Home AD Domain Join: Computerkonto Genbrug blokeret

AD Domain Join: Computerkonto Genbrug blokeret

Når du forsøger at forbinde en computer med et Active Directory-domæne, kan der opstå en fejl:

Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy:
An account with the same name exists in Active Directory. Re-using the account was blocked by security policy.

Denne adfærd er forårsaget af Windows-opdateringer udgivet i oktober 2022, der forbedrede sikkerheden ved at genbruge eksisterende computerkonti i Active Directory. Disse opdateringer forhindrer en enhed i at tilslutte sig et AD-domæne ved at bruge en eksisterende (forudoprettet) computerkonto (for at hjælpe med at beskytte mod kritisk sårbarhedCVE-2022-38042). Undtagelser er tilfælde, hvor:

  • Brugerkontoen, der oprettede computerobjektet i AD, bruges til at udføre domænetilknytningen.
  • Computeren blev oprettet af et medlem af Domain Admins-gruppen
  • Brugeren er medlem af domæneadministratorer, virksomhedsadministratorer eller indbyggede administratorer.
  • Brugerkonto føjet til GPO-indstillingenDomænecontroller: Tillad genbrug af computerkonto under domænetilmelding(denne politikmulighed blev introduceret i marts 2023)

Når en computer tilsluttes et domæne, udføres en række kontroller for at forhindre adgang til det eksisterende computerobjekt i domænet, hvis brugeren ikke opfylder ovenstående betingelser.

Tjek domænetilmeldingsloggen på klienten (C:WindowsdebugNetSetup.LOG). Den skal indeholde følgende linjer:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=wks0001,CN=Computers,DC=woshub,DC=loc
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=wks0001,CN=Computers,DC=woshub,DC=loc NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty. NetpManageMachineAccountWithSid: NetUserAdd on 'h-dc01.woshub.loc' for 'WKS0001$' failed: 0x8b0 NetpManageMachineAccountWithSid: The computer account already exists in Active Directory. Re-using the account was blocked by security policy.

En begivenhed med begivenheds-id4100eller4101skal også vises i System-log i Event Viewer:

During domain join, the domain controller contacted found an existing computer account in Active Directory with the same name.
An attempt to re-use this account was permitted.
Domain controller searched: \h-dc01.woshub.loc
Existing computer account DN: CN=wks0001,CN=Computers,DC=woshub,DC=loc

Den enkleste løsning er at omdøbe computeren (værtsnavn) eller slette den tidligere oprettede konto med det navn fra AD. I dette tilfælde kan du nemt tilslutte computeren til AD-domænet med et nyt navn.

Hvis du vil tillade nogle ikke-administratorbrugere at tilslutte computere til eksisterende konti, skal du konfigurere en separat GPO for domænecontrollere.

  1. Opret en sikkerhedsgruppe i AD-domænet, og tilføj brugere, der kan genbruge computerkonti. For eksempel HQ_Allow_Domain_Join
  2. Åbn domænet Policy Management Console (gpmc.msc), opret en ny GPO, og link den tilDomænecontrollereELLER.
  3. Åbn GPO'en og gå tilComputerkonfiguration -> Politikker -> Windows-indstillinger -> Sikkerhedsindstillinger -> Lokale politikker -> Sikkerhedsindstillinger
  4. Åbn politikkenDomænecontroller: Tillad genbrug af computerkonto under domænetilmelding.
  5. Aktiver politikken. Klik derefterRediger sikkerhedog tilføj den tidligere oprettede gruppe af betroede brugere, som får lov til at tilslutte sig computere til domænetFor at øge sikkerheden skal du holde antallet af medlemmer i denne gruppe på et minimum.
  6. Vent på, at GPO-indstillingerne bliver opdateret på DC'en, eller opdater dem straks med kommandoengpupdate /force
  7. Politikken ændrer værdien afcomputerkontogenbrugstilladelseslisteparameter iHKLMSYSTEMCurrentControlSetControlSAMregistreringsdatabasenøgle på DC. Dens værdi vil indeholde en liste over de grupper, du har tilføjet (i SDDL-format).
  8. Bekræft, at medlemmerne af denne gruppe har fået delegeret AD-tilladelser til at administrere computerkonti i mål-OU.

Nu kan brugere i denne gruppe bruge eksisterende computerkonti, når de tilslutter enheder til domænet.

Tjek NetSetup.LOG-loggen:

NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Hvis brugeren stadig ikke kan tilføje computeren til domænet efter at have anvendt de angivne indstillinger, skal du kontrollere filen C:WindowsdebugNetSetup.LOG for følgende linje:

Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.

Dette indikerer, at brugeren ikke har tilladelse til at fjernforbindelse til domænecontrolleren og kontrollere poster i SAM-databasen. I dette tilfælde skal du aktivereNetværksadgang: Begræns klienter, der må foretage fjernopkald til SAMsikkerhedspolitik for DC og føj din brugergruppe til den.

Tidligere tillod MicrosoftNetJoinLegacyAccountGenbrugregistreringsdatabasenøgle, der skal bruges til at ignorere nye sikkerhedsindstillinger, der forhindrer genbrug af eksisterende computerkonti.

reg add HKLMSystemCurrentControlSetControlLsa /v NetJoinLegacyAccountReuse /t REG_DWORD /d 1 /f

Foreslået læsning:Sådan tilslutter du Windows 11-computer til domæne

Understøttelse af denne registreringsindstilling blev dog fjernet i august 2024-opdateringerne, og denne mulighed virker ikke længere.

Related Posts

(PT 4) Et crashkursus som frivillig lærer og en værdifuld satsning

(PT 4) Et crashkursus som frivillig lærer og en værdifuld satsning

2025-05-16
Sådan installeres Windows 11 uden Microsoft

Sådan installeres Windows 11 uden Microsoft

2025-04-30
Kan ikke få adgang til delte mapper på NAS i Windows 11 24H2

Kan ikke få adgang til delte mapper på NAS i Windows 11 24H2

2024-07-17
25 sjove spørgsmål at stille under et personalemøde (med AI)

25 sjove spørgsmål at stille under et personalemøde (med AI)

2025-09-22
Sådan viser du ugedag i Windows 10

Sådan viser du ugedag i Windows 10

2025-05-08
Sådan opretter du stop-motion-videoer ved hjælp af ChatGPT og Pika Labs

Sådan opretter du stop-motion-videoer ved hjælp af ChatGPT og Pika Labs

2024-09-13
Sådan opretter du et Windows til at gå USB

Sådan opretter du et Windows til at gå USB

2025-04-30
Sådan rettes ingen mulighed for at fjerne MDM

Sådan rettes ingen mulighed for at fjerne MDM

2025-04-30
WinRar til Windows 11

WinRar til Windows 11

2024-02-01
Jeg holdt Pixel 10 Pro fold, og dette er de 4 ting, der imponerede mig for det

Jeg holdt Pixel 10 Pro fold, og dette er de 4 ting, der imponerede mig for det

2025-08-20
Hvordan man ser succession online

Hvordan man ser succession online

2025-08-06
Sådan bruges Spotify i Instagram Notes [Guide]

Sådan bruges Spotify i Instagram Notes [Guide]

2025-06-14
Hvordan spiller man Xbox Cloud

Hvordan spiller man Xbox Cloud

2022-10-14
Styr SharePoint-lagring med grænser for versionshistorik

Styr SharePoint-lagring med grænser for versionshistorik

2024-10-14
Help Desk-artikler

Help Desk-artikler

2025-01-06