作为将水牛NAS terrastation pro与我们的AD集成的努力的一部分,我们发现需要在集团策略中进行以下改变;
在域 – > Windows安装 – >安全设置 – >本地策略 – >安全选项中需要更改以下内容。
Microsoftnetworking服务器:数字签名通信(始终)(需要被禁用,目前未定义)
networking安全:Lan Manager身份validation级别(需要时从未定义更改为Ntlm2协商)
我的问题是,更改几台NAS服务器的域名策略是否值得/有风险?
第二个,可以在个别DC(可能是通过SECPOL)更改,因为我们将把NAs指向1个DC。
我熟悉这些设备和这些特定的变化。 这些设置有点危害安全。 我不知道实际的风险比NTLMv2和基于散列的攻击的已经很抱歉的状态要好得多,但是它确实增加了风险。 如果布法罗花了一些钱来降低安全性来支持他们的设备,这将是一件好事。
对于第二个问题:您可能会为不同的域控制器(DC)创build不同的安全策略,导致不支持的configuration,我build议不要尝试它。 也许可以解决一些问题,但是如果它造成了古怪的行为,那么你可以自行解决。