注: 2024 年 8 月 13 日更新。2024 年 8 月 13 日の動作を参照してください
概要
2022 年 10 月 11 日以降にリリースされた Windows 更新プログラムには、 CVE-2022-38042 によって導入された追加の保護が含まれています。 これらの保護により、次の場合を除き、ドメイン参加操作がターゲット ドメイン内の既存のコンピューター アカウントを意図的に再利用できないようにします。
-
操作を試みるユーザーは、既存のアカウントの作成者です。
または
-
コンピューターは、ドメイン管理者のメンバーによって作成されました。
または
-
再利用されるコンピューター アカウントの所有者は、"ドメイン コントローラー: ドメイン参加中にコンピューター アカウントの再利用を許可する" のメンバーです。 グループ ポリシー設定。 この設定では、2023 年 3 月 14 日以降にリリースされた Windows 更新プログラムをすべてのメンバー コンピューターとドメイン コントローラーにインストールする必要があります。
2023 年 3 月 14 日以降にリリースされた更新プログラムと 2023 年 9 月 12 日以降にリリースされた更新プログラムでは、Windows Server 2012 R2 以降およびサポートされているすべてのクライアントで影響を受けるお客様に追加のオプションが提供されます。 詳細については、「 2022 年 10 月 11 日の動作 」および「 アクションの実行」 セクションを参照してください。
手記 この記事では、以前に NetJoinLegacyAccountReuse レジストリ キーを参照しました。 2024 年 8 月 13 日の時点で、このレジストリ キーとそのこの記事の参照は削除されました。
2022 年 10 月 11 日より前の動作
2022 年 10 月 11 日以降の累積的な更新プログラムをインストールする前に、クライアント コンピューターは Active Directory に同じ名前の既存のアカウントを照会します。 このクエリは、ドメイン参加とコンピューター アカウントのプロビジョニング中に発生します。 このようなアカウントが存在する場合、クライアントは自動的に再利用を試みます。
注ドメイン参加操作を試みるユーザーに適切な書き込みアクセス許可がない場合、再利用の試行は失敗します。 ただし、ユーザーに十分なアクセス許可がある場合、ドメイン参加は成功します。
ドメイン参加には、それぞれ既定の動作とフラグを次の 2 つのシナリオがあります。
-
ドメイン参加 (NetJoinDomain)
-
既定値はアカウントの再利用です ( NETSETUP_NO_ACCT_REUSE フラグが指定されていない限り)
-
-
アカウント プロビジョニング (NetProvisionComputerAccountNetCreateProvisioningPackage)。
-
既定値は NO 再利用です ( NETSETUP_PROVISION_REUSE_ACCOUNT が指定されていない限り)。
-
2022 年 10 月 11 日の動作
2022 年 10 月 11 日以降の Windows 累積的な更新プログラムをクライアント コンピューターにインストールすると、ドメイン参加中に、クライアントは既存のコンピューター アカウントを再利用する前に追加のセキュリティ チェックを実行します。 アルゴリズム:
-
操作を試みるユーザーが既存のアカウントの作成者である場合、アカウントの再利用試行が許可されます。
-
アカウントがドメイン管理者のメンバーによって作成された場合、アカウントの再利用試行が許可されます。
これらの追加のセキュリティ チェックは、コンピューターへの参加を試みる前に行われます。 チェックが成功した場合、参加操作の残りの部分は、以前と同様に Active Directory のアクセス許可の対象になります。
この変更は、新しいアカウントには影響しません。
注 2022 年 10 月 11 日以降の Windows 累積的な更新プログラムをインストールすると、コンピューター アカウントの再利用によるドメイン参加が意図的に失敗し、次のエラーが発生する可能性があります。
エラー 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "同じ名前のアカウントが Active Directory に存在します。 アカウントを再利用すると、セキュリティ ポリシーによってブロックされました。
その場合、アカウントは意図的に新しい動作によって保護されます。
上記のエラーが発生すると、イベント ID 4101 がトリガーされ、問題は c:\windows\debug\netsetup.log に記録されます。 次の「アクションの実行」の手順に従って、エラーを理解し、問題を解決してください。
2023 年 3 月 14 日の動作
2023 年 3 月 14 日以降にリリースされた Windows 更新プログラムでは、セキュリティ強化にいくつかの変更を加えた。 これらの変更には、2022 年 10 月 11 日に行われたすべての変更が含まれます。
まず、この強化から除外されるグループの範囲を拡張しました。 ドメイン管理者に加えて、エンタープライズ管理者グループと組み込み管理者グループは所有権チェックから除外されるようになりました。
次に、新しいグループ ポリシー設定を実装しました。 管理者は、これを使用して、信頼されたコンピューター アカウント所有者の許可リストを指定できます。 次のいずれかが当てはまる場合、コンピューター アカウントはセキュリティ チェックをバイパスします。
-
アカウントは、"ドメイン コントローラー: ドメイン参加中にコンピューター アカウントの再利用を許可する" グループ ポリシーで信頼された所有者として指定されたユーザーによって所有されます。
-
アカウントは、"ドメイン コントローラー: ドメイン参加中にコンピューター アカウントの再利用を許可する" グループ ポリシーで信頼された所有者として指定されたグループのメンバーであるユーザーが所有しています。
この新しいグループ ポリシーを使用するには、ドメイン コントローラーとメンバー コンピューターに、2023 年 3 月 14 日以降の更新プログラムが一貫してインストールされている必要があります。 一部のユーザーは、自動コンピューター アカウントの作成で使用する特定のアカウントを持っている可能性があります。 これらのアカウントが不正使用から安全であり、コンピューター アカウントを作成するために信頼している場合は、それらを除外できます。 2022 年 10 月 11 日の Windows 更新プログラムによって軽減された元の脆弱性に対して、引き続きセキュリティで保護されます。
2023 年 9 月 12 日の動作
2023 年 9 月 12 日以降にリリースされた Windows 更新プログラムでは、セキュリティ強化にいくつかの追加の変更を加えた。 これらの変更には、2022 年 10 月 11 日に行われたすべての変更と、2023 年 3 月 14 日からの変更が含まれます。
ポリシー設定に関係なく、スマート カード認証を使用したドメイン参加が失敗する問題に対処しました。 この問題を解決するために、残りのセキュリティ チェックをドメイン コントローラーに戻しました。 そのため、2023 年 9 月のセキュリティ更新プログラムの後、クライアント マシンはドメイン コントローラーに対して認証された SAMRPC 呼び出しを行い、コンピューター アカウントの再利用に関連するセキュリティ検証チェックを実行します。
ただし、次のポリシーが設定されている環境では、ドメイン参加が失敗する可能性があります。 ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限します。 この問題を解決する方法については、「既知の問題」セクションを参照してください。
2024 年 8 月 13 日の動作
2024 年 8 月 13 日以降にリリースされた Windows 更新プログラムでは、Allowlist ポリシーに関する既知のすべての互換性の問題に対処しました。 NetJoinLegacyAccountReuse キーのサポートも削除されました。 セキュリティ強化の動作は、キー設定に関係なく保持されます。 除外を追加するための適切な方法は、以下の「アクションの実行」セクションに記載されています。
対処方法
ドメイン コントローラーのグループ ポリシーを使用して新しい許可リスト ポリシーを構成し、従来のクライアント側の回避策を削除します。 次に、次の操作を行います。
-
2023 年 9 月 12 日以降の更新プログラムは、すべてのメンバー コンピューターとドメイン コントローラーにインストールする必要があります。
-
すべてのドメイン コントローラーに適用される新しいグループ ポリシーまたは既存のグループ ポリシーで、以下の手順で設定を構成します。
-
[ コンピューターの構成]\[ポリシー]\[Windows 設定]\[セキュリティ設定]\[ローカル ポリシー]\[セキュリティ オプション] で、[ ドメイン コントローラー: ドメイン参加中にコンピューター アカウントの再利用を許可する] をダブルクリックします。
-
[このポリシー設定を定義する] を選択し、[セキュリティの編集]を <します。..>。
-
オブジェクト ピッカーを使用して、信頼されたコンピューター アカウントの作成者と所有者のユーザーまたはグループを [許可 ] アクセス許可に追加します。 (ベスト プラクティスとして、アクセス許可にはグループを使用することを強くお勧めします)。 ドメイン参加を実行するユーザー アカウントを追加しないでください。
警告: 信頼されたユーザーとサービス アカウントに対して、ポリシーへのメンバーシップを制限します。 認証されたユーザー、すべてのユーザー、またはその他の大規模なグループをこのポリシーに追加しないでください。 代わりに、特定の信頼されたユーザーとサービス アカウントをグループに追加し、それらのグループをポリシーに追加します。
-
グループ ポリシーの更新間隔を待機するか、すべてのドメイン コントローラーで gpupdate /force を実行します。
-
HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" レジストリ キーに目的の SDDL が設定されていることを確認します。 レジストリを手動で編集しないでください。
-
2023 年 9 月 12 日以降の更新プログラムがインストールされているコンピューターへの参加を試みます。 ポリシーに記載されているアカウントの 1 つがコンピューター アカウントを所有していることを確認します。 ドメイン参加が失敗した場合は、c:\windows\debug\netsetup.log を確認します。
別の回避策が必要な場合は、コンピューター アカウントのプロビジョニング ワークフローを確認し、変更が必要かどうかを理解します。
-
ターゲット ドメインでコンピューター アカウントを作成したのと同じアカウントを使用して、参加操作を実行します。
-
既存のアカウントが古い (未使用) 場合は、ドメインに再度参加する前に削除します。
-
コンピューターの名前を変更し、まだ存在しない別のアカウントを使用して参加します。
-
既存のアカウントが信頼できるセキュリティ プリンシパルによって所有されていて、管理者がアカウントを再利用する場合は、アクションの実行セクションのガイダンスに従って、2023 年 9 月以降の Windows 更新プログラムをインストールし、許可リストを構成します。
非畳み込み
-
Domain Admins セキュリティ グループにサービス アカウントやプロビジョニング アカウントを追加しないでください。
-
以前の所有者アカウントが削除されていない限り、このようなアカウントの所有権を再定義しようとして、コンピューター アカウントのセキュリティ記述子を手動で編集しないでください。 所有者を編集すると、新しいチェックを成功させることができますが、明示的に確認して削除しない限り、コンピューター アカウントは元の所有者に対して同じリスクの高い不要なアクセス許可を保持する可能性があります。
新しいイベント ログ
|
イベント ログ |
制 |
|
イベント ソース |
Netjoin |
|
イベント ID |
4100 |
|
イベント タイプ |
Informational |
|
イベント テキスト |
"ドメイン参加中に、ドメイン コントローラーから Active Directory に同じ名前の既存のコンピューター アカウントが見つかりました。 このアカウントの再利用が許可されました。 ドメイン コントローラーが検索されました:<ドメイン コントローラー名>既存のコンピューター アカウント DN: コンピューター アカウント> の DN パスを <します。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2202145」を参照してください。 |
|
イベント ログ |
SYSTEM |
|
イベント ソース |
Netjoin |
|
イベント ID |
4101 |
|
イベント タイプ |
Error |
|
イベント テキスト |
ドメイン参加中に、ドメイン コントローラーが Active Directory に同じ名前の既存のコンピューター アカウントを見つけました。 セキュリティ上の理由から、このアカウントを再利用しようとしました。 ドメイン コントローラーが検索されました: 既存のコンピューター アカウント DN: エラー コードがエラー コード> <されました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2202145」を参照してください。 |
デバッグ ログは、すべてのクライアント コンピューターで C:\Windows\Debug\netsetup.log で既定で使用できます (詳細ログを有効にする必要はありません)。
セキュリティ上の理由から、アカウントの再利用が妨げられたときに生成されるデバッグ ログの例:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
2023 年 3 月に追加された新しいイベント
この更新プログラムは、次のように、ドメイン コントローラーの SYSTEM ログに 4 つの新しいイベントを追加します。
|
イベント レベル |
Informational |
|
イベント ID |
16995 |
|
ログ |
SYSTEM |
|
イベント ソース |
Directory-Services-SAM |
|
イベント テキスト |
セキュリティ アカウント マネージャーは、ドメイン参加中のコンピューター アカウントの再利用の試行の検証に、指定されたセキュリティ記述子を使用しています。 SDDL 値: SDDL 文字列> < この許可リストは、Active Directory のグループ ポリシーを使用して構成されます。 詳細については、「http://go.microsoft.com/fwlink/?LinkId=2202145」を参照してください。 |
|
イベント レベル |
Error |
|
イベント ID |
16996 |
|
ログ |
SYSTEM |
|
イベント ソース |
Directory-Services-SAM |
|
イベント テキスト |
クライアント要求のドメイン参加の検証に使用されているコンピューター アカウントの再利用許可リストを含むセキュリティ記述子の形式が正しくありません。 SDDL 値: SDDL 文字列> < この許可リストは、Active Directory のグループ ポリシーを使用して構成されます。 この問題を解決するには、管理者はポリシーを更新して、この値を有効なセキュリティ記述子に設定するか、無効にする必要があります。 詳細については、「http://go.microsoft.com/fwlink/?LinkId=2202145」を参照してください。 |
|
イベント レベル |
Error |
|
イベント ID |
16997 |
|
ログ |
SYSTEM |
|
イベント ソース |
Directory-Services-SAM |
|
イベント テキスト |
セキュリティ アカウント マネージャーは、孤立しているように見え、既存の所有者がいないコンピューター アカウントを見つけました。 コンピューター アカウント: S-1-5-xxx コンピューター アカウント所有者: S-1-5-xxx 詳細については、「http://go.microsoft.com/fwlink/?LinkId=2202145」を参照してください。 |
|
イベント レベル |
警告 |
|
イベント ID |
16998 |
|
ログ |
SYSTEM |
|
イベント ソース |
Directory-Services-SAM |
|
イベント テキスト |
セキュリティ アカウント マネージャーは、ドメイン参加中にコンピューター アカウントを再利用するためのクライアント要求を拒否しました。 コンピューター アカウントとクライアント ID がセキュリティ検証チェックを満たしていません。 クライアント アカウント: S-1-5-xxx コンピューター アカウント: S-1-5-xxx コンピューター アカウント所有者: S-1-5-xxx NT エラー コードについて、このイベントのレコード データを確認します。 詳細については、「http://go.microsoft.com/fwlink/?LinkId=2202145」を参照してください。 |
必要に応じて、netsetup.logで詳細情報を提供できます。
既知の問題
|
問題 1 |
2023 年 9 月 12 日以降の更新プログラムをインストールした後、ネットワーク アクセス - SAM へのリモート呼び出しを許可するクライアントの制限 - Windows セキュリティ |Microsoft Learn。 これは、クライアント マシンがドメイン コントローラーに対して認証された SAMRPC 呼び出しを行い、コンピューター アカウントの再利用に関連するセキュリティ検証チェックを実行するようになったためです。 これは予想されます。 この変更に対応するには、管理者はドメイン コントローラーの SAMRPC ポリシーを既定の設定のままにするか、SDDL 設定にドメイン参加を実行するユーザー グループを明示的に含めてアクセス許可を付与する必要があります。 この問題が発生したnetsetup.logの例: |
|
問題 2 |
コンピューター所有者アカウントが削除され、コンピューター アカウントを再利用しようとすると、イベント 16997 がシステム イベント ログに記録されます。 これが発生した場合は、別のアカウントまたはグループに所有権を再割り当てしても問題ありません。 |
|
問題 3 |
クライアントが 2023 年 3 月 14 日以降の更新プログラムのみを持っている場合、Active Directory ポリシー チェックは0x32 STATUS_NOT_SUPPORTEDを返します。 11 月の修正プログラムで実装された以前のチェックは、次のように適用されます。 |
