Update für die AD DS Best Practices Analyzer-Regeln in Windows Server 2008 R2

Gilt für: Windows Server 2008 R2

EINFÜHRUNG


Ein Update steht für Active Directory-Domänendienste (AD DS) Best Practices Analyzer in Windows Server 2008 R2 zur Verfügung. Mit diesem Update werden dem Best Practices Analyzer für AD DS acht neue Regeln hinzugefügt. Darüber hinaus behebt dieses Update ein Problem in einer vorhandenen Regel.

AD DS Best Practices Analyzer

Mithilfe von AD DS Best Practices Analyzer können Sie bewährte Methoden bei der Konfiguration Ihrer Domäne implementieren. Nach der Installation von AD DS Best Practices Analyzer auf den Domänencontrollern, auf denen Windows Server 2008 R2 ausgeführt wird, scannt Best Practices Analyzer die AD DS-Server Rolle und meldet Verstöße gegen bewährte Methoden. Sie können Ergebnisse aus AD DS Best Practices Analyzer-Berichten filtern oder ausschließen, die Sie nicht benötigen. Sie können die AD DS Best Practices Analyzer-Aufgaben auch über die grafische Benutzeroberfläche des Server-Managers oder mithilfe von Cmdlets für die Windows PowerShell-Befehlszeilenschnittstelle ausführen.

Regeln, die durch dieses Update geändert werden

Mit diesem Update werden die folgenden Regeln in AD DS Best Practices Analyzer hinzugefügt oder aktualisiert:
  1. Benutzerkonten und Vertrauensstellungen sollten nicht für die "des-only"-Verschlüsselung konfiguriert sein.
  2. Die Zuweisung der Benutzerrechte für den Zugriff auf diesen Computer aus dem Netzwerk sollte den folgenden Sicherheitsgruppen auf allen Domänencontrollern gewährt werden:
    • Authentifizierte Benutzer
    • Integrierte Administratoren
    • Enterprise-Domänen Controller
    Die Benutzerrechtezuweisung "Zugriff auf diesen Computer vom Netzwerk verweigern" sollte den folgenden Sicherheitsgruppen auf allen Domänencontrollern nicht gewährt werden:
    • Jeder
    • Authentifizierte Benutzer
    • Integrierte Administratoren
    • Enterprise-Domänen Controller
  3. Überprüfen Sie, ob die standardmäßigen Domänencontrollerrichtlinien -Gruppenrichtlinienobjekte mit allen Domänencontroller-Computerobjekten verknüpft sind, auch wenn sich einige Computerobjekte nicht in der integrierten Domänencontroller -Organisationseinheit befinden.
  4. Die Rolle des Infrastrukturmasters und die globale Katalog Rolle (GC) sollten auf dem gleichen Server nicht aktiviert sein. Diese Rollen können jedoch auf demselben Server aktiviert werden, wenn eine der folgenden Bedingungen zutrifft:
    • In der Gesamtstruktur ist nur ein Domänencontroller vorhanden.
    • Alle Domänencontroller in der Gesamtstruktur sind globale Katalogserver.
  5. Für alle externen Vertrauensstellungs Objekte in einer Domäne muss das sid-Filterfeature aktiviert sein. Weitere Informationen zur SID-Filterung finden Sie auf der folgenden Microsoft-Website:

Ein Problem, das in einer vorhandenen Regel behoben wurde

Die folgende Regel wird falsch auf den MaxPosPhaseCorrection-Eintrag angewendet:
  • Der Wert des MaxNegPhaseCorrection -Eintrags auf dem Domänencontroller sollte gleich 48 Stunden sein.
Bevor Sie dieses Update anwenden, ist ein Registrierungspfad fälschlicherweise auf den folgenden Speicherort eingestellt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
Nachdem Sie dieses Update angewendet haben, wird der Registrierungspfad an den folgenden Speicherort korrigiert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Weitere Informationen


Informationen zum Update

Bezug des Updates

Dieses Update steht auf der Microsoft Update-Website zur Verfügung:Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:Download Download the update package now.laden Sie das Updatepaket jetzt herunter. Wenn Sie weitere Informationen zum Herunterladen von Microsoft-Supportdateien erhalten möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Damit Sie dieses Update anwenden können, müssen Sie Windows Server 2008 R2 ausführen. Darüber hinaus müssen Sie die Active Directory-Domänendienste (AD DS)-Serverrolle auf dem Computer installiert haben.

Registrierungsinformationen

Sie müssen keine Änderungen an der Registrierung vornehmen, um das Update aus diesem Paket verwenden zu können.

Neustart

Sie müssen den Computer nach der Installation des Updates möglicherweise neu starten.

Ersetzte Updates

Dieses Update ersetzt kein zuvor veröffentlichtes Update.

Informationsquellen


Weitere Informationen zu AD DS Best Practices Analyzer finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zum Überprüfen von Best Practices Analyzer finden Sie auf der folgenden Microsoft-Website: