Actualización de las reglas del analizador de procedimientos recomendados de AD DS en Windows Server 2008 R2

Se aplica a: Windows Server 2008 R2

INTRODUCCIÓN


Hay una actualización disponible para Best Practices Analyzer de servicios de dominio de Active Directory (AD DS) en Windows Server 2008 R2. Esta actualización agrega ocho reglas nuevas al analizador de procedimientos recomendados para AD DS. Además, esta actualización corrige un problema en una regla existente.

Analizador de procedimientos recomendados de AD DS

El analizador de procedimientos recomendados de AD DS puede ayudarle a implementar los procedimientos recomendados en la configuración de su dominio. Después de instalar el analizador de procedimientos recomendados de AD DS en los controladores de dominio que ejecutan Windows Server 2008 R2, el analizador de procedimientos recomendados examina el rol de servidor de AD DS e informa de las infracciones de los procedimientos recomendados. Puede filtrar o excluir los resultados de los informes del analizador de procedimientos recomendados de AD DS que no necesite. También puede realizar las tareas del analizador de procedimientos recomendados de AD DS mediante la interfaz gráfica de usuario (GUI) del administrador del servidor o mediante cmdlets para la interfaz de línea de comandos de Windows PowerShell.

Reglas modificadas por esta actualización

Esta actualización agrega o actualiza las reglas siguientes en el analizador de procedimientos recomendados de AD DS:
  1. Las cuentas de usuario y las confianzas no deben configurarse para el cifrado "DES-Only".
  2. La asignación del derecho de usuario "acceso a este equipo desde la red" debería concederse a los siguientes grupos de seguridad en todos los controladores de dominio:
    • Usuarios autenticados
    • Administradores integrados
    • Controlador de dominio empresarial
    La asignación de derechos de usuario "denegar el acceso a este equipo desde la red" no se debe conceder a los siguientes grupos de seguridad en todos los controladores de dominio:
    • Todos
    • Usuarios autenticados
    • Administradores integrados
    • Controlador de dominio empresarial
  3. Valide que los objetos de directiva de grupo (GPO) de los controladores de dominio predeterminados estén vinculados a todos los objetos de equipo del controlador de dominio incluso si algunos objetos de equipo no están en la unidad organizativa controladores de dominio integrada.
  4. El rol de maestro de infraestructura y el rol de catálogo global (GC) no deben habilitarse en el mismo servidor. Sin embargo, estos roles se pueden habilitar en el mismo servidor cuando se cumple una de las condiciones siguientes:
    • Solo existe un controlador de dominio en el bosque.
    • Todos los controladores de dominio del bosque son servidores de catálogo global.
  5. Todos los objetos de confianza externa de un dominio deben tener habilitada la característica de filtrado de SID. Para obtener más información sobre el filtrado de SID, visite el siguiente sitio web de Microsoft:

Un problema corregido en una regla existente

Se aplica la siguiente regla de forma incorrecta a la entrada de MaxPosPhaseCorrection:
  • El valor de la entrada de MaxNegPhaseCorrection en el controlador de dominio debe ser igual a 48 horas.
Antes de aplicar esta actualización, una ruta de acceso al registro no se establece correctamente en la siguiente ubicación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
Después de aplicar esta actualización, la ruta de acceso del registro se corrige en la siguiente ubicación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Más información


Información de la actualización

Cómo obtener esta actualización

Esta actualización está disponible en el sitio web de Microsoft Update:El siguiente archivo está disponible para descargarlo desde el centro de descarga de Microsoft:Download Download the update package now.descargar el paquete de actualización ahora. Para obtener más información sobre cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft examinó este archivo en busca de virus. Microsoft usó el software de detección de virus más reciente que había disponible en la fecha en la que se publicó el archivo. El archivo está guardado en servidores de seguridad mejorada que ayudan a prevenir cambios no autorizados del archivo.

Requisitos previos

Para aplicar esta actualización, debe estar ejecutando Windows Server 2008 R2. Además, debe tener el rol de servidor de servicios de dominio de Active Directory (AD DS) instalado en el equipo.

Información de Registro

Para utilizar la actualización de este paquete, no es necesario realizar ningún cambio en el Registro.

Requisito de reinicio

Quizás tenga que reiniciar el equipo una vez aplicada esta actualización.

Información de reemplazo de la actualización

Esta actualización no sustituye a ninguna actualización publicada previamente.

Referencias


Para obtener más información acerca del analizador de procedimientos recomendados de AD DS, visite el siguiente sitio web de Microsoft:Para obtener más información sobre cómo buscar en el analizador de procedimientos recomendados, visite el siguiente sitio web de Microsoft: