meldet Verstöße gegen bewährte Methoden. Sie können Ergebnisse aus AD DS Best Practices Analyzer-Berichten filtern oder ausschließen, die Sie nicht benötigen. Sie können die AD DS Best Practices Analyzer-Aufgaben auch über die grafische Benutzeroberfläche des Server-Managers oder mithilfe von Cmdlets für die Windows PowerShell-Befehlszeilenschnittstelle ausführen.
Regeln, die durch dieses Update geändert werden
Mit diesem Update werden die folgenden Regeln in AD DS Best Practices Analyzer hinzugefügt oder aktualisiert:
-
Benutzerkonten und Vertrauensstellungen sollten nicht für die "des-only"-Verschlüsselung konfiguriert sein.
-
Die Zuweisung der Benutzerrechte für den Zugriff auf diesen Computer aus dem Netzwerk sollte den folgenden Sicherheitsgruppen auf allen Domänencontrollern gewährt werden:
-
Authentifizierte Benutzer
-
Integrierte Administratoren
-
Enterprise-Domänen Controller
Die Benutzerrechtezuweisung "Zugriff auf diesen Computer vom Netzwerk verweigern" sollte den folgenden Sicherheitsgruppen auf allen Domänencontrollern nicht gewährt werden:
-
Jeder
-
Authentifizierte Benutzer
-
Integrierte Administratoren
-
Enterprise-Domänen Controller
-
-
Überprüfen Sie, ob die standardmäßigen Domänencontrollerrichtlinien -Gruppenrichtlinienobjekte mit allen Domänencontroller-Computerobjekten verknüpft sind, auch wenn sich einige Computerobjekte nicht in der integrierten Domänencontroller -Organisationseinheit befinden.
-
Die Rolle des Infrastrukturmasters und die globale Katalog Rolle (GC) sollten auf dem gleichen Server nicht aktiviert sein. Diese Rollen können jedoch auf demselben Server aktiviert werden, wenn eine der folgenden Bedingungen zutrifft:
-
In der Gesamtstruktur ist nur ein Domänencontroller vorhanden.
-
Alle Domänencontroller in der Gesamtstruktur sind globale Katalogserver.
-
-
Für alle externen Vertrauensstellungs Objekte in einer Domäne muss das sid-Filterfeature aktiviert sein. Weitere Informationen zur SID-Filterung finden Sie auf der folgenden Microsoft-Website:
Ein Problem, das in einer vorhandenen Regel behoben wurde
Die folgende Regel wird falsch auf den MaxPosPhaseCorrection-Eintrag angewendet:
-
Der Wert des MaxNegPhaseCorrection -Eintrags auf dem Domänencontroller sollte gleich 48 Stunden sein.
Bevor Sie dieses Update anwenden, ist ein Registrierungspfad fälschlicherweise auf den folgenden Speicherort eingestellt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionNachdem Sie dieses Update angewendet haben, wird der Registrierungspfad an den folgenden Speicherort korrigiert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
Weitere Informationen
Informationen zum Update
Bezug des Updates
Dieses Update steht auf der Microsoft Update-Website zur Verfügung:
http://update.microsoft.comDie folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:Download the update package now.laden Sie das Updatepaket jetzt herunter. Wenn Sie weitere Informationen zum Herunterladen von Microsoft-Supportdateien erhalten möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
119591 So erhalten Sie Microsoft Support-Dateien im InternetMicrosoft hat diese Datei auf Viren überprüft. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.
Voraussetzungen
Damit Sie dieses Update anwenden können, müssen Sie Windows Server 2008 R2 ausführen. Darüber hinaus müssen Sie die Active Directory-Domänendienste (AD DS)-Serverrolle auf dem Computer installiert haben.
Registrierungsinformationen
Sie müssen keine Änderungen an der Registrierung vornehmen, um das Update aus diesem Paket verwenden zu können.
Neustart
Sie müssen den Computer nach der Installation des Updates möglicherweise neu starten.
Ersetzte Updates
Dieses Update ersetzt kein zuvor veröffentlichtes Update.
Informationsquellen
Weitere Informationen zu AD DS Best Practices Analyzer finden Sie auf der folgenden Microsoft-Website:
Allgemeine Informationen zu AD DS Best Practices AnalyzerWeitere Informationen zum Überprüfen von Best Practices Analyzer finden Sie auf der folgenden Microsoft-Website: