Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Napomena: ažurirano 13. 8. 2024.; pogledajte ponašanje od 13. kolovoza 2024.

Sažetak

Ažuriranja sustava Windows objavljena 11. listopada 2022. i nakon toga sadrže dodatne zaštite koje je uveo CVE-2022-38042. Te zaštite namjerno onemogunjuju operacijama pridruživanja domeni ponovno korištenje postojećeg računa računala u ciljnoj domeni, osim ako:

  • Korisnik koji je pokušao operaciju autor je postojećeg računa.

    Ili

  • Računalo je stvorio član administratora domene.

    Ili

  • Vlasnik računa računala koji se ponovno koristi član je kontrolera domene: Dopusti ponovno korištenje računa računala tijekom pridruživanja domeni." Postavka pravilnika grupe. Za tu je postavku potrebna instalacija ažuriranja sustava Windows objavljenih 14. ožujka 2023. ili kasnije na svim računalima i domenski kontrolerima.

Ažuriranja objavljena 14. ožujka 2023. i 12. rujna 2023. pružit će dodatne mogućnosti zahvaćenim korisnicima u sustavu Windows Server 2012 R2 i novijim i svim podržanim klijentima. Dodatne informacije potražite u odjeljcima Ponašanje od 11. listopada 2022 . i Radnja .

Bilješka U ovom se članku prethodno referencira ključ registra NetJoinLegacyAccountReuse . Od 13. kolovoza 2024. uklonjeni su ključ registra i njegove reference u ovom članku. 

Ponašanje prije 11. listopada 2022.

Prije nego što instalirate kumulativna ažuriranja od 11. listopada 2022. ili novija, klijentsko računalo upitit će Active Directory za postojeći račun s istim nazivom. Taj se upit pojavljuje tijekom pridruživanja domeni i dodjele resursa računu računala. Ako takav račun postoji, klijent će ga automatski pokušati ponovno koristiti.

Bilješka Pokušaj ponovnog korištenja neće uspjeti ako korisnik koji pokuša operaciju pridruživanja domeni nema odgovarajuće dozvole za pisanje. No ako korisnik ima dovoljno dozvola, pridruživanje domeni će uspjeti.

Dva su scenarija za pridruživanje domeni s odgovarajućim zadanim ponašanjem i zastavicama na sljedeći način:

Ponašanje 11. listopada 2022. 

Kada instalirate kumulativna ažuriranja sustava Windows od 11. listopada 2022. ili novija na klijentskom računalu, tijekom pridruživanja domeni klijent će provesti dodatne sigurnosne provjere prije ponovnog korištenja postojećeg računa računala. Algoritam:

  1. Pokušaj ponovnog korištenja računa bit će dopušten ako je korisnik koji pokušava izvesti operaciju autor postojećeg računa.

  2. Pokušaj ponovnog korištenja računa bit će dopušten ako je račun stvorio član administratora domene.

Te se dodatne sigurnosne provjere izvršavaju prije pokušaja pridruživanja računalu. Ako su provjere uspješne, ostatak operacije pridruživanja podliježe dozvolama servisa Active Directory kao i prije.

Ta promjena ne utječe na nove račune.

Napomena Nakon instalacije kumulativnih ažuriranja za Windows od 11. listopada 2022. ili novije verzije, ponovno korištenje domene s računom računala možda neće uspjeti uz sljedeću pogrešku:

Pogreška 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Račun s istim nazivom postoji u servisu Active Directory. Ponovno korištenje računa blokirano je sigurnosnim pravilnikom."

Ako je tako, račun je namjerno zaštićen novim ponašanjem.

ID događaja 4101 aktivirat će se kada se pojavi pogreška iznad i problem će se prijaviti u c:\windows\debug\netsetup.log. Slijedite korake u nastavku u odjeljku Poduzmi radnju da biste razumjeli neuspjeh i riješili problem.

14. ožujka 2023.

U ažuriranjima sustava Windows objavljenima 14. ožujka 2023. ili kasnije unijeli smo nekoliko promjena u otegu sigurnosti. Te promjene obuhvaćaju sve promjene koje smo unijeli 11. listopada 2022.

Najprije smo proširili opseg grupa koje su izuzete od tog oteživanja. Osim administratora domene, administratori u tvrtki ili ustanovi i grupe ugrađenih administratora sada su izuzeti iz provjere vlasništva.

Drugo, implementirani smo novu postavku pravilnika grupe. Administratori ga mogu koristiti za određivanje popisa dopuštenih vlasnika računa pouzdanih računala. Račun računala zaobilazi sigurnosnu provjeru ako je istinito nešto od sljedećeg:

  • Račun je u vlasništvu korisnika navedenog kao pouzdanog vlasnika u pravilniku grupe "Domain controller: Allow computer account re-use during domain join" (Kontroler domene: dopusti ponovno korištenje računa računala tijekom pridruživanja domeni).

  • Račun je u vlasništvu korisnika koji je član grupe određene kao pouzdani vlasnik u pravilniku grupe "Domain controller: Allow computer account re-use during domain join" (Kontroler domene: dopusti ponovno korištenje računa računala tijekom pridruživanja domeni).

Da biste koristili novi pravilnik grupe, kontroler domene i računalo članova moraju dosljedno imati instalirano ažuriranje od 14. ožujka 2023. ili novije. Neki od vas možda imaju određene račune koje koristite pri automatskom stvaranju računa računala. Ako su ti računi sigurni od zloupotrebe i smatrate ih pouzdanima za stvaranje računa računala, možete ih izuzeti. I dalje ćete biti sigurni od izvorne ranjivosti umanjite ažuriranjem sustava Windows od 11. listopada 2022.

Ponašanje 12. rujna 2023.

U ažuriranjima sustava Windows objavljenima 12. rujna 2023. ili kasnije izvršili smo nekoliko dodatnih promjena u poboljšanju sigurnosti. Te promjene obuhvaćaju sve promjene koje smo unijeli u listopadu 11. listopada 2022. i promjene od 14. ožujka 2023.

Riješili smo problem zbog kojeg pridruživanje domeni pomoću provjere autentičnosti pametne kartice nije uspjelo bez obzira na postavku pravilnika. Da bismo riješili taj problem, preostale sigurnosne provjere vratili smo na domenski kontroler. Stoga nakon sigurnosnog ažuriranja za rujan 2023. klijentska računala provjeravaju autentičnost SAMRPC poziva domenskom kontroleru radi provjere sigurnosne provjere valjanosti povezane s ponovnim korištenjem računa računala.

No to može uzrokovati neuspjeh pridruživanja domeni u okruženjima u kojima je postavljen sljedeći pravilnik: pristup mreži: ograničavanje klijenata radi udaljenih poziva samu.  Informacije o rješavanju tog problema potražite u odjeljku "Poznati problemi".

Ponašanje 13. kolovoza 2024.

U ažuriranjima sustava Windows objavljenima 13. kolovoza 2024. ili kasnije riješili smo sve poznate probleme s kompatibilnošću pravilnika Allowlist. Uklonili smo i podršku za ključ NetJoinLegacyAccountReuse . Ponašanje otegljivanja će se nastaviti bez obzira na postavku ključa. Odgovarajuće metode za dodavanje iznimki navedene su u odjeljku Radnja u nastavku. 

Akcija

Konfigurirajte novi pravilnik popisa dopuštenih pomoću pravilnika grupe na domenskom kontroleru i uklonite sva naslijeđena klijentska zaobilazna rješenja. Zatim učinite sljedeće:

  1. Ažuriranja od 12. rujna 2023. ili novije morate instalirati na svim računalima i domenski kontrolerima članova. 

  2. U novom ili postojećem pravilniku grupe koji se odnosi na sve kontrolere domene konfigurirajte postavke u koracima u nastavku.

  3. U odjeljku Konfiguracija računala\Pravilnici\Postavke sustava Windows\Sigurnosne postavke\Lokalni pravilnici\ Sigurnosne mogućnosti dvokliknite Domenski kontroler: Dopusti ponovno korištenje računa računala tijekom pridruživanja domeni.

  4. Odaberite Definiraj ovu postavku pravilnika i <Uređivanje sigurnosti...>.

  5. Pomoću alata za odabir objekata korisnicima ili grupama pouzdanih autora računa i vlasnika računala dodajte dozvolu Dopusti . (Preporučujemo da kao najbolju praksu koristite grupe za dozvole.) Nemojte dodavati korisnički račun koji izvodi pridruživanje domeni.

    Upozorenje: Ograničite članstvo na pravilnik na pouzdane korisnike i račune servisa. U pravilnik nemojte dodavati provjerene korisnike, sve ili druge velike grupe. Umjesto toga dodajte određene pouzdane korisnike i račune servisa u grupe i dodajte te grupe u pravilnik.

  6. Pričekajte interval osvježavanja pravilnika grupe ili pokrenite gpupdate /force na svim kontrolorima domene.

  7. Provjerite je li ključ registra HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" popunjen željenim SDDL-om. Registar nemojte ručno uređivati.

  8. Pokušajte se pridružiti računalu na kojem su instalirana ažuriranja od 12. rujna 2023. ili novija. Provjerite je li jedan od računa navedenih u pravilniku vlasnik računa računala. Ako pridruživanje domeni ne uspije, provjerite c:\windows\debug\netsetup.log.

Ako vam je i dalje potrebno alternativno zaobilazno rješenje, pregledajte tijekove rada za dodjelu resursa računa računala i provjerite jesu li potrebne promjene. 

  1. Operaciju pridruživanja provedite pomoću istog računa koji je stvorio račun računala u ciljnoj domeni.

  2. Ako je postojeći račun u mirovanju (ne koristi se), izbrišite ga prije ponovnog pokušaja pridruživanja domeni.

  3. Preimenujte računalo i pridružite se pomoću drugog računa koji već ne postoji.

  4. Ako je postojeći račun u vlasništvu pouzdanog upravitelja sigurnosti i administrator želi ponovno koristiti račun, slijedite upute u odjeljku Poduzmi akciju da biste instalirali ažuriranja za Rujan 2023. ili novije verzije sustava Windows i konfigurirali popis dopuštenih.

Nesolucije

  • Nemojte dodavati račune servisa ni dodjele resursa u sigurnosnu grupu administratora domene.

  • Nemojte ručno uređivati opisnik sigurnosti na računalnim računima u pokušaju da ponovno definirate vlasništvo nad takvim računima, osim ako prethodni vlasnički račun nije izbrisan. Prilikom uređivanja vlasnika omogućit će se uspješne nove provjere, račun računala može zadržati iste potencijalno riskantne, neželjene dozvole za izvornog vlasnika, osim ako ih izričito ne pregledate i uklonite.

Novi zapisnici događaja

Zapisnik događaja

SUSTAV  

Izvor događaja

Netjoin

ID događaja

4100

Vrsta događaja

Informativan

Tekst događaja

"Tijekom pridruživanja domeni kontrolor domene s kontaktom pronašao je postojeći račun računala u servisu Active Directory s istim nazivom.

Dopušten je pokušaj ponovnog korištenja tog računa.

Pretraživanje kontrolora domene: <naziv kontrolora domene>Postojeći račun računala DN: <DN put računa računala>. Dodatne https://go.microsoft.com/fwlink/?linkid=2202145 potražite u članku.

Zapisnik događaja

SUSTAV

Izvor događaja

Netjoin

ID događaja

4101

Vrsta događaja

Pogreška

Tekst događaja

Tijekom pridruživanja domeni s kontrolorom domene pronađen je postojeći račun računala u servisu Active Directory s istim nazivom. Pokušaj ponovnog korištenja ovog računa je onemogućen iz sigurnosnih razloga. Pretražili smo domenski kontroler: postojeći račun računala DN: kod pogreške <kod pogreške>. Dodatne https://go.microsoft.com/fwlink/?linkid=2202145 potražite u članku.

Zapisivanje pogrešaka po zadanom je dostupno (nije potrebno omogućiti opširno zapisivanje) u C:\Windows\Ispravljanje pogrešaka\netsetup.log svim klijentskim računalima.

Primjer zapisivanja pogrešaka generiranog kada je ponovno korištenje računa onemogućeno iz sigurnosnih razloga:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Novi događaji dodani u ožujku 2023. 

Ovo ažuriranje dodaje četiri (4) nova događaja u zapisnik SUSTAVA na kontroloru domene na sljedeći način:

Razina događaja

Informativan

ID događaja

16995

Klada

SUSTAV

Izvor događaja

Imenički servisi- SAM

Tekst događaja

Upravitelj sigurnosnog računa koristi navedeni sigurnosni opisnik za provjeru valjanosti pokušaja ponovnog korištenja računa računala tijekom pridruživanja domeni.

SDDL vrijednost: <nizova SDDL>

Ovaj popis dopuštenih konfiguracija je putem pravilnika grupe u servisu Active Directory.

Dodatne informacije potražite u članku http://go.microsoft.com/fwlink/?LinkId=2202145.

Razina događaja

Pogreška

ID događaja

16996

Klada

SUSTAV

Izvor događaja

Imenički servisi- SAM

Tekst događaja

Opisnik sigurnosti koji sadrži popis dopuštenih ponovnih korištenja računa računala koji se koristi za provjeru valjanosti pridruživanja domeni klijentskih zahtjeva nije valjan.

SDDL vrijednost: <nizova SDDL>

Ovaj popis dopuštenih konfiguracija je putem pravilnika grupe u servisu Active Directory.

Da bi ispravio taj problem, administrator će morati ažurirati pravilnik da bi tu vrijednost postavio na valjani sigurnosni opisnik ili ga onemogućio.

Dodatne informacije potražite u članku http://go.microsoft.com/fwlink/?LinkId=2202145.

Razina događaja

Pogreška

ID događaja

16997

Klada

SUSTAV

Izvor događaja

Imenički servisi- SAM

Tekst događaja

Upravitelj sigurnosnog računa pronašao je račun računala koji se čini napuštenim i nema postojećeg vlasnika.

Račun računala: S-1-5-xxx

Vlasnik računa računala: S-1-5-xxx

Dodatne informacije potražite u članku http://go.microsoft.com/fwlink/?LinkId=2202145.

Razina događaja

Upozorenje

ID događaja

16998

Klada

SUSTAV

Izvor događaja

Imenički servisi- SAM

Tekst događaja

Upravitelj sigurnosnog računa odbio je klijentski zahtjev za ponovnim korištenjem računa računala tijekom pridruživanja domeni.

Račun računala i identitet klijenta nisu zadovoljavali sigurnosne provjere valjanosti.

Klijentski račun: S-1-5-xxx

Račun računala: S-1-5-xxx

Vlasnik računa računala: S-1-5-xxx

Provjerite podatke zapisa ovog događaja za kôd pogreške NT.

Dodatne informacije potražite u članku http://go.microsoft.com/fwlink/?LinkId=2202145.

Ako je potrebno, netsetup.log može dati dodatne informacije.

Poznati problemi

1. problem

Nakon instalacije ažuriranja od 12. rujna 2023. ili novije, pridruživanje domeni možda neće uspjeti u okruženjima u kojima je postavljen sljedeći pravilnik: Pristup mreži – ograničavanje klijenata koji smiju upućivati daljinske pozive SAM-u – Sigurnost u sustavu Windows | Microsoft Learn. To je zato što klijentska računala sada provjeravaju autentičnost SAMRPC poziva kontroloru domene radi provjere valjanosti sigurnosti povezane s ponovnim korištenjem računa računala.     To se očekuje. Da bi se ta promjena prilagodila toj promjeni, administratori bi trebali zadržati SAMRPC pravilnik kontrolora domene u zadanim postavkama ILI izričito uvrstiti korisničku grupu koja izvršava pridruživanje domeni u postavkama SDDL-a da bi im dodijelili dozvolu. 

Primjer iz netsetup.log gdje se problem pojavio:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Drugi problem

Ako je račun vlasnika računala izbrisan, a dogodi se pokušaj ponovnog korištenja računa računala, događaj 16997 bit će zapisan u zapisnik događaja sustava. Ako se to dogodi, možete ponovno dodijeliti vlasništvo drugom računu ili grupi.

Treći problem

Ako samo klijent ima ažuriranje od 14. ožujka 2023. ili novije, provjera pravilnika servisa Active Directory vratit će se 0x32 STATUS_NOT_SUPPORTED. Prethodne provjere implementirani u hitnim popravcima za studeni primijenit će se kao što je prikazano u nastavku:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider