Estou brincando com um domínio de teste no Windows Server 2012 R2. Estou operando no nível funcional mais alto possível e não tenho problemas de compatibilidade com versões anteriores em meu pequeno ambiente de teste. No entanto, percebi que, apesar de ter suporte para autenticação Kerberos AES, ela não está ativada por padrão para nenhum usuário. Preciso realmente acessar as propriedades de um usuário e marcar "Esta conta oferece suporte à criptografia Kerberos AES de 128 bits" e / ou "Esta conta oferece suporte à criptografia Kerberos AES de 256 bits" para habilitá-la.
(Percebi isso ao adicionar uma conta de teste ao grupo "Usuários protegidos", que define a diretiva para exigir o AES. Depois, todos os meus logons de rede começaram a falhar até eu marcar essas caixas.
Eu acho que isso pode estar desabilitado por padrão para garantir compatibilidade com versões anteriores de alguns sistemas, mas não consigo encontrar uma maneira de habilitar isso para todos os usuários, ou mesmo uma explicação do comportamento atual.
Alguma ideia?