Ενημερωμένη έκδοση για τους κανόνες AD DS ανάλυση βέλτιστες πρακτικές στον Windows Server 2008 R2

ΕΙΣΑΓΩΓΗ

Μια ενημερωμένη έκδοση είναι διαθέσιμη για υπηρεσίες τομέα Active Directory (AD DS) ανάλυση βέλτιστες πρακτικές στον Windows Server 2008 R2. Αυτή η ενημερωμένη έκδοση προσθέτει οκτώ νέους κανόνες για την ανάλυση βέλτιστες πρακτικές για AD DS. Επιπλέον, αυτή η ενημερωμένη έκδοση διορθώνει ένα ζήτημα σε έναν υπάρχοντα κανόνα.

AD DS καλύτερες πρακτικές για την "Ανάλυση"

AD DS ανάλυση βέλτιστες πρακτικές μπορούν να σας βοηθήσουν να υλοποιεί βέλτιστες πρακτικές στη ρύθμιση παραμέτρων του τομέα σας.

Μετά την εγκατάσταση του AD DS ανάλυση βέλτιστες πρακτικές στους ελεγκτές τομέα που εκτελούν Windows Server 2008 R2, ανάλυση βέλτιστες πρακτικές σαρώνει το ρόλο διακομιστή AD DS και αναφέρει βέλτιστη πρακτική παραβιάσεις. Μπορείτε να φιλτράρετε ή να εξαιρέσετε αποτελέσματα από τις βέλτιστες πρακτικές AD DS ανάλυση αναφορές που δεν χρειάζεστε. Μπορείτε επίσης να εκτελέσετε τις εργασίες AD DS ανάλυση βέλτιστες πρακτικές, χρησιμοποιώντας είτε τη Διαχείριση διακομιστή γραφικό περιβάλλον εργασίας χρήστη (GUI) ή χρησιμοποιώντας cmdlets για τη διασύνδεση γραμμής εντολών του Windows PowerShell.

Κανόνες που αλλάζουν από αυτήν την ενημερωμένη έκδοση

Αυτή η ενημερωμένη έκδοση προσθέτει ή ενημερώνει τους ακόλουθους κανόνες στην AD DS ανάλυση βέλτιστες πρακτικές:
  1. Λογαριασμοί χρηστών και οι σχέσεις αξιοπιστίας δεν πρέπει να ρυθμιστεί για "Μόνο DES" κρυπτογράφηση.
  2. "Πρόσβαση αυτού του υπολογιστή από το δίκτυο" δεξιά εκχώρηση χρήστη πρέπει να χορηγείται για τις ακόλουθες ομάδες ασφαλείας σε όλους τους ελεγκτές τομέα:
    • Οι χρήστες με έλεγχο ταυτότητας
    • Ενσωματωμένοι διαχειριστές
    • Εταιρικό ελεγκτή τομέα
    Δικαίωμα ανάθεσης χρήστη "Απόρριψη πρόσβασης σε αυτόν τον υπολογιστή από το δίκτυο" δεν πρέπει να χορηγείται, για τις ακόλουθες ομάδες ασφαλείας σε όλους τους ελεγκτές τομέα:
    • Όλοι οι χρήστες
    • Οι χρήστες με έλεγχο ταυτότητας
    • Ενσωματωμένοι διαχειριστές
    • Εταιρικό ελεγκτή τομέα
  3. Επαλήθευση ότι η Προεπιλεγμένη πολιτική ελεγκτών τομέα αντικείμενα πολιτικής ομάδας (GPO) συνδέονται με όλα τα αντικείμενα υπολογιστή ελεγκτή τομέα, ακόμα και αν ορισμένα αντικείμενα υπολογιστή δεν είναι ενσωματωμένη οργανωτική μονάδα Ελεγκτών τομέα .
  4. Το ρόλο infrastructure master και το ρόλο καθολικού καταλόγου (GC) δεν πρέπει να είναι ενεργοποιημένη στον ίδιο διακομιστή. Ωστόσο, αυτοί οι ρόλοι μπορούν να ενεργοποιηθούν στον ίδιο διακομιστή όταν ισχύει μία από τις ακόλουθες συνθήκες:
    • Υπάρχει μόνο ένας ελεγκτής τομέα στο σύμπλεγμα δομών.
    • Όλοι οι ελεγκτές τομέα στο σύμπλεγμα δομών είναι διακομιστές καθολικού καταλόγου.
  5. Όλα τα αντικείμενα εξωτερική σχέση αξιοπιστίας σε έναν τομέα πρέπει να έχει τη δυνατότητα φιλτραρίσματος SID ενεργοποιημένη.

    Για περισσότερες πληροφορίες σχετικά με το SID, το φιλτράρισμα, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Ένα ζήτημα που καθορίζεται σε έναν υπάρχοντα κανόνα

Ο εξής κανόνας εφαρμόζεται σωστά η καταχώρηση MaxPosPhaseCorrection:
  • Η τιμή της καταχώρησης MaxNegPhaseCorrection στον ελεγκτή τομέα πρέπει να είναι ίδιες με τις 48 ώρες.
Πριν να εφαρμόσετε αυτήν την ενημερωμένη έκδοση, μια διαδρομή μητρώου έχει οριστεί εσφαλμένα στην ακόλουθη θέση:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
Μετά την εφαρμογή αυτής της ενημερωμένης έκδοσης, η διαδρομή μητρώου διορθώνεται στην ακόλουθη θέση:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Περισσότερες πληροφορίες

Πληροφορίες ενημέρωσης

Τρόπος απόκτησης αυτής της ενημέρωσης

Αυτή η ενημερωμένη έκδοση είναι διαθέσιμη από την τοποθεσία Microsoft Update στο Web:Το ακόλουθο αρχείο είναι διαθέσιμο για λήψη από το Κέντρο λήψης της Microsoft:

Download Άμεση λήψη του πακέτου ενημέρωσης.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία που δημοσιεύτηκε το αρχείο. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι συμβάλλουν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.

Προϋποθέσεις

Για να εφαρμόσετε αυτήν την ενημερωμένη έκδοση, πρέπει να εκτελείτε το Windows Server 2008 R2. Επιπλέον, πρέπει να έχετε το ρόλο διακομιστή υπηρεσίες τομέα Active Directory (AD DS) εγκατεστημένο στον υπολογιστή.

Πληροφορίες μητρώου

Για να χρησιμοποιήσετε την ενημερωμένη έκδοση σε αυτό το πακέτο, δεν χρειάζεται να κάνετε αλλαγές στο μητρώο.

Απαίτηση επανεκκίνησης

Ίσως χρειαστεί να κάνετε επανεκκίνηση του υπολογιστή μετά την εφαρμογή αυτής της ενημέρωσης.

Πληροφορίες αντικατάστασης ενημέρωσης

Αυτή η ενημέρωση δεν αντικαθιστά ενημέρωση που είχε κυκλοφορήσει προηγουμένως.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με το AD DS ανάλυση βέλτιστες πρακτικές, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για περισσότερες πληροφορίες σχετικά με τη σάρωση με ανάλυση βέλτιστες πρακτικές, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Ιδιότητες

Αναγνωριστικό άρθρου: 980360 - Τελευταία αναθεώρηση: 12 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια