carnivore 10 Geschrieben 13. Juni 2016 Melden Teilen Geschrieben 13. Juni 2016 (bearbeitet) Hallo, Ich möchte eine wichtige SecurityOption per GPO domänenweit hoch setzen. (LanManager Authentication Level) Genügt es dieses Setting nur in einer GPO auf oberster Domänenebene zu setzen, oder muss/ sollte man es ebenso in einer GPO auf der OU "Domain Controllers" zu setzen. Oder nur auf "Domain Controllers"? Merci carnivore bearbeitet 13. Juni 2016 von carnivore Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 13. Juni 2016 Melden Teilen Geschrieben 13. Juni 2016 (bearbeitet) GPO genügt auf oberster Domänenebene deiner Clients. Ab 2008 R2 ist NTLMv2 only auf den Servern sowieso Standard. Was willst du damit erreichen? Die Clients würden sowieso auf NTLMv2 switchen. bearbeitet 13. Juni 2016 von ChrisRa Zitieren Link zu diesem Kommentar
NorbertFe 1.826 Geschrieben 13. Juni 2016 Melden Teilen Geschrieben 13. Juni 2016 Ich würd die Default Domain Controller Policy trotzdem noch prüfen. Kann ja sein, dass dort auf der Ebene vor "Jahren" mal jemand was konfiguriert hat. Abgesehen davon bin ich oft dafür, etwas wie oben genannt auch durchzusetzen und den Fallback auf alte Protokolle zu verhindern. Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 13. Juni 2016 Melden Teilen Geschrieben 13. Juni 2016 Dann sollte man sich aber auch dessen bewusst sein, dass es eventuell kritisch werden kann, wenn die NTLMv2 Authentifizierung auch Probleme verursacht. Aber grundsätzlich hast du natürlich recht. Dokumentation schafft Abhilfe. Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 13. Juni 2016 Autor Melden Teilen Geschrieben 13. Juni 2016 Danke! Ich will Send NTLMv2 response only\refuse LM & NTLM überall durchsetzen Ich habe eben auch diesen Artikel gefunden, der deine Aussage bestätigt. https://technet.microsoft.com/en-us/library/dd378987(v=ws.10).aspx Changes in settings to domain security policy should always be made to the Default Domain Policy GPO. Changes in settings to domain controller security policy for User Rights Assignment and Audit Policy must be made to the default GPO, rather than to a newly created GPO. Dass "Security changes" ausschließlich in der "Default Domain Policy" gesetzt werden sollen, verwundert mich jetzt. Aber egal! Merci carnivore Zitieren Link zu diesem Kommentar
daabm 1.189 Geschrieben 13. Juni 2016 Melden Teilen Geschrieben 13. Juni 2016 Die Aussage ist Quatsch - sorry :) War schon immer besser, eine eigene Domain Policy zu machen und die über die DDP zu schieben. Schon alleine, weil Änderungen im Domain NC in die DDP zurückfließen... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.