0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

KB5020276 - Netjoin: ドメイン参加の強化の変更

Posted at

今更なんですが 10 月の累積セキュリティ更新プログラムを適用後に起こる、コンピューターのドメイン参加時の動作について書きたいと思います。

2022 年 10 月以降の累積更新プログラム適用後のドメイン参加時の動作

公開情報はこちら。

記載している内容が少しわかりにくいので要約して書きますと、10 月以降の累積セキュリティ更新プログラムをクライアントに適用すると、Active Directory 上に事前にコンピューター アカウントが存在する場合、ドメインへの参加が失敗するようになります。
ただし、以下のケースでは例外としてドメイン参加が許可されるようになります。
・コンピューター アカウントの所有者がドメイン管理者の場合
・コンピューター アカウントの所有者がドメイン参加を行おうとしているユーザーと同一の場合

事前にコンピューター アカウントを作成しておいて、ユーザーにドメイン参加させるような運用をされている環境もあるのではないかと思いますが、この運用を行っている場合、例えばこのコンピューター アカウントの作成作業を Account Operator などの権限のユーザーで行っている場合、上記例外に合致しない形となり、ユーザー側でのドメイン参加ができなくなるという事態が発生します。

あまり良い表現ではないですが、コンピューター アカウントを事前にセキュリティが強固な GPO を設定している OU 上に作成しようとしていて、アカウント作成についても厳密に権限を与えて実施している環境ほど罠にはまりやすい動作変更のようです。
ただ、KB5020276 の中に記載されているレジストリを使った回避策は、公開情報にも記載されていますが CVE-2022-38042 に対する脆弱性を残したままになるため、個人的にはおすすめしないです。

公開情報の内容的には CVE-2022-38042 対策として実施された動作変更であり、意図した動作変更のように思われるのですが、以下の Windows Release Health をみると既知の問題の中に記載されており、今後の取り扱いについては注視しておいたほうがいい内容のものではないかと思います。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?