Оновлення правил аналізатора практичних рекомендацій для AD DS в ОС Windows Server 2008 R2

Застосовується до: Windows Server 2008 R2

ОСНОВНІ ВІДОМОСТІ


У Windows Server 2008 R2 буде доступна оновлена версія служб для служби доменів Active Directory (AD DS). Це оновлення додає вісім нових правил для аналізу рекомендацій для AD DS. Крім того, це оновлення усуває проблему в наявному правилі.

Аналізатор спеціальних практик AD DS

Аналізатор спеціальних практик AD DS може допомогти вам реалізувати практичні поради в конфігурації домену. Коли ви інсталюєте аналізатор спеціальних практик AD DS на контролерах домену, на якому запущено Windows Server 2008 R2, аналіз передового досвіду сканує роль сервера AD DS і звіти про кращі порушення практики. Ви можете фільтрувати або виключити результати в звітах про практичні поради з аналізу AD DS, які вам не потрібні. Ви також можете виконувати завдання аналізатора спеціальних практик AD DS за допомогою графічного інтерфейсу користувача, який використовує графічний інтерфейс (GUI), або за допомогою командлетів для інтерфейсу командного рядка Windows PowerShell.

Правила, змінені за допомогою цього оновлення

Це оновлення додає або оновлює наведені нижче правила в аналізаторі "практичні поради AD DS":
  1. Облікові записи користувачів і трасти не можна настроювати для шифрування "лише для DES".
  2. Для всіх контролерів доменів має бути надано права на доступ до цього комп'ютера з мережі, а також наведені нижче групи безпеки.
    • Автентифіковані користувачі
    • Вбудовані адміністратори
    • Контроллер корпоративного контролера домену
    У розділі "заборонити доступ до цього комп'ютера від мережі" права користувача не потрібно надавати такі групи безпеки для всіх контролерів доменів:
    • Усі
    • Автентифіковані користувачі
    • Вбудовані адміністратори
    • Контроллер корпоративного контролера домену
  3. Перевірка того, що об'єкти політики групової політики в політиці доменів за замовчуванням (GPO) зв'язані з усіма об'єктами контролера домену, навіть якщо деякі об'єкти на комп'ютері відсутні в організаційній одиниці контролерів домену .
  4. Роль основної інфраструктури та роль глобального каталогу (GC) не можна ввімкнути на тому ж сервері. Проте ці ролі можна ввімкнути на тому ж сервері, коли виконується одна з таких умов:
    • У лісі існує лише один контролер домену.
    • Усі контролери доменів у лісі – це сервери глобального каталогу.
  5. Усі зовнішні цільові об'єкти в домені мають бути ввімкнутими функцією фільтрування SID. Щоб отримати докладніші відомості про фільтрування SID, перейдіть на веб-сайт Microsoft:

Проблема, закріплена в наявному правилі

Наступне правило застосовується неправильно для запису Maxpophecrerection:
  • Значення запису Maxnephecrerection на контролері домену має дорівнювати 48 годин.
Перш ніж використовувати це оновлення, шлях до реєстру неправильно настроєно в такому розташуванні:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
Після інсталяції цього оновлення шлях до реєстру буде виправлено в такому розташуванні:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Додаткові відомості


Відомості про оновлення

Як отримати це оновлення

Це оновлення можна знайти на веб-сайті Microsoft Update:Цей файл доступний для завантаження з центру завантажень Microsoft:Download Download the update package now.завантажити пакет оновлень зараз. Щоб отримати докладні відомості про завантаження файлів служби підтримки Microsoft, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:
119591 Отримання файлів підтримки Microsoft в онлайнових службах
Microsoft перевірено цей файл для вірусів. Корпорація Майкрософт використала найновішу програму виявлення вірусів, доступну на дату публікації файлу. Файл зберігається на серверах з розширеною безпекою, які дають змогу запобігти несанкціонованому внесенню змін до файлу.

Попередні вимоги

Щоб скористатися цим оновленням, потрібно запустити Windows Server 2008 R2. Крім того, на комп'ютері має бути інстальовано роль сервера Active Directory Services (AD DS).

Внесення змін до реєстру

Для використання оновлення в цьому пакеті вносити зміни до реєстру не потрібно.

Необхідність перезавантаження

Після інсталяції цього оновлення може знадобитися перезавантажити комп'ютер.

Відомості про заміну оновлення

Це оновлення не замінить попередньо випущеного раніше оновлення.

Посилання


Щоб отримати докладніші відомості про аналізатор спеціальних практик AD DS, перейдіть на веб-сайт корпорації Майкрософт, виконавши такі дії:Щоб отримати докладні відомості про пошук у аналізаторі рекомендацій, перейдіть на веб-сайт Microsoft: