INTRODUCCIÓN
Hay una actualización disponible para Best Practices Analyzer de servicios de dominio de Active Directory (AD DS) en Windows Server 2008 R2. Esta actualización agrega ocho reglas nuevas al analizador de procedimientos recomendados para AD DS. Además, esta actualización corrige un problema en una regla existente.
Analizador de procedimientos recomendados de AD DS
El analizador de procedimientos recomendados de AD DS puede ayudarle a implementar los procedimientos recomendados en la configuración de su dominio. Después de instalar el analizador de procedimientos recomendados de AD DS en los controladores de dominio que ejecutan Windows Server 2008 R2, el analizador de procedimientos recomendados examina el rol de servidor de AD DS e informa de las infracciones de los procedimientos recomendados. Puede filtrar o excluir los resultados de los informes del analizador de procedimientos recomendados de AD DS que no necesite. También puede realizar las tareas del analizador de procedimientos recomendados de AD DS mediante la interfaz gráfica de usuario (GUI) del administrador del servidor o mediante cmdlets para la interfaz de línea de comandos de Windows PowerShell.
Reglas modificadas por esta actualización
Esta actualización agrega o actualiza las reglas siguientes en el analizador de procedimientos recomendados de AD DS:
-
Las cuentas de usuario y las confianzas no deben configurarse para el cifrado "DES-Only".
-
La asignación del derecho de usuario "acceso a este equipo desde la red" debería concederse a los siguientes grupos de seguridad en todos los controladores de dominio:
-
Usuarios autenticados
-
Administradores integrados
-
Controlador de dominio empresarial
La asignación de derechos de usuario "denegar el acceso a este equipo desde la red" no se debe conceder a los siguientes grupos de seguridad en todos los controladores de dominio:
-
Todos
-
Usuarios autenticados
-
Administradores integrados
-
Controlador de dominio empresarial
-
-
Valide que los objetos de directiva de grupo (GPO) de los controladores de dominio predeterminados estén vinculados a todos los objetos de equipo del controlador de dominio incluso si algunos objetos de equipo no están en la unidad organizativa controladores de dominio integrada.
-
El rol de maestro de infraestructura y el rol de catálogo global (GC) no deben habilitarse en el mismo servidor. Sin embargo, estos roles se pueden habilitar en el mismo servidor cuando se cumple una de las condiciones siguientes:
-
Solo existe un controlador de dominio en el bosque.
-
Todos los controladores de dominio del bosque son servidores de catálogo global.
-
-
Todos los objetos de confianza externa de un dominio deben tener habilitada la característica de filtrado de SID. Para obtener más información sobre el filtrado de SID, visite el siguiente sitio web de Microsoft:
Un problema corregido en una regla existente
Se aplica la siguiente regla de forma incorrecta a la entrada de MaxPosPhaseCorrection:
-
El valor de la entrada de MaxNegPhaseCorrection en el controlador de dominio debe ser igual a 48 horas.
Antes de aplicar esta actualización, una ruta de acceso al registro no se establece correctamente en la siguiente ubicación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionDespués de aplicar esta actualización, la ruta de acceso del registro se corrige en la siguiente ubicación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
Más información
Información de la actualización
Cómo obtener esta actualización
Esta actualización está disponible en el sitio web de Microsoft Update:
http://update.microsoft.comEl siguiente archivo está disponible para descargarlo desde el centro de descarga de Microsoft:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en líneaMicrosoft examinó este archivo en busca de virus. Microsoft usó el software de detección de virus más reciente que había disponible en la fecha en la que se publicó el archivo. El archivo está guardado en servidores de seguridad mejorada que ayudan a prevenir cambios no autorizados del archivo.
Requisitos previos
Para aplicar esta actualización, debe estar ejecutando Windows Server 2008 R2. Además, debe tener el rol de servidor de servicios de dominio de Active Directory (AD DS) instalado en el equipo.
Información de Registro
Para utilizar la actualización de este paquete, no es necesario realizar ningún cambio en el Registro.
Requisito de reinicio
Quizás tenga que reiniciar el equipo una vez aplicada esta actualización.
Información de reemplazo de la actualización
Esta actualización no sustituye a ninguna actualización publicada previamente.
Referencias
Para obtener más información acerca del analizador de procedimientos recomendados de AD DS, visite el siguiente sitio web de Microsoft:
Información general acerca del analizador de procedimientos recomendados de AD DSPara obtener más información sobre cómo buscar en el analizador de procedimientos recomendados, visite el siguiente sitio web de Microsoft:
Cómo ejecutar o filtrar exámenes en el analizador de procedimientos recomendados
