Обновление правил анализатора соответствия рекомендациям доменных служб Active Directory в Windows Server 2008 R2

ВВЕДЕНИЕ

Доступно обновление для анализатора соответствия рекомендациям доменных служб Active Directory (AD DS) в Windows Server 2008 R2. Это обновление добавляет восемь новых правил для анализатора соответствия рекомендациям для AD DS. Кроме того, это обновление устраняет проблему с существующим правилом.

Анализатор соответствия рекомендациям для доменных служб Active Directory

Анализатор соответствия рекомендациям для доменных служб Active Directory поможет вам реализовать рекомендации в конфигурации домена. После установки анализатора соответствия рекомендациям для доменных служб Active Directory на контроллерах домена под управлением Windows Server 2008 R2 анализатор соответствия рекомендациям проверит роль сервера доменных служб Active Directory и сообщит о нарушениях рекомендаций. Вы можете отфильтровать и исключить результаты из анализатора соответствия рекомендациям из доменных служб Active Directory, которые вам не нужны. Вы также можете выполнить задачи анализатора соответствия рекомендациям доменных служб Active Directory с помощью графического интерфейса пользователя (GUI) диспетчера серверов или командлетов для интерфейса командной строки Windows PowerShell.

Правила, измененные данным обновлением

Это обновление добавляет или обновляет указанные ниже правила в анализаторе соответствия рекомендациям доменных служб Active Directory.

Учетные записи пользователей и доверительные отношения не должны быть настроены на шифрование только с помощью алгоритма DES.
Назначение прав пользователя "доступ к компьютеру из сети" должно быть предоставлено следующим группам безопасности на всех контроллерах домена:
- Прошедшие проверку
- Встроенные администраторы
- Контроллер домена предприятия
Назначение прав пользователя "запретить доступ к этому компьютеру из сети" не должно предоставляться следующим группам безопасности на всех контроллерах домена:
- Пользователю
- Прошедшие проверку
- Встроенные администраторы
- Контроллер домена предприятия
Убедитесь в том, что объекты групповой политики для политики контроллеров домена по умолчанию связаны со всеми объектами компьютера контроллера домена, даже если некоторые объекты компьютера не находятся во встроенном подразделении контроллеров домена .
Роль хозяина инфраструктуры и роль глобального каталога (GC) не следует включать на одном и том же сервере. Однако эти роли можно включить на одном и том же сервере, если выполняется одно из указанных ниже условий.
- В лесу есть только один контроллер домена.
- Все контроллеры домена в лесу являются серверами глобального каталога.
Для всех внешних объектов доверия в домене должна быть включена функция фильтрации SID. Дополнительные сведения о фильтрации SID можно найти на веб-сайте корпорации Майкрософт по следующему адресу:

Общие сведения о фильтрации SID

Проблема, исправленная в существующем правиле

Следующее правило неправильно применено к записи MaxPosPhaseCorrection:

Значение элемента MaxNegPhaseCorrection на контроллере домена должно быть равно 48 часов.

Перед тем как приступить к установке этого обновления, неверно указан путь в реестре в следующем расположении:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionПосле применения этого обновления путь к реестру будет исправлен в следующем расположении:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Дополнительная информация

Сведения об обновлении

Получение обновления

Это обновление доступно на веб-сайте центра обновления Майкрософт:

http://update.microsoft.comСледующий файл доступен для скачивания из центра загрузки Майкрософт: Download Download the update package now.Скачайте пакет обновления прямо сейчас. Для получения дополнительных сведений о том, как загрузить файлы поддержки Microsoft, щелкните следующий номер статьи базы знаний Майкрософт:

119591 Как скачать файлы поддержки Майкрософт через веб-службыЭтот файл был проверен корпорацией Майкрософт на наличие вирусов. Корпорация Майкрософт использует самые последние на момент публикации файла версии антивирусного программного обеспечения. Файл хранится на защищенных серверах, что предотвращает его несанкционированное изменение.

Предварительные условия

Чтобы установить это обновление, необходимо запустить Windows Server 2008 R2. Кроме того, на компьютере должна быть установлена роль сервера доменных служб Active Directory (AD DS).

Сведения о внесении изменений в реестр

Чтобы использовать обновление из этого пакета, не требуется вносить изменения в реестр.

Требование перезагрузки

После установки этого обновления может потребоваться перезагрузить компьютер.

Сведения о замене обновлений

Это обновление не заменяет ранее выпущенное обновление.

Ссылки

Дополнительные сведения об анализаторе соответствия рекомендациям для AD DS можно найти на веб-сайте корпорации Майкрософт по следующему адресу:

Общие сведения об анализаторе соответствия рекомендациям для доменных служб Active DirectoryДополнительные сведения о том, как выполнить поиск в анализаторе соответствия рекомендациям, можно найти на веб-сайте корпорации Майкрософт по следующему адресу:

Запуск и фильтрация сканирований в анализаторе соответствия рекомендациям