Verwenden der UserAccountControl-Flags zum Bearbeiten von Benutzerkontoeigenschaften
In diesem Artikel werden Informationen zur Verwendung des UserAccountControl-Attributs zum Bearbeiten von Benutzerkontoeigenschaften beschrieben.
Ursprüngliche KB-Nummer: 305144
Zusammenfassung
Wenn Sie die Eigenschaften für ein Benutzerkonto öffnen, klicken Sie auf die Registerkarte Konto, und dann aktivieren oder deaktivieren Sie die Kontrollkästchen im Dialogfeld Kontooptionen. Numerische Werte werden dem Attribut UserAccountControl zugewiesen. Der dem Attribut zugewiesene Wert teilt Windows mit, welche Optionen aktiviert wurden.
Um Benutzerkonten anzuzeigen, klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
Liste der Eigenschaftsflags
Sie können diese Attribute anzeigen und bearbeiten, indem Sie entweder das Tool „Ldp.exe“ oder das Snap-In „Adsiedit.msc“ verwenden.
In der folgenden Tabelle sind mögliche Flags aufgeführt, die Sie zuweisen können. Einige der Werte für ein Benutzer- oder Computerobjekt können Sie nicht festlegen, da diese Werte nur vom Verzeichnisdienst festgelegt oder zurückgesetzt werden können. „Ldp.exe“ zeigt die Werte hexadezimal an. „Adsiedit.msc“ zeigt die Werte als Dezimalwert an. Die Flags sind kumulativ. Um das Konto eines Benutzers zu deaktivieren, legen Sie das Attribut UserAccountControl auf 0x0202 (die Summe 0x002 + 0x0200) fest. Im Dezimalwert ist dies 514 (512 + 2).
Hinweis
Sie können Active Directory sowohl in „Ldp.exe“ als auch in „Adsiedit.msc“ direkt bearbeiten. Nur erfahrene Admins sollten diese Tools zum Bearbeiten von Active Directory verwenden. Beide Tools sind verfügbar, nachdem Sie die Supporttools von Ihren ursprünglichen Windows-Installationsmedien installiert haben.
| Eigenschaftsflag | Wert als Hexadezimalzahl | Wert als Dezimalzahl |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Sie können diese Berechtigung nicht zuweisen, indem Sie das Attribut UserAccountControl direkt ändern. Informationen zum programmgesteuerten Festlegen der Berechtigung finden Sie im Abschnitt Beschreibungen der Eigenschaftsflags. |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT. | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Hinweis
In einer Windows Server 2003-basierten Domäne wurden LOCK_OUT und PASSWORD_EXPIRED durch ein neues Attribut namens „ms-DS-User-Account-Control-Computed“ ersetzt. Weitere Informationen zu diesem neuen Attribut finden Sie unter Attribut ms-DS-User-Account-Control-Computed.
Beschreibungen des Eigenschaftsflags
SCRIPT – Das Anmeldeskript wird ausgeführt.
ACCOUNTDISABLE – Das Benutzerkonto ist deaktiviert.
HOMEDIR_REQUIRED – Der Startordner ist erforderlich.
PASSWD_NOTREQD – Es ist kein Kennwort erforderlich.
PASSWD_CANT_CHANGE – Der Benutzer kann das Kennwort nicht ändern. Es handelt sich um eine Berechtigung für das Objekt des Benutzers. Informationen zum programmgesteuerten Festlegen dieser Berechtigung finden Sie unter Ändernder Benutzer kann Kennwort nicht ändern (LDAP-Anbieter).
ENCRYPTED_TEXT_PASSWORD_ALLOWED – Der Benutzer kann ein verschlüsseltes Kennwort senden.
TEMP_DUPLICATE_ACCOUNT – Es handelt sich um ein Konto für Benutzer, deren primäres Konto sich in einer anderen Domäne befindet. Dieses Konto bietet Benutzern Zugriff auf diese Domäne, aber nicht auf eine Domäne, die dieser Domäne vertraut. Es wird manchmal als lokales Benutzerkonto bezeichnet.
NORMAL_ACCOUNT – Es handelt sich um einen Standardkontotyp, der einen typischen Benutzer darstellt.
INTERDOMAIN_TRUST_ACCOUNT – Es ist eine Genehmigung, einem Konto für eine Systemdomäne zu vertrauen, die anderen Domänen vertraut.
WORKSTATION_TRUST_ACCOUNT – Es handelt sich um ein Computerkonto für einen Computer, auf dem Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional oder Windows 2000 Server ausgeführt wird, und der Mitglied dieser Domäne ist.
SERVER_TRUST_ACCOUNT – Es handelt sich um ein Computerkonto für einen Domänencontroller, der Mitglied dieser Domäne ist.
DONT_EXPIRE_PASSWD – Stellt das Kennwort dar, das für das Konto nie ablaufen sollte.
MNS_LOGON_ACCOUNT – Es handelt sich um ein MNS-Anmeldekonto.
SMARTCARD_REQUIRED – Wenn dieses Flag gesetzt ist, wird der Benutzer gezwungen, sich mit einer Smartcard anzumelden.
TRUSTED_FOR_DELEGATION – Wenn dieses Flag gesetzt ist, wird das Dienstkonto (das Benutzer- oder Computerkonto), unter dem ein Dienst ausgeführt wird, als vertrauenswürdig für die Kerberos-Delegierung eingestuft. Ein solcher Dienst kann die Identität eines Clients annehmen, der den Dienst anfordert. Um einen Dienst für die Kerberos-Delegierung zu aktivieren, müssen Sie dieses Flag auf die userAccountControl-Eigenschaft des Dienstkontos anwenden.
NOT_DELEGATED – Wenn dieses Flag gesetzt ist, wird der Sicherheitskontext des Benutzers nicht an einen Dienst delegiert, selbst wenn das Dienstkonto als vertrauenswürdig für die Kerberos-Delegierung festgelegt ist.
USE_DES_KEY_ONLY – (Windows 2000/Windows Server 2003) Beschränkt diesen Prinzipal so, dass nur DES-Verschlüsselungstypen (Data Encryption Standard) für Schlüssel verwendet werden.
DONT_REQUIRE_PREAUTH – (Windows 2000/Windows Server 2003) Für dieses Konto ist für die Anmeldung keine Kerberos-Vorauthentifizierung erforderlich.
PASSWORD_EXPIRED – (Windows 2000/Windows Server 2003) Das Kennwort des Benutzers ist abgelaufen.
TRUSTED_TO_AUTH_FOR_DELEGATION – (Windows 2000/Windows Server 2003) Das Konto ist für die Delegierung aktiviert. Dies ist eine sicherheitssensible Einstellung. Konten, für die diese Option aktiviert ist, sollten streng kontrolliert werden. Mit dieser Einstellung kann ein Dienst, der unter dem Konto ausgeführt wird, die Identität eines Clients annehmen und sich als dieser Benutzer bei anderen Remoteservern im Netzwerk authentifizieren.
PARTIAL_SECRETS_ACCOUNT – (Windows Server 2008/Windows Server 2008 R2) Das Konto ist ein schreibgeschützter Domänencontroller (RODC). Dies ist eine sicherheitssensible Einstellung. Das Entfernen dieser Einstellung aus einem RODC beeinträchtigt die Sicherheit auf diesem Server.
Werte von UserAccountControl
Hier sind die Standardwerte von UserAccountControl für bestimmte Objekte:
- Typischer Benutzer: 0x200 (512)
- Domänencontroller: 0x82000 (532480)
- Workstation/Server: 0x1000 (4096)
- Trust: 0x820 (2080)
Hinweis
Ein Windows-Vertrauenskonto ist von einem Kennwort durch den UserAccountControl-Attributwert „PASSWD_NOTREQD“ ausgenommen, da Vertrauensobjekte die traditionelle Kennwortrichtlinie und die Kennwortattribute nicht auf dieselbe Weise verwenden wie Benutzer- und Computerobjekte.
Vertrauensgeheimnisse werden durch spezielle Attribute für die vertrauensübergreifenden Konten dargestellt, die die Richtung der Vertrauensstellung angeben. Eingehende Vertrauensgeheimnisse werden im trustAuthIncoming-Attribut auf der „vertrauenswürdigen“ Seite eines Trust gespeichert. Ausgehende Vertrauensgeheimnisse werden im trustAuthOutgoing-Attribut am „vertrauenden“ Ende eines Trust gespeichert.
- Bei zweiseitigen Trusts wird das INTERDOMAIN_TRUST_ACCOUNT-Objekt auf jeder Seite des Trusts beide Einstellungen haben.
- Vertrauensgeheimnisse werden von dem Domänencontroller verwaltet, der die Rolle des primären Domänencontrollers (PDC) Emulator Flexible Single Master Operation (FSMO) in der vertrauenswürdigen Domäne einnimmt.
- Aus diesem Grund ist das PASSWD_NOTREQD UserAccountControl-Attribut standardmäßig auf INTERDOMAIN_TRUST_ACCOUNT-Konten festgelegt.