Jump to content

GPO Domaincontroller

carnivore

Von carnivore
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

carnivore Experienced

carnivore   10

Geschrieben
Geschrieben (bearbeitet)

Hallo,

Ich möchte eine wichtige SecurityOption per GPO domänenweit hoch setzen. (LanManager Authentication Level)

 

Genügt es dieses Setting nur in einer GPO auf oberster Domänenebene zu setzen, oder muss/ sollte man es ebenso in einer GPO auf der OU "Domain Controllers" zu setzen.

Oder nur auf "Domain Controllers"?

 

Merci

carnivore

bearbeitet von carnivore
ChrisRa Experienced

ChrisRa   42

Geschrieben
Geschrieben (bearbeitet)

GPO genügt auf oberster Domänenebene deiner Clients. Ab 2008 R2 ist NTLMv2 only auf den Servern sowieso Standard.

 

Was willst du damit erreichen? Die Clients würden sowieso auf NTLMv2 switchen.

bearbeitet von ChrisRa
NorbertFe Grand Master

NorbertFe   2.277

Geschrieben
Geschrieben

Ich würd die Default Domain Controller Policy trotzdem noch prüfen. Kann ja sein, dass dort auf der Ebene vor "Jahren" mal jemand was konfiguriert hat. Abgesehen davon bin ich oft dafür, etwas wie oben genannt auch durchzusetzen und den Fallback auf alte Protokolle zu verhindern.

ChrisRa Experienced

ChrisRa   42

Geschrieben
Geschrieben

Dann sollte man sich aber auch dessen bewusst sein, dass es eventuell kritisch werden kann, wenn die NTLMv2 Authentifizierung auch Probleme verursacht.

 

Aber grundsätzlich hast du natürlich recht. Dokumentation schafft Abhilfe.

carnivore Experienced

carnivore   10

Geschrieben
  • Autor
Geschrieben

Danke!

 

Ich will

Send NTLMv2 response only\refuse LM & NTLM

überall durchsetzen

 

Ich habe eben auch diesen Artikel gefunden, der deine Aussage bestätigt.

https://technet.microsoft.com/en-us/library/dd378987(v=ws.10).aspx

 

Changes in settings to domain security policy should always be made to the Default Domain Policy GPO. Changes in settings to domain controller security policy for User Rights Assignment and Audit Policy must be made to the default GPO, rather than to a newly created GPO.

 

Dass "Security changes" ausschließlich in der "Default Domain Policy" gesetzt werden sollen, verwundert mich jetzt. Aber egal!

 

Merci

carnivore

daabm Grand Master

daabm   1.428

Geschrieben
Geschrieben

Die Aussage ist Quatsch - sorry :) War schon immer besser, eine eigene Domain Policy zu machen und die über die DDP zu schieben. Schon alleine, weil Änderungen im Domain NC in die DDP zurückfließen...

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...