Hardening Windows : les mises à jour d’Octobre peuvent perturber l’ajout de PC au domaine Active Directory

Suite à l'installation des mises à jour d'octobre 2022, Microsoft affirme que vous pouvez rencontrer une erreur au moment d'ajouter une machine à votre domaine Active Directory. Ce problème affecte de nombreuses versions de Windows et se produit sous certaines conditions. Faisons le point.

Dans le but de corriger la faille de sécurité CVE-2022-38042 dans les services de domaine Active Directory, Microsoft a durci la configuration à l'occasion de la sortie des mises à jour d'Octobre 2022, avec le fameux Patch Tuesday. D'après Microsoft : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges d’administrateur de domaine."

Une fois le correctif installé, vous pouvez rencontrer des difficultés pour ajouter un ordinateur à votre domaine Active Directory. Ceci est lié aux changements apportés par la mise à jour : avec les protections supplémentaires, il n'est plus possible d'ajouter une machine au domaine si le compte ordinateur existe déjà dans le domaine Active Directory. Dans le cas où le nom d'ordinateur n'est pas déjà utilisé dans l'Active Directory, la machine pourra être ajoutée sans aucune difficulté.

Résultat, l'erreur "0xaac (2732): NERR_AccountReuseBlockedByPolicy" est générée au moment d'ajouter la machine au domaine, accompagné par la description suivante : "Un compte avec le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la politique de sécurité." - Microsoft en parle sur cette page.

Cela est une question d'autorisations, alors cela pourrait affecter vos déploiements de machines Windows. En effet, si vous utilisez un compte pour provisionner les comptes ordinateurs dans l'AD avant que l'image soit déployée, et que le compte utilisé ensuite pour joindre la machine au domaine pendant le déploiement n'est pas le même, cela posera problème.

Quelles sont les solutions ?

La désinstallation des mises à jour d'Octobre 2022 n'est pas réellement une solution pérenne. Pour éviter d'être confronté à ce problème, Microsoft donne les trois solutions suivantes (qui sont cohérentes, finalement) :

• Effectuez l'opération de jonction au domaine en utilisant le même compte qui a créé le compte ordinateur dans le domaine cible.
• Si le compte existant est inutilisé (machine HS et réinstallée, par exemple), supprimez-le avant de tenter à nouveau de joindre le domaine.
• Renommez l'ordinateur et effectuez la jonction au domaine en utilisant un nom de compte ordinateur qui n'est pas déjà utilisé

Même si ce n'est pas conseillé, Microsoft indique aussi que vous pouvez désactiver les nouvelles mesures de sécurité temporairement, le temps d'ajouter la machine au domaine. Sur le poste client, vous devez créer la valeur de Registre "NetJoinLegacyAccountReuse" (REG_DWORD) avec la valeur "1" à l'emplacement "HKLM\System\CurrentControlSet\Control\LSA". Une fois la machine dans le domaine, vous devez la supprimer.

• Voir la documentation de Microsoft

Les versions de Windows affectées

On peut considérer que l'ensemble des versions de Windows sont affectées puisque Microsoft donne la liste suivante :

• De Windows 7 SP1 à Windows 11 version 22H2, ce qui inclus donc toutes les versions de Windows 10
• De Windows Server 2008 SP2 à Windows Server 2022

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio