Comment 48 for bug 1993934

We've tried the solution from @Jan Bubik and checked the "operatingSystemVersion" of the DCs.
Both DCs (one is Zentyal 7, the other is Ubuntu 20.04) haven't this setting set. We've set this to "Samba 4.x.x" like @Jan suggested. While we checked this we've recognized, that on Zentyal DC, the value for "msDS-SupportedEncryptionTypes" was not set, while the settings was set on the Ubuntu 20.04 DC. Maybe this was caused, because the Zentyal is an upgraded system from Ubuntu 18.04 and the Ubuntu 20.04 was an fresh installation. Maybe this can be checked by someone?. We've set "msDS-SupportedEncryptionTypes" to (int) 31, which seems to be the default value for samba.

It seems to be, that "operatingSystemVersion" is a mandatory setting because of "schemaFlagsEx: FLAG_ATTR_IS_CRITICAL" in https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/linux-accounts-cannot-get-aes-tickets

If we now set the Local Security Policy or in a GPO > Local Policies> Security Options> Network security: "Configure encryption types allowed for Kerberos" and disallow DES_CBC_CRC, DES_CBC_MD5, RC4_HMAC_MD a login seems to be work, but if you start an application with run as administrator and enter some domain credentials the authentication fails. Also the run of 'gpupdate' fails with:
```
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, registrierungsbasierte Richtlinieneinstellungen für das Gruppenrichtlinienobjekt "LDAP://CN=Machine,CN={xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx},CN=Policies,CN=System,DC=xxxxx,DC=xx" zu lesen. Die Gruppenrichtlinieneinstellungen dürfen nicht erzwungen werden, bis dieses Ereignis behoben ist. Weitere Informationen über den Dateinamen und -pfad, der den Fehler verursacht hat, können den Ereignisdetails entnommen werden.
Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, registrierungsbasierte Richtlinieneinstellungen für das Gruppenrichtlinienobjekt "LDAP://CN=User,CN={xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx},CN=Policies,CN=System,DC=xxxxx,DC=xx" zu lesen. Die Gruppenrichtlinieneinstellungen dürfen nicht erzwungen werden, bis dieses Ereignis behoben ist. Weitere Informationen über den Dateinamen und -pfad, der den Fehler verursacht hat, können den Ereignisdetails entnommen werden.
```
Only if we additional allow RC4_HMAC_MD and above (only disabled DES_CBC_CRC, DES_CBC_MD5) all seems to be working properly (gpupdate, runas administrator, login).

System info:
Server: Ubuntu 20.04 LTS with samba 2:4.13.17~dfsg-0ubuntu1.20.04.5
Clients: Windows 10 22H2 latest updates installed, Windows 11 22H2 latest updates installed