Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

GIỚI THIỆU

Bản cập nhật sẵn dùng cho các dịch vụ tên miền Active Directory (AD DS) thực hành tốt nhất phân tích trong Windows Server 2008 R2. Bản cập nhật này thêm tám quy tắc mới vào phân tích các thực hành tốt nhất cho AD DS. Ngoài ra, bản cập nhật này khắc phục sự cố trong quy tắc hiện có.

Phân tích các thực hành tốt nhất trong AD DS

Trình phân tích các thực hành AD DS tốt nhất có thể giúp bạn thực hiện các cách thực hành tốt nhất trong cấu hình miền của bạn. Sau khi bạn cài đặt trình phân tích các thực hành AD DS tốt nhất trên bộ điều khiển tên miền đang chạy Windows Server 2008 R2, các biện pháp phân tích tốt nhất sẽ quét vai trò máy chủ AD DS và các báo cáo vi phạm thực hành tốt nhất. Bạn có thể lọc hoặc loại trừ kết quả từ các báo cáo phân tích các thực hành tốt nhất của AD DS mà bạn không cần. Bạn cũng có thể thực hiện các tác vụ phân tích tốt nhất của AD DS bằng cách sử dụng giao diện người dùng đồ họa quản lý máy chủ (GUI) hoặc bằng cách sử dụng lệnh ghép ngắn cho giao diện dòng lệnh Windows PowerShell.

Các quy tắc được thay đổi bởi bản cập nhật này

Bản cập nhật này thêm hoặc cập nhật các quy tắc sau trong trình phân tích các thực hành tốt nhất trong AD DS:

  1. Tài khoản người dùng và tin cậy không nên được cấu hình cho mã hóa "DES-only".

  2. "Access this Computer from the Network" quyền người dùng phải được cấp cho các nhóm bảo mật sau đây trên tất cả các bộ điều khiển tên miền:

    • Người dùng đã xác thực

    • Người quản trị tích hợp sẵn

    • Bộ điều khiển tên miền doanh nghiệp

    "Từ chối quyền truy nhập vào máy tính này từ mạng" quyền người dùng phải không được cấp cho các nhóm bảo mật sau đây trên tất cả các bộ điều khiển tên miền:

    • Cả

    • Người dùng đã xác thực

    • Người quản trị tích hợp sẵn

    • Bộ điều khiển tên miền doanh nghiệp

  3. Xác thực rằng đối tượng chính sách Nhóm điều khiển tên miền mặc định (GPO) được nối kết với tất cả các đối tượng máy tính điều khiển tên miền ngay cả khi một số đối tượng máy tính không nằm trong đơn vị tổ chức bộ điều khiển tên miền tích hợp sẵn.

  4. Vai trò chính của cơ sở hạ tầng và vai trò của danh mục toàn cầu (GC) không nên được bật trên cùng một máy chủ. Tuy nhiên, các vai trò này có thể được kích hoạt trên cùng một máy chủ khi một trong các điều kiện sau đây là đúng:

    • Chỉ có một bộ điều khiển tên miền tồn tại trong rừng.

    • Tất cả các bộ điều khiển tên miền trong rừng đều là máy chủ danh mục toàn cầu.

  5. Tất cả các đối tượng tin cậy bên ngoài trong một tên miền phải được bật tính năng bộ lọc SID. Để biết thêm thông tin về việc lọc SID, hãy ghé thăm web site sau của Microsoft:

    Thông tin chung về bộ lọc SID

Một sự cố đã khắc phục trong quy tắc hiện có

Quy tắc sau đây được áp dụng không chính xác cho mục nhập MaxPosPhaseCorrection:

  • Giá trị của mục nhập Maxnegphasecorrection trên bộ điều khiển tên miền phải bằng 48 giờ.

Trước khi bạn áp dụng bản cập nhật này, đường dẫn đăng ký được đặt sai đến vị trí sau đây:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionSau khi bạn áp dụng bản cập nhật này, đường dẫn đăng ký được sửa vào vị trí sau đây:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

Thông tin Bổ sung

Thông tin cập nhật

Cách nhận bản cập nhật này

Bản cập nhật này sẵn dùng từ web site Microsoft Update:

http://update.microsoft.comTệp sau đây sẵn dùng để tải xuống từ Trung tâm tải xuống của Microsoft:DownloadDownload the update package now.tải xuống gói cập nhật ngay bây giờ. Để biết thêm thông tin về cách tải xuống các tệp hỗ trợ của Microsoft, hãy bấm số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

119591 Cách lấy tệp hỗ trợ của Microsoft từ dịch vụ trực tuyếnMicrosoft đã quét vi-rút cho tệp này. Microsoft đã sử dụng phần mềm phát hiện vi-rút cập nhật nhất sẵn có tại thời điểm tệp được đăng. Tệp được lưu trên máy chủ được tăng cường bảo mật giúp ngăn chặn mọi thay đổi trái phép đối với tệp.

Điều kiện tiên quyết

Để áp dụng bản cập nhật này, bạn phải chạy Windows Server 2008 R2. Ngoài ra, bạn phải có vai trò máy chủ Dịch vụ miền Active Directory (AD DS) được cài đặt trên máy tính.

Thông tin sổ đăng ký

Để sử dụng bản cập nhật trong gói này, bạn không cần thực hiện bất kỳ thay đổi nào đối với sổ đăng ký.

Yêu cầu khởi động lại

Bạn có thể phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.

Thông tin về thay thế bản cập nhật

Bản cập nhật này không thay thế bản cập nhật đã phát hành trước đó.

Tham khảo

Để biết thêm thông tin về việc phân tích các thực hành tốt nhất của AD DS, hãy ghé thăm web site sau của Microsoft:

Thông tin chung về phân tích các thực hành tốt nhất về AD DSĐể biết thêm thông tin về cách quét trong phân tích các biện pháp tốt nhất, hãy ghé thăm web site sau của Microsoft:

Cách chạy hoặc lọc quét trong phân tích các biện pháp tốt nhất

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×