Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Uppdaterad 2024-08-13; se beteende 13 augusti 2024

Sammanfattning

Windows-uppdateringar som släpptes 11 oktober 2022 och som släppts 11 oktober 2022 innehåller ytterligare skydd som införts av CVE-2022-38042. Dessa skydd förhindrar avsiktligt domänanslutningsåtgärder från att återanvända ett befintligt datorkonto i måldomänen om inte:

  • Användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.

    Eller

  • Datorn skapades av en medlem av domänadministratörerna.

    Eller

  • Ägaren till det datorkonto som återanvänds är medlem i domänkontrollanten: Tillåt återanvändning av datorkonto under domänanslutning. Grupprincipinställning. Den här inställningen kräver installation av Windows-uppdateringar som släpptes den 14 mars 2023 eller senare på ALLA medlemsdatorer och domänkontrollanter.

Uppdateringar som släpptes 14 mars 2023 och 12 september 2023 kommer att tillhandahålla ytterligare alternativ för berörda kunder på Windows Server 2012 R2 och senare samt för alla klienter som stöds. Mer information finns i avsnitten 11 oktober 2022 och Vidta åtgärder .

Not Den här artikeln refererade tidigare till en NetJoinLegacyAccountReuse-registernyckel . Från och med den 13 augusti 2024 har registernyckeln och dess referenser i den här artikeln tagits bort. 

Beteende före 11 oktober 2022

Innan du installerar de kumulativa uppdateringarna från 11 oktober 2022 eller senare frågar klientdatorn Active Directory efter ett befintligt konto med samma namn. Den här frågan inträffar under domänanslutning och datorkontoetablering. Om det finns ett sådant konto försöker klienten automatiskt återanvända det.

Not Återanvändningsförsöket misslyckas om användaren som försöker ansluta till domänen inte har rätt skrivbehörighet. Men om användaren har tillräckligt med behörigheter kommer domänanslutningen att lyckas.

Det finns två scenarier för domänanslutning med respektive standardbeteende och flaggor enligt följande:

Beteende 11 oktober 2022 

När du installerar de kumulativa uppdateringarna för Windows från 11 oktober 2022 eller senare på en klientdator under domänanslutningen utför klienten ytterligare säkerhetskontroller innan de försöker återanvända ett befintligt datorkonto. Algoritm:

  1. Försök till återanvändning av konto tillåts om användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.

  2. Försök att återanvända konto tillåts om kontot skapades av en medlem av domänadministratörerna.

Dessa ytterligare säkerhetskontroller utförs innan du försöker ansluta till datorn. Om kontrollerna lyckas omfattas resten av anslutningsåtgärden av Active Directory-behörigheter som tidigare.

Den här ändringen påverkar inte nya konton.

Obs! När du har installerat de kumulativa uppdateringarna från 11 oktober 2022 eller senare windows kan domänanslutning med återanvändning av datorkonto avsiktligt misslyckas med följande fel:

Fel 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Ett konto med samma namn finns i Active Directory. Återanvändning av kontot har blockerats av säkerhetsprincipen."

I så fall skyddas kontot avsiktligt av det nya beteendet.

Händelse-ID 4101 utlöses när felet ovan inträffar och problemet loggas i c:\windows\debug\netsetup.log. Följ stegen nedan i Vidta åtgärder för att förstå felet och lösa problemet.

Beteende 14 mars 2023

I Windows-uppdateringarna som släpptes 14 mars 2023 eller senare har vi gjort några ändringar i säkerhetshärdningen. Dessa ändringar inkluderar alla ändringar vi gjorde i oktober 11, 2022.

Först utökade vi omfattningen av grupper som är undantagna från denna härdning. Utöver domänadministratörer är företagsadministratörer och inbyggda administratörsgrupper nu undantagna från ägarskapskontrollen.

För det andra har vi implementerat en ny grupprincipinställning. Administratörer kan använda den för att ange en lista över betrodda datorkontoägare. Datorkontot kringgår säkerhetskontrollen om något av följande stämmer:

  • Kontot ägs av en användare som anges som betrodd ägare i grupprincipen "Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning".

  • Kontot ägs av en användare som är medlem i en grupp som anges som betrodd ägare i grupprincipen "Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning".

Om du vill använda den nya grupprincipen måste domänkontrollanten och medlemsdatorn ha uppdateringen från 14 mars 2023 eller senare installerad. Vissa av er kanske har särskilda konton som du använder när du skapar ett datorkonto automatiskt. Om dessa konton är säkra från missbruk och du litar på att de skapar datorkonton kan du undanta dem. Du kommer fortfarande att vara säker mot den ursprungliga säkerhetsrisken som minimerats i Windows-uppdateringarna från 11 oktober 2022.

Beteende 12 september 2023

I Windows-uppdateringarna som släpptes 12 september 2023 eller senare har vi gjort några ytterligare ändringar i säkerhetshärdningen. Dessa ändringar omfattar alla ändringar vi gjorde i 11 oktober 2022 och ändringarna från 14 mars 2023.

Vi har åtgärdat ett problem där domänanslutning med smartkortsautentisering misslyckades oavsett principinställningen. Vi har flyttat tillbaka de återstående säkerhetskontrollerna till domänkontrollanten för att åtgärda det här problemet. Efter säkerhetsuppdateringen i september 2023 gör klientdatorer därför autentiserade SAMRPC-anrop till domänkontrollanten för att utföra säkerhetsverifieringskontroller som rör återanvändning av datorkonton.

Detta kan dock göra att domänanslutningen misslyckas i miljöer där följande princip har angetts: Nätverksåtkomst: Begränsa klienter som tillåts ringa fjärrsamtal till SAM.  Mer information om hur du löser problemet finns i avsnittet "Kända problem".

Beteende 13 augusti 2024

I Windows-uppdateringarna som släpptes den 13 augusti 2024 eller senare har vi åtgärdat alla kända kompatibilitetsproblem med principen Allowlist. Vi har också tagit bort stöd för NetJoinLegacyAccountReuse-nyckeln . Härdningsbeteendet kvarstår oavsett vilken nyckelinställning som gäller. Lämpliga metoder för att lägga till undantag anges i avsnittet Vidta åtgärder nedan. 

Vidta åtgärder

Konfigurera den nya principen för tillåtna listor med grupprincipen på en domänkontrollant och ta bort alla äldre lösningar på klientsidan. Gör sedan följande:

  1. Du måste installera uppdateringarna från 12 september 2023 eller senare på alla medlemsdatorer och domänkontrollanter. 

  2. I en ny eller befintlig grupprincip som gäller för alla domänkontrollanter konfigurerar du inställningarna i stegen nedan.

  3. Under Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ dubbelklickar du på Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning.

  4. Välj Definiera den här principinställningen och <Redigera säkerhet...>.

  5. Använd objektväljaren för att lägga till användare eller grupper av betrodda datorkontoskapare och ägare i behörigheten Tillåt . (Vi rekommenderar starkt att du använder grupper för behörigheter.) Lägg inte till användarkontot som utför domänanslutningen.

    Begränsa medlemskapet till principen till betrodda användare och tjänstkonton. Lägg inte till autentiserade användare, alla eller andra stora grupper i den här principen. Lägg i stället till specifika betrodda användare och tjänstkonton i grupper och lägg till dessa grupper i principen.

  6. Vänta till uppdateringsintervallet för grupprincipen eller kör gpupdate /force på alla domänkontrollanter.

  7. Kontrollera att registernyckeln HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" är ifylld med önskad SDDL. Redigera inte registret manuellt.

  8. Försök ansluta till en dator som har uppdateringarna från 12 september 2023 eller senare installerade. Kontrollera att ett av kontona som anges i principen äger datorkontot. Om domänanslutningen misslyckas kontrollerar du \netsetup.log c:\windows\debug.

Om du fortfarande behöver en alternativ lösning kan du granska arbetsflöden för tillhandahållande av datorkonton och förstå om ändringar krävs. 

  1. Utför anslutningsåtgärden med samma konto som skapade datorkontot i måldomänen.

  2. Om det befintliga kontot är inaktuellt (oanvänt) tar du bort det innan du försöker ansluta till domänen igen.

  3. Byt namn på datorn och anslut med ett annat konto som inte redan finns.

  4. Om det befintliga kontot ägs av ett betrott säkerhetshuvudnamn och en administratör vill återanvända kontot följer du anvisningarna i avsnittet Vidta åtgärder för att installera Windows-uppdateringarna för september 2023 eller senare och konfigurera en lista över tillåtna.

Lösanden

  • Lägg inte till tjänstkonton eller etableringskonton i säkerhetsgruppen Domänadministratörer.

  • Redigera inte säkerhetsbeskrivningen manuellt på datorkonton i ett försök att omdefiniera ägarskapet för sådana konton, såvida inte det tidigare ägarkontot har tagits bort. När du redigerar ägaren kan de nya kontrollerna lyckas, men datorkontot kan behålla samma potentiellt riskabla, oönskade behörigheter för den ursprungliga ägaren om det inte uttryckligen granskas och tas bort.

Nya händelseloggar

Händelselogg

SYSTEM  

Händelsekälla

Netjoin

Händelse-ID

4100

Händelsetyp

Informativt

Händelsetext

"Under domänanslutningen hittade domänkontrollanten ett befintligt datorkonto i Active Directory med samma namn.

Ett försök att återanvända det här kontot tilläts.

Domänkontrollant genomsökt: <domänkontrollantens namn>Befintligt datorkonto DN: <DN-sökväg för datorkonto>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2202145.

Händelselogg

SYSTEM

Händelsekälla

Netjoin

Händelse-ID

4101

Händelsetyp

Fel

Händelsetext

Under domänanslutningen hittade domänkontrollanten ett befintligt datorkonto i Active Directory med samma namn. Ett försök att återanvända det här kontot förhindrades av säkerhetsskäl. Domänkontrollant genomsökt: Befintligt datorkonto DN: Felkoden <felkod>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2202145.

Felsökningsloggning är tillgänglig som standard (du behöver inte aktivera utförlig loggning) i C:\Windows\Felsökning\netsetup.log på alla klientdatorer.

Exempel på felsökningsloggning som genereras när återanvändningen av kontot förhindras av säkerhetsskäl:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nya händelser tillagda i mars 2023 

Den här uppdateringen lägger till fyra (4) nya händelser i SYSTEM-loggen på domänkontrollanten enligt följande:

Händelsenivå

Informativt

Händelse-ID

16995

Logg

SYSTEM

Händelsekälla

Directory-Services-SAM

Händelsetext

Säkerhetskontohanteraren använder den angivna säkerhetsbeskrivningen för verifiering av försök att återanvända datorkonton under domänanslutning.

SDDL-värde: <SDDL-sträng>

Den här tillåtna listan konfigureras via grupprincip i Active Directory.

Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145.

Händelsenivå

Fel

Händelse-ID

16996

Logg

SYSTEM

Händelsekälla

Directory-Services-SAM

Händelsetext

Säkerhetsbeskrivningarna som innehåller listan över tillåtna omanvändning av datorkonton som används för att verifiera klientbegäranden för domänanslutning är felformaterade.

SDDL-värde: <SDDL-sträng>

Den här tillåtna listan konfigureras via grupprincip i Active Directory.

För att åtgärda det här problemet måste administratören uppdatera principen för att ange ett giltigt säkerhetsbeskrivningsvärde eller inaktivera det.

Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145.

Händelsenivå

Fel

Händelse-ID

16997

Logg

SYSTEM

Händelsekälla

Directory-Services-SAM

Händelsetext

Säkerhetskontohanteraren hittade ett datorkonto som verkar vara överblivet och som inte har någon befintlig ägare.

Datorkonto: S-1-5-xxx

Datorkontoägare: S-1-5-xxx

Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145.

Händelsenivå

Varning

Händelse-ID

16998

Logg

SYSTEM

Händelsekälla

Directory-Services-SAM

Händelsetext

Säkerhetskontohanteraren avvisade en klientbegäran om att återanvända ett datorkonto under domänanslutningen.

Datorkontot och klientidentiteten uppfyllde inte säkerhetsverifieringskontrollerna.

Klientkonto: S-1-5-xxx

Datorkonto: S-1-5-xxx

Datorkontoägare: S-1-5-xxx

Kontrollera postdata för den här händelsen för NT-felkoden.

Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145.

Om det behövs kan netsetup.log ge mer information.

Kända problem

Problem 1

När du har installerat uppdateringarna från 12 september 2023 eller senare kan domänanslutning misslyckas i miljöer där följande princip har angetts: Nätverksåtkomst – Begränsa tillåtna klienter att ringa fjärrsamtal till SAM – Windows-säkerhet | Microsoft Learn. Det beror på att klientdatorer nu gör autentiserade SAMRPC-anrop till domänkontrollanten för att utföra säkerhetsverifieringskontroller relaterade till återanvändning av datorkonton.     Detta är förväntat. För att kunna göra den här ändringen bör administratörer antingen behålla domänkontrollantens SAMRPC-princip vid standardinställningarna eller uttryckligen inkludera användargruppen som utför domänanslutningen i SDDL-inställningarna för att ge dem behörighet. 

Exempel från en netsetup.log där det här problemet uppstod:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problem 2

Om datorägarkontot har tagits bort och ett försök görs att återanvända datorkontot loggas händelse 16997 i systemhändelseloggen. Om detta inträffar är det okej att omtilldela ägarskap till ett annat konto eller en annan grupp.

Problem 3

Om bara klienten har uppdateringen från 14 mars 2023 eller senare returnerar Active Directory-principkontrollen 0x32 STATUS_NOT_SUPPORTED. Tidigare kontroller som genomfördes i snabbkorrigeringarna i november kommer att tillämpas enligt nedan:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders