Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Näpunäide.: 2024. aasta jaanuari uue või muudetud sisu vaatamiseks vaadake artiklis silte [jaanuar 2024 – Algus] ja [Lõpp – jaanuar 2024].

Kokkuvõte

Windowsi värskendused, mis on välja antud 11. oktoobril 2022 ja pärast seda, sisaldavad CVE-2022-38042 kasutusele võetud lisakaitset. Need kaitsed tahtlikult takistavad domeeniga liitumise toimingutel sihtdomeenis olemasoleva arvutikonto korduskasutamist, välja arvatud juhul, kui:

  • Toimingut prooviv kasutaja on olemasoleva konto looja.

    või

  • Arvuti on loonud domeeniadministraatorite liige.

    või

  • Taaskasutatava arvutikonto omanik on domeenikontrolleri "Domeenikontroller: Luba arvutikonto uuesti kasutamine domeeniga liitumise ajal". Rühmapoliitika säte. See säte nõuab Windowsi värskenduste installimist, mis on välja antud 14. märtsil 2023 või hiljem kõigis liikmearvutites ja domeenikontrollerites.

Teabevärskendused, mis anti välja 14. märtsil 2023 ja 12. septembril 2023. a ja hiljem, pakub mõjutatud klientidele Windows Server 2012 R2 ja uuema versiooni ning kõigi toetatud klientide jaoks lisavõimalusi. Lisateavet leiate jaotistest 11. oktoobri 2022 käitumine ja Toimingu tegemine

Käitumine enne 11. oktoobrit 2022

Enne 11. oktoobri 2022 või uuemate koondvärskenduste installimist küsib klientarvuti Active Directorylt sama nimega olemasoleva konto päringuid. See päring toimub domeeniga liitumise ja arvutikonto ettevalmistamise ajal. Kui selline konto on olemas, proovib klient seda automaatselt uuesti kasutada.

Märkus Korduskasutamise katse nurjub, kui domeeniga liitumist proovival kasutajal pole vajalikke kirjutusõigusi. Kui aga kasutajal on piisavalt õigusi, siis domeeniga liitumine õnnestub.

Domeeniga liitumiseks on kaks stsenaariumi, kus vastavad vaikekäitumised ja lipud on järgmised.

11. oktoobri 2022 käitumine 

Kui installite klientarvutisse 11. oktoobril 2022 või hiljem Windowsi koondvärskendused, teeb klient domeeniga liitumise ajal täiendavaid turbekontrolle enne olemasoleva arvutikonto uuesti kasutamise katset. Algoritm:

  1. Konto korduskasutamise katse on lubatud, kui toimingut prooviv kasutaja on olemasoleva konto looja.

  2. Konto korduskasutamise katse on lubatud, kui konto on loonud domeeniadministraatorite liige.

Need täiendavad turbekontrollid tehakse enne arvutiga liitumise katset. Kui kontrollid õnnestuvad, kehtivad ülejäänud liitumistoimingule Active Directory õigused nagu varem.

See muudatus ei mõjuta uusi kontosid.

Märkus Pärast 11. oktoobri 2022 või uuemate Windowsi koondvärskenduste installimist võib domeeni ühendamine arvutikonto taaskasutusega tahtlikult nurjuda järgmise tõrketeatega:

Tõrge 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Samanimeline konto on Active Directorys olemas. Turbepoliitika blokeeris konto uuesti kasutamise."

Sel juhul kaitseb kontot tahtlikult uus käitumine.

Sündmuse ID 4101 käivitatakse pärast ülaltoodud tõrke ilmnemist ja probleem logitakse asukohta c:\windows\debug\netsetup.log. Tõrke mõistmiseks ja probleemi lahendamiseks järgige alltoodud juhiseid teemas Toiming.

14. märts 2023 käitumine

14. märtsil 2023 või pärast seda välja antud Windowsi värskendustes tegime turbekõvenemises mõned muudatused. Need muudatused hõlmavad kõiki 11. oktoobril 2022 tehtud muudatusi.

Esiteks laiendasime nende rühmade ulatust, mis on sellest paksenemisest vabastatud. Lisaks domeeniadministraatoritele on omanikukontrollist vabastatud ka ettevõtteadministraatorite ja sisseehitatud administraatorite rühmad.

Teiseks rakendasime uue Rühmapoliitika sätte. Administraatorid saavad seda kasutada usaldusväärsete arvutikontode omanike lubatud loendi määramiseks. Arvutikonto eirab turbekontrolli, kui üks järgmistest on tõene.

  • Konto omanik on kasutaja, kes on määratud usaldusväärseks omanikuks domeenikontrolleris: lubage arvutikonto uuesti kasutamine domeeniga liitumise ajal Rühmapoliitika.

  • Konto omanik on kasutaja, kes kuulub rühma, mis on määratud usaldusväärseks omanikuks domeenikontrolleris: luba arvutikonto uuesti kasutamine domeeniga liitumise ajal Rühmapoliitika.

Selle uue Rühmapoliitika kasutamiseks peavad domeenikontrollerisse ja liikmesarvutisse olema installitud 14. märtsi 2023 või uuem värskendus. Mõnel teist võib olla kindlaid kontosid, mida kasutate arvutikontode automaatseks loomiseks. Kui nende kontode kuritarvitamine on turvaline ja usaldate neid arvutikontode loomiseks, saate need välistada. Windowsi värskenduste 11. oktoobril 2022 leevendatud algse nõrkuse vastu olete endiselt kaitstud.

12. september 2023 käitumine

12. septembril 2023 või hiljem välja antud Windowsi värskendustes tegime mõned täiendavad turbekõvenemise muudatused. Need muudatused hõlmavad kõiki 11. oktoobril 2022 tehtud muudatusi ja muudatusi alates 14. märtsist 2023.

Lahendasime probleemi, mille korral kiipkaardi autentimise abil domeeniga liitumine nurjus olenemata poliitikasättest. Selle probleemi lahendamiseks teisaldasime ülejäänud turbekontrollid tagasi domeenikontrollerisse. Seetõttu pärast 2023. aasta septembri turbevärskendust teevad klientarvutid autenditud SAMRPC kutsed domeenikontrollerile, et teha arvutikontode korduskasutamisega seotud turbekontrollid.

Kuid see võib põhjustada domeeniga liitumise nurjumise keskkondades, kus on määratud järgmine poliitika: Võrgujuurdepääs: piira kliente, kes tohivad TEHA SAM-i kaugkõnesid.  Lisateavet selle probleemi lahendamise kohta leiate jaotisest "Teadaolevad probleemid".

Plaanime ka algse NetJoinLegacyAccountReuse'i registrisätte tulevases Windowsi värskenduses eemaldada. [Jaanuar 2024 – Algus]See eemaldamine on ebalevalt ajastatud 13. augustil 2024 välja antud värskenduse jaoks. Väljaandmiskuupäevad võidakse muuta. [Lõpp – jaanuar 2024]

Märkus Kui juurutasite oma klientides võtme NetJoinLegacyAccountReuse ja määrasite selle väärtuseks 1, peate selle võtme (või selle väärtuseks 0) määrama, et saaksite kasutada uusimaid muudatusi. 

Toiming

Konfigureerige uus lubatud loendi poliitika domeenikontrolleri Rühmapoliitika abil ja eemaldage kliendipoolsed pärandpõhised lahendused. Seejärel tehke järgmist.

  1. Peate installima 12. septembri 2023 või uuemad värskendused kõigisse liikmete arvutitesse ja domeenikontrolleritesse. 

  2. Konfigureerige uues või olemasolevas rühmapoliitikas, mis rakendub kõigile domeenikontrolleritele, järgmiste juhiste sätted.

  3. Topeltklõpsake jaotises Arvuti konfiguratsioon\Poliitikad\Windowsi sätted\Turbesätted\Kohalikud poliitikad\Turbesuvandid valikut Domeenikontroller: Lubage arvutikonto uuesti kasutamine domeeniga liitumise ajal.

  4. Valige Määratle see poliitikasäte ja <Redigeeri turvet...>.

  5. Objektivalija abil saate lisada usaldusväärsete arvutikontode loojate ja omanike kasutajad või rühmad õigusesse Luba . (Hea tavana soovitame õiguste saamiseks kasutada rühmi.) Ärge lisage domeeniga liitumist teostavat kasutajakontot.

    Hoiatus.: Piirake liikmestaatuse poliitika usaldusväärsete kasutajate ja teenusekontodega. Ärge lisage sellele poliitikale autenditud kasutajaid, kõiki ega muid suuri rühmi. Selle asemel lisage rühmadesse kindlad usaldusväärsed kasutajad ja teenusekontod ning lisage need rühmad poliitikasse.

  6. Oodake, kuni Rühmapoliitika värskendusintervall või käivitage kõigis domeenikontrollerites gpupdate /force.

  7. Veenduge, et registrivõti HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" oleks täidetud soovitud SDDL-iga. Ärge redigeerige registrit käsitsi.

  8. Katse liituda arvutiga, kuhu on installitud 12. septembril 2023 või uuem värskendus. Veenduge, et üks poliitikas loetletud kontodest kuulub arvutikontole. Samuti veenduge, et registris poleks lubatud võti NetJoinLegacyAccountReuse (seatud väärtusele 1). Kui domeeniga liitumine nurjub, kontrollige faili c:\windows\silumine\netsetup.log.

Kui vajate endiselt alternatiivset lahendust, vaadake läbi arvutikonto ettevalmistamise töövood ja vaadake, kas muudatused on vajalikud. 

  1. Sooritage liitumistoiming sama kontoga, mis lõi arvutikonto sihtdomeenis.

  2. Kui olemasolev konto on aegunud (kasutamata), kustutage see enne, kui proovite domeeniga uuesti liituda.

  3. Nimetage arvuti ümber ja liituge mõne muu kontoga, mida pole veel olemas.

  4. Kui olemasolev konto kuulub usaldusväärsele turbesubjektile ja administraator soovib kontot uuesti kasutada, järgige 2023. aasta septembri või uuemate Windowsi värskenduste installimiseks ja lubade loendi konfigureerimiseks jaotises Toiming toodud juhiseid.

Olulised juhised registrivõtme NetJoinLegacyAccountReuse kasutamiseks

Ettevaatust!: Kui otsustate määrata selle võtme nende kaitselahenduste toimimiseks, siis jätate oma keskkonna CVE-2022-38042 suhtes haavatavaks, kui allpool pole teie stsenaariumile vastavalt viidatud. Ärge kasutage seda meetodit ilma kinnituseta, et olemasoleva arvutiobjekti autor/omanik on turvaline ja usaldusväärne turbesubjekt. 

Uue Rühmapoliitika tõttu ei tohiks te enam kasutada registrivõtit NetJoinLegacyAccountReuse. [Jaanuar 2024 – Algus]Säilitame võtme järgmiseks mitmeks kuuks juhuks, kui teil on vaja lahendusi. [Lõpp – jaanuar 2024]Kui te ei saa uut GPO-t oma stsenaariumis konfigureerida, soovitame tungivalt pöörduda Microsofti tugiteenuste poole.

Tee

HKLM\System\CurrentControlSet\Control\LSA

Tüüp

REG_DWORD

Nimi

NetJoinLegacyAccountReuse

Väärtus

1

Muid väärtusi ignoreeritakse.

MärkusMicrosoft eemaldab registrisätte NetJoinLegacyAccountReuse toe tulevases Windowsi värskenduses. [Jaanuar 2024 – Algus]See eemaldamine on ebalevalt ajastatud 13. augustil 2024 välja antud värskenduse jaoks. Väljaandmiskuupäevad võidakse muuta. [Lõpp – jaanuar 2024]

Nonsolutions

  • Pärast 12. septembri 2023 või uuemate värskenduste installimist DC-dele ja klientidele keskkonnas ärge kasutage registrit NetJoinLegacyAccountReuse . Selle asemel täitke uue GPO konfigureerimiseks artiklis Toiming toodud juhised. 

  • Ärge lisage domeeniadministraatorite turberühma teenusekontosid ega ettevalmistuskontosid.

  • Ärge redigeerige arvutikontode turbedeskriptorit käsitsi, kui te ei soovi nende kontode omandiõigust ümber määratleda, välja arvatud juhul, kui eelmine omanikukonto on kustutatud. Omaniku redigeerimise ajal lubatakse uute kontrollide õnnestumine, võib arvutikontol olla algsele omanikule samad potentsiaalselt riskantsed ja soovimatud õigused, v.a juhul, kui need on konkreetselt läbi vaadatud ja eemaldatud.

  • Ärge lisage registrivõtit NetJoinLegacyAccountReuse operatsioonisüsteemi põhitõmmistele, kuna võtit tuleks ajutiselt lisada ja seejärel eemaldada kohe pärast domeeniga liitumise lõpulejõudmist.

Uued sündmuselogid

Sündmuselogi

SÜSTEEMI
 

Sündmuse allikas

Netjoin

Sündmuse ID

4100

Sündmuse tüüp

Informatiivsel

Sündmuse tekst

"Domeeniga liitumise ajal võttis domeenikontroller ühendust active Directory olemasoleva samanimelise arvutikontoga.

Selle konto uuesti kasutamise katse oli lubatud.

Otsitud domeenikontrollerilt: <domeenikontrolleri nimi>Olemasolev arvutikonto DN: <arvutikonto DN-tee>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2202145.

Sündmuselogi

SÜSTEEMI

Sündmuse allikas

Netjoin

Sündmuse ID

4101

Sündmuse tüüp

Tõrge

Sündmuse tekst

Domeeniga liitumise ajal võttis domeenikontroller ühendust active Directory olemasoleva samanimelise arvutikontoga. Selle konto uuesti kasutamise katset takistati turvalisusega seotud põhjustel. Otsitud domeenikontrollerist: olemasolev arvutikonto DN: tõrkekood <tõrkekood>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2202145.

Silumislogi on kõigis klientarvutites vaikimisi saadaval (paljusõnalist logimist pole vaja lubada) kaustas C:\Windows\Silumine\netsetup.log.

Näide silumise logimisest, mis luuakse siis, kui konto korduskasutust turvalisuse huvides ei lubata.

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Uued sündmused lisati märtsis 2023 

See värskendus lisab domeenikontrolleri SÜSTEEMIlogisse neli (4) uut sündmust:

Sündmuse tase

Informatiivsel

Sündmuse ID

16995

Logi

SÜSTEEMI

Sündmuse allikas

Directory-Services-SAM

Sündmuse tekst

Turbekonto haldur kasutab määratud turbedeskriptorit arvutikonto uuesti kasutamise katsete valideerimiseks domeeniga liitumise ajal.

SDDL-väärtus: SDDL-stringi> <

See lubatud loend on konfigureeritud Active Directory rühmapoliitika kaudu.

Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145.

Sündmuse tase

Tõrge

Sündmuse ID

16996

Logi

SÜSTEEMI

Sündmuse allikas

Directory-Services-SAM

Sündmuse tekst

Turbedeskriptor, mis sisaldab arvutikonto uuestikasutuse lubamise loendit, mida kasutatakse klienditaotluste domeeniga liitumise valideerimiseks, on vigane.

SDDL-väärtus: SDDL-stringi> <

See lubatud loend on konfigureeritud Active Directory rühmapoliitika kaudu.

Selle probleemi lahendamiseks peab administraator poliitika värskendama, et seada see väärtus kehtivale turbedeskriptorile või keelata.

Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145.

Sündmuse tase

Tõrge

Sündmuse ID

16997

Logi

SÜSTEEMI

Sündmuse allikas

Directory-Services-SAM

Sündmuse tekst

Turbekonto haldur leidis arvutikonto, mis näib olevat orb ja millel pole olemasolevat omanikku.

Arvutikonto: S-1-5-xxx

Arvutikonto omanik: S-1-5-xxx

Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145.

Sündmuse tase

Hoiatus!

Sündmuse ID

16998

Logi

SÜSTEEMI

Sündmuse allikas

Directory-Services-SAM

Sündmuse tekst

Turbekonto haldur lükkas tagasi klienditaotluse arvutikonto uuesti kasutamiseks domeeniga liitumise ajal.

Arvutikonto ja kliendi identiteet ei vastanud turvalisuse valideerimise kontrollidele.

Kliendikonto: S-1-5-xxx

Arvutikonto: S-1-5-xxx

Arvutikonto omanik: S-1-5-xxx

Kontrollige selle sündmuse kirjeandmeid NT tõrkekoodi kohta.

Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145.

Vajadusel võib netsetup.log anda lisateavet. Vaadake alltoodud näidet tööarvutist.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Teadaolevad probleemid

Probleem 1

Pärast 12. septembri 2023 või uuemate värskenduste installimist võib domeeniga liitumine nurjuda keskkondades, kus on määratud järgmine poliitika: Võrgujuurdepääs - Klientidele SAM-i kaugkõnede tegemise lubamise piiramine - Windowsi turve | Microsoft Learn. Põhjus on selles, et klientarvutid teevad nüüd autenditud SAMRPC kutseid domeenikontrollerile, et teha arvutikontode korduskasutamisega seotud turbekontrollid.
    
See on oodatav. Selle muudatuse mahutamiseks peaksid administraatorid säilitama domeenikontrolleri SAMRPC poliitika vaikesätetes VÕI lisama SDDL-i sätetesse selgesõnaliselt domeeniga liitumist teostava kasutajarühma, et anda neile õigus. 

Näide failist netsetup.log, kus see probleem ilmnes:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Probleem 2

Kui arvuti omaniku konto on kustutatud ja arvutikontot proovitakse uuesti kasutada, logitakse sündmus 16997 süsteemi sündmuselogisse. Sel juhul on võimalik omandiõigus mõnele muule kontole või rühmale uuesti määrata.

Probleem 3

Kui ainult kliendil on 14. märtsi 2023 või uuem värskendus, tagastab Active Directory poliitika kontroll 0x32 STATUS_NOT_SUPPORTED. Varasemad kontrollid, mis viidi läbi novembri kiirparandustes, rakendatakse vastavalt allpool toodud näitele.

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×