REVISIÓN: El valor de LmCompatibilityLevel vuelve a cambiar a "2" en el controlador de dominio.

Si, después de cambiar el valor 'LmCompatibilityLevel' a "3", "4" o "5", vuelve automáticamente a "2", lea las instrucciones de este tutorial para solucionar el problema.

Recientemente cambié la política de dominio predeterminada "Seguridad de la red: nivel de autenticación de LAN Manager"* (también conocido como: "Nivel de compatibilidad Lm") de "Enviar respuestas LM y NTLM" a "Enviar Solo respuesta NTLMv2. Rechazar LM y NTLM".

Pero, después de aplicar la política (usando "gpupdate/fuerza" comando), publiqué que la política en los controladores de dominio vuelve a cambiar a "Enviar respuestas LM y NTLM" (LmCompatibilityLevel="2").

* Información: El "Nivel de autenticación del administrador de LAN" (también conocido como "LmCompatibilityLevel") define el protocolo que se utilizará para autenticar computadoras con Windows en un dominio de Active Directory o para autenticar computadoras que no ejecutan sistemas operativos Windows con el dominio.

En los dominios de Active Directory, el protocolo Kerberos es el protocolo de autenticación predeterminado. Sin embargo, si por algún motivo no se negocia el protocolo Kerberos, Active Directory utiliza LM, NTLM o NTLM versión 2 (NTLMv2).

El "Nivel de autenticación de LAN Manager" se puede cambiar mediante una de las siguientes formas:

1. Usando el Local Editor de políticas de grupo (gpedit.msc) en esta ubicación:

2. Usando el servidor de dominio Gestión de políticas de grupo consola (gpmc.msc) modificando el Política de dominio predeterminada en esta ubicación:

3. A través del Registro en esta ubicación:

lo posible Nivel de autenticación de LAN Manager (también conocido como: "LmCompatibilityLevel") los valores de registro se enumeran a continuación junto con el nivel de seguridad que brindan. (fuente):

• 0 = Enviar respuestas LM y NTLM (Muy inseguro)
• 1 = Enviar LM y NTLM: use la seguridad de sesión NTLMv2 si se negocia (inseguro)
• 2 = Enviar solo respuesta NTLM (seguridad débil)
• 3 = Enviar solo respuesta NTLMv2 (seguridad moderada)
• 4 = Enviar solo respuesta NTLMv2. Rechazar LM (Seguridad fuerte)
• 5 = Enviar solo respuesta NTLMv2. Rechazar LM y NTLM (Seguridad muy fuerte - MEJOR)

Cómo SOLUCIONAR: El "nivel de autenticación de LAN Manager" vuelve automáticamente a "Enviar respuestas LM y NTLM" en el CONTROLADOR DE DOMINIO (Windows Server 2016/2019).

Como se mencionó anteriormente, el "Seguridad de la red: nivel de autenticación de LAN Manager" se puede especificar modificando la Política de grupo local, el Registro o la Política de dominio predeterminada.

Pero, si quieres cambiar el "Seguridad de la red: nivel de autenticación de LAN Manager"poly en un controlador de dominio, tienes que modificar el "Política de controladores de dominio predeterminada" y NO la "Política de dominio predeterminada"; de lo contrario, el nivel volverá al valor predeterminado ("Enviar respuestas LM y NTLM" o "Nivel de compatibilidad Lm: 2). Para hacer eso:

1. En Gestión de políticas de grupo consola (gpmc.msc), en Dominios > TUDOMINIOexpandir Controladores de dominio y luego Editar el Política de controladores de dominio predeterminada.

2a. Ahora navegue hasta esta ubicación:

• Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad

2b. Abra el "Seguridad de la red: nivel de autenticación de LAN Manager" política.

3. Seleccionar Definir esta configuración de política y luego cambie por debajo del nivel de autenticación NTLM según sus necesidades. Cuando termine, haga clic en Aplicar > DE ACUERDO y cerrar la gestión de políticas del Grupo.

4. Finalmente corre "gpupdate/fuerza" para aplicar la póliza y ¡listo!

¡Eso es todo! Déjame saber si esta guía te ha ayudado dejando tu comentario sobre tu experiencia. Por favor, dale me gusta y comparte esta guía para ayudar a otros.

Si este artículo fue útil para usted, considere apoyarnos haciendo una donación. Incluso 1 dólar puede marcar una gran diferencia para nosotros en nuestro esfuerzo por continuar ayudando a otros mientras mantenemos este sitio gratuito:

Konstantinos es el fundador y administrador de Wintips.org. Desde 1995 trabaja y brinda soporte informático como experto en informática y redes a particulares y grandes empresas. Está especializado en la resolución de problemas relacionados con Windows u otros productos de Microsoft (Windows Server, Office, Microsoft 365, etc.).

Últimos mensajes de Konstantinos Tsoukalas (ver todo)