Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei
Valitse toinen tili.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

Yhteenveto

11. lokakuuta 2022 ja sen jälkeen julkaistut Windows-päivitykset sisältävät lisäsuojauksia, jotka CVE-2022-38042 on ottanut käyttöön. Nämä suojaukset estävät tarkoituksellisesti toimialueeseen liittymistoimintoja käyttämästä uudelleen aiemmin luotua tietokonetiliä kohdetoimialueella, ellei:

  1. Käyttäjä, joka yrittää toimintoa, on olemassa olevan tilin luoja.

    Tai

  2. Tietokoneen on luonut toimialueen järjestelmänvalvojien jäsen.

Vanha toiminta

Ennen kuin asennat 11. lokakuuta 2022 tai uudemmat kumulatiiviset päivitykset, asiakastietokone etsii Active Directorysta samannimistä tiliä. Tämä kysely suoritetaan toimialueeseen liittymisen ja tietokonetilien valmistelun aikana. Jos tällainen tili on olemassa, asiakas yrittää automaattisesti käyttää sitä uudelleen.

Huomautus Uudelleenkäyttöyritys epäonnistuu, jos toimialueen liittymistoimintoa yrittävällä käyttäjällä ei ole asianmukaisia kirjoitusoikeuksia. Jos käyttäjällä on kuitenkin riittävästi käyttöoikeuksia, toimialueeseen liittyminen onnistuu.

Toimialueeseen liittymiselle on kaksi skenaariota, joissa käytetään oletustoimintoja ja -merkintöjä seuraavasti:

Uusi toimintatapa 

Kun olet asentanut 11. lokakuuta 2022 tai uudemman Windowsin kumulatiivisen päivityksen asiakastietokoneelle, asiakas suorittaa toimialueeseen liittymisen aikana lisäsuojaustarkistuksia ennen kuin yrittää käyttää aiemmin luotua tietokonetiliä uudelleen.

Algoritmi:

  1. Tilin uudelleenkäyttöyritys on sallittu, jos toimintoa käyttävä käyttäjä on olemassa olevan tilin luoja.

  2. Tilin uudelleenkäyttöyritys on sallittu, jos tilin on luonut toimialueen järjestelmänvalvojien jäsen.

Nämä lisäsuojaustarkistukset tehdään ennen tietokoneeseen liittymistä. Jos tarkistukset onnistuvat, muut liittymistoiminnot ovat Active Directory -käyttöoikeuksien alaisia, kuten ennenkin.

Tämä muutos ei vaikuta uusiin tileihin.

Huomautus Kun olet asentanut 11. lokakuuta 2022 tai uudemmat Windowsin kumulatiiviset päivitykset, toimialueeseen liittyminen tietokonetilin uudelleenkäytöllä saattaa tarkoituksellisesti epäonnistua seuraavalla virheellä:

Virhe 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Active Directoryssa on samanniminen tili. Suojauskäytäntö esti tilin uudelleenkäytön."

Jos näin on, uusi toiminta suojaa tiliä tarkoituksellisesti.

Tapahtumatunnus 4101 käynnistyy, kun yllä oleva virhe ilmenee ja ongelma kirjataan sisään c:\windows\debug\netsetup.log. Noudata alla olevia ohjeita kohdassa Toimi, jotta ymmärrät virheen ja ratkaiset ongelman.

Toimi

Tarkista tietokonetilien valmistelutyönkulut ja tarkista, tarvitaanko muutoksia.

  1. Suorita liittymistoiminto käyttämällä samaa tiliä, joka loi kohdetoimialueeseen tietokonetilin.

  2. Jos aiemmin luotu tili on käyttämätön, poista se ennen kuin yrität liittyä toimialueeseen uudelleen.

  3. Nimeä tietokone uudelleen ja liity siihen käyttämällä toista tiliä, jota ei vielä ole olemassa.

  4. Jos olemassa olevan tilin omistaa luotettu suojauspäämies ja järjestelmänvalvoja haluaa käyttää tiliä uudelleen, hän saattaa tehdä sen määrittämällä seuraavan rekisteriavaimen tilapäisesti yksittäisen asiakastietokoneen tasolla. Poista sitten rekisteriasetus heti, kun liitostoiminto on valmis. Uudelleenkäynnistystä ei tarvita, jotta rekisteriavaimen muutokset tulevat voimaan.

Polku

HKLM\System\CurrentControlSet\Control\LSA

Tyyppi

REG_DWORD

Nimi

NetJoinLegacyAccountReuse

Arvo

1

Muut arvot ohitetaan.

Tärkeitä ohjeita vaihtoehdon 4 käyttämiseen

Varoitus: Jos määrität tämän avaimen näiden suojausten kiertämiseksi, ympäristösi on alttiina CVE-2022-38042:lle, ellei skenaarioon viitata alla kuvatulla tavalla. Älä käytä tätä menetelmää ilman vahvistusta siitä, että olemassa olevan tietokoneobjektin luoja/omistaja on suojattu ja luotettu suojauspäämies. 

Ratkaisua 4 kannattaa käyttää seuraavissa tilanteissa:

  1. IT-järjestelmänvalvojan, jolla on delegoidut käyttöoikeudet, on liityttävä uudelleen kohdetoimialueeseen vianmääritystä varten, ja alkuperäinen tilin luoja on luotettu tili.

    Tai

  2. Käyttöönottoskenaario, jossa tietokonetilit luodaan ennen erillisen palvelutilin (kuten SCCM:n tai muun ohjelmiston) käyttämistä ja toimialueeseen liittyminen suoritetaan toisella erillisellä tilillä, jolla on delegoidut toimialueeseen liittymisoikeudet (esimerkiksi "Tämä tili voi liittyä tähän tietokoneeseen toimialueeseen").

Microsoft saattaa poistaa NetJoinLegacyAccountReuse-rekisteriasetuksen tuen tulevassa päivityksessä ja korvata sen vaihtoehtoisella menetelmällä. Tämä artikkeli päivitetään, jos ja kun tällaisia muutoksia tehdään.

Ei-ratkaisut

  • Älä lisää palvelutilejä tai valmistelutilejä Toimialueen järjestelmänvalvojien käyttöoikeusryhmään.

  • Älä muokkaa tietokonetilien suojauskuvainta manuaalisesti, jos haluat määrittää uudelleen tällaisten tilien omistajuuden. Kun omistajaa muokataan, uudet tarkistukset onnistuvat, mutta tietokonetilillä voi olla samat mahdollisesti riskialttiit ja ei-toivotut käyttöoikeudet alkuperäiselle omistajalle, ellei sitä erikseen tarkisteta ja poisteta.

  • Älä lisää NetJoinLegacyAccountReuse-rekisteriavainta käyttöjärjestelmän näköistiedostojen perustamiseen, koska avain on lisättävä väliaikaisesti ja poistettava heti toimialueeseen liittymisen jälkeen.

Uudet tapahtumalokit

Tapahtumaloki

JÄRJESTELMÄ
 

Tapahtumalähde

Netjoin

Tapahtumatunnus

4100

Tapahtumatyyppi

Tiedottava

Tapahtuman teksti

"Toimialueeseen liittymisen aikana toimialueen ohjauskone, johon otettiin yhteyttä, löysi aiemmin luodun tietokonetilin Active Directorysta samannimisenä.%nAn yritys käyttää tätä tiliä uudelleen oli sallittu. %n%nDomain controller searched: %1%nExisting computer account DN: %2%n%nSee https://go.microsoft.com/fwlink/?linkid=2202145 lisätietoja.

Tapahtumaloki

JÄRJESTELMÄ

Tapahtumalähde

Netjoin

Tapahtumatunnus

4101

Tapahtumatyyppi

Virhe

Tapahtuman teksti

"Toimialueeseen liittymisen aikana toimialueen ohjauskone, johon otettiin yhteyttä, löysi active directorysta olemassa olevan samannimisen tietokonetilin.%nAn yritys käyttää tätä tiliä uudelleen estettiin suojaussyistä.%n%nDomain-ohjain etsi: %1%nExisting-tietokonetili DN: %2%nVirhekoodi oli %3.%n%nSee https://go.microsoft.com/fwlink/?linkid=2202145 lisätietoja varten."

Virheenkorjausloki on oletusarvoisesti käytettävissä (sinun ei tarvitse ottaa käyttöön yksityiskohtaista kirjaamista) kohteessa C:\Windows\Debug\netsetup.log kaikissa asiakastietokoneissa.

Esimerkki virheenkorjauslokista, joka luodaan, kun tilin uudelleenkäyttö estetään tietoturvasyistä:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Tarvitsetko lisäohjeita?

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Microsoft Insider-käyttäjille

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?

Kiitos palautteesta!

×