ドメイン参加時に次のメッセージが表示されて、失敗することがある。

ドメイン “ドメイン名” に参加中に次のエラーが発生しました:
同じ名前のアカウントが Active Directory に存在します。
アカウントの再利用はセキュリティ ポリシーによってブロックされました。

または

ドメインに参加できません。詳しくは、IT 管理者に問い合わせてください。

原因は、2022年10月リリースの更新プログラムによる仕様変更。
コンピューターオブジェクトの作成者(所有者)と、ドメイン参加操作の実行者が異なると、ドメイン参加に失敗する。

KB5020276 – Netjoin: ドメイン参加のセキュリティ強化の変更
https://support.microsoft.com/ja-jp/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8

対策は5つ。重ねて実施可。

1. コンピューターオブジェクトの作成者(所有者)でドメイン参加操作を実行する。
2. ドメイン参加操作の実行者でコンピューターオブジェクトを作る。
3. コンピューターオブジェクトの所有者をドメイン参加操作の実行者に変える。
 例:Dsacls <Computer DN> /TakeOwnership
4. レジストリを操作してセキュリティ強化前の状態にする。
 キーのパス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
 値の名前:NetJoinLegacyAccountReuse
 データ型:REG_DWORD
 設定値:1 (強化前) ※新方式は 2
5. 更新プログラムをアンインストールする。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

Post Navigation