Het permanent instellen van LmCompatibilityLevel kan een behoorlijke uitdaging zijn. Soms lijkt de gewenste waarde behouden te blijven, maar na een herstart of het vernieuwen van het beleid springt deze terug naar de standaardwaarde. Andere keren weigert de instelling helemaal te veranderen. Als u al met het register of lokale beleidsregels hebt geëxperimenteerd, maar niets werkt, is de kans groot dat een groepsbeleidsinstelling (GPO) uw aanpassingen overschrijft. Deze handleiding beschrijft veelvoorkomende oorzaken en hoe u deze kunt oplossen, zowel op Windows-clients als -servers.
Hoe los ik het probleem op dat LmCompatibilityLevel steeds terugvalt of niet verandert?
Methode 1: Controleer of Groepsbeleid de instellingen overschrijft
Groepsbeleid is vaak de boosdoener wanneer handmatige registerwijzigingen niet worden opgeslagen. GPO’s zijn centraal beheerde beleidsregels die beveiligingsinstellingen afdwingen op meerdere machines. Zelfs als je iets lokaal wijzigt, kan een GPO dit na een vernieuwing of herstart overschrijven. In de ene configuratie werkte het na wat aanpassingen, in de andere werd het direct overschreven – natuurlijk erg vervelend.
- Identificeer de controlerende GPO: Voer dit uit
rsop.mscvia Win + R. Er wordt een rapport gegenereerd met de resulterende beleidsregels, waarin wordt weergegeven welke beleidsregels worden toegepast. - Ga naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties.
- Scroll naar beneden om Netwerkbeveiliging: authenticatieniveau LAN Manager te vinden. Als in de kolom Beveiligingsinstelling ‘ Niet gedefinieerd’ staat, betekent dit dat een andere instelling uw aangepaste configuratie overschrijft.
Als dit niet is gedefinieerd, moet u het groepsbeleidsobject (GPO) aanpassen dat de beleidsregels toepast. Tijd om het bron-GPO te vinden:
- Open de opdrachtprompt als beheerder en typ
gpresult /H %USERPROFILE%\Desktop\gpreport.html. Open het HTML-rapport en zoek naar de winnende GPO- naam in de buurt van de LanManCompatibility- instelling.
Zodra u het GPO hebt geïdentificeerd, neemt u contact op met de systeembeheerder als u niet de verantwoordelijke bent, of, als u beheerdersrechten hebt, gaat u naar de Group Policy Management Console (`gpmc.msc`).Zoek het betreffende GPO, bewerk het en stel de gewenste waarde in voor Netwerkbeveiliging: authenticatieniveau LAN Manager.
Methode 2: Het lokale beveiligingsbeleid patchen
Soms ligt het probleem bij het beleid op de machine zelf, vooral als een domein-GPO niet het enige is dat het beveiligingsbeleid regelt. Om dit te controleren, kunt u secpol.msc raadplegen, de editor voor lokaal beveiligingsbeleid.
- Open Uitvoeren, typ
secpol.mscen druk op Enter. - Ga naar Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties.
- Zoek Netwerkbeveiliging: authenticatieniveau LAN Manager. Dubbelklik erop en selecteer het gewenste niveau (bijvoorbeeld “Alleen NTLMv2-antwoord verzenden”).
- Klik op Toepassen en vervolgens op OK.
Nadat je dit hebt ingesteld, start je de computer opnieuw op. Soms blijft de instelling hardnekkig niet behouden, tenzij je een schone herstart uitvoert. Controleer daarna de registersleutel HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel; deze zou de door jou gekozen waarde moeten weergeven.
Methode 3: De registerwaarde forceren via de opdrachtregel
Als het beleid onoverzichtelijk is of als je snel een oplossing nodig hebt, kan het maken van een opstartscript helpen om de registerwaarde op je voorkeursinstelling te houden. Dit is absoluut niet aan te raden voor productieomgevingen, tenzij je mogelijke conflicten voor lief neemt, maar het is handig als tijdelijke oplossing.
- Maak een eenvoudig PowerShell-script om het register in te stellen:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LmCompatibilityLevel /t REG_DWORD /d 5 /fVervang “5” door het gewenste niveau (bijvoorbeeld 3, 4, enz.).Sla dit bestand op als set_lm.ps1 op uw bureaublad. Open vervolgens gpedit.msc (Editor voor lokaal groepsbeleid).
- Ga naar Computerconfiguratie > Windows-instellingen > Scripts (Opstarten/Afsluiten).
- Dubbelklik op Opstarten, klik op Toevoegen en blader naar uw set_lm.ps1- script. Klik op Toepassen en sluit het venster.
Nu zal de machine elke keer dat hij opstart dat script uitvoeren en de gewenste waarde invoeren. Niet perfect, want GPO’s kunnen de waarde later weer overschrijven, maar soms is het voldoende om de boel tijdelijk aan de praat te krijgen.
Methode 4: Op Windows Server beleidsreversies aanpakken
Als je een Windows Server gebruikt en de registerwaarde steeds teruggezet wordt, is de kans groot dat een groepsbeleidsobject (GPO) van Active Directory de instelling manipuleert. De oplossing is dus om dat GPO te vinden en aan te passen, of om de instellingen via een andere methode te forceren secedit.
- Voer het commando uit
gpresult /H rsop.htmlen zoek naar het beleid van het betreffende domein. - Open indien nodig het groepsbeleidsbeheer vanaf een domeincontroller of beheerderswerkstation, zoek het betreffende GPO op en wijzig de instelling in Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties.
- Forceer de update met gpupdate /force.
Of exporteer de huidige beveiligingsbeleidsregels met secedit /export /cfg current.txt, wijzig de regel LmCompatibilityLevel en importeer ze vervolgens opnieuw met secedit /configure. Dit is iets geavanceerder, maar soms noodzakelijk om hardnekkige domeinbeleidsregels te overschrijven.
Waarom werken deze instellingen niet?
Vaak komen de problemen neer op tegenstrijdige beleidsregels, vooral in bedrijfsomgevingen. Daarnaast blokkeren sommige beveiligings- of groepsbeleidsregels expliciet zwakkere authenticatieprotocollen of dwingen ze hogere eisen af. Soms kan een verlopen wachtwoord of een onjuist geconfigureerde service principal name (SPN) NTLM-fouten veroorzaken, maar dat is een heel ander verhaal.
Standaardgedrag in Windows 11
In Windows 11 is het standaard LmCompatibilityLevel 3. Dit betekent dat NTLMv2 wordt gebruikt en dat alleen reacties worden verzonden die aan dat beveiligingsniveau voldoen. Als er dus problemen zijn, kan de standaardwaarde een deel van het probleem zijn, of misschien dwingt een verouderd beleid een lager niveau af.
Hopelijk helpt dit iemand om het frustrerende schakelen tussen die instellingen te omzeilen. Het is een beetje een doolhof, maar met een beetje geduld lukt het meestal wel.
Samenvatting
- Controleer of groepsbeleidsobjecten (GPO’s) uw lokale registerwijzigingen overschrijven.
- Gebruik RSOP en gpresult om beleidsregels te identificeren.
- Pas het beleid rechtstreeks aan via GPMC of lokale beveiligingsinstellingen.
- Indien nodig kunt u registerwaarden forceren met opstartscripts of secEdit.
- Start de computer opnieuw op en controleer de registerinstellingen om te bevestigen dat de wijzigingen zijn opgeslagen.
Samenvatting
Dit gaat niet altijd snel, vooral niet als het beleid strikt is vastgelegd. Maar als je de bron van de overschrijving kunt achterhalen en de juiste aanpassingen kunt maken, blijft de instelling uiteindelijk wel behouden. Onthoud wel dat het wijzigen van lokaal beveiligingsbeleid of GPO’s in bedrijfsomgevingen met de nodige voorzichtigheid moet gebeuren, bij voorkeur met toestemming. Veel succes, en hopelijk helpt dit iemand om al die terugdraai- en puzzelmomenten te voorkomen!