We couldn’t sign you in
Select the account you want to use.

Rezime

Ispravke za Windows objavljene 11. oktobra 2022. i posle toga sadrže dodatne zaštite koje je uveo CVE-2022-38042. Ove zaštite namerno sprečavaju operacije pridruživanja domenu da ponovo koristi postojeći računarski nalog u ciljnom domenu osim:

  1. Korisnik koji pokušava da izvrši operaciju je autor postojećeg naloga.

    Ili

  2. Računar je kreirao član administratora domena.

Zastarelo ponašanje

Pre nego što instalirate kumulativne ispravke od 11. oktobra 2022. ili novije, klijentski računar upiti aktivnog direktorijuma za postojeći nalog sa istim imenom. Ovaj upit se javlja tokom pridruživanja domenu i dodeljivanja naloga na računaru. Ako takav nalog postoji, klijent će automatski pokušati da ga ponovo koristi.

Beleške Pokušaj ponovne upotrebe neće uspeti ako korisnik koji pokuša operaciju pridruživanja domenu nema odgovarajuće dozvole za pisanje. Međutim, ako korisnik ima dovoljno dozvola, pridruživanje domenu će uspeti.

Postoje dva scenarija za pridruživanje domenu sa odgovarajućim podrazumevanim ponašanjima i zastavicom na sledeći način:

Novo ponašanje 

Kada instalirate 11. oktobar 2022. ili novije Windows kumulativne ispravke na klijentskom računaru, tokom pridruživanja domenu, klijent će izvršiti dodatne bezbednosne provere pre nego što pokuša da ponovo koristi postojeći nalog računara.

Algoritam:

  1. Pokušaj ponovne upotrebe naloga biće dozvoljen ako je korisnik koji pokušava da izvrši operaciju autor postojećeg naloga.

  2. Pokušaj ponovne upotrebe naloga biće dozvoljen ako je nalog kreirao član administratora domena.

Ove dodatne bezbednosne provere se proveravaju pre nego što pokušate da se pridružite računaru. Ako su provere uspešne, ostatak operacije spajanja podleže dozvolama aktivnog direktorijuma kao i ranije.

Ova promena ne utiče na nove naloge.

Beleške Nakon instaliranja kumulativnih ispravki za Windows 11. oktobar 2022. ili novije, ponovno korišćenje domena pomoću naloga računara može namerno da ne uspe uz sledeću grešku:

Greška 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Nalog sa istim imenom postoji u aktivnom direktorijumu. Ponovno korišćenje naloga je blokirano bezbednosnim smernicama."

Ako je tako, nalog se namerno štiti novim ponašanjem.

ID događaja 4101 će se aktivirati kada se pojavi gorenavedena greška i problem će biti evidentiran na c:\windows\debug\netsetup.log. Pratite dolenavedene korake u članku Preduzimanje radnje da biste razumeli neuspeh i rešili problem.

Preduzimanje radnje

Pregledajte tokove posla dodeljivanja privilegija nalogu računara i razumejte da li su potrebne promene.

  1. Izvršite operaciju spajanja pomoću istog naloga koji je kreirao računarski nalog u ciljnom domenu.

  2. Ako je postojeći nalog zastareo (neiskorišćeno), izbrišite ga pre nego što ponovo pokušate da se pridružite domenu.

  3. Preimenujte računar i pridružite se pomoću drugog naloga koji već ne postoji.

  4. Ako je postojeći nalog u vlasništvu pouzdanog principala bezbednosti i administrator želi ponovo da koristi nalog, to može da uradi tako što će privremeno postaviti sledeći ključ registratora na nivou pojedinačnog klijentskog računara. Zatim odmah uklonite postavku registratora nakon dovršavanja operacije spajanja. Nije neophodno ponovno pokretanje da bi promene ključa registratora slegle na snagu.

Putanja

HKLM\System\CurrentControlSet\Control\LSA

Tip

REG_DWORD

Ime

NetJoinLegacyAccountReuse

Vrednost

1

Druge vrednosti se zanemaruju.

Važna uputstva za korišćenje opcije 4

Oprez: Ako odaberete da podesite ovaj ključ da radi sa ovim zaštitama, okruženje ćete ostaviti ranjivo na CVE-2022-38042, osim ako se u nastavku ne upućuje na vaš scenario. Nemojte da koristite ovaj metod bez potvrde da je autor/vlasnik postojećeg objekta računara bezbedan i pouzdan principal bezbednosti. 

U sledećim scenarijima prikladno je koristiti 4. rešenje:

  1. IT administrator sa delegiranim dozvolama mora ponovo da se pridruži računar ciljnom domenu u svrhe rešavanja problema, a originalni autor naloga je pouzdani nalog.

    Ili

  2. Scenario primene u kojem se nalozi računara kreiraju pre korišćenja namenskog naloga usluge (kao što je SCCM ili drugog softvera), a spajanje domena izvršava drugi namenski nalog sa delegiranim dozvolama za pridruživanje domenu (na primer, "Ovom nalogu je dozvoljeno da se pridruži ovom računaru domenu").

Microsoft može da ukloni podršku za netJoinLegacyAccountReuse postavku registratora u budućoj ispravci i zameni ga alternativnim metodom. Ovaj članak će biti ažuriran ako i kada dođe do takvih promena.

Nerešenosti

  • Nemojte dodavati naloge usluge niti dodeđivati naloge u bezbednosnu grupu Administratori domena.

  • Nemojte ručno uređivati opis bezbednosti na nalozima računara u pokušaju da ponovo definišite vlasništvo nad takvim nalozima. Prilikom uređivanja vlasnik će omogućiti uspeh novih provera, nalog računara može zadržati iste potencijalno rizično, neželjene dozvole za originalnog vlasnika, osim ako se izričito ne rediguje i ukloni.

  • Nemojte da dodajete netJoinLegacyAccountReuse ključ registratora u osnovne OS slike zato što bi ključ trebalo samo privremeno dodati i ukloniti odmah pošto se pridruživanje domenu dovrši.

Nove evidencije događaja

Evidencija događaja

SISTEM
 

Izvor događaja

Netjoin

ID događaja

4100

Tip događaja

Informaciono

Tekst događaja

"Tokom pridruživanja domenu kontroler domena je pronašao postojeći računarski nalog u usluzi Active Directory sa istim imenom.%nAn pokušaj ponovnog korišćenja ovog naloga je dozvoljen. Pretraženo je %n%nDomena kontroler: %1%nDosledi DN naloga računara: %2%n%nPomoćajte https://go.microsoft.com/fwlink/?linkid=2202145 za više informacija.

Evidencija događaja

SISTEM

Izvor događaja

Netjoin

ID događaja

4101

Tip događaja

Greška

Tekst događaja

"Tokom pridruživanja domenu kontroler domena je kontaktirao postojeći računarski nalog u aktivnom direktorijumu sa istim imenom.%n Pokušaj ponovnog korišćenja ovog naloga je sprečen iz bezbednosnih razloga.%n%nTraženi kontroler domena: %1%nDomen postojećeg naloga računara: %2%nDeta greške je bio %3.%n%nTražite https://go.microsoft.com/fwlink/?linkid=2202145 za više informacija."

Vođenje evidencije o otklanjanju grešaka je podrazumevano dostupno (nema potrebe da omogućite bilo koje detaljno evidentiranje) na C:\Windows\Debug\netsetup.log na svim klijentima.

Primer vođenja evidencije o otklanjanju grešaka koje se generiše kada je ponovno korišćenje naloga sprečeno iz bezbednosnih razloga:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×