![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
[English]Heute noch ein kurzer Informationssplitter, auf den mich ein Blog-Leser bereits im November 2024 hingewiesen hat. Wird ein Active Directory Domain-Hardening gem\u00e4\u00df Update KB5020276 durchgef\u00fchrt, kann es Probleme unter Windows 11 23H2 geben, so dass Active Directory Domain Computer ReJoin fehl schl\u00e4gt.<\/p>\n
<\/p>\n
Ich hatte 2022 im Blog-Beitrag\u00a0Windows Oktober 2022-Patchday: Fix f\u00fcr Domain Join Hardening (CVE-2022-38042) verhindert ggf. Domain-Join<\/a> \u00fcber Probleme in diesem Zusammenhang berichtet.\u00a0In den Windows-Updates, die am oder nach dem 13. August 2024 ver\u00f6ffentlicht wurden, will Microsoft alle bekannten Kompatibilit\u00e4tsprobleme mit der Allowlist-Richtlinie behoben haben. Au\u00dferdem wurde die Unterst\u00fctzung f\u00fcr den NetJoinLegacyAccountReuse<\/em> -Schl\u00fcssel entfernt. Das H\u00e4rtungsverhalten wird unabh\u00e4ngig von der Schl\u00fcsseleinstellung beibehalten.<\/p>\n Ein Blog-Leser hat mich im November 2024 per Mail kontaktiert und berichtet, dass es mit Windows 11 Probleme gebe, weil dort die GPOs nicht greifen.\u00a0Der Leser verlinkte auf den Beitrag Active Directory: Computer Account Re-Use Domain Join Policy<\/a> vom Juni 2024.<\/p>\n Dort beschreibt jemand ein Problem mit Domain ReJoin, der mit einem Fehler, dass \"Ein Konto mit demselben Namen existiert in Active Directory. Die Wiederverwendung des Kontos wurde durch die Sicherheitsrichtlinie blockiert.\" abgelehnt wurde. Um dieses Problem zu beheben, empfiehlt Microsoft jetzt die Verwendung einer neuen GPO-Einstellung.<\/p>\n Der Blog-Leser schreibt in seiner Mail: \"Hat man Windows 11, greift das AD GPO Setting nicht, soeben probiert … Ein Computer Rejoin sollte uns Admins nicht Kopfschmerzen machen, auch wenn hardening notwendiges \u00dcbel ist :(<\/em>\".<\/p>\n Im Umfeld des Lesers verwendet dieser die \"Server GPO\" ein –\u00a0 die zwar greift. Aber mit dem August 2024-Update wurde der \"Legacy\"-Registry-Eintrag deaktiviert, so dass dieser nicht mehr greift. Seit dieser Zeit funktioniert beim Blog-Leser absolut kein ReJoin mehr unter Windows 11 23H2. Nur noch Computerkonto l\u00f6schen, und frisch hinzuf\u00fcgen.<\/p>\n Bisher hat der Leser noch nicht gewagt, Windows 11 24H2 im Firmenumfeld in der Active Directory einzusetzen. In einer Nachtrags-Mail schrieb der Leser, dass in seinem geschilderten Falleine Kerberos Problematik \/ MTU-Einstellung der Grund zu sein scheint, die ganz seltsame Verhalten hervorruft.<\/p>\n Das gelte auch beim ReJoin und verursache diverse andere in den Log-Dateien nicht auffindbare Sachen, so dass die Ursache schwierig zu lokalisieren.\u00a0Bei einem tadellos laufenden AD Netzwerk konnte der Leser mit Windows 11 23H2 mit der GPO hingegen sauber rejoinen.<\/p>\n Das Problem ist beim Leser also nicht reproduzierbar. Frage an die Blog-Leserschaft: Hat noch jemand ein solches Verhalten beobachtet? Gibt es ggf. Hinweise, was ggf. falsch gemacht wurde. Der Leser schrieb: \"Vielleicht bin ich auch einfach zu bl\u00f6d um zu verstehen, was mit 'es muss der Owner des Computeraccounts eingegeben werden in der GPO, aber auf keinen Fall in die GPO lokale Gruppen oder User hinzuf\u00fcgen' gemeint ist?\"<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Heute noch ein kurzer Informationssplitter, auf den mich ein Blog-Leser bereits im November 2024 hingewiesen hat. Wird ein Active Directory Domain-Hardening gem\u00e4\u00df Update KB5020276 durchgef\u00fchrt, kann es Probleme unter Windows 11 23H2 geben, so dass Active Directory Domain Computer ReJoin … Weiterlesen Microsoft beschreibt im Supportbeitrag\u00a0KB5020276\u2014Netjoin: Domain join hardening changes<\/a> (Artikel wurde zum 13. August 2024 \u00fcberarbeitet) \u00c4nderungen, die wegen der Schwachstelle CVE-2022-38042 in den kumulativen Update-Paketen vom 11. Oktober 2022 f\u00fcr alle unterst\u00fctzten Betriebssysteme eingef\u00fchrt wurden.<\/p>\n
Windows 11 23H2 macht Probleme<\/h2>\n