.single.post-author, Autor: Konstantinos Tsoukalas, Letzte Aktualisierung: 14. November 2025
Wenn nach dem Ändern des „LmCompatibilityLevel“-Werts auf „3“, „4“ oder „5“ dieser automatisch auf „2“ zurückgesetzt wird, lesen Sie die Anweisungen in diesem Tutorial, um das Problem zu beheben.
Ich habe kürzlich die Standarddomänenrichtlinie geändert „Netzwerksicherheit: LAN Manager-Authentifizierungsebene“* (auch bekannt als: „LmCompatibilityLevel“) von „LM-und NTLM-Antworten senden“ zu „Nur NTLMv2-Antworten senden. LM und NTLM ablehnen“.
Aber nach der Anwendung der Richtlinie (mit dem Befehl „gpupdate/force“) habe ich veröffentlicht, dass sich die Richtlinie auf dem/den Domänencontroller(n) wieder in „LM-und NTLM-Antworten senden“ (LmCompatibilityLevel=”2″) ändert.
* Info: Die „LAN Manager Authentication Level“ (auch bekannt als „LmCompatibilityLevel“) definiert das Protokoll, das zur Authentifizierung von Windows-Computern bei einer Active Directory-Domäne oder zur Authentifizierung von Computern verwendet werden soll die keine Windows-Betriebssysteme mit der Domäne ausführen.
In Active Directory-Domänen ist das Kerberos-Protokoll das Standardauthentifizierungsprotokoll. Wenn das Kerberos-Protokoll jedoch aus irgendeinem Grund nicht ausgehandelt wird, verwendet Active Directory LM, NTLM oder NTLM Version 2 (NTLMv2).
Die „LAN Manager-Authentifizierungsebene“ kann auf eine der folgenden Arten geändert werden:
1. Verwenden des Lokalen Gruppenrichtlinien-Editors (gpedit.msc) an diesem Ort:
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen > Netzwerksicherheit: LAN Manager-Authentifizierungsebene
2. Verwenden der Gruppenrichtlinienverwaltung-Konsole (gpmc.msc) des Domänenservers durch Ändern der Standarddomänenrichtlinie an diesem Speicherort:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen > Netzwerksicherheit: LAN Manager-Authentifizierungsebene
3. Über die Registrierung an diesem Speicherort:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Die möglichen Registrierungswerte für die LAN Manager-Authentifizierungsebene (auch bekannt als: „LmCompatibilityLevel“) sind unten zusammen mit der Sicherheitsstufe aufgeführt, die sie bieten. (Quelle):
0=LM-und NTLM-Antworten senden (sehr unsicher) 1=LM und NTLM senden – NTLMv2-Sitzungssicherheit verwenden, falls ausgehandelt (Unsicher) 2=Nur NTLM-Antwort senden (schwache Sicherheit) 3=Nur NTLMv2-Antwort senden (moderate Sicherheit) 4=Nur NTLMv2-Antwort senden. LM ablehnen (starke Sicherheit) 5=Nur NTLMv2-Antwort senden. LM und NTLM ablehnen (Sehr starke Sicherheit – BESTE)
So beheben Sie das Problem: Die „LAN Manager-Authentifizierungsebene“ wird auf dem DOMAIN CONTROLLER (Windows Server 2016/2019) automatisch auf „LM-und NTLM-Antworten senden“ zurückgesetzt.
Wie oben erwähnt, kann die „Netzwerksicherheit: LAN Manager-Authentifizierungsebene“ entweder durch Ändern der lokalen Gruppenrichtlinie festgelegt werden, die Registrierung oder die Standarddomänenrichtlinie.
Aber wenn Sie die Poly „Netzwerksicherheit: LAN Manager-Authentifizierungsebene“ auf einem Domänencontroller ändern möchten, müssen Sie die „Standarddomänencontrollerrichtlinie“ ändern und NICHT die „Standarddomänenrichtlinie“, andernfalls wird die Ebene auf den Standardwert zurückgesetzt („LM-und NTLM-Antworten senden“ oder „LmCompatibilityLevel: 2“). Gehen Sie dazu wie folgt vor:
1. Erweitern Sie in der Gruppenrichtlinienverwaltung-Konsole (gpmc.msc) unter Domänen > IHRE DOMAIN Domänencontroller und Bearbeiten Sie dann die Standardrichtlinie für Domänencontroller
2a. Navigieren Sie nun zu diesem Speicherort:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
2b. Öffnen Sie die Richtlinie „Netzwerksicherheit: LAN Manager-Authentifizierungsebene“.
3. Wählen Sie Diese Richtlinieneinstellung definieren und ändern Sie dann unten die NTLM-Authentifizierungsebene entsprechend Ihren Anforderungen Wenn Sie fertig sind, klicken Sie auf Übernehmen > OK und schließen Sie die Gruppenrichtlinienverwaltung.
4. Führen Sie abschließend „gpupdate/force“ aus, um die Richtlinie anzuwenden Und schon sind Sie fertig!
Das war’s! Lassen Sie mich wissen, ob dieser Leitfaden Ihnen geholfen hat, indem Sie Ihren Kommentar hinterlassen. Bitte teilen Sie diesen Leitfaden, um anderen zu helfen.
Wenn dieser Artikel für Sie nützlich war, können Sie uns mit einer Spende unterstützen, da dies für uns einen großen Unterschied machen kann, wenn es darum geht, anderen weiterhin zu helfen und gleichzeitig diese Website kostenlos zu halten href=”https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=TH767M5USM2TG”target=”_blank”>
Konstantinos ist der Gründer und Administrator von Wintips.org. Seit 1995 ist er als Computer-und Netzwerkexperte für Einzelpersonen und große Unternehmen tätig. Er ist auf die Lösung von Problemen im Zusammenhang mit Windows oder anderen Microsoft-Produkten (Windows Server, Office, Microsoft 365 usw.) spezialisiert alle)
