Изменения в групповой политике интеграции с Active Directory в Buffalo NAS

Question

Изменения в групповой политике интеграции с Active Directory в Buffalo NAS

В рамках усилий по интеграции NAS-сервера Terratation Pro от Buffalo с нашей AD мы обнаружили, что в групповую политику необходимо внести следующие изменения;

Следующее необходимо изменить в Домене-> Настройки Windows-> Параметры безопасности-> Локальные политики-> Параметры безопасности.

Microsoft Network Server: цифровая подпись сообщений (всегда) (необходимо отключить, в настоящее время он не определен)

Сетевая безопасность: уровень проверки подлинности Lan Manager (необходимо изменить с Не определено на Согласование Ntlm2, если необходимо)

Мои вопросы: стоит ли / рискованно менять политику домена для пары серверов NAS?

Во-вторых, могут ли они быть изменены на отдельных DC (возможно, через SECPOL), так как мы будем указывать NA только на 1 DC?

0

active-directory group-policy network-attached-storage buffalo

Источник

Darktux 15 ноя '12 в 15:06

1 ответ

Решение

Другие вопросы по тегам active-directory group-policy network-attached-storage buffalo

Evan Anderson 15 ноя '12 в 15:15 2012-11-15 15:15 · Accepted Answer · 2012-11-15 15:15

Я знаком с этими устройствами и этими конкретными изменениями. Эти настройки несколько компрометируют безопасность. Я не знаю, что практический риск намного лучше, чем и без того жалкое состояние NTLMv2 и хэш-атак, но он несколько увеличивает риск. Было бы неплохо, если бы Buffalo потратил немного денег на решение проблемы понижения безопасности для поддержки своих устройств.

На ваш второй вопрос: все, что вы могли бы сделать для создания другой политики безопасности для разных контроллеров домена (DC), привело бы к неподдерживаемой конфигурации, и я бы посоветовал не пытаться это делать. Возможно, что-то удастся решить, но вы окажетесь самостоятельно, если это приведет к странному поведению.