MCPに受かるためには手を動かしていろいろやってみる(しかもはまってみる)必要があります。今日はちょっとセキュアな設定にしてみようかなということで、セキュリティポリシーを修正。
　もう一つの理由として、台数の割にGPOが多すぎるのと、セキュリティの設定があちこちバラバラだったのでDomain Policyでひとまとめにするために。

• NTLMv2応答のみ送信、LM拒否
• SAMの列挙を拒否
• サードパーティ製SMBへパスワードを暗号化しないで送信(しない)
• サーバ：常にデジタル署名をする
• サーバ：常に暗号化する
• Guestを無効化する
• 強力なセッションキーを設定する
• パスワード変更でLMハッシュを保存しない

　この辺が基礎的なところ。Windows 2000 SP4移行のOSしかない場合、この設定にしても全く問題はないはずです。98/Meなどがあるところはちょっと手を入れる必要があります(Active Directory Extension入れたり)。
　…が、はまりました(笑)。やっていて、Windows Server 2003に接続できなくなっちゃった(^^;。理由はなんとなくおわかりかと思いますが、グループポリシーの更新タイミングの問題。クライアントとサーバでタイミングがずれたので、LM認証が拒否されたようです。
　もちろんクライアントを再起動すれば全く問題なし。私一人の環境なのでこのへんやっても全然問題ないのだけれど、複数の人がつなぐような場合は気をつけましょう。おかげでグループポリシーがかなりすっきりしました。