简介
Windows Server 2008 R2 中有适用于 Active Directory 域服务(AD DS)最佳做法分析器的更新。 此更新向 AD DS 的最佳做法分析器添加八条新规则。 此外,此更新修复了现有规则中的问题。
AD DS 最佳做法分析器
AD DS 最佳做法分析器可帮助你在域配置中实现最佳做法。 在运行 Windows Server 2008 R2 的域控制器上安装 AD DS 最佳做法分析器后,最佳做法分析器会扫描 AD DS 服务器角色并报告最佳做法违规。 你可以从不需要的广告 DS 最佳做法分析器报告中筛选或排除结果。 你还可以通过使用服务器管理器图形用户界面(GUI)或使用 Windows PowerShell 命令行界面 cmdlet 执行 AD DS 最佳做法分析器任务。
此更新更改的规则
此更新在 AD DS 最佳做法分析器中添加或更新以下规则:
-
不应将用户帐户和信任配置为 "仅 DES" 加密。
-
"从网络访问此计算机" 用户权限分配应授予所有域控制器上的以下安全组:
-
经过身份验证的用户
-
内置管理员
-
企业域控制器
"拒绝从网络访问此计算机" 用户权限分配不应授予所有域控制器上的以下安全组:
-
人均
-
经过身份验证的用户
-
内置管理员
-
企业域控制器
-
-
验证默认域控制器策略组策略对象(GPO)是否链接到所有域控制器计算机对象(即使某些计算机对象不在内置的域控制器组织单位中)。
-
不应在同一台服务器上启用基础结构主机角色和全局编录(GC)角色。 但是,当满足下列条件之一时,可以在同一台服务器上启用这些角色:
-
林中仅存在一个域控制器。
-
林中的所有域控制器都是全局编录服务器。
-
-
域中的所有外部信任对象都必须启用 SID 筛选功能。有关 SID 筛选的详细信息,请访问下面的 Microsoft 网站:
现有规则中修复的问题
以下规则未正确应用于 MaxPosPhaseCorrection 条目:
-
域控制器上的MaxNegPhaseCorrection条目的值应等于48小时。
在应用此更新之前,注册表路径被错误地设置到了以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection应用此更新后,注册表路径将更正到以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
更多信息
更新信息
如何获取此更新
此更新可从 Microsoft Update 网站获取:
http://update.microsoft.com以下文件可从 Microsoft 下载中心下载: 
119591 如何从联机服务获取 Microsoft 支持文件Microsoft 已对该文件进行病毒扫描。 Microsoft 使用的是文件发布时可以获得的最新病毒检测软件。 该文件存储在安全性得到增强的服务器上,以防止对文件进行未经授权的更改。
先决条件
若要应用此更新,必须运行 Windows Server 2008 R2。 此外,你必须在计算机上安装 Active Directory 域服务(AD DS)服务器角色。
注册表信息
无需对注册表进行任何更改,即可使用此程序包中的更新。
重启要求
应用此更新后可能需要重启计算机。
更新替换信息
此更新不替代以前发布的更新。
参考
有关 AD DS 最佳做法分析器的详细信息,请访问下面的 Microsoft 网站:
有关 AD DS 最佳做法分析器的常规信息有关如何在最佳做法分析器中进行扫描的详细信息,请访问下面的 Microsoft 网站:
