ActiveDirectory/WindowsUpdates
Влияние обновлений Windows на работоспособность Альт клиентов в MS AD домене и работоспособность доверительных отношений между Альт и MS AD доменами.
Смена пароля доменной учетной записи
- Проблема
- Не работает смена пароля пользователя в своём же домене при включённой опции "Сменить пароль при следующем входе".
- Описание проблемы
- При использовании ОС "Альт Рабочая станция" версии 10.2 и 10.3, возникали трудности со сменой пароля пользователя, если на контроллере домена Windows Server 2019 или Windows Server 2016 (до установки обновлений KB5043050 и KB5037763 соответственно) была активирована опция "Сменить пароль при следующем входе".
- Проблема была воспроизведена на следующих конфигурациях:
- ОС "Альт Рабочая станция" 10.3 с samba-winbind-4.19.6 и актуальными обновлениями на 25.09.2024.
- ОС "Альт Рабочая станция" 10.3 с samba-winbind-4.19.7.
- ОС "Альт Рабочая станция" 10.2 с samba-winbind-4.19.6 и актуальными обновлениями на 25.09.2024.
- Решение
- Для устранения проблемы потребовалось установить обновления Windows на контроллер домена:
- Windows Server 2019: Установка обновления KB5043050 от 10 сентября 2024 г. (или последующих обновлений, которые его заменяют) полностью устранила проблему.
- Windows Server 2016: Установка обновления KB5037763 от 14 мая 2024 г. (или последующих обновлений, которые его заменяют) устранила аналогичную проблему на серверах этой версии.
Повторный ввод машины в домен с уже существующей учётной записью в домене
- Проблема
- Возможен ввод в домен машины с тем же именем.
- Описание проблемы
- Наблюдается некорректное поведение при вводе машины с тем же именем в домен. Ожидается, что при вводе второй машины (любой ОС) с тем же именем что и первая, должна идти проверка на наличие дублирующейся записи в БД LDAP (если машина с таким именем существует в домене, то ввод прерывается ошибкой).
- Решение
- Повторный ввод рабочей станции в домен с именем уже существующей учётной записи машины зависит от операционной системы рабочей станции, а также от типа контроллера домена. Основное отличие заключается в правах пользователя, от имени которого происходит ввод машины в домен: механизм Windows позволяет вводить рабочую станцию в домен без наличия дополнительных прав, тогда как в Samba этот механизм не реализован.
- При сравнении использования учётных записей пользователей с повышенными правами, поведение ввода рабочих станций в домен Windows Server 2019 аналогично поведению ввода в ALT Server с Samba 4.19.9. Однако при повторном вводе в домен выявлены различия между поведением рабочих станций Windows 10 и ALT Workstation.
- При использовании ALT Workstation повторно использовать имя уже существующей учётной записи рабочей станции в домене могут:
- Администратор домена независимо от того, кто является владельцем учётной записи машины.
- Пользователь с делегированными правами на имеющуюся в домене учётную запись машины (с правами на запись и сброс пароля).
- При наличии вышеуказанных прав, повторный ввод машины в домен всегда завершается успешно. Первая машина с таким же именем теряет связь с доменом.
- При использовании Windows 10 повторно использовать имя уже существующей учётной записи рабочей станции в домене могут:
- Владелец учётной записи машины, который ранее её создал.
- Пользователь, которому делегировали управление на запись и сброс пароля учётной записи машины.
- Администратор домена (если учётная запись была создана им или другим администратором).
- Владелец может перезаписать данные учётной записи машины. Первая машина с таким именем теряет связь с доменом. Приоритет прав принадлежит владельцу. Это ограничивает возможность администратора перезаписать учётную запись, если её владелец — пользователь, не состоящий в группе «Администраторов домена».
- При использовании ALT Workstation повторно использовать имя уже существующей учётной записи рабочей станции в домене могут:
- Следует учитывать, что Windows Server 2019 и Windows 10 22H2 (с обновлениями безопасности от 11 октября 2022 года и позже) содержат дополнительные меры защиты, предотвращающие уязвимость CVE-2022-38042. Данные обновления запрещают повторное использование существующей учётной записи компьютера в домене в соответствии с новыми правилами.
- Для Windows Server 2019 обновление KB5018419 от 11 октября 2022 и последующие обновления, которые его заменяют.
- Для Windows 10 22H2 обновление KB5018410 от 11 октября 2022 и и последующие обновления, которые его заменяют.
- Эти обновления добавляют дополнительные проверки безопасности.