Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Примечание: Обновлено 13.08.2024; См. поведение от 13 августа 2024 г.

Сводка

Обновления Windows, выпущенные 11 октября 2022 г. и позже, содержат дополнительные меры защиты, введенные CVE-2022-38042. Эти меры защиты намеренно запрещают операциям присоединения к домену повторно использовать существующую учетную запись компьютера в целевом домене, если только:

  • Пользователь, пытающийся выполнить операцию, является создателем существующей учетной записи.

    Или

  • Компьютер был создан членом администраторов домена.

    Или

  • Владелец учетной записи компьютера, которая используется повторно, является членом "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену". Параметр групповой политики. Для этого параметра требуется установить обновления Windows, выпущенные 14 марта 2023 г. или позже, на всех компьютерах-членах и контроллерах домена.

Обновления, выпущенные с 14 марта 2023 г. и после 12 сентября 2023 г., предоставляют дополнительные возможности для затронутых клиентов в Windows Server 2012 R2 и более поздних версиях, а также для всех поддерживаемых клиентов. Дополнительные сведения см. в разделах Поведение от 11 октября 2022 г. и Принятие мер .

Заметка Эта статья ранее ссылалась на раздел реестра NetJoinLegacyAccountReuse . По состоянию на 13 августа 2024 г. этот раздел реестра и ссылки на него в этой статье были удалены. 

Поведение до 11 октября 2022 г.

Перед установкой накопительных обновлений от 11 октября 2022 г. или более поздних версий клиентский компьютер запрашивает у Active Directory существующую учетную запись с тем же именем. Этот запрос выполняется во время присоединения к домену и подготовки учетной записи компьютера. Если такая учетная запись существует, клиент автоматически попытается повторно использовать ее.

Заметка Попытка повторного использования завершится ошибкой, если пользователь, который пытается выполнить операцию присоединения к домену, не имеет соответствующих разрешений на запись. Однако если у пользователя достаточно разрешений, присоединение к домену будет выполнено успешно.

Существует два сценария присоединения к домену с соответствующим поведением по умолчанию и флагами следующим образом:

Поведение от 11 октября 2022 г. 

После установки накопительных обновлений Windows от 11 октября 2022 г. или более поздних версий на клиентском компьютере во время присоединения к домену клиент выполнит дополнительные проверки безопасности, прежде чем пытаться повторно использовать существующую учетную запись компьютера. Алгоритм:

  1. Попытка повторного использования учетной записи будет разрешена, если пользователь, пытающийся выполнить операцию, является создателем существующей учетной записи.

  2. Попытка повторного использования учетной записи будет разрешена, если учетная запись была создана членом администраторов домена.

Эти дополнительные проверки безопасности выполняются перед попыткой присоединиться к компьютеру. Если проверка прошла успешно, остальная часть операции присоединения зависит от разрешений Active Directory, как и раньше.

Это изменение не влияет на новые учетные записи.

Примечание После установки накопительных обновлений Windows от 11 октября 2022 г. или более поздней версии присоединение к домену с использованием учетной записи компьютера может намеренно завершиться ошибкой со следующей ошибкой:

Ошибка 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Учетная запись с таким же именем существует в Active Directory. Повторное использование учетной записи было заблокировано политикой безопасности".

Если это так, учетная запись намеренно защищена новым поведением.

Событие с идентификатором 4101 активируется после возникновения приведенной выше ошибки, и проблема будет зарегистрирована в c:\windows\debug\netsetup.log. Чтобы понять сбой и устранить проблему, выполните приведенные ниже действия.

Поведение от 14 марта 2023 г.

В обновлениях Windows, выпущенных 14 марта 2023 г. или позже, мы внесли несколько изменений в усиление безопасности. Эти изменения включают все изменения, внесенные 11 октября 2022 г.

Во-первых, мы расширили область действия групп, которые исключены из этой защиты. Помимо администраторов домена, администраторы предприятия и группы встроенных администраторов теперь освобождаются от проверки владения.

Во-вторых, мы реализовали новый параметр групповой политики. Администраторы могут использовать его для указания списка разрешенных владельцев доверенных учетных записей компьютеров. Учетная запись компьютера обойдет проверку безопасности, если выполняется одно из следующих действий:

  • Учетная запись принадлежит пользователю, указанному в качестве доверенного владельца в групповой политике "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену".

  • Учетная запись принадлежит пользователю, который является членом группы, указанной в качестве доверенного владельца в групповой политике "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену".

Чтобы использовать эту новую групповую политику, контроллер домена и компьютер-член должны последовательно установить обновление от 14 марта 2023 г. или более поздней версии. Некоторые из вас могут иметь определенные учетные записи, которые используются при автоматическом создании учетной записи компьютера. Если эти учетные записи защищены от злоупотреблений и вы доверяете им создание учетных записей компьютеров, их можно исключить. Вы по-прежнему будете защищены от исходной уязвимости, устраненной обновлениями Windows от 11 октября 2022 г.

Поведение от 12 сентября 2023 г.

В обновлениях Windows, выпущенных 12 сентября 2023 г. или позже, мы внесли несколько дополнительных изменений в усиление безопасности. Эти изменения включают все изменения, внесенные 11 октября 2022 г., и изменения с 14 марта 2023 г.

Устранена проблема, из-за которой не удалось присоединиться к домену с помощью проверки подлинности смарт-карты независимо от параметра политики. Чтобы устранить эту проблему, мы переместили оставшиеся проверки безопасности обратно в контроллер домена. Поэтому после обновления системы безопасности за сентябрь 2023 г. клиентские компьютеры выполняют проверенные вызовы SAMRPC к контроллеру домена для выполнения проверок безопасности, связанных с повторным использованием учетных записей компьютеров.

Однако это может привести к сбою присоединения к домену в средах, где задана следующая политика: Сетевой доступ: Ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM.  Сведения о том, как устранить эту проблему, см. в разделе "Известные проблемы".

Поведение от 13 августа 2024 г.

В обновлениях Windows, выпущенных 13 августа 2024 г. или позже, мы устраняли все известные проблемы совместимости с политикой allowlist. Мы также удалили поддержку ключа NetJoinLegacyAccountReuse . Поведение усиления защиты будет сохраняться независимо от параметра ключа. Соответствующие методы для добавления исключений перечислены в разделе "Принять меры" ниже. 

Действие

Настройте новую политику списка разрешений с помощью групповой политики на контроллере домена и удалите все устаревшие обходные решения на стороне клиента. Затем выполните следующие действия.

  1. Необходимо установить обновления от 12 сентября 2023 г. или более поздних версий на всех компьютерах-членах и контроллерах домена. 

  2. В новой или существующей групповой политике, которая применяется ко всем контроллерам домена, настройте параметры, описанные ниже.

  3. В разделе Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности дважды щелкните Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену.

  4. Выберите Определить этот параметр политики и <Изменить безопасность...>.

  5. Используйте средство выбора объектов, чтобы добавить пользователей или группы создателей и владельцев доверенных учетных записей компьютеров в разрешение Разрешить . (Рекомендуется использовать группы для разрешений.) Не добавляйте учетную запись пользователя, выполняющего присоединение к домену.

    Предупреждение: Ограничьте членство в политике доверенными пользователями и учетными записями служб. Не добавляйте в эту политику пользователей, прошедших проверку подлинности, всех пользователей или другие большие группы. Вместо этого добавьте в группы определенных доверенных пользователей и учетные записи служб и добавьте эти группы в политику.

  6. Дождитесь интервала обновления групповой политики или выполните gpupdate /force на всех контроллерах домена.

  7. Убедитесь, что раздел реестра HKLM\System\CCS\Control\SAM – ComputerAccountReuseAllowList заполнен требуемым SDDL. Не редактируйте реестр вручную.

  8. Попробуйте присоединиться к компьютеру с установленными обновлениями от 12 сентября 2023 г. или более поздних версий. Убедитесь, что одной из учетных записей, перечисленных в политике, принадлежит учетная запись компьютера. Если сбой присоединения к домену, проверьте \netsetup.log c:\windows\debug.

Если вам по-прежнему требуется альтернативное решение, ознакомьтесь с рабочими процессами подготовки учетных записей компьютера и поймите, требуются ли изменения. 

  1. Выполните операцию присоединения, используя ту же учетную запись, которая создала учетную запись компьютера в целевом домене.

  2. Если существующая учетная запись устарела (не используется), удалите ее, прежде чем снова присоединиться к домену.

  3. Переименуйте компьютер и присоединитесь, используя другую учетную запись, которая еще не существует.

  4. Если существующая учетная запись принадлежит доверенному субъекту безопасности и администратор хочет повторно использовать учетную запись, следуйте указаниям в разделе "Принять меры", чтобы установить обновления Windows за сентябрь 2023 г. или более поздней версии и настроить список разрешений.

Неразрешаемая

  • Не добавляйте учетные записи служб или учетные записи подготовки в группу безопасности "Администраторы домена".

  • Не изменяйте дескриптор безопасности в учетных записях компьютеров вручную, пытаясь переопределить владение такими учетными записями, если только предыдущая учетная запись владельца не была удалена. При редактировании владельца новые проверки будут успешно выполнены, учетная запись компьютера может сохранить те же потенциально опасные и нежелательные разрешения для исходного владельца, если они не будут явно проверены и удалены.

Новые журналы событий

Журнал событий

СИСТЕМА  

Источник события

Netjoin

Идентификатор события

4100

Тип события

Информационный

Текст события

"Во время присоединения к домену контроллер домена связался с найденной учетной записью компьютера в Active Directory с тем же именем.

Попытка повторного использования этой учетной записи была разрешена.

Поиск контроллера домена: <имя контроллера домена>имя существующей учетной записи компьютера DN: <путь DN учетной записи компьютера>. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2202145.

Журнал событий

СИСТЕМА

Источник события

Netjoin

Идентификатор события

4101

Тип события

Ошибка

Текст события

Во время присоединения к домену контроллер домена связался с существующей учетной записью компьютера в Active Directory с тем же именем. Попытка повторного использования этой учетной записи была запрещена по соображениям безопасности. Поиск контроллера домена: DN существующей учетной записи компьютера. Код ошибки был <код ошибки>. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2202145.

Ведение журнала отладки доступно по умолчанию (не требуется включать подробное ведение журнала) в C:\Windows\Debug\netsetup.log на всех клиентских компьютерах.

Пример ведения журнала отладки, созданного при запрете повторного использования учетной записи по соображениям безопасности:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Новые события, добавленные в марте 2023 г. 

Это обновление добавляет четыре (4) новых события в журнал SYSTEM на контроллере домена следующим образом:

Уровень событий

Информационный

Идентификатор события

16995

Журнал

СИСТЕМА

Источник события

Directory-Services-SAM

Текст события

Диспетчер учетных записей безопасности использует указанный дескриптор безопасности для проверки попыток повторного использования учетной записи компьютера во время присоединения к домену.

Значение SDDL: <строковое> SDDL

Этот список разрешений настраивается с помощью групповой политики в Active Directory.

Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145.

Уровень событий

Ошибка

Идентификатор события

16996

Журнал

СИСТЕМА

Источник события

Directory-Services-SAM

Текст события

Дескриптор безопасности, содержащий список разрешений повторного использования учетной записи компьютера, используемый для проверки присоединения к домену запросов клиента, имеет неправильный формат.

Значение SDDL: <строковое> SDDL

Этот список разрешений настраивается с помощью групповой политики в Active Directory.

Чтобы устранить эту проблему, администратору потребуется обновить политику, чтобы задать для этого значения допустимый дескриптор безопасности или отключить его.

Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145.

Уровень событий

Ошибка

Идентификатор события

16997

Журнал

СИСТЕМА

Источник события

Directory-Services-SAM

Текст события

Диспетчер учетных записей безопасности обнаружил учетную запись компьютера, которая, как представляется, потеряна и не имеет существующего владельца.

Учетная запись компьютера: S-1-5-xxx

Владелец учетной записи компьютера: S-1-5-xxx

Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145.

Уровень событий

Предупреждение

Идентификатор события

16998

Журнал

СИСТЕМА

Источник события

Directory-Services-SAM

Текст события

Диспетчер учетных записей безопасности отклонил запрос клиента на повторное использование учетной записи компьютера во время присоединения к домену.

Учетная запись компьютера и удостоверение клиента не соответствуют проверкам безопасности.

Учетная запись клиента: S-1-5-xxx

Учетная запись компьютера: S-1-5-xxx

Владелец учетной записи компьютера: S-1-5-xxx

Проверьте данные записи этого события на наличие кода ошибки NT.

Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145.

При необходимости netsetup.log может предоставить дополнительные сведения.

Известные проблемы

Проблема 1

После установки обновлений от 12 сентября 2023 г. или более поздних версий присоединение к домену может завершиться ошибкой в средах, где задана следующая политика: сетевой доступ — ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM — Безопасность Windows | Microsoft Learn. Это связано с тем, что клиентские компьютеры теперь выполняют проверенные вызовы SAMRPC к контроллеру домена для выполнения проверок безопасности, связанных с повторным использованием учетных записей компьютеров.     Это ожидается. Чтобы учесть это изменение, администраторы должны либо сохранить политику SAMRPC контроллера домена по умолчанию, либо явно включить группу пользователей, выполняющую присоединение к домену, в параметры SDDL, чтобы предоставить им разрешение. 

Пример из netsetup.log, где возникла эта проблема:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Проблема 2

Если учетная запись владельца компьютера удалена и предпринята попытка повторного использования учетной записи компьютера, событие 16997 будет зарегистрировано в журнале системных событий. В этом случае можно повторно назначить права владения другой учетной записи или группе.

Проблема 3

Если только клиент имеет обновление от 14 марта 2023 г. или более поздней версии, проверка политики Active Directory вернет 0x32 STATUS_NOT_SUPPORTED. Предыдущие проверки, реализованные в ноябрьском исправлении, будут применяться, как показано ниже:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.