Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Piezīme.: Atjaunināts 08/13/2024; skatiet rakstu 2024. gada 13. augusta darbība

Kopsavilkums

Windows atjauninājumi, kas izlaisti 2022. gada 11. oktobrī un kas izlaisti pēc tam, satur CVE-2022-38042 ieviestos papildu aizsardzībus. Šīs aizsardzības apzināti neļauj domēna pievienošanas operācijām atkārtoti izmantot mērķa domēnā esošu datora kontu, ja vien:

  • Lietotājs, kas mēģina veikt operāciju, ir esošā konta izveidotājs.

    Vai

  • Datoru izveidoja domēna administratoru dalībnieks.

    Vai

  • Atkārtoti izmantotā datora konta īpašnieks ir domēna kontrollera "Domēna kontrollera: atļaut datora konta atkārtotu izmantošanu domēna pievienošanas laikā" dalībnieks. grupas politikas iestatījumu. Šim iestatījumam ir nepieciešama Windows atjauninājumu instalēšana, kas izlaista 2023. gada 14. martā vai pēc tam, VISOS dalībnieku datoros un domēnu kontrolleros.

Atjauninājumi, kas izlaisti 2023. gada 14. martā un 2023. gada 12. septembrī, nodrošinās papildu opcijas ietekmētajiem klientiem sistēmā Windows Server 2012 R2 un visos atbalstītajos klientos. Papildinformāciju skatiet 2022. gada 11 . oktobra darbībā un sadaļā Rīcība .

Piezīme Šajā rakstā iepriekš bija atsauce uz NetJoinLegacyAccountReuse reģistra atslēgu. No 2024. gada 13. augusta šī reģistra atslēga un atsauces šajā rakstā tika noņemtas. 

Darbība pirms 2022. gada 11. oktobra

Pirms 2022. gada 11. oktobra vai jaunāku atjauninājumu instalēšanas klienta dators pieprasa Active Directory esošam kontam ar tādu pašu nosaukumu. Šis vaicājums tiek izpildīts domēna pievienošanas un datora konta nodrošināšanas laikā. Ja šāds konts pastāv, klients automātiski mēģinās to izmantot atkārtoti.

Piezīme Atkārtotas izmantošanas mēģinājums neizdosies, ja lietotājam, kurš mēģina veikt domēna savienošanu, nav atbilstošo rakstīšanas atļauju. Tomēr, ja lietotājam ir pietiekami daudz atļauju, domēna pievienošana ir sekmīga.

Pastāv divi scenāriji domēna savienojumam ar attiecīgi noklusējuma darbībām un karodziņiem, kā norādīts tālāk.

2022. gada 11. oktobra darbība 

Pēc 2022. gada 11. oktobra vai jaunāku Windows kumulatīvo atjauninājumu instalēšanas klienta datorā domēna pievienošanas laikā klients veiks papildu drošības pārbaudes, pirms mēģināsit atkārtoti izmantot esošu datora kontu. Algoritms:

  1. Konta atkārtotas izmantošanas mēģinājums tiks atļauts, ja lietotājs mēģinās veikt darbību ar esošā konta veidotāju.

  2. Konta atkārtotas izmantošanas mēģinājums tiks atļauts, ja kontu ir izveidojis domēna administratoru dalībnieks.

Šīs papildu drošības pārbaudes tiek veiktas pirms pievienošanās datoram. Ja pārbaudes ir sekmīgas, uz pārējo pievienošanās operāciju attiecas Active Directory atļaujas kā iepriekš.

Šīs izmaiņas neietekmē jaunos kontus.

Piezīme Pēc 2022. gada 11. oktobra vai jaunāku Windows kumulatīvo atjauninājumu instalēšanas domēna savienojums ar datora kontu atkārtoti var būt tīšām neizdoties ar šādu kļūdu:

Kļūdas 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Pakalpojumā Active Directory ir konts ar tādu pašu nosaukumu. Konta atkārtota izmantošana tika bloķēta ar drošības politiku."

Šādā gadījumā kontu ar nolūku aizsargā jaunā darbība.

Pēc iepriekš minētās kļūdas parādīšanās notikuma ID 4101 tiek aktivizēts, un problēma tiks reģistrēta c :\windows\atkļūdošanas\netsetup.log. Veiciet tālāk norādītās darbības rakstā Rīcība, lai izprastu neveiksmi un novērstu problēmu.

2023. gada 14. marta darbība

Windows atjauninājumos, kas izlaisti 2023. gada 14. martā vai pēc tam, mēs veicām dažas izmaiņas drošības drošībai. Šīs izmaiņas ietver visas izmaiņas, ko veicām 2022. gada 11. oktobrī.

Vispirms mēs paplašinājām to grupu tvērumu, kuras ir atbrīvotas no šīs rūcības. Papildus domēnu administratoriem, uzņēmuma administratoriem un iebūvētajām administratoru grupām tagad nav jāpārbauda īpašumtiesības.

Otrkārt, mēs ieviesām jaunu grupas politikas iestatījumu. Administratori to var izmantot, lai norādītu uzticamu datoru kontu īpašnieku atļauto sarakstu. Datora konts apiet drošības pārbaudi, ja ir spēkā viens no šiem nosacījumiem:

  • Konts pieder lietotājam, kas grupas politikā "Domēna kontrolleris: atļaut datora kontu atkārtoti izmantot domēna pievienošanas laikā" kā uzticams īpašnieks.

  • Konts pieder lietotājam, kurš ir grupas dalībnieks, grupas politikā "Domēna kontrolleris: atļaut datora kontu atkārtoti izmantot domēna pievienošanas laikā" kā uzticams īpašnieks.

Lai izmantotu šo jauno grupas politiku, domēna kontrollerim un dalībnieka datoram konsekventi ir jābūt instalētam 2023. gada 14. marta vai jaunākas versijas atjauninājumam. Dažiem no jums var būt konkrēti konti, kurus izmantojat automatizētā datora konta izveidei. Ja šo kontu izmantošana ir droša pret ļaunprātīgu izmantošanu un uzticaties viņiem, lai izveidotu datora kontus, varat tos atbrīvot. Jūs joprojām būsiet aizsargāts pret sākotnējo ievainojamību, ko novērš 2022. gada 11. oktobra Windows atjauninājumi.

2023. gada 12. septembra darbība

Windows atjauninājumos, kas izlaisti 2023. gada 12. septembrī vai pēc tam, mēs veicām dažas papildu izmaiņas drošības drošībai. Šīs izmaiņas ietver visas izmaiņas, ko veicām 2022. gada 11. oktobrī, un izmaiņas no 2023. gada 14. marta.

No tika novērsta problēma, kur domēna pievienošana, izmantojot viedkartes autentifikāciju, neizdevās neatkarīgi no politikas iestatījuma. Lai novērstu šo problēmu, pārējās drošības pārbaudes pārvietojām atpakaļ uz domēna kontrolleri. Tāpēc pēc 2023. gada septembra drošības atjauninājuma klientu datori autentificē SAMRPC izsauc domēna kontrollerim drošības validācijas pārbaudes, kas saistītas ar datoru kontu atkārtotu izmantotāju.

Tomēr tas var izraisīt domēna savienojuma atteici vidē, kurā iestatīta šāda politika: Tīkla piekļuve: Ierobežot klientu piekļuvi attālajiem zvaniem uz SAM.  Informāciju par to, kā novērst šo problēmu, skatiet sadaļā "Zināmās problēmas".

2024. gada 13. augusta darbība

Windows atjauninājumos, kas izlaisti 2024. gada 13. augustā vai pēc tam, ir novērstas visas zināmās saderības problēmas ar politiku Allowlist. Noņēmām arī atbalstu atslēgu NetJoinLegacyAccountReuse . Rūdīšanas darbība saglabāsies neatkarīgi no atslēgas iestatījuma. Atbilstošas atbrīvošanas pievienošanas metodes ir uzskaitītas tālāk sadaļā Take Action (Veikt darbību). 

Rīcība

Konfigurējiet jauno atļauto sarakstu politiku, izmantojot grupas politiku domēna kontrollerī un noņemiet visus mantotos klienta puses risinājumus. Pēc tam rīkojieties šādi:

  1. 2023. gada 12. septembris ir jāinstalē vai jaunāks atjauninājums visos dalībnieku datoros un domēnu kontrolleros. 

  2. Jaunā vai esošā grupas politikā, kas attiecas uz visiem domēna kontrolleriem, konfigurējiet iestatījumus tālāk esošajās darbībās.

  3. Sadaļā Datora konfigurācija\Politikas\Windows Iestatījumi\Drošības iestatījumi\Lokālās politikas\Drošības opcijas veiciet dubultklikšķi uz Domēna kontrolleris: atļaut datora konta atkārtotu izmantošanu domēna pievienošanas laikā.

  4. Atlasiet Definēt šo politikas iestatījumu un <Rediģēt drošību...>.

  5. Izmantojiet objektu atlasītāju, lai atļauju atļautu pievienot uzticamu datoru kontu veidotājus un īpašniekus vai grupu lietotājus vai grupas. (Ieteicams izmantot grupas atļauju apmaiņai.) Ne pievienojiet lietotāja kontu, kas veic domēna pievienošanos.

    Brīdinājums.: Ierobežot dalību politikā tikai uzticamiem lietotājiem un pakalpojumu kontiem. Šai politikai ne pievienot autentificētus lietotājus, ne visas, ne citas lielas grupas. Tā vietā pievienojiet grupai konkrētus uzticamus lietotājus un pakalpojumu kontus un pievienojiet šīs grupas politikai.

  6. Uzgaidiet, līdz grupas politikas atsvaidzināšanas intervāls tiek izpildīts gpupdate /force uz visiem domēna kontrolleriem.

  7. Pārliecinieties, vai HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" reģistra atslēga tiek aizpildīta ar vēlamo SDDL. Nerediģējat reģistru manuāli.

  8. Mēģiniet pievienoties datoram, kurā ir instalēti 2023. gada 12. septembra vai jaunākas versijas atjauninājumi. Nodrošiniet, lai vienam no politikā minētajiem kontiem būtu datora konta īpašumtiesības. Ja domēna pievienošana neizdodas, pārbaudiet izvēles rūtiņu c:\windows\atkļūdot\netsetup.log.

Ja jums joprojām ir nepieciešams alternatīvs risinājums, pārskatiet datora konta nodrošināšanas darbplūsmas un saprotiet, vai ir nepieciešamas izmaiņas. 

  1. Veiciet pievienošanās darbību, izmantojot to pašu kontu, kas mērķa domēnā izveidoja datora kontu.

  2. Ja esošais konts ir novecošs (neizmantots), izdzēsiet to, pirms mēģināt pievienoties domēnam vēlreiz.

  3. Pārdēvējiet datoru un pievienojieties, izmantojot citu kontu, kurš vēl nepastāv.

  4. Ja esošais konts pieder uzticamam drošības pamatsummai un administrators vēlas atkārtoti izmantot kontu, izpildiet sadaļā Darbība norādītās darbības norādījumus, lai instalētu 2023. gada septembra vai jaunāku Windows atjauninājumu un konfigurētu atļauto vienumu sarakstu.

Nesolutions

  • Ne add service accounts or provisioning accounts to the Domain Admins security group.

  • Nerediģējat drošības deskriptoru datora kontos, mēģinot atkārtoti definēt šādu kontu īpašumtiesības, ja vien iepriekšējais īpašnieka konts nav izdzēsts. Rediģējot īpašnieku, jaunās pārbaudes ļaus gūt panākumus, datora konts, iespējams, saglabās to pašu iespējamo risku, nevajadzīgas atļaujas sākotnējam īpašniekam, ja vien nav tieši pārskatītas un noņemtas.

Jauni notikumu žurnāli

Notikumu žurnāls

SISTĒMA  

Notikuma avots

Netjoin

Notikuma ID

4100

Notikuma tips

Informācijas

Notikuma teksts

"Domēna pievienošanas laikā domēna kontrolleris, ar kuru sazinājās, atrada esošu datora kontu pakalpojumā Active Directory ar tādu pašu nosaukumu.

Tika atļauts atkārtoti izmantot šo kontu.

Domēna kontrollera meklēšana: <domēna kontrollera nosaukuma>Esošā datora konta DN: <DN ceļš datora kontam>. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2202145 šeit: Citi.

Notikumu žurnāls

SISTĒMA

Notikuma avots

Netjoin

Notikuma ID

4101

Notikuma tips

Kļūda

Notikuma teksts

Domēna pievienošanas laikā domēna kontrolleris, ar kuru sazinājās, atrada esošu datora kontu pakalpojumā Active Directory ar tādu pašu nosaukumu. Drošības apsvērumu dēļ tika novērsts mēģinājums atkārtoti izmantot šo kontu. Domēna kontrollera meklēšana: esošā datora konta DN: Kļūdas kods tika <koda>. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2202145 šeit: Citi.

Atkļūdošanas reģistrēšana ir pieejama pēc noklusējuma (nav jāiespējo jebkāda izvērstā reģistrēšana) C:\Windows\atkļūdošanas\netsetup.log visos klientu datoros.

Atkļūdošanas reģistrēšanas piemērs, kas ģenerēts, ja konta atkārtota izmantošana ir novērsta drošības apsvērumu dēļ:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

2023. gada martā pievienoti jauni notikumi 

Šajā atjauninājumā tiek pievienotas četras (4) jaunas notikumi SYSTEM žurnālā domēna kontrollerī šādi:

Notikuma līmenis

Informācijas

Notikuma ID

16995

Žurnāla

SISTĒMA

Notikuma avots

Directory-Services-SAM

Notikuma teksts

Drošības konta pārvaldnieks izmanto norādīto drošības deskriptoru datora konta atkārtotas izmantošanas mēģinājumu validācijai domēna pievienošanās laikā.

SDDL vērtība: <SDDL virknes>

Šis atļauto vienumu saraksts tiek konfigurēts, izmantojot grupas politiku pakalpojumā Active Directory.

Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145.

Notikuma līmenis

Kļūda

Notikuma ID

16996

Žurnāla

SISTĒMA

Notikuma avots

Directory-Services-SAM

Notikuma teksts

Drošības vienums, kas satur datora konta atkārtotas lietošanas atļauto vienumu sarakstu, kas tiek izmantots, lai validētu klientu pieprasījumu domēna savienojumu, ir nepareizi formatēts.

SDDL vērtība: <SDDL virknes>

Šis atļauto vienumu saraksts tiek konfigurēts, izmantojot grupas politiku pakalpojumā Active Directory.

Lai novērstu šo problēmu, administratoram ir jāatjaunina politika, lai iestatītu šo vērtību kā derīgu drošības deskriptoru vai to atspējotu.

Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145.

Notikuma līmenis

Kļūda

Notikuma ID

16997

Žurnāla

SISTĒMA

Notikuma avots

Directory-Services-SAM

Notikuma teksts

Drošības konta pārvaldnieks atrada datora kontu, kas šķiet bez īpašnieka un kam nav esoša īpašnieka.

Datora konts: S-1-5-xxx

Datora konta īpašnieks: S-1-5-xxx

Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145.

Notikuma līmenis

Brīdinājums

Notikuma ID

16998

Žurnāla

SISTĒMA

Notikuma avots

Directory-Services-SAM

Notikuma teksts

Drošības kontu pārvaldnieks noraidīja klienta pieprasījumu atkārtoti izmantot datora kontu domēna pievienošanās laikā.

Datora konts un klienta identitāte neatbilda drošības validācijas pārbaudēm.

Klienta konts: S-1-5-xxx

Datora konts: S-1-5-xxx

Datora konta īpašnieks: S-1-5-xxx

Pārbaudiet šī notikuma ierakstu datus, lai iegūtu NT kļūdas kodu.

Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145.

Nepieciešamības gadījumā netsetup.log papildinformāciju.

Zināmās problēmas

1. problēma

Pēc 2023. gada 12. septembra vai jaunākas versijas atjauninājumu instalēšanas domēna savienojums var neizdoties vidē, kur iestatīta šāda politika: Tīkla piekļuve — Ierobežot klientu piekļuvi attāliem zvaniem uz SAM — Windows drošība | Microsoft iemācieties. Tas ir tāpēc, ka klienta datori tagad veic autentificētu SAMRPC zvanus domēna kontrollerim, lai veiktu drošības validācijas pārbaudes saistībā ar datoru kontu atkārtotu pārbaudi.     Tā ir paredzama. Lai veiktu šīs izmaiņas, administratoriem vai nu jāsaglabā domēna kontrollera SAMRPC politika noklusējuma iestatījumos, VAI tieši jāiekļauj lietotāju grupa, kas izmanto domēna savienojumu SDDL iestatījumos, lai piešķirtu viņiem atļauju. 

Piemērs no problēmas netsetup.log kur radās šī problēma:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

2. problēma

Ja datora īpašnieka konts ir izdzēsts un notiek mēģinājums atkārtoti izmantot datora kontu, sistēmas notikumu žurnālā tiek reģistrēts notikums 16997. Ja tā notiek, ir pietiekami atkārtoti piešķirt īpašumtiesības citam kontam vai grupai.

3. problēma

Ja tikai klientam ir 2023. gada 14. marta vai jaunākas versijas atjauninājums, Active Directory politikas pārbaude atgriezīs 0x32 STATUS_NOT_SUPPORTED. Iepriekšējās pārbaudes, kas tika ieviestas novembra labojumfailos, tiks lietotas, kā parādīts tālāk.

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.