การอัปเดตสำหรับกฎการวิเคราะห์วิธีปฏิบัติที่ดีที่สุดของ AD DS ใน Windows Server ๒๐๐๘ R2

นำไปใช้กับ: Windows Server 2008 R2

ข้อความนำ


การอัปเดตพร้อมใช้งานสำหรับตัววิเคราะห์วิธีปฏิบัติที่ดีที่สุดของ Active Directory Domain Services (AD DS) ใน Windows Server ๒๐๐๘ R2 การอัปเดตนี้เพิ่ม8กฎใหม่ให้กับตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดสำหรับ AD DS นอกจากนี้การอัปเดตนี้แก้ไขปัญหาในกฎที่มีอยู่แล้ว

ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS

AD DS ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดสามารถช่วยให้คุณใช้แนวทางปฏิบัติที่ดีที่สุดในการกำหนดค่าโดเมนของคุณ หลังจากที่คุณติดตั้งตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS บนตัวควบคุมโดเมนที่ใช้ Windows Server ๒๐๐๘ R2 ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดจะสแกนบทบาทของเซิร์ฟเวอร์ AD DS และรายงานการละเมิดแนวทางปฏิบัติที่ดีที่สุด คุณสามารถกรองหรือไม่รวมผลลัพธ์จากรายงานตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS ที่คุณไม่ต้องการ คุณยังสามารถทำงานตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดของ AD DS ได้โดยใช้ส่วนติดต่อผู้ใช้แบบกราฟิกของตัวจัดการเซิร์ฟเวอร์ (GUI) หรือโดยการใช้ cmdlets สำหรับอินเทอร์เฟซสำหรับบรรทัดคำสั่งของ Windows PowerShell

กฎที่มีการเปลี่ยนแปลงโดยการอัปเดตนี้

การอัปเดตนี้เพิ่มหรืออัปเดตในกฎต่อไปนี้ใน AD DS ตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุด:
  1. บัญชีผู้ใช้และความเชื่อถือไม่ควรถูกกำหนดค่าสำหรับการเข้ารหัสลับ "DES only"
  2. ผู้ใช้ที่ได้รับมอบหมายสิทธิ์การใช้งาน "เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย" จะได้รับมอบหมายให้กับกลุ่มความปลอดภัยต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด:
    • ผู้ใช้ที่รับรองความถูกต้อง
    • ผู้ดูแลระบบที่มีอยู่แล้วภายใน
    • ตัวควบคุมโดเมนขององค์กร
    ไม่ควรให้สิทธิ์ "ปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย" ที่กำหนดสิทธิ์การใช้งานที่ถูกต้องให้กับกลุ่มความปลอดภัยต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด:
    • ทุกคน
    • ผู้ใช้ที่รับรองความถูกต้อง
    • ผู้ดูแลระบบที่มีอยู่แล้วภายใน
    • ตัวควบคุมโดเมนขององค์กร
  3. ตรวจสอบความถูกต้องของโดเมนเริ่มต้น domain policy object policy OBJECT (GPO) ถูกลิงก์ไปยังวัตถุคอมพิวเตอร์ตัวควบคุมโดเมนทั้งหมดแม้ว่าวัตถุคอมพิวเตอร์บางวัตถุไม่ได้อยู่ในหน่วยขององค์กรตัวควบคุมโดเมนที่มีอยู่แล้วภายใน
  4. บทบาทหลักของโครงสร้างพื้นฐานและบทบาทของแค็ตตาล็อกส่วนกลาง (GC) ไม่ควรเปิดใช้งานบนเซิร์ฟเวอร์เดียวกัน อย่างไรก็ตามบทบาทเหล่านี้สามารถเปิดใช้งานบนเซิร์ฟเวอร์เดียวกันได้เมื่อมีเงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้:
    • มีตัวควบคุมโดเมนเดียวเท่านั้นที่มีอยู่ในฟอเรสต์
    • ตัวควบคุมโดเมนทั้งหมดในฟอเรสต์คือเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง
  5. วัตถุเชื่อถือภายนอกทั้งหมดในโดเมนต้องมีการเปิดใช้งานฟีเจอร์การกรอง SID สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกรอง SID แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

ปัญหาที่ได้รับการแก้ไขในกฎที่มีอยู่

กฎต่อไปนี้จะถูกนำไปใช้อย่างไม่ถูกต้องไปยังรายการ MaxPosPhaseCorrection:
  • ค่าของรายการMaxNegPhaseCorrectionบนตัวควบคุมโดเมนควรเท่ากับ๔๘ชั่วโมง
ก่อนที่คุณจะใช้การอัปเดตนี้เส้นทางรีจิสทรีจะถูกตั้งค่าเป็นตำแหน่งที่ตั้งต่อไปนี้อย่างไม่ถูกต้อง:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
หลังจากที่คุณใช้การอัปเดตนี้เส้นทางรีจิสทรีจะได้รับการแก้ไขไปยังตำแหน่งที่ตั้งต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

ข้อมูลเพิ่มเติม


ข้อมูลการปรับปรุง

วิธีขอรับการปรับปรุงนี้

การอัปเดตนี้พร้อมใช้งานจาก Microsoft Update เว็บไซต์:ไฟล์ต่อไปนี้จะพร้อมใช้งานสำหรับการดาวน์โหลดจากศูนย์ดาวน์โหลดของไมโครซอฟท์:Download Download the update package now.ดาวน์โหลดแพคเกจการอัปเดตในขณะนี้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดไฟล์สนับสนุนของไมโครซอฟท์ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ microsoft:
119591 วิธีการขอรับไฟล์สนับสนุนของ Microsoft จากบริการออนไลน์
Microsoft สแกนไฟล์นี้สำหรับไวรัส Microsoft ใช้ซอฟต์แวร์ตรวจจับไวรัสล่าสุดที่พร้อมใช้งานในวันที่ที่มีการโพสต์ไฟล์ ไฟล์จะถูกเก็บไว้บนเซิร์ฟเวอร์ที่สนับสนุนการรักษาความปลอดภัยซึ่งช่วยป้องกันการเปลี่ยนแปลงใดๆที่ไม่ได้รับอนุญาตไปยังไฟล์

ข้อกำหนดเบื้องต้น

เมื่อต้องการใช้การอัปเดตนี้คุณต้องใช้ Windows Server ๒๐๐๘ R2 นอกจากนี้คุณต้องมีบทบาทเซิร์ฟเวอร์บริการโดเมนของ Active Directory (AD DS) ที่ติดตั้งอยู่บนคอมพิวเตอร์

ข้อมูลรีจิสทรี

ถ้าต้องการใช้โปรแกรมอัปเดตในแพ็คเกจนี้ คุณไม่จำเป็นต้องแก้ไขรีจิสทรี

ความต้องการในการเริ่มระบบใหม่

คุณอาจต้องเริ่มการทำงานของคอมพิวเตอร์ใหม่หลังจากที่คุณใช้การอัปเดตนี้

ข้อมูลการทดแทนโปรแกรมอัปเดต

การปรับปรุงนี้ไม่ได้แทนที่การปรับปรุงซอฟต์แวร์ก่อนหน้า

อ้างอิง


สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการวิเคราะห์วิธีปฏิบัติที่ดีที่สุดของ AD DS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสแกนในตัววิเคราะห์แนวทางปฏิบัติที่ดีที่สุดแวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft: