.single.post-author, Tác giả: Konstantinos Tsoukalas , Cập nhật lần cuối: ngày 14 tháng 11 năm 2025
Nếu sau khi thay đổi giá trị’LmCompatibilityLevel’thành”3″,”4″hoặc”5″, nó sẽ tự động hoàn nguyên về”2″, khi đó hãy đọc hướng dẫn trong hướng dẫn này để khắc phục sự cố.
Gần đây tôi đã thay đổi chính sách miền mặc định”Mạng bảo mật: Cấp độ xác thực của Trình quản lý LAN“* (còn gọi là:”LmCompatibilityLevel”) từ”Gửi phản hồi LM & NTLM“đến”Chỉ gửi phản hồi NTLMv2. Từ chối LM & NTLM“.
Tuy nhiên, sau khi áp dụng chính sách (sử dụng lệnh”gpupdate/force”), tôi đã công bố rằng chính sách trên (các) Bộ điều khiển miền thay đổi trở lại thành”Gửi phản hồi LM & NTLM“(LmCompatibilityLevel=”2”).
* Thông tin: “Mức xác thực trình quản lý mạng“(còn gọi là”LmCompatibilityLevel”) xác định giao thức được sử dụng để xác thực máy tính Windows với miền Active Directory hoặc để xác thực các máy tính không chạy hệ điều hành Windows có miền.
Trong miền Active Directory, giao thức Kerberos là giao thức xác thực mặc định. Tuy nhiên, nếu vì lý do nào đó giao thức Kerberos không được thương lượng, Active Directory sử dụng LM, NTLM hoặc NTLM phiên bản 2 (NTLMv2).
Có thể thay đổi”Mức xác thực trình quản lý mạng LAN”bằng cách sử dụng một trong các cách sau:
1. Sử dụng Cục bộ Trình chỉnh sửa chính sách nhóm (gpedit.msc) ở vị trí này:
Cấu hình máy tính\Cài đặt Windows\Cài đặt bảo mật\Chính sách cục bộ\Tùy chọn bảo mật > Bảo mật mạng: Cấp độ xác thực của Trình quản lý mạng LAN
2. Sử dụng bảng điều khiển Quản lý chính sách nhóm của Máy chủ miền (gpmc.msc) bằng cách sửa đổi Chính sách miền mặc định ở vị trí này:
Computer Configuration\Policies\Windows Setting\Security Setting\Local Policies\Security Options > Network Security: Cấp độ xác thực của Trình quản lý LAN
3. Thông qua Đăng ký tại vị trí này:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Các giá trị đăng ký Mức xác thực Trình quản lý mạng LAN (còn gọi là:”LmCompatibilityLevel”) có thể có được liệt kê bên dưới cùng với mức độ bảo mật mà chúng cung cấp. (nguồn):
0=Gửi phản hồi LM & NTLM (Rất không an toàn) 1=Gửi LM & NTLM – sử dụng bảo mật phiên NTLMv2 nếu được thương lượng (Không an toàn) 2=Chỉ gửi phản hồi NTLM (Bảo mật yếu) 3=Chỉ gửi phản hồi NTLMv2 (Bảo mật vừa phải) 4=Chỉ gửi phản hồi NTLMv2. Từ chối LM (Bảo mật chặt chẽ) 5=Chỉ gửi phản hồi NTLMv2. Từ chối LM & NTLM (Bảo mật rất mạnh – TỐT NHẤT)
Cách KHẮC PHỤC:”Mức xác thực của Trình quản lý LAN”tự động hoàn nguyên về”Gửi phản hồi LM & NTLM”trên BỘ ĐIỀU KHIỂN MIỀN (Windows Server 2016/2019).
Như đã đề cập ở trên,”Mức độ xác thực của Trình quản lý mạng LAN“có thể được chỉ định bằng cách sửa đổi Chính sách nhóm cục bộ, Cơ quan đăng ký hoặc Miền mặc định Chính sách.
Tuy nhiên, nếu bạn muốn thay đổi poly”Bảo mật mạng: Cấp độ xác thực của Trình quản lý LAN“trên Bộ điều khiển miền, bạn phải sửa đổi”Chính sách bộ điều khiển miền mặc định“và KHÔNG“Chính sách miền mặc định”, nếu không cấp độ sẽ hoàn nguyên về giá trị mặc định (“Gửi phản hồi LM & NTLM”hoặc”LmCompatibilityLevel: 2). Để thực hiện điều đó:
1. Trong Bảng điều khiển quản lý chính sách nhóm (gpmc.msc), trong Miền > YOURDOMAIN, hãy mở rộng Bộ điều khiển miền rồi Chỉnh sửa Chính sách bộ kiểm soát miền mặc định.
2a. Bây giờ hãy điều hướng đến vị trí này:
Cấu hình máy tính\Policies\Cài đặt Windows\Cài đặt bảo mật\Chính sách cục bộ\Tùy chọn bảo mật
2b. Mở Chính sách”Bảo mật mạng: Cấp độ xác thực của Trình quản lý mạng LAN“.
3. Chọn Xác định cài đặt chính sách này rồi thay đổi bên dưới cấp NTLM xác thực theo nhu cầu của bạn. Áp dụng > OK và đóng quản lý chính sách Nhóm.
4. Cuối cùng, hãy chạy”gpupdate/force“để áp dụng chính sách và bạn đã hoàn tất!
Chỉ vậy thôi! Hãy cho tôi biết nếu hướng dẫn này đã giúp ích cho bạn bằng cách để lại nhận xét về trải nghiệm của bạn. Hãy thích và chia sẻ hướng dẫn này để giúp đỡ người khác.
Nếu bài viết này hữu ích cho bạn, vui lòng cân nhắc việc hỗ trợ chúng tôi bằng cách quyên góp. Ngay cả 1 đô la cũng có thể tạo ra sự khác biệt lớn đối với chúng tôi trong nỗ lực tiếp tục giúp đỡ người khác trong khi vẫn duy trì trang web này miễn phí: 
Konstantinos là người sáng lập và quản trị viên của Wintips.org. Từ năm 1995, ông làm việc và cung cấp hỗ trợ CNTT với tư cách là chuyên gia về máy tính và mạng cho các cá nhân và công ty lớn. Ông chuyên giải quyết các vấn đề liên quan đến Windows hoặc các sản phẩm khác của Microsoft (Windows Server, Office, Microsoft 365, v.v.). (xem tất cả)
