Sie versuchen, einen Computer zu einer Active Directory (AD)-Domäne hinzuzufügen und stoßen dabei auf diesen Fehler? Das ist zwar ärgerlich, hängt aber mit Sicherheitsupdates zusammen, die im Oktober 2022 veröffentlicht wurden. Microsoft hat die Schutzmaßnahmen verstärkt, sodass alte Computerkonten nicht mehr einfach wiederverwendet werden können. Dadurch werden einige schwerwiegende Sicherheitslücken wie CVE-2022-38042 geschlossen. Wenn Sie also auf diesen Fehler stoßen, scheint die Domäne bestehende Konten nicht mehr zu akzeptieren. Manchmal finden sich in den Protokollen Einträge wie „NetpManageMachineAccountWithSid: Das Computerkonto ist bereits in Active Directory vorhanden. Die Wiederverwendung des Kontos wurde durch eine Sicherheitsrichtlinie blockiert.“ Dies ist ein eindeutiger Hinweis. Auch die Ereignis-IDs 4100 und 4101 im Systemprotokoll deuten auf ein ähnliches Problem hin. Windows versucht standardmäßig, die Wiederverwendung alter Konten zu verhindern, sofern Sie dies nicht explizit erlauben.
Die schnellste Lösung besteht darin, den Rechner umzubenennen oder in Active Directory das bestehende Konto mit diesem Hostnamen zu löschen. Das ist der einfachste Weg, das Problem zu umgehen, wenn Sie einfach nur mit einem neuen System der Domäne beitreten möchten. Wenn jedoch einige Benutzer – keine Administratoren – bestehende Konten wiederverwenden sollen, müssen Sie die Gruppenrichtlinien (GPO) anpassen. Hier die wichtigsten Punkte:
So beheben Sie den Domänenbeitrittsfehler „Kontowiederverwendung blockiert“ in Windows
Methode 1: Benennen Sie den Computer um oder entfernen Sie das alte Konto.
- Öffnen Sie die Systemeigenschaften (Rechtsklick auf „Dieser PC“ > Eigenschaften > Erweiterte Systemeinstellungen ).
- Ändern Sie den Computernamen – etwas Einfaches, Leicht zu merkendes und Einzigartiges.
- Öffnen Sie auf Ihrem Domänencontroller Active Directory-Benutzer und -Computer (über den Server-Manager oder durch Ausführen des entsprechenden Befehls
dsa.msc). - Navigieren Sie zum Container „Computer“, suchen Sie den alten Hostnamen und löschen Sie das Computerobjekt.
- Versuchen Sie nun erneut, der Domäne beizutreten. Normalerweise funktioniert dies, da der Konflikt behoben ist!
Das ist eine ziemlich einfache Lösung, besonders wenn das bestehende Konto veraltet oder verwaist ist. Aber denken Sie daran, dass Sie die entsprechenden Berechtigungen in Active Directory benötigen, um dieses Computerobjekt zu löschen.
Methode 2: Bestimmten Benutzern die Wiederverwendung von Computerkonten über Gruppenrichtlinienobjekte ermöglichen
- Erstellen Sie zunächst eine neue Sicherheitsgruppe in Active Directory, beispielsweise mit dem Namen „HQ_Allow_Domain_Join “.Fügen Sie vertrauenswürdige Benutzer hinzu, die Konten wiederverwenden dürfen (z. B.Helpdesk-Mitarbeiter oder Junior-Administratoren).Denn natürlich muss Windows das Ganze unnötig kompliziert machen.
- Öffnen Sie die Gruppenrichtlinienverwaltungskonsole (
gpmc.msc), erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Organisationseinheit Domänencontroller. - Im Gruppenrichtlinienobjekt (GPO) gehen Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen.
- Domänencontroller suchen und aktivieren : Computerkonten beim Domänenbeitritt wiederverwenden.
- Fügen Sie unter „Sicherheit bearbeiten“ Ihre Gruppe „HQ_Allow_Domain_Join “ mit Berechtigungen zum Hinzufügen von Computern zur Domäne hinzu. Gehen Sie dabei restriktiv vor – öffnen Sie nicht einfach alle Türen.
- Führen Sie den Befehl
gpupdate /forceauf Ihren Domänencontrollern aus, um die Richtlinie sofort anzuwenden. Bei manchen Konfigurationen dauert es einen Moment, bis die Änderungen wirksam werden. Warten Sie daher einige Minuten oder starten Sie den Domänencontroller neu. - Überprüfen Sie die Registrierung auf dem DC (
HKLM\SYSTEM\CurrentControlSet\Control\Lsa) auf den Eintrag computeraccountreuseallowlist, in dem nun die SDDL Ihrer Gruppe aufgeführt sein sollte.
Wenn die Deaktivierung danach weiterhin besteht und die Protokolle immer noch Fehler melden, müssen Sie möglicherweise überprüfen, ob Ihr Benutzer über die Berechtigung für Remote-Verbindungen zur SAM-Datenbank verfügt oder die Sicherheitsrichtlinie Netzwerkzugriff: Beschränken Sie Clients, die Remote-Aufrufe an SAM tätigen dürfen.
Oh, und es gab mal einen Registry-Tweak reg add HKLM\System\CurrentControlSet\Control\Lsa /v NetJoinLegacyAccountReuse /t REG_DWORD /d 1 /f– aber die Unterstützung dafür wurde in den letzten Updates entfernt, also verschwenden Sie nicht länger Ihre Zeit damit.
Das ist im Wesentlichen alles. Windows versucht aus Sicherheitsgründen lediglich, die Wiederverwendung alter Benutzerkonten bestmöglich zu verhindern. Auslöser hierfür sind das Umbenennen oder Löschen des alten Kontos sowie die Konfiguration von Benutzergruppen und Gruppenrichtlinienobjekten (GPOs).
Einerseits ist es etwas nervig, aber andererseits schützt es wahrscheinlich Ihr Netzwerk vor gefährlichen Sicherheitslücken. Trotzdem ist es ziemlich mühsam herauszufinden, wie genau diese Schutzmechanismen funktionieren, insbesondere wenn sie verwirrende Protokolle und kryptische Fehlermeldungen erzeugen. Hoffentlich hilft dies jemandem, die Meldung „Konto existiert bereits“ zu überwinden, ohne sich die Haare zu raufen.
Zusammenfassung
- Benennen Sie Ihren PC um oder löschen Sie das alte AD-Konto, falls es sich nur um ein Duplikatproblem handelt.
- Richten Sie eine Sicherheitsgruppe mit berechtigten Benutzern ein, um Konten über Gruppenrichtlinienobjekte (GPO) wiederzuverwenden.
- Führen Sie den Befehl gpupdate /forcenach der Änderung auf Ihren Domänencontrollern aus.
- Überprüfen Sie Ihre
NetSetup. LOGProtokolle auf Hinweise.
Zusammenfassung
Um diesen Fehler zu umgehen, muss man verstehen, dass die letzten Updates eine zusätzliche Sicherheitsebene eingeführt haben – die Wiederverwendung alter Konten ist daher nicht immer unkompliziert. Mit ein paar Anpassungen der Berechtigungen und etwas Geduld lässt es sich aber beheben. Hoffentlich hilft das jemandem, Zeit und Nerven zu sparen. Zumindest hat es bei einigen Konfigurationen funktioniert.