Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Uwaga: Zaktualizowano 13.08.2024 r.; zobacz zachowanie z 13 sierpnia 2024 r.

Podsumowanie

Aktualizacje systemu Windows wydane 11 października 2022 r. zawierają dodatkowe zabezpieczenia wprowadzone przez program CVE-2022-38042. Te zabezpieczenia celowo uniemożliwiają operacjom dołączania do domeny ponowne używanie istniejącego konta komputera w domenie docelowej, chyba że:

  • Użytkownik próbujący akcji jest twórcą istniejącego konta.

    Lub

  • Komputer został utworzony przez członka administratora domeny.

    Lub

  • Właściciel konta komputera, którego użyto ponownie, jest członkiem "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny". Ustawienie Zasad grupy. To ustawienie wymaga zainstalowania aktualizacji systemu Windows wydanych 14 marca 2023 r. lub później na wszystkich komputerach członków i kontrolerach domeny.

Aktualizacje wydane 14 marca 2023 r. i 12 września 2023 r. będą zapewniać dodatkowe opcje dla klientów, których dotyczy problem, w systemie Windows Server 2012 R2 i w nowszych wersjach oraz dla wszystkich obsługiwanych klientów. Aby uzyskać więcej informacji, zobacz sekcje Zachowanie z 11 października 2022 r. i Wykonywanie akcji .

Nuta Ten artykuł wcześniej odwoływał się do klucza rejestru NetJoinLegacyAccountReuse . Od 13 sierpnia 2024 r. ten klucz rejestru i jego odwołania w tym artykule zostały usunięte. 

Zachowanie przed 11 października 2022 r.

Przed zainstalowaniem aktualizacji zbiorczych z 11 października 2022 r. lub nowszych klient wysyła zapytanie do usługi Active Directory dla istniejącego konta o tej samej nazwie. To zapytanie występuje podczas dołączania do domeny i inicjowania obsługi konta komputera. Jeśli takie konto istnieje, klient automatycznie podejmie próbę jego ponownego użycia.

Nuta Próba ponownego użycia zakończy się niepowodzeniem, jeśli użytkownik, który podejmie próbę dołączenia do domeny, nie ma odpowiednich uprawnień zapisu. Jeśli jednak użytkownik ma wystarczająco dużo uprawnień, sprzężenie do domeny zakończy się pomyślnie.

Istnieją dwa scenariusze dołączania do domeny z odpowiednimi zachowaniami domyślnymi i flagami w następujący sposób:

Zachowanie z 11 października 2022 r. 

Po zainstalowaniu aktualizacji zbiorczych systemu Windows z 11 października 2022 r. lub nowszych na komputerze klienckim podczas dołączania do domeny klient wykona dodatkowe testy zabezpieczeń przed podjęciem próby ponownego użycia istniejącego konta komputera. Algorytm:

  1. Próba ponownego użycia konta będzie dozwolona, jeśli użytkownik próbujący podjąć operację jest twórcą istniejącego konta.

  2. Próba ponownego użycia konta będzie dozwolona, jeśli konto zostało utworzone przez członka administratora domeny.

Te dodatkowe testy zabezpieczeń są wykonywane przed próbą dołączenia do komputera. Jeśli testy zostaną zakończone pomyślnie, pozostała część operacji sprzężenia będzie podlegać uprawnieniom usługi Active Directory, tak jak wcześniej.

Ta zmiana nie ma wpływu na nowe konta.

Uwaga Po zainstalowaniu aktualizacji zbiorczych systemu Windows z 11 października 2022 r. lub nowszych, dołączanie do domeny przy użyciu ponownego użycia konta komputera może celowo zakończyć się niepowodzeniem z następującym błędem:

0xaac błędu (2732): NERR_AccountReuseBlockedByPolicy: "W usłudze Active Directory istnieje konto o tej samej nazwie. Ponowne użycie konta zostało zablokowane przez zasady zabezpieczeń".

Jeśli tak, konto jest celowo chronione przez nowe zachowanie.

Identyfikator zdarzenia 4101 zostanie wyzwolony po wystąpieniu powyższego błędu, a problem zostanie zarejestrowany w \netsetup.log c:\windows\debugowania. Wykonaj poniższe czynności w sekcji Wykonywanie akcji, aby zrozumieć błąd i rozwiązać problem.

Zachowanie z 14 marca 2023 r.

W aktualizacjach systemu Windows wydanych 14 marca 2023 r. lub później wprowadziliśmy kilka zmian w zaostrzaniu zabezpieczeń. Zmiany te obejmują wszystkie zmiany wprowadzone 11 października 2022 r.

Po pierwsze, rozszerzyliśmy zakres grup, które są zwolnione z tego hartowania. Oprócz administratorów domeny grupy Administratorzy przedsiębiorstwa i Administratorzy wbudowani są teraz zwolnione z kontroli własności.

Następnie wdrożyliśmy nowe ustawienie zasad grupy. Za jego pomocą administratorzy mogą określić listę dozwolonych zaufanych właścicieli kont komputerów. Konto komputera ominie sprawdzanie zabezpieczeń, jeśli jest spełniony jeden z następujących warunków:

  • Konto jest własnością użytkownika określonego jako zaufany właściciel w zasadach grupy "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny".

  • Konto jest własnością użytkownika, który jest członkiem grupy określonej jako zaufany właściciel w zasadach grupy "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny".

Aby można było korzystać z nowych zasad grupy, kontroler domeny i komputer członkowski muszą mieć zawsze zainstalowaną aktualizację z 14 marca 2023 r. lub nowszą. Niektóre z Was mogą mieć określone konta, których używasz podczas automatycznego tworzenia konta komputera. Jeśli te konta są bezpieczne przed nadużyciami i ufasz im, że utworzysz konta na komputerze, możesz je wykluczyć. Nadal będziesz zabezpieczać się przed pierwotną luką w zabezpieczeniach, która została ograniczona do aktualizacji systemu Windows z 11 października 2022 r.

Zachowanie z 12 września 2023 r.

W aktualizacjach systemu Windows wydanych 12 września 2023 r. lub później wprowadziliśmy kilka dodatkowych zmian w zaostrzaniu zabezpieczeń. Zmiany te obejmują wszystkie zmiany wprowadzone 11 października 2022 r. oraz zmiany z 14 marca 2023 r.

Rozwiązano problem polegający na tym, że przyłączanie do domeny przy użyciu karty inteligentnej nie powiodło się niezależnie od ustawienia zasad. Aby rozwiązać ten problem, przenieśliśmy pozostałe testy zabezpieczeń z powrotem na kontroler domeny. W związku z tym po aktualizacji zabezpieczeń z września 2023 r. komputery klienckie wykonują uwierzytelnione wywołania SAMRPC do kontrolera domeny w celu przeprowadzenia testów sprawdzania poprawności zabezpieczeń związanych z ponownym używaniem kont komputerów.

Może to jednak spowodować niepowodzenie sprzężenia domeny w środowiskach, w których ustawiono następujące zasady : Dostęp do sieci: Ograniczanie klientów uprawnionych do zdalnego nawiązywania połączeń z usługą SAM.  Aby uzyskać informacje na temat sposobu rozwiązania tego problemu, zobacz sekcję "Znane problemy".

Zachowanie z 13 sierpnia 2024 r.

W aktualizacjach systemu Windows wydanych 13 sierpnia 2024 r. lub później rozwiązaliśmy wszystkie znane problemy ze zgodnością związane z zasadami listy dozwolonych. Usunęliśmy również obsługę klucza NetJoinLegacyAccountReuse . Zachowanie zaostrzania będzie się utrzymywać niezależnie od ustawienia. Odpowiednie metody dodawania zwolnień przedstawiono w poniższej sekcji Wykonywanie działań. 

Podejmij działanie

Skonfiguruj nowe zasady listy dozwolonych przy użyciu zasad grupy na kontrolerze domeny i usuń wszelkie starsze obejścia po stronie klienta. Następnie wykonaj następujące czynności:

  1. Musisz zainstalować aktualizacje z 12 września 2023 r. lub nowsze na wszystkich komputerach członków i kontrolerach domeny. 

  2. W nowych lub istniejących zasadach grupy, które dotyczą wszystkich kontrolerów domeny, skonfiguruj ustawienia w poniższych krokach.

  3. W obszarze Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń kliknij dwukrotnie pozycję Kontroler domeny: Zezwalaj na ponowne używanie konta komputera podczas przyłączania do domeny.

  4. Wybierz pozycję Zdefiniuj to ustawienie zasad , a <Edytuj zabezpieczenia...>.

  5. Użyj selektora obiektów, aby dodać użytkowników lub grupy zaufanych twórców i właścicieli kont komputerowych do uprawnienia Zezwalaj . (Jako najlepsze rozwiązanie zdecydowanie zalecamy używanie grup na potrzeby uprawnień). Nie dodawaj konta użytkownika wykonującego sprzężenie z domeną.

    Ostrzeżenie: Ogranicz członkostwo do zasad do zaufanych użytkowników i kont usług. Nie dodawaj do tych zasad uwierzytelnionych użytkowników, wszystkich ani innych dużych grup. Zamiast tego dodaj konkretnych zaufanych użytkowników i konta usług do grup i dodaj te grupy do zasad.

  6. Poczekaj na interwał odświeżania zasad grupy lub uruchom gpupdate /force na wszystkich kontrolerach domeny.

  7. Sprawdź, czy klucz rejestru HKLM\System\CCS\Control\SAM — "ComputerAccountReuseAllowList" jest wypełniony odpowiednim rekordem SDDL. Nie edytuj ręcznie rejestru.

  8. Spróbuj dołączyć do komputera z zainstalowanymi aktualizacjami z 12 września 2023 r. lub nowszymi. Upewnij się, że jedno z kont wymienionych w zasadach jest właścicielem konta komputera. Jeśli przyłączanie do domeny nie powiedzie się, sprawdź \netsetup.log c:\windows\debugowania.

Jeśli nadal potrzebujesz alternatywnego obejścia, przejrzyj przepływy pracy inicjowania obsługi konta komputera i dowiedz się, czy są wymagane zmiany. 

  1. Wykonaj operację sprzężenia przy użyciu tego samego konta, które utworzyło konto komputera w domenie docelowej.

  2. Jeśli istniejące konto jest przestarzałe (nieużywane), usuń je przed ponowną próbą dołączenia do domeny.

  3. Zmień nazwę komputera i dołącz przy użyciu innego konta, które jeszcze nie istnieje.

  4. Jeśli istniejące konto jest własnością zaufanego podmiotu zabezpieczeń i administrator chce ponownie użyć konta, postępuj zgodnie ze wskazówkami w sekcji Wykonywanie akcji, aby zainstalować aktualizacje systemu Windows z września 2023 r. lub nowsze oraz skonfigurować listę dozwolonych.

Nierozpuszczanie

  • Nie dodawaj kont usług ani kont inicjowania obsługi administracyjnej do grupy zabezpieczeń Administratorzy domeny.

  • Nie edytuj ręcznie deskryptora zabezpieczeń na kontach komputerów, próbując ponownie zdefiniować własność takich kont, chyba że poprzednie konto właściciela zostało usunięte. Podczas edytowania właściciel włączy nowe testy, aby zakończyć się pomyślnie, konto komputera może zachować takie same potencjalnie ryzykowne, niechciane uprawnienia dla pierwotnego właściciela, chyba że jawnie przejrzane i usunięte.

Nowe dzienniki zdarzeń

Dziennik zdarzeń

SYSTEM  

Źródło zdarzenia

Netjoin

Identyfikator zdarzenia

4100

Typ zdarzenia

Informacyjne

Tekst zdarzenia

"Podczas dołączania do domeny kontroler domeny znalazł w usłudze Active Directory istniejące konto komputera o tej samej nazwie.

Próba ponownego użycia tego konta była dozwolona.

Przeszukano kontroler domeny: <nazwę kontrolera domeny>DN istniejącego konta komputera: <ścieżkę DN> konta komputera. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2202145.

Dziennik zdarzeń

SYSTEM

Źródło zdarzenia

Netjoin

Identyfikator zdarzenia

4101

Typ zdarzenia

Błąd

Tekst zdarzenia

Podczas dołączania do domeny kontroler domeny znalazł istniejące konto komputera w usłudze Active Directory o tej samej nazwie. Ze względów bezpieczeństwa uniemożliwiano próbę ponownego użycia tego konta. Przeszukano kontroler domeny: Nazwa DN istniejącego konta komputera: Kod błędu został <kod błędu>. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2202145.

Funkcja debugowania rejestrowania jest domyślnie dostępna (nie trzeba włączać żadnych funkcji szczegółowego rejestrowania) w folderze C:\Windows\Debug\netsetup.log na wszystkich komputerach klienckich.

Przykład rejestrowania debugowania wygenerowanego po uniemożliwieniu ponownego użycia konta ze względów bezpieczeństwa:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nowe zdarzenia dodane w marcu 2023 r. 

Ta aktualizacja dodaje cztery (4) nowe zdarzenia w dzienniku systemowym na kontrolerze domeny w następujący sposób:

Poziom zdarzenia

Informacyjne

Identyfikator zdarzenia

16995

Dziennik

SYSTEM

Źródło zdarzenia

Directory-Services-SAM

Tekst zdarzenia

Menedżer kont zabezpieczeń używa określonego deskryptora zabezpieczeń do sprawdzania poprawności prób ponownego użycia konta komputera podczas dołączania do domeny.

Wartość SDDL: <> ciągu SDDL

Ta lista dozwolonych jest konfigurowana za pomocą zasad grupy w usłudze Active Directory.

Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145.

Poziom zdarzenia

Błąd

Identyfikator zdarzenia

16996

Dziennik

SYSTEM

Źródło zdarzenia

Directory-Services-SAM

Tekst zdarzenia

Deskryptor zabezpieczeń zawierający listę dozwolonych ponownego użycia konta komputera używaną do sprawdzania poprawności sprzężenia domeny żądań klientów jest nieprawidłowo sformatowany.

Wartość SDDL: <> ciągu SDDL

Ta lista dozwolonych jest konfigurowana za pomocą zasad grupy w usłudze Active Directory.

Aby rozwiązać ten problem, administrator musi zaktualizować zasady, aby ustawić tę wartość na prawidłowy deskryptor zabezpieczeń lub wyłączyć go.

Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145.

Poziom zdarzenia

Błąd

Identyfikator zdarzenia

16997

Dziennik

SYSTEM

Źródło zdarzenia

Directory-Services-SAM

Tekst zdarzenia

Menedżer kont zabezpieczeń znalazł konto komputera, które wydaje się być odłączone i nie ma istniejącego właściciela.

Konto komputera: S-1-5-xxx

Właściciel konta komputera: S-1-5-xxx

Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145.

Poziom zdarzenia

Ostrzeżenie

Identyfikator zdarzenia

16998

Dziennik

SYSTEM

Źródło zdarzenia

Directory-Services-SAM

Tekst zdarzenia

Menedżer kont zabezpieczeń odrzucił żądanie klienta o ponowne użycie konta komputera podczas dołączania do domeny.

Konto komputera i tożsamość klienta nie spełniały testów sprawdzania poprawności zabezpieczeń.

Konto klienta: S-1-5-xxx

Konto komputera: S-1-5-xxx

Właściciel konta komputera: S-1-5-xxx

Sprawdź dane rekordu tego zdarzenia pod kątem kodu błędu NT.

Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145.

W razie potrzeby netsetup.log może podać więcej informacji.

Znane problemy

Problem 1

Po zainstalowaniu aktualizacji z 12 września 2023 r. lub nowszych przyłączanie do domeny może zakończyć się niepowodzeniem w środowiskach, w których ustawiono następujące zasady: Dostęp do sieci — ograniczanie klientów uprawnionych do zdalnych połączeń z usługą SAM — Zabezpieczenia Windows | Microsoft Learn. Dzieje się tak dlatego, że komputery klienckie wykonują teraz uwierzytelnione wywołania SAMRPC do kontrolera domeny w celu sprawdzenia poprawności zabezpieczeń związanego z ponownym używaniem kont komputerów.     Jest to oczekiwane. Aby uwzględnić tę zmianę, administratorzy powinni zachować domyślne ustawienia zasad SAMRPC kontrolera domeny LUB jawnie dołączyć grupę użytkowników wykonującą przyłączanie do domeny w ustawieniach SDDL w celu udzielenia im uprawnień. 

Przykład z netsetup.log, w którym wystąpił ten problem:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problem 2

Jeśli konto właściciela komputera zostało usunięte i następuje próba ponownego użycia konta komputera, zdarzenie 16997 zostanie zarejestrowane w dzienniku zdarzeń systemowych. W takim przypadku można ponownie przypisać własność do innego konta lub grupy.

Problem 3

Jeśli tylko klient ma aktualizację z 14 marca 2023 r. lub nowszą, sprawdzanie zasad usługi Active Directory zwróci 0x32 STATUS_NOT_SUPPORTED. Poprzednie testy, które zostały zaimplementowane w poprawkach listopadowych, będą miały zastosowanie, jak pokazano poniżej:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.