Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Pastaba: Atnaujinta 2024-08-13; žr. 2024 m. rugpjūčio 13 d. veikimą

Suvestinė

2022 m. spalio 11 d. ir vėliau išleisti "Windows" naujinimai apima papildomas cve-2022-38042 įdiegtas apsaugos priemones. Šios apsaugos specialiai neleidžia prisijungimo prie domeno operacijoms pakartotinai naudotis esama kompiuterio paskyra tiksliniame domene, nebent:

  • Operaciją bandantis atlikti vartotojas yra esamos paskyros kūrėjas.

    arba

  • Kompiuterį sukūrė domeno administratorių narys.

    arba

  • Pakartotinai naudojamos kompiuterio paskyros savininkas yra domeno valdiklio: leisti pakartotinai naudoti kompiuterio paskyrą prisijungiant prie domeno narys. Grupės strategijos parametras. Šiam parametrui reikia įdiegti "Windows" naujinimus, išleistus 2023 m. kovo 14 d. arba vėliau VISUOSE kompiuteriuose-narių ir domeno valdikliuose.

Naujinimai, išleisti 2023 m. kovo 14 d. ir vėliau bei 2023 m. rugsėjo 12 d., suteiks papildomų parinkčių paveiktiems klientams "Windows Server 2012 R2" ir naujesnėse versijose bei visiems palaikomiems klientams. Daugiau informacijos žr . skyriuose 2022 m. spalio 11 d. veikimas ir Veiksmų atlikimas .

Nata Šiame straipsnyje anksčiau nurodytas NetJoinLegacyAccountReuse registro raktą. Nuo 2024 m. rugpjūčio 13 d. šis registro raktas ir jo nuorodos šiame straipsnyje buvo pašalintos. 

Veikimas iki 2022 m. spalio 11 d.

Prieš diegdami 2022 m. spalio 11 d. arba naujesnius kaupiamuosius naujinimus, kliento kompiuteris pateikia esamos paskyros tokiu pačiu pavadinimu "Active Directory" užklausas. Ši užklausa pateikiama domeno prisijungimo ir kompiuterio paskyros parengimo metu. Jei tokia paskyra yra, klientas automatiškai bandys ją pakartotinai naudoti.

Nata Pakartotinio naudojimo bandymas nepavyks, jei vartotojas, bandantis prisijungti prie domeno, neturi reikiamų rašymo teisių. Tačiau, jei vartotojas turi pakankamai teisių, prisijungti prie domeno pavyks.

Yra du domeno prisijungimo scenarijai su atitinkamais numatytaisiais veiksmais ir vėliavėlėmis, kaip nurodyta toliau.

2022 m. spalio 11 d. veikimas 

Kai kliento kompiuteryje įdiegsite 2022 m. spalio 11 d. arba naujesnius "Windows" kaupiamuosius naujinimus, klientas atliks papildomas saugos patikras prieš bandydamas pakartotinai naudoti esamą kompiuterio paskyrą. Algoritmas:

  1. Bandymas pakartotinai naudoti abonementą bus leidžiamas, jei vartotojas, bandantis atlikti operaciją, yra esamos paskyros kūrėjas.

  2. Bandymas pakartotinai naudoti abonementą bus leidžiamas, jei paskyrą sukūrė domeno administratorių narys.

Šios papildomos saugos patikros atliekamos prieš bandant prisijungti prie kompiuterio. Jei patikrinimas sėkmingas, likusiai sujungimo operacijai taikomos "Active Directory" teisės, kaip ir anksčiau.

Šis pakeitimas neturi įtakos naujoms paskyroms.

Pastaba Įdiegus 2022 m. spalio 11 d. arba naujesnius "Windows" kaupiamuosius naujinimus, domeno prisijungimas naudojant kompiuterio paskyrą gali specialiai nepavykti dėl šios klaidos:

Klaida 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Active Directory yra taip pavadinta paskyra. Paskyros pakartotinis naudojimas užblokuotas pagal saugos strategiją."

Jei taip, paskyra sąmoningai apsaugota naudojant naują veikimą.

Įvykio ID 4101 bus paleistas, kai įvyks aukščiau pateikta klaida ir problema bus užregistruota c:\windows\debug\netsetup.log. Norėdami suprasti triktį ir išspręsti problemą, atlikite toliau nurodytus veiksmus.

2023 m. kovo 14 d. veikimas

2023 m. kovo 14 d. arba vėliau išleistuose "Windows" naujinimuose atlikome kelis saugos sustijimo pakeitimus. Šie pakeitimai apima visus pakeitimus, kuriuos atlikome 2022 m. spalio 11 d.

Pirma, išplėtėme grupių, kurioms šis kietėjimas netaikomas, aprėptį. Be domenų administratorių, nuo šiol įmonių administratoriams ir įtaisytųjų administratorių grupėms nuosavybės patikra netaikoma.

Antra, įdiegėme naują grupės strategijos parametrą. Administratoriai gali jį naudoti norėdami nurodyti leistinų patikimų kompiuterio paskyrų savininkų sąrašą. Kompiuterio paskyra apeis saugos patikrą, jei teisingas vienas iš šių sąlygų:

  • Paskyra priklauso vartotojui, kuris nurodytas kaip patikimas savininkas grupės strategijoje "Domeno valdiklis: leisti pakartotinai naudoti kompiuterio paskyrą domeno prisijungimo metu".

  • Paskyra priklauso vartotojui, kuris yra grupės, nurodytos kaip patikimas savininkas, narys grupės strategijoje "Domeno valdiklis: leisti pakartotinai naudoti kompiuterio paskyrą prisijungiant prie domeno".

Norint naudoti šią naują grupės strategiją, domeno valdiklyje ir nario kompiuteryje turi būti nuosekliai įdiegtas 2023 m. kovo 14 d. arba naujesnis naujinimas. Kai kurie iš jūsų gali turėti tam tikrų paskyrų, kurias naudojate kurdami automatinį kompiuterio abonementą. Jei šios paskyros yra saugios nuo piktnaudžiavimo ir jomis pasitikite kurdami kompiuterio paskyras, galite jas pašalinti. Jūs vis tiek būsite apsaugoti nuo pradinio pažeidžiamumo, kurį galima sumažinti iki 2022 m. spalio 11 d. "Windows" naujinimų.

2023 m. rugsėjo 12 d. veikimas

2023 m. rugsėjo 12 d. arba vėliau išleistuose "Windows" naujinimuose atlikome keletą papildomų saugos sustiprinimo pakeitimų. Šie pakeitimai apima visus 2022 m. spalio 11 d. atliktus pakeitimus ir 2023 m. kovo 14 d. pakeitimus.

Išsprendėme problemą, kai, neatsižvelgiant į strategijos parametrą, nepavyko prisijungti prie domeno naudojant intelektualiosios kortelės autentifikavimą. Norėdami išspręsti šią problemą, perkėlėme likusias saugos patikras atgal į domeno valdiklį. Todėl po 2023 m. rugsėjo saugos naujinimo kliento kompiuteriai autentifikavo SAMRPC iškvietimus domeno valdikliui atlikti saugos tikrinimo patikrinimus, susijusius su pakartotiniu kompiuterio paskyrų naudojimą.

Tačiau dėl to gali nepavykti prisijungti prie domeno aplinkose, kuriose nustatyta ši strategija: tinklo prieiga: apriboti klientus, kuriems leidžiama skambinti nuotoliniu būdu SAM.  Informacijos, kaip išspręsti šią problemą, ieškokite skyriuje "Žinomos problemos".

2024 m. rugpjūčio 13 d. veikimas

2024 m. rugpjūčio 13 d. arba vėliau išleistuose "Windows" naujinimuose išsprendėme visas žinomas suderinamumo su "Allowlist" strategija problemas. Taip pat pašalinome rakto NetJoinLegacyAccountReuse palaikymą. Sukietėjimo veikimas išliks neatsižvelgiant į rakto parametrą. Išimčių įtraukimo tinkami metodai išvardyti toliau pateiktame skyriuje Imtis veiksmų. 

Imtis veiksmų

Konfigūruokite naują leidžiamųjų sąrašo strategiją naudodami grupės strategiją domeno valdiklyje ir pašalinkite visus senstelėjusius kliento sprendimo būdus. Tada atlikite šiuos veiksmus:

  1. Turite įdiegti 2023 m. rugsėjo 12 d. arba naujesnius naujinimus visuose narių kompiuteriuose ir domeno valdikliuose. 

  2. Naujoje arba esamoje grupės strategijoje, kuri taikoma visiems domeno valdikliams, konfigūruokite parametrus atlikdami toliau nurodytus veiksmus.

  3. Dalyje Kompiuterio konfigūracija\Strategijos\"Windows" parametrai\Saugos parametrai\Vietinės strategijos\Saugos parinktys dukart spustelėkite Domeno valdiklis: leisti pakartotinai naudoti kompiuterio paskyrą prisijungiant prie domeno.

  4. Pasirinkite Apibrėžti šį strategijos parametrą ir <Redaguoti saugą...>.

  5. Naudokite objektų parinkiklį, kad įtrauktumėte patikimų kompiuterio abonementų kūrėjų ir savininkų vartotojus arba grupes į leisti teises. (Geriausia praktika – teisių tikslais primygtinai rekomenduojame naudoti grupes.) Neįtraukite vartotojo paskyros, kuri atlieka prisijungimą prie domeno.

    Įspėjimas: Riboti narystę strategijoje iki patikimų vartotojų ir tarnybos paskyrų. Į šią strategiją neįtraukite autentifikuotų vartotojų, visų ar kitų didelių grupių. Vietoj to įtraukite konkrečius patikimus vartotojus ir tarnybos paskyras į grupes ir įtraukite tas grupes į strategiją.

  6. Palaukite grupės strategijos atnaujinimo intervalo arba paleiskite gpupdate /force visuose domeno valdikliuose.

  7. Patikrinkite, ar HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" registro raktas užpildytas norimu SDDL. Neautomatiškai neredaguokite registro.

  8. Pabandykite prisijungti prie kompiuterio, kuriame įdiegti 2023 m. rugsėjo 12 d. arba naujesni naujinimai. Įsitikinkite, kad vienai iš paskyrų, išvardytų strategijoje, priklauso kompiuterio paskyra. Jei prisijungti prie domeno nepavyksta, patikrinkite c:\windows\debug\netsetup.log.

Jei vis dar reikia alternatyvaus sprendimo būdo, peržiūrėkite kompiuterio paskyros parengimo darbo eigas ir supraskite, ar reikia atlikti keitimus. 

  1. Sujungimo operaciją atlikite naudodami tą pačią paskyrą, kuri sukūrė kompiuterio paskyrą paskirties domene.

  2. Jei esama paskyra pasenusi (nenaudojama), panaikinkite ją prieš bandydami prisijungti prie domeno dar kartą.

  3. Pervardykite kompiuterį ir prisijunkite naudodami kitą paskyrą, kurios dar nėra.

  4. Jei esama paskyra priklauso patikimam saugos nariui ir administratorius nori pakartotinai naudoti paskyrą, vykdykite skyriuje Veiksmai pateiktus nurodymus, kad įdiegtumėte 2023 m. rugsėjo arba vėlesnį "Windows" naujinimą ir sukonfigūruotumėte leidžiamų sąrašą.

Nepriskyrimai

  • Į domenų administratorių saugos grupę neįtraukite tarnybų paskyrų ar parengimo paskyrų.

  • Neautomatiškai neredaguokite kompiuterio paskyrų saugos aprašo bandydami iš naujo apibrėžti tokių paskyrų nuosavybę, nebent ankstesnė savininko paskyra būtų panaikinta. Redaguojant savininką bus galima sėkmingai atlikti naujas patikras, tačiau kompiuterio paskyra gali išlaikyti tas pačias galimai rizikingas, nepageidaujamas pradinio savininko teises, nebent ji būtų aiškiai peržiūrėta ir pašalinta.

Nauji įvykių žurnalai

Įvykių žurnalas

SISTEMA  

Įvykio šaltinis

Netjoin

Įvykio ID

4100

Įvykio tipas

Informacinio

Įvykio tekstas

"Prisijungimo prie domeno metu susisiekęs domeno valdiklis rado esamą kompiuterio paskyrą "Active Directory" tuo pačiu pavadinimu.

Buvo leidžiama pakartotinai naudoti šią paskyrą.

Ieškota domeno valdiklyje: <domeno valdiklio pavadinimas>Esamas kompiuterio paskyros DN: <kompiuterio paskyros> DN kelias. Daugiau informacijos žr. https://go.microsoft.com/fwlink/?linkid=2202145.

Įvykių žurnalas

SISTEMA

Įvykio šaltinis

Netjoin

Įvykio ID

4101

Įvykio tipas

Klaida

Įvykio tekstas

Jungiantis prie domeno susisiekęs domeno valdiklis rado esamą kompiuterio paskyrą "Active Directory" tuo pačiu pavadinimu. Bandymas pakartotinai naudoti šią paskyrą buvo uždraustas dėl saugos priežasčių. Ieškota domeno valdiklyje: esamas kompiuterio paskyros DN: klaidos kodas <klaidos kodas>. Daugiau informacijos žr. https://go.microsoft.com/fwlink/?linkid=2202145.

Derinimo registravimas pagal numatytuosius nustatymus yra pasiekiamas (nebūtina įgalinti daugiažodžio registravimo) C:\Windows\Debug\netsetup.log visuose klientų kompiuteriuose.

Derinimo registravimo, sugeneruoto, kai paskyros pakartotinis naudojimas neleidžiamas dėl saugos priežasčių, pavyzdys:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nauji įvykiai įtraukti 2023 m. kovo mėn. 

Šis naujinimas įtraukia keturis (4) naujus įvykius SISTEMOS žurnale domeno valdiklyje taip:

Įvykio lygis

Informacinio

Įvykio ID

16995

Žurnalo

SISTEMA

Įvykio šaltinis

Katalogų tarnybos – SAM

Įvykio tekstas

Saugos abonemento tvarkytuvas naudoja nurodytą saugos aprašą kompiuterio paskyros pakartotinio naudojimo bandymams domeno jungimosi metu patikrinti.

SDDL reikšmė: <SDDL eilutės>

Šis leidžiamų sąrašas sukonfigūruotas naudojant "Active Directory" grupės strategiją.

Daugiau informacijos žr. http://go.microsoft.com/fwlink/?LinkId=2202145.

Įvykio lygis

Klaida

Įvykio ID

16996

Žurnalo

SISTEMA

Įvykio šaltinis

Katalogų tarnybos – SAM

Įvykio tekstas

Netinkamai suformuotas saugos aprašas, kuriame yra kompiuterio paskyros pakartotinio naudojimo leidžiamųjų sąrašas, naudojamas patikrinti kliento užklausų domeno sujungimą.

SDDL reikšmė: <SDDL eilutės>

Šis leidžiamų sąrašas sukonfigūruotas naudojant "Active Directory" grupės strategiją.

Norint išspręsti šią problemą, administratoriui reikės atnaujinti strategiją, kad nustatytų šią reikšmę į galiojantį saugos aprašą arba ją išjungtų.

Daugiau informacijos žr. http://go.microsoft.com/fwlink/?LinkId=2202145.

Įvykio lygis

Klaida

Įvykio ID

16997

Žurnalo

SISTEMA

Įvykio šaltinis

Katalogų tarnybos – SAM

Įvykio tekstas

Saugos paskyrų tvarkytuvas rado kompiuterio paskyrą, kuri atrodo pavienė ir neturi esamo savininko.

Kompiuterio paskyra: S-1-5-xxx

Kompiuterio paskyros savininkas: S-1-5-xxx

Daugiau informacijos žr. http://go.microsoft.com/fwlink/?LinkId=2202145.

Įvykio lygis

Įspėjimas

Įvykio ID

16998

Žurnalo

SISTEMA

Įvykio šaltinis

Katalogų tarnybos – SAM

Įvykio tekstas

Saugos paskyros tvarkytuvas atmetė kliento užklausą iš naujo naudoti kompiuterio paskyrą prisijungiant prie domeno.

Kompiuterio abonementas ir kliento tapatybė neatitiko saugos tikrinimo patikrų.

Kliento paskyra: S-1-5-xxx

Kompiuterio paskyra: S-1-5-xxx

Kompiuterio paskyros savininkas: S-1-5-xxx

Patikrinkite šio įvykio įrašo duomenis, ar nėra NT klaidos kodo.

Daugiau informacijos žr. http://go.microsoft.com/fwlink/?LinkId=2202145.

Jei reikia, netsetup.log gali pateikti daugiau informacijos.

Žinomos problemos

1 problema

Įdiegus 2023 m. rugsėjo 12 d. arba vėlesnius naujinimus, prisijungti prie domeno gali nepavykti aplinkoje, kurioje nustatyta ši strategija: Tinklo prieiga – Apriboti klientus, kuriems leidžiama skambinti nuotoliniu būdu SAM – "Windows" sauga | "Microsoft Learn". Taip yra todėl, kad kliento kompiuteriai dabar atlieka autentifikuotus SAMRPC iškvietimus į domeno valdiklį, kad atliktų saugos tikrinimo patikras, susijusias su kompiuterio paskyrų pakartotiniu naudojimą.     Tai numatoma. Kad šis pakeitimas būtų pritaikytas, administratoriai turėtų palikti domeno valdiklio SAMRPC strategiją numatytuosiuose parametruose ARBA aiškiai įtraukti vartotojų grupę, atliekančią domeno sujungimą SDDL parametruose, kad suteiktų jiems teises. 

Pavyzdys iš netsetup.log, kur įvyko ši problema:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

2 problema

Jei kompiuterio savininko paskyra buvo panaikinta ir bandoma pakartotinai naudoti kompiuterio paskyrą, sistemos įvykių žurnale bus užregistruotas įvykis 16997. Jei taip nutinka, galite iš naujo priskirti nuosavybę kitai paskyrai ar grupei.

3 problema

Jei tik klientas turi 2023 m. kovo 14 d. arba vėlesnį naujinimą, "Active Directory" strategijos patikra pateiks 0x32 STATUS_NOT_SUPPORTED. Ankstesnių patikrų, kurios buvo įgyvendintos lapkričio karštąsias pataisas, bus taikomos, kaip parodyta toliau:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.