微软表示,在应用本月的安全更新后,Windows 域加入过程可能会因“0xaac (2732)”错误而失败。
该问题源于在解决 Active Directory 域服务中的 CVE-2022-38042 特权提升漏洞时引入的强化更改,该漏洞将允许攻击者获得域管理员权限。
由于这些额外的保护,域加入操作被有意阻止重复使用目标域中的现有计算机帐户。
在客户端计算机上安装 2022 年 10 月安全更新后,由于在重新使用现有计算机帐户之前进行了额外的安全检查,域加入操作将被自动阻止(更改不会影响新帐户)。
除非尝试加入域的用户没有适当的写入权限(即,用户是现有帐户的创建者或计算机是由域管理员创建的),否则会发生这种情况。
微软 解释说 ,域加入过程可能会故意失败,并出现“0xaac (2732):NERR_AccountReuseBlockedByPolicy”错误,指出“Active Directory 中存在同名帐户。重新使用该帐户已被安全策略阻止。”
“受影响的场景包括一些域加入或重新映像操作,其中计算机帐户是由与用于将计算机加入或重新加入域的身份不同的身份创建或预先安排的。”
因为这个已知问题只会发生在企业环境中的托管 Windows 设备上,所以 Redmond 说家庭用户“不太可能”也受到影响。
受影响平台的列表包括客户端和服务器 Windows 版本:
- 客户端:Windows 7 SP1 至 Windows 11,版本 22H2
- 服务器:Windows Server 2008 SP2 到 Windows Server 2022
2022 年 10 月强化更改的解决方法
要解决这些额外的保护和安全检查,Windows 管理员可以:
- 使用在目标域中创建计算机帐户的同一帐户执行加入操作。
- 如果现有帐户过时(未使用),请在尝试再次加入域之前将其删除。
- 重命名计算机并使用尚不存在的其他帐户加入。
尽管不建议,但管理员也可以通过(临时)在单个客户端计算机级别设置名为“NetJoinLegacyAccountReuse”的 REG_DWORD 注册表项,其值为“1”,并在之后立即将其删除,从而重新使用由受信任的安全主体拥有的现有帐户。域加入过程完成。
“在未确认现有计算机对象的创建者/所有者是安全且受信任的安全主体之前,请勿使用此方法。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软:10月更新后Windows域加入可能会失败