SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

ダウンレベルクライアントに影響するグループポリシー

leave a comment

Windows Server 2003 のドメインコントローラーを使用している場合にダウレベルクライアントで
影響が出そうなグループポリシーをメモ
# グループポリシーに KB823659 へのリンクが表示されていたものです。

グループポリシー 設定値
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う
  • 有効
  • 無効
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う
  • 有効
  • 無効
ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする
  • 有効
  • 無効
ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する
  • 有効
  • 無効
ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない
  • 有効
  • 無効
ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない
  • 有効
  • 無効
ネットワーク アクセス: 匿名の SID と名前の変換を許可する
  • 有効
  • 無効
ネットワーク セキュリティ: LAN Manager 認証レベル
  • LM と NTLM 応答を送信する
  • LM と NTLM を送信する – ネゴシエーションの場合、NTLMv2 セッション セキュリティ
  • NTLM 応答のみ送信する
  • NTLMv2 応答のみ送信する
  • NTLMv2 応答のみ送信する (LM を拒否する)
  • NTLMv2 応答のみ送信する (LM と NTLM を拒否する)
ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント
  • なし
  • ネゴシエーション署名
  • 必須署名
監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする
  • 有効
  • 無効

セキュリティ的に問題ないかは別にして、これらの設定をドメインコントローラにしておけば、
95 / 98 / NT 4.0 SP3 以前がログインできないという現象は回避できそうです。

ダウンレベルクライアントがなくなったら設定を戻しましょうという但し書きをしたうえで設定しておこう。

Share

Written by Masayuki.Ozawa

6月 23rd, 2009 at 11:25 am

Posted in Active Directory

Leave a Reply