Active Directory: erro ao ingressar computadores pré‑criados após Netjoin hardening (KB5020276)

Após atualizações recentes do Windows, muitos administradores descobriram que só quem pré‑criou o objeto de computador consegue ingressar (join) a máquina ao domínio. Este guia explica a causa (Netjoin hardening/KB5020276), sintomas, correções com GPO e práticas seguras para implantação.

Índice

Visão geral do problema

O cenário é típico em equipes de suporte: a OU de Computadores recebe objetos pré‑criados por um time de infraestrutura, mas na hora do join apenas o mesmo usuário que criou o objeto consegue reutilizá‑lo. Colegas com delegação em Active Directory (AD) veem mensagens de bloqueio, e o processo falha mesmo quando há permissões de Create/Delete Computer Objects e controle total sobre a OU.

Esse comportamento é intencional e foi introduzido por um endurecimento de segurança (“Netjoin hardening”). O objetivo é reduzir o risco de sequestro de contas de computador existentes durante o ingresso ao domínio, exigindo que a reutilização da conta obedeça a novas regras de confiança.

Causa raiz e linha do tempo

Em 11/10/2022 entrou em vigor a primeira etapa de endurecimento para o processo de domain join (CVE‑2022‑38042). Ao longo de 2023 a Microsoft adicionou um novo controle granular que permite definir, em nível de Domain Controller (DC), quem tem permissão para reutilizar contas de computador já existentes. Em 14/03/2023 surgiu a nova política de segurança “Domain controller: Allow computer account re‑use during domain join”. Em 13/08/2024 a compatibilidade legada foi removida de modo amplo, tornando o novo comportamento obrigatório. Como efeito colateral, a antiga chave de registro NetJoinLegacyAccountReuse foi descontinuada e não deve mais ser usada.

Em termos práticos: por padrão, a reutilização de uma conta de computador existente é bloqueada, a menos que:

o usuário que executa o join seja o criador desse objeto; ou
o objeto tenha sido criado por Built‑in/Domain/Enterprise Administrators; ou
o proprietário da conta esteja numa allow‑list definida na nova GPO “Domain controller: Allow computer account re‑use during domain join”.

Para que a política funcione corretamente, é necessário que todos os DCs e os clientes Windows estejam com patches atuais (em especial de março e setembro de 2023 ou posteriores). Em DCs onde a política é aplicada, aparece o valor de registro HKLM\SYSTEM\CurrentControlSet\Control\SAM\ComputerAccountReuseAllowList, que armazena a lista de SIDs autorizados.

Sintomas e mensagens comuns

Os erros mais recorrentes ao tentar reutilizar um objeto de computador pré‑criado são:

NetSetup.log (em C:\Windows\debug\NetSetup.log): NERRAccountReuseBlockedByPolicy (0xAAC).
Log de Sistema do Windows: evento 4101 relacionado ao join.
Em alguns ambientes: SAMDOMAINJOINPOLICYLEVELV2 returned NetStatus:0x5, indicando bloqueio por uma política de acesso remoto à SAM.

Se você enxerga esses sintomas especificamente ao reutilizar uma conta de computador (e não quando cria uma conta “do zero” na hora do join), está diante do endurecimento do Netjoin.

Checklist rápido

Confirme a delegação na OU (Create/Delete Computer Objects) e, se aplicável, “Reset password” no objeto de computador.
Verifique direitos locais: em GPO, User Rights Assignment → Add workstations to domain (SeMachineAccountPrivilege). Observação: o limite de 10 junções por usuário é controlado pelo atributo de domínio ms-DS-MachineAccountQuota (valor padrão: 10), não pela GPO.
Habilite a GPO “Domain controller: Allow computer account re‑use during domain join” nos DCs e inclua um grupo restrito (p. ex., “Re‑Join Computers”).
Nos clientes com falha, revise o NetSetup.log e os eventos; em caso de NetStatus:0x5, ajuste a política “Network access: Restrict clients allowed to make remote calls to SAM” nos DCs para incluir seu grupo de exceção.
Se for emergência, faça o join com o mesmo usuário que criou o objeto ou delete/renomeie a conta de computador antes do join (workaround).

Procedimento recomendado de correção

O fluxo abaixo consolida as ações que costumam resolver o problema sem abrir mão do endurecimento de segurança.

Etapa	O que fazer	Observações
Confirmar permissões delegadas	Em Active Directory Users and Computers, use Delegation of Control na OU onde os objetos são pré‑criados. Garanta Create Computer Objects e Delete Computer Objects. Se a reutilização envolver “resetar” o objeto, inclua Reset password.	Delegação correta evita falhas por acesso, mas não contorna o bloqueio de reutilização imposto pelo Netjoin hardening.
Revisar políticas de grupo	Na GPMC, em Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → User Rights Assignment, garanta que o grupo/contas necessárias possuam Add workstations to domain.	O limite padrão de 10 junções por usuário é definido por `ms-DS-MachineAccountQuota` no objeto de domínio. Ajuste esse atributo se necessário e consciente dos impactos.
Habilitar a nova GPO	Em Security Options no escopo dos Domain Controllers, habilite Domain controller: Allow computer account re‑use during domain join. Adicione um grupo de exceção com poucos administradores ou a conta de serviço de implantação.	Requer DCs e clientes com patches de 09/2023 ou posteriores para surtir efeito consistente. A allow‑list fica em `HKLM\SYSTEM\CurrentControlSet\Control\SAM\ComputerAccountReuseAllowList`.
Diagnosticar falhas	Em clientes, abra `C:\Windows\debug\NetSetup.log` e procure por `NERRAccountReuseBlockedByPolicy (0xAAC)` e pelo evento 4101 (Sistema). Se houver `SAMDOMAINJOINPOLICYLEVELV2 returned NetStatus:0x5`, ajuste a política “Network access: Restrict clients allowed to make remote calls to SAM” nos DCs para incluir o grupo de exceção.	Essa política de acesso remoto à SAM costuma ser aplicada em Security Options. A inclusão deve ser mínima: apenas o grupo de exceção já validado.
Workarounds rápidos	Se precisar ingressar urgentemente: (1) faça o join com o mesmo usuário que criou o objeto; ou (2) delete/renomeie a conta de computador e crie outra no momento do join.	Não use mais a chave `NetJoinLegacyAccountReuse`; ela foi descontinuada e não deve ser reativada.

Passo a passo detalhado

Como habilitar “Domain controller: Allow computer account re‑use during domain join”

Abra a GPMC e crie uma GPO vinculada à OU Domain Controllers (ou edite uma GPO existente de segurança de DCs).
Navegue até: Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options.
Localize a opção Domain controller: Allow computer account re‑use during domain join e defina como Enabled.
Na lista de contas/grupos permitidos, adicione apenas:
- um grupo restrito do AD (por exemplo, Re‑Join Computers), ou
- a conta de serviço de implantação usada por ferramentas de imaging/OSD.
Forçe a atualização de política nos DCs (gpupdate /force) e aguarde a replicação do AD.

Boas práticas: prefira grupos a contas individuais; documente quem pode reutilizar contas; audite adesões ao grupo; aplique o princípio de menor privilégio.

Como validar se a política foi aplicada

Em cada Domain Controller, verifique a existência/valor da allow‑list no Registro:

reg query HKLM\SYSTEM\CurrentControlSet\Control\SAM /v ComputerAccountReuseAllowList

Você também pode confirmar via Resultant Set of Policy:

gpresult /h C:\Temp\gpresult-dc.html
start C:\Temp\gpresult-dc.html

Como testar a reutilização de conta

Crie uma OU de lab sem políticas conflitantes.
Pré‑crie um objeto de computador nessa OU usando uma conta A (que não fará o join).
Inclua a conta/grupo que fará o join na allow‑list da GPO.
Tente ingressar um cliente Windows com a conta B (permitida pela GPO). O join deve concluir sem o erro 0xAAC.
Repita com uma conta C não presente na allow‑list. A tentativa deve ser bloqueada, confirmando a eficácia do controle.

Diagnóstico aprofundado

Indicadores em logs

NetSetup.log: procure por “Account re-use is blocked” e o código 0xAAC.
Event Viewer → Windows Logs → System: evento 4101 com detalhes do domínio e da conta de computador.
DCs: se houver falha por acesso à SAM (código 0x5), revise a política “Network access: Restrict clients allowed to make remote calls to SAM”.

Comandos úteis para suporte

Ver o limite de máquinas por usuário (atributo de domínio ms-DS-MachineAccountQuota):

Import-Module ActiveDirectory
Lê o atributo ms-DS-MachineAccountQuota (padrão 10)
(Get-ADDomain -Identity (Get-ADDomain).DistinguishedName -Properties 'ms-DS-MachineAccountQuota').'ms-DS-MachineAccountQuota'

Listar quem criou objetos de computador (com msDS-CreatorSID):

Import-Module ActiveDirectory
$ou = "OU=Computadores,DC=exemplo,DC=local"
Get-ADComputer -SearchBase $ou -LDAPFilter "(objectClass=computer)" -Properties msDS-CreatorSID |
  ForEach-Object {
    $sid = $_.'msDS-CreatorSID'
    if ($sid) {
      try {
        $creator = (New-Object System.Security.Principal.SecurityIdentifier($sid,0)).Translate([System.Security.Principal.NTAccount]).Value
      } catch { $creator = $sid }
    } else {
      $creator = "N/D"
    }
    [PSCustomObject]@{
      Name = $_.Name
      Creator = $creator
      WhenCreated = $_.WhenCreated
      DistinguishedName = $_.DistinguishedName
    }
  } | Sort-Object WhenCreated -Descending | Format-Table -AutoSize

Checar rapidamente se a allow‑list foi aplicada no DC:

reg query "\\DC01" HKLM\SYSTEM\CurrentControlSet\Control\SAM /v ComputerAccountReuseAllowList

Automação segura para imaging/OSD

Crie um grupo de exceção (ex.: Re‑Join Computers).
Coloque apenas a conta de serviço de implantação nesse grupo.
Adicione o grupo na GPO “Domain controller: Allow computer account re‑use during domain join”.
Garanta que a conta de serviço possua somente as permissões estritamente necessárias (ingressar máquinas, e se aplicável, resetar contas de computador nas OUs de destino).
Monitore o uso com auditoria de eventos (ingresso de máquina e modificações em contas de computador).

Matriz de compatibilidade e pré‑requisitos

Componente	Requisito mínimo	Notas
Domain Controllers	Windows Server com atualizações cumulativas de 09/2023 ou posteriores	Necessário para expor e honrar a GPO “Allow computer account re‑use…”.
Clientes Windows	Windows 10/11 com patches atuais (preferencialmente 09/2023+)	Clientes desatualizados podem apresentar mensagens confusas no `NetSetup.log`.
Active Directory	Replicação íntegra entre DCs	Propagação da allow‑list ocorre por GPO; aguarde a replicação antes de validar.

Perguntas frequentes

“Add workstations to domain” resolve sozinho?
Não. Esse direito local é necessário, mas o bloqueio de reutilização é imposto pelo Netjoin hardening. É a GPO “Allow computer account re‑use…” que autoriza explicitamente a reutilização do objeto pré‑criado.

O limite de 10 junções por usuário está onde?
No atributo ms-DS-MachineAccountQuota do objeto de domínio (valor padrão 10). Ajuste com cautela; reduzir a 0 desabilita a criação por usuários comuns, o que pode simplificar governança em ambientes estritos.

Posso contornar removendo a conta de computador?
Sim, como workaround emergencial: delete/renomeie a conta antes do join. Porém, o ideal é aplicar a GPO e trabalhar com reutilização controlada pelo grupo de exceção.

Funciona com Offline Domain Join (djoin)?
Sim; o endurecimento também se aplica ao djoin quando há reutilização de objetos pré‑criados. A allow‑list continua sendo necessária.

Quais grupos são “sempre permitidos”?
Objetos criados por Built‑in/Domain/Enterprise Administrators podem ser reutilizados por padrão. Para demais cenários, utilize a GPO com allow‑list.

Isso aumenta a segurança?
Sim. A mudança dificulta o abuso de objetos de computador existentes por contas comprometidas. A allow‑list formaliza quem pode reutilizar e onde — reforçando rastreabilidade.

Políticas adicionais que podem interferir

Network access: Restrict clients allowed to make remote calls to SAM: se muito restritiva, pode resultar em NetStatus:0x5 no log do cliente. Inclua apenas o grupo de exceção.
Delegações na OU: lembre de revisar Inherited permissions e negações explícitas; heranças podem causar falhas aparentes de permissão.
Antivírus/EDR: alguns agentes podem atrasar ou bloquear chamadas RPC envolvidas no join. Valide em janelas de manutenção.

Fluxo de resolução sugerido para a equipe

Triagem: confirmar que a falha ocorre ao reutilizar um objeto pré‑criado (e não numa criação nova).
Coleta: anexar NetSetup.log e eventos 4101 à tarefa de suporte.
Correção: aplicar a GPO de allow‑list nos DCs; validar replicação; repetir o join.
Prevenção: documentar o grupo “Re‑Join Computers”; treinar o Service Desk; revisar automações de OSD.

Exemplos de comunicação interna

Mensagem para Service Desk:

A partir desta semana, a reutilização de contas de computador pré‑criadas exige que o técnico seja membro do grupo Re‑Join Computers. Solicite inclusão via Central de Acessos. Em urgências, peça ao criador do objeto que realize o join ou delete o objeto.

Checklist de pós‑implantação

GPO aplicada nos DCs e validada via gpresult.
Allow‑list com grupo de exceção mínimo e auditado.
Documentação atualizada sobre quem pode reutilizar contas e em quais OUs.
Playbooks de OSD revisados para usar a conta de serviço do grupo de exceção.
Monitoramento de eventos (4101) e falhas correlatas em relatórios semanais.

Resumo

Se o seu time consegue pré‑criar objetos de computador, mas só o criador consegue ingressá‑los ao domínio, o ambiente está sob as regras do Netjoin hardening (KB5020276). A solução moderna é habilitar a GPO “Domain controller: Allow computer account re‑use during domain join” e administrar uma allow‑list enxuta, em conjunto com delegações corretas e validações de log. Esse modelo restaura a produtividade do suporte sem abrir mão da segurança — e evita a dependência em privilégios excessivos ou chaves de registro legadas.

Anexo: roteiro rápido de validação

Aplicar GPO nos DCs com a allow‑list.
Garantir que clientes e DCs estejam atualizados (patches de 2023+).
Executar teste A/B com conta permitida e não permitida.
Conferir NetSetup.log e evento 4101 para confirmar o resultado.
Atualizar procedimentos de OSD e treinamento.

Dica final: em ambientes com delegação dispersa, vale centralizar a criação de objetos de computador em uma conta de serviço do grupo de exceção. Isso reduz atrito, simplifica auditoria e elimina a dependência do “criador” original do objeto.