応募したいLm互換性レベル = 5ドメインに追加したいのですが、これがすべてのクライアント(GPO経由)に適用されるのか、ドメインコントローラのみに適用されるのか、それとも両方に適用されるのかわかりません。TechNetの説明では、このオプションはドメイン コントローラ特定の認証応答を拒否します。
TechNet より:
クライアントは NTLMv2 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM および NTLM 認証応答を拒否しますが、NTLMv2 は受け入れます。
答え1
通常、すべての Windows コンピューターで同じ値が設定されます。セキュリティ リスクの重大さから、NTLM1 の使用をすべて防止することが目的です。クライアントがネットワーク経由で NTLM1 ハッシュを送信すると、パスワードの長さや複雑さによっては、NTLM2 に比べて傍受され、簡単に解読される可能性があります。これは、侵入の偵察フェーズで中間者攻撃を行う攻撃者がよく使用する戦術です。そのため、環境内のどこにも NTLM1 は不要です。
設定の動作は、コンピュータがクライアント機能を実行しているか、サーバー機能を実行しているかによって異なります。任意の Windows コンピュータ (ワークステーション、メンバー サーバー、またはドメイン コントローラ) は、両方の機能を実行できます。
不測の事態に備えてバックアウトを計画しておくことを強くお勧めします。NTLM1 の使用状況と影響を評価することは、特に古いレガシー システムが多数存在する大規模で異機種混在の環境の場合、非常に困難です。
史上最も誤解されている Windows セキュリティ設定
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx