KB5020276— Netjoin: שינויי הקשת הצטרפות לתחום

סיכום

עדכוני Windows שהופצו ב- 11 באוקטובר 2022 ולאחר מכן מכילים הגנות נוספות שהוצגו על-ידי CVE-2022-38042. הגנות אלה מונעות במכוון מפעולות צירוף תחום לעשות שימוש חוזר בחשבון מחשב קיים בתחום היעד, אלא אם:

המשתמש שינסה לבצע את הפעולה הוא היוצר של החשבון הקיים.

‏‏או
המחשב נוצר על-ידי חבר של מנהלי תחום.

‏‏או

הבעלים של חשבון המחשב שבו נעשה שימוש חוזר הוא חבר ב"בקר תחום: אפשר שימוש חוזר בחשבון מחשב במהלך הצטרפות לתחום". מדיניות קבוצתית הגדרה. הגדרה זו מחייבת התקנה של עדכוני Windows שהופצו ב- 14 במרץ 2023 או לאחר מכן, בכל המחשבים החברים ובבקרי התחום.

עדכונים פורסם ב- 14 במרץ 2023 וב- 12 בספטמבר 2023 ולאחר מכן יספקו אפשרויות נוספות עבור לקוחות מושפעים ב- Windows Server 2012 R2 ואילך וכל הלקוחות הנתמכים. לקבלת מידע נוסף, עיין בסעיפים אופן הפעולה של 11 באוקטובר 2022 ופעולה .

אופן פעולה לפני 11 באוקטובר 2022

לפני שתתקין את העדכונים המצטברים של 11 באוקטובר, 2022 או מאוחר יותר, מחשב הלקוח ישאילתת Active Directory עבור חשבון קיים בעל שם זהה. שאילתה זו מתרחשת במהלך הצטרפות לתחום והקצאת חשבון מחשב. אם קיים חשבון כזה, הלקוח ינסה לעשות בו שימוש חוזר באופן אוטומטי.

הערה הניסיון לעשות שימוש חוזר ייכשל אם למשתמש שינסה לבצע את פעולת ההצטרפות לתחום אין הרשאות כתיבה מתאימות. עם זאת, אם למשתמש יש מספיק הרשאות, ההצטרפות לתחום תצליח.

קיימים שני תרחישים עבור הצטרפות לתחום עם אופני פעולה ודגגלים המוגדרים כברירת מחדל באופן הבא:

הצטרפות לתחום (NetJoinDomain)
- ברירות מחדל לעשות שימוש חוזר בחשבון ( אלא NETSETUP_NO_ACCT_REUSE צוין דגל)
הקצאת חשבונות (NetProvisionComputerAccountNetCreateProvisioningPackage).
- ברירות מחדל ללא שימוש חוזר ( אלא NETSETUP_PROVISION_REUSE_ACCOUNT צוין).

אופן פעולה של 11 באוקטובר 2022

לאחר התקנת העדכונים המצטברים של Windows ב- 11 באוקטובר 2022 או מאוחר יותר במחשב לקוח, במהלך הצטרפות לתחום, הלקוח יבצע בדיקות אבטחה נוספות לפני שתנסה לעשות שימוש חוזר בחשבון מחשב קיים. אלגוריתם:

ניסיון שימוש חוזר בחשבון יורשה אם המשתמש שינסה לבצע את הפעולה הוא היוצר של החשבון הקיים.
ניסיון שימוש חוזר בחשבון יורשה אם החשבון נוצר על-ידי חבר בקבוצת מנהלי תחום.

פעולות אלה של בדיקת אבטחה נוספות מתבצעות לפני שתנסה להצטרף למחשב. אם ההבדקות מצליחות, שאר פעולת הצירוף כפופה להרשאות Active Directory כפי שצוין קודם לכן.

שינוי זה אינו משפיע על חשבונות חדשים.

הערה לאחר התקנת העדכונים המצטברים של Windows ב- 11 באוקטובר 2022 או מאוחר יותר, הצטרפות לתחום עם חשבון מחשב עשויה להיכשל במכוון עם השגיאה הבאה:

שגיאה 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "חשבון בעל שם זהה קיים ב- Active Directory. שימוש מחדש בחשבון נחסם על-ידי מדיניות האבטחה."

אם כן, החשבון מוגן במכוון על-ידי אופן הפעולה החדש.

מזהה אירוע 4101 יופעל לאחר שהשגיאה לעיל מתרחשת והבעיה תירשם ב - c:\windows\debug\netsetup.log. בצע את השלבים שלהלן בסעיף הפעולה כדי להבין את הכשל ולפתור את הבעיה.

אופן פעולה של 14 במרץ 2023

בעדכונים של Windows שהופצו ב- 14 במרץ 2023 או לאחר מכן, ביצענו כמה שינויים בהת הקשיחות של האבטחה. שינויים אלה כוללים את כל השינויים שביצענו ב- 11 באוקטובר 2022.

תחילה, הרחבנו את טווח הקבוצות הפטורות מההתרחבות. בנוסף למנהלי תחום, מנהלי ארגון וקבוצות מנהלי מערכת מוכללים פטורים כעת מבדיקת הבעלות.

שנית, יישמנו הגדרה מדיניות קבוצתית חדשה. מנהלי מערכת יכולים להשתמש בו כדי לציין רשימת אישורים של בעלי חשבונות מחשב מהימנים. חשבון המחשב יעקוף את בדיקת האבטחה אם מתקיים אחד מהתנאים הבאים:

החשבון נמצא בבעלות משתמש שצוין כבעלים מהימן ב"בקר תחום: אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום" מדיניות קבוצתית.
החשבון נמצא בבעלות משתמש שהוא חבר בקבוצה שצוינה כבעלים מהימן ב"בקר התחום: אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום" מדיניות קבוצתית.

כדי להשתמש בעדכון מדיניות קבוצתית זה, בקר התחום והמחשב החבר חייבים להיות מותקנים באופן עקבי ב- 14 במרץ, 2023 או בעדכון מאוחר יותר. ייתכן של חלקכם יש חשבונות מסוימים שבהם אתה משתמש ביצירת חשבון מחשב אוטומטי. אם חשבונות אלה בטוחים מפני שימוש לרעה ואתה נותן בהם אמון ליצור חשבונות מחשב, באפשרותך לפטור אותם. עדיין תהיה מאובטח מפני הפגיעות המקורית שנ להפחית עד 11 באוקטובר 2022, עדכוני Windows.

^{אופן הפעולה של 12 בספטמבר 2023}

בעדכוני Windows שהופצו ב- 12 בספטמבר 2023 או לאחר מכן, ביצענו כמה שינויים נוספים בחומרת האבטחה. שינויים אלה כוללים את כל השינויים שביצענו ב- 11 באוקטובר 2022 ואת השינויים החל מ- 14 במרץ 2023.

טופלה בעיה שבה הצטרפות לתחום באמצעות אימות כרטיס חכם נכשלה ללא קשר להגדרת המדיניות. כדי לפתור בעיה זו, העברנו את יתר בדיקת האבטחה בחזרה לבקר התחום. לכן, לאחר עדכון האבטחה של ספטמבר 2023, מחשבי לקוח מבצעים שיחות SAMRPC מאומתות לבקר התחום כדי לבצע בדיקות אימות אבטחה הקשורות לשימוש חוזר בחשבונות מחשב.

עם זאת, הדבר עלול לגרום להצטרפות לתחום להיכשל בסביבות שבהן מוגדרת המדיניות הבאה: גישה לרשת: הגבלת לקוחות המורשים לבצע שיחות מרוחקות ל- SAM. עיין בסעיף 'בעיות ידועות' לקבלת מידע על האופן שבו ניתן לפתור בעיה זו.

בכוונתנו גם להסיר את הגדרת הרישום המקורית של NetJoinLegacyAccountReuse בעדכון Windows עתידי. [ינואר 2024 - התחלה]הסרה זו מתוזמנת באופן לא סופי לעדכון מתאריך 13 באוגוסט 2024. תאריכי ההפצה כפופים לשינויים. [סיום - ינואר 2024]

הערה אם פרוסת את המפתח NetJoinLegacyAccountReuse במחשבים שלך והגדרת אותו לערך 1, עליך להסיר מפתח זה (או להגדיר אותו ל- 0) כדי ליהנות מהשינויים האחרונים.

בצע פעולה

קבע את התצורה של מדיניות רשימת ההיתרים החדשה באמצעות מדיניות קבוצתית בבקר תחום והסר את כל הפתרונות בצד הלקוח מדור קודם. לאחר מכן, בצע את הפעולות הבאות:

עליך להתקין את העדכונים של 12 בספטמבר 2023 ואילך בכל המחשבים החברים ובקרי התחום.
במדיניות קבוצתית חדשה או קיימת שחלה על כל בקרי התחום, קבע את תצורת ההגדרות בשלבים הבאים.
תחת תצורת מחשב\מדיניות\הגדרות Windows\הגדרות אבטחה\פריטי מדיניות מקומיים\אפשרויות אבטחה, לחץ פעמיים על בקר תחום : אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום.
בחר הגדר הגדרת מדיניות זו <ערוך אבטחה...>.
השתמש ב'בורר האובייקטים' כדי להוסיף משתמשים או קבוצות של יוצרים ובעלים של חשבונות מחשב מהימנים להרשאות 'אפשר '. (כשם העבודה המומלצת, אנו ממליצים מאוד להשתמש בקבוצות לקבלת הרשאות.) אל תוסיף את חשבון המשתמש שמבצע את הצטרפות התחום.

אזהרה: הגבל את החברות למדיניות למשתמשים מהימנים ולחשבונות שירות. אל תוסיף משתמשים מאומתים, כל אחד או קבוצות גדולות אחרות למדיניות זו. במקום זאת, הוסף לקבוצות משתמשים וחשבונות שירות מהימנים ספציפיים והוסף קבוצות אלה למדיניות.
המתן לקבלת מרווח מדיניות קבוצתית או הפעל את gpupdate /force בכל בקרי התחום.
ודא שמפתח הרישום HKLM\System\CCS\Control\SAM – מפתח הרישום "ComputerAccountReuseAllowList" מאוכלס ב- SDDL הרצוי. אל תערוך את הרישום באופן ידני.
נסה להצטרף למחשב שבו מותקנים העדכונים של 12 בספטמבר 2023 ואילך. ודא כי אחד החשבונות המפורטים במדיניות הוא הבעלים של חשבון המחשב. כמו כן, ודא שמפתח NetJoinLegacyAccountReuse אינו זמין ברישום שלו (מוגדר ל- 1). אם הצטרפות התחום נכשלת, בדוק את c:\windows\debug\netsetup.log.

אם אתה עדיין זקוק לעקיפת הבעיה החלופית, סקור את זרימות העבודה להקצאת חשבונות מחשב ובדוק אם נדרשים שינויים.

בצע את פעולת ההצטרפות באמצעות אותו חשבון שיצר את חשבון המחשב בתחום היעד.
אם החשבון הקיים מיושמע (לא בשימוש), מחק אותו לפני שתנסה שוב להצטרף לתחום.
שנה את שם המחשב והצטרף באמצעות חשבון אחר שאינו קיים כבר.
אם החשבון הקיים נמצא בבעלות מנהל אבטחה מהימן ומנהל מערכת מעוניין לעשות שימוש חוזר בחשבון, בצע את ההנחיות בסעיף 'בצע פעולה' כדי להתקין את עדכוני Windows בספטמבר 2023 ואילך וקבע תצורה של רשימת התרה.

הדרכה חשובה לשימוש במפתח הרישום NetJoinLegacyAccountReuse

זהירות: אם תבחר להגדיר מפתח זה לעקוף הגנות אלה, תשאיר את הסביבה שלך חשופה ל- CVE-2022-38042, אלא אם כן תתבצע הפניה לתרחיש שלך להלן, לפי הצורך. אל תשתמש בשיטה זו ללא אישור כי היוצר/הבעלים של אובייקט המחשב הקיים הוא מנהל אבטחה מאובטח ומהימן.

עקב הפעולות מדיניות קבוצתית, אין עוד להשתמש במפתח הרישום NetJoinLegacyAccountReuse. [ינואר 2024 - התחלה]אנו שומרים על המפתח עבור החודשים הבאים למקרה שת זקוק לפתרונות. [סיום - ינואר 2024]אם אין באפשרותך להגדיר את ה- GPO החדש בתרחיש שלך, אנו ממליצים מאוד ליצור קשר עם התמיכה של Microsoft.

נתיב	HKLM\System\CurrentControlSet\Control\LSA
סוג	REG_DWORD
שם	NetJoinLegacyAccountReuse
‏‏ערך	1 הפונקציה מתעלמת מערכים אחרים.

הערהMicrosoft תסיר תמיכה עבור הגדרת הרישום NetJoinLegacyAccountReuse בעדכון Windows עתידי. [ינואר 2024 - התחלה]הסרה זו מתוזמנת באופן לא סופי לעדכון מתאריך 13 באוגוסט 2024. תאריכי ההפצה כפופים לשינויים. [סיום - ינואר 2024]

Nonsolutions

לאחר התקנת עדכונים ב- 12 בספטמבר 2023 או בעדכונים מאוחרים יותר במחשבי PC ובהלקוחות בסביבה, אל תשתמש ברישום NetJoinLegacyAccountReuse . במקום זאת, בצע את השלבים המפורטים בפעולה כדי לקבוע את תצורת ה- GPO החדש.
אל תוסיף חשבונות שירות או תקצה חשבונות לקבוצת האבטחה Domain Admins.
אל תערוך באופן ידני את מתאר האבטחה בחשבונות מחשב בניסיון להגדיר מחדש את הבעלות על חשבונות אלה, אלא אם חשבון הבעלים הקודם נמחק. על אף שעריכת הבעלים תאפשר לבדיקה החדשה להצליח, חשבון המחשב עשוי לשמור על אותן הרשאות שעלולות להיות מסתכן ולא רצויות עבור הבעלים המקורי, אלא אם כן נבדק והוסר במפורש.
אל תוסיף את מפתח הרישום NetJoinLegacyAccountReuse לתמונות מערכת הפעלה בסיסיות מכיוון שיש להוסיף את המפתח באופן זמני בלבד ולאחר מכן להסיר אותו ישירות לאחר השלמת ההצטרפות לתחום.

יומני אירועים חדשים

יומן אירועים	מערכת
מקור האירוע	תשובת תשובות
מזהה האירוע	4100
סוג אירוע	אינפורמטיבי
טקסט אירוע	"במהלך הצטרפות לתחום, בקר התחום פנה מצא חשבון מחשב קיים ב- Active Directory בשם זהה. הותר ניסיון להשתמש מחדש בחשבון זה. בקר תחום שבו חפשו: <שם בקר התחום>DN של חשבון מחשב קיים: <DN של חשבון>. ראה https://go.microsoft.com/fwlink/?linkid=2202145 לקבלת מידע נוסף.

יומן אירועים	מערכת
מקור האירוע	תשובת תשובות
מזהה האירוע	4101
סוג אירוע	שגיאה
טקסט אירוע	במהלך הצטרפות לתחום, בקר התחום פנה מצא חשבון מחשב קיים ב- Active Directory בשם זהה. הניסיון להשתמש מחדש בחשבון זה נמנע מסיבות אבטחה. בקר תחום שבו התבצע חיפוש: DN של חשבון מחשב קיים: קוד השגיאה <קוד>. ראה https://go.microsoft.com/fwlink/?linkid=2202145 לקבלת מידע נוסף.

רישום באגים זמין כברירת מחדל (אין צורך להפוך רישום מילולי לזמין) ב- C:\Windows\Debug\netsetup.log בכל מחשבי הלקוח.

דוגמה לרישום איתור באגים שנוצר כאשר השימוש מחדש בחשבון נמנע מסיבות אבטחה:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

אירועים חדשים שנוספו במרץ 2023

עדכון זה מוסיף ארבעה (4) אירועים חדשים ביומן המערכת בבקר התחום באופן הבא:

רמת אירוע	אינפורמטיבי
מזהה אירוע	16995
יומן	מערכת
מקור האירוע	Directory-Services-SAM
טקסט אירוע	מנהל חשבון האבטחה משתמש במת מתאר האבטחה שצוין לאימות ניסיונות שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום. ערך SDDL: <מחרוזת SDDL> רשימת התרות זו מוגדרת באמצעות מדיניות קבוצתית ב- Active Directory. לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145.

רמת אירוע	שגיאה
מזהה אירוע	16996
יומן	מערכת
מקור האירוע	Directory-Services-SAM
טקסט אירוע	מתאר האבטחה המכיל את רשימת התראות לשימוש מחדש בחשבון המחשב המשמש לאימות הצטרפות לתחום של בקשות לקוח פגום. ערך SDDL: <מחרוזת SDDL> רשימת התרות זו מוגדרת באמצעות מדיניות קבוצתית ב- Active Directory. כדי לפתור בעיה זו, מנהל מערכת יצטרכו לעדכן את המדיניות כדי להגדיר ערך זה מתאר אבטחה חוקי או להפוך אותו ללא זמין. לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145.

רמת אירוע	שגיאה
מזהה אירוע	16997
יומן	מערכת
מקור האירוע	Directory-Services-SAM
טקסט אירוע	מנהל חשבון האבטחה מצא חשבון מחשב שרשום כי הוא מיותם, ללא בעלים קיים. חשבון מחשב: S-1-5-xxx בעלי חשבון מחשב: S-1-5-xxx לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145.

רמת אירוע	שלט אזהרה
מזהה אירוע	16998
יומן	מערכת
מקור האירוע	Directory-Services-SAM
טקסט אירוע	מנהל חשבון האבטחה דחה בקשת לקוח לשימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום. חשבון המחשב וזהות הלקוח לא עומדים בבדיקת אימות האבטחה. חשבון לקוח: S-1-5-xxx חשבון מחשב: S-1-5-xxx בעלי חשבון מחשב: S-1-5-xxx בדוק את נתוני הרשומה של אירוע זה עבור קוד שגיאת NT. לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145.

במידת הצורך, netsetup.log יכול לתת מידע נוסף. עיין בדוגמה שלהלן ממחשב עבודה.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

בעיות ידועות

בעיה 1

לאחר התקנת העדכונים של 12 בספטמבר 2023 ואילך, הצטרפות לתחום עלולה להיכשל בסביבות שבהן מוגדרת המדיניות הבאה: גישה לרשת - הגבלת לקוחות המותרים לבצע שיחות מרוחקות ל- SAM - אבטחת Windows | Microsoft Learn. זאת משום שמחשבי לקוח מבצעים כעת שיחות SAMRPC מאומתות לבקר התחום כדי לבצע בדיקות אימות אבטחה הקשורות לשימוש חוזר בחשבונות מחשב.

פעולה זו צפויה. כדי להתאים לשינוי זה, מנהלי מערכת צריכים לשמור את מדיניות SAMRPC של בקר התחום בהגדרות ברירת המחדל או לכלול במפורש את קבוצת המשתמשים שמבצעת את הצטרפות התחום בהגדרות SDDL כדי להעניק להם הרשאה.

דוגמה מ- netsetup.log שבו אירעה בעיה זו:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

בעיה 2

אם חשבון בעלי המחשב נמחק וניסיון לעשות שימוש חוזר בחשבון המחשב מתרחש, האירוע 16997 יירשם ביומן האירועים של המערכת. במקרה כזה, זה בסדר להקצות מחדש בעלות לחשבון או לקבוצה אחרים.

בעיה 3

אם רק ללקוח יש את העדכון מ- 14 במרץ 2023 ואילך, בדיקת המדיניות של Active Directory תחזיר 0x32 STATUS_NOT_SUPPORTED. ההבדקות הקודמות שהושמו בתיקונים חמים של נובמבר יחולו כפי שמוצג להלן:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac