MCPに受かるためには手を動かしていろいろやってみる(しかもはまってみる)必要があります。今日はちょっとセキュアな設定にしてみようかなということで、セキュリティポリシーを修正。
 もう一つの理由として、台数の割にGPOが多すぎるのと、セキュリティの設定があちこちバラバラだったのでDomain Policyでひとまとめにするために。

  • NTLMv2応答のみ送信、LM拒否
  • SAMの列挙を拒否
  • サードパーティ製SMBへパスワードを暗号化しないで送信(しない)
  • サーバ:常にデジタル署名をする
  • サーバ:常に暗号化する
  • Guestを無効化する
  • 強力なセッションキーを設定する
  • パスワード変更でLMハッシュを保存しない

 この辺が基礎的なところ。Windows 2000 SP4移行のOSしかない場合、この設定にしても全く問題はないはずです。98/Meなどがあるところはちょっと手を入れる必要があります(Active Directory Extension入れたり)。
 …が、はまりました(笑)。やっていて、Windows Server 2003に接続できなくなっちゃった(^^;。理由はなんとなくおわかりかと思いますが、グループポリシーの更新タイミングの問題。クライアントとサーバでタイミングがずれたので、LM認証が拒否されたようです。
 もちろんクライアントを再起動すれば全く問題なし。私一人の環境なのでこのへんやっても全然問題ないのだけれど、複数の人がつなぐような場合は気をつけましょう。おかげでグループポリシーがかなりすっきりしました。