Collegamento a un dominio Active Directory fallisce dopo gli aggiornamenti di ottobre

• Business
• Patch management

Microsoft ha confermato l’esistenza di un problema segnalato da molti utenti aziendali: dopo l’installazione degli aggiornamenti di ottobre 2022 in alcuni casi non è più possibile collegare il PC a un dominio Active Directory.

La connessione Active Directory fallisce con la visualizzazione dell’errore 0xaac (2732) NERR_AccountReuseBlockedByPolicy. La descrizione dell’errore indica che esiste un account con lo stesso nome in Active Directory e che il riutilizzo dell’account è stato bloccato sulla base dei criteri di sicurezza impostati.

I tecnici dell’azienda di Redmond hanno spiegato che questo comportamento anomalo è figlio di una modifica applicata per correggere la vulnerabilità CVE-2022-38042 che consentirebbe agli aggressori di ottenere i privilegi di amministratore del dominio.

I controlli di sicurezza che vengono effettuati sugli account Active Directory esistenti possono impedirne l’utilizzo a meno che l’utente che tenta di accedere al dominio non disponga delle autorizzazioni di scrittura appropriate (ad esempio, l’utente è il creatore dell’account esistente o il computer è stato aggiunto da un amministratore di dominio). L’errore non compare per i nuovi account creati dopo l’installazione delle patch di ottobre.

Per risolvere l’errore NERR_AccountReuseBlockedByPolicy gli amministratori di Windows possono:

– Effettuare la connessione Active Directory utilizzando lo stesso account che adoperato per creare l’account del computer all’interno del dominio.
– Se l’account esistente è obsoleto (non più utilizzato) è possibile rimuoverlo prima di tentare un nuovo accesso sul dominio.
– Rinominare il computer e accedere utilizzando un account diverso che non esista già.

Sebbene si tratti di una procedura non consigliata da Microsoft, gli amministratori possono risolvere anche riutilizzando un account esistente di proprietà di un’entità di sicurezza attendibile e impostando temporaneamente una chiave di registro DWORD. Basta aprire prompt dei comandi con i diritti di amministratore sul singolo computer e digitare quanto segue:

reg add HKLM\System\CurrentControlSet\Control\Lsa /v NetJoinLegacyAccountReuse /t REG_DWORD /d 1 /f

Una volta che si sarà completato l’accesso al dominio Active Directory, la chiave dovrà essere immediatamente rimossa dal registro di Windows con il comando seguente:

reg delete HKLM\System\CurrentControlSet\Control\Lsa /v NetJoinLegacyAccountReuse /f

Lasciando in uso il valore NetJoinLegacyAccountReuse il sistema risulterebbe esposto alla vulnerabilità CVE-2022-38042 che Microsoft si è invece attivata per correggere.