Wie man Änderungen an den LmCompatibilityLevel-Einstellungen handhabt

Die Einstellung „LmCompatibilityLevel“ dauerhaft zu speichern, kann eine echte Herausforderung sein. Manchmal scheint sie den gewünschten Wert beizubehalten, doch ein Neustart oder eine Aktualisierung der Richtlinien führt dazu, dass sie wieder auf den Standardwert zurückgesetzt wird. In anderen Fällen lässt sie sich gar nicht erst ändern. Wenn Sie bereits Änderungen in der Registrierung oder an lokalen Richtlinien vorgenommen haben, diese aber nichts bewirken, ist die Wahrscheinlichkeit hoch, dass eine Gruppenrichtlinie (GPO) Ihre Anpassungen blockiert. Dieser Leitfaden beschreibt häufige Ursachen und deren Behebung, egal ob Sie einen Windows-Client oder -Server verwenden.

Wie man das Problem behebt, dass sich der Wert von LmCompatibilityLevel ständig zurücksetzt oder sich nicht ändert

Methode 1: Prüfen, ob Gruppenrichtlinien die Einstellungen überschreiben

Gruppenrichtlinien sind oft die Ursache, wenn manuelle Registry-Änderungen nicht übernommen werden. Gruppenrichtlinienobjekte (GPOs) sind zentral verwaltete Richtlinien, die Sicherheitseinstellungen auf mehreren Rechnern durchsetzen. Selbst wenn Sie also etwas lokal ändern, kann ein GPO diese Änderung nach einer Aktualisierung oder einem Neustart überschreiben. Auf einer Konfiguration funktionierte es nach einigen Anpassungen, auf einer anderen wurde es sofort überschrieben – natürlich sehr ärgerlich.

  • Ermitteln Sie das steuernde Gruppenrichtlinienobjekt (GPO): Führen Sie rsop.mscdie Tastenkombination Win + R aus. Dadurch wird ein Bericht mit den angewendeten Richtlinien generiert.
  • Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
  • Scrollen Sie nach unten, um die Netzwerksicherheit zu finden : LAN Manager-Authentifizierungsebene. Wenn in der Spalte „Sicherheitseinstellung“ „ Nicht definiert“ angezeigt wird, deutet dies darauf hin, dass eine andere Einstellung Ihre benutzerdefinierte Konfiguration überschreibt.

Falls es nicht definiert ist, müssen Sie das Gruppenrichtlinienobjekt (GPO) anpassen, das die Richtlinien anwendet. Jetzt gilt es, das Quell-GPO zu finden:

  • Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie Folgendes ein gpresult /H %USERPROFILE%\Desktop\gpreport.html:.Öffnen Sie den HTML-Bericht und suchen Sie nach dem Namen des Gewinner-Gruppenrichtlinienobjekts (GPO) in der Nähe der Einstellung „LanManCompatibility“.

Sobald Sie das Gruppenrichtlinienobjekt (GPO) identifiziert haben, wenden Sie sich entweder an den Systemadministrator, falls Sie nicht selbst dafür zuständig sind, oder, falls Sie über Administratorrechte verfügen, öffnen Sie die Gruppenrichtlinienverwaltungskonsole (`gpmc.msc`).Suchen Sie das GPO, bearbeiten Sie es und legen Sie den gewünschten Wert für Netzwerksicherheit: LAN Manager-Authentifizierungsebene fest.

Methode 2: Lokale Sicherheitsrichtlinie patchen

Manchmal liegt das Problem an den Richtlinien des Rechners, insbesondere wenn die Sicherheitsrichtlinien nicht ausschließlich über eine Domänen-Gruppenrichtlinie (GPO) geregelt werden. Um dies zu überprüfen, können Sie die Datei secpol.msc – den Editor für lokale Sicherheitsrichtlinien – öffnen.

  • Öffnen Sie „Ausführen“, geben Sie ein secpol.mscund drücken Sie die Eingabetaste.
  • Navigieren Sie zu Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
  • Suchen Sie nach „Netzwerksicherheit: LAN Manager-Authentifizierungsebene “.Doppelklicken Sie darauf und wählen Sie die gewünschte Ebene aus (z. B.„Nur NTLMv2-Antwort senden“).
  • Klicken Sie auf Anwenden und OK.

Nach der Konfiguration starten Sie den Computer neu. Manchmal wird die Einstellung erst nach einem vollständigen Neustart übernommen.Überprüfen Sie anschließend den Registrierungsschlüssel HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel– er sollte den von Ihnen gewählten Wert widerspiegeln.

Methode 3: Verwenden der Befehlszeile zum Erzwingen des Registrierungswerts

Wenn die Richtlinien unübersichtlich sind oder Sie eine schnelle Lösung benötigen, kann ein Startskript helfen, den Registrierungsschlüssel auf Ihre bevorzugte Einstellung zu zwingen. Für den Produktivbetrieb ist dies absolut nicht empfehlenswert, es sei denn, Sie sind bereit, mögliche Konflikte in Kauf zu nehmen. Als Notlösung ist es jedoch hilfreich.

  • Erstellen Sie ein einfaches PowerShell-Skript zum Festlegen der Registrierung:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LmCompatibilityLevel /t REG_DWORD /d 5 /f

Ersetzen Sie „5“ durch die gewünschte Stufe (z. B.3, 4 usw.).Speichern Sie die Datei als set_lm.ps1 auf Ihrem Desktop.Öffnen Sie anschließend gpedit.msc (Editor für lokale Gruppenrichtlinien).

  • Gehen Sie zu Computerkonfiguration > Windows-Einstellungen > Skripts (Start/Herunterfahren).
  • Doppelklicken Sie auf „Startup“, klicken Sie auf „Hinzufügen“ und wählen Sie Ihr set_lm.ps1 -Skript aus. Klicken Sie auf „Anwenden“ und schließen Sie das Fenster.

Nun wird bei jedem Systemstart das Skript ausgeführt und der gewünschte Wert eingetragen. Das ist nicht perfekt, da Gruppenrichtlinienobjekte (GPOs) die Einstellung später möglicherweise wieder überschreiben, aber manchmal reicht es aus, um das Problem vorübergehend zu beheben.

Methode 4: Auf Windows Server: Richtlinienreversionen angehen

Wenn auf einem Windows Server der Registrierungswert immer wieder zurückgesetzt wird, liegt das wahrscheinlich daran, dass eine Gruppenrichtlinie (GPO) aus Active Directory die Einstellung beeinflusst. Die Lösung besteht darin, diese GPO zu finden und zu ändern oder die Einstellungen manuell festzulegen secedit.

  • Führen Sie den Befehl aus gpresult /H rsop.htmlund suchen Sie nach der Richtlinie der Domäne.
  • Öffnen Sie gegebenenfalls die Gruppenrichtlinienverwaltung von einem Domänencontroller oder einer Administrator-Workstation aus, suchen Sie das entsprechende Gruppenrichtlinienobjekt und ändern Sie die Einstellung unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
  • Erzwinge das Update mit gpupdate /force.

Alternativ können Sie die aktuellen Sicherheitsrichtlinien exportieren, die Zeile „LmCompatibilityLevel“secedit /export /cfg current.txt ändern und sie anschließend wieder importieren. Dies ist etwas fortgeschrittener, aber manchmal notwendig, um hartnäckige Domänenrichtlinien zu überschreiben.secedit /configure

Warum funktionieren diese Einstellungen nicht?

Oftmals lassen sich die Probleme auf widersprüchliche Richtlinien zurückführen, insbesondere in Unternehmensumgebungen. Manche Sicherheits- oder Gruppenrichtlinien blockieren zudem explizit schwächere Authentifizierungsprotokolle oder erzwingen höhere Sicherheitseinstellungen. Manchmal können auch ein abgelaufenes Passwort oder ein falsch konfigurierter Dienstprinzipalname (SPN) NTLM-Fehler verursachen, aber das ist ein ganz anderes Thema.

Standardverhalten in Windows 11

Unter Windows 11 ist der Standardwert für LmCompatibilityLevel 3. Das bedeutet, dass NTLMv2 verwendet wird und nur Antworten gesendet werden, die diesem Sicherheitsniveau entsprechen. Wenn also etwas nicht ordnungsgemäß funktioniert, könnte der Standardwert Teil des Problems sein, oder es könnte eine veraltete Richtlinie ein niedrigeres Sicherheitsniveau erzwingen.

Hoffentlich hilft das jemandem, das lästige Umschalten dieser Einstellung zu umgehen. Es ist etwas verwirrend, aber mit etwas Geduld findet man meist den richtigen Weg.

Zusammenfassung

  • Prüfen Sie, ob Gruppenrichtlinienobjekte (GPOs) Ihre lokalen Registrierungsänderungen überschreiben.
  • Verwenden Sie RSOP und gpresult, um Richtlinien zu identifizieren.
  • Richtlinien können direkt über die Gruppenrichtlinienverwaltungskonsole (GPMC) oder die lokalen Sicherheitseinstellungen angepasst werden.
  • Bei Bedarf können Registrierungswerte mithilfe von Startskripten oder secEdit erzwungen werden.
  • Starten Sie den Computer neu und überprüfen Sie die Registrierungsschlüssel, um sicherzustellen, dass die Änderungen wirksam werden.

Zusammenfassung

Das geht nicht immer schnell, besonders wenn die Richtlinien streng gesperrt sind. Aber wenn Sie die Ursache der Überschreibung finden und die richtigen Anpassungen vornehmen können, bleibt die Einstellung endlich erhalten. Denken Sie daran: Änderungen an lokalen Sicherheitsrichtlinien oder Gruppenrichtlinienobjekten (GPOs) in Unternehmensumgebungen sollten mit Vorsicht und idealerweise mit Genehmigung vorgenommen werden. Viel Erfolg! Hoffentlich hilft das jemandem, all die Rücksetzungen und rätselhaften Momente zu vermeiden!