.single.post-author、作成者: Konstantinos Tsoukalas 、最終更新日: 2025 年 11 月 14 日
「LmCompatibilityLevel」値を「3」、「4」、または「5」に変更した後、自動的に「2」に戻ってしまう場合は、このチュートリアルの手順を読んで問題を解決してください。
私は最近、デフォルトのドメイン ポリシーを変更しました。 「ネットワーク セキュリティ: LAN Manager 認証レベル」* (別名: 「LmCompatibilityLevel」) を「 LM および NTLM 応答を送信する」から「 NTLMv2 応答のみを送信する。LM および NTLM を拒否する」まで。
ただし、(「gpupdate/force」コマンドを使用して) ポリシーを適用した後、ドメイン コントローラーのポリシーが「LM および NTLM 応答を送信する」(LmCompatibilityLevel=”2″) に戻るように変更することをリリースしました。
* 情報: 「LAN Manager 認証レベル」 (別名「LmCompatibilityLevel」) は、Windows コンピュータを Active Directory ドメインに対して認証するか、認証に使用するプロトコルを定義します。
Active Directory ドメインでは、Kerberos プロトコルがデフォルトの認証プロトコルです。ただし、何らかの理由で Kerberos プロトコルがネゴシエートされない場合、Active Directory は LM、NTLM、または NTLM バージョン 2 (NTLMv2) を使用します。
「LAN Manager 認証レベル」は、次のいずれかの方法を使用して変更できます。
1.次の場所にあるローカル グループ ポリシー エディタ (gpedit.msc) を使用します:
コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション > ネットワーク セキュリティ: LAN Manager 認証レベル
2. ドメイン サーバーのグループ ポリシー管理コンソール (gpmc.msc) を使用して、次の場所にあるデフォルト ドメイン ポリシーを変更します:
コンピュータの構成\ポリシー\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション > ネットワーク セキュリティ: LAN Manager 認証レベル
3.次の場所のレジストリを介して:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
可能なLAN Manager 認証レベル (別名: 「LmCompatibilityLevel」) レジストリ値と、それらが提供するセキュリティ レベルを以下に示します。 (source):
0=LM および NTLM 応答を送信します (非常に安全ではありません) 1=LM および NTLM を送信 – ネゴシエートされている場合は NTLMv2 セッション セキュリティを使用します (安全ではありません) 2=NTLM 応答のみを送信します (弱いセキュリティ) 3=NTLMv2 応答のみを送信します (中程度のセキュリティ) 4=NTLMv2 応答のみを送信します。 LM を拒否 (強力なセキュリティ) 5=NTLMv2 応答のみを送信します。 LM および NTLM を拒否する (非常に強力なセキュリティ – 最高)
修正方法: ドメイン コントローラー (Windows Server 2016/2019) で、「LAN マネージャー認証レベル」が自動的に「LM および NTLM 応答の送信」に戻ります。
前述したように、「ネットワーク セキュリティ: LAN マネージャー認証レベル」は、ローカル セキュリティを変更することで指定できます。グループ ポリシー、レジストリ、またはデフォルト ドメイン ポリシー。
ただし、ドメイン コントローラの [ネットワーク セキュリティ: LAN マネージャ認証レベル] ポリゴンを変更する場合は、[デフォルト ドメイン ポリシー] ではなく [デフォルト ドメイン コントローラ ポリシー] を変更する必要があります。変更しないと、レベルがデフォルト値 ([LM および NTLM 応答の送信] または [LM および NTLM 応答の送信] に戻ります) に戻ります。”LmCompatibilityLevel: 2)。その方法は次のとおりです。
1.グループ ポリシー管理コンソール (gpmc.msc) の ドメイン > YOURDOMAIN で、ドメイン コントローラーを展開し、デフォルトのドメイン コントローラー ポリシーを編集します。
2a. 次に、次の場所に移動します:
コンピューターの構成\ポリシー\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
2b. 「ネットワーク セキュリティ: LAN Manager 認証レベル」ポリシーを開きます。
3.このポリシー設定を定義するを選択し、必要に応じて認証 NTLM レベル以下に変更します。完了したら、[適用] > [OK ] をクリックし、グループ ポリシー管理を閉じます。
4. 最後に実行します。 「gpupdate/force」を押してポリシーを適用すると完了です。
このガイドが役に立ったかどうか、あなたの経験についてのコメントを残してお知らせください。このガイドを気に入って共有してください。
この記事が役に立った場合は、1 ドルでも、このサイトを無料で維持しながら他の人を支援し続けるための私たちの取り組みに大きな違いをもたらすことができます。 href=”https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=TH767M5USM2TG”target=”_blank”>
Konstantinos は、Wintips.org の創設者および管理者であり、Windows またはその他の Microsoft 製品 (Windows Server、Office、Microsoft 365 など) に関連する問題の解決を専門としており、IT サポートを個人および大企業に提供しています。ツォカラス (全て見る)
