Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Obs!: Oppdatert 13.08.2024; se virkemåten for 13. august 2024

Oppsummering

Windows-oppdateringer utgitt 11. oktober 2022 inneholder ytterligere beskyttelser introdusert av CVE-2022-38042. Disse beskyttelsene hindrer med hensikt at domenekoblingsoperasjoner gjenbruker en eksisterende datamaskinkonto i måldomenet, med mindre:

  • Brukeren som prøver operasjonen, er oppretteren av den eksisterende kontoen.

    Eller

  • Datamaskinen ble opprettet av et medlem av domeneadministratorer.

    Eller

  • Eieren av datamaskinkontoen som brukes på nytt, er medlem av domenekontrolleren: Tillat gjenbruk av datamaskinkonto under domenetilføyning. Gruppepolicyinnstilling. Denne innstillingen krever installasjon av Windows-oppdateringer utgitt på eller etter 14. mars 2023, på ALLE medlemsdatamaskiner og domenekontrollere.

Oppdateringer utgitt 14. mars 2023 og 12. september 2023 gir flere alternativer for berørte kunder på Windows Server 2012 R2 og nyere og alle støttede klienter. Hvis du vil ha mer informasjon, kan du se avsnittene 11. oktober 2022 og Ta handling .

Notat Denne artikkelen refererte tidligere til en NetJoinLegacyAccountReuse-registernøkkel . Fra og med 13. august 2024 ble denne registernøkkelen og referansene i denne artikkelen fjernet. 

Virkemåte før 11. oktober 2022

Før du installerer kumulative oppdateringer 11. oktober 2022 eller nyere, spør klientdatamaskinen Active Directory om en eksisterende konto med samme navn. Denne spørringen forekommer under domenetilføyning og klargjøring av datamaskinkonto. Hvis en slik konto finnes, vil klienten automatisk prøve å bruke den på nytt.

Notat Forsøket på gjenbruk mislykkes hvis brukeren som prøver å koble til domenet, ikke har de riktige skrivetillatelsene. Hvis brukeren har nok tillatelser, vil imidlertid domenekoblingen lykkes.

Det finnes to scenarioer for domenetilføyning med respektive standardvirkemåter og flagg som følger:

Virkemåte 11. oktober 2022 

Når du installerer de kumulative oppdateringene for 11. oktober 2022 eller nyere windows på en klientdatamaskin, utfører klienten flere sikkerhetskontroller under domenetilføyningen før du prøver å bruke en eksisterende datamaskinkonto på nytt. Algoritme:

  1. Forsøk på gjenbruk av konto tillates hvis brukeren som prøver operasjonen, er oppretteren av den eksisterende kontoen.

  2. Forsøk på gjenbruk av konto tillates hvis kontoen ble opprettet av et medlem av domeneadministratorer.

Disse ekstra sikkerhetskontrollene utføres før du prøver å bli med på datamaskinen. Hvis kontrollene lykkes, er resten av sammenføyningsoperasjonen underlagt Active Directory-tillatelser som før.

Denne endringen påvirker ikke nye kontoer.

Obs!   Når du har installert de kumulative oppdateringene for Windows 11. oktober 2022 eller nyere, kan det hende at domenekoblingen med datakontobruk med hensikt mislykkes med følgende feil:

Feil 0xaac (2732): NERR_AccountReuseBlockedByPolicy: «Det finnes en konto med samme navn i Active Directory. Ny bruk av kontoen ble blokkert av sikkerhetspolicy.»

I så fall beskyttes kontoen med hensikt av den nye virkemåten.

Hendelses-ID 4101 utløses når feilen ovenfor oppstår, og problemet blir logget på c:\windows\debug\netsetup.log. Følg fremgangsmåten nedenfor i Utfør handling for å forstå feilen og løse problemet.

Virkemåte 14. mars 2023

I Windows-oppdateringene som ble utgitt 14. mars 2023, gjorde vi noen endringer i sikkerhetsherdingen. Disse endringene inkluderer alle endringene vi gjorde i 11. oktober 2022.

Først utvidet vi omfanget av grupper som er unntatt fra denne herdingen. I tillegg til domeneadministratorer er enterprise-administratorer og innebygde administratorgrupper nå unntatt fra eierskapskontrollen.

For det andre har vi implementert en ny gruppepolicyinnstilling. Administratorer kan bruke den til å angi en tillatelsesliste over klarerte datamaskinkontoeiere. Datamaskinkontoen vil omgå sikkerhetskontrollen hvis ett av følgende er sant:

  • Kontoen eies av en bruker som er angitt som en klarert eier i gruppepolicyen «Domenekontroller: Tillat gjenbruk av datamaskinkonto under domenetilføyning».

  • Kontoen eies av en bruker som er medlem av en gruppe som er angitt som en klarert eier i gruppepolicyen «Domenekontroller: Tillat gjenbruk av datamaskinkonto under domenetilføyning».

Hvis du vil bruke denne nye gruppepolicyen, må domenekontrolleren og medlemsdatamaskinen konsekvent ha oppdateringen 14. mars 2023 eller nyere installert. Noen av dere kan ha bestemte kontoer som du bruker i automatisert datamaskinkontooppretting. Hvis disse kontoene er trygge mot misbruk og du stoler på dem for å opprette datakontoer, kan du frita dem. Du vil fortsatt være sikker mot det opprinnelige sikkerhetsproblemet som er redusert innen Windows-oppdateringene 11. oktober 2022.

Virkemåte 12. september 2023

I Windows-oppdateringene som ble utgitt på eller etter 12. september 2023, gjorde vi noen flere endringer i sikkerhetsherdingen. Disse endringene omfatter alle endringene vi gjorde i 11. oktober 2022, og endringene fra 14. mars 2023.

Vi løste et problem der domenetilføyning ved hjelp av smartkortgodkjenning mislyktes uavhengig av policyinnstillingen. For å løse dette problemet flyttet vi de gjenværende sikkerhetskontrollene tilbake til domenekontrolleren. Derfor, etter sikkerhetsoppdateringen for september 2023, foretar klientmaskiner godkjente SAMRPC-kall til domenekontrolleren for å utføre sikkerhetsvalideringskontroller relatert til gjenbruk av datamaskinkontoer.

Dette kan imidlertid føre til at domenekobling mislykkes i miljøer der følgende policy er angitt: Nettverkstilgang: Begrense klienter som har tillatelse til å foreta eksterne anrop til SAM.  Se delen Kjente problemer hvis du vil ha informasjon om hvordan du løser dette problemet.

Virkemåte 13. august 2024

I Windows-oppdateringene som ble utgitt 13. august 2024, løste vi alle kjente kompatibilitetsproblemer med policyen allowlist. Vi fjernet også støtte for NetJoinLegacyAccountReuse-nøkkelen . Herdingsvirkemåten beholdes uavhengig av nøkkelinnstillingen. De riktige metodene for å legge til unntak er oppført i Delen Utfør handling nedenfor. 

Utfør handling

Konfigurer den nye policyen for tillatelsesliste ved hjelp av gruppepolicyen på en domenekontroller, og fjern eventuelle eldre midlertidige løsninger på klientsiden. Gjør deretter følgende:

  1. Du må installere oppdateringene 12. september 2023 eller senere på alle medlemsdatamaskiner og domenekontrollere. 

  2. I en ny eller eksisterende gruppepolicy som gjelder for alle domenekontrollere, konfigurerer du innstillingene i trinnene nedenfor.

  3. Dobbeltklikk domenekontroller under Datamaskinkonfigurasjon\Policyer\Windows-innstillinger\Sikkerhetsinnstillinger\Lokale policyer\Sikkerhetsalternativer: Tillat ny bruk av datamaskinkonto under domenetilføyning.

  4. Velg Definer denne policyinnstillingen , og <Rediger sikkerhet...>.

  5. Bruk objektvelgeren til å legge til brukere eller grupper med klarerte datamaskinkontoopprettere og -eiere i Tillatelse-tillatelsen . (Som anbefalt fremgangsmåte anbefaler vi på det sterkeste at du bruker grupper for tillatelser.) Ikke legg til brukerkontoen som utfører domenekoblingen.

    Advarsel!: Begrens medlemskap til policyen til klarerte brukere og tjenestekontoer. Ikke legg til godkjente brukere, alle eller andre store grupper i denne policyen. Legg i stedet til bestemte klarerte brukere og tjenestekontoer i grupper og legg til disse gruppene i policyen.

  6. Vent på oppdateringsintervallet for gruppepolicy eller kjør gpupdate /force på alle domenekontrollere.

  7. Kontroller at registernøkkelen HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" er fylt ut med ønsket SDDL. Ikke rediger registeret manuelt.

  8. Prøv å koble til en datamaskin som har oppdateringene 12. september 2023 eller nyere installert. Kontroller at én av kontoene som er oppført i policyen eier datamaskinkontoen. Hvis domenekoblingen mislykkes, kan du kontrollere c:\windows\debug-\netsetup.log.

Hvis du fortsatt trenger en alternativ løsning, kan du se gjennom arbeidsflyter for klargjøring av datamaskinkonto og forstå om det kreves endringer. 

  1. Utfør sammenføyningsoperasjonen ved hjelp av den samme kontoen som opprettet datamaskinkontoen i måldomenet.

  2. Hvis den eksisterende kontoen er foreldet (ubrukt), sletter du den før du prøver å bli med i domenet på nytt.

  3. Gi nytt navn til datamaskinen og bli med ved hjelp av en annen konto som ikke allerede finnes.

  4. Hvis den eksisterende kontoen eies av en klarert sikkerhetskontohaver og en administrator ønsker å bruke kontoen på nytt, følger du veiledningen i Delen Utfør handling for å installere Windows-oppdateringene for september 2023 eller senere og konfigurere en tillatelsesliste.

Ikke-oppløsninger

  • Ikke legg til tjenestekontoer eller klargjøringskontoer i sikkerhetsgruppen domeneadministratorer.

  • Ikke rediger sikkerhetsbeskrivelsen manuelt på datamaskinkontoer i et forsøk på å omdefinere eierskapet til slike kontoer, med mindre den forrige eierkontoen er slettet. Selv om redigering av eieren gjør det mulig for de nye kontrollene å lykkes, kan det hende at datamaskinkontoen beholder de samme potensielt risikable, uønskede tillatelsene for den opprinnelige eieren, med mindre den er eksplisitt gjennomgått og fjernet.

Nye hendelseslogger

Hendelseslogg

SYSTEM  

Hendelseskilde

Netjoin

Hendelses-ID

4100

Hendelsestype

Informativ

Hendelsestekst

"Under domenetilføyning fant domenekontrolleren en eksisterende datamaskinkonto i Active Directory med samme navn.

Et forsøk på å bruke denne kontoen på nytt var tillatt.

Domenekontroller søkte: <domenekontrollernavn>Eksisterende datamaskinkonto-DN: <DN-bane for> for datamaskinkonto. Se https://go.microsoft.com/fwlink/?linkid=2202145 for mer informasjon.

Hendelseslogg

SYSTEM

Hendelseskilde

Netjoin

Hendelses-ID

4101

Hendelsestype

Feil

Hendelsestekst

Under domenetilføyning fant domenekontrolleren en eksisterende datamaskinkonto i Active Directory med samme navn. Et forsøk på å bruke denne kontoen på nytt ble forhindret av sikkerhetsårsaker. Domenekontroller søkte: Eksisterende datakonto-DN: Feilkoden ble <feilkode>. Se https://go.microsoft.com/fwlink/?linkid=2202145 for mer informasjon.

Feilsøkingslogging er tilgjengelig som standard (du trenger ikke å aktivere detaljert logging) i C:\Windows\Debug\netsetup.log på alle klientdatamaskiner.

Eksempel på feilsøkingslogging som genereres når gjenbruk av kontoen er forhindret av sikkerhetsårsaker:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nye hendelser lagt til i mars 2023 

Denne oppdateringen legger til fire (4) nye hendelser i SYSTEM-loggen på domenekontrolleren på følgende måte:

Hendelsesnivå

Informativ

Hendelses-ID

16995

Logg

SYSTEM

Hendelseskilde

Directory-Services-SAM

Hendelsestekst

Sikkerhetskontoadministratoren bruker den angitte sikkerhetsbeskrivelsen for validering av forsøk på gjenbruk av datamaskinkonto under domenetilføyning.

SDDL-verdi: <SDDL-streng>

Denne tillatelseslisten er konfigurert gjennom gruppepolicy i Active Directory.

Hvis du vil ha mer informasjon, kan du se http://go.microsoft.com/fwlink/?LinkId=2202145.

Hendelsesnivå

Feil

Hendelses-ID

16996

Logg

SYSTEM

Hendelseskilde

Directory-Services-SAM

Hendelsestekst

Sikkerhetsbeskrivelsen som inneholder tillatelseslisten for ny bruk av datamaskinkontoen som brukes til å validere domenekobling for klientforespørsler, er feil utformet.

SDDL-verdi: <SDDL-streng>

Denne tillatelseslisten er konfigurert gjennom gruppepolicy i Active Directory.

For å løse dette problemet må en administrator oppdatere policyen for å angi denne verdien til en gyldig sikkerhetsbeskrivelse eller deaktivere den.

Hvis du vil ha mer informasjon, kan du se http://go.microsoft.com/fwlink/?LinkId=2202145.

Hendelsesnivå

Feil

Hendelses-ID

16997

Logg

SYSTEM

Hendelseskilde

Directory-Services-SAM

Hendelsestekst

Sikkerhetskontoadministratoren fant en datamaskinkonto som ser ut til å være frittstående og ikke har en eksisterende eier.

Datamaskin konto: S-1-5-xxx

Eier av datamaskinkonto: S-1-5-xxx

Hvis du vil ha mer informasjon, kan du se http://go.microsoft.com/fwlink/?LinkId=2202145.

Hendelsesnivå

Advarsel

Hendelses-ID

16998

Logg

SYSTEM

Hendelseskilde

Directory-Services-SAM

Hendelsestekst

Sikkerhetskontoadministratoren avviste en klientforespørsel om å bruke en datamaskinkonto på nytt under domenetilføyning.

Datamaskinkontoen og klientidentiteten oppfylte ikke sikkerhetsvalideringskontrollene.

Klientkonto: S-1-5-xxx

Datamaskin konto: S-1-5-xxx

Eier av datamaskinkonto: S-1-5-xxx

Kontroller postdataene for denne hendelsen for NT-feilkoden.

Hvis du vil ha mer informasjon, kan du se http://go.microsoft.com/fwlink/?LinkId=2202145.

Hvis det er nødvendig, kan netsetup.log gi mer informasjon.

Kjente problemer

Problem 1

Etter å ha installert oppdateringene 12. september 2023 eller senere, kan domenetilføyning mislykkes i miljøer der følgende policy er angitt: Nettverkstilgang - Begrense klienter som har tillatelse til å foreta eksterne anrop til SAM - Windows Security | Microsoft Learn. Dette er fordi klientmaskiner nå foretar godkjente SAMRPC-kall til domenekontrolleren for å utføre sikkerhetsvalideringskontroller relatert til gjenbruk av datamaskinkontoer.     Dette er forventet. For å imøtekomme denne endringen bør administratorer enten beholde domenekontrollerens SAMRPC-policy ved standardinnstillingene ELLER eksplisitt inkludere brukergruppen som utfører domenetilføyningen i SDDL-innstillingene for å gi dem tillatelse. 

Eksempel fra en netsetup.log der dette problemet oppstod:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problem 2

Hvis kontoen til datamaskineieren er slettet, og det oppstår et forsøk på å bruke datamaskinkontoen på nytt, logges hendelse 16997 i systemhendelsesloggen. Hvis dette skjer, er det greit å tilordne eierskap til en annen konto eller gruppe på nytt.

Problem 3

Hvis bare klienten har oppdateringen 14. mars 2023 eller senere, returnerer Active Directory-policykontrollen 0x32 STATUS_NOT_SUPPORTED. Tidligere kontroller som ble implementert i november-hurtigreparasjonene, gjelder som vist nedenfor:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.