Home AD Domain Join: Reutilizare cont computer blocată

AD Domain Join: Reutilizare cont computer blocată

Când încercați să conectați un computer la un domeniu Active Directory, poate apărea o eroare:

Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy:
An account with the same name exists in Active Directory. Re-using the account was blocked by security policy.

Acest comportament este cauzat de actualizările Windows lansate în octombrie 2022 care au îmbunătățit securitatea reutilizarii conturilor de computer existente în Active Directory. Aceste actualizări împiedică un dispozitiv să se alăture unui domeniu AD utilizând un cont de computer existent (pre-creat) (pentru a ajuta la protejarea împotriva vulnerabilităților criticeCVE-2022-38042). Excepții sunt cazurile în care:

  • Contul de utilizator care a creat obiectul computer în AD este utilizat pentru a efectua unirea domeniului.
  • Computerul a fost creat de un membru al grupului Domain Admins
  • Utilizatorul este membru al Administratorilor de domeniu, al Administratorilor Enterprise sau al Administratorilor încorporați.
  • Cont de utilizator adăugat la opțiunea GPOControler de domeniu: permiteți reutilizarea contului de computer în timpul aderării la domeniu(această opțiune de politică a fost introdusă în martie 2023)

Când un computer este alăturat unui domeniu, sunt efectuate o serie de verificări pentru a preveni accesul la obiectul computer existent în domeniu dacă utilizatorul nu îndeplinește condițiile de mai sus.

Verificați jurnalul de alăturare a domeniului de pe client (C:WindowsdebugNetSetup.LOG). Ar trebui să conțină următoarele rânduri:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=wks0001,CN=Computers,DC=woshub,DC=loc
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=wks0001,CN=Computers,DC=woshub,DC=loc NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty. NetpManageMachineAccountWithSid: NetUserAdd on 'h-dc01.woshub.loc' for 'WKS0001$' failed: 0x8b0 NetpManageMachineAccountWithSid: The computer account already exists in Active Directory. Re-using the account was blocked by security policy.

Un eveniment cu ID de eveniment4100sau4101ar trebui să apară și în jurnalul de sistem în Vizualizatorul de evenimente:

During domain join, the domain controller contacted found an existing computer account in Active Directory with the same name.
An attempt to re-use this account was permitted.
Domain controller searched: \h-dc01.woshub.loc
Existing computer account DN: CN=wks0001,CN=Computers,DC=woshub,DC=loc

Cea mai simplă soluție este să redenumiți computerul (nume de gazdă) sau să ștergeți contul creat anterior cu acel nume din AD. În acest caz, puteți conecta cu ușurință computerul la domeniul AD cu un nume nou.

Dacă doriți să permiteți unor utilizatori non-administratori să alăture computerelor la conturile existente, trebuie să configurați un GPO separat pentru controlerele de domeniu.

  1. Creați un grup de securitate în domeniul AD și adăugați utilizatori care pot reutiliza conturile de computer. De exemplu, HQ_Allow_Domain_Join
  2. Deschideți Consola de gestionare a politicilor de domeniu (gpmc.msc), creați un nou GPO și conectați-l laControlere de domeniuSAU.
  3. Deschideți GPO și accesațiConfigurare computer -> Politici -> Setări Windows -> Setări de securitate -> Politici locale -> Opțiuni de securitate
  4. Deschideți politicaControler de domeniu: permiteți reutilizarea contului de computer în timpul aderării la domeniu.
  5. Activați politica. Apoi faceți clicEditați securitateași adăugați grupul creat anterior de utilizatori de încredere cărora li se va permite să se alăture computerelor la domeniuPentru a spori securitatea, mențineți numărul de membri din acest grup la minimum.
  6. Așteptați ca setările GPO să fie actualizate pe DC sau actualizați-le imediat cu comandagpupdate /force
  7. Politica modifică valoareacomputeraccountreuseallowlistparametrul înHKLMSYSTEMCurrentControlSetControlSAMcheie de registry pe DC. Valoarea acestuia va conține o listă a grupurilor pe care le-ați adăugat (în format SDDL).
  8. Verificați dacă membrii acestui grup au fost delegate permisiuni AD pentru a gestiona conturile de computer în OU țintă.

Acum, utilizatorii din acest grup pot folosi conturile de computer existente atunci când conectează dispozitive la domeniu.

Verificați jurnalul NetSetup.LOG:

NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Dacă utilizatorul încă nu poate adăuga computerul la domeniu după aplicarea setărilor specificate, verificați fișierul C:WindowsdebugNetSetup.LOG pentru următoarea linie:

Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.

Aceasta indică faptul că utilizatorul nu are permisiunea de a se conecta de la distanță la controlerul de domeniu și de a verifica înregistrările din baza de date SAM. În acest caz, trebuie să activațiAcces la rețea: restricționați clienții autorizați să efectueze apeluri de la distanță către SAMpolitica de securitate pentru DC și adăugați grupul dvs. de utilizatori la acesta.

Anterior, Microsoft a permisNetJoinLegacyAccountRusecheie de registry care trebuie utilizată pentru a ignora noile setări de securitate care împiedică reutilizarea conturilor de computer existente.

reg add HKLMSystemCurrentControlSetControlLsa /v NetJoinLegacyAccountReuse /t REG_DWORD /d 1 /f

Lectură sugerată:Cum să vă alăturați computerului Windows 11 la domeniu

Cu toate acestea, suportul pentru această setare de registry a fost eliminat în actualizările din august 2024 și această opțiune nu mai funcționează.

Related Posts

Cum să remediați eroarea instrumentului de creare media 0x80070005

Cum să remediați eroarea instrumentului de creare media 0x80070005

2025-03-30
Cum se activează contul implicit pe PC

Cum se activează contul implicit pe PC

2025-04-30
Creați un VM Windows Server pe ProxMox (pas cu pas)

Creați un VM Windows Server pe ProxMox (pas cu pas)

2025-07-07
Cum să remediați eroarea Bitlocker „Windows nu poate fi instalat”

Cum să remediați eroarea Bitlocker „Windows nu poate fi instalat”

2025-05-04
Cele mai bune 10 site

Cele mai bune 10 site

2025-08-05
Cum funcționează Dropbox și cât costă

Cum funcționează Dropbox și cât costă

2024-12-24
Fix! Găsiți locația mea care nu se actualizează pe iOS 18

Fix! Găsiți locația mea care nu se actualizează pe iOS 18

2024-10-01
Cum să dezactivați Webrtc

Cum să dezactivați Webrtc

2025-09-30
Cum să organizezi un ecran Samsung?

Cum să organizezi un ecran Samsung?

2025-05-05
Inteligenţă artificială

Inteligenţă artificială

2025-03-09
Elon Musk pe AI: 80% șanse ale unui viitor bun, dar extincția umană este încă un risc

Elon Musk pe AI: 80% șanse ale unui viitor bun, dar extincția umană este încă un risc

2025-03-02
De ce ar trebui să vă asigurați rețeaua IoT

De ce ar trebui să vă asigurați rețeaua IoT

2025-02-18
Cum să remediați Appraiserres.dll care nu funcționează în Windows 11

Cum să remediați Appraiserres.dll care nu funcționează în Windows 11

2023-12-03
Cum se testează IPERF3 cu QoS pe Windows 11 sau 10

Cum se testează IPERF3 cu QoS pe Windows 11 sau 10

2025-02-20
Dead Pixel & Monitor Test

Dead Pixel & Monitor Test

2024-12-04