ActiveDirectory/WindowsUpdates

Материал из ALT Linux Wiki
< ActiveDirectory
Версия от 13:12, 10 января 2025; Olga kmv (обсуждение | вклад) (Новая страница: «'''Влияние обновлений Windows на работоспособность Альт клиентов в MS AD домене и работоспособность доверительных отношений между Альт и MS AD доменами.''' ==Смена пароля доменной учетной записи== ;Проблема: :Не работает смена пароля пользователя в своём же доме...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

Влияние обновлений Windows на работоспособность Альт клиентов в MS AD домене и работоспособность доверительных отношений между Альт и MS AD доменами.

Смена пароля доменной учетной записи

Проблема
Не работает смена пароля пользователя в своём же домене при включённой опции "Сменить пароль при следующем входе".
Описание проблемы
При использовании ОС "Альт Рабочая станция" версии 10.2 и 10.3, возникали трудности со сменой пароля пользователя, если на контроллере домена Windows Server 2019 или Windows Server 2016 (до установки обновлений KB5043050 и KB5037763 соответственно) была активирована опция "Сменить пароль при следующем входе".
Проблема была воспроизведена на следующих конфигурациях:
  • ОС "Альт Рабочая станция" 10.3 с samba-winbind-4.19.6 и актуальными обновлениями на 25.09.2024.
  • ОС "Альт Рабочая станция" 10.3 с samba-winbind-4.19.7.
  • ОС "Альт Рабочая станция" 10.2 с samba-winbind-4.19.6 и актуальными обновлениями на 25.09.2024.
Решение
Для устранения проблемы потребовалось установить обновления Windows на контроллер домена:
  1. Windows Server 2019: Установка обновления KB5043050 от 10 сентября 2024 г. (или последующих обновлений, которые его заменяют) полностью устранила проблему.
  2. Windows Server 2016: Установка обновления KB5037763 от 14 мая 2024 г. (или последующих обновлений, которые его заменяют) устранила аналогичную проблему на серверах этой версии.

Повторный ввод машины в домен с уже существующей учётной записью в домене

Проблема
Возможен ввод в домен машины с тем же именем.
Описание проблемы
Наблюдается некорректное поведение при вводе машины с тем же именем в домен. Ожидается, что при вводе второй машины (любой ОС) с тем же именем что и первая, должна идти проверка на наличие дублирующейся записи в БД LDAP (если машина с таким именем существует в домене, то ввод прерывается ошибкой).
Решение
Повторный ввод рабочей станции в домен с именем уже существующей учётной записи машины зависит от операционной системы рабочей станции, а также от типа контроллера домена. Основное отличие заключается в правах пользователя, от имени которого происходит ввод машины в домен: механизм Windows позволяет вводить рабочую станцию в домен без наличия дополнительных прав, тогда как в Samba этот механизм не реализован.
При сравнении использования учётных записей пользователей с повышенными правами, поведение ввода рабочих станций в домен Windows Server 2019 аналогично поведению ввода в ALT Server с Samba 4.19.9. Однако при повторном вводе в домен выявлены различия между поведением рабочих станций Windows 10 и ALT Workstation.
  • При использовании ALT Workstation повторно использовать имя уже существующей учётной записи рабочей станции в домене могут:
    • Администратор домена независимо от того, кто является владельцем учётной записи машины.
    • Пользователь с делегированными правами на имеющуюся в домене учётную запись машины (с правами на запись и сброс пароля).
    При наличии вышеуказанных прав, повторный ввод машины в домен всегда завершается успешно. Первая машина с таким же именем теряет связь с доменом.
  • При использовании Windows 10 повторно использовать имя уже существующей учётной записи рабочей станции в домене могут:
    • Владелец учётной записи машины, который ранее её создал.
    • Пользователь, которому делегировали управление на запись и сброс пароля учётной записи машины.
    • Администратор домена (если учётная запись была создана им или другим администратором).
    Владелец может перезаписать данные учётной записи машины. Первая машина с таким именем теряет связь с доменом. Приоритет прав принадлежит владельцу. Это ограничивает возможность администратора перезаписать учётную запись, если её владелец — пользователь, не состоящий в группе «Администраторов домена».
Следует учитывать, что Windows Server 2019 и Windows 10 22H2 (с обновлениями безопасности от 11 октября 2022 года и позже) содержат дополнительные меры защиты, предотвращающие уязвимость CVE-2022-38042. Данные обновления запрещают повторное использование существующей учётной записи компьютера в домене в соответствии с новыми правилами.
  • Для Windows Server 2019 обновление KB5018419 от 11 октября 2022 и последующие обновления, которые его заменяют.
  • Для Windows 10 22H2 обновление KB5018410 от 11 октября 2022 и и последующие обновления, которые его заменяют.
Эти обновления добавляют дополнительные проверки безопасности.