Примечание: Обновлено 13.08.2024; См. поведение от 13 августа 2024 г.
Краткое содержание
Обновления Windows, выпущенные 11 октября 2022 г. и позже, содержат дополнительные меры защиты, введенные CVE-2022-38042. Эти меры защиты намеренно запрещают операциям присоединения к домену повторно использовать существующую учетную запись компьютера в целевом домене, если только:
-
Пользователь, пытающийся выполнить операцию, является создателем существующей учетной записи или
-
Компьютер был создан членом администраторов домена, или
-
Владелец учетной записи компьютера, которая используется повторно, является членом "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену". групповая политика параметр. Для этого параметра требуется установить обновления Windows, выпущенные 14 марта 2023 г. или позже, на всех компьютерах-членах и контроллерах домена.
Обновления, выпущенные 14 марта 2023 г. и 12 сентября 2023 г., предоставляют дополнительные возможности для затронутых клиентов на Windows Server 2012 R2 и более поздних версий, а также для всех поддерживаемых клиентов. Дополнительные сведения см. в разделах Поведение от 11 октября 2022 г. и Принятие мер .
Примечание: Эта статья ранее ссылалась на раздел реестра NetJoinLegacyAccountReuse . По состоянию на 13 августа 2024 г. этот раздел реестра и ссылки на него в этой статье были удалены.
Поведение до 11 октября. 2022
Перед установкой накопительных обновлений от 11 октября 2022 г. или более поздних версий клиентский компьютер запрашивает у Active Directory существующую учетную запись с тем же именем. Этот запрос выполняется во время присоединения к домену и подготовки учетной записи компьютера. Если такая учетная запись существует, клиент автоматически попытается повторно использовать ее.
Примечание: Попытка повторного использования не будет работать, если пользователь, который пытается выполнить операцию присоединения к домену, не имеет соответствующих разрешений на запись. Однако если у пользователя достаточно разрешений, присоединение к домену будет выполнено успешно.
Ниже приведены два сценария присоединения к домену с соответствующим поведением и флагами по умолчанию.
-
Присоединение к домену (NetJoinDomain)
-
По умолчанию используется повторное использование учетной записи (если не указан флаг NETSETUP_NO_ACCT_REUSE )
-
-
Подготовка учетных записей (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
По умолчанию используется значение NO reuse (если не указано NETSETUP_PROVISION_REUSE_ACCOUNT ).
-
Поведение от 11 октября 2022 г.
После установки накопительных обновлений Windows от 11 октября 2022 г. или более поздних версий на клиентском компьютере во время присоединения к домену клиент выполнит дополнительные проверки безопасности, прежде чем пытаться повторно использовать существующую учетную запись компьютера. Алгоритм:
-
Попытка повторного использования учетной записи будет разрешена, если пользователь, пытающийся выполнить операцию, является создателем существующей учетной записи.
-
Попытка повторного использования учетной записи будет разрешена, если учетная запись была создана членом администраторов домена.
Эти дополнительные проверки безопасности выполняются перед попыткой присоединиться к компьютеру. Если проверка прошла успешно, остальная часть операции присоединения зависит от разрешений Active Directory, как и раньше.
Это изменение не влияет на новые учетные записи.
Примечания:
-
После установки накопительных обновлений Windows от 11 октября 2022 г. или более поздней версии присоединение к домену с помощью повторного использования учетной записи компьютера может намеренно прекратить работу со следующей ошибкой:
-
Ошибка 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Учетная запись с таким же именем существует в Active Directory. Повторное использование учетной записи было заблокировано политикой безопасности".
-
Если это так, учетная запись намеренно защищена новым поведением.
-
Событие с идентификатором 4101 будет активировано после возникновения приведенной выше ошибки, и проблема будет зарегистрирована в c:\windows\debug\netsetup.log. Выполните описанные ниже действия, чтобы понять сбой и устранить проблему.
Поведение от 14 марта 2023 г.
В обновлениях Windows, выпущенных 14 марта 2023 г. или позже, мы внесли несколько изменений в усиление безопасности. Эти изменения включают все изменения, внесенные 11 октября 2022 г.
Во-первых, мы расширили область групп, которые исключены из этой защиты. Помимо администраторов домена, администраторы предприятия и группы встроенных администраторов теперь освобождаются от прав владения проверка.
Во-вторых, мы реализовали новый параметр групповая политика. Администраторы могут использовать его для указания списка разрешенных владельцев доверенных учетных записей компьютеров. Учетная запись компьютера обойдет проверка безопасности, если выполняется одно из следующих действий:
Учетная запись принадлежит пользователю, указанному в качестве доверенного владельца в групповая политика "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену".
Учетная запись принадлежит пользователю, который является членом группы, указанной в качестве доверенного владельца в групповая политика "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену".
Чтобы использовать эту новую групповая политика, на контроллере домена и на компьютере-члене должно быть установлено обновление от 14 марта 2023 г. или более поздней версии. Некоторые из вас могут иметь определенные учетные записи, которые используются при автоматическом создании учетной записи компьютера. Если эти учетные записи защищены от злоупотреблений и вы доверяете им создание учетных записей компьютеров, их можно исключить. Вы по-прежнему будете защищены от исходной уязвимости, устраненной обновлениями Windows от 11 октября 2022 г.
Поведение от 12 сентября 2023 г.
В обновлениях Windows, выпущенных 12 сентября 2023 г. или позже, мы внесли несколько дополнительных изменений в усиление безопасности. Эти изменения включают все изменения, внесенные 11 октября 2022 г., и изменения с 14 марта 2023 г.
Устранена проблема, из-за которой не удалось присоединиться к домену с помощью интеллектуальной проверки подлинности карта независимо от параметра политики. Чтобы устранить эту проблему, мы переместили оставшиеся проверки безопасности обратно в контроллер домена. Поэтому после обновления системы безопасности за сентябрь 2023 г. клиентские компьютеры выполняют проверенные вызовы SAMRPC к контроллеру домена для выполнения проверок безопасности, связанных с повторным использованием учетных записей компьютеров.
Однако это может привести к сбою присоединения к домену в средах, где задана следующая политика: Сетевой доступ: Ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM. Сведения об устранении этой проблемы см. в разделе "Известные проблемы".
Поведение от 13 августа 2024 г.
В обновлениях Windows, выпущенных 13 августа 2024 г. или позже, мы устраняли все известные проблемы совместимости с политикой allowlist. Мы также удалили поддержку ключа NetJoinLegacyAccountReuse. Поведение усиления защиты будет сохраняться независимо от параметра ключа. Соответствующие методы для добавления исключений перечислены в разделе "Принять меры" ниже.
Действие
Настройте новую политику списка разрешений с помощью групповая политика на контроллере домена и удалите все устаревшие обходные решения на стороне клиента. Затем сделайте следующее:
-
Необходимо установить обновления от 12 сентября 2023 г. или более поздних версий на всех компьютерах-членах и контроллерах домена.
-
В новой или существующей групповой политике, которая применяется ко всем контроллерам домена, настройте параметры, описанные ниже.
-
В разделе Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности дважды щелкните Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену.
-
Выберите Определить этот параметр политики и <Изменить безопасность...>.
-
Используйте средство выбора объектов, чтобы добавить пользователей или группы создателей и владельцев доверенных учетных записей компьютеров в разрешение Разрешить . (Рекомендуется использовать группы для разрешений.) Не добавляйте учетную запись пользователя, выполняющего присоединение к домену.
Предупреждение: Ограничьте членство в политике доверенными пользователями и учетными записями служб. Не добавляйте в эту политику пользователей, прошедших проверку подлинности, всех пользователей или другие большие группы. Вместо этого добавьте в группы определенных доверенных пользователей и учетные записи служб и добавьте эти группы в политику.
-
Дождитесь групповая политика интервала обновления или выполните gpupdate /force на всех контроллерах домена.
-
Убедитесь, что раздел реестра HKLM\System\CCS\Control\SAM – ComputerAccountReuseAllowList заполнен требуемым SDDL. Не редактируйте реестр вручную.
-
Попробуйте присоединиться к компьютеру с установленными обновлениями от 12 сентября 2023 г. или более поздних версий. Убедитесь, что одной из учетных записей, перечисленных в политике, принадлежит учетная запись компьютера. В случае сбоя присоединения к домену проверка \netsetup.log c:\windows\debug.
Если вам по-прежнему требуется альтернативное решение, ознакомьтесь с рабочими процессами подготовки учетных записей компьютера и поймите, требуются ли изменения.
-
Выполните операцию присоединения, используя ту же учетную запись, которая создала учетную запись компьютера в целевом домене.
-
Если существующая учетная запись устарела (не используется), удалите ее, прежде чем снова присоединиться к домену.
-
Переименуйте компьютер и присоединитесь, используя другую учетную запись, которая еще не существует.
-
Если существующая учетная запись принадлежит доверенному субъекту безопасности и администратор хочет повторно использовать учетную запись, следуйте указаниям в разделе "Принять меры", чтобы установить обновления Windows за сентябрь 2023 г. или более поздней версии и настроить список разрешений.
Неразрешаемая
-
Не добавляйте учетные записи служб или учетные записи подготовки в группу безопасности "Администраторы домена".
-
Не изменяйте дескриптор безопасности в учетных записях компьютеров вручную, пытаясь переопределить владение такими учетными записями, если только предыдущая учетная запись владельца не была удалена. При редактировании владельца новые проверки будут успешно выполнены, учетная запись компьютера может сохранить те же потенциально опасные и нежелательные разрешения для исходного владельца, если они не будут явно проверены и удалены.
|
Журнал событий |
СИСТЕМА |
|
Источник события |
Netjoin |
|
Идентификатор события |
4100 |
|
Тип мероприятия |
Информационный |
|
Текст события |
"Во время присоединения к домену контроллер домена связался с найденной учетной записью компьютера в Active Directory с тем же именем. Попытка повторного использования этой учетной записи была разрешена. Поиск контроллера домена: <имя контроллера домена>имя существующей учетной записи компьютера DN: <путь DN учетной записи компьютера>. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Журнал событий |
СИСТЕМА |
|
Источник события |
Netjoin |
|
Идентификатор события |
4101 |
|
Тип мероприятия |
Ошибка |
|
Текст события |
Во время присоединения к домену контроллер домена связался с существующей учетной записью компьютера в Active Directory с тем же именем. Попытка повторного использования этой учетной записи была запрещена по соображениям безопасности. Поиск контроллера домена: DN существующей учетной записи компьютера. Код ошибки был <код ошибки>. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2202145. |
Ведение журнала отладки доступно по умолчанию (не требуется включать подробное ведение журнала) в C:\Windows\Debug\netsetup.log на всех клиентских компьютерах.
Пример ведения журнала отладки, созданного при запрете повторного использования учетной записи по соображениям безопасности:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Это обновление добавляет четыре (4) новых события в журнал SYSTEM на контроллере домена следующим образом:
|
Уровень событий |
Информационный |
|
Идентификатор события |
16995 |
|
Log |
СИСТЕМА |
|
Источник события |
Directory-Services-SAM |
|
Текст события |
Диспетчер учетных записей безопасности использует указанный дескриптор безопасности для проверки попыток повторного использования учетной записи компьютера во время присоединения к домену. Значение SDDL: <строковое> SDDL Этот список разрешений настраивается с помощью групповой политики в Active Directory. Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Уровень событий |
Ошибка |
|
Идентификатор события |
16996 |
|
Log |
СИСТЕМА |
|
Источник события |
Directory-Services-SAM |
|
Текст события |
Дескриптор безопасности, содержащий список разрешений повторного использования учетной записи компьютера, используемый для проверки присоединения к домену запросов клиента, имеет неправильный формат. Значение SDDL: <строковое> SDDL Этот список разрешений настраивается с помощью групповой политики в Active Directory. Чтобы устранить эту проблему, администратору потребуется обновить политику, чтобы задать для этого значения допустимый дескриптор безопасности или отключить его. Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Уровень событий |
Ошибка |
|
Идентификатор события |
16997 |
|
Log |
СИСТЕМА |
|
Источник события |
Directory-Services-SAM |
|
Текст события |
Диспетчер учетных записей безопасности обнаружил учетную запись компьютера, которая, как представляется, потеряна и не имеет существующего владельца. Учетная запись компьютера: S-1-5-xxx Владелец учетной записи компьютера: S-1-5-xxx Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Уровень событий |
Предупреждение |
|
Идентификатор события |
16998 |
|
Log |
СИСТЕМА |
|
Источник события |
Directory-Services-SAM |
|
Текст события |
Диспетчер учетных записей безопасности отклонил запрос клиента на повторное использование учетной записи компьютера во время присоединения к домену. Учетная запись компьютера и удостоверение клиента не соответствуют проверкам безопасности. Учетная запись клиента: S-1-5-xxx Учетная запись компьютера: S-1-5-xxx Владелец учетной записи компьютера: S-1-5-xxx Проверьте данные записи этого события на наличие кода ошибки NT. Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145. |
При необходимости netsetup.log может предоставить дополнительные сведения.
Известные проблемы
|
Проблема |
Описание |
|---|---|
|
Проблема 1 |
После установки обновлений от 12 сентября 2023 г. или более поздних версий присоединение к домену может завершиться ошибкой в средах, где задана следующая политика: сетевой доступ — ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM, — Безопасность Windows | Microsoft Learn. Это связано с тем, что клиентские компьютеры теперь выполняют проверенные вызовы SAMRPC к контроллеру домена для выполнения проверок безопасности, связанных с повторным использованием учетных записей компьютеров. Это ожидается. Чтобы учесть это изменение, администраторы должны либо сохранить политику SAMRPC контроллера домена по умолчанию, либо явно включить группу пользователей, выполняющую присоединение к домену, в параметры SDDL, чтобы предоставить им разрешение. Пример из netsetup.log, где возникла эта проблема: |
|
Проблема 2 |
Если учетная запись владельца компьютера удалена и предпринята попытка повторного использования учетной записи компьютера, событие 16997 будет зарегистрировано в журнале системных событий. В этом случае можно повторно назначить права владения другой учетной записи или группе. |
|
Проблема 3 |
Если только клиент имеет обновление от 14 марта 2023 г. или более поздней версии, проверка политики Active Directory вернет 0x32 STATUS_NOT_SUPPORTED. Предыдущие проверки, реализованные в ноябрьском исправлении, будут применяться, как показано ниже: |
|
Проблема 4 |
После обновления от 13 августа 2024 г. необходимо указать полное доменное имя dns контроллера домена при выборе целевого контроллера домена. Существует известная проблема, из-за которой будет работать только формат имени полного доменного имени DNS. Это будет выглядеть так, как будто конфигурация повторного присоединения к домену настроена неправильно. NetSetup.Log В NetSetup.Log есть следующее: Трассировка сети В трассировке сети вы увидите попытку входа в контроллер домена в SMB с учетными данными локального пользователя: В трассировке сети вы можете найти сеанс, успешно созданный с билетом Kerberos, используя короткое устаревшее имя компьютера. Ошибка при соединении Netdom Ошибка из Add-Computer Выполнение операции "Присоединение в домене "contoso.com\DC1" для целевого объекта "Member12". Надстройка: компьютеру Member12 не удалось присоединить домен contoso.com\DC1 из текущей рабочей группы WORKGROUP со следующим сообщением об ошибке: Учетная запись с таким же именем существует в Active Directory. Повторное использование учетной записи было заблокировано политикой безопасности. Решение Решение заключается в том, чтобы всегда использовать полное доменное имя DNS: Netdom: /d:contoso.com\DC1.contoso.com Дополнительный компьютер: -Server 'DC1.contoso.com' |
