Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Tips!: Hvis du vil vise det nye eller reviderte innholdet fra januar 2024, kan du se merkene [januar 2024 – Start] og [Slutt – januar 2024] i artikkelen.

Oppsummering

Windows-oppdateringer utgitt 11. oktober 2022 inneholder ytterligere beskyttelser introdusert av CVE-2022-38042. Disse beskyttelsene hindrer med hensikt at domenekoblingsoperasjoner gjenbruker en eksisterende datamaskinkonto i måldomenet, med mindre:

  • Brukeren som prøver operasjonen, er oppretteren av den eksisterende kontoen.

    Eller

  • Datamaskinen ble opprettet av et medlem av domeneadministratorer.

    Eller

  • Eieren av datamaskinkontoen som brukes på nytt, er medlem av domenekontrolleren: Tillat gjenbruk av datamaskinkonto under domenetilføyning. gruppepolicy innstilling. Denne innstillingen krever installasjon av Windows-oppdateringer utgitt på eller etter 14. mars 2023, på ALLE medlemsdatamaskiner og domenekontrollere.

Oppdateringer utgitt på og etter mars 14, 2023 og september 12, 2023, vil gi flere alternativer for berørte kunder på Windows Server 2012 R2 og over og over og alle støttede klienter. Hvis du vil ha mer informasjon, kan du se avsnittene 11. oktober 2022 og Ta handling

Virkemåte før 11. oktober 2022

Før du installerer kumulative oppdateringer 11. oktober 2022 eller nyere, spør klientdatamaskinen Active Directory om en eksisterende konto med samme navn. Denne spørringen forekommer under domenetilføyning og klargjøring av datamaskinkonto. Hvis en slik konto finnes, vil klienten automatisk prøve å bruke den på nytt.

Merk Forsøket på gjenbruk mislykkes hvis brukeren som prøver å koble til domenet, ikke har de riktige skrivetillatelsene. Hvis brukeren har nok tillatelser, vil imidlertid domenekoblingen lykkes.

Det finnes to scenarioer for domenetilføyning med respektive standardvirkemåter og flagg som følger:

Virkemåte 11. oktober 2022 

Når du installerer de kumulative oppdateringene for 11. oktober 2022 eller nyere windows på en klientdatamaskin, utfører klienten flere sikkerhetskontroller under domenetilføyningen før du prøver å bruke en eksisterende datamaskinkonto på nytt. Algoritme:

  1. Forsøk på gjenbruk av konto tillates hvis brukeren som prøver operasjonen, er oppretteren av den eksisterende kontoen.

  2. Forsøk på gjenbruk av konto tillates hvis kontoen ble opprettet av et medlem av domeneadministratorer.

Disse ekstra sikkerhetskontrollene utføres før du prøver å bli med på datamaskinen. Hvis kontrollene lykkes, er resten av sammenføyningsoperasjonen underlagt Active Directory-tillatelser som før.

Denne endringen påvirker ikke nye kontoer.

Obs!   Når du har installert de kumulative oppdateringene for Windows 11. oktober 2022 eller nyere, kan det hende at domenekoblingen med datakontobruk med hensikt mislykkes med følgende feil:

Feil 0xaac (2732): NERR_AccountReuseBlockedByPolicy: «Det finnes en konto med samme navn i Active Directory. Ny bruk av kontoen ble blokkert av sikkerhetspolicy.»

I så fall beskyttes kontoen med hensikt av den nye virkemåten.

Hendelses-ID 4101 utløses når feilen ovenfor oppstår, og problemet blir logget på c:\windows\debug\netsetup.log. Følg fremgangsmåten nedenfor i Utfør handling for å forstå feilen og løse problemet.

Virkemåte 14. mars 2023

I Windows-oppdateringene som ble utgitt 14. mars 2023, gjorde vi noen endringer i sikkerhetsherdingen. Disse endringene inkluderer alle endringene vi gjorde i 11. oktober 2022.

Først utvidet vi omfanget av grupper som er unntatt fra denne herdingen. I tillegg til domeneadministratorer er enterprise-administratorer og innebygde administratorgrupper nå unntatt fra eierskapskontrollen.

For det andre har vi implementert en ny gruppepolicy-innstilling. Administratorer kan bruke den til å angi en tillatelsesliste over klarerte datamaskinkontoeiere. Datamaskinkontoen vil omgå sikkerhetskontrollen hvis ett av følgende er sant:

  • Kontoen eies av en bruker som er angitt som en klarert eier i domenekontrolleren: Tillat gjenbruk av datamaskinkonto under domenetilføyning gruppepolicy.

  • Kontoen eies av en bruker som er medlem av en gruppe som er angitt som en klarert eier i gruppepolicy.

Hvis du vil bruke denne nye gruppepolicy, må domenekontrolleren og medlemsdatamaskinen konsekvent ha oppdateringen 14. mars 2023 eller nyere installert. Noen av dere kan ha bestemte kontoer som du bruker i automatisert datamaskinkontooppretting. Hvis disse kontoene er trygge mot misbruk og du stoler på dem for å opprette datakontoer, kan du frita dem. Du vil fortsatt være sikker mot det opprinnelige sikkerhetsproblemet som er redusert innen Windows-oppdateringene 11. oktober 2022.

Virkemåte 12. september 2023

I Windows-oppdateringene som ble utgitt på eller etter 12. september 2023, gjorde vi noen flere endringer i sikkerhetsherdingen. Disse endringene omfatter alle endringene vi gjorde i 11. oktober 2022, og endringene fra 14. mars 2023.

Vi løste et problem der domenetilføyning ved hjelp av smartkortgodkjenning mislyktes uavhengig av policyinnstillingen. For å løse dette problemet flyttet vi de gjenværende sikkerhetskontrollene tilbake til domenekontrolleren. Derfor, etter sikkerhetsoppdateringen for september 2023, foretar klientmaskiner godkjente SAMRPC-kall til domenekontrolleren for å utføre sikkerhetsvalideringskontroller relatert til gjenbruk av datamaskinkontoer.

Dette kan imidlertid føre til at domenekobling mislykkes i miljøer der følgende policy er angitt: Nettverkstilgang: Begrense klienter som har tillatelse til å foreta eksterne anrop til SAM.  Se delen Kjente problemer hvis du vil ha informasjon om hvordan du løser dette problemet.

Vi planlegger også å fjerne den opprinnelige NetJoinLegacyAccountReuse-registerinnstillingen i en fremtidig Windows-oppdatering. [Januar 2024 - Start]Denne fjerningen er foreløpig planlagt for oppdateringen datert 13. august 2024. Utgivelsesdatoer kan endres. [Slutt - januar 2024]

Merk Hvis du distribuerte NetJoinLegacyAccountReuse-nøkkelen på klientene og satte den til verdi 1, må du nå fjerne nøkkelen (eller angi den til 0) for å dra nytte av de siste endringene. 

Utfør handling

Konfigurer den nye policyen for tillatelsesliste ved hjelp av gruppepolicy på en domenekontroller, og fjern eventuelle eldre midlertidige løsninger på klientsiden. Gjør deretter følgende:

  1. Du må installere oppdateringene 12. september 2023 eller nyere på alle medlemsdatamaskiner og domenekontrollere. 

  2. I en ny eller eksisterende gruppepolicy som gjelder for alle domenekontrollere, konfigurerer du innstillingene i trinnene nedenfor.

  3. Dobbeltklikk domenekontroller under Datamaskinkonfigurasjon\Policyer\Windows-innstillinger\Sikkerhetsinnstillinger\Lokale policyer\Sikkerhetsalternativer: Tillat ny bruk av datamaskinkonto under domenetilføyning.

  4. Velg Definer denne policyinnstillingen , og <Rediger sikkerhet...>.

  5. Bruk objektvelgeren til å legge til brukere eller grupper med klarerte datamaskinkontoopprettere og -eiere i Tillatelse-tillatelsen . (Som anbefalt fremgangsmåte anbefaler vi på det sterkeste at du bruker grupper for tillatelser.) Ikke legg til brukerkontoen som utfører domenekoblingen.

    Advarsel!: Begrens medlemskap til policyen til klarerte brukere og tjenestekontoer. Ikke legg til godkjente brukere, alle eller andre store grupper i denne policyen. Legg i stedet til bestemte klarerte brukere og tjenestekontoer i grupper og legg til disse gruppene i policyen.

  6. Vent på oppdateringsintervallet for gruppepolicy eller kjør gpupdate /force på alle domenekontrollere.

  7. Kontroller at registernøkkelen HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" er fylt ut med ønsket SDDL. Ikke rediger registeret manuelt.

  8. Prøv å koble til en datamaskin som har oppdateringene 12. september 2023 eller nyere installert. Kontroller at én av kontoene som er oppført i policyen eier datamaskinkontoen. Kontroller også at registeret ikke har NetJoinLegacyAccountReuse-nøkkelen aktivert (satt til 1). Hvis domenekoblingen mislykkes, kontrollerer du c:\windows\debug\netsetup.log.

Hvis du fortsatt trenger en alternativ løsning, kan du se gjennom arbeidsflyter for klargjøring av datamaskinkonto og forstå om det kreves endringer. 

  1. Utfør sammenføyningsoperasjonen ved hjelp av den samme kontoen som opprettet datamaskinkontoen i måldomenet.

  2. Hvis den eksisterende kontoen er foreldet (ubrukt), sletter du den før du prøver å bli med i domenet på nytt.

  3. Gi nytt navn til datamaskinen og bli med ved hjelp av en annen konto som ikke allerede finnes.

  4. Hvis den eksisterende kontoen eies av en klarert sikkerhetskontohaver og en administrator ønsker å bruke kontoen på nytt, følger du veiledningen i Delen Utfør handling for å installere Windows-oppdateringene for september 2023 eller senere og konfigurere en tillatelsesliste.

Viktig veiledning for bruk av registernøkkelen NetJoinLegacyAccountReuse

Forsiktig!: Hvis du velger å angi denne nøkkelen for å omgå disse beskyttelsene, vil du gjøre miljøet ditt sårbart for CVE-2022-38042 med mindre scenarioet refereres nedenfor etter behov. Ikke bruk denne metoden uten bekreftelse på at Oppretter/eier av det eksisterende datamaskinobjektet er en sikker og klarert sikkerhetskontohaver. 

På grunn av den nye gruppepolicy, bør du ikke lenger bruke registernøkkelen NetJoinLegacyAccountReuse. [Januar 2024 - Start]Vi vil bevare nøkkelen for de neste månedene i tilfelle du trenger midlertidige løsninger. [Slutt - januar 2024]Hvis du ikke kan konfigurere det nye gruppepolicyobjektet i scenarioet ditt, oppfordrer vi deg på det sterkeste til å kontakte Microsoft Kundestøtte.

Path

HKLM\System\CurrentControlSet\Control\LSA

Type

REG_DWORD

Navn

NetJoinLegacyAccountReuse

Verdi

1

Andre verdier ignoreres.

MerkMicrosoft vil fjerne støtte for NetJoinLegacyAccountReuse-registerinnstillingen i en fremtidig Windows-oppdatering. [Januar 2024 - Start]Denne fjerningen er foreløpig planlagt for oppdateringen datert 13. august 2024. Utgivelsesdatoer kan endres. [Slutt - januar 2024]

Ikke-oppløsninger

  • Når du har installert 12. september 2023 eller senere oppdateringer på PC-er og klienter i miljøet, må du ikke bruke NetJoinLegacyAccountReuse-registeret . Følg i stedet trinnene i Utfør handling for å konfigurere det nye gruppepolicyobjektet. 

  • Ikke legg til tjenestekontoer eller klargjøringskontoer i sikkerhetsgruppen domeneadministratorer.

  • Ikke rediger sikkerhetsbeskrivelsen manuelt på datamaskinkontoer i et forsøk på å omdefinere eierskapet til slike kontoer, med mindre den forrige eierkontoen er slettet. Selv om redigering av eieren gjør det mulig for de nye kontrollene å lykkes, kan det hende at datamaskinkontoen beholder de samme potensielt risikable, uønskede tillatelsene for den opprinnelige eieren, med mindre den er eksplisitt gjennomgått og fjernet.

  • Ikke legg til registernøkkelen NetJoinLegacyAccountReuse i grunnleggende OS-bilder fordi nøkkelen bare skal legges til midlertidig og deretter fjernes direkte etter at domenekoblingen er fullført.

Nye hendelseslogger

Hendelsesloggen

SYSTEM
 

Hendelseskilde

Netjoin

Hendelses-ID

4100

Hendelsestype

Informativ

Hendelsestekst

"Under domenetilføyning fant domenekontrolleren en eksisterende datamaskinkonto i Active Directory med samme navn.

Et forsøk på å bruke denne kontoen på nytt var tillatt.

Domenekontroller søkte: <domenekontrollernavn>Eksisterende datamaskinkonto-DN: <DN-bane for> for datamaskinkonto. Se https://go.microsoft.com/fwlink/?linkid=2202145 for mer informasjon.

Hendelsesloggen

SYSTEM

Hendelseskilde

Netjoin

Hendelses-ID

4101

Hendelsestype

Feil

Hendelsestekst

Under domenetilføyning fant domenekontrolleren en eksisterende datamaskinkonto i Active Directory med samme navn. Et forsøk på å bruke denne kontoen på nytt ble forhindret av sikkerhetsårsaker. Domenekontroller søkte: Eksisterende datakonto-DN: Feilkoden ble <feilkode>. Se https://go.microsoft.com/fwlink/?linkid=2202145 for mer informasjon.

Feilsøkingslogging er tilgjengelig som standard (du trenger ikke å aktivere detaljert logging) i C:\Windows\Debug\netsetup.log på alle klientdatamaskiner.

Eksempel på feilsøkingslogging som genereres når gjenbruk av kontoen er forhindret av sikkerhetsårsaker:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nye hendelser lagt til i mars 2023 

Denne oppdateringen legger til fire (4) nye hendelser i SYSTEM-loggen på domenekontrolleren på følgende måte:

Hendelsesnivå

Informativ

Hendelses-ID

16995

Logge

SYSTEM

Hendelseskilde

Directory-Services-SAM

Hendelsestekst

Sikkerhetskontoadministratoren bruker den angitte sikkerhetsbeskrivelsen for validering av forsøk på gjenbruk av datamaskinkonto under domenetilføyning.

SDDL-verdi: <SDDL-streng>

Denne tillatelseslisten er konfigurert gjennom gruppepolicy i Active Directory.

Hvis du vil ha mer informasjon, kan du se http://go.microsoft.com/fwlink/?LinkId=2202145.

Hendelsesnivå

Feil

Hendelses-ID

16996

Logge

SYSTEM

Hendelseskilde

Directory-Services-SAM

Hendelsestekst

Sikkerhetsbeskrivelsen som inneholder tillatelseslisten for ny bruk av datamaskinkontoen som brukes til å validere domenekobling for klientforespørsler, er feil utformet.

SDDL-verdi: <SDDL-streng>

Denne tillatelseslisten er konfigurert gjennom gruppepolicy i Active Directory.

For å løse dette problemet må en administrator oppdatere policyen for å angi denne verdien til en gyldig sikkerhetsbeskrivelse eller deaktivere den.

Hvis du vil ha mer informasjon, kan du se http://go.microsoft.com/fwlink/?LinkId=2202145.

Hendelsesnivå

Feil

Hendelses-ID

16997

Logge

SYSTEM

Hendelseskilde

Directory-Services-SAM

Hendelsestekst

Sikkerhetskontoadministratoren fant en datamaskinkonto som ser ut til å være frittstående og ikke har en eksisterende eier.

Datamaskin konto: S-1-5-xxx

Eier av datamaskinkonto: S-1-5-xxx

Hvis du vil ha mer informasjon, kan du se http://go.microsoft.com/fwlink/?LinkId=2202145.

Hendelsesnivå

Advarsel

Hendelses-ID

16998

Logge

SYSTEM

Hendelseskilde

Directory-Services-SAM

Hendelsestekst

Sikkerhetskontoadministratoren avviste en klientforespørsel om å bruke en datamaskinkonto på nytt under domenetilføyning.

Datamaskinkontoen og klientidentiteten oppfylte ikke sikkerhetsvalideringskontrollene.

Klientkonto: S-1-5-xxx

Datamaskin konto: S-1-5-xxx

Eier av datamaskinkonto: S-1-5-xxx

Kontroller postdataene for denne hendelsen for NT-feilkoden.

Hvis du vil ha mer informasjon, kan du se http://go.microsoft.com/fwlink/?LinkId=2202145.

Netsetup.log kan om nødvendig gi mer informasjon. Se eksemplet nedenfor fra en arbeidsmaskin.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Kjente problemer

Problem 1

Etter å ha installert oppdateringene 12. september 2023 eller nyere, kan domenetilføyning mislykkes i miljøer der følgende policy er angitt: Nettverkstilgang - Begrense klienter som har tillatelse til å foreta eksterne anrop til SAM - Windows Sikkerhet | Microsoft Learn. Dette er fordi klientmaskiner nå foretar godkjente SAMRPC-kall til domenekontrolleren for å utføre sikkerhetsvalideringskontroller relatert til gjenbruk av datamaskinkontoer.
    
Dette er forventet. For å imøtekomme denne endringen bør administratorer enten beholde domenekontrollerens SAMRPC-policy ved standardinnstillingene ELLER eksplisitt inkludere brukergruppen som utfører domenetilføyningen i SDDL-innstillingene for å gi dem tillatelse. 

Eksempel fra en netsetup.log der dette problemet oppstod:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problem 2

Hvis kontoen til datamaskineieren er slettet, og det oppstår et forsøk på å bruke datamaskinkontoen på nytt, logges hendelse 16997 i systemhendelsesloggen. Hvis dette skjer, er det greit å tilordne eierskap til en annen konto eller gruppe på nytt.

Problem 3

Hvis bare klienten har oppdateringen 14. mars 2023 eller senere, returnerer Active Directory-policykontrollen 0x32 STATUS_NOT_SUPPORTED. Tidligere kontroller som ble implementert i november-hurtigreparasjonene, gjelder som vist nedenfor:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×