Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Sugerencia: Para ver el contenido nuevo o revisado de enero de 2024, consulte las etiquetas [Enero de 2024 - Inicio] y [Fin - Enero 2024] del artículo.

Resumen

Las actualizaciones de Windows publicadas el 11 de octubre de 2022 y posteriores contienen protecciones adicionales introducidas por CVE-2022-38042. Estas protecciones impiden intencionadamente que las operaciones de unión a dominios vuelvan a utilizar una cuenta de equipo existente en el dominio de destino a menos que:

  • El usuario que intenta realizar la operación es el creador de la cuenta existente.

    O bien

  • El equipo lo creó un miembro de los administradores de dominio.

    O bien

  • El propietario de la cuenta de equipo que se está reutilizando es un miembro del "controlador de dominio: Permitir que la cuenta del equipo se vuelva a usar durante la unión a un dominio". directiva de grupo configuración. Esta configuración requiere la instalación de actualizaciones de Windows publicadas el 14 de marzo de 2023 o después en TODOS los equipos miembros y controladores de dominio.

Novedades publicaron entre el 14 de marzo de 2023 y el 12 de septiembre de 2023, ofrecerán opciones adicionales para los clientes afectados en Windows Server 2012 R2 y posteriores y para todos los clientes admitidos. Para obtener más información, vea las secciones Comportamiento del 11 de octubre de 2022 y Tomar medidas

Comportamiento antes del 11 de octubre de 2022

Antes de instalar las actualizaciones acumulativas del 11 de octubre de 2022 o posteriores, el equipo cliente solicita a Active Directory una cuenta existente con el mismo nombre. Esta consulta se produce durante la unión a un dominio y el aprovisionamiento de cuentas de equipo. Si existe dicha cuenta, el cliente intentará volver a usarla automáticamente.

Nota: Se producirá un error en el intento de reutilización si el usuario que intenta la operación de unión al dominio no tiene los permisos de escritura adecuados. Sin embargo, si el usuario tiene permisos suficientes, la unión al dominio se realizará correctamente.

Hay dos escenarios para la unión a un dominio con respectivos comportamientos predeterminados y marcas como se indica a continuación:

Comportamiento del 11 de octubre de 2022 

Después de instalar las actualizaciones acumulativas del 11 de octubre de 2022 o posteriores de Windows en un equipo cliente, durante la unión a un dominio, el cliente realizará comprobaciones de seguridad adicionales antes de intentar volver a usar una cuenta de equipo existente. Algoritmo:

  1. Se permitirá el intento de reutilización de la cuenta si el usuario que intenta realizar la operación es el creador de la cuenta existente.

  2. Se permitirá el intento de reutilización de la cuenta si la cuenta fue creada por un miembro de administradores de dominio.

Estas comprobaciones de seguridad adicionales se realizan antes de intentar unirse al equipo. Si las comprobaciones se realizan correctamente, el resto de la operación de unión está sujeto a los permisos de Active Directory como antes.

Este cambio no afecta a las cuentas nuevas.

Nota Después de instalar el 11 de octubre de 2022 o las actualizaciones acumulativas de Windows posteriores, la unión a un dominio con la reutilización de la cuenta del equipo podría provocar un error intencionado con el siguiente error:

Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Existe una cuenta con el mismo nombre en Active Directory. Volver a usar la cuenta está bloqueado por la directiva de seguridad".

Si es así, la cuenta está protegida intencionadamente por el nuevo comportamiento.

El id. de evento 4101 se activará una vez que se produzca el error anterior y el problema se registrará en c:\windows\debug\netsetup.log. Siga los pasos que se indican a continuación en Tomar medidas para comprender el error y resolver el problema.

Comportamiento del 14 de marzo de 2023

En las actualizaciones de Windows publicadas el 14 de marzo de 2023 o después, hemos realizado algunos cambios en el endurecimiento de la seguridad. Estos cambios incluyen todos los cambios que hicimos en el 11 de octubre de 2022.

En primer lugar, ampliamos el ámbito de los grupos que están exentos de este endurecimiento. Además de los administradores de dominio, los administradores de empresa y los grupos administradores integrados ahora están exentos de la comprobación de propiedad.

En segundo lugar, implementamos una nueva configuración de directiva de grupo. Los administradores pueden usarlo para especificar una lista de permitidos de propietarios de cuentas de equipo de confianza. La cuenta del equipo omitirá la comprobación de seguridad si se cumple alguna de las siguientes condiciones:

  • La cuenta es propiedad de un usuario especificado como propietario de confianza en el directiva de grupo "Controlador de dominio: Permitir que la cuenta del equipo vuelva a usarse durante la unión al dominio".

  • La cuenta es propiedad de un usuario que es miembro de un grupo especificado como propietario de confianza en el directiva de grupo "Controlador de dominio: Permitir que la cuenta del equipo vuelva a usarse durante la unión a un dominio".

Para usar esta nueva directiva de grupo, el controlador de dominio y el equipo miembro deben tener siempre instalada la actualización del 14 de marzo de 2023 o posterior. Es posible que algunos de ustedes tengan cuentas particulares que usa en la creación automatizada de cuentas de equipo. Si estas cuentas están protegidas frente al abuso y confía en ellas para crear cuentas de equipo, puede excluirlas. Seguirás estando seguro frente a la vulnerabilidad original mitigada por las actualizaciones de Windows del 11 de octubre de 2022.

Comportamiento del 12 de septiembre de 2023

En las actualizaciones de Windows publicadas el 12 de septiembre de 2023 o después, hemos realizado algunos cambios adicionales en el endurecimiento de la seguridad. Estos cambios incluyen todos los cambios que hicimos en el 11 de octubre de 2022 y los cambios del 14 de marzo de 2023.

Se ha resuelto un problema por el que no se pudo realizar la unión a un dominio mediante la autenticación de tarjeta inteligente, independientemente de la configuración de la directiva. Para solucionar este problema, hemos movido las comprobaciones de seguridad restantes de nuevo al controlador de dominio. Por lo tanto, después de la actualización de seguridad de septiembre de 2023, los equipos cliente realizan llamadas SAMRPC autenticadas al controlador de dominio para realizar comprobaciones de validación de seguridad relacionadas con la reutilización de cuentas de equipo.

Sin embargo, esto puede provocar errores en la unión a un dominio en entornos donde se establece la siguiente directiva: Acceso de red: Restringir los clientes que pueden realizar llamadas remotas a SAM.  Consulte la sección "Problemas conocidos" para obtener información sobre cómo resolver este problema.

También tenemos previsto quitar la configuración original del Registro NetJoinLegacyAccountReuse en una futura actualización de Windows. [Enero de 2024 - Inicio]Esta eliminación está programada provisionalmente para la actualización del 13 de agosto de 2024. Las fechas de lanzamiento están sujetas a cambios. [Fin - enero de 2024]

Nota: Si implementó la clave NetJoinLegacyAccountReuse en sus clientes y la estableció en el valor 1, ahora debe quitar esa clave (o establecerla en 0) para beneficiarse de los últimos cambios. 

Tomar medidas

Configure la nueva directiva de lista de permitidos con la directiva de grupo en un controlador de dominio y quite las soluciones alternativas heredadas del lado cliente. A continuación, haz lo siguiente:

  1. Debe instalar las actualizaciones del 12 de septiembre de 2023 o posteriores en todos los equipos miembros y controladores de dominio. 

  2. En una directiva de grupo nueva o existente que se aplique a todos los controladores de dominio, configure las opciones en los pasos siguientes.

  3. En Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad, haz doble clic en Controlador de dominio: Permitir que la cuenta del equipo vuelva a usarse durante la unión al dominio.

  4. Seleccione Definir esta configuración de directiva y <Editar seguridad...>.

  5. Use el selector de objetos para agregar usuarios o grupos de creadores y propietarios de cuentas de equipo de confianza al permiso Permitir . (Como procedimiento recomendado, se recomienda encarecidamente usar grupos para permisos). No agregue la cuenta de usuario que realiza la unión al dominio.

    Advertencia: Limite la pertenencia a la directiva a usuarios de confianza y cuentas de servicio. No agregue usuarios autenticados, a todos los usuarios ni a otros grupos grandes a esta directiva. En su lugar, agregue usuarios de confianza específicos y cuentas de servicio a grupos y agregue esos grupos a la directiva.

  6. Espere el intervalo de actualización de directiva de grupo o ejecute gpupdate /force en todos los controladores de dominio.

  7. Comprueba que la clave del Registro HKLM\System\CCS\Control\SAM: "ComputerAccountReuseAllowList" se rellena con el SDDL deseado. No edite manualmente el Registro.

  8. Intente unirse a un equipo que tenga instaladas las actualizaciones del 12 de septiembre de 2023 o posteriores. Asegúrese de que una de las cuentas enumeradas en la directiva es la propietaria de la cuenta de equipo. Asegúrese también de que su registro no tiene habilitada la clave NetJoinLegacyAccountReuse (establecida en 1). Si se produce un error en la unión al dominio, compruebe c:\windows\debug\netsetup.log.

Si aún necesita una solución alternativa, revise los flujos de trabajo de aprovisionamiento de cuentas de equipo y comprenda si se necesitan cambios. 

  1. Realice la operación de combinación con la misma cuenta que creó la cuenta de equipo en el dominio de destino.

  2. Si la cuenta existente está obsoleta (sin usar), elimínela antes de intentar unirse de nuevo al dominio.

  3. Cambie el nombre del equipo y únase con una cuenta diferente que aún no existe.

  4. Si la cuenta existente es propiedad de una entidad de seguridad de confianza y un administrador quiere volver a usar la cuenta, siga las instrucciones de la sección Tomar medidas para instalar las actualizaciones de Windows de septiembre de 2023 o posteriores y configurar una lista de permitidos.

Instrucciones importantes para usar la clave del Registro NetJoinLegacyAccountReuse

Precaución: Si elige establecer esta clave para solucionar estas protecciones, dejará su entorno vulnerable a CVE-2022-38042 a menos que se haga referencia a su escenario a continuación según corresponda. No use este método sin la confirmación de que el creador o el propietario del objeto de equipo existente es una entidad de seguridad segura y de confianza. 

Debido a la nueva directiva de grupo, ya no debería usar la clave del Registro NetJoinLegacyAccountReuse. [Enero de 2024 - Inicio]Conservaremos la clave durante los próximos meses en caso de que necesite soluciones alternativas. [Fin - enero de 2024]Si no puede configurar el nuevo GPO en su escenario, le recomendamos que se pongan en contacto con Soporte técnico de Microsoft.

Ruta de acceso

HKLM\System\CurrentControlSet\Control\LSA

Tipo

REG_DWORD

Nombre

NetJoinLegacyAccountReuse

Valor

1

Se pasan por alto otros valores.

Nota Microsoft quitará la compatibilidad con la configuración del Registro NetJoinLegacyAccountReuse en una futura actualización de Windows. [Enero de 2024 - Inicio]Esta eliminación está programada provisionalmente para la actualización del 13 de agosto de 2024. Las fechas de lanzamiento están sujetas a cambios. [Fin - enero de 2024]

No disolución

  • Después de instalar las actualizaciones del 12 de septiembre de 2023 o posteriores en los equipos Y clientes del entorno, no use el registro NetJoinLegacyAccountReuse . En su lugar, siga los pasos de Tomar medida para configurar el nuevo GPO. 

  • No agregue cuentas de servicio ni cuentas de aprovisionamiento al grupo de seguridad Administradores de dominio.

  • No edite manualmente el descriptor de seguridad de las cuentas de equipo para volver a definir la propiedad de dichas cuentas, a menos que se haya eliminado la cuenta de propietario anterior. Al editar el propietario, se habilitarán las nuevas comprobaciones para que se realicen correctamente, es posible que la cuenta del equipo conserve los mismos permisos potencialmente arriesgados y no deseados para el propietario original a menos que se revisen y quiten explícitamente.

  • No agregue la clave del Registro NetJoinLegacyAccountReuse a las imágenes del sistema operativo base, ya que solo debe agregarse temporalmente y quitarse directamente después de que se complete la unión al dominio.

Registros de eventos nuevos

Registro de eventos

SISTEMA
 

Origen del evento

Netjoin

Id. del evento

4100

Tipos de eventos

Informativo

Texto del evento

"Durante la unión a un dominio, el controlador de dominio contactado encontró una cuenta de equipo existente en Active Directory con el mismo nombre.

Se permitió un intento de volver a usar esta cuenta.

Controlador de dominio buscado: <nombre de controlador de dominio>DN cuenta de equipo existente: <ruta de acceso DN de> de cuenta de equipo. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obtener más información.

Registro de eventos

SYSTEM

Origen del evento

Netjoin

Id. del evento

4101

Tipos de eventos

Error

Texto del evento

Durante la unión a un dominio, el controlador de dominio contactado encontró una cuenta de equipo existente en Active Directory con el mismo nombre. Se ha impedido un intento de volver a usar esta cuenta por motivos de seguridad. Controlador de dominio buscado: DN de cuenta de equipo existente: el código de error se <código de error>. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obtener más información.

El registro de depuración está disponible de forma predeterminada (no es necesario habilitar ningún registro detallado) en C:\Windows\Debug\netsetup.log en todos los equipos cliente.

Ejemplo del registro de depuración generado cuando se impide la reutilización de la cuenta por razones de seguridad:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nuevos eventos agregados en marzo de 2023 

Esta actualización agrega cuatro (4) eventos nuevos en el registro system en el controlador de dominio como sigue:

Nivel de evento

Informativo

Id. de evento

16995

Log

SYSTEM

Origen del evento

Servicios de directorio-SAM

Texto del evento

El administrador de cuentas de seguridad usa el descriptor de seguridad especificado para la validación de intentos de reutilización de la cuenta del equipo durante la unión a un dominio.

Valor SDDL: <> de cadena SDDL

Esta lista de permitidos se configura a través de la directiva de grupo en Active Directory.

Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145.

Nivel de evento

Error

Id. de evento

16996

Log

SYSTEM

Origen del evento

Servicios de directorio-SAM

Texto del evento

El descriptor de seguridad que contiene la lista de permitidos de la cuenta de equipo que se usa para validar la unión a un dominio de solicitudes de cliente tiene un formato incorrecto.

Valor SDDL: <> de cadena SDDL

Esta lista de permitidos se configura a través de la directiva de grupo en Active Directory.

Para corregir este problema, un administrador deberá actualizar la directiva para establecer este valor en un descriptor de seguridad válido o deshabilitarlo.

Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145.

Nivel de evento

Error

Id. de evento

16997

Log

SYSTEM

Origen del evento

Servicios de directorio-SAM

Texto del evento

El administrador de cuentas de seguridad encontró una cuenta de equipo que parece huérfana y no tiene un propietario existente.

Cuenta de equipo: S-1-5-xxx

Propietario de la cuenta de equipo: S-1-5-xxx

Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145.

Nivel de evento

Advertencia

Id. de evento

16998

Log

SYSTEM

Origen del evento

Servicios de directorio-SAM

Texto del evento

El administrador de cuentas de seguridad rechazó una solicitud de cliente para volver a usar una cuenta de equipo durante la unión a un dominio.

La cuenta del equipo y la identidad del cliente no cumplían las comprobaciones de validación de seguridad.

Cuenta de cliente: S-1-5-xxx

Cuenta de equipo: S-1-5-xxx

Propietario de la cuenta de equipo: S-1-5-xxx

Compruebe los datos del registro de este evento para el código de error NT.

Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145.

Si es necesario, netsetup.log puede proporcionar más información. Vea el ejemplo siguiente de un equipo de trabajo.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Problemas conocidos

Problema 1

Después de instalar las actualizaciones del 12 de septiembre de 2023 o posteriores, es posible que se produzca un error en la unión a un dominio en entornos donde se establezca la siguiente directiva: Acceso a la red - Restringir los clientes que pueden realizar llamadas remotas a SAM - Seguridad de Windows | Microsoft Learn. Esto se debe a que los equipos cliente ahora realizan llamadas SAMRPC autenticadas al controlador de dominio para realizar comprobaciones de validación de seguridad relacionadas con la reutilización de cuentas de equipo.
    
Esto es lo esperado. Para dar cabida a este cambio, los administradores deben mantener la directiva SAMRPC del controlador de dominio en la configuración predeterminada O incluir explícitamente el grupo de usuarios que realiza la unión al dominio en la configuración de SDDL para concederles permiso. 

Ejemplo de un netsetup.log en el que se produjo este problema:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problema 2

Si se ha eliminado la cuenta del propietario del equipo y se intenta volver a usar la cuenta del equipo, se registrará el evento 16997 en el registro de eventos del sistema. Si esto ocurre, es correcto volver a asignar la propiedad a otra cuenta o grupo.

Problema 3

Si solo el cliente tiene la actualización del 14 de marzo de 2023 o posterior, la comprobación de la directiva de Active Directory devolverá 0x32 STATUS_NOT_SUPPORTED. Las comprobaciones anteriores que se implementaron en las revisiones de noviembre se aplicarán como se muestra a continuación:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×