Ενημέρωση για τους κανόνες ανάλυσης βέλτιστων πρακτικών AD DS στον Windows Server 2008 R2

ΕΙΣΑΓΩΓΗ

Διατίθεται μια ενημερωμένη έκδοση για την ανάλυση βέλτιστων πρακτικών των υπηρεσιών τομέα Active Directory (AD DS) στον Windows Server 2008 R2. Αυτή η ενημέρωση προσθέτει οκτώ νέους κανόνες στην ανάλυση βέλτιστων πρακτικών για το AD DS. Επιπλέον, αυτή η ενημέρωση διορθώνει ένα πρόβλημα σε έναν υπάρχοντα κανόνα.

Ανάλυση βέλτιστων πρακτικών AD DS

Η ανάλυση βέλτιστων πρακτικών AD DS μπορεί να σας βοηθήσει να υλοποιήσετε βέλτιστες πρακτικές στη ρύθμιση παραμέτρων του τομέα σας. Μετά την εγκατάσταση της ανάλυσης βέλτιστων πρακτικών AD DS στους ελεγκτές τομέα που εκτελούν τον Windows Server 2008 R2, η ανάλυση βέλτιστων πρακτικών σαρώνει τον ρόλο διακομιστή AD DS και αναφέρει παραβιάσεις βέλτιστων πρακτικών. Μπορείτε να φιλτράρετε ή να εξαιρέσετε αποτελέσματα από αναφορές ανάλυσης βέλτιστων πρακτικών AD DS που δεν χρειάζεστε. Μπορείτε επίσης να εκτελείτε τις εργασίες ανάλυσης βέλτιστων πρακτικών AD DS, χρησιμοποιώντας είτε το περιβάλλον εργασίας χρήστη με γραφικά του διακομιστή (GUI) είτε χρησιμοποιώντας cmdlet για το περιβάλλον εργασίας γραμμής εντολών του Windows PowerShell.

Κανόνες που έχουν αλλάξει από αυτήν την ενημέρωση

Αυτή η ενημέρωση προσθέτει ή ενημερώνει τους ακόλουθους κανόνες στην ανάλυση βέλτιστων πρακτικών AD DS:

  1. Οι λογαριασμοί χρηστών και οι σχέσεις αξιοπιστίας δεν πρέπει να ρυθμίζονται για την κρυπτογράφηση "μόνο DES".

  2. Η ανάθεση "πρόσβαση σε αυτόν τον υπολογιστή από το δίκτυο" του δικαιώματος χρήστη πρέπει να εκχωρηθεί στις ακόλουθες ομάδες ασφαλείας σε όλους τους ελεγκτές τομέα:

    • Χρήστες με έλεγχο ταυτότητας

    • Ενσωματωμένοι διαχειριστές

    • Ελεγκτής τομέα εταιρείας

    Η ανάθεση "άρνηση πρόσβασης σε αυτόν τον υπολογιστή από το δίκτυο" δεν πρέπει να εκχωρείται στις ακόλουθες ομάδες ασφαλείας σε όλους τους ελεγκτές τομέα:

    • Όλοι

    • Χρήστες με έλεγχο ταυτότητας

    • Ενσωματωμένοι διαχειριστές

    • Ελεγκτής τομέα εταιρείας

  3. Επικυρώστε ότι τα αντικείμενα πολιτικής ομάδας (GPO) των προεπιλεγμένων ελεγκτών τομέα είναι συνδεδεμένα με όλα τα αντικείμενα υπολογιστή του ελεγκτή τομέα, ακόμα και αν ορισμένα αντικείμενα υπολογιστή δεν βρίσκονται στην οργανική μονάδα των ενσωματωμένων ελεγκτών τομέα .

  4. Ο ρόλος κύριων υποδομών και ο ρόλος του καθολικού καταλόγου (GC) δεν πρέπει να είναι ενεργοποιημένος στον ίδιο διακομιστή. Ωστόσο, αυτοί οι ρόλοι μπορούν να ενεργοποιηθούν στον ίδιο διακομιστή, όταν ισχύει μία από τις ακόλουθες συνθήκες:

    • Υπάρχει μόνο ένας ελεγκτής τομέα στο σύμπλεγμα δομών.

    • Όλοι οι ελεγκτές τομέα στο σύμπλεγμα δομών είναι διακομιστές καθολικού καταλόγου.

  5. Όλα τα αντικείμενα εξωτερικής αξιοπιστίας σε έναν τομέα πρέπει να έχουν ενεργοποιημένη τη δυνατότητα φιλτραρίσματος SID. Για περισσότερες πληροφορίες σχετικά με το φιλτράρισμα SID, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Ένα πρόβλημα που διορθώθηκε σε έναν υπάρχοντα κανόνα

Ο ακόλουθος κανόνας εφαρμόζεται εσφαλμένα στην καταχώρηση MaxPosPhaseCorrection:

  • Η τιμή της καταχώρησης MaxNegPhaseCorrection στον ελεγκτή τομέα θα πρέπει να είναι ίση με 48 ώρες.

Πριν να εφαρμόσετε αυτήν την ενημερωμένη έκδοση, μια διαδρομή μητρώου έχει ρυθμιστεί εσφαλμένα στην ακόλουθη θέση:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionΜετά την εφαρμογή αυτής της ενημέρωσης, η διαδρομή μητρώου διορθώνεται με την ακόλουθη θέση:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Περισσότερες πληροφορίες

Ενημέρωση πληροφοριών

Διαδικασία λήψης αυτής της ενημέρωσης

Αυτή η ενημέρωση είναι διαθέσιμη από την τοποθεσία του Microsoft Update στο Web:

Το παρακάτω αρχείο είναι διαθέσιμο για λήψη από το κέντρο λήψης της Microsoft:Download λήψη του πακέτου ενημερώσεων τώρα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίεςΗ Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο την ημερομηνία κατά την οποία καταχωρήθηκε το αρχείο. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι συμβάλλουν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.

Προϋποθέσεις

Για να εφαρμόσετε αυτήν την ενημερωμένη έκδοση, πρέπει να εκτελείτε τον Windows Server 2008 R2. Επιπλέον, πρέπει να έχετε εγκατεστημένο στον υπολογιστή το ρόλο διακομιστή των υπηρεσιών τομέα Active Directory (AD DS).

Πληροφορίες μητρώου

Για να χρησιμοποιήσετε την ενημέρωση αυτού του πακέτου, δεν χρειάζεται να κάνετε αλλαγές στο μητρώο.

Απαίτηση επανεκκίνησης

Ίσως χρειαστεί να επανεκκινήσετε τον υπολογιστή μετά την εφαρμογή αυτής της ενημέρωσης.

Πληροφορίες αντικατάστασης ενημέρωσης

Αυτή η ενημέρωση δεν αντικαθιστά μια ενημέρωση που έχει κυκλοφορήσει προηγουμένως.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με την ανάλυση βέλτιστων πρακτικών AD DS, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Για περισσότερες πληροφορίες σχετικά με τον τρόπο σάρωσης στην ανάλυση βέλτιστων πρακτικών, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Χρειάζεστε περισσότερη βοήθεια;

Αναπτύξτε τις δεξιότητές σας
Εξερευνήστε το περιεχόμενο της εκπαίδευσης
Αποκτήστε πρώτοι τις νέες δυνατότητες
Συμμετοχή στο Microsoft Insider

Σας βοήθησαν αυτές οι πληροφορίες;

Σας ευχαριστούμε για τα σχόλιά σας!

Σας ευχαριστούμε για τα σχόλιά σας! Φαίνεται ότι μπορεί να είναι χρήσιμο να συνδεθείτε με έναν από τους συνεργάτες υποστήριξης του Office.

×