今更なんですが 10 月の累積セキュリティ更新プログラムを適用後に起こる、コンピューターのドメイン参加時の動作について書きたいと思います。
2022 年 10 月以降の累積更新プログラム適用後のドメイン参加時の動作
公開情報はこちら。
記載している内容が少しわかりにくいので要約して書きますと、10 月以降の累積セキュリティ更新プログラムをクライアントに適用すると、Active Directory 上に事前にコンピューター アカウントが存在する場合、ドメインへの参加が失敗するようになります。
ただし、以下のケースでは例外としてドメイン参加が許可されるようになります。
・コンピューター アカウントの所有者がドメイン管理者の場合
・コンピューター アカウントの所有者がドメイン参加を行おうとしているユーザーと同一の場合
事前にコンピューター アカウントを作成しておいて、ユーザーにドメイン参加させるような運用をされている環境もあるのではないかと思いますが、この運用を行っている場合、例えばこのコンピューター アカウントの作成作業を Account Operator などの権限のユーザーで行っている場合、上記例外に合致しない形となり、ユーザー側でのドメイン参加ができなくなるという事態が発生します。
あまり良い表現ではないですが、コンピューター アカウントを事前にセキュリティが強固な GPO を設定している OU 上に作成しようとしていて、アカウント作成についても厳密に権限を与えて実施している環境ほど罠にはまりやすい動作変更のようです。
ただ、KB5020276 の中に記載されているレジストリを使った回避策は、公開情報にも記載されていますが CVE-2022-38042 に対する脆弱性を残したままになるため、個人的にはおすすめしないです。
公開情報の内容的には CVE-2022-38042 対策として実施された動作変更であり、意図した動作変更のように思われるのですが、以下の Windows Release Health をみると既知の問題の中に記載されており、今後の取り扱いについては注視しておいたほうがいい内容のものではないかと思います。