MCPに受かるためには手を動かしていろいろやってみる(しかもはまってみる)必要があります。今日はちょっとセキュアな設定にしてみようかなということで、セキュリティポリシーを修正。
もう一つの理由として、台数の割にGPOが多すぎるのと、セキュリティの設定があちこちバラバラだったのでDomain Policyでひとまとめにするために。
- NTLMv2応答のみ送信、LM拒否
- SAMの列挙を拒否
- サードパーティ製SMBへパスワードを暗号化しないで送信(しない)
- サーバ:常にデジタル署名をする
- サーバ:常に暗号化する
- Guestを無効化する
- 強力なセッションキーを設定する
- パスワード変更でLMハッシュを保存しない
この辺が基礎的なところ。Windows 2000 SP4移行のOSしかない場合、この設定にしても全く問題はないはずです。98/Meなどがあるところはちょっと手を入れる必要があります(Active Directory Extension入れたり)。
…が、はまりました(笑)。やっていて、Windows Server 2003に接続できなくなっちゃった(^^;。理由はなんとなくおわかりかと思いますが、グループポリシーの更新タイミングの問題。クライアントとサーバでタイミングがずれたので、LM認証が拒否されたようです。
もちろんクライアントを再起動すれば全く問題なし。私一人の環境なのでこのへんやっても全然問題ないのだけれど、複数の人がつなぐような場合は気をつけましょう。おかげでグループポリシーがかなりすっきりしました。