Krijgt u deze foutmelding wanneer u een computer probeert toe te voegen aan een Active Directory (AD)-domein? Ja, dat is vervelend, maar het heeft te maken met beveiligingsupdates die in oktober 2022 zijn uitgebracht. Microsoft heeft de beveiliging aangescherpt, zodat u niet zomaar oude computeraccounts kunt hergebruiken. Dit helpt bij het dichten van een aantal behoorlijk ernstige beveiligingslekken, zoals CVE-2022-38042. Als u deze foutmelding krijgt, lijkt het erop dat het domein bestaande accounts niet meer accepteert. Soms tonen de logboeken berichten zoals “NetpManageMachineAccountWithSid: Het computeraccount bestaat al in Active Directory. Het hergebruiken van het account is geblokkeerd door het beveiligingsbeleid”, wat een duidelijke aanwijzing is. Ook de gebeurtenis-ID’s 4100 en 4101 in uw systeemlogboek wijzen op een vergelijkbaar probleem. Windows probeert in feite te voorkomen dat oude accounts opnieuw worden gebruikt, tenzij u dit expliciet anders aangeeft.
De snelste oplossing is om de machine een andere naam te geven of in Active Directory het bestaande account met die hostnaam te verwijderen. Dat is de eenvoudigste manier om het probleem te omzeilen als je gewoon opnieuw wilt beginnen met het domein. Maar als je wilt dat sommige gebruikers – niet-beheerders – bestaande accounts opnieuw kunnen gebruiken, moet je de instellingen van het groepsbeleid (GPO) aanpassen. Kort gezegd:
Hoe los ik de domeinverbindingsfout ‘Accounthergebruik geblokkeerd’ op in Windows?
Methode 1: De computer hernoemen of het oude account verwijderen.
- Open de systeeminstellingen (klik met de rechtermuisknop op Deze pc > Eigenschappen > Geavanceerde systeeminstellingen ).
- Verander de computernaam – kies iets eenvoudigs, makkelijk te onthouden en unieks.
- Open Active Directory-gebruikers en -computers op uw domeincontroller (via Server Manager of door het commando uit te voeren
dsa.msc). - Navigeer naar de container ‘Computers’, zoek de oude hostnaam op en verwijder het computerobject.
- Probeer nu opnieuw lid te worden van het domein. Meestal werkt dit, omdat het conflict dan is opgelost!
Dit is een vrij voor de hand liggende oplossing, vooral als het bestaande account verouderd of niet meer actief is. Maar vergeet niet dat je de juiste machtigingen in Active Directory moet hebben om dat computerobject te verwijderen.
Methode 2: Specifieke gebruikers toestaan computeraccounts opnieuw te gebruiken via GPO
- Maak eerst een nieuwe beveiligingsgroep aan in Active Directory, bijvoorbeeld met de naam HQ_Allow_Domain_Join. Voeg vertrouwde gebruikers toe die accounts opnieuw mogen gebruiken (zoals helpdeskmedewerkers of junior beheerders).Want Windows moet het natuurlijk weer ingewikkeld maken.
- Open de Group Policy Management Console (
gpmc.msc), maak een nieuw GPO aan en koppel dit aan de OU Domain Controllers. - Ga in de GPO naar Computerconfiguratie → Beleid → Windows-instellingen → Beveiligingsinstellingen → Lokaal beleid → Beveiligingsopties.
- Zoek en schakel de optie ‘Hergebruik van computeraccounts toestaan tijdens het toevoegen aan een domein’ in.
- Voeg onder ‘Beveiliging bewerken’ uw HQ_Allow_Domain_Join -groep toe met machtigingen om computers aan een domein toe te voegen. Houd deze machtigingen strikt; open niet zomaar alle toegangspoorten.
- Voer deze opdracht uit
gpupdate /forceop uw domeincontrollers om het beleid direct door te voeren. In sommige configuraties duurt het even voordat de wijzigingen zijn doorgevoerd, dus wacht een paar minuten of herstart de domeincontroller. - Controleer het register op de DC (
HKLM\SYSTEM\CurrentControlSet\Control\Lsa) op de vermelding computeraccountreuseallowlist, die nu de SDDL van uw groep zou moeten bevatten.
Als de blokkering daarna nog steeds aanhoudt en de logboeken nog steeds foutmeldingen geven, moet u mogelijk controleren of uw gebruiker de juiste machtigingen heeft voor externe verbindingen met de SAM-database, of het beveiligingsbeleid ‘ Netwerktoegang: Beperk clients die externe aanroepen naar SAM mogen maken’ raadplegen.
Oh, en er was vroeger een aanpassing in het register reg add HKLM\System\CurrentControlSet\Control\Lsa /v NetJoinLegacyAccountReuse /t REG_DWORD /d 1 /f, maar de ondersteuning daarvoor is in recente updates verwijderd, dus verspil er geen tijd meer aan.
Dat is het zo’n beetje. Windows doet in principe zijn best om hergebruik van oude accounts te voorkomen, om veiligheidsredenen. Het hernoemen of verwijderen van het oude account, of het configureren van gebruikersgroepen en GPO’s zijn de triggers hiervoor.
Aan de ene kant is het best irritant, maar eerlijk gezegd beschermt het je netwerk waarschijnlijk wel tegen vervelende aanvallen. Toch is het lastig om precies te achterhalen hoe deze beveiligingsmaatregelen werken, vooral wanneer ze verwarrende logboeken en cryptische foutmeldingen genereren. Hopelijk helpt dit iemand om de “account bestaat al”-melding te omzeilen zonder wanhopig te worden.
Samenvatting
- Als het slechts om een dubbel account gaat, kunt u uw pc hernoemen of het oude AD-account verwijderen.
- Stel via GPO een beveiligingsgroep in met gebruikers die gemachtigd zijn om accounts opnieuw te gebruiken.
- Voer de volgende opdracht uit gpupdate /forceop uw domeincontrollers nadat u wijzigingen hebt aangebracht.
- Controleer je
NetSetup. LOGlogboeken op aanwijzingen.
Samenvatting
Het omzeilen van deze fout komt erop neer dat je begrijpt dat recente updates een extra beveiligingslaag toevoegen, waardoor het hergebruiken van oude accounts niet altijd even eenvoudig is. Met een kleine aanpassing van de machtigingen en wat geduld is het echter wel te doen. Hopelijk bespaart dit iemand wat tijd in plaats van frustratie. Dat werkte in ieder geval bij een aantal van onze systemen.