簡介
Windows Server 2008 R2 中的 Active Directory 網域服務(AD DS)最佳做法分析程式有可用的更新。 此更新會在 AD DS 的最佳做法分析程式中新增八個新規則。 此外,此更新修正現有規則中的問題。
AD DS 最佳做法分析程式
AD DS 最佳做法分析工具可協助您在網域設定中實施最佳做法。 在執行 Windows Server 2008 R2 的網網域控制站上安裝 AD DS 最佳做法分析程式後,最佳做法分析程式會掃描 AD DS 伺服器角色,並報告最佳做法違規。 您可以從您不需要的 AD DS 最佳做法分析程式報告篩選或排除結果。 您也可以使用 Server Manager 圖形使用者介面(GUI)或使用 Windows PowerShell 命令列介面的 Cmdlet 來執行 AD DS 最佳做法分析程式工作。
此更新所變更的規則
此更新會在 AD DS 最佳做法分析工具中新增或更新下列規則:
-
不應針對 "只 DES" 加密來設定使用者帳戶和信任。
-
[從網路存取此電腦] 的使用者權利指派應該授與所有網網域控制站上的下列安全性群組:
-
已驗證使用者
-
內建管理員
-
企業網網域控制站
[拒絕從網路存取此電腦的許可權] 使用者權利指派不應被授與所有網網域控制站上的下列安全性群組:
-
人員
-
已驗證使用者
-
內建管理員
-
企業網網域控制站
-
-
驗證 [預設網網域控制站原則] 群組原則物件(GPO)是否已連結至所有網網域控制站電腦物件(即使某些電腦物件不在內建網網域控制站組織單位中)。
-
基礎結構主機角色和全域編目(GC)角色不應該在同一台伺服器上啟用。 不過,當下列其中一個條件成立時,可以在同一個伺服器上啟用這些角色:
-
林中只有一個網網域控制站存在。
-
樹林中的所有網網域控制站都是通用類別目錄伺服器。
-
-
網域中的所有外部信任物件都必須啟用 SID 篩選功能。如需 SID 篩選的詳細資訊,請造訪下列 Microsoft 網站:
現有規則中修正的問題
下列規則無法正確套用至 MaxPosPhaseCorrection 專案:
-
網網域控制站上的MaxNegPhaseCorrection專案值應該等於48小時。
在您套用此更新之前,系統會將登錄路徑錯誤地設定為下列位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection在您套用此更新之後,登錄路徑會修正到下列位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
其他相關資訊
更新資訊
如何取得此更新
此更新可從 Microsoft Update 網站取得:
http://update.microsoft.com下列檔案可從 Microsoft 下載中心下載: 
119591 如何從線上服務取得 Microsoft 支援檔案Microsoft 已對此檔案進行病毒掃描。 Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案。 檔案會儲存在安全性強化的伺服器上,以避免任何未經授權的變更。
先決條件
若要套用此更新,您必須執行 Windows Server 2008 R2。 此外,您必須在電腦上安裝 Active Directory 網域服務(AD DS)伺服器角色。
登錄資訊
若要使用此套件中的更新,您不需要對註冊表進行任何變更。
重新啟動需求
套用這個更新之後,您必須重新啟動電腦。
更新取代資訊
此更新不會取代任何先前發行的更新。
參考
如需有關 AD DS 最佳做法分析程式的詳細資訊,請造訪下列 Microsoft 網站:
有關 AD DS 最佳做法分析程式的一般資訊如需如何在最佳做法分析程式中掃描的詳細資訊,請流覽下列 Microsoft 網站:
