UVOD
Dostupno je ažuriranje za Active Directory domene Services (AD DS) u sustavu Windows Server 2008 R2. Ovo ažuriranje zbraja osam novih pravila za najbolje prakse u programu AD DS. Uz to, ovo ažuriranje rješava problem u postojećem pravilu.
Analizator najboljih postupaka za AD DS
Alat za analizu programa AD DS najbolje prakse može vam pomoći da implementirate najbolje prakse u konfiguraciji domene. Nakon instalacije servisa AD DS Best Practices Analyzer na kontrolorima domena na kojima je instaliran Windows Server 2008 R2, alat za najbolju praksu pretražuje ulogu poslužitelja AD DS i izvještava o kršenju najboljih praksi. Rezultate možete filtrirati ili isključiti iz izvješća programa AD DS Best Practices Analyzer koja vam nije potrebna. Možete i izvršavati zadatke alata za rad u servisu AD DS, pomoću grafičkog korisničkog sučelja upravitelja poslužitelja (GUI-a) ili pomoću cmdleta za sučelje naredbenog retka komponente Windows PowerShell.
Pravila koja su izmijenjena ovim ažuriranjem
Ovo ažuriranje dodaje ili ažurira sljedeća pravila u programu AD DS Best Practices Analyzer:
-
Korisnički računi i Trust ne smiju se konfigurirati za šifriranje "DES-Only".
-
U sljedećim sigurnosnim grupama na svim kontrolorima domena potrebno je dodijeliti korisničko pravo "pristup ovom računalu iz mreže":
-
Provjereni korisnici
-
Ugrađeni administratori
-
Kontrolor domene za Enterprise
U sljedećim sigurnosnim grupama na svim kontrolorima domena ne smiju se dodijeliti korisničke dozvole "zabrani pristup ovom računalu iz mreže":
-
Svima
-
Provjereni korisnici
-
Ugrađeni administratori
-
Kontrolor domene za Enterprise
-
-
Provjerite jesu li zadani objekti pravilnika grupe pravilnika grupnih kontrolera (GPO) povezani sa svim objektima računala kontrolera domene, čak i ako se neki objekti računala ne nalaze u ugrađenoj organizacijskoj jedinici kontrolera domene .
-
Ulogu matrice infrastrukture i uloge globalnog kataloga (GC) ne smiju biti omogućene na istom poslužitelju. No te se uloge mogu omogućiti na istom poslužitelju kada se ostvari jedan od sljedećih uvjeta:
-
U šumi postoji samo jedan kontroler domene.
-
Svi kontroleri domena u šumi su globalni poslužitelji kataloga.
-
-
Svi vanjski objekti pouzdanosti u domeni moraju imati omogućenu značajku za filtriranje SID-a. Dodatne informacije o SIDOVOM filtriranju potražite na sljedećem Microsoftovu web-mjestu:
Problem riješen u postojećem pravilu
Sljedeće se pravilo nepravilno primjenjuje na unos MaxPosPhaseCorrection:
-
Vrijednost unosa servisa Maxnegphase, na kontroleru domene trebala bi biti jednaka 48 sati.
Prije nego što primijenite ovo ažuriranje, put registra neispravno je postavljen na sljedeće mjesto:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionKada primijenite ovo ažuriranje, put registra Ispravit će se na sljedeće mjesto:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
Dodatne informacije
Informacije o ažuriranju
Kako nabaviti ovo ažuriranje
Ovo je ažuriranje dostupno na web-mjestu Microsoft Update:
http://update.microsoft.comSljedeća datoteka dostupna je za preuzimanje iz Microsoftova centra za preuzimanje:Download the update package now.odmah Preuzmite paket za ažuriranje. Dodatne informacije o preuzimanju Microsoftovih datoteka za podršku potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:
119591 Kako putem internetskih servisa preuzeti Microsoftove datoteke za podrškuMicrosoft je skenirao ovu datoteku radi virusa. Microsoft je koristio najnoviji softver za otkrivanje virusa koji je bio dostupan na datum kada je datoteka proknjižena. Datoteka se pohranjuje na poslužitelje poboljšane sigurnosti koji sprječavaju neovlaštene promjene u datoteci.
Preduvjeti
Da biste primijenili ovo ažuriranje, morate imati operacijski sustav Windows Server 2008 R2. Uz to, na računalu morate imati instaliranu ulogu poslužitelja za domene servisa Active Directory (AD DS).
Podaci u registru
Da biste koristili ažuriranje iz tog paketa, nije potrebno napraviti nikakve promjene u registru.
Potreba za ponovnim pokretanjem
Kada primijenite ovo ažuriranje, možda ćete morati ponovno pokrenuti računalo.
Informacije o zamjeni ažuriranja
Ovo ažuriranje ne zamjenjuje prethodno objavljeno ažuriranje.
Reference
Dodatne informacije o programu AD DS Best Practices Analyzer potražite na sljedećem Microsoftovu web-mjestu:
Općenite informacije o programu AD DS Best Practices AnalyzerDodatne informacije o tome kako skenirati u analizatoru najbolje prakse potražite na sljedećem Microsoftovu web-mjestu:
Pokretanje i filtriranje skeniranja u odjeljku najbolji načini rada za analizu