Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Tip!: Hvis du vil have vist det nye eller reviderede januar 2024-indhold, skal du se mærkerne [Januar 2024 - Start] og [Slut - januar 2024] i artiklen.

Sammendrag

Windows-opdateringer, der er udgivet den 11. oktober 2022 og derefter, indeholder yderligere beskyttelse, der er introduceret af CVE-2022-38042. Disse beskyttelser forhindrer bevidst domænetilknytningshandlinger i at genbruge en eksisterende computerkonto i destinationsdomænet, medmindre:

  • Den bruger, der forsøger at udføre handlingen, er opretteren af den eksisterende konto.

    Eller

  • Computeren blev oprettet af et medlem af domæneadministratorer.

    Eller

  • Ejeren af den computerkonto, der genbruges, er medlem af "Domænecontroller: Tillad genbrug af computerkonto under domænetilslutning". Gruppepolitik indstilling. Denne indstilling kræver installation af Windows-opdateringer, der er udgivet den 14. marts 2023 eller derefter, på ALLE medlemscomputere og domænecontrollere.

Opdateringer, der er udgivet den 14. marts 2023 og den 12. september 2023 og derefter, giver yderligere muligheder for berørte kunder på Windows Server 2012 R2 og nyere og alle understøttede klienter. Du kan få mere at vide i afsnittene Funktionsmåde for 11. oktober 2022 og Handling

Funktionsmåde før 11. oktober 2022

Før du installerer de kumulative opdateringer fra d. 11. oktober 2022 eller nyere, forespørger klientcomputeren Active Directory efter en eksisterende konto med samme navn. Denne forespørgsel forekommer under klargøring af domænetilslutning og computerkonto. Hvis en sådan konto findes, forsøger klienten automatisk at genbruge den.

Bemærk Forsøget på at genbruge mislykkes, hvis den bruger, der forsøger at udføre domænetilslutningshandlingen, ikke har de rette skrivetilladelser. Men hvis brugeren har tilstrækkelige tilladelser, vil domænetilslutningen lykkes.

Der er to scenarier for domænetilslutning med henholdsvis standardfunktionsmåder og flag som følger:

Funktionsmåde for 11. oktober 2022 

Når du har installeret de kumulative opdateringer fra d. 11. oktober 2022 eller nyere på en klientcomputer under domænetilslutning, udfører klienten yderligere sikkerhedskontroller, før du forsøger at genbruge en eksisterende computerkonto. Algoritme:

  1. Forsøg på genbrug af konto tillades, hvis den bruger, der forsøger at udføre handlingen, har oprettet den eksisterende konto.

  2. Forsøg på genbrug af konto tillades, hvis kontoen blev oprettet af et medlem af domæneadministratorer.

Disse ekstra sikkerhedskontroller udføres, før du forsøger at slutte dig til computeren. Hvis kontrollerne lykkes, er resten af joinhandlingen underlagt Active Directory-tilladelser som før.

Denne ændring påvirker ikke nye konti.

Bemærk! Når du har installeret de kumulative windows-opdateringer fra d. 11. oktober 2022 eller nyere, kan domænetilslutning med brug af computerkonto bevidst mislykkes med følgende fejl:

Fejl 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Der findes en konto med samme navn i Active Directory. Genbrug af kontoen blev blokeret af en sikkerhedspolitik."

Hvis det er tilfældet, beskyttes kontoen bevidst af den nye funktionsmåde.

Hændelses-id 4101 udløses, når fejlen ovenfor opstår, og problemet logføres i c:\windows\debug\netsetup.log. Følg trinnene nedenfor i Handling for at forstå fejlen og løse problemet.

Funktionsmåde for 14. marts 2023

I de Windows-opdateringer, der blev udgivet den 14. marts 2023 eller derefter, har vi foretaget et par ændringer af sikkerhedshærdningen. Disse ændringer omfatter alle de ændringer, vi har foretaget i 11. oktober 2022.

For det første har vi udvidet anvendelsesområdet for grupper, der er undtaget fra denne hærdning. Ud over domæneadministratorer er virksomhedsadministratorer og indbyggede administratorgrupper nu undtaget fra ejerskabskontrol.

For det andet har vi implementeret en ny indstilling for Gruppepolitik. Administratorer kan bruge den til at angive en liste over tilladte computerkontoejere. Computerkontoen tilsidesætter sikkerhedskontrollen, hvis et af følgende gælder:

  • Kontoen ejes af en bruger, der er angivet som en ejer, der er tillid til, i Gruppepolitik "Domænecontroller: Tillad, at computerkontoen genbruges under domænetilslutning".

  • Kontoen ejes af en bruger, der er medlem af en gruppe, der er angivet som en ejer, der er tillid til, i Gruppepolitik "Domænecontroller: Tillad genbrug af computerkonto under domænetilslutning".

Hvis du vil bruge denne nye Gruppepolitik, skal domænecontrolleren og medlemscomputeren konsekvent have opdateringen fra den 14. marts 2023 eller nyere installeret. Nogle af jer kan have bestemte konti, som du bruger til automatisk oprettelse af computerkonto. Hvis disse konti er sikre mod misbrug, og du har tillid til, at de opretter computerkonti, kan du undtage dem. Du vil stadig være sikker mod den oprindelige sikkerhedsrisiko, der blev afhjælpet med Windows-opdateringerne fra den 11. oktober 2022.

Funktionsmåde for 12. september 2023

I de Windows-opdateringer, der blev udgivet den 12. september 2023 eller derefter, har vi foretaget et par yderligere ændringer af sikkerhedshærdningen. Disse ændringer omfatter alle de ændringer, vi har foretaget i 11. oktober 2022, og ændringerne fra 14. marts 2023.

Vi har løst et problem, hvor domænetilslutning ved hjælp af chipkortgodkendelse mislykkedes uanset politikindstillingen. For at løse dette problem har vi flyttet de resterende sikkerhedskontroller tilbage til domænecontrolleren. Derfor foretager klientcomputere efter sikkerhedsopdateringen fra september 2023 godkendte SAMRPC-opkald til domænecontrolleren for at udføre sikkerhedsvalideringskontroller, der er relateret til genbrug af computerkonti.

Dette kan dog medføre, at domænetilslutning mislykkes i miljøer, hvor følgende politik er angivet: Netværksadgang: Begræns klienters tilladelse til at foretage fjernopkald til SAM.  Se afsnittet "Kendte problemer" for at få oplysninger om, hvordan du løser dette problem.

Vi planlægger også at fjerne den oprindelige NetJoinLegacyAccountReuse-registreringsdatabaseindstilling i en fremtidig Windows-opdatering. [Januar 2024 - Start]Denne fjernelse er foreløbigt planlagt til opdateringen dateret d. 13. august 2024. Udgivelsesdatoer kan ændres. [Slut – januar 2024]

Bemærk Hvis du har installeret nøglen NetJoinLegacyAccountReuse på dine klienter og indstiller den til værdi 1, skal du nu fjerne denne nøgle (eller indstille den til 0) for at drage fordel af de seneste ændringer. 

Gør noget

Konfigurer den nye politik for listen over tilladte ved hjælp af Gruppepolitik på en domænecontroller, og fjern eventuelle midlertidige løsninger på klientsiden. Gør derefter følgende:

  1. Du skal installere opdateringerne fra d. 12. september 2023 eller nyere på alle medlemscomputere og domænecontrollere. 

  2. Konfigurer indstillingerne i nedenstående trin i en ny eller eksisterende gruppepolitik, der gælder for alle domænecontrollere.

  3. Dobbeltklik på Domænecontroller under Computerkonfiguration\Politikker\Windows-indstillinger\Sikkerhedsindstillinger\Lokale politikker\Sikkerhedsindstillinger: Tillad genbrug af computerkonto under domænetilslutning.

  4. Vælg Definer denne politikindstilling , og <Rediger sikkerhed...>.

  5. Brug objektvælgeren til at føje brugere eller grupper af computerkontoforfattere og -ejere, der er tillid til, til tilladelsen Tillad . (Som bedste fremgangsmåde anbefaler vi, at du bruger grupper til tilladelser). Tilføj ikke den brugerkonto, der udfører domænetilslutningen.

    Advarsel!: Begræns medlemskab til politikken for brugere og tjenestekonti, der er tillid til. Føj ikke godkendte brugere, alle eller andre store grupper til denne politik. I stedet skal du føje bestemte brugere og tjenestekonti, der er tillid til, til grupper og føje disse grupper til politikken.

  6. Vent på det Gruppepolitik opdateringsinterval, eller kør gpupdate /force på alle domænecontrollere.

  7. Kontrollér, at registreringsdatabasenøglen HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" er udfyldt med den ønskede SDDL. Rediger ikke registreringsdatabasen manuelt.

  8. Forsøg at slutte dig til en computer, hvor opdateringerne fra den 12. september 2023 eller nyere er installeret. Sørg for, at en af de konti, der er angivet i politikken, ejer computerkontoen. Sørg også for, at registreringsdatabasen ikke har nøglen NetJoinLegacyAccountReuse aktiveret (indstillet til 1). Hvis domænetilslutningen mislykkes, skal du kontrollere c:\windows\debug\netsetup.log.

Hvis du stadig har brug for en alternativ løsning, kan du gennemse arbejdsprocesser for klargøring af computerkonti og forstå, om der kræves ændringer. 

  1. Udfør joinhandlingen ved hjælp af den samme konto, der oprettede computerkontoen i destinationsdomænet.

  2. Hvis den eksisterende konto er forældet (ubrugt), skal du slette den, før du forsøger at tilslutte dig domænet igen.

  3. Omdøb computeren, og deltag ved hjælp af en anden konto, der ikke allerede findes.

  4. Hvis den eksisterende konto ejes af en pålidelig sikkerhedsprincipal, og en administrator ønsker at genbruge kontoen, skal du følge vejledningen i afsnittet Udfør handling for at installere Windows-opdateringerne fra september 2023 eller nyere og konfigurere en liste over tilladte.

Vigtig vejledning til brug af registreringsdatabasenøglen NetJoinLegacyAccountReuse

Advarsel!: Hvis du vælger at indstille denne nøgle til at omgå disse beskyttelser, vil du efterlade dit miljø sårbart over for CVE-2022-38042, medmindre der refereres til dit scenarie nedenfor efter behov. Brug ikke denne metode uden at bekræfte, at Creator/Owner af det eksisterende computerobjekt er en sikker og pålidelig sikkerhedsprincipal. 

På grund af den nye Gruppepolitik bør du ikke længere bruge registreringsdatabasenøglen NetJoinLegacyAccountReuse. [Januar 2024 - Start]Vi bevarer nøglen i de næste par måneder, hvis du har brug for løsninger. [Slut – januar 2024]Hvis du ikke kan konfigurere det nye gruppepolitikobjekt i scenariet, anbefaler vi på det kraftigste, at du kontakter Microsoft Support.

Sti

HKLM\System\CurrentControlSet\Control\LSA

Type

REG_DWORD

Navn

NetJoinLegacyAccountReuse

Værdi

1

Andre værdier ignoreres.

BemærkMicrosoft fjerner understøttelse af registreringsdatabaseindstillingen NetJoinLegacyAccountReuse i en fremtidig Windows-opdatering. [Januar 2024 - Start]Denne fjernelse er foreløbigt planlagt til opdateringen dateret d. 13. august 2024. Udgivelsesdatoer kan ændres. [Slut – januar 2024]

Opløsninger

  • Når du har installeret 12. september 2023 eller nyere opdateringer på domænecontrollere og klienter i miljøet, skal du ikke bruge registreringsdatabasen NetJoinLegacyAccountReuse . Følg i stedet trinnene i Handling for at konfigurere det nye gruppepolitikobjekt. 

  • Føj ikke tjenestekonti eller klargøringskonti til sikkerhedsgruppen Domæneadministratorer.

  • Rediger ikke sikkerhedsbeskrivelsen manuelt på computerkonti i et forsøg på at omdefinere ejerskabet af disse konti, medmindre den tidligere ejerkonto er blevet slettet. Mens redigering af ejeren vil gøre det muligt for de nye kontroller at lykkes, kan computerkontoen bevare de samme potentielt risikable, uønskede tilladelser til den oprindelige ejer, medmindre de udtrykkeligt gennemses og fjernes.

  • Tilføj ikke registreringsdatabasenøglen NetJoinLegacyAccountReuse for at basere OS-afbildninger, da nøglen kun bør tilføjes midlertidigt og derefter fjernes direkte, når domænetilslutningen er fuldført.

Nye hændelseslogge

Hændelseslog

SYSTEM
 

Hændelseskilde

Netjoin

Hændelses-id

4100

Hændelsestype

Informative

Hændelsestekst

"Under domænetilslutningen fandt domænecontrolleren en eksisterende computerkonto i Active Directory med samme navn.

Et forsøg på at genbruge denne konto er tilladt.

Søgning i domænecontroller: <navn på domænecontroller>Eksisterende computerkonto DN: <DN-sti til computerkonto>. Se https://go.microsoft.com/fwlink/?linkid=2202145 for at få flere oplysninger.

Hændelseslog

SYSTEM

Hændelseskilde

Netjoin

Hændelses-id

4101

Hændelsestype

Fejl

Hændelsestekst

Under domænetilslutningen fandt den domænecontroller, der blev kontaktet, en eksisterende computerkonto i Active Directory med samme navn. Et forsøg på at genbruge denne konto blev forhindret af sikkerhedsmæssige årsager. Søgning i domænecontroller: Eksisterende computerkonto DN: Fejlkoden blev <fejlkode>. Se https://go.microsoft.com/fwlink/?linkid=2202145 for at få flere oplysninger.

Logføring af fejlfinding er som standard tilgængelig (ingen grund til at aktivere detaljeret logføring) i C:\Windows\Debug\netsetup.log på alle klientcomputere.

Eksempel på den fejlfindingslogføring, der genereres, når genbrug af kontoen forhindres af sikkerhedsmæssige årsager:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nye begivenheder tilføjet i marts 2023 

Denne opdatering tilføjer fire (4) nye hændelser i SYSTEM-logfilen på domænecontrolleren på følgende måde:

Hændelsesniveau

Informative

Hændelses-id

16995

Log

SYSTEM

Hændelseskilde

Directory-Services-SAM

Hændelsestekst

Sikkerhedskontoadministratoren bruger den angivne sikkerhedsbeskrivelse til validering af forsøg på genbrug af computerkonto under domænetilslutning.

SDDL-værdi: <SDDL-streng>

Denne liste over tilladte er konfigureret via gruppepolitik i Active Directory.

Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145.

Hændelsesniveau

Fejl

Hændelses-id

16996

Log

SYSTEM

Hændelseskilde

Directory-Services-SAM

Hændelsestekst

Den sikkerhedsbeskrivelse, der indeholder den computerkonto, der genbruger tilladelseslisten, der bruges til at validere klientanmodninger om domænetilknytning, er forkert udformet.

SDDL-værdi: <SDDL-streng>

Denne liste over tilladte er konfigureret via gruppepolitik i Active Directory.

For at løse dette problem skal en administrator opdatere politikken for at angive denne værdi til en gyldig sikkerhedsbeskrivelse eller deaktivere den.

Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145.

Hændelsesniveau

Fejl

Hændelses-id

16997

Log

SYSTEM

Hændelseskilde

Directory-Services-SAM

Hændelsestekst

Sikkerhedskontoadministratoren har fundet en computerkonto, der ser ud til at være tabt og ikke har en eksisterende ejer.

Computerkonto: S-1-5-xxx

Computerkontoejer: S-1-5-xxx

Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145.

Hændelsesniveau

Advarsel

Hændelses-id

16998

Log

SYSTEM

Hændelseskilde

Directory-Services-SAM

Hændelsestekst

Sikkerhedskontoadministratoren afviste en klientanmodning om at genbruge en computerkonto under domænetilslutning.

Computerkontoen og klientidentiteten opfyldte ikke sikkerhedsvalideringskontrollerne.

Klientkonto: S-1-5-xxx

Computerkonto: S-1-5-xxx

Computerkontoejer: S-1-5-xxx

Kontrollér postdataene for denne hændelse for NT-fejlkoden.

Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145.

Hvis det er nødvendigt, kan netsetup.log give flere oplysninger. Se eksemplet nedenfor fra en arbejdsmaskine.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Kendte problemer

Problem 1

Når du har installeret opdateringerne d. 12. september 2023 eller nyere, kan domænetilslutning mislykkes i miljøer, hvor følgende politik er angivet: Netværksadgang – Begræns klienters tilladelse til at foretage fjernopkald til SAM – Windows Sikkerhed | Microsoft Learn. Dette skyldes, at klientcomputere nu foretager godkendte SAMRPC-opkald til domænecontrolleren for at udføre sikkerhedsvalideringskontroller, der er relateret til genbrug af computerkonti.
    
Dette forventes. For at imødekomme denne ændring skal administratorer enten beholde domænecontrollerens SAMRPC-politik som standardindstillinger eller eksplicit medtage den brugergruppe, der udfører domænetilslutningen, i SDDL-indstillingerne for at give dem tilladelse. 

Eksempel fra en netsetup.log, hvor dette problem opstod:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problem 2

Hvis computerejerkontoen er blevet slettet, og computerkontoen forsøges genbrugt, logføres hændelse 16997 i systemhændelsesloggen. Hvis dette sker, er det i orden at tildele ejerskabet til en anden konto eller gruppe igen.

Problem 3

Hvis det kun er klienten, der har opdateringen fra 14. marts 2023 eller nyere, vil kontrollen af Active Directory-politikken returnere 0x32 STATUS_NOT_SUPPORTED. Tidligere kontroller, der blev implementeret i hotfixene for november, gælder som vist nedenfor:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×