Cập Nhật cho các quy tắc phân tích tốt nhất của AD DS trong Windows Server 2008 R2

GIỚI THIỆU

Bản cập nhật sẵn dùng cho các dịch vụ tên miền Active Directory (AD DS) thực hành tốt nhất phân tích trong Windows Server 2008 R2. Bản cập nhật này thêm tám quy tắc mới vào phân tích các thực hành tốt nhất cho AD DS. Ngoài ra, bản cập nhật này khắc phục sự cố trong quy tắc hiện có.

Phân tích các thực hành tốt nhất trong AD DS

Trình phân tích các thực hành AD DS tốt nhất có thể giúp bạn thực hiện các cách thực hành tốt nhất trong cấu hình miền của bạn. Sau khi bạn cài đặt trình phân tích các thực hành AD DS tốt nhất trên bộ điều khiển tên miền đang chạy Windows Server 2008 R2, các biện pháp phân tích tốt nhất sẽ quét vai trò máy chủ AD DS và các báo cáo vi phạm thực hành tốt nhất. Bạn có thể lọc hoặc loại trừ kết quả từ các báo cáo phân tích các thực hành tốt nhất của AD DS mà bạn không cần. Bạn cũng có thể thực hiện các tác vụ phân tích tốt nhất của AD DS bằng cách sử dụng giao diện người dùng đồ họa quản lý máy chủ (GUI) hoặc bằng cách sử dụng lệnh ghép ngắn cho giao diện dòng lệnh Windows PowerShell.

Các quy tắc được thay đổi bởi bản cập nhật này

Bản cập nhật này thêm hoặc cập nhật các quy tắc sau trong trình phân tích các thực hành tốt nhất trong AD DS:

  1. Tài khoản người dùng và tin cậy không nên được cấu hình cho mã hóa "DES-only".

  2. "Access this Computer from the Network" quyền người dùng phải được cấp cho các nhóm bảo mật sau đây trên tất cả các bộ điều khiển tên miền:

    • Người dùng đã xác thực

    • Người quản trị tích hợp sẵn

    • Bộ điều khiển tên miền doanh nghiệp

    "Từ chối quyền truy nhập vào máy tính này từ mạng" quyền người dùng phải không được cấp cho các nhóm bảo mật sau đây trên tất cả các bộ điều khiển tên miền:

    • Cả

    • Người dùng đã xác thực

    • Người quản trị tích hợp sẵn

    • Bộ điều khiển tên miền doanh nghiệp

  3. Xác thực rằng đối tượng chính sách Nhóm điều khiển tên miền mặc định (GPO) được nối kết với tất cả các đối tượng máy tính điều khiển tên miền ngay cả khi một số đối tượng máy tính không nằm trong đơn vị tổ chức bộ điều khiển tên miền tích hợp sẵn.

  4. Vai trò chính của cơ sở hạ tầng và vai trò của danh mục toàn cầu (GC) không nên được bật trên cùng một máy chủ. Tuy nhiên, các vai trò này có thể được kích hoạt trên cùng một máy chủ khi một trong các điều kiện sau đây là đúng:

    • Chỉ có một bộ điều khiển tên miền tồn tại trong rừng.

    • Tất cả các bộ điều khiển tên miền trong rừng đều là máy chủ danh mục toàn cầu.

  5. Tất cả các đối tượng tin cậy bên ngoài trong một tên miền phải được bật tính năng bộ lọc SID. Để biết thêm thông tin về việc lọc SID, hãy ghé thăm web site sau của Microsoft:

Một sự cố đã khắc phục trong quy tắc hiện có

Quy tắc sau đây được áp dụng không chính xác cho mục nhập MaxPosPhaseCorrection:

  • Giá trị của mục nhập Maxnegphasecorrection trên bộ điều khiển tên miền phải bằng 48 giờ.

Trước khi bạn áp dụng bản cập nhật này, đường dẫn đăng ký được đặt sai đến vị trí sau đây:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionSau khi bạn áp dụng bản cập nhật này, đường dẫn đăng ký được sửa vào vị trí sau đây:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Thông tin Bổ sung

Thông tin cập nhật

Cách nhận bản cập nhật này

Bản cập nhật này sẵn dùng từ web site Microsoft Update:

Tệp sau đây sẵn dùng để tải xuống từ Trung tâm tải xuống của Microsoft:Download tải xuống gói cập nhật ngay bây giờ. Để biết thêm thông tin về cách tải xuống các tệp hỗ trợ của Microsoft, hãy bấm số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

Cách lấy tệp hỗ trợ của Microsoft từ dịch vụ trực tuyếnMicrosoft đã quét vi-rút cho tệp này. Microsoft đã sử dụng phần mềm phát hiện vi-rút cập nhật nhất sẵn có tại thời điểm tệp được đăng. Tệp được lưu trên máy chủ được tăng cường bảo mật giúp ngăn chặn mọi thay đổi trái phép đối với tệp.

Điều kiện tiên quyết

Để áp dụng bản cập nhật này, bạn phải chạy Windows Server 2008 R2. Ngoài ra, bạn phải có vai trò máy chủ Dịch vụ miền Active Directory (AD DS) được cài đặt trên máy tính.

Thông tin sổ đăng ký

Để sử dụng bản cập nhật trong gói này, bạn không cần thực hiện bất kỳ thay đổi nào đối với sổ đăng ký.

Yêu cầu khởi động lại

Bạn có thể phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.

Thông tin về thay thế bản cập nhật

Bản cập nhật này không thay thế bản cập nhật đã phát hành trước đó.

Tham khảo

Để biết thêm thông tin về việc phân tích các thực hành tốt nhất của AD DS, hãy ghé thăm web site sau của Microsoft:

Để biết thêm thông tin về cách quét trong phân tích các biện pháp tốt nhất, hãy ghé thăm web site sau của Microsoft:

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×