Description Arvid Requate 2011-10-05 17:01:26 CEST

In der Dokumentation (2.4 und 3.0) zum Univention AD-Connector wird darauf hingewiesen, dass man aus Windows 2008 Serverm die LAN-Manager Hashes aktivieren muss. Meiner Meinung nach ist die Anleitung dazu irreführend. Dort steht:

 "Hierzu ist im Gruppenrichtlinienverwaltungs-Editor unter" usw.

Der Anleitung zufolge landet man leicht im sogenannten "Gruppenrichtlinienobjekt-Editor", über den sich nur solche "Richtlinien für lokalen Computer" bearbeiten lassen, die nicht von einer im AD verknüpften Policy überschrieben sind. Im konkreten Fall war die entsprechende Einstellung im Bearbeitungsdialog daher ausgegraut.

In meinem Fall funktionierte das nur, wenn man statt dessen die "Gruppenrichtlinien Managment Console" (gpmc) startet und dort unter Gruppenrichtlinienverwaltung > Gesamtstruktur > Domänen > "ADDomänen.Name" > Domain Controllers > Default Domain Controllers Policy
per Rechtsklick auf Bearbeiten geht. Dann landet man korrekt im "Gruppenrichtlinienverwaltungs-Editor", wo man die Einstellung wie in der Doku beschrieben vornehmen kann. Danach muss man entweder eine Konsole öffnen und "gpudate /force" aufrufen oder neu booten.

Note: "Gruppenrichtlinienobjekt-Editor" und "Gruppenrichtlinienverwaltungs-Editor" (so heissen sie unter Hilfe > Info über [...]) sind anscheinend das gleiche MMC snapin (gpedit). Wenn man das ohne Optionen startet, kann man nur die "Lokalen Richtlinien Objekte" (LPO) bearbeiten, wenn man es per GPMC startet, dann wird anscheinend die DN der GPO mit übergeben (kann man per Kommandozeile auch, ist aber nicht praxistauglich).