.single.post-author, Autor: Konstantinos Tsoukalas , Ostatnia aktualizacja: 14 listopada 2025
Jeśli po zmianie wartości „LmCompatibilityLevel” na „3″, „4″ lub „5″ automatycznie powraca ona do „2″, przeczytaj instrukcje zawarte w tym samouczku, aby rozwiązać problem.
Niedawno zmieniłem domyślną politykę domeny „Zabezpieczenia sieci: poziom uwierzytelniania LAN Managera“* (aka: „LmCompatibilityLevel”) z „Wysyłaj odpowiedzi LM i NTLM” na „Wysyłaj tylko odpowiedź NTLMv2. Odrzuć LM i NTLM“.
Ale po zastosowaniu tej zasady (przy użyciu polecenia „gpupdate/force”) opublikowano informację, że zasada dotycząca kontrolerów domeny zmienia się z powrotem na „Wyślij odpowiedzi LM i NTLM” (LmCompatibilityLevel=”2″).
* Informacje: „Poziom uwierzytelniania LAN Managera” (inaczej „LmCompatibilityLevel”) definiuje protokół używany do uwierzytelniania komputerów z systemem Windows w domenie Active Directory lub uwierzytelniaj w domenie komputery, na których nie działa system operacyjny Windows.
W domenach Active Directory domyślnym protokołem uwierzytelniania jest protokół Kerberos. Jeśli jednak z jakiegoś powodu protokół Kerberos nie jest negocjowany, Active Directory używa LM, NTLM lub NTLM w wersji 2 (NTLMv2).
“Poziom uwierzytelniania LAN Managera”można zmienić, korzystając z jednego z następujących sposobów:
1. Używając Lokalnego Edytora zasad grupy (gpedit.msc) w tej lokalizacji:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń > Zabezpieczenia sieci: Poziom uwierzytelnienia LAN Manager
2. Korzystając z konsoli Zarządzania zasadami grupy serwera domeny (gpmc.msc), modyfikując Domyślne zasady domeny w tej lokalizacji:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń > Bezpieczeństwo sieci: Poziom uwierzytelnienia LAN Manager
3. Za pośrednictwem Rejestru w tej lokalizacji:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Możliwy poziom uwierzytelniania LAN Manager (znany również jako: „LmCompatibilityLevel”) wartości rejestru są wymienione poniżej wraz z zapewnianym przez nie poziomem bezpieczeństwa. (źródło):
0=wysyłaj odpowiedzi LM i NTLM (bardzo niezabezpieczone) 1=Wyślij LM i NTLM – użyj zabezpieczeń sesji NTLMv2, jeśli zostało to wynegocjowane (Niebezpieczne) 2=Wyślij tylko odpowiedź NTLM (słabe bezpieczeństwo) 3=Wyślij tylko odpowiedź NTLMv2 (Umiarkowane bezpieczeństwo) 4=Wysyłaj tylko odpowiedź NTLMv2. Odmów LM (silne zabezpieczenia) 5=Wyślij tylko odpowiedź NTLMv2. Odrzuć LM i NTLM (Bardzo silne zabezpieczenia – BEST)
Jak NAPRAWIĆ: „Poziom uwierzytelniania LAN Manager” automatycznie powraca do „Wysyłaj odpowiedzi LM i NTLM” na KONTROLERZE DOMENY (Windows Server 2016/2019).
Jak wspomniano powyżej, „Zabezpieczenia sieci: poziom uwierzytelniania LAN Managera” można określić, modyfikując grupę lokalną Polityka, Rejestr lub Domyślna polityka domeny.
Jeśli jednak chcesz zmienić poli „Zabezpieczenia sieci: poziom uwierzytelniania LAN Managera” na kontrolerze domeny, musisz zmodyfikować „Domyślne zasady kontrolerów domeny“, a NIE „Domyślne zasady domeny”, w przeciwnym razie poziom powróci do wartości domyślnej („Wyślij odpowiedzi LM i NTLM” lub „LmCompatibilityLevel: 2). Aby to zrobić:
1. W konsoli Zarządzania zasadami grupy (gpmc.msc), w obszarze Domeny > TWOJADOMENA rozwiń Kontrolery domeny, a następnie Edytuj Domyślne zasady kontrolerów domeny.
2a. Teraz przejdź do tej lokalizacji:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
2b. Otwórz politykę „Zabezpieczenia sieci: poziom uwierzytelnienia LAN Manager“.
3. Wybierz Zdefiniuj to ustawienie zasad a następnie zmień poniżej poziomu uwierzytelniania NTLM zgodnie ze swoimi potrzebami. Po zakończeniu kliknij Zastosuj > OK i zamknij zarządzanie zasadami grupy.
4. Na koniec uruchom. „gpupdate/force“, aby zastosować zasady i gotowe!
To wszystko! Daj mi znać, czy ten przewodnik Ci pomógł, zostawiając komentarz na temat swoich doświadczeń. Polub i udostępnij ten przewodnik, aby pomóc innym.
Jeśli ten artykuł był dla Ciebie przydatny, rozważ wsparcie nas poprzez przekazanie darowizny. Nawet 1 dolar może mieć dla nas ogromne znaczenie w naszych wysiłkach, aby nadal pomagać innym, utrzymując jednocześnie darmową tę witrynę: 
Konstantinos jest założycielem i administratorem Wintips.org Od 1995 roku pracuje i zapewnia wsparcie IT jako ekspert w dziedzinie komputerów i sieci dla osób prywatnych i dużych firm. Specjalizuje się w rozwiązywaniu problemów związanych z systemem Windows lub innymi produktami Microsoft (Windows Server, Office, Microsoft 365 itp.). Tsoukalas (zobacz wszystkie)
