Active-Directory

Buffalo NAS Active Directory 集成組策略更改

  • November 15, 2012

作為將 buffalo NAS terrastation pro 與我們的 AD 集成的努力的一部分,我們發現需要在組策略中進行以下更改;

以下需要在域-> Windows 設置-> 安全設置-> 本地策略-> 安全選項中進行更改。

Microsoft 網路伺服器:數字簽名通信(始終)(需要禁用,目前未定義)

網路安全:Lan Manager 身份驗證級別(如果需要,需要從未定義更改為 Ntlm2 協商)

我的問題是,為幾個 NAS 伺服器更改域策略是否值得/有風險?

第二個,由於我們將 NA 指向只有 1 個 DC,因此可以在單個 DC(可能通過 SECPOL)上更改它們嗎?

我熟悉這些設備和這些特殊的變化。這些設置確實會在一定程度上損害安全性。我不知道實際風險比NTLMv2 和基於雜湊的攻擊已經很糟糕的狀態要好得多,但它確實在一定程度上增加了風險。如果 Buffalo 花一些錢來解決降低安全性以支持他們的設備的需求,那就太好了。

對於您的第二個問題:為不同的域控制器 (DC) 創建不同的安全策略可能會導致配置不受支持,我建議您不要嘗試它。有可能解決一些問題,但如果它產生了奇怪的行為,你會靠自己:支持。

引用自:https://serverfault.com/questions/449045