はじめに
Windows Server 2008 R2 の Active Directory ドメインサービス (AD DS) ベストプラクティスアナライザーで更新プログラムを利用できます。 この更新プログラムは、AD DS のベストプラクティスアナライザーに8つの新しいルールを追加します。 また、この更新プログラムは既存のルールの問題を修正します。
AD DS ベストプラクティスアナライザー
AD DS ベストプラクティスアナライザーを使用すると、ドメインの構成に関するベストプラクティスを実装することができます。 Windows Server 2008 R2 を実行しているドメインコントローラーに AD DS ベストプラクティスアナライザーをインストールすると、ベストプラクティスアナライザーによって AD DS サーバーの役割がスキャンされ、ベストプラクティスの違反が報告されます。 必要のない AD DS ベストプラクティスアナライザーレポートの結果をフィルター処理したり、除外したりすることができます。 また、サーバーマネージャーのグラフィカルユーザーインターフェイス (GUI) を使用するか、Windows PowerShell コマンドラインインターフェイスのコマンドレットを使用して、AD DS ベストプラクティスアナライザーのタスクを実行することもできます。
この更新プログラムによって変更されるルール
この更新プログラムでは、AD DS ベストプラクティスアナライザーの次のルールが追加または更新されます。
-
ユーザーアカウントと信頼は、"DES のみ" の暗号化用に構成しないでください。
-
[ネットワークからこのコンピューターへのアクセス] ユーザー権利の割り当ては、すべてのドメインコントローラー上の次のセキュリティグループに付与する必要があります。
-
認証済みユーザー
-
組み込みの管理者
-
エンタープライズドメインコントローラー
[ネットワークからこのコンピューターへのアクセスを拒否する] ユーザー権利の割り当ては、すべてのドメインコントローラー上の次のセキュリティグループに付与することはできません。
-
すべて
-
認証済みユーザー
-
組み込みの管理者
-
エンタープライズドメインコントローラー
-
-
一部のコンピューターオブジェクトが、ビルトインドメインコントローラーの組織単位に含まれていない場合でも、既定のドメインコントローラーのポリシーグループポリシーオブジェクト (GPO) がすべてのドメインコントローラーのコンピューターオブジェクトにリンクされていることを確認します。
-
インフラストラクチャマスターの役割とグローバルカタログ (GC) の役割は、同じサーバー上では有効にしないようにしてください。 ただし、次のいずれかの条件に該当する場合は、これらの役割を同じサーバーで有効にすることができます。
-
フォレストには1つのドメインコントローラーしか存在しません。
-
フォレスト内のすべてのドメインコントローラーはグローバルカタログサーバーです。
-
-
ドメイン内のすべての外部信頼オブジェクトには、SID フィルタリング機能が有効になっている必要があります。SID のフィルター処理の詳細については、次の Microsoft Web サイトを参照してください。
既存のルールで修正された問題
次のルールが間違って MaxPosPhaseCorrection エントリに適用されています。
-
ドメインコントローラーのMaxNegPhaseCorrectionエントリの値は、48時間に等しくなければなりません。
この更新プログラムを適用する前に、レジストリパスが誤って次の場所に設定されています。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionこの更新プログラムを適用すると、レジストリパスが次の場所に修正されます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
詳細情報
更新プログラムの情報
この更新プログラムの入手方法
この更新プログラムは、Microsoft Update Web サイトから入手できます。
http://update.microsoft.comMicrosoft ダウンロードセンターからは、次のファイルをダウンロードできます。 Download the update package now.更新パッケージを今すぐダウンロードしてください。Microsoft サポートファイルのダウンロード方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法4013443 「更新プログラムの表示または非表示」トラブルシューティング ツール パッケージマイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、 配布ファイルのウイルス チェックを行っています。 配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。 配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
必要条件
この更新プログラムを適用するには、Windows Server 2008 R2 を実行している必要があります。 また、コンピューターに Active Directory ドメインサービス (AD DS) サーバーの役割がインストールされている必要があります。
レジストリ情報
このパッケージに含まれている更新プログラムを使用するために、レジストリを変更する必要はありません。
再起動の必要性
この更新プログラムの適用後、コンピューターの再起動が必要になる場合があります。
更新プログラムの置き換えに関する情報
この更新プログラムを適用しても、以前にリリースされた更新プログラムが置き換えられることはありません。
参照情報
AD DS のベストプラクティスアナライザーの詳細については、次の Microsoft Web サイトを参照してください。
AD DS ベストプラクティスアナライザーに関する一般的な情報ベストプラクティスアナライザーでスキャンを実行する方法の詳細については、次の Microsoft Web サイトを参照してください。