INTRODUZIONE
È disponibile un aggiornamento per Best Practices Analyzer di Active Directory Domain Services (AD DS) in Windows Server 2008 R2. Questo aggiornamento aggiunge otto nuove regole all'analizzatore delle procedure consigliate per servizi di dominio Active Directory. Inoltre, questo aggiornamento risolve un problema in una regola esistente.
AD DS Best Practices Analyzer
AD DS Best Practices Analyzer può aiutarti a implementare le procedure consigliate per la configurazione del dominio. Dopo aver installato AD DS Best Practices Analyzer nei controller di dominio che esegue Windows Server 2008 R2, Best Practices Analyzer analizza il ruolo del server di servizi di dominio Active Directory e segnala le violazioni delle procedure consigliate. È possibile filtrare o escludere i risultati dei report di AD DS Best Practices Analyzer che non sono necessari. È anche possibile eseguire le attività dell'analizzatore delle procedure consigliate di Active Directory usando l'interfaccia utente grafica (GUI) di Server Manager o usando i cmdlet per l'interfaccia della riga di comando di Windows PowerShell.
Regole modificate da questo aggiornamento
Questo aggiornamento aggiunge o aggiorna le regole seguenti in AD DS Best Practices Analyzer:
-
Gli account utente e i trust non devono essere configurati per la crittografia "DES-only".
-
L'assegnazione a destra dell'utente "accesso a questo computer dalla rete" deve essere concessa ai gruppi di sicurezza seguenti in tutti i controller di dominio:
-
Utenti autenticati
-
Amministratori predefiniti
-
Controller di dominio aziendale
L'assegnazione a destra dell'utente "nega l'accesso a questo computer dalla rete" non deve essere concessa ai gruppi di sicurezza seguenti in tutti i controller di dominio:
-
Tutti
-
Utenti autenticati
-
Amministratori predefiniti
-
Controller di dominio aziendale
-
-
Verificare che gli oggetti Criteri di gruppo (GPO) dei controller di dominio predefiniti siano collegati a tutti gli oggetti computer del controller di dominio, anche se alcuni oggetti computer non si trovano nell'unità organizzativa Domain Controllers incorporati.
-
Il ruolo di master infrastrutture e il ruolo catalogo globale (GC) non devono essere abilitati nello stesso server. Tuttavia, questi ruoli possono essere abilitati nello stesso server quando una delle condizioni seguenti è vera:
-
Nella foresta esiste un solo controller di dominio.
-
Tutti i controller di dominio della foresta sono server di catalogo globale.
-
-
Tutti gli oggetti trust esterni in un dominio devono avere la caratteristica di filtro SID abilitata. Per altre informazioni sul filtro dei SID, visitare il sito Web Microsoft seguente:
Problema risolto in una regola esistente
La regola seguente viene applicata in modo non corretto alla voce MaxPosPhaseCorrection:
-
Il valore della voce MaxNegPhaseCorrection nel controller di dominio deve essere uguale a 48 ore.
Prima di applicare questo aggiornamento, il percorso del registro di sistema non viene impostato correttamente sulla posizione seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionDopo aver applicato questo aggiornamento, il percorso del registro di sistema viene corretto nella posizione seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
Ulteriori informazioni
Informazioni sull'aggiornamento
Come ottenere questo aggiornamento
Questo aggiornamento è disponibile nel sito Web Microsoft Update:
http://update.microsoft.comIl file seguente è disponibile per il download dall'area download Microsoft:
119591 Come ottenere file di supporto Microsoft dai servizi onlineIl file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di sicurezza avanzata che impedisce modifiche del file non autorizzate.
Requisiti
Per applicare questo aggiornamento, è necessario eseguire Windows Server 2008 R2. È inoltre necessario che nel computer sia installato il ruolo del server Active Directory Domain Services (AD DS).
Informazioni sul Registro di sistema
Per usare l'aggiornamento in questo pacchetto, non è necessario apportare modifiche al registro di sistema.
Richiesta di riavvio
Potrebbe essere necessario riavviare il computer dopo aver applicato questo aggiornamento.
Informazioni sulla sostituzione dell'aggiornamento
Questo aggiornamento non sostituisce alcun altro aggiornamento precedentemente rilasciato.
Riferimenti
Per altre informazioni su AD DS Best Practices Analyzer, visitare il sito Web Microsoft seguente:
Informazioni generali su AD DS Best Practices AnalyzerPer altre informazioni su come eseguire la scansione in Best Practices Analyzer, visitare il sito Web Microsoft seguente:
Come eseguire o filtrare gli scansioni in Best Practices Analyzer
