Windows Server 2008で、新規にドメインコントローラを構築した事が無いのでこちらは未確認ですが、ドメインコントローラをWindows Server 2008にアップグレードした際には、NoLMHashの値は下位互換性を保つために、以前の設定を引き継いで適用されているようです。
ただし、以下のようなKBがある事から、おそらくWindows Server 2008で新規にドメインコントローラを構築した際には、NoLMHashの値は有効になっているのだと思われます。
ドメインコントローラにNoLMHashを設定する場合には、全てのドメインコントローラに対して同じNoLMHash値を設定する必要があります。
Windows Server 2008のNoLMHashを確認する場合には、以下のレジストリ値を確認します。
※Windows Server 2003の場合も、たしか確認する場所は同じだったと思います。
この値の”NoLmHash”の値が”1″になっていればLMハッシュを記録する事はありません。逆に”0″になっている場合は、LMハッシュを記録します。
また、以下の文字列をテキストファイルに保存し、拡張子を”reg”に変更してから実行する事で、LMハッシュを無効にする事も出来ます。
当たり前と言えば当たり前なのですが、スマートカード等を利用して、電子鍵認証を有効にしてあるドメインアカウントに関しては、LMハッシュを有効にしてある状態でも、自分の環境ではパスワードを取得する事は出来ませんでした。
LMハッシュを無効にすると不具合が発生する可能性のある環境・動作確認が取れない環境においては、administratorアカウントのパスワードは常用しない前提で物凄く長い複雑なパスワードを設定しておいて、その他の常用管理者アカウントに関してはスマートカードログオンのみ許可する、というのも有効なのでは無いかと思います。
パスワードポリシーで何らかの強制を行うにしろ、Windows Server 2008以前のサーバOSには複数のパスワードポリシーを設定する事が難しいです。全ての利用ユーザに対して大小英数記号を駆使した30桁以上のパスワードを強制。なんて事もやはり現実的ではありませんからね。
そう考えると、細かくパスワードポリシーを設定する事の出来る、Windows Server 2008にアップグレードさせる事のメリットについても、視野に入れる必要が出てくるかもしれません。
ともあれ、ドメインコントローラの管理者権限を奪われるという事は、同時に、配下にある全てのコンピュータ管理者権限を奪われる事と同じ事ですので、運用はやはり慎重にならなければなりません。