Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Bemærk!: Opdateret 13-08-2024; se funktionsmåden for 13. august 2024

Sammendrag

Windows-opdateringer, der er udgivet den 11. oktober 2022 og derefter, indeholder yderligere beskyttelse, der er introduceret af CVE-2022-38042. Disse beskyttelser forhindrer bevidst domænetilknytningshandlinger i at genbruge en eksisterende computerkonto i destinationsdomænet, medmindre:

  • Den bruger, der forsøger at udføre handlingen, er opretteren af den eksisterende konto.

    Eller

  • Computeren blev oprettet af et medlem af domæneadministratorer.

    Eller

  • Ejeren af den computerkonto, der genbruges, er medlem af "Domænecontroller: Tillad genbrug af computerkonto under domænetilslutning". Indstilling for gruppepolitik. Denne indstilling kræver installation af Windows-opdateringer, der er udgivet den 14. marts 2023 eller derefter, på ALLE medlemscomputere og domænecontrollere.

Opdateringer, der er udgivet den 14. marts 2023 og den 12. september 2023 og derefter, giver yderligere muligheder for berørte kunder på Windows Server 2012 R2 og nyere samt alle understøttede klienter. Du kan få mere at vide i afsnittene Funktionsmåde for 11. oktober 2022 og Handling .

Seddel I denne artikel refereres der tidligere til registreringsdatabasenøglen NetJoinLegacyAccountReuse . Fra og med den 13. august 2024 blev denne registreringsdatabasenøgle og dens referencer i denne artikel fjernet. 

Funktionsmåde før 11. oktober 2022

Før du installerer de kumulative opdateringer fra d. 11. oktober 2022 eller nyere, forespørger klientcomputeren Active Directory efter en eksisterende konto med samme navn. Denne forespørgsel forekommer under klargøring af domænetilslutning og computerkonto. Hvis en sådan konto findes, forsøger klienten automatisk at genbruge den.

Seddel Forsøget på at genbruge mislykkes, hvis den bruger, der forsøger at udføre domænetilslutningshandlingen, ikke har de rette skrivetilladelser. Men hvis brugeren har tilstrækkelige tilladelser, vil domænetilslutningen lykkes.

Der er to scenarier for domænetilslutning med henholdsvis standardfunktionsmåder og flag som følger:

Funktionsmåde for 11. oktober 2022 

Når du har installeret de kumulative opdateringer fra d. 11. oktober 2022 eller nyere på en klientcomputer under domænetilslutning, udfører klienten yderligere sikkerhedskontroller, før du forsøger at genbruge en eksisterende computerkonto. Algoritme:

  1. Forsøg på genbrug af konto tillades, hvis den bruger, der forsøger at udføre handlingen, har oprettet den eksisterende konto.

  2. Forsøg på genbrug af konto tillades, hvis kontoen blev oprettet af et medlem af domæneadministratorer.

Disse ekstra sikkerhedskontroller udføres, før du forsøger at slutte dig til computeren. Hvis kontrollerne lykkes, er resten af joinhandlingen underlagt Active Directory-tilladelser som før.

Denne ændring påvirker ikke nye konti.

Bemærk! Når du har installeret de kumulative windows-opdateringer fra d. 11. oktober 2022 eller nyere, kan domænetilslutning med brug af computerkonto bevidst mislykkes med følgende fejl:

Fejl 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Der findes en konto med samme navn i Active Directory. Genbrug af kontoen blev blokeret af en sikkerhedspolitik."

Hvis det er tilfældet, beskyttes kontoen bevidst af den nye funktionsmåde.

Hændelses-id 4101 udløses, når fejlen ovenfor opstår, og problemet logføres i c:\windows\debug\netsetup.log. Følg trinnene nedenfor i Handling for at forstå fejlen og løse problemet.

Funktionsmåde for 14. marts 2023

I de Windows-opdateringer, der blev udgivet den 14. marts 2023 eller derefter, har vi foretaget et par ændringer af sikkerhedshærdningen. Disse ændringer omfatter alle de ændringer, vi har foretaget i 11. oktober 2022.

For det første har vi udvidet anvendelsesområdet for grupper, der er undtaget fra denne hærdning. Ud over domæneadministratorer er virksomhedsadministratorer og indbyggede administratorgrupper nu undtaget fra ejerskabskontrol.

For det andet har vi implementeret en ny gruppepolitikindstilling. Administratorer kan bruge den til at angive en liste over tilladte computerkontoejere. Computerkontoen tilsidesætter sikkerhedskontrollen, hvis et af følgende gælder:

  • Kontoen ejes af en bruger, der er angivet som en ejer, der er tillid til, i gruppepolitikken "Domænecontroller: Tillad, at computerkontoen genbruges under domænetilslutning".

  • Kontoen ejes af en bruger, der er medlem af en gruppe, der er angivet som en ejer, der er tillid til, i gruppepolitikken "Domænecontroller: Tillad, at computerkontoen genbruges under domænetilslutning".

Hvis du vil bruge denne nye gruppepolitik, skal domænecontrolleren og medlemscomputeren konsekvent have opdateringen fra d. 14. marts 2023 eller nyere installeret. Nogle af jer kan have bestemte konti, som du bruger til automatisk oprettelse af computerkonto. Hvis disse konti er sikre mod misbrug, og du har tillid til, at de opretter computerkonti, kan du undtage dem. Du vil stadig være sikker mod den oprindelige sikkerhedsrisiko, der blev afhjælpet med Windows-opdateringerne fra den 11. oktober 2022.

Funktionsmåde for 12. september 2023

I de Windows-opdateringer, der blev udgivet den 12. september 2023 eller derefter, har vi foretaget et par yderligere ændringer af sikkerhedshærdningen. Disse ændringer omfatter alle de ændringer, vi har foretaget i 11. oktober 2022, og ændringerne fra 14. marts 2023.

Vi har løst et problem, hvor domænetilslutning ved hjælp af chipkortgodkendelse mislykkedes uanset politikindstillingen. For at løse dette problem har vi flyttet de resterende sikkerhedskontroller tilbage til domænecontrolleren. Derfor foretager klientcomputere efter sikkerhedsopdateringen fra september 2023 godkendte SAMRPC-opkald til domænecontrolleren for at udføre sikkerhedsvalideringskontroller, der er relateret til genbrug af computerkonti.

Dette kan dog medføre, at domænetilslutning mislykkes i miljøer, hvor følgende politik er angivet: Netværksadgang: Begræns klienters tilladelse til at foretage fjernopkald til SAM.  Se afsnittet "Kendte problemer" for at få oplysninger om, hvordan du løser dette problem.

Funktionsmåde for 13. august 2024

I de Windows-opdateringer, der blev udgivet d. 13. august 2024 eller derefter, løste vi alle kendte kompatibilitetsproblemer med allowlist-politikken. Vi har også fjernet understøttelse af Nøglen NetJoinLegacyAccountReuse . Funktionsmåden for hærdning bevares uanset nøgleindstillingen. De relevante metoder til at tilføje undtagelser er angivet i afsnittet Gør noget nedenfor. 

Gør noget

Konfigurer den nye politik for listen over tilladte ved hjælp af gruppepolitik på en domænecontroller, og fjern eventuelle midlertidige løsninger på klientsiden. Gør derefter følgende:

  1. Du skal installere opdateringerne fra d. 12. september 2023 eller nyere på alle medlemscomputere og domænecontrollere. 

  2. Konfigurer indstillingerne i nedenstående trin i en ny eller eksisterende gruppepolitik, der gælder for alle domænecontrollere.

  3. Dobbeltklik på Domænecontroller under Computerkonfiguration\Politikker\Windows-indstillinger\Sikkerhedsindstillinger\Lokale politikker\Sikkerhedsindstillinger: Tillad genbrug af computerkonto under domænetilslutning.

  4. Vælg Definer denne politikindstilling , og <Rediger sikkerhed...>.

  5. Brug objektvælgeren til at føje brugere eller grupper af computerkontoforfattere og -ejere, der er tillid til, til tilladelsen Tillad . (Som bedste fremgangsmåde anbefaler vi, at du bruger grupper til tilladelser). Tilføj ikke den brugerkonto, der udfører domænetilslutningen.

    Advarsel!: Begræns medlemskab til politikken for brugere og tjenestekonti, der er tillid til. Føj ikke godkendte brugere, alle eller andre store grupper til denne politik. I stedet skal du føje bestemte brugere og tjenestekonti, der er tillid til, til grupper og føje disse grupper til politikken.

  6. Vent på opdateringsintervallet for gruppepolitik, eller kør gpupdate /force på alle domænecontrollere.

  7. Kontrollér, at registreringsdatabasenøglen HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" er udfyldt med den ønskede SDDL. Rediger ikke registreringsdatabasen manuelt.

  8. Forsøg at slutte dig til en computer, hvor opdateringerne fra den 12. september 2023 eller nyere er installeret. Sørg for, at en af de konti, der er angivet i politikken, ejer computerkontoen. Hvis domænetilslutningen mislykkes, skal du kontrollere \netsetup.log c:\windows\debug.

Hvis du stadig har brug for en alternativ løsning, kan du gennemse arbejdsprocesser for klargøring af computerkonti og forstå, om der kræves ændringer. 

  1. Udfør joinhandlingen ved hjælp af den samme konto, der oprettede computerkontoen i destinationsdomænet.

  2. Hvis den eksisterende konto er forældet (ubrugt), skal du slette den, før du forsøger at tilslutte dig domænet igen.

  3. Omdøb computeren, og deltag ved hjælp af en anden konto, der ikke allerede findes.

  4. Hvis den eksisterende konto ejes af en pålidelig sikkerhedsprincipal, og en administrator ønsker at genbruge kontoen, skal du følge vejledningen i afsnittet Udfør handling for at installere Windows-opdateringerne fra september 2023 eller nyere og konfigurere en liste over tilladte.

Opløsninger

  • Føj ikke tjenestekonti eller klargøringskonti til sikkerhedsgruppen Domæneadministratorer.

  • Rediger ikke sikkerhedsbeskrivelsen manuelt på computerkonti i et forsøg på at omdefinere ejerskabet af disse konti, medmindre den tidligere ejerkonto er blevet slettet. Mens redigering af ejeren vil gøre det muligt for de nye kontroller at lykkes, kan computerkontoen bevare de samme potentielt risikable, uønskede tilladelser til den oprindelige ejer, medmindre de udtrykkeligt gennemses og fjernes.

Nye hændelseslogge

Hændelseslogfil

SYSTEM  

Hændelseskilde

Netjoin

Hændelses-id

4100

Hændelsestype

Informative

Hændelsestekst

"Under domænetilslutningen fandt domænecontrolleren en eksisterende computerkonto i Active Directory med samme navn.

Et forsøg på at genbruge denne konto er tilladt.

Søgning i domænecontroller: <navn på domænecontroller>Eksisterende computerkonto DN: <DN-sti til computerkonto>. Se https://go.microsoft.com/fwlink/?linkid=2202145 for at få flere oplysninger.

Hændelseslogfil

SYSTEM

Hændelseskilde

Netjoin

Hændelses-id

4101

Hændelsestype

Fejl

Hændelsestekst

Under domænetilslutningen fandt den domænecontroller, der blev kontaktet, en eksisterende computerkonto i Active Directory med samme navn. Et forsøg på at genbruge denne konto blev forhindret af sikkerhedsmæssige årsager. Søgning i domænecontroller: Eksisterende computerkonto DN: Fejlkoden blev <fejlkode>. Se https://go.microsoft.com/fwlink/?linkid=2202145 for at få flere oplysninger.

Fejlfindingslogføring er som standard tilgængelig (ingen grund til at aktivere detaljeret logføring) i C:\Windows\Fejlfinding\netsetup.log på alle klientcomputere.

Eksempel på den fejlfindingslogføring, der genereres, når genbrug af kontoen forhindres af sikkerhedsmæssige årsager:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nye begivenheder tilføjet i marts 2023 

Denne opdatering tilføjer fire (4) nye hændelser i SYSTEM-logfilen på domænecontrolleren på følgende måde:

Hændelsesniveau

Informative

Hændelses-id

16995

Log

SYSTEM

Hændelseskilde

Directory-Services-SAM

Hændelsestekst

Sikkerhedskontoadministratoren bruger den angivne sikkerhedsbeskrivelse til validering af forsøg på genbrug af computerkonto under domænetilslutning.

SDDL-værdi: <SDDL-streng>

Denne liste over tilladte er konfigureret via gruppepolitik i Active Directory.

Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145.

Hændelsesniveau

Fejl

Hændelses-id

16996

Log

SYSTEM

Hændelseskilde

Directory-Services-SAM

Hændelsestekst

Den sikkerhedsbeskrivelse, der indeholder den computerkonto, der genbruger tilladelseslisten, der bruges til at validere klientanmodninger om domænetilknytning, er forkert udformet.

SDDL-værdi: <SDDL-streng>

Denne liste over tilladte er konfigureret via gruppepolitik i Active Directory.

For at løse dette problem skal en administrator opdatere politikken for at angive denne værdi til en gyldig sikkerhedsbeskrivelse eller deaktivere den.

Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145.

Hændelsesniveau

Fejl

Hændelses-id

16997

Log

SYSTEM

Hændelseskilde

Directory-Services-SAM

Hændelsestekst

Sikkerhedskontoadministratoren har fundet en computerkonto, der ser ud til at være tabt og ikke har en eksisterende ejer.

Computerkonto: S-1-5-xxx

Computerkontoejer: S-1-5-xxx

Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145.

Hændelsesniveau

Advarsel

Hændelses-id

16998

Log

SYSTEM

Hændelseskilde

Directory-Services-SAM

Hændelsestekst

Sikkerhedskontoadministratoren afviste en klientanmodning om at genbruge en computerkonto under domænetilslutning.

Computerkontoen og klientidentiteten opfyldte ikke sikkerhedsvalideringskontrollerne.

Klientkonto: S-1-5-xxx

Computerkonto: S-1-5-xxx

Computerkontoejer: S-1-5-xxx

Kontrollér postdataene for denne hændelse for NT-fejlkoden.

Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145.

Hvis det er nødvendigt, kan netsetup.log give flere oplysninger.

Kendte problemer

Problem 1

Når du har installeret opdateringerne fra d. 12. september 2023 eller nyere, kan domænetilslutning mislykkes i miljøer, hvor følgende politik er angivet: Netværksadgang – Begræns klienters tilladelse til at foretage fjernopkald til SAM – Windows Sikkerhed | Microsoft Learn. Dette skyldes, at klientcomputere nu foretager godkendte SAMRPC-opkald til domænecontrolleren for at udføre sikkerhedsvalideringskontroller, der er relateret til genbrug af computerkonti.     Dette forventes. For at imødekomme denne ændring skal administratorer enten beholde domænecontrollerens SAMRPC-politik som standardindstillinger eller eksplicit medtage den brugergruppe, der udfører domænetilslutningen, i SDDL-indstillingerne for at give dem tilladelse. 

Eksempel fra en netsetup.log, hvor problemet opstod:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problem 2

Hvis computerejerkontoen er blevet slettet, og computerkontoen forsøges genbrugt, logføres hændelse 16997 i systemhændelsesloggen. Hvis dette sker, er det i orden at tildele ejerskabet til en anden konto eller gruppe igen.

Problem 3

Hvis kun klienten har opdateringen fra d. 14. marts 2023 eller nyere, returnerer Active Directory-politikkontrollen 0x32 STATUS_NOT_SUPPORTED. Tidligere kontroller, der blev implementeret i hotfixene for november, gælder som vist nedenfor:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.