Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Megjegyzés: Frissítve: 2024. 08. 13.; lásd: 2024. augusztus 13., viselkedés

Összefoglalás

A 2022. október 11-én és azt követően kiadott Windows-frissítések a CVE-2022-38042 által bevezetett további védelmet tartalmaznak. Ezek a védelmi műveletek szándékosan megakadályozzák, hogy a tartományhoz való csatlakozáskor a rendszer újrahasználjon egy meglévő számítógépfiókot a céltartományban, kivéve, ha:

  • A műveletet megkísérelő felhasználó a meglévő fiók létrehozója.

    Vagy

  • A számítógépet a tartományi rendszergazdák egyik tagja hozta létre.

    Vagy

  • Az újrahasznált számítógépfiók tulajdonosa a "Tartományvezérlő: A számítógépfiók újbóli használatának engedélyezése tartományhoz való csatlakozáskor" tagja. Csoportházirend-beállítás. Ehhez a beállításhoz telepíteni kell a 2023. március 14-én vagy azt követően kiadott Windows-frissítéseket minden tagszámítógépen és tartományvezérlőn.

A 2023. március 14-én és 2023. szeptember 12-én kiadott frissítések további lehetőségeket biztosítanak az érintett ügyfelek számára a Windows Server 2012 R2 és újabb verziókon, valamint az összes támogatott ügyfélen. További információt a 2022. október 11-i viselkedés és a Művelet végrehajtása című szakaszokban talál.

Jegyzet Ez a cikk korábban egy NetJoinLegacyAccountReuse beállításkulcsra hivatkozott. 2024. augusztus 13-ától ez a beállításkulcs és a cikkben szereplő hivatkozások el lettek távolítva. 

Viselkedés 2022. október 11. előtt

A 2022. október 11-i vagy újabb összegző frissítések telepítése előtt az ügyfélszámítógép lekérdezi az Active Directoryt egy azonos nevű meglévő fiókról. Ez a lekérdezés a tartományhoz való csatlakozás és a számítógépfiók kiépítése során történik. Ha létezik ilyen fiók, az ügyfél automatikusan megpróbálja újra felhasználni.

Jegyzet Az újbóli próbálkozás sikertelen lesz, ha a tartományhoz való csatlakozást megkísérlő felhasználó nem rendelkezik a megfelelő írási engedélyekkel. Ha azonban a felhasználó rendelkezik elegendő engedéllyel, a tartományhoz való csatlakozás sikeres lesz.

A tartományhoz való csatlakozásnak két forgatókönyve van a megfelelő alapértelmezett viselkedéssel és jelzőkkel az alábbiak szerint:

2022. október 11-i viselkedés 

Miután telepítette a Windows 2022. október 11-i vagy újabb összegző frissítéseit egy ügyfélszámítógépre, a tartományhoz való csatlakozás során az ügyfél további biztonsági ellenőrzéseket végez, mielőtt megpróbálna újra felhasználni egy meglévő számítógépfiókot. Algoritmus:

  1. A fiók újrafelhasználási kísérlete akkor engedélyezett, ha a műveletet megkísérlő felhasználó a meglévő fiók létrehozója.

  2. A fiók újrafelhasználási kísérlete akkor engedélyezett, ha a fiókot a tartományi rendszergazdák egyik tagja hozta létre.

Ezek a további biztonsági ellenőrzések a számítógéphez való csatlakozás előtt végezhetők el. Ha az ellenőrzések sikeresek, az illesztési művelet többi része is Active Directory-engedélyekhez van kapcsolva, mint korábban.

Ez a módosítás nincs hatással az új fiókokra.

Megjegyzés A Windows 2022. október 11-i vagy újabb összegző frissítéseinek telepítése után a tartományhoz való csatlakozás a számítógépfiók újrafelhasználásával szándékosan meghiúsulhat a következő hibával:

Hiba 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Az Active Directoryban létezik egy azonos nevű fiók. A fiók újbóli használatát a biztonsági szabályzat letiltotta."

Ha igen, a fiókot szándékosan védi az új viselkedés.

A 4101-ös eseményazonosító akkor aktiválódik, ha a fenti hiba jelentkezik, és a probléma a c:\windows\debug\netsetup.log lesz naplózva. A hiba megértéséhez és a probléma megoldásához kövesse az alábbi lépéseket a Művelet végrehajtása szakaszban.

2023. március 14-i viselkedés

A 2023. március 14-én vagy azt követően kiadott Windows-frissítésekben módosítottuk a biztonsági korlátozást. Ezek a módosítások tartalmazzák a 2022. október 11-én végrehajtott összes módosítást.

Először kibontottuk azon csoportok körét, amelyek mentesülnek a korlátozás alól. A tartományi rendszergazdák mellett a vállalati rendszergazdák és a beépített rendszergazdák csoportjai is mentesülnek a tulajdonjog-ellenőrzés alól.

Másodszor, implementáltunk egy új csoportházirend-beállítást. A rendszergazdák a megbízható számítógépfiók-tulajdonosok engedélyezési listájának megadására használhatják. A számítógépfiók megkerüli a biztonsági ellenőrzést, ha az alábbiak egyike igaz:

  • A fiók tulajdonosa egy megbízható tulajdonosként megadott felhasználó a "Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése tartományhoz való csatlakozáskor" csoportházirendben.

  • A fiók tulajdonosa egy olyan felhasználó, aki tagja egy megbízható tulajdonosként megadott csoportnak a "Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése tartományhoz való csatlakozáskor" csoportházirendben.

Az új csoportházirend használatához a tartományvezérlőnek és a tagszámítógépnek folyamatosan telepítve kell lennie a 2023. március 14-i vagy újabb frissítésnek. Előfordulhat, hogy néhányuk rendelkezik olyan fiókkal, amelyet az automatikus számítógépfiók-létrehozás során használ. Ha ezek a fiókok biztonságban vannak a visszaélésektől, és megbízik bennük a számítógépfiókok létrehozásában, mentesítheti őket. Továbbra is biztonságban lesz a 2022. október 11-i Windows-frissítések által enyhített eredeti biztonsági rés ellen.

2023. szeptember 12-i viselkedés

A 2023. szeptember 12-én vagy azt követően kiadott Windows-frissítésekben további módosításokat végeztünk a biztonsági korlátozáson. Ezek a módosítások tartalmazzák a 2022. október 11-én végrehajtott összes módosítást, valamint a 2023. március 14-i módosításokat.

Kijavítottunk egy hibát, amely miatt a tartomány intelligens kártyás hitelesítéssel való csatlakoztatása a házirend-beállítástól függetlenül meghiúsult. A probléma megoldásához a fennmaradó biztonsági ellenőrzéseket visszahelyeztük a tartományvezérlőre. Ezért a 2023. szeptemberi biztonsági frissítés után az ügyfélszámítógépek hitelesített SAMRPC-hívásokat intéznek a tartományvezérlőhöz a számítógépfiókok újbóli használatával kapcsolatos biztonsági ellenőrzési ellenőrzések végrehajtásához.

Ez azonban azt eredményezheti, hogy a tartományhoz való csatlakozás meghiúsul azokban a környezetekben, ahol a következő házirend van beállítva: Hálózati hozzáférés: A SAM felé irányuló távoli hívásokra engedélyezett ügyfelek korlátozása.  A probléma megoldásáról az "Ismert problémák" című szakaszban talál további információt.

2024. augusztus 13-i viselkedés

A 2024. augusztus 13-án vagy azt követően kiadott Windows-frissítésekben elhárítottuk az Allowlist szabályzattal kapcsolatos összes ismert kompatibilitási problémát. A NetJoinLegacyAccountReuse kulcs támogatását is eltávolítottuk. A megkeményedési viselkedés a kulcsbeállítástól függetlenül megmarad. A kivételek hozzáadásának megfelelő módszereit az alábbi Művelet végrehajtása szakaszban találja. 

Művelet végrehajtása

Konfigurálja az új engedélyezési listára vonatkozó szabályzatot a csoportházirend használatával egy tartományvezérlőn, és távolítsa el az örökölt ügyféloldali kerülő megoldásokat. Ezután tegye a következőket:

  1. Az összes tagszámítógépen és tartományvezérlőn telepítenie kell a 2023. szeptember 12-i vagy újabb frissítéseket. 

  2. Az összes tartományvezérlőre érvényes új vagy meglévő csoportházirendben konfigurálja a beállításokat az alábbi lépésekben.

  3. A Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Helyi házirendek\Biztonsági beállítások területen kattintson duplán a Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése a tartományhoz való csatlakozás során elemre.

  4. Válassza a Házirend-beállítás definiálása lehetőséget, és <a Biztonság szerkesztése... >lehetőséget.

  5. Az objektumválasztóval hozzáadhatja a megbízható számítógépfiók-létrehozók és -tulajdonosok felhasználóit vagy csoportjait az Engedélyezés engedélyhez. (Ajánlott eljárásként kifejezetten javasoljuk, hogy használjon csoportokat az engedélyekhez.) Ne adja hozzá a tartományhoz való csatlakozást végző felhasználói fiókot.

    Figyelmeztetés: Korlátozza a tagságot a szabályzatra a megbízható felhasználókra és a szolgáltatásfiókra. Ne adjon hozzá hitelesített felhasználókat, mindenkit vagy más nagy csoportot ehhez a szabályzathoz. Ehelyett adjon hozzá konkrét megbízható felhasználókat és szolgáltatásfiókokat a csoportokhoz, és vegye fel ezeket a csoportokat a szabályzatba.

  6. Várja meg a csoportházirend frissítési időközét, vagy futtassa a gpupdate /force parancsot az összes tartományvezérlőn.

  7. Ellenőrizze, hogy a HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" beállításkulcs ki van-e töltve a kívánt SDDL-vel. Ne szerkessze manuálisan a beállításjegyzéket.

  8. Próbáljon meg csatlakozni egy olyan számítógéphez, amely a 2023. szeptember 12-i vagy újabb frissítéseket telepítette. Győződjön meg arról, hogy a házirendben felsorolt fiókok egyike a számítógépfiók tulajdonosa. Ha a tartományhoz való csatlakozás sikertelen, ellenőrizze a c:\windows\debug\netsetup.log.

Ha továbbra is alternatív áthidaló megoldásra van szüksége, tekintse át a számítógépfiókok létesítési munkafolyamatait, és ismerje meg, hogy szükség van-e módosításokra. 

  1. Hajtsa végre a csatlakoztatási műveletet ugyanazzal a fiókkal, amely a számítógépfiókot a céltartományban létrehozta.

  2. Ha a meglévő fiók elavult (nem használt), törölje, mielőtt újra megpróbálna csatlakozni a tartományhoz.

  3. Nevezze át a számítógépet, és csatlakozzon egy másik, még nem létező fiókkal.

  4. Ha a meglévő fiók egy megbízható rendszerbiztonsági tag tulajdonában van, és egy rendszergazda újra fel szeretné használni a fiókot, kövesse a Művelet végrehajtása szakaszban található útmutatást a 2023. szeptemberi vagy újabb Windows-frissítések telepítéséhez és egy engedélyezési lista konfigurálásához.

Meg nem oldások

  • Ne adjon hozzá szolgáltatásfiókokat vagy létesítési fiókokat a Tartománygazdák biztonsági csoporthoz.

  • Ne szerkessze manuálisan a számítógépfiókok biztonsági leíróját az ilyen fiókok tulajdonjogának újradefiniálásához, kivéve, ha az előző tulajdonosi fiókot törölték. Miközben a tulajdonos szerkesztése lehetővé teszi az új ellenőrzések sikerességét, a számítógépfiók megtarthatja ugyanazokat a potenciálisan kockázatos, nemkívánatos engedélyeket az eredeti tulajdonos számára, kivéve, ha explicit módon felülvizsgálják és eltávolítják őket.

Új eseménynaplók

Eseménynapló

RENDSZER  

Eseményforrás

Netjoin

Eseményazonosító

4100

Esemény típusa

Információs

Esemény szövege

"A tartományhoz való csatlakozás során a tartományvezérlő felvette a kapcsolatot egy meglévő számítógépfiókot az Active Directoryban ugyanazzal a névvel.

A fiók újbóli használatára tett kísérlet engedélyezve volt.

Keresett tartományvezérlő: <tartományvezérlő neve>Meglévő számítógépfiók DN:<számítógépfiók DN-elérési útja>. További információért lásd: https://go.microsoft.com/fwlink/?linkid=2202145.

Eseménynapló

RENDSZER

Eseményforrás

Netjoin

Eseményazonosító

4101

Esemény típusa

Hiba

Esemény szövege

A tartományhoz való csatlakozás során a tartományvezérlő felvette a kapcsolatot egy meglévő számítógépfiókot az Active Directoryban ugyanazzal a névvel. Biztonsági okokból a rendszer megakadályozta a fiók újbóli használatára tett kísérletet. A tartományvezérlő a következőt kereste: Meglévő számítógépfiók DN-címe: A hibakód <hibakód>. További információért lásd: https://go.microsoft.com/fwlink/?linkid=2202145.

A hibakeresési naplózás alapértelmezés szerint elérhető (nincs szükség részletes naplózás engedélyezésére) a C:\Windows\Debug\netsetup.log minden ügyfélszámítógépen.

Példa a hibakeresési naplózásra, amely akkor jön létre, amikor biztonsági okokból nem lehet újból felhasználni a fiókot:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Új események hozzáadva 2023 márciusában 

Ez a frissítés négy (4) új eseményt ad hozzá a SYSTEM naplóhoz a tartományvezérlőn az alábbiak szerint:

Eseményszint

Információs

Eseményazonosító

16995

Napló

RENDSZER

Eseményforrás

Directory-Services-SAM

Esemény szövege

A biztonságifiók-kezelő a megadott biztonsági leírót használja a számítógépfiók tartományhoz való csatlakoztatása során történő újrahasználati kísérletek ellenőrzéséhez.

SDDL-érték: SDDL-sztring> <

Ez az engedélyezési lista csoportházirenddel van konfigurálva az Active Directoryban.

További információ: http://go.microsoft.com/fwlink/?LinkId=2202145.

Eseményszint

Hiba

Eseményazonosító

16996

Napló

RENDSZER

Eseményforrás

Directory-Services-SAM

Esemény szövege

Az ügyfélkérések tartományhoz való csatlakoztatásának ellenőrzéséhez használt számítógépfiók újrahasználati engedélyezési listáját tartalmazó biztonsági leíró helytelenül van formázva.

SDDL-érték: SDDL-sztring> <

Ez az engedélyezési lista csoportházirenddel van konfigurálva az Active Directoryban.

A probléma megoldásához a rendszergazdának frissítenie kell a szabályzatot, hogy érvényes biztonsági leíróra állítsa be ezt az értéket, vagy tiltsa le.

További információ: http://go.microsoft.com/fwlink/?LinkId=2202145.

Eseményszint

Hiba

Eseményazonosító

16997

Napló

RENDSZER

Eseményforrás

Directory-Services-SAM

Esemény szövege

A biztonsági fiókkezelő olyan számítógépfiókot talált, amely árva, és nem rendelkezik meglévő tulajdonossal.

Számítógépfiók: S-1-5-xxx

Számítógépfiók tulajdonosa: S-1-5-xxx

További információ: http://go.microsoft.com/fwlink/?LinkId=2202145.

Eseményszint

Figyelmeztetés

Eseményazonosító

16998

Napló

RENDSZER

Eseményforrás

Directory-Services-SAM

Esemény szövege

A biztonságifiók-kezelő elutasította a számítógépfiók újbóli használatára vonatkozó ügyfélkérést a tartományhoz való csatlakozás során.

A számítógépfiók és az ügyfélidentitás nem felelt meg a biztonsági ellenőrzési ellenőrzéseknek.

Ügyfélfiók: S-1-5-xxx

Számítógépfiók: S-1-5-xxx

Számítógépfiók tulajdonosa: S-1-5-xxx

Ellenőrizze az esemény rekordadatait az NT-hibakódhoz.

További információ: http://go.microsoft.com/fwlink/?LinkId=2202145.

Ha szükséges, a netsetup.log további információkat adhat.

Ismert problémák

1. probléma

A 2023. szeptember 12-i vagy újabb frissítések telepítése után előfordulhat, hogy a tartományhoz való csatlakozás meghiúsul azokban a környezetekben, ahol a következő házirend van beállítva: Hálózati hozzáférés – A SAM-hez távoli hívásra jogosult ügyfelek korlátozása – Windows biztonság | Microsoft Learn. Ennek az az oka, hogy az ügyfélszámítógépek mostantól hitelesített SAMRPC-hívásokat intéznek a tartományvezérlőhöz a számítógépfiókok újbóli használatával kapcsolatos biztonsági ellenőrzési ellenőrzések végrehajtásához.     Ez várható. A módosítás végrehajtásához a rendszergazdáknak vagy meg kell tartaniuk a tartományvezérlő SAMRPC-házirendjét az alapértelmezett beállításoknál, vagy explicit módon bele kell foglalniuk a tartományhoz való csatlakozást végző felhasználói csoportot az SDDL-beállításokba, hogy engedélyt adjanak nekik. 

Példa a probléma előfordulásának netsetup.log:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

2. probléma

Ha a számítógép tulajdonosi fiókját törölték, és a számítógépfiók újbóli felhasználására tett kísérlet történik, a rendszer az 16997-s eseményt naplózza a rendszer eseménynaplójában. Ha ez történik, akkor nem baj, ha újra hozzárendeli a tulajdonjogot egy másik fiókhoz vagy csoporthoz.

3. probléma

Ha csak az ügyfél rendelkezik a 2023. március 14-i vagy újabb frissítésével, az Active Directory-szabályzat ellenőrzése 0x32 STATUS_NOT_SUPPORTED fog visszatérni. A novemberi gyorsjavításokban végrehajtott korábbi ellenőrzések az alábbiak szerint lesznek alkalmazva:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.